【大纪元10月24日报导】(中央社记者韦枢台北二十四日电)台湾行政院原子能委员会核能研究所早年针对全数位化控制的核四厂发展出“框架基础软体安全分析方法”,核研所核能仪器组副组长郭成聪表示,历史上许多意外事件都是因为操控软体的设计有缺陷所致,为了公共安全和民众利益,相关机构须特别注意。
行政院原子能委员会核能研究所经过多年投入软体安全分析工作,发展出“框架基础 (Frame- Based)软体安全分析方法”,可以深入观察与分析软体、硬体与操作员三者间的互动过程,已完成约120例分析。
郭成聪举例,1980年代中期,美国和加拿大医院使用的电脑控制Therac 25放射治疗仪发生多次医疗事故,甚至发生过超剂量医疗事件,部分病人治疗后死亡。经过软体安全分析解读,直到80年代末期才确定事故是因软体品质工作缺失导致超剂量辐射。
Therac 25的前身为Therac 6和Therac20,合乎工业标准的硬体控制系统,治疗病人完全依靠硬体,仪器采用硬体互锁技术控制超过剂量辐射。到了Therac 25的全部操作由软体进行控制,取消了硬体互锁装置。当软体失效时,没有硬体安全装置来保护,显示过分相信软体,因此应设置独立于放射治疗仪的辐射侦测装置,剂量过高时发出警报,必要时关闭放射治疗仪电源。
另一个案例发生于 1991 年 2 月 25 日波斯湾战争期间,原预定发射拦截伊拉克飞云 (Scuds) 飞弹的爱国者飞弹,因失去追踪功能,导致飞弹坠落于沙乌地阿拉伯 Dhahran 美军军营,28 名美军死亡。经分析发现,当时爱国者飞弹软体设计时,只考虑开机 14 小时内可发射飞弹,而那次攻击中,爱国者飞弹已开机运转100 小时,远超过软体设计的时效。
飞弹发射时软体计时器已累积超过预设范围,连带使追踪系统关闭0.34秒,导致爱国者飞弹无法追踪飞云飞弹,而落在美军军营内,事实上美军在事件前已发现这项缺失,却未能及时送修,因此今后的软体设计应分析软体设计的各项限制值,若超过时须有警示,并阻止飞弹发射。
较近的案例是,2003 年 8 月 14 日发生持续 4天的北美大停电,影响美加地区五千万人生活运作,财物损失达 100 到 140 亿美元,凸显现有电力系统的重要与脆弱性。软体安全分析解读发现,首桩异常情况是电力线路状态评估系统软体故障。接着发生俄亥俄州First Energy 电厂高压电线触及路旁树枝而造成局部跳电。
原本只要操作员采取隔离动作,即可化解危机,但由于负责监控电厂状态的“能源管理系统 GE 公司供应的 XA 21 系统”软体隐藏未被发现的设计错误,在这个关键时刻,警报丧失功能,以致操作员未能立即发现及处理刚发生的跳电状况。在未被适当隔离的情况下,负载失衡效应扩散波及,造成邻近电厂跳电,一路牵连下去,造成北美区空前大停电。
经应用软体安全分析改善方案,应设计独立的负载失衡评估设施,异常时提出警报,必要时可自动隔离。
郭成聪强调,台湾有许多重大建设,例如高铁、捷运、航空等事业,都涉及公共安全,因此更需着重这些设施控制软体的安全品质,以提升运转安全,保障民众的生命财产。
