【大紀元10月24日報導】(中央社記者韋樞台北二十四日電)台灣行政院原子能委員會核能研究所早年針對全數位化控制的核四廠發展出「框架基礎軟體安全分析方法」,核研所核能儀器組副組長郭成聰表示,歷史上許多意外事件都是因為操控軟體的設計有缺陷所致,為了公共安全和民眾利益,相關機構須特別注意。
行政院原子能委員會核能研究所經過多年投入軟體安全分析工作,發展出「框架基礎 (Frame- Based)軟體安全分析方法」,可以深入觀察與分析軟體、硬體與操作員三者間的互動過程,已完成約120例分析。
郭成聰舉例,1980年代中期,美國和加拿大醫院使用的電腦控制Therac 25放射治療儀發生多次醫療事故,甚至發生過超劑量醫療事件,部份病人治療後死亡。經過軟體安全分析解讀,直到80年代末期才確定事故是因軟體品質工作缺失導致超劑量輻射。
Therac 25的前身為Therac 6和Therac20,合乎工業標準的硬體控制系統,治療病人完全依靠硬體,儀器採用硬體互鎖技術控制超過劑量輻射。到了Therac 25的全部操作由軟體進行控制,取消了硬體互鎖裝置。當軟體失效時,沒有硬體安全裝置來保護,顯示過份相信軟體,因此應設置獨立於放射治療儀的輻射偵測裝置,劑量過高時發出警報,必要時關閉放射治療儀電源。
另一個案例發生於 1991 年 2 月 25 日波斯灣戰爭期間,原預定發射攔截伊拉克飛雲 (Scuds) 飛彈的愛國者飛彈,因失去追蹤功能,導致飛彈墜落於沙烏地阿拉伯 Dhahran 美軍軍營,28 名美軍死亡。經分析發現,當時愛國者飛彈軟體設計時,只考慮開機 14 小時內可發射飛彈,而那次攻擊中,愛國者飛彈已開機運轉100 小時,遠超過軟體設計的時效。
飛彈發射時軟體計時器已累積超過預設範圍,連帶使追蹤系統關閉0.34秒,導致愛國者飛彈無法追蹤飛雲飛彈,而落在美軍軍營內,事實上美軍在事件前已發現這項缺失,卻未能及時送修,因此今後的軟體設計應分析軟體設計的各項限制值,若超過時須有警示,並阻止飛彈發射。
較近的案例是,2003 年 8 月 14 日發生持續 4天的北美大停電,影響美加地區五千萬人生活運作,財物損失達 100 到 140 億美元,凸顯現有電力系統的重要與脆弱性。軟體安全分析解讀發現,首樁異常情況是電力線路狀態評估系統軟體故障。接著發生俄亥俄州First Energy 電廠高壓電線觸及路旁樹枝而造成局部跳電。
原本只要操作員採取隔離動作,即可化解危機,但由於負責監控電廠狀態的「能源管理系統 GE 公司供應的 XA 21 系統」軟體隱藏未被發現的設計錯誤,在這個關鍵時刻,警報喪失功能,以致操作員未能立即發現及處理剛發生的跳電狀況。在未被適當隔離的情況下,負載失衡效應擴散波及,造成鄰近電廠跳電,一路牽連下去,造成北美區空前大停電。
經應用軟體安全分析改善方案,應設計獨立的負載失衡評估設施,異常時提出警報,必要時可自動隔離。
郭成聰強調,台灣有許多重大建設,例如高鐵、捷運、航空等事業,都涉及公共安全,因此更需著重這些設施控制軟體的安全品質,以提昇運轉安全,保障民眾的生命財產。
