标准搜索结果: 'GB/T 20438.3-2017'
| 标准编号 | GB/T 20438.3-2017 (GB/T20438.3-2017) | | 中文名称 | 电气/电子/可编程电子安全相关系统的功能安全 第3部分:软件要求 | | 英文名称 | Functional safety of electrical/electronic/programmable electronic safety-related systems -- Part 3: Software requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | N10 | | 国际标准分类 | 25.040 | | 字数估计 | 90,980 | | 发布日期 | 2017-12-29 | | 实施日期 | 2018-07-01 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 20438.3-2017
Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 3: Software requirements
ICS 25.040
N10
中华人民共和国国家标准
代替GB/T 20438.3-2006
电气/电子/可编程电子安全相关系统的
功能安全 第3部分:软件要求
(IEC 61508-3:2010,IDT)
2017-12-29发布
2018-07-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 3
3 定义和缩略语 4
4 标准的符合性 4
5 文档 4
6 安全相关软件管理的附加要求 4
6.1 目的 4
6.2 要求 4
7 软件安全生命周期要求 5
7.1 概述 5
7.2 软件安全要求规范 10
7.3 系统安全软件方面的确认计划 13
7.4 软件设计和开发 14
7.5 可编程电子集成(硬件和软件) 22
7.6 软件操作和修改规程 23
7.7 系统安全确认的软件方面 23
7.8 软件修改 24
7.9 软件验证 26
8 功能安全评估 29
附录A(规范性附录) 技术和措施选择指导 30
附录B(资料性附录) 详细表格 37
附录C(资料性附录) 软件系统性能力的属性 42
附录D(规范性附录) 符合项安全手册-软件组件的附加要求 68
附录E(资料性附录) GB/T 20438.2和GB/T 20438.3之间的关系 70
附录F(资料性附录) 单计算机中各软件组件间实现互不干扰的技术 72
附录G(资料性附录) 数据驱动系统的生命周期裁剪指南 76
参考文献 79
图1 GB/T 20438的整体框架 2
图2 整体安全生命周期 3
图3 E/E/PE系统安全生命周期(在实现阶段) 6
图4 软件安全生命周期(在实现阶段) 6
图5 GB/T 20438.2和GB/T 20438.3的范围和关系 7
图6 软件系统性能力和开发生命周期(V模型) 7
图G.1 数据驱动系统的复杂度中的可变性 76
表1 软件安全生命周期:概述 8
表A.1 软件安全要求规范(见7.2) 30
表A.2 软件设计和开发:软件架构设计(见7.4.3) 31
表A.3 软件设计和开发:支持工具和编程语言(见7.4.4) 32
表A.4 软件设计和开发:详细设计(见7.4.5和7.4.6) 33
表A.5 软件设计和开发:软件模块测试和集成(见7.4.7和7.4.8) 34
表A.6 可编程电子集成(硬件和软件)(见7.5) 34
表A.7 系统安全确认的软件方面(见7.7) 35
表A.8 修改(见7.8) 35
表A.9 软件验证(见7.9) 36
表A.10 功能安全评估(见第6章) 36
表B.1 设计和编码标准 37
表B.2 动态分析和测试 37
表B.3 功能和黑盒测试 38
表B.4 失效分析 38
表B.5 建模 39
表B.6 性能测试 39
表B.7 半形式化方法 39
表B.8 静态分析 40
表B.9 模块化方法 41
表C.1 系统性安全完整性的属性-软件安全要求规范 45
表C.2 系统性安全完整性的属性-软件设计和开发-软件架构设计 47
表C.3 系统性安全完整性的属性-软件设计和开发-支持工具和编程语言 53
表C.4 系统性安全完整性的属性-软件设计和开发-详细设计(包括软件系统设计、软件模块
设计和编码) 54
表C.5 系统性安全完整性的属性-软件设计和开发-软件模块测试和集成 55
表C.6 系统性安全完整性的属性-可编程电子集成(硬件和软件) 57
表C.7 系统性安全完整性的属性-系统安全确认的软件方面 58
表C.8 系统性安全完整性属性-软件修改 58
表C.9 系统性安全完整性的属性-软件验证 60
表C.10 系统性安全完整性的属性-功能安全评估 60
表C.11 详细属性-设计和编码标准 61
表C.12 详细属性-动态分析和测试 62
表C.13 详细属性-功能和黑盒测试 63
表C.14 详细属性-失效分析 64
表C.15 详细属性-建模 65
表C.16 详细属性-性能测试 65
表C.17 详细属性-半形式化方法 65
表C.18 系统性安全完整性的属性-静态分析 66
表C.19 详细属性-模块化方法 67
表E.1 GB/T 20438.2要求分类 70
表E.2 GB/T 20438.2的软件相关要求及其与特定类型软件的典型关联 70
表F.1 模块耦合---术语定义 73
表F.2 模块耦合类型 74
前言
GB/T 20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分:
---第1部分:一般要求;
---第2部分:电气/电子/可编程电子安全相关系统的要求;
---第3部分:软件要求;
---第4部分:定义和缩略语;
---第5部分:确定安全完整性等级的方法示例;
---第6部分:GB/T 20438.2和GB/T 20438.3的应用指南;
---第7部分:技术和措施概述。
本部分为GB/T 20438的第3部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GB/T 20438.3-2006《电气/电子/可编程电子安全相关系统的功能安全 第3部分:
软件要求》,与GB/T 20438.3-2006相比,主要技术变化如下:
---增加了软件系统性能力的属性(见附录C);
---增加了符合项安全手册-软件组件的附加要求(见附录D);
---增加了GB/T 20438.2和GB/T 20438.3之间的关系(见附录E);
---增加了单个计算机中各软件组件间实现互不干扰的技术(见附录F);
---增加了数据驱动系统的生命周期剪裁指南(见附录G)。
本部分使用翻译法等同采用IEC 61508-3:2010《电气/电子/可编程电子安全相关系统的功能安
全 第3部分:软件要求》。
本部分由中国机械工业联合会提出。
本部分由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。
本部分起草单位:机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、上海
工业自动化仪表研究院、皮尔磁工业自动化贸易(上海)有限公司、北京和利时系统工程有限公司、欧姆
龙自动化(中国)有限公司、西门子(中国)有限公司、上海中沪电子有限公司。
本部分主要起草人:冯晓升、夏明、熊文泽、史学玲、周有铮、杨柳、黄之炯、罗安、庄凌昀、李佳、刘晓东、
梅豪、华镕、张龙、叶均、褚卫中、裘坤、孟邹清、肖家麒、王德吉。
本部分所代替标准的历次版本发布情况为:
---GB/T 20438.3-2006。
引 言
由电气和电子器件构成的系统,多年来在许多应用领域中执行其安全功能。以计算机为基础的系
统(一般指可编程电子系统)在其应用领域中用于执行非安全功能,并且也越来越多地用于执行安全功
能。如果要安全并有效地使用计算机技术,有关决策者在安全方面有充足的指导并据此做出决定是十
分必要的。
GB/T 20438针对由电气和/或电子和/或可编程电子(E/E/PE)组件构成的、用来执行安全功能的
系统安全生命周期的所有活动,提出了一个通用的方法。采用统一的方法的目的是为了针对所有以电
为基础的安全相关系统提出一种一致的、合理的技术方针。主要目标是促进基于GB/T 20438系列标
准的产品和应用领域国家标准的制定。
注1:在参考文献中给出了基于GB/T 20438系列标准的产品和应用领域标准的例子(见参考文献[1],[2],[3])。
在许多情况下,可用多种基于不同技术(如机械的、液压的、气动的、电气的、电子的、可编程电子的
等)的系统来保证安全。因而不得不考虑各类安全策略,不仅要考虑单个系统中的所有组件的问题(如
传感器、控制器、执行器等),还要考虑不同安全相关系统组合后的问题。因此当GB/T 20438在关注电
气/电子/可编程电子(E/E/PE)安全相关系统的同时,也提供了一个框架,在这个框架内,基于其他技
术的安全相关系统也可被考虑进去。
在各种应用领域里,存在着许多潜在的危险和风险,包含的复杂性也各不相同,从而需应用不同的
E/E/PE安全相关系统。对每个特定的应用,将根据特定应用的许多因素来确定所需的安全措施。
GB/T 20438作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施。
GB/T 20438
---考虑了当使用E/E/PE系统执行安全功能时,所涉及的整体安全生命周期、E/E/PE系统安全
生命周期以及软件安全生命周期的各阶段(如初始概念、整体设计、实现、运行和维护到退役);
---针对飞速发展的技术,建立一个足够健全且广泛满足未来发展需求的框架;
---使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定;在GB/T 20438的框
架下,产品和应用领域的国家标准的制定在应用领域和交叉应用领域宜具有高度一致性(如基
本原理,术语等);这将既具有安全性又具有经济效益;
---为实现E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法;
---采用了一种可确定安全完整性要求的基于风险的方法;
---引入安全完整性等级,用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整
性等级;
注2:GB/T 20438没有规定每个安全功能的安全完整性等级的要求,也没有规定如何确定安全完整性等级。而是
提供了一种基于风险概念的框架和技术范例。
---建立了E/E/PE安全相关系统执行安全功能的目标失效量,这些量都同安全完整性等级相
联系;
---建立了单一E/E/PE安全相关系统执行安全功能时,目标失效量的一个下限值。这些E/E/
PE安全相关系统运行在:
---低要求运行模式下,下限设定成要求时危险失效平均概率为10-5;
---高要求或连续运行模式下,下限设定成危险失效平均频率为10-9/h。
注3:单一E/E/PE安全相关系统不一定是单通道架构。
注4:对于非复杂系统,通过安全相关系统的设计实现更优目标安全完整性是可能的。但对于相对复杂的系统(例
如可编程电子安全相关系统),这些限值代表了目前能够达到的水平。
---基于工业实践中获取的经验和判断,设定了避免和控制系统性故障的要求;即使发生系统性故
障的可能性一般不能量化,但GB/T 20438允许为一个特定的安全功能做出声明,即如果标准
中的所有要求都满足,认为与安全功能相关的目标失效量已达到;
---引入了系统性能力,该能力表明一个组件为满足规定的安全完整性等级要求时,系统性安全完
整性的置信度;
---采用多种原理、技术和措施以实现E/E/PE安全相关系统的功能安全,但没有明确地使用失
效-安全的概念。然而,如果能够满足标准中相关条款的要求,则“失效-安全”的概念和“本质
安全”原则可能被应用,并且采用这些概念是可接受的。
电气/电子/可编程电子安全相关系统的
功能安全 第3部分:软件要求
1 范围
1.1 GB/T 20438的本部分:
a) 应建立在充分理解GB/T 20438.1和GB/T 20438.2的基础上使用;
b) 适用于在GB/T 20438.1和GB/T 20438.2范围内构成安全相关系统的一部分或用于开发安
全相关系统的任何软件。这种软件定义为安全相关软件(安全相关软件包括操作系统、系统软
件、通信网络中的软件、人机界面功能、固件以及应用软件);
c) 提供适用于在GB/T 20438.1和GB/T 20438.2范围内开发和配置安全相关系统的支持工具
的特定要求;
d) 要求规定软件安全功能和软件系统性能力;
注1:如果这一要求作为电气/电子/可编程电子安全相关系统规范(见GB/T 20438.2-2017中7.2)的一部分已提
出,则在此处不需重复。
注2:规定软件安全功能和软件系统性能力是一个反复的过程,见图3和图6。
注3:文档结构要求见GB/T 20438.1-2017的第5章和附录A。文档结构可能要考虑公司规程和特殊应用领域的
工作实际情况。
注4:关于术语“系统性能力”的定义见GB/T 20438.4-2017的3.5.9。
e) 建立安全相关软件设计开发过程中(软件安全生命周期模型)对安全生命周期各阶段和需开展
活动的要求。这些要求包括根据系统性能力分级的、在软件中用于避免和控制故障及失效的
措施和技术的应用。
f) 对系统安全确认软件方面相关的信息提出了要求,这些信息将传递给执行E/E/PE系统集成
的机构。
g) 对操作和维护E/E/PE安全相关系统的用户所需的软件有关的信息和规程的准备提出要求。
h) 对修改安全相关软件的机构提出要求。
i) 结合GB/T 20438.1和GB/T 20438.2,提出对支持工具的要求如设计开发工具、语言翻译器、
测试和调试工具、配置管理工具。
注5:图5表示了GB/T 20438.2和GB/T 20438.3之间的关系。
j) 不适用于符合IEC 60601系列的医疗设备。
1.2 GB/T 20438.1、GB/T 20438.2、GB/T 20438.3和GB/T 20438.4是基础的安全标准,虽然它不适
用于低复杂的E/E/PE安全相关系统(见GB/T 20438.4-2017的3.4.3),但作为基础安全标准,各技术
委员会可以在IEC 指南104和ISO/IEC 指南51的指导下制定相关标准时使用。GB/T 20438.1、
GB/T 20438.2、GB/T 20438.3和GB/T 20438.4也可作为独立标准来使用。GB/T 20438的横向安全
功能不适用于在IEC 60601系列指导下的医疗设备。
1.3 各技术委员会的责任之一,是在其标准的起草工作中尽可能使用基础的安全标准。在本部分中,
本基础安全标准中的要求、测试方法或测试条件只有在这些技术委员会起草的标准中已明确引用或包
含时适用。
1.4 图1表示了GB/T 20438的整体框架,同时明确了本部分在实现E/E/PE安全相关系统功能安全
过程中的作用。
图1 GB/T 20438的整体框架
图2 整体安全生命周期
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20438.1-2017 电气/电子/可编程电子安全相关系统的功能安全 第1部分:一般要求
(IEC 61508-1:2010,IDT)
GB/T 20438.2-2017 电气/电子/可编程电子安全相关系统的功能安全 第2部分:电气/电子/
可编程电子安全相关系统的要求(IEC 61508-2:2010,IDT)
GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义及缩略
语(IEC 61508-4:2010,IDT)
IEC Guide104:1997 安全出版物的编写及基础安全出版物和多专业共用安全出版物的应用导则
cations)
IEC/ISO Guide51:1999 涉及安全的内容 将安全内容纳入标准的指南(Safetyaspects-
3 定义和缩略语
GB/T 20438.4-2017界定的定义和缩略语适用于本文件。
4 标准的符合性
本部分对GB/T 20438的符合性要求,详见GB/T 20438.1-2017的第4章。
5 文档
本部分对文档的要求,详见GB/T 20438.1-2017的第5章。
6 安全相关软件管理的附加要求
6.1 目的
见GB/T 20438.1-2017中6.1。
6.2 要求
6.2.1 见GB/T 20438.1-2017中6.2,以下为附加要求。
6.2.2 功能安全计划应规定由E/E/PE安全相关系统执行安全功能的安全完整性等级所需的软件采
购、开发、集成、验证、确认和修改的策略。
注:该方法的理念是:考虑到E/E/PE安全相关系统执行每个安全功能所要求的安全完整性等级,用功能安全计划
作为对本部分进行定制使用的手段。
6.2.3 软件配置管理:
a) 应在整个软件安全生命周期中使用管理和技术控制以管理软件变更,从而保证安全相关软件
的规定要求始终能得到满足;
b) 应确保所有必需的操作已被执行以证明达到了所需的软件系统性能力;
c) 应准确地和带唯一标识地维护满足E/E/PE安全相关系统性安全完整性要求所必需的所有配
置项。配置项至少包括:安全分析和要求、软件规范和设计文档、软件源代码模块、测试计划和
结果、验证文档、将要被纳入E/E/PE安全相关系统的已有软件组件和软件包;所有用于创建、
测试或执行E/E/PE安全相关系统软件的工具和开发环境;
d) 应采用变更控制规程:
---防止非授权的修改;归档修改请求;
---分析建议修改的影响以批准或拒绝请求;
---归档所有准许修改的细节和授权;
---在软件开发阶段中的适当点建立配置基线,并归档基线的(部分)集成测试;
---确保所有软件基线的构成和建立(包括早期基线的重建)。
注1:为指导、加强管理和技术控制的使用,有必要进行管理决定和授权。
注2:一种极端情况,影响分析可能包括一次非正式的评估;另一种极端情况,影响分析可能包括针对所有可能被不
恰当地理解或执行的建议变更的潜在不利影响进行一次严格正式分析。见GB/T 20438.7影响分析指南。
e) 确保使用适当方法,正确地加载有效软件组件和数据到运行时系统;
注3:本条款可能包括对特定目标系统以及通用系统的考虑。非应用软件可能需要一种安全的加载方法,如:固件。
f) 应归档下列信息,以用于随后的功能安全审核:配置状态、发布状态、对所有修改的论证(考虑
影响分析)、批准和修改的详细情况;
g) 应正式归档安全相关软件的发布。软件的主要备份和所有有关文档和服务的数据版本在已发
布软件的操作生命周期内应被保存,以允许维护和修改。
注4:对于配置管理的更详细的信息,见GB/T 20438.7。
7 软件安全生命周期要求
7.1 概述
7.1.1 目的
7.1的目的是将软件开发纳入到已定义的各阶段和活动中(见表1、图3~图6)。
7.1.2 要求
7.1.2.1 软件开发的安全生命周期应在根据GB/T 20438.1-2017第6章的安全计划编制期间进行挑
选和规定。
7.1.2.2 只要本章的所有目的和要求都得到满足,可以使用任何的软件生命周期模型。
7.1.2.3 软件安全生命周期的每个阶段应分成若干基本活动,每个阶段应规定范围、输入和输出。
注:见图3、图4和表1。
7.1.2.4 只要软件安全生命周期满足表1要求,允许根据项目的安全完整性和复杂性对 V模型(见
图6)进行裁剪。
注1:满足本章要求的软件安全生命周期模型可按照项目或组织的需要适当定制。表1中生命周期各阶段的全部
列表更适用新开发的大型系统。对于小的系统,例如将软件系统设计和架构设计合并也是合适的。
......
|