GB/T 20438.3-2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求

ICS25040

N10.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T204383—2017/IEC61508-32010

.代替:

GB/T20438.3—2006

電氣/電子/可編程電子安全相關(guān)系統(tǒng)的

功能安全第3部分軟件要求

:

Functionalsafetyofelectrical/electronic/programmableelectronicsafety-related

sstems—Part3Softwarereuirements

y:q

(IEC61508-3:2010,IDT)

2017-12-29發(fā)布2018-07-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T204383—2017/IEC61508-32010

.:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………3

定義和縮略語

3……………4

標(biāo)準(zhǔn)的符合性

4……………4

文檔

5………………………4

安全相關(guān)軟件管理的附加要求

6…………4

目的

6.1…………………4

要求

6.2…………………4

軟件安全生命周期要求

7…………………5

概述

7.1…………………5

軟件安全要求規(guī)范

7.2…………………10

系統(tǒng)安全軟件方面的確認(rèn)計(jì)劃

7.3……………………13

軟件設(shè)計(jì)和開發(fā)

7.4……………………14

可編程電子集成硬件和軟件

7.5()……………………22

軟件操作和修改規(guī)程

7.6………………23

系統(tǒng)安全確認(rèn)的軟件方面

7.7…………23

軟件修改

7.8……………24

軟件驗(yàn)證

7.9……………26

功能安全評估

8……………29

附錄規(guī)范性附錄技術(shù)和措施選擇指導(dǎo)

A()……………30

附錄資料性附錄詳細(xì)表格

B()…………37

附錄資料性附錄軟件系統(tǒng)性能力的屬性

C()…………42

附錄規(guī)范性附錄符合項(xiàng)安全手冊軟件組件的附加要求

D()—………68

附錄資料性附錄和之間的關(guān)系

E()GB/T20438.2GB/T20438.3…………………70

附錄資料性附錄單計(jì)算機(jī)中各軟件組件間實(shí)現(xiàn)互不干擾的技術(shù)

F()………………72

附錄資料性附錄數(shù)據(jù)驅(qū)動系統(tǒng)的生命周期裁剪指南

G()……………76

參考文獻(xiàn)

……………………79

圖的整體框架

1GB/T20438……………2

圖整體安全生命周期

2……………………3

圖系統(tǒng)安全生命周期在實(shí)現(xiàn)階段

3E/E/PE()…………6

圖軟件安全生命周期在實(shí)現(xiàn)階段

4()……………………6

圖和的范圍和關(guān)系

5GB/T20438.2GB/T20438.3……………………7

Ⅰ

GB/T204383—2017/IEC61508-32010

.:

圖軟件系統(tǒng)性能力和開發(fā)生命周期模型

6(V)…………7

圖數(shù)據(jù)驅(qū)動系統(tǒng)的復(fù)雜度中的可變性

G.1……………76

表軟件安全生命周期概述

1:……………8

表軟件安全要求規(guī)范見

A.1(7.2)………………………30

表軟件設(shè)計(jì)和開發(fā)軟件架構(gòu)設(shè)計(jì)見

A.2:(7.4.3)……………………31

表軟件設(shè)計(jì)和開發(fā)支持工具和編程語言見

A.3:(7.4.4)……………32

表軟件設(shè)計(jì)和開發(fā)詳細(xì)設(shè)計(jì)見和

A.4:(7.4.57.4.6)…………………33

表軟件設(shè)計(jì)和開發(fā)軟件模塊測試和集成見和

A.5:(7.4.77.4.8)……34

表可編程電子集成硬件和軟件見

A.6()(7.5)…………34

表系統(tǒng)安全確認(rèn)的軟件方面見

A.7(7.7)………………35

表修改見

A.8(7.8)………………………35

表軟件驗(yàn)證見

A.9(7.9)…………………36

表功能安全評估見第章

A.10(6)………………………36

表設(shè)計(jì)和編碼標(biāo)準(zhǔn)

B.1…………………37

表動態(tài)分析和測試

B.2…………………37

表功能和黑盒測試

B.3…………………38

表失效分析

B.4…………………………38

表建模

B.5………………39

表性能測試

B.6…………………………39

表半形式化方法

B.7……………………39

表靜態(tài)分析

B.8…………………………40

表模塊化方法

B.9………………………41

表系統(tǒng)性安全完整性的屬性軟件安全要求規(guī)范

C.1—………………45

表系統(tǒng)性安全完整性的屬性軟件設(shè)計(jì)和開發(fā)軟件架構(gòu)設(shè)計(jì)

C.2——………………47

表系統(tǒng)性安全完整性的屬性軟件設(shè)計(jì)和開發(fā)支持工具和編程語言

C.3——………53

表系統(tǒng)性安全完整性的屬性軟件設(shè)計(jì)和開發(fā)詳細(xì)設(shè)計(jì)包括軟件系統(tǒng)設(shè)計(jì)軟件模塊

C.4——(、

設(shè)計(jì)和編碼

)………………………54

表系統(tǒng)性安全完整性的屬性軟件設(shè)計(jì)和開發(fā)軟件模塊測試和集成

C.5——………55

表系統(tǒng)性安全完整性的屬性可編程電子集成硬件和軟件

C.6—()…………………57

表系統(tǒng)性安全完整性的屬性系統(tǒng)安全確認(rèn)的軟件方面

C.7—………58

表系統(tǒng)性安全完整性屬性軟件修改

C.8—……………58

表系統(tǒng)性安全完整性的屬性軟件驗(yàn)證

C.9—…………60

表系統(tǒng)性安全完整性的屬性功能安全評估

C.10—……………………60

表詳細(xì)屬性設(shè)計(jì)和編碼標(biāo)準(zhǔn)

C.11—……………………61

表詳細(xì)屬性動態(tài)分析和測試

C.12—……………………62

表詳細(xì)屬性功能和黑盒測試

C.13—……………………63

表詳細(xì)屬性失效分析

C.14—……………64

表詳細(xì)屬性建模

C.15—…………………65

表詳細(xì)屬性性能測試

C.16—……………65

表詳細(xì)屬性半形式化方法

C.17—………………………65

Ⅱ

GB/T204383—2017/IEC61508-32010

.:

表系統(tǒng)性安全完整性的屬性靜態(tài)分析

C.18—…………66

表詳細(xì)屬性模塊化方法

C.19—…………67

表要求分類

E.1GB/T20438.2…………70

表的軟件相關(guān)要求及其與特定類型軟件的典型關(guān)聯(lián)

E.2GB/T20438.2……………70

表模塊耦合術(shù)語定義

F.1———…………73

表模塊耦合類型

F.2……………………74

Ⅲ

GB/T204383—2017/IEC61508-32010

.:

前言

電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全分為七個(gè)部分

GB/T20438《//》:

第部分一般要求

———1:;

第部分電氣電子可編程電子安全相關(guān)系統(tǒng)的要求

———2://;

第部分軟件要求

———3:;

第部分定義和縮略語

———4:;

第部分確定安全完整性等級的方法示例

———5:;

第部分和的應(yīng)用指南

———6:GB/T20438.2GB/T20438.3;

第部分技術(shù)和措施概述

———7:。

本部分為的第部分

GB/T204383。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分代替電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第部分

GB/T20438.3—2006《//3:

軟件要求與相比主要技術(shù)變化如下

》,GB/T20438.3—2006,:

增加了軟件系統(tǒng)性能力的屬性見附錄

———(C);

增加了符合項(xiàng)安全手冊軟件組件的附加要求見附錄

————(D);

增加了和之間的關(guān)系見附錄

———GB/T20438.2GB/T20438.3(E);

增加了單個(gè)計(jì)算機(jī)中各軟件組件間實(shí)現(xiàn)互不干擾的技術(shù)見附錄

———(F);

增加了數(shù)據(jù)驅(qū)動系統(tǒng)的生命周期剪裁指南見附錄

———(G)。

本部分使用翻譯法等同采用電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安

IEC61508-3:2010《//

全第部分軟件要求

3:》。

本部分由中國機(jī)械工業(yè)聯(lián)合會提出

。

本部分由全國工業(yè)過程測量控制和自動化標(biāo)準(zhǔn)化技術(shù)委員會歸口

(SAC/TC124)。

本部分起草單位機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所北京國電智深控制技術(shù)有限公司上海

:、、

工業(yè)自動化儀表研究院皮爾磁工業(yè)自動化貿(mào)易上海有限公司北京和利時(shí)系統(tǒng)工程有限公司歐姆

、()、、

龍自動化中國有限公司西門子中國有限公司上海中滬電子有限公司

()、()、。

本部分主要起草人馮曉升夏明熊文澤史學(xué)玲周有錚楊柳黃之炯羅安莊凌昀李佳劉曉東

:、、、、、、、、、、、

梅豪華镕張龍葉均褚衛(wèi)中裘坤孟鄒清肖家麒王德吉

、、、、、、、、。

本部分所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T20438.3—2006。

Ⅴ

GB/T204383—2017/IEC61508-32010

.:

引言

由電氣和電子器件構(gòu)成的系統(tǒng)多年來在許多應(yīng)用領(lǐng)域中執(zhí)行其安全功能以計(jì)算機(jī)為基礎(chǔ)的系

,。

統(tǒng)一般指可編程電子系統(tǒng)在其應(yīng)用領(lǐng)域中用于執(zhí)行非安全功能并且也越來越多地用于執(zhí)行安全功

(),

能如果要安全并有效地使用計(jì)算機(jī)技術(shù)有關(guān)決策者在安全方面有充足的指導(dǎo)并據(jù)此做出決定是十

。,

分必要的

。

針對由電氣和或電子和或可編程電子組件構(gòu)成的用來執(zhí)行安全功能的

GB/T20438//(E/E/PE)、

系統(tǒng)安全生命周期的所有活動提出了一個(gè)通用的方法采用統(tǒng)一的方法的目的是為了針對所有以電

,。

為基礎(chǔ)的安全相關(guān)系統(tǒng)提出一種一致的合理的技術(shù)方針主要目標(biāo)是促進(jìn)基于系列標(biāo)

、。GB/T20438

準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域國家標(biāo)準(zhǔn)的制定

。

注1在參考文獻(xiàn)中給出了基于系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的例子見參考文獻(xiàn)

:GB/T20438([1],[2],[3])。

在許多情況下可用多種基于不同技術(shù)如機(jī)械的液壓的氣動的電氣的電子的可編程電子的

,(、、、、、

等的系統(tǒng)來保證安全因而不得不考慮各類安全策略不僅要考慮單個(gè)系統(tǒng)中的所有組件的問題如

)。,(

傳感器控制器執(zhí)行器等還要考慮不同安全相關(guān)系統(tǒng)組合后的問題因此當(dāng)在關(guān)注電

、、),。GB/T20438

氣電子可編程電子安全相關(guān)系統(tǒng)的同時(shí)也提供了一個(gè)框架在這個(gè)框架內(nèi)基于其他技

//(E/E/PE),,,

術(shù)的安全相關(guān)系統(tǒng)也可被考慮進(jìn)去

。

在各種應(yīng)用領(lǐng)域里存在著許多潛在的危險(xiǎn)和風(fēng)險(xiǎn)包含的復(fù)雜性也各不相同從而需應(yīng)用不同的

,,,

安全相關(guān)系統(tǒng)對每個(gè)特定的應(yīng)用將根據(jù)特定應(yīng)用的許多因素來確定所需的安全措施

E/E/PE。,。

作為基本原則可在未來的產(chǎn)品和應(yīng)用領(lǐng)域國家標(biāo)準(zhǔn)制定和已有標(biāo)準(zhǔn)的修訂中規(guī)范這些措施

GB/T20438。

GB/T20438

考慮了當(dāng)使用系統(tǒng)執(zhí)行安全功能時(shí)所涉及的整體安全生命周期系統(tǒng)安全

———E/E/PE,、E/E/PE

生命周期以及軟件安全生命周期的各階段如初始概念整體設(shè)計(jì)實(shí)現(xiàn)運(yùn)行和維護(hù)到退役

(、、、);

針對飛速發(fā)展的技術(shù)建立一個(gè)足夠健全且廣泛滿足未來發(fā)展需求的框架

———,;

使涉及安全相關(guān)系統(tǒng)的產(chǎn)品和應(yīng)用領(lǐng)域的國家標(biāo)準(zhǔn)得以制定在的框

———E/E/PE;GB/T20438

架下產(chǎn)品和應(yīng)用領(lǐng)域的國家標(biāo)準(zhǔn)的制定在應(yīng)用領(lǐng)域和交叉應(yīng)用領(lǐng)域宜具有高度一致性如基

,(

本原理術(shù)語等這將既具有安全性又具有經(jīng)濟(jì)效益

,);;

為實(shí)現(xiàn)安全相關(guān)系統(tǒng)所需的功能安全提供了編制安全要求規(guī)范的方法

———E/E/PE,;

采用了一種可確定安全完整性要求的基于風(fēng)險(xiǎn)的方法

———;

引入安全完整性等級用于規(guī)定安全相關(guān)系統(tǒng)所要執(zhí)行的安全功能的目標(biāo)安全完整

———,E/E/PE

性等級

;

注2沒有規(guī)定每個(gè)安全功能的安全完整性等級的要求也沒有規(guī)定如何確定安全完整性等級而是

:GB/T20438,。

提供了一種基于風(fēng)險(xiǎn)概念的框架和技術(shù)范例

。

建立了安全相關(guān)系統(tǒng)執(zhí)行安全功能的目標(biāo)失效量這些量都同安全完整性等級相

———E/E/PE,

聯(lián)系

;

建立了單一安全相關(guān)系統(tǒng)執(zhí)行安全功能時(shí)目標(biāo)失效量的一個(gè)下限值這些

———E/E/PE,。E/E/

安全相關(guān)系統(tǒng)運(yùn)行在

PE:

低要求運(yùn)行模式下下限設(shè)定成要求時(shí)危險(xiǎn)失效平均概率為-5

———,10;

高要求或連續(xù)運(yùn)行模式下下限設(shè)定成危險(xiǎn)失效平均頻率為-9

———,10/h。

注3單一安全相關(guān)系統(tǒng)不一定是單通道架構(gòu)

:E/E/PE。

注4對于非復(fù)雜系統(tǒng)通過安全相關(guān)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)更優(yōu)目標(biāo)安全完整性是可能的但對于相對復(fù)雜的系統(tǒng)例

:,。(

如可編程電子安全相關(guān)系統(tǒng)這些限值代表了目前能夠達(dá)到的水平

),。

Ⅵ

GB/T204383—2017/IEC61508-32010

.:

基于工業(yè)實(shí)踐中獲取的經(jīng)驗(yàn)和判斷設(shè)定了避免和控制系統(tǒng)性故障的要求即使發(fā)生系統(tǒng)性故

———,;

障的可能性一般不能量化但允許為一個(gè)特定的安全功能做出聲明即如果標(biāo)準(zhǔn)

,GB/T20438,

中的所有要求都滿足認(rèn)為與安全功能相關(guān)的目標(biāo)失效量已達(dá)到

,;

引入了系統(tǒng)性能力該能力表明一個(gè)組件為滿足規(guī)定的安全完整性等級要求時(shí)系統(tǒng)性安全完

———,,

整性的置信度

;

采用多種原理技術(shù)和措施以實(shí)現(xiàn)安全相關(guān)系統(tǒng)的功能安全但沒有明確地使用失

———、E/E/PE,

效安全的概念然而如果能夠滿足標(biāo)準(zhǔn)中相關(guān)條款的要求則失效安全的概念和本質(zhì)

-。,,“-”“

安全原則可能被應(yīng)用并且采用這些概念是可接受的

”,。

Ⅶ

GB/T204383—2017/IEC61508-32010

.:

電氣/電子/可編程電子安全相關(guān)系統(tǒng)的

功能安全第3部分軟件要求

:

1范圍

11的本部分

.GB/T20438:

應(yīng)建立在充分理解和的基礎(chǔ)上使用

a)GB/T20438.1GB/T20438.2;

適用于在和范圍內(nèi)構(gòu)成安全相關(guān)系統(tǒng)的一部分或用于開發(fā)安

b)GB/T20438.1GB/T20438.2

全相關(guān)系統(tǒng)的任何軟件這種軟件定義為安全相關(guān)軟件安全相關(guān)軟件包括操作系統(tǒng)系統(tǒng)軟

。(、

件通信網(wǎng)絡(luò)中的軟件人機(jī)界面功能固件以及應(yīng)用軟件

、、、);

提供適用于在和范圍內(nèi)開發(fā)和配置安全相關(guān)系統(tǒng)的支持工具

c)GB/T20438.1GB/T20438.2

的特定要求

;

要求規(guī)定軟件安全功能和軟件系統(tǒng)性能力

d);

注1如果這一要求作為電氣電子可編程電子安全相關(guān)系統(tǒng)規(guī)范見中的一部分已提

://(GB/T20438.2—20177.2)

出則在此處不需重復(fù)

,。

注2規(guī)定軟件安全功能和軟件系統(tǒng)性能力是一個(gè)反復(fù)的過程見圖和圖

:,36。

注3文檔結(jié)構(gòu)要求見的第章和附錄文檔結(jié)構(gòu)可能要考慮公司規(guī)程和特殊應(yīng)用領(lǐng)域的

:GB/T20438.1—20175A。

工作實(shí)際情況

。

注4關(guān)于術(shù)語系統(tǒng)性能力的定義見的

:“”GB/T20438.4—2017