GB/T 20438.3-2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求

ICS25.040N10中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20438.3-2006/IEC61508-3:1998電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分:軟件要求Functionalsafetyofelectricalelectronic/programmableelectroniesafety-relatedsystems-Part3：Softwarerequirements(IEC61508-3:1998,IDT)2006-07-25發(fā)布2007-01-01實(shí)施中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局愛(ài)布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T20438.3-2006/IEC61508-3:1998三次前言引言1范圍2規(guī)范性引用文件3定義和縮略語(yǔ)4標(biāo)準(zhǔn)的符合性56軟件質(zhì)量管理系統(tǒng)6.1日的6.2要求7軟件安全生命周期要求7.1-般要求…………7.2軟件安全要求規(guī)范7.3軟件安全確認(rèn)計(jì)劃編制·7.4軟件設(shè)計(jì)和開(kāi)發(fā)……117.5可編程電子集成(硬件和軟件）167.6軟件操作和修改程序·軟件安全確認(rèn)…7.7軟件修改………7.87.9軟件驗(yàn)證：··········．··················108功能安全評(píng)估….附錄A（規(guī)范性附錄）技術(shù)和措施選擇指南…附錄B（規(guī)范性附錄）詳細(xì)表格·28圖1B/T20438的總體框架圖2E/E/PE安全生命周期(實(shí)現(xiàn)階段)圖3軟件安全生命周期(實(shí)現(xiàn)階段）…圖4GB/T20438.2和GB/T20438.3的范圍及關(guān)系圖5軟件安全完整性的開(kāi)發(fā)生命周期(V模式）……圖6可可編程電子硬件和軟件結(jié)構(gòu)的關(guān)系…表1軟件安全生命周期：概述表Ａ.1軟件安全要求規(guī)范(見(jiàn)7.2）軟件設(shè)計(jì)和開(kāi)發(fā)：軟件結(jié)構(gòu)設(shè)計(jì)(見(jiàn)7.4.3）…·表A.224軟件設(shè)計(jì)和開(kāi)發(fā)：支持工具和編程語(yǔ)言（見(jiàn)7.4.4）表A.3軟件設(shè)計(jì)和開(kāi)發(fā)：詳細(xì)設(shè)計(jì)(見(jiàn)7.4.5和7.4.6）………表A.4表A.5軟件設(shè)計(jì)和開(kāi)發(fā)：軟件模塊測(cè)試和集成(見(jiàn)7.4.7和7.4.8）表A.6可編程電子集成（硬件和軟件）見(jiàn)7.5）…………….26

GB/T20438.3-2006/IEC61508-3：1998表A.7欽件安全確認(rèn)（見(jiàn)7.7）26表A.8修改(見(jiàn).8）……小表A.9軟件驗(yàn)證(見(jiàn)7.9）表A.10功能安全評(píng)估(見(jiàn)第8章）表B.1設(shè)計(jì)和編碼標(biāo)準(zhǔn)(參見(jiàn)表A.4)28表B.2動(dòng)態(tài)分析和測(cè)試(參見(jiàn)表A.5和表A.9）表B.3功能和黑盒測(cè)試(參見(jiàn)表A.5、表A.6和表A.7)29表B.4失效分析(參見(jiàn)表A.10)……表B.5建模(參見(jiàn)表A.7）…………29表B.6性能測(cè)試(參見(jiàn)表A.5和表八.6）………30表B.7半形式方法(參見(jiàn)表A.1、表A.2和表A.4）30表B8靜態(tài)分析（參見(jiàn)表.9）………………30表B.9模塊化方法(參見(jiàn)表A.4）

GB/T20438.3-2006/IEC61508-3：1998GB/T20438由下列7部分構(gòu)成：-第1部分：一般要求;第第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求：第3部分：軟件要求；第第4部分：定義和縮略語(yǔ)：第5部分：確定安全完整性等級(jí)的方法示例；第6部分：GB/T20438.2和GB/T20438.3的應(yīng)用指南；第7部分：技術(shù)和措施概述。本部分是GB/T20438的第3部分本部分等同采用國(guó)際標(biāo)準(zhǔn)IEC61508-3:1998《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分;軟件要求》(英文版)本部分的附錄A、附錄B為規(guī)范性附錄，本部分與IEC61508-3:1998在技術(shù)內(nèi)容上沒(méi)有差異.為便于使用做了下列編輯性修改：a）將"IEC61508”改為"GB/T20438”b）本"國(guó)際標(biāo)準(zhǔn)”一詞改為“本標(biāo)準(zhǔn)"C刪除國(guó)際標(biāo)準(zhǔn)中1.2的注2,因?yàn)榇俗⑺硎龅氖荌EC61508在美國(guó)和加拿大等國(guó)的應(yīng)用情況,與我國(guó)的實(shí)際不符，所以刪除。d）用小數(shù)點(diǎn)"."代替作為小數(shù)點(diǎn)的運(yùn)號(hào)"."。本部分由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出本部分由全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)歸口。本部分由機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所負(fù)責(zé)起草。本部分主要起草人：王莉、馮曉升、梅恪、鄭旭、歐陽(yáng)勁松等

GB/T20438.3-2006/IEC61508-3:1998由電氣和電子器件構(gòu)成的系統(tǒng)，多年來(lái)在許多領(lǐng)域中執(zhí)行其安全功能.以計(jì)算機(jī)為基礎(chǔ)的系統(tǒng)（-般指可編程電子系統(tǒng)（PES))在許多領(lǐng)域中用于非安全目的,但也越來(lái)越多地用于安全目的.為使計(jì)算機(jī)系統(tǒng)技術(shù)更有效安全地使用，有必要進(jìn)行安全方面的指導(dǎo)。GB/T20438針對(duì)由電氣或電子和可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PES)的整體安全生命周期，提出了一個(gè)通用的方法。建立統(tǒng)一的方法的目的是為了針對(duì)以電子為基礎(chǔ)的安全相關(guān)系統(tǒng)提出一種一致的、合理的技術(shù)方針.主要目標(biāo)是促進(jìn)應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的制定在許多情況下，可用多種基于不同技術(shù)的防護(hù)系統(tǒng)來(lái)保證安全(如機(jī)械的、液壓的、氣動(dòng)的、電氣的電子的、可編程電子的，等等)。從安全戰(zhàn)略角度，不僅要考慮各系統(tǒng)中元器件的問(wèn)題(如傳感器、控制器、執(zhí)行器等).而且要考慮構(gòu)成組合安全相關(guān)系統(tǒng)的所有安全相關(guān)系統(tǒng)。因此GB/T20438對(duì)電氣/電子/可編程電子(E/E/PE)安全相關(guān)系統(tǒng)進(jìn)行了規(guī)定。GB/T20438還提出了一個(gè)框架.在這個(gè)框架內(nèi)?；谄渌夹g(shù)的安全相關(guān)系統(tǒng)也可同時(shí)被考點(diǎn)進(jìn)去在各種應(yīng)用領(lǐng)域里，存在著許多潛在的危險(xiǎn)和風(fēng)險(xiǎn)，包含的復(fù)雜性也各不相同,從而需應(yīng)用不同的E/E/PES。對(duì)每個(gè)特定的應(yīng)用,則根據(jù)應(yīng)用的不同而確定所需的安全量。GB/T20438僅是使這些量值規(guī)范化。GB/T20438慮了當(dāng)使用E/E/PES執(zhí)行安全功能時(shí).所涉及到的整體安全生命周期、E/E/PES安全生命周期以及軟件生命周期的各階段(如初始構(gòu)思，整個(gè)設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行和維護(hù)到停用)。針對(duì)飛速發(fā)展的技術(shù)，建立一個(gè)足夠健壯而廣泛的能滿足今后發(fā)展需要的框架。有利于促進(jìn)E/E/PES安全相關(guān)系統(tǒng)在不同領(lǐng)域中相關(guān)標(biāo)準(zhǔn)的制定,各應(yīng)用領(lǐng)域和交叉應(yīng)用領(lǐng)域相關(guān)標(biāo)準(zhǔn)應(yīng)在GB/T20438的框架下制定，使之具有高水平的一致性(如基礎(chǔ)原理,術(shù)語(yǔ)等的一致性)并將既安全又經(jīng)濟(jì)。-為達(dá)到E/E/PE安全相關(guān)系統(tǒng)所需的功能安全，提供了編制安全要求規(guī)范的方法使用了一個(gè)安全完整性等級(jí),此安全完整性等級(jí)規(guī)定了E/E/PE安全相關(guān)系統(tǒng)要實(shí)現(xiàn)的安全功能的目標(biāo)安全完整性等級(jí)。采用了一種可確定安全完整性等級(jí)要求的基于風(fēng)險(xiǎn)的方案。建立了E/E/PE安全相關(guān)系統(tǒng)的數(shù)值目標(biāo)失效量，這些量都同安全完整性等級(jí)相聯(lián)系建立了危險(xiǎn)失效模式中目標(biāo)失效量的一個(gè)下限，此下限是對(duì)單一E/E/PE安全相關(guān)系統(tǒng)的要求。這些系統(tǒng)運(yùn)行在：低要求操作模式下,為了執(zhí)行它的設(shè)計(jì)功能.一旦要求時(shí),就把下限設(shè)定成平均失效概率為10-522）高要求操作模式或者連續(xù)操作模式下.下限設(shè)定成危險(xiǎn)失效概率為10-/h.注：?jiǎn)我籈/E/PE安全相關(guān)系統(tǒng)不一定是單通道結(jié)構(gòu)。采用廣泛的原理、技術(shù)和措施以達(dá)到E/E/PE安全相關(guān)系統(tǒng)的功能安全.但不使用失效-安全的概念.這個(gè)概念是在很好定義了失效模式,并且復(fù)雜性相對(duì)較低時(shí)的一個(gè)數(shù)值。由于E/E/PE安全相關(guān)系統(tǒng)的復(fù)雜性均在GB/T20438范圍之內(nèi).因此不適用失效-安全的概念

GB/T20438.3-2006/IEC61508-3：1998電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求范圍GB/T20438的本部分：使用應(yīng)建立在充分理解GB/T20438.1、GB/T20438.2的基礎(chǔ)上。適用于任何在GB/T20438.1、GB/T20438.2范圍內(nèi)構(gòu)成與安全相關(guān)系統(tǒng)的一部分有關(guān)的或用于開(kāi)發(fā)安全相關(guān)系統(tǒng)的軟件。這種軟件定義為安全軟件。安安全軟件包括操作系統(tǒng)、系統(tǒng)軟件、通信網(wǎng)絡(luò)中的軟件、人機(jī)界面功能、支持工具、固件以及應(yīng)用程序。應(yīng)應(yīng)用程序包括高級(jí)語(yǔ)言、低級(jí)語(yǔ)言程序和使用有限可變語(yǔ)言的特殊用途程序（見(jiàn)GB/T20438.4-2006的3.2.7。軟件安全功能和軟件安全完整性等級(jí)的要求應(yīng)明確注1：如果這一要求作為電氣/電子/可編程安全相關(guān)系統(tǒng)(見(jiàn)GB/T20438.2—2006的7.2)有一部分已提出.則在此處不需重復(fù)，注2：規(guī)定軟件安全功能和軟件安全完整性等級(jí)是一個(gè)重復(fù)的程序,見(jiàn)圖2和圖6注3：文檔結(jié)構(gòu)要求見(jiàn)GB/T20438.1—2006的第5章和GB/T20438.1—2006的附錄A。文檔結(jié)構(gòu)應(yīng)考慮公司規(guī)程和特殊應(yīng)用領(lǐng)域的工作實(shí)際情況。建立安全生命周期階段和在設(shè)計(jì)、開(kāi)發(fā)與安全有關(guān)的軟件(軟件安全生命周期軟件模塊)階段和行為的要求。這些要求包括根據(jù)安全完整性等級(jí)分等的、在軟件中用于避免和控制故障及失效的措施和技術(shù)的應(yīng)用。e）對(duì)向執(zhí)行電氣/電子/可編程集成的機(jī)構(gòu)提供與軟件安全性確認(rèn)有關(guān)的信息提出要求對(duì)操作和維護(hù)E/E/PE安全相關(guān)系統(tǒng)的用戶所需的與軟件有關(guān)的信息和規(guī)程的準(zhǔn)備提出要求。對(duì)修改與安全有關(guān)的軟件的機(jī)構(gòu)提出要求結(jié)合GB/T20438.1、GB/T20438.2提出對(duì)支持工具的要求.如設(shè)計(jì)開(kāi)發(fā)工具、語(yǔ)言翻譯器測(cè)試和調(diào)試工具、配置管理工具。住4：圖4和圖6表示了GB/T20438.2和GB/T20438.3之間的關(guān)系。1.2GB/T20438.1、GB/T20438.2.GB/T20438.3和GB/T20438.4是基礎(chǔ)的安全標(biāo)準(zhǔn),盡管它們不適用于簡(jiǎn)單E/E/PE安全相關(guān)系統(tǒng)（見(jiàn)GB/T20438.4—2006的3.4.4）.作為基礎(chǔ)的安全標(biāo)準(zhǔn),根據(jù)IEC導(dǎo)則104和ISO/IEC導(dǎo)則51中包含的原則,各技術(shù)委員會(huì)在起草標(biāo)準(zhǔn)時(shí)應(yīng)考慮使用這些標(biāo)準(zhǔn).因?yàn)榧夹g(shù)委員會(huì)的責(zé)任之一是在起草自己標(biāo)準(zhǔn)時(shí)凡是適用之處都應(yīng)貫徹基礎(chǔ)安全標(biāo)準(zhǔn)。GB/T20438同時(shí)也可作為獨(dú)立的標(biāo)準(zhǔn)去使用，1.3圖1表示了GB/T20438的整體框架同時(shí)明確了在達(dá)到E/E/P