GB∕T 20438.3-2017 電氣∕電子∕可編程電子安全相關(guān)系統(tǒng)的功能安全 第3部分：軟件要求

ICS25.040GB/T20438.3—2代替GB/T20438.3—2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求(IEC61508-3:2010,IDT)IGB/T20438.3—2017/IEC61508-3:2010 V 1 33定義和縮略語 44標(biāo)準(zhǔn)的符合性 4 46安全相關(guān)軟件管理的附加要求 4 4 4 5 57.2軟件安全要求規(guī)范 7.3系統(tǒng)安全軟件方面的確認(rèn)計劃 7.4軟件設(shè)計和開發(fā) 7.5可編程電子集成(硬件和軟件) 7.6軟件操作和修改規(guī)程 7.7系統(tǒng)安全確認(rèn)的軟件方面 7.8軟件修改 7.9軟件驗證 8功能安全評估 附錄A(規(guī)范性附錄)技術(shù)和措施選擇指導(dǎo) 附錄B(資料性附錄)詳細(xì)表格 附錄C(資料性附錄)軟件系統(tǒng)性能力的屬性 附錄D(規(guī)范性附錄)符合項安全手冊—軟件組件的附加要求 附錄E(資料性附錄)GB/T20438.2和GB/T20438.3之間的關(guān)系 附錄F(資料性附錄)單計算機(jī)中各軟件組件間實現(xiàn)互不干擾的技術(shù) 附錄G(資料性附錄)數(shù)據(jù)驅(qū)動系統(tǒng)的生命周期裁剪指南 2圖2整體安全生命周期 3圖3E/E/PE系統(tǒng)安全生命周期(在實現(xiàn)階段) 6圖4軟件安全生命周期(在實現(xiàn)階段) 6 7ⅡGB/T20438.3—2017/IEC61508-3:2010圖6軟件系統(tǒng)性能力和開發(fā)生命周期(V模型) 7圖G.1數(shù)據(jù)驅(qū)動系統(tǒng)的復(fù)雜度中的可變性 表1軟件安全生命周期：概述 8表A.1軟件安全要求規(guī)范(見7.2) 表A.2軟件設(shè)計和開發(fā)：軟件架構(gòu)設(shè)計 表A.3軟件設(shè)計和開發(fā)：支持工具和編程語言(見7.4.4) 表A.4軟件設(shè)計和開發(fā)：詳細(xì)設(shè)計(見7.4.5和7.4.6) 表A.6可編程電子集成(硬件和軟件)(見7.5) 表A.7系統(tǒng)安全確認(rèn)的軟件方面(見7.7) 表A.8修改(見7.8) 表A.9軟件驗證(見7.9) 表A.10功能安全評估(見第6章) 表B.1設(shè)計和編碼標(biāo)準(zhǔn) 表B.2動態(tài)分析和測試 表B.3功能和黑盒測試 表B.4失效分析 表B.5建模 表B.6性能測試 表B.7半形式化方法 表B.8靜態(tài)分析 表C.1系統(tǒng)性安全完整性的屬性—軟件安全要求規(guī)范 表C.2系統(tǒng)性安全完整性的屬性—軟件設(shè)計和開發(fā)—軟件架構(gòu)設(shè)計 表C.3系統(tǒng)性安全完整性的屬性—軟件設(shè)計和開發(fā)—支持工具和編程語言 表C.4系統(tǒng)性安全完整性的屬性—軟件設(shè)計和開發(fā)一詳細(xì)設(shè)計(包括軟件系統(tǒng)設(shè)計、軟件模塊設(shè)計和編碼) 表C.5系統(tǒng)性安全完整性的屬性—軟件設(shè)計和開發(fā)—軟件模塊測試和集成 表C.6系統(tǒng)性安全完整性的屬性—可編程電子集成(硬件和軟件) 表C.7系統(tǒng)性安全完整性的屬性—系統(tǒng)安全確認(rèn)的軟件方面 表C.8系統(tǒng)性安全完整性屬性—軟件修改 表C.9系統(tǒng)性安全完整性的屬性—軟件驗證 表C.10系統(tǒng)性安全完整性的屬性—功能安全評估 表C.11詳細(xì)屬性—設(shè)計和編碼標(biāo)準(zhǔn) 表C.12詳細(xì)屬性—動態(tài)分析和測試 表C.13詳細(xì)屬性—功能和黑盒測試 表C.14詳細(xì)屬性—失效分析 表C.15詳細(xì)屬性—建模 表C.16詳細(xì)屬性—性能測試 表C.17詳細(xì)屬性—半形式化方法 ⅢGB/T20438.3—2017/IEC61508-3:2010表C.18系統(tǒng)性安全完整性的屬性一靜態(tài)分析 表C.19詳細(xì)屬性—模塊化方法 表E.1GB/T20438.2要求分類 表F.2模塊耦合類型 VGB/T20438.3—2017/IEC61508-3:2010——第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求；——第4部分：定義和縮略語；——第5部分：確定安全完整性等級的方法示例；——第6部分：GB/T20438.2和GB/T20438.3的應(yīng)用指南；——第7部分：技術(shù)和措施概述。本部分為GB/T20438的第3部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。本部分代替GB/T20438.3—2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：——增加了軟件系統(tǒng)性能力的屬性(見附錄C);——增加了符合項安全手冊—軟件組件的附加要求(見附錄D);——增加了GB/T20438.2和GB/T20438.3之間的關(guān)系(見附錄E);——增加了單個計算機(jī)中各軟件組件間實現(xiàn)互不干擾的技術(shù)(見附錄F);——增加了數(shù)據(jù)驅(qū)動系統(tǒng)的生命周期剪裁指南(見附錄G)。本部分使用翻譯法等同采用IEC61508-3:2010《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求》。本部分由中國機(jī)械工業(yè)聯(lián)合會提出。本部分由全國工業(yè)過程測量控制和自動化標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC124)歸口。本部分所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為：——GB/T20438.3—2006。GB/T20438.3—2017/IEC61508-3:2010由電氣和電子器件構(gòu)成的系統(tǒng)，多年來在許多應(yīng)用領(lǐng)域中執(zhí)行其安全功能。以計算機(jī)為基礎(chǔ)的系統(tǒng)(一般指可編程電子系統(tǒng))在其應(yīng)用領(lǐng)域中用于執(zhí)行非安全功能，并且也越來越多地用于執(zhí)行安全功能。如果要安全并有效地使用計算機(jī)技術(shù)，有關(guān)決策者在安全方面有充足的指導(dǎo)并據(jù)此做出決定是十分必要的。GB/T20438針對由電氣和/或電子和/或可編程電子(E/E/PE)組件構(gòu)成的、用來執(zhí)行安全功能的系統(tǒng)安全生命周期的所有活動，提出了一個通用的方法。采用統(tǒng)一的方法的目的是為了針對所有以電為基礎(chǔ)的安全相關(guān)系統(tǒng)提出一種一致的、合理的技術(shù)方針。主要目標(biāo)是促進(jìn)基于GB/T20438系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域國家標(biāo)準(zhǔn)的制定。注1:在參考文獻(xiàn)中給出了基于GB/T20438系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的例子(見參考文獻(xiàn)[1],[2],[3])。等)的系統(tǒng)來保證安全。因而不得不考慮各類安全策略，不僅要考慮單個系統(tǒng)中的所有組件的問題(如術(shù)的安全相關(guān)系統(tǒng)也可被考慮進(jìn)去。E/E/PE安全相關(guān)系統(tǒng)。對每個特定的應(yīng)用，將根據(jù)特定應(yīng)用的許多因素來確定所需的安全措施。GB/T20438——使涉及E/E/PE安全相關(guān)系統(tǒng)的產(chǎn)品和應(yīng)用領(lǐng)域的國家標(biāo)準(zhǔn)得以制定；在GB/T20438的框——為實現(xiàn)E/E/PE安全相關(guān)系統(tǒng)所需的功能安全，提供了編制安全要求規(guī)范的方法；——采用了一種可確定安全完整性要求的基于風(fēng)險的方法；——引入安全完整性等級，用于規(guī)定E/E/PE安全相關(guān)系統(tǒng)所要執(zhí)行的安全功能的目標(biāo)安全完整注2:GB/T20438沒有規(guī)定每個安全功能的安全完整性等級的要求，也沒有規(guī)定如何確定安全完整性等級。而是提供了一種基于風(fēng)險概念的框架和技術(shù)范例?！⒘薊/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能的目標(biāo)失效量，這些量都同安全完整性等級相聯(lián)系；——建立了單一E/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能時，目標(biāo)失效量的一個下限值。這些E/E/PE安全相關(guān)系統(tǒng)運(yùn)行在：——低要求運(yùn)行模式下，下限設(shè)定成要求時危險失效平均概率為10-5;——高要求或連續(xù)運(yùn)行模式下，下限設(shè)定成危險失效平均頻率為10-?/h。注3:單一E/E/PE安全相關(guān)系統(tǒng)不一定是單通道架構(gòu)。注4:對于非復(fù)雜系統(tǒng)，通過安全相關(guān)系統(tǒng)的設(shè)計實現(xiàn)更優(yōu)目標(biāo)安全完整性是可能的。但對于相對復(fù)雜的系統(tǒng)(例如可編程電子安全相關(guān)系統(tǒng)),這些限值代表了目前能夠達(dá)到的水平。VGB/T20438.3—2017/IEC61508-3:2010——采用多種原理、技術(shù)和措施以實現(xiàn)E/E/PE安全相關(guān)系統(tǒng)的功能安全，但沒有明確地使用失V1GB/T20438.3—2017/IEC61508-3:2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求1.1GB/T20438的本部分：a)應(yīng)建立在充分理解GB/T20438.1和GB/T20438.2的基礎(chǔ)上使用；b)適用于在GB/T20438.1和GB/T20438.2范圍內(nèi)構(gòu)成安全相關(guān)系統(tǒng)的一部分或用于開發(fā)安c)提供適用于在GB/T20438.1和GB/T20438.2范圍內(nèi)開發(fā)和配置安全相關(guān)系統(tǒng)的支持工具注1:如果這一要求作為電氣/電子/可編程電子安全相關(guān)系統(tǒng)規(guī)范(見GB/T20438.2—2017中7.2)的一部分已提注2:規(guī)定軟件安全功能和軟件系統(tǒng)性能力是一個反復(fù)的過程，見圖3和圖6。注3:文檔結(jié)構(gòu)要求見GB/T20438.1—2017的第5章和附錄A。文檔結(jié)構(gòu)可能要考慮公司規(guī)程和特殊應(yīng)用領(lǐng)域的工作實際情況。i)結(jié)合GB/T20438.1和GB/T20438.2,提出對支持工具的要求注5:圖5表示了GB/T20438.2和GB/T20438.3之間的關(guān)系。j)不適用于符合IEC60601系列的醫(yī)療設(shè)備。委員會可以在IEC指南104和ISO/IEC指南51的指導(dǎo)下制定相關(guān)標(biāo)準(zhǔn)時使用。GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4也可作為獨立標(biāo)準(zhǔn)來使用。GB/T20438的橫向安全1.4圖1表示了GB/T20438的整體框架，同時明確了本部分在實現(xiàn)E/E/PE安全相關(guān)系統(tǒng)功能安全2GB/T20438.3—2017/IEC61508-3:2010第1部分編制整體安全要求(概念、范圍、定7.1～7.5第1部分系統(tǒng)7.6第1部分7.10第2部分E/E/PE安全相段第3部分安全相關(guān)軟件第1部分第1部分第5部分第6部分第2部分和第3部第7部分20438的整體框架第4部分第1部分第5章和附錄A第1部分第1部分3GB/T20438.3—2017/IEC61508-3:2010677注：整體89命周期)16退役或處置2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T20438.1—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求(IEC61508-1:2010,IDT)GB/T20438.2—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求(IEC61508-2:2010,IDT)GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義及縮略4GB/T20438.3—2017/IEC61508-3:2010語(IEC61508-4:2010,IDT)IECGuide104:1997安全出(Thepreparationofsafetypublicationsandtheuseofbasicsafetypublicationsandgroupsafetypubli-涉及安全的內(nèi)容將安全內(nèi)容納入標(biāo)準(zhǔn)的指南(Safetyaspects—GuidelinesfortheirinclusioninstaGB/T20438.4—2017界定的定義和縮略語適用于本文件。本部分對GB/T20438的符合性要求，詳見GB/T20438.1—2017的第4章。本部分對文檔的要求，詳見GB/T20438.1—2017的第5章。見GB/T20438.1—2017中6.1。6.2.1見GB/T20438.1—2017中6.2,以下為附加要求。6.2.2功能安全計劃應(yīng)規(guī)定由E/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能的安全完整性等級所需的軟件采5GB/T20438.3—2017/IEC61508-3:2010注1:為指導(dǎo)、加強(qiáng)管理和技術(shù)控制的使用，有必要進(jìn)行管理決定和授權(quán)。注2:一種極端情況，影響分析可能包括一次非正式的評估；另一種極端情況，影響分析可能包括針對所有可能被不恰當(dāng)?shù)乩斫饣驁?zhí)行的建議變更的潛在不利影響進(jìn)行一次嚴(yán)格正式分析。見GB/T20438.7影響分析指南。注3:本條款可能包括對特定目標(biāo)系統(tǒng)以及通用系統(tǒng)的考慮。非應(yīng)用軟件可能需要一種安全的加載方法，如：固件。g)應(yīng)正式歸檔安全相關(guān)軟件的發(fā)布。軟件的主要備份和所有有關(guān)文檔和服務(wù)的數(shù)據(jù)版本在已發(fā)注4:對于配置管理的更詳細(xì)的信息，見GB/T20438.7。7軟件安全生命周期要求7.1的目的是將軟件開發(fā)納入到已定義的各階段和活動中(見表1、圖3～圖6)。7.1.2.1軟件開發(fā)的安全生命周期應(yīng)在根據(jù)GB/T20438.1—2017第6章的安全計劃編制期間進(jìn)行挑選和規(guī)定。注：見圖3、圖4和表1。7.1.2.4只要軟件安全生命周期滿足表1要求，允許根據(jù)項目的安全完整性和復(fù)雜性對V模型(見圖6)進(jìn)行裁剪。注1:滿足本章要求的軟件安全生命周期模型可按照項目或組織的需要適當(dāng)定制。表1中生命周期各階段的全部列表更適用新開發(fā)的大型系統(tǒng)。對于小的系統(tǒng)，例如將軟件系統(tǒng)設(shè)計和架構(gòu)設(shè)計合并也是合適的。注2:數(shù)據(jù)驅(qū)動系統(tǒng)特性(例如：全可變/有限可變編程語言、數(shù)據(jù)配置的程度)見附錄G,這些特性在定制軟件安全生命周期時可能是相關(guān)的。7.1.2.5軟件安全生命周期的定制應(yīng)基于功能安全進(jìn)行論證。7.1.2.6質(zhì)量和安全保證規(guī)程應(yīng)該集成到安全生命周期活動中。7.1.2.7對生命周期的每個階段，應(yīng)使用適當(dāng)?shù)募夹g(shù)和措施。附錄A和附錄B提供了選擇技術(shù)和措施的指南，并參考GB/T20438.6和GB/T20438.7。GB/T20438.6和GB/T20438.7給出了達(dá)到系統(tǒng)性安全完整性要求屬性的特定技術(shù)推薦。僅從這些推薦中選擇技術(shù)不能保證就實現(xiàn)了要求的安全完注：成功實現(xiàn)系統(tǒng)性安全完整性依賴于在選擇技術(shù)時考慮如下因素：——為整個開發(fā)周期選擇的方法、語言和工具的一致性和互補(bǔ)性；——開發(fā)者是否完全理解使用方法、語言和工具； 在開發(fā)期間.方法、語言和工具是否對遇到的特定問題有很好的適用性7.1.2.8軟件安全生命周期中的活動結(jié)果應(yīng)歸檔(見第5章)。注：GB/T20438.1—2017第5章考慮了安全生命周期各階段輸出的文檔。在E/E/PE安全相關(guān)系統(tǒng)的開發(fā)中，某些安全生命周期階段的輸出文檔可能是單獨的，而一些階段的輸出文檔可能是合并的。本質(zhì)的要求是安全生命周期階段的輸出與預(yù)期目的相匹配。注：一種極端情況，影響分析可能包括一次非正式的評估；另一種極端情況，影響分析可能包括針對所有可能被不恰當(dāng)?shù)乩斫饣驁?zhí)行的建議變更的潛在不利影響進(jìn)行一次嚴(yán)格正式分析。見GB/T20438.7影響分析指南。6至圖2方框14至圖2方框14GB/T20438.3—2017/IEC61508-3:2010圖2的方框10周期)計劃編制計劃編制至圖2方框12至圖2方框12(見圖3)PE集成(硬件和軟件)10.6系統(tǒng)安全確認(rèn)的軟件部分至圖2方框14至圖2方框12圖4軟件安全生命周期(在實現(xiàn)階段)7GB/T20438.3—2017/IEC61508-3:2010第2部分的范圍第2部分的范圍可編程電子集成(硬件和軟件)設(shè)計和開發(fā)確認(rèn)確認(rèn)設(shè)計編碼經(jīng)確認(rèn)的軟件要求規(guī)范(模塊)輸出驗證圖6軟件系統(tǒng)性能力和開發(fā)生命周期(V模型)8GB/T20438.3—2017/IEC61508-3:2010安全生命周期階段范圍要求所在的條款輸入(要求的信息)輸出(產(chǎn)生的信息)圖4中的方框號標(biāo)題軟件安全要求規(guī)范根據(jù)軟件安全功能要求和軟件系統(tǒng)性能力要求規(guī)定軟件安全要求；對每個需要執(zhí)行一定安全功能的E/E/PE安全相關(guān)系統(tǒng)規(guī)定軟件安全功能的要求；規(guī)定每一個E/E/PE安全相關(guān)系統(tǒng)對于軟件系統(tǒng)性能力的要求，以保證獲得這一E/E/PE系統(tǒng)分配的每一安全功能需達(dá)到的安全完整性等級PE系統(tǒng)；軟件系統(tǒng)7.2.2在分配階段生成的E/E/PE安全要求規(guī)范(見GB/T20438.1)GB/T20438.2)軟件安全要求規(guī)范系統(tǒng)安全軟件部分的確認(rèn)計劃編制系統(tǒng)安全的軟件確認(rèn)計劃PE系統(tǒng)；軟件系統(tǒng)7.3.2軟件安全要求規(guī)范系統(tǒng)安全軟件部分的確認(rèn)計劃軟件設(shè)計和開發(fā)架構(gòu)：創(chuàng)建軟件架構(gòu)，滿足不同的安全完整性等級中對軟件安全規(guī)定要求；評價E/E/PE安全相關(guān)系統(tǒng)硬件架構(gòu)對軟件的要求，包括E/E/PE中軟件/硬件相互作用對受控設(shè)備安全性的影響。PE系統(tǒng)；軟件系統(tǒng)7.4.3軟件安全要求規(guī)范；GB/T20438.2)軟件架構(gòu)設(shè)計；軟件架構(gòu)集成測試軟件/可編程電子集GB/T20438.2中也做了要求)軟件設(shè)計和開發(fā)支持工具和編程語言：在用于輔助驗證、確認(rèn)、評估和修改的軟件整個生命周期中，根據(jù)要求的安全完整性等級選擇合適的工具集，包括語言和編譯器、運(yùn)行時系統(tǒng)接口、用戶界面、數(shù)據(jù)格式和表現(xiàn)形式PE系統(tǒng)；軟件系統(tǒng)；支持工具；編程語言。7.4.4軟件安全要求規(guī)范；軟件架構(gòu)設(shè)計開發(fā)工具的選擇軟件設(shè)計和開發(fā)詳細(xì)設(shè)計和開發(fā)(軟件系統(tǒng)設(shè)計):設(shè)計和實現(xiàn)軟件，以滿足要求的安全完整性等級對安全相關(guān)軟件規(guī)定的要證并能被安全地修改軟件架構(gòu)設(shè)計的主要組件和子系統(tǒng)7.4.5軟件架構(gòu)設(shè)計；規(guī)范9GB/T20438.3—2017/IEC61508-3:2010表1(續(xù))安全生命周期階段范圍要求所在的條款輸入(要求的信息)輸出(產(chǎn)生的信息)圖4中的方框號標(biāo)題軟件設(shè)計和開發(fā)詳細(xì)設(shè)計和開發(fā)(單個軟件模塊設(shè)計):設(shè)計和實現(xiàn)軟件，以滿足要求的安全完整性等級對安全相關(guān)軟件規(guī)定的要證并能被安全地修改軟件系統(tǒng)設(shè)計7.4.5軟件系統(tǒng)設(shè)計規(guī)范；支持工具和編碼標(biāo)準(zhǔn)軟件設(shè)計和開發(fā)詳細(xì)代碼實現(xiàn)：設(shè)計和實現(xiàn)軟件，以滿足要求的安全完整性等級對安全相關(guān)軟件規(guī)定的要證并能被安全地修改單個軟件模塊7.4.6軟件模塊設(shè)計規(guī)范；支持工具和編碼標(biāo)準(zhǔn)源代碼清單；代碼復(fù)審報告軟件設(shè)計和開發(fā)軟件模塊測試：驗證對安全相關(guān)軟件的要求已實現(xiàn)(根據(jù)要求的軟件安全功能和軟件系統(tǒng)性能力)。說明每一軟件模塊以實現(xiàn)其預(yù)定的功能，而不實現(xiàn)非預(yù)定的功能。在適用的范圍內(nèi)，確保用數(shù)據(jù)配置PE系統(tǒng)能滿足軟件系統(tǒng)性能力的特定要求軟件模塊7.4.7軟件模塊測試規(guī)范；源代碼清單；代碼復(fù)審報告軟件設(shè)計和開發(fā)軟件集成測試：驗證對安全相關(guān)軟件的要求已實現(xiàn)(根據(jù)要求的軟件安全功能和軟件系統(tǒng)性能力)。說明所有軟件模塊、組件和子系統(tǒng)相互正確作用以實現(xiàn)其預(yù)定的功能，而不實現(xiàn)非預(yù)定的功能。在適用的范圍內(nèi)，確保用數(shù)據(jù)配置PE系統(tǒng)能滿足軟件系統(tǒng)性能力的特定要求軟件架構(gòu)；軟件系統(tǒng)7.4.8軟件系統(tǒng)集成測試規(guī)范軟件系統(tǒng)集成測試經(jīng)驗證和測試的軟GB/T20438.3—2017/IEC61508-3:2010表1(續(xù))安全生命周期階段范圍要求所在的條款輸入(要求的信息)輸出(產(chǎn)生的信息)圖4中的方框號標(biāo)題可編程電子集成(硬件和軟件)在目標(biāo)可編程電子硬件上集成軟件；將軟件和硬件結(jié)合到安全相關(guān)的可編程電子上以保證其兼容性和滿足預(yù)定安全完整性等級的要求?？删幊屉娮佑布?；集成的軟件7.5.2軟件架構(gòu)集成測試軟件/PE集成測試規(guī)范(在GB/T20438.2中也做了要求);集成的可編程電子軟件架構(gòu)集成測試可編程電子集成測經(jīng)驗證和測試的集成可編程電子軟件運(yùn)行和修改規(guī)程提供軟件有關(guān)的信息和規(guī)程以保持運(yùn)行和修改階段中E/E/PE安全相關(guān)系統(tǒng)的功能安全。同上7.6.2與上面所有內(nèi)容相關(guān)的規(guī)程系統(tǒng)安全確方面保證集成的系統(tǒng)符合安全相關(guān)軟件在預(yù)定安全完整性等級下的規(guī)定要求同上7.7.2系統(tǒng)安全的軟件確認(rèn)計劃軟件安全確認(rèn)結(jié)果；軟件修改修正、增強(qiáng)或調(diào)整確認(rèn)軟件以保證維持所要求的軟件系統(tǒng)性能力同上7.8.2軟件修改規(guī)程；軟件修改請求軟件修改影響分析軟件修改日志軟件驗證測試和評價給定軟件安全生命周期階段的輸出，以保證當(dāng)輸入該階段時提供的輸出與標(biāo)準(zhǔn)的正確性和一致性。根據(jù)階段7.9.2適當(dāng)?shù)尿炞C計劃(根據(jù)階段)適當(dāng)?shù)尿炞C報告(根據(jù)階段)軟件功能安全評估調(diào)查并對E/E/PE安全相關(guān)系統(tǒng)所實現(xiàn)的功能安全的軟件方面作出判斷所有以上階段8軟件功能安全評估計劃軟件功能安全評估報告GB/T20438.3—2017/IEC61508-3:2010統(tǒng)性能力的要求。注1:這些要求大多情況下可由通用嵌入式軟件和特定應(yīng)用軟件共同滿足。要求兩者結(jié)合來提供滿足下列條款的特性。兩者之間的精確劃分依據(jù)所選擇的軟件架構(gòu)(見7.4.3)。注2:為了選擇合適的技術(shù)和措施(見附錄A和B)來執(zhí)行7.2的要求，宜考慮如下的軟件安全要求規(guī)范的屬性(屬性的解釋指南見附錄C和GB/T20438.7—2017附錄F非正式定義):——需要由軟件來確保安全方面的完整性；——需要由軟件來確保安全方面的正確性； 安全要求的可理解性；——沒有非安全功能對由軟件來確保安全的不利干擾；——為驗證和確認(rèn)提供基礎(chǔ)的能力。注3:由軟件提供的安全是一組安全功能與相應(yīng)安全完整性要求，上述內(nèi)容是通過E/E/PE系統(tǒng)的設(shè)計分配給軟件功能的。(系統(tǒng)安全要求的完整集是一個更大的集，也包括不依靠軟件的安全功能)。軟件安全要求規(guī)范的完整性非常依賴早期的系統(tǒng)生命周期階段的有效性。7.2.2.1如果安全相關(guān)軟件的要求已在E/E/PE安全相關(guān)系統(tǒng)的要求中規(guī)定(見GB/T20438.2—2017中第7章),則在軟件安全要求規(guī)范中不必重復(fù)。7.2.2.2安全相關(guān)軟件要求規(guī)范應(yīng)由E/E/PE安全相關(guān)系統(tǒng)規(guī)定的安全要求(見GB/T20438.2—2017第7章)和任何安全計劃的要求(見第6章)中得出，軟件開發(fā)人員應(yīng)能獲取這些信息。注1:這一要求并不意味著E/E/PE系統(tǒng)開發(fā)人員和軟件開發(fā)人員之間沒有反復(fù)(GB/T20438.2和GB/T20438.3),當(dāng)安全相關(guān)軟件要求和軟件架構(gòu)變得更加精確時，將會對E/E/PE系統(tǒng)硬件架構(gòu)產(chǎn)生影響，因此軟件和硬件開發(fā)人員之間的密切合作就變得非常必要了，見圖5。注2:軟件設(shè)計包含已有重復(fù)使用軟件時，原軟件的開發(fā)可能沒有考慮當(dāng)今系統(tǒng)要求規(guī)范。對已有軟件滿足軟件安全要求規(guī)范的要求見7.4.2.12。7.2.2.3安全相關(guān)軟件要求規(guī)范應(yīng)足夠細(xì)致以使設(shè)計和實施能達(dá)到要求的安全完整性(包括獨立性要措施。注：軟件獨立性實現(xiàn)技術(shù)見附錄F。a)安全功能；b)系統(tǒng)配置或架構(gòu)；c)硬件安全完整性要求(可編程電子、傳感器和執(zhí)行器);d)軟件系統(tǒng)性能力要求；e)容量和響應(yīng)時間；注：宜考慮與已有應(yīng)用相兼容。7.2.2.6如果沒有在E/E/PE安全相關(guān)系統(tǒng)的規(guī)定安全要求中充分定義，EUC、E/E/PE系統(tǒng)以及連接到E/E/PE系統(tǒng)的其他設(shè)備或系統(tǒng)的所有相關(guān)運(yùn)行模式應(yīng)在規(guī)定的安全相關(guān)軟件要求中詳細(xì)說明。7.2.2.7軟件安全要求規(guī)范應(yīng)該規(guī)定和歸檔軟硬件之間的所有安全相關(guān)的或有關(guān)的約束。GB/T20438.3—2017/IEC61508-3:2010a)軟件自監(jiān)視(例子見GB/T20438.7);e)為了滿足E/E/PE安全相關(guān)系統(tǒng)性安全完整性要求，執(zhí)行所有檢驗測試和自診斷測試的軟件7.2.2.9當(dāng)要求E/E/PE安全相關(guān)系統(tǒng)執(zhí)行非安全功能時，安全相關(guān)軟件的規(guī)定要求應(yīng)明確識別出非1)使EUC實現(xiàn)或維持安全狀態(tài)的功能；5)安全功能在線(即在預(yù)期的運(yùn)行環(huán)境中)周期測試的相關(guān)功能；6)安全功能離線(即EUC處于不依賴于其安全功能的環(huán)境中)周期測試的相關(guān)功能；7)允許安全修改PE系統(tǒng)的功能；8)與非安全相關(guān)功能的接口；9)容量和響應(yīng)時間性能；10)軟件和PE系統(tǒng)之間的接口；注1:包括離線和在線的編程設(shè)備。11)安全相關(guān)通信(見GB/T20438.2—2017的7.4.11)。b)對軟件系統(tǒng)性能力的要求：1)在上述a)中每個功能的安全完整性等級；注2:關(guān)于分配安全完整性給軟件組件的信息見GB/T20438.5—2017的附錄A。2)功能間的獨立性要求。a)與系統(tǒng)安全要求一致；b)按照允許范圍和經(jīng)授權(quán)的一組運(yùn)行參數(shù)來表示；注1:這個對應(yīng)用數(shù)據(jù)的要求特別針對數(shù)據(jù)驅(qū)動的應(yīng)用。有下面的特性：源碼已經(jīng)存在，開發(fā)活動的主要目的是保注2:數(shù)據(jù)驅(qū)動系統(tǒng)指南見附錄G。7.2.2.12如果數(shù)據(jù)定義軟件和外部系統(tǒng)間的接口，在GB/T20438.2—2017的7.4.11之外，應(yīng)該考慮下面的性能特性：a)需要與數(shù)據(jù)定義一致；e)數(shù)據(jù)存儲容量的上溢和下溢。GB/T20438.3—2017/IEC61508-3:20107.2.2.13應(yīng)保護(hù)運(yùn)行參數(shù)，以防止：a)無效的、超出范圍或不適時的值；b)非授權(quán)變更；注1:基于軟件和非軟件機(jī)制，宜考慮防止非授權(quán)變更。注意有效防止非授權(quán)的軟件更改可能對安全產(chǎn)生不利的影響，比如當(dāng)變更需要在快速和有壓力條件下進(jìn)行時。注2:雖然人員可以是安全相關(guān)系統(tǒng)的一部分(見GB/T20438.1—2017的第1章),與E/E/PE安全相關(guān)系統(tǒng)設(shè)計相關(guān)的人的因素要求在GB/T20438中沒有詳細(xì)考慮。然而，宜適當(dāng)考慮下面關(guān)于人的因素：——操作員信息系統(tǒng)宜用圖形化布局和操作員熟悉的術(shù)語。它是清楚的，容易理解并且沒有不必要的細(xì)節(jié)和/或方面；——EUC向操作員顯示的信息宜密切匹配EUC的物理布局；——如果操作員面對幾個顯示內(nèi)容，和/或可能的操作員動作允許產(chǎn)生互動，其后果不能一目了然，顯示的信息宜自動包括一個顯示或一個動作順序的每種狀態(tài)，信息宜顯示何種序列狀態(tài)已經(jīng)到達(dá)、何種操作可行和何種可能的后果可選擇。注1:本階段對應(yīng)圖4中的方框10.2。注2:軟件確認(rèn)通常不能脫離它的底層硬件和系統(tǒng)環(huán)境。7.3.2要求7.3.2.1應(yīng)編制計劃來規(guī)定規(guī)程上和技術(shù)上的步驟，用以證明軟件滿足其安全要求。c)EUC相關(guān)運(yùn)行模式的確定，包括：1)使用的準(zhǔn)備，包括設(shè)置和調(diào)整；2)啟動、教學(xué)、自動、手動、半自動、穩(wěn)定狀態(tài)運(yùn)行；3)重啟、關(guān)機(jī)、維護(hù)；e)確認(rèn)的技術(shù)策略(如分析方法、統(tǒng)計測試等);i)評價確認(rèn)結(jié)果的方針和規(guī)程，特別是失敗時。注：這些要求基于GB/T20438.1—2017中7.8的一般要求。GB/T20438.3—2017/IEC61508-3:2010d)選擇接受的準(zhǔn)則是基于客觀因素或?qū)＜遗袛噙€是兩者均選。7.3.2.4如果安全完整性等級有要求(見GB/T20438.1—2017的第8章),則作為系統(tǒng)安全軟件方面確認(rèn)計劃編制規(guī)程的一部分，系統(tǒng)安全軟件方面確認(rèn)計劃的范圍和內(nèi)容應(yīng)得到評估人員或評估方代表的認(rèn)可。該規(guī)程還應(yīng)說明在測試過程中評估人員是否需要出席。7.3.2.5完成軟件確認(rèn)通過/失敗的準(zhǔn)則應(yīng)包括：a)要求的輸入信號及其序列和值；b)預(yù)期的輸出信號及其序列和值；注：這一階段為圖4中的方框10.3。7.4.1.17.4的第一個目的是創(chuàng)建軟件架構(gòu)以滿足要求的安全完整性等級中對安全相關(guān)軟件規(guī)定的7.4.1.27.4的第二個目的是評價由E/E/PE系統(tǒng)安全相關(guān)系統(tǒng)硬件架構(gòu)對軟件的要求，包括E/E/PE系統(tǒng)中軟件和硬件相互作用對受控設(shè)備安全性的影響。7.4.1.37.4的第三個目的是為要求的安全完整性等級選擇合適的工具集，包括語言和編譯器、運(yùn)行時7.4.1.57.4的第五個目的是驗證安全相關(guān)軟件要求(根據(jù)要求的軟件安全功能和軟件系統(tǒng)性能力)已7.4.1.67.4的第六個目的是在適用的范圍內(nèi)，確保PE系統(tǒng)的數(shù)據(jù)配置滿足軟件系統(tǒng)性能力的規(guī)定要求。7.4.2.1根據(jù)軟件開發(fā)的性質(zhì)，符合7.4的責(zé)任取決于安全相關(guān)編程環(huán)境的供方(如PLC供應(yīng)商),或取決于該環(huán)境的用戶(如應(yīng)用軟件開發(fā)者),或取決于兩者。責(zé)任的劃分應(yīng)在安全計劃編制過程中確定(見第6章)。b)表達(dá)以下內(nèi)容：2)組件間的信息流；3)序列和時間相關(guān)的信息；5)訪問共享資源的并發(fā)性和同步性；6)數(shù)據(jù)結(jié)構(gòu)及其屬性；7)設(shè)計假設(shè)及其關(guān)聯(lián)性；GB/T20438.3—2017/IEC61508-3:20108)異常處理；c)表達(dá)包括結(jié)構(gòu)視圖和行為視圖在內(nèi)的若干設(shè)計視圖的能力；d)使開發(fā)者和其他需要了解設(shè)計的人員理解；e)驗證和確認(rèn)。7.4.2.3為了有助于這些屬性在最終安全相關(guān)系統(tǒng)中的執(zhí)行，在設(shè)計活動中應(yīng)考慮可測試性和安全修注：見附錄F.7。7.4.2.5設(shè)計表達(dá)方式應(yīng)依據(jù)明確定義的或受限于明確定義了特征的符號表示法。7.4.2.6設(shè)計應(yīng)盡可能將軟件中的安全相關(guān)部分簡單化。時應(yīng)采取適當(dāng)?shù)男袆?。的設(shè)計措施保證非安全功能失效不會對安全功能產(chǎn)生不利影響。7.4.2.9當(dāng)軟件執(zhí)行不同安全完整性等級的安全功能時，所有的軟件都被認(rèn)為屬于最高安全完整性等7.4.2.10如果軟件組件的系統(tǒng)性能力低于其提供的安全功能的安全2017的7.4.3中系統(tǒng)性能力要求。現(xiàn)。主處理器的組件安全功能是節(jié)流閥理想的要求/響應(yīng)行為。另一個處理器的GB/T20438.7-2017的C.3.4),并在必要時應(yīng)用緊急停止。兩個處理器的組合實現(xiàn)了端到端安全功能“防止非要求加應(yīng)同時滿足以下a)和b):a)滿足以下符合性路線之一：——路線2s:經(jīng)使用證明。提供組件已在使用中證明的證據(jù)。見GB/T20438.2—2017的7.4.10;——路線3s:非符合性開發(fā)評估。符合7.4.2.13。注2:見GB/T20438.4—2017的3.2.8。已有軟件可能是注3:對已有組件的要求適用于運(yùn)行時庫或一個解釋器。GB/T20438.3—2017/IEC61508-3:2010b)提供安全手冊(見GB/T20438.2—2017的附錄D和本部分的附錄D)以給出足夠精確和完整的組件描述，使得一個整體或部分依賴于已有軟件組件的特定安全功能的完整性評估成為7.4.2.13為遵守路線3s,一個已有軟件組件應(yīng)滿足下列a)～i)的全部要求：a)組件的軟件安全要求規(guī)范在其新應(yīng)用中應(yīng)歸檔，此文檔應(yīng)按照本部分為任何同等系統(tǒng)性能力的安全相關(guān)組件要求的同等精確程度建立。軟件安全要求規(guī)范應(yīng)覆蓋組件在其新應(yīng)用中適用的功能和安全行為及7.2中的規(guī)定。見表A.1。b)軟件組件的使用論證應(yīng)提供足夠的證據(jù)，表明在附錄C的指導(dǎo)下考慮了相關(guān)條款(即7.2.2、c)組件設(shè)計應(yīng)歸檔，并具備一定程度的精確性和充分性，以對其符合規(guī)范要求和符合要求的系統(tǒng)性能力提供證據(jù)。見7.4.3、7.4.5和7.4.6,以及附錄A的表A.2和表A.4。d)7.4.2.13a)和7.4.2.13b)要求的證據(jù)應(yīng)覆蓋硬件與軟件的集成。見7.5和附錄A的表A.6。e)應(yīng)有證據(jù)表明，組件已采用系統(tǒng)性方法進(jìn)行驗證與確認(rèn)，該方法包括文檔化的測試和對所有組附錄B中的相關(guān)表格。f)如果軟件組件提供安全相關(guān)系統(tǒng)中不需要的功能，那么應(yīng)提供證據(jù)表明不需要的功能不會阻止E/E/PE系統(tǒng)滿足其安全要求。g)應(yīng)有證據(jù)表明已經(jīng)識別了軟件組件的所有可信失效機(jī)制并采取了適當(dāng)?shù)木徑獯胧)組件使用計劃應(yīng)確定軟件組件的配置、軟件和硬件運(yùn)行時環(huán)境和編譯/連接系統(tǒng)的配置(如有必要)。i)使用組件的論證僅對其應(yīng)用遵從組件符合項安全手冊所做的假設(shè)時有效(見GB/T20438.2—2017的附錄D和本部分的附錄D)。7.4.2.14在適用的范圍內(nèi)，7.4.2條應(yīng)用于數(shù)據(jù)和數(shù)據(jù)生成語言。a)當(dāng)PE系統(tǒng)由通過數(shù)據(jù)進(jìn)行配置的已有功能組成來滿足特定應(yīng)用要求時，應(yīng)用軟件的設(shè)計應(yīng)與應(yīng)用的可配置度、已交付的既有功能和PE安全相關(guān)系統(tǒng)的復(fù)雜度相匹配。b)當(dāng)PE系統(tǒng)的安全相關(guān)功能在很大程度上或主要取決于配置數(shù)據(jù)時，應(yīng)使用適當(dāng)?shù)募夹g(shù)和措施以防止在配置數(shù)據(jù)的設(shè)計、生產(chǎn)、裝載和修改期間引入故障，并確保配置數(shù)據(jù)正確地描述應(yīng)用邏輯。c)數(shù)據(jù)結(jié)構(gòu)規(guī)范應(yīng)：——與系統(tǒng)的功能要求一致，包括應(yīng)用數(shù)據(jù)；GB/T20438.3—2017/IEC61508-3:2010d)當(dāng)PE系統(tǒng)由通過數(shù)據(jù)進(jìn)行配置的已有功能組成來滿足特定應(yīng)用要求時，配置過程自身應(yīng)相7.4.3軟件架構(gòu)設(shè)計的要求注3:在某些用戶應(yīng)用程序編程環(huán)境中，特別是在PLC中(見GB/T20438.6—2017附錄E),軟件架構(gòu)將由供方作為產(chǎn)品的一種標(biāo)準(zhǔn)特性提供。在這一標(biāo)準(zhǔn)下將要求供方確保用戶產(chǎn)品的符合性滿足7.4的要求。用戶使用標(biāo)準(zhǔn)編程工具來定制PLC的應(yīng)用，例如梯形圖。7.4.3至7.4.8的要求仍適用。軟件架構(gòu)的定義和文檔的要求可作為用戶選擇適用的PLC(或類似產(chǎn)品)的信息。注5:盡管GB/T20438標(biāo)準(zhǔn)為由E/E/PE安全相關(guān)系統(tǒng)實現(xiàn)的安全功能設(shè)置了數(shù)值化的目標(biāo)失效量，但系統(tǒng)性安全完整性通常是不可量化的(見GB/T20438.4—2017的3.5.6),軟件安全完整性(見GB/T20438.4—2017的3.5.5)被定義為置信度為1-4(見GB/T20438.4—2017的3.5.9)之間的系統(tǒng)性能力。根據(jù)軟件的具體使用，GB/T20438將軟件失效分為安全的或非安全的。系統(tǒng)/軟件架構(gòu)需要在組件的非安全失效時受到某些架構(gòu) 歸檔(見GB/T20438.1—2017的第6章)。a)在軟件安全生命周期各階段，為滿足軟件安全要求規(guī)范規(guī)定的安全完整性等級應(yīng)選擇和論證一組必要的技術(shù)和措施。這些技術(shù)和措施包括故障裕度(與硬件一致)和故障避免的軟件設(shè)計2)每一個子系統(tǒng)/組件是否安全相關(guān)；3)子系統(tǒng)/組件的軟件系統(tǒng)性能力。d)架構(gòu)應(yīng)依據(jù)明確定義的或受限于明確定義了特征的符號表示法；GB/T20438.3—2017/IEC61508-3:2010e)選擇用于保持所有數(shù)據(jù)安全完整性的設(shè)計特性。數(shù)據(jù)可包括裝置輸入/輸出數(shù)據(jù)、通信數(shù)據(jù)、f)規(guī)定適當(dāng)?shù)能浖軜?gòu)集成測試，以保證軟件架構(gòu)在要求的安全完整性等級下滿足軟件安全要7.4.3.3應(yīng)用7.4.3.2后，任何對E/E/PE系統(tǒng)安全要求規(guī)范的變更請求都應(yīng)經(jīng)E/E/PE開發(fā)人員同意注：軟件和硬件架構(gòu)不可避免會有重疊(見圖5),因此需要與硬件開發(fā)人員討論可編程電子硬件和軟件集成(見7.5)注：在選擇合適的技術(shù)和措施(見附錄A和附錄B)來實現(xiàn)本條款的要求時，宜考慮支持工具的下列屬性(見附錄C屬性解釋指南和GB/T20438.7—2017的附錄F非正式定義):——工具對生成具有要求屬性的軟件的支持程度；——工具的操作和功能的清晰度；——輸出的正確性和可重復(fù)性。注：在線和離線工具的例子見GB/T20438.4—2017的3.2.10和3.2.11。7.4.4.2應(yīng)選擇軟件離線支持工具作為軟件開發(fā)活動的密切相關(guān)部分。注1:軟件開發(fā)生命周期要求見7.1.2。加軟件的完整性。軟件開發(fā)生命周期階段相關(guān)工具的例子包括：a)轉(zhuǎn)換或翻譯工具，將軟件或設(shè)計表述(例如文本或圖解c)診斷工具，用于在運(yùn)行條件下維護(hù)和監(jiān)視軟件；f)應(yīng)用數(shù)據(jù)工具，產(chǎn)生或維護(hù)用來定義參數(shù)和實例化系統(tǒng)功能的數(shù)據(jù)。此數(shù)據(jù)包括功能參數(shù)、儀表量程、報具的輸出具有合適的內(nèi)容和格式，用作后一個工具的自動輸入，使得在重寫中間結(jié)果中的人為出錯的可能性注4:離線支持工具的選擇宜與應(yīng)用、安全相關(guān)系統(tǒng)和集成工具的需求相匹配。注5:宜考慮在E/E/PE安全相關(guān)系統(tǒng)的整個生命周期內(nèi)提供必要服務(wù)的適當(dāng)工具的可用性(如支持規(guī)范、設(shè)計、實注6:宜考慮所選擇工具的用戶能力。能力要求見GB/T20438.1—2017的第6章。7.4.4.4所有類別為T2和T3中的離線支持工具應(yīng)具有規(guī)格書或產(chǎn)品文檔，用以清晰定義工具的行為和所有使用該工具的指南和約束。見7.1.2軟件開發(fā)生命周期要求和GB/T20438.4—2017的3.2.11軟件離線支持工具的分類。注：這個“規(guī)格書或者產(chǎn)品文檔”并非工具自身符合項安全手冊(見GB/T20438.2—2017和本部分的附錄D)。符合項安全手冊與并入到可執(zhí)行的安全相關(guān)系統(tǒng)的已有組件相關(guān)。當(dāng)通過T3工具生成已有組件，然后并入可執(zhí)行安全相關(guān)系統(tǒng)內(nèi)，從而所有來自工具的“規(guī)格書或者產(chǎn)品文檔”的相關(guān)信息(例如，優(yōu)化編譯器的文檔可能指示不能保證函數(shù)參數(shù)的求值次序)宜包含在符合項的安全手冊中，使得完全或部分依賴并入組件的特定安全功能的完整性評估成為可能。GB/T20438.3—2017/IEC61508-3:20107.4.4.5應(yīng)評估T2和T3類中的離線支持工具，以確定工具的置信水平和可能影響可執(zhí)行軟件的工具注1:軟件HAZOP是一種分析潛在軟件工具失效后果的技術(shù)。7.4.4.6對于T3類的每一個工具，應(yīng)有證據(jù)表明工具符合其規(guī)范或文檔。證據(jù)可能基于在類似環(huán)境和類似應(yīng)用(在組織內(nèi)或其他組織)的成功使用歷史和7.4.4.7中規(guī)定的工具確認(rèn)的適當(dāng)組合。注2:對T3所列的證據(jù)也可用于判斷T2工具結(jié)果的正確性。7.4.4.7工具確認(rèn)結(jié)果應(yīng)歸檔并包括以下內(nèi)容：a)確認(rèn)活動按時間先后順序的記錄；b)所用工具產(chǎn)品手冊的版本；d)使用的工具和設(shè)備；f)測試用例及其后續(xù)分析的結(jié)果；g)預(yù)期結(jié)果和實際結(jié)果的差異。進(jìn)行評估；b)僅使用已定義的語言特征；c)與應(yīng)用特性匹配；d)包含便于檢測設(shè)計或編程中錯誤的特征；e)支持與設(shè)計方法相匹配的特征。注1:編程語言是一類軟件或者設(shè)計表述。翻譯器將軟件或設(shè)計表述(例如文本或圖解)從一個抽象級別轉(zhuǎn)換到另注2:可以為特定的應(yīng)用項目或一類應(yīng)用進(jìn)行翻譯器的評估。在后一種情況下，宜給該工具的用戶提注3:確認(rèn)套件(即正確翻譯的一組預(yù)知的測試程序)可用于根據(jù)定義的準(zhǔn)則評估翻譯器的適用性，7.4.4.11當(dāng)7.4.4.10不能被完全滿足時，應(yīng)論證語言目的的適合性和所有處理已識別的語言缺陷的額7.4.4.13編程語言編碼標(biāo)準(zhǔn)須規(guī)定良好的編程習(xí)慣，禁止不安全的語GB/T20438.3—2017/IEC61508-3:2010源代碼中應(yīng)包含下列信息：b)描述；c)輸入和輸出；d)配置管理歷史。估安全相關(guān)系統(tǒng)開發(fā)所采用的自動翻譯程序的適用性。7.4.4.15當(dāng)T2和T3類的離線支持工具配置基線中產(chǎn)生項時，配置管理應(yīng)確保工具上的信息被記錄a)工具和其版本的標(biāo)識；b)對應(yīng)使用工具版本的配置基線項的標(biāo)識；7.4.4.16配置管理應(yīng)確保僅使用T2和T3類中的工具合格的版本。7.4.4.17配置管理應(yīng)確保僅使用相互兼容及與安全相關(guān)系統(tǒng)兼容的工具。早期版本提供的證據(jù)為證。a)能上的差異(若存在的話)將不會影響與工具集中其他工具的兼容性；b)新版本不大可能包含重大的新的未知錯誤。7.4.4.19依據(jù)軟件開發(fā)的性質(zhì)，對7.4.4的符合性可由多方負(fù)責(zé)。責(zé)任的劃分應(yīng)在安全計劃編制期間(見GB/T20438.1—2017的第6章)形成文檔。注2:詳細(xì)設(shè)計和開發(fā)的性質(zhì)因軟件開發(fā)活動和軟件架構(gòu)性質(zhì)的不同而變化(見7.4.3)。在某些應(yīng)用程序編程環(huán)境注3:為選擇合適的技術(shù)和措施(見附錄A和附錄B)以實現(xiàn)本條的要求，以下屬性(見附錄C的屬性解釋指南，和GB/T20438.7—2017的附錄F中的非正式定義)在設(shè)計與開發(fā)中宜予考慮： ——防止共因失效。檔(見GB/T20438.1—2017第6章)。GB/T20438.3—2017/IEC61508-3:20107.4.5.2下列信息應(yīng)在詳細(xì)設(shè)計開始前獲得：E/E/PE安全相關(guān)7.4.5.4對于軟件架構(gòu)設(shè)計中的每一個主要組件/子系統(tǒng)，設(shè)計的進(jìn)一步細(xì)化應(yīng)基于軟件模塊的劃分(即軟件系統(tǒng)設(shè)計的規(guī)范)。應(yīng)規(guī)定每個軟件模塊的設(shè)計以及對每個軟件模塊的驗證。注2:驗證包含測試和分析。7.4.5.5應(yīng)規(guī)定適當(dāng)?shù)能浖到y(tǒng)集成測試，以保證軟件系統(tǒng)滿足在所要求安全屬性解釋指南):c)滿足編碼標(biāo)準(zhǔn)的規(guī)定要求(見7.4.4);d)滿足安全計劃編制中規(guī)定的所有相關(guān)要求(見第6章)。(見GB/T20438.7—2017的C.5.15);(3)通過形式化檢查(見GB/T20438.7—2017的C.5.14)。以上方法嚴(yán)格注1:測試軟件模塊正確地滿足了測試規(guī)范是一種驗證活動(見7.9),是代碼復(fù)審和軟件模塊測試的結(jié)合，用以確保注2:為選擇合適的技術(shù)與措施(見附錄A和附錄B)以實現(xiàn)本條的要求，宜考慮軟件模塊測試的下列屬性(屬性解釋指南見附錄C和GB/T20438.7—2017的附錄F中非正式定義): 7.4.7.1每一軟件模塊均應(yīng)根據(jù)軟件模塊測試規(guī)范的要求進(jìn)行驗證，該測試規(guī)范是在軟件系統(tǒng)設(shè)計階7.4.7.2這個驗證應(yīng)表明每一軟件模塊是否執(zhí)行預(yù)定功能且不執(zhí)行非預(yù)定功能。流分析可將測試用例減少至一個可接受的數(shù)量?？煞治龅某绦蚰芨菀椎貪M足要求。這些技術(shù)見GB/T20438.7—2017的附錄C。2017的附錄C。注3:盡管系統(tǒng)性安全完整性通常無法量化(見GB/T20438.4—2017的3.5.6),如果對統(tǒng)計學(xué)有效證據(jù)的所有相關(guān)7.4.7.3軟件模塊測試的結(jié)果應(yīng)歸檔。GB/T20438.3—2017/IEC61508-3:20107.4.7.4應(yīng)規(guī)定未通過測試的校正措施規(guī)程。7.4.8.1軟件集成測試應(yīng)在設(shè)計和開發(fā)階段予以規(guī)定(見7.4.5)。7.4.8.2軟件系統(tǒng)集成測試規(guī)范應(yīng)規(guī)定以下內(nèi)容：a)將軟件劃分為可管理的集成集；b)測試用例和測試數(shù)據(jù)；c)執(zhí)行測試的類型；e)判定測試完成的準(zhǔn)則；f)測試失敗的校正措施規(guī)程。有軟件模塊和軟件組件/子系統(tǒng)正確交互以執(zhí)行其預(yù)定的功能而不執(zhí)行非預(yù)定的功能。注1:這不意味著測試所有輸入組合和輸出組合。測試所有的等價類或結(jié)構(gòu)可能就已經(jīng)足夠了，邊界值分析或控制流分析可將測試用例減少至一個可接受的數(shù)量?？煞治龅某绦蚰芨菀椎貪M足要求。這些技術(shù)見GB/T20438.7—2017的附錄C。注2:當(dāng)開發(fā)使用形式化方法、形式化證明或斷言時，此類測試可在一定范圍內(nèi)減少。有關(guān)這些技術(shù)見GB/T20438.7—2017的附錄C。注3:盡管系統(tǒng)性安全完整性通常無法量化(見GB/T20438.4—2017的3.5.6),如果對統(tǒng)計學(xué)有效證據(jù)的所有相關(guān)需的再驗證和再設(shè)計活動。注：這一階段是圖4中的方框10.4。7.5.1.27.5的第二個目的是將軟件和硬件結(jié)合到安全相關(guān)可編程電子上，以保證其兼容性和滿足預(yù)定安全完整性等級的要求。注1:測試軟件是否正確集成到可編程電子硬件中是一種驗證活動(見7.9)。注2:根據(jù)應(yīng)用的性質(zhì)這些活動可與7.4.8結(jié)合。注：為選擇合適的技術(shù)和措施(見附錄A和附錄B)來實現(xiàn)7.5的要求，宜考慮集成的下列屬性(見附錄C的屬性解釋指南，和GB/T20438.7—2017的附錄F中的非正式定義):7.5.2.1應(yīng)在設(shè)計和開發(fā)階段(見7.4.3)中規(guī)定集成測試，以確保在安全相關(guān)可編程電子中硬件和軟件GB/T20438.3—2017/IEC61508-3:2010注：可能會要求與E/E/PE系統(tǒng)開發(fā)人員緊密合作以開展集成測7.5.2.2軟件/PE集成測試規(guī)范(硬件和軟件)應(yīng)規(guī)定以下內(nèi)容：a)將系統(tǒng)拆分為各集成級；b)測試用例和測試數(shù)據(jù)；c)執(zhí)行測試的類型；e)判定測試完成的準(zhǔn)則。7.5.2.3軟件/PE集成測試規(guī)范(硬件和軟件)應(yīng)區(qū)分：可由開發(fā)人員在其場地完成的活動和需要訪問用戶現(xiàn)場的活動。7.5.2.4軟件/PE集成測試規(guī)范(硬件和軟件)應(yīng)區(qū)分以下活動：a)將軟件系統(tǒng)納入目標(biāo)可編程電子硬件；c)將E/E/PE安全相關(guān)系統(tǒng)用到EUC中。7.5.2.5應(yīng)根據(jù)軟件/PE集成測試規(guī)范(硬件和軟件)對軟件和安全相關(guān)可編程電子硬件進(jìn)行集成。7.5.2.6在安全相關(guān)可編程電子(硬件和軟件)集成測試中，應(yīng)對集成系統(tǒng)的所有變更進(jìn)行影響分析。影響分析應(yīng)確定所有受影響的軟件模塊和必要的再驗證活動。7.5.2.8安全相關(guān)可編程電子(硬件和軟件)的集成測試應(yīng)歸檔，說明測試結(jié)果以及是否滿足測試目的注：該階段是圖4中方框10.5。7.6要求的目的是提供軟件有關(guān)必要的信息和規(guī)程以保證在操作和修改階段中保持E/E/PE安全相關(guān)系統(tǒng)的功能安全。要求在本部分的7.8和GB/T20438.2—2017的7.6中給出。注1:這一階段為圖4中方框10.6。注2:軟件確認(rèn)通常不能脫離它相關(guān)的硬件和系統(tǒng)環(huán)境。7.7的目的是保證集成的系統(tǒng)在所需的安全完整性等級上符合軟件安全要求規(guī)范。注：為選擇合適的技術(shù)和措施(見附錄A和附錄B)來實現(xiàn)7.7的要求，宜考慮安全確認(rèn)的下列屬性(見附錄C屬性解釋指導(dǎo)和GB/T20438.7—2017的附錄F非正式定義):GB/T20438.3—2017/IEC61508-3:2010 7.7.2.1如果在E/E/PE安全相關(guān)系統(tǒng)的安全確認(rèn)計劃中已建立了對安全相關(guān)軟件的符合性要求(見GB/T20438.2—2017中7.7),則不必重復(fù)確認(rèn)。7.7.2.2確認(rèn)活動應(yīng)根據(jù)系統(tǒng)安全的軟件方面安全確認(rèn)計劃的規(guī)定進(jìn)行。中歸檔(見GB/T20438.1—2017的第6章)。7.7.2.4系統(tǒng)安全的軟件方面確認(rèn)的結(jié)果應(yīng)歸檔。注：記錄測試結(jié)果時，重要的是能夠追溯活動的順序。此要求的重點是追溯一個活動序列，而不是僅產(chǎn)生一個時b)所用的系統(tǒng)安全的軟件方面確認(rèn)計劃(見7.3)的版本；d)使用的工具和設(shè)備及其校準(zhǔn)數(shù)據(jù)；e)確認(rèn)活動的結(jié)果；f)實際結(jié)果和預(yù)期結(jié)果的差異。7.7.2.6當(dāng)實際結(jié)果和預(yù)期結(jié)果出現(xiàn)差異時，所進(jìn)行的分析和對是繼續(xù)確認(rèn)或是提出變更請求并返回7.7.2.7系統(tǒng)安全的安全相關(guān)軟件方面的確認(rèn)應(yīng)符合下列要求：b)軟件應(yīng)通過對以下情形的仿真進(jìn)行測試：——預(yù)期的事件；c)供方和/或開發(fā)人員(或?qū)Ψ闲载?fù)責(zé)的各方)應(yīng)使系統(tǒng)開發(fā)者得到系統(tǒng)安全的軟件方面確認(rèn)的文檔化結(jié)果及其所有的附屬文檔，以使其產(chǎn)品滿足GB/T20438.1和GB/T20438.2的7.7.2.8軟件工具應(yīng)符合7.4.4的要求。7.7.2.9系統(tǒng)安全的安全相關(guān)軟件方面的確認(rèn)結(jié)果應(yīng)滿足以下要求：a)測試應(yīng)表明所有安全相關(guān)軟件規(guī)定的要求都正b)測試用例及其結(jié)果應(yīng)文檔化，以用于后續(xù)的分析和由安全完整性等級所要求的獨立評估(見GB/T20438.1—2017的第8章);c)文檔化的系統(tǒng)安全的軟件方面確認(rèn)的結(jié)果應(yīng)表明(1)軟件已通過確認(rèn)，或(2)未通過確認(rèn)的注：這一階段是圖4中的方框10.5。7.8的目的是指導(dǎo)修正、增強(qiáng)或調(diào)整已確認(rèn)軟件，以保證維持要求的軟件系統(tǒng)性能力。GB/T20438.3—2017/IEC61508-3:2010注：為選擇合適的技術(shù)和措施(見附錄A和附錄B)來實現(xiàn)7.8的要求，宜考慮軟件修改的下列屬性(見附錄C屬性解釋指導(dǎo)和GB/T20438.7—2017的附錄F非正式定義): 7.8.2.1在執(zhí)行任何軟件修改之前，軟件修改規(guī)程應(yīng)已可用(見GB/T20438.1—2017中的7.16)。注1:7.8.2.1～7.8.2.9主要用于在軟件運(yùn)行階段中發(fā)生的改變。它們也可用于可編程電子集成和整體安裝和調(diào)試階段(見GB/T20438.1—2017中7.13)。注2:一個修改規(guī)程模型的例子見GB/T20438.1—2017中的圖9。7.8.2.2只有經(jīng)批準(zhǔn)的軟件修改請求按照安全計劃編制階段規(guī)定的規(guī)程(見第6章)發(fā)出時，才應(yīng)啟動a)可能受到影響的危險；b)建議的修改；c)修改的原因。——EUC或其使用的修改； a)確定是否需要危險和風(fēng)險分析；b)確定哪個軟件安全生命周期階段需重復(fù)。7.8.2.4在7.8.2.3中所做影響分析的結(jié)果應(yīng)文檔化。7.8.2.5所有對E/E/PE安全相關(guān)系統(tǒng)的功能安全有影響的修改應(yīng)返回軟件安全生命周期的一個相應(yīng)階段。所有后續(xù)的階段也應(yīng)根據(jù)本部分對特定階段要求規(guī)定的規(guī)程執(zhí)行。安全計劃編制(見第6章)應(yīng)細(xì)化所有后續(xù)的活動。7.8.2.6安全相關(guān)軟件修改的安全計劃編制應(yīng)滿足GB/T20438.1—2017中第6章的要求，特別是：a)人員識別和其所需能力的規(guī)范；b)修改的詳細(xì)規(guī)范；c)驗證計劃編制；a)修改/改型請求；GB/T20438.3—2017/IEC61508-3:2010b)評估建議的軟件修改對功能安全影響的分析結(jié)果和決策及其相關(guān)的論證；c)軟件配置管理歷史；d)與正常操作和條件的偏差；e)受修改活動影響的所有文檔化信息。7.8.2.10對所需修改或改型活動的評估應(yīng)取決于影7.9的目的是，針對安全完整性等級要求的程度，測試和評估軟件安全生命周期在給定階段的輸(見7.7)的額外驗證，因為本部分中軟件確認(rèn)是符合安全要求規(guī)范的證明。對安全要求規(guī)范自身是否正確的性解釋指導(dǎo)和GB/T20438.7—2017的附錄F非正式定義): 7.9.2.1對軟件安全生命周期的每一個階段，應(yīng)與開發(fā)過程同步制定軟件驗證計劃(見7.3),并且對軟a)安全完整性要求的評價；d)驗證結(jié)果的評價；e)采用的糾正措施。7.9.2.3軟件驗證應(yīng)根據(jù)計劃執(zhí)行。注：驗證技術(shù)和措施的選擇以及驗證活動的獨立程度取決于很多因素并可能在應(yīng)用領(lǐng)域的標(biāo)準(zhǔn)中規(guī)定。因素的例 a)被驗證項的識別；b)完成驗證所依據(jù)信息的識別；GB/T20438.3—2017/IEC61508-3:20107.9.2.6軟件安全生命周期階段N中為階段N+1正確執(zhí)行所需的所有基本信息都應(yīng)可獲得并被驗g)時間性能的驗證；j)可編程電子集成測試(見7.5);a)考慮軟件安全要求規(guī)范是否已充分滿足E/E/PE系統(tǒng)安全要求規(guī)范(見GB/T20438.1—20171)軟件安全要求規(guī)范和E/E/PE系統(tǒng)安全要求規(guī)范(見GB/T20438.1—2017的7.10和GB/T20438.2—2017的7.2);GB/T20438.3—2017/IEC61508-3:20103)對于開發(fā)團(tuán)隊而言的可讀性；d)檢查以下內(nèi)容之間的不一致性：1)軟件架構(gòu)設(shè)計和軟件安全要求規(guī)范；2)軟件架構(gòu)設(shè)計及其集成測試；3)軟件架構(gòu)設(shè)計集成測試和系統(tǒng)安全的軟件方面確認(rèn)計劃。a)考慮軟件系統(tǒng)設(shè)計(見7.4.5)是否充分滿足軟件架構(gòu)設(shè)計；b)考慮軟件系統(tǒng)集成規(guī)定的測試(見7.4.5)是否已充分滿足軟件系統(tǒng)設(shè)計(見7.4.5);2)進(jìn)一步驗證的可測試性；3)對于開發(fā)團(tuán)隊而言的可讀性；注：軟件系統(tǒng)集成測試可規(guī)定為軟件架構(gòu)集成測試的一部分。d)檢查以下內(nèi)容之間的不一致性：1)軟件系統(tǒng)設(shè)計規(guī)范(見7.4.5)和軟件架構(gòu)設(shè)計；2)軟件系統(tǒng)設(shè)計規(guī)范(見7.4.5)和軟件系統(tǒng)集成測試規(guī)范(見7.4.5);a)考慮軟件模塊設(shè)計規(guī)范(見7.4.5)是否已充分滿足軟件系統(tǒng)設(shè)計規(guī)范(見7.4.5);b)考慮軟件模塊測試規(guī)范(見7.4.5)是否已充分滿足軟件模塊設(shè)計規(guī)范(見7.4.5);1)要求的安全性能的可行性(見軟件安全要求規(guī)范);2)進(jìn)一步驗證的可測試性；3)對于開發(fā)團(tuán)隊而言的可讀性；d)檢查以下內(nèi)容之間的不一致性：1)軟件模塊設(shè)計規(guī)范(見7.4.5)和軟件系統(tǒng)設(shè)計規(guī)范(見7.4.5);2)(對每一個軟件模塊)軟件模塊設(shè)計規(guī)范(見7.4.5)和軟件模塊測試規(guī)范(見7.4.5);3)軟件模塊測試規(guī)范(見7.4.5)和軟件系統(tǒng)集成測試規(guī)范(見7.4.5)。碼標(biāo)準(zhǔn)(見7.4.4)和系統(tǒng)安全的軟件方面確認(rèn)計劃。注：在軟件安全生命周期的早期階段，驗證是靜態(tài)的(如檢查、復(fù)審、形式化證明等)。代碼驗證包括軟件檢查和走查等技術(shù)。代碼驗證和軟件模塊測試結(jié)論的結(jié)合保證每一軟件模塊滿足其相關(guān)規(guī)范。此后，測試成為驗證的主要方法。7.9.2.13數(shù)據(jù)驗證。a)應(yīng)驗證數(shù)據(jù)結(jié)構(gòu)。b)應(yīng)驗證應(yīng)用數(shù)據(jù)：2)針對應(yīng)用要求的完整性；4)數(shù)據(jù)值的正確性。GB/T20438.3—2017/IEC61508-3:2010c)應(yīng)針對應(yīng)用要求驗證所有運(yùn)行參數(shù)。2)預(yù)期接口失效的容錯。e)所有通信接口及其相應(yīng)軟件應(yīng)以一個充分的等級進(jìn)行驗證：3)數(shù)據(jù)確認(rèn)。8功能安全評估注：在選擇合適的技術(shù)和措施(見附錄A和附錄B)來實現(xiàn)本章的要求時，宜考慮功能安全評估的下列屬性(見附錄C屬性解釋指導(dǎo)和GB/T20438.7—2017的附錄F非正式定義): 針對設(shè)計規(guī)范(成功完成),功能安全評估的正確性：——對所有發(fā)現(xiàn)問題的可追溯的閉環(huán)；——不需要大量的重新評估的變更后，修改功能安全評估的能力；——可重復(fù)性；——及時性；——精確定義的配置。8.1GB/T20438.1—2017第8章中的目的和要求適用于安全相關(guān)軟件的評估。8.2除非在應(yīng)用領(lǐng)域國家標(biāo)準(zhǔn)中另有規(guī)定，執(zhí)行功能安全評估的有關(guān)方面的最低獨立性水平應(yīng)與GB/T20438.1—2017中第8章的規(guī)定一致。8.3功能安全評估可利用表A10中活動的結(jié)果。注：選擇附錄A和附錄B中的技術(shù)其自身并不能保證達(dá)到要求的安全完整性(見7.1.2.7),評估方還需考慮：——在整個開發(fā)周期中選擇的方法、語言和工具的一致性和互補(bǔ)性； GB/T20438.3—2017/IEC61508-3:2010(規(guī)范性附錄)本部分中一些條款有相關(guān)表格，如7.2(軟件安全要求規(guī)范)與表A.1有關(guān)，附錄B中更詳些是由附錄A中的表項擴(kuò)展來的，如表B.2根據(jù)表A.5中動態(tài)分析和測試的主題擴(kuò)展而成。附錄A和附錄B中提及的技術(shù)和措施可見GB/T20438.7。表中的每一技術(shù)和措施都有安全完整性等級1到4的推薦，推薦如下：HR在該安全完整性等級下極力推薦的技術(shù)或措施。如未采用這種技術(shù)或措施則應(yīng)在安全計劃中詳細(xì)記錄未使用該技術(shù)和措施的理由，并需經(jīng)評估方認(rèn)可。R在該安全完整性等級下低于HR推薦程度的所推薦的技術(shù)或措施。不推薦或不反對使用的技術(shù)或措施。NR在該安全完整性等級下明確不推薦的技術(shù)或措施。如果采用這類技術(shù)或措施，應(yīng)在安全計劃中參照附錄C詳細(xì)記錄使用該技術(shù)和措施的理由，并需經(jīng)評估方認(rèn)可。應(yīng)根據(jù)安全完整性等級選擇適當(dāng)?shù)募夹g(shù)/措施。可選擇的或等價的技術(shù)/措施用數(shù)字后跟字母的方式表示。只需滿足一種可選擇的或等價的技術(shù)/措施。假如已經(jīng)滿足要求及目標(biāo)，可應(yīng)用其他措施和技術(shù)。選擇技術(shù)指導(dǎo)技術(shù)和措施的分級與GB/T20438.2中所使用的有效性的概念有關(guān)。在所有其他因素都相同的情況下，HR類的技術(shù)在軟件開發(fā)中防止引入系統(tǒng)性故障或在軟件執(zhí)行中控制殘余故障方面(針對軟件架構(gòu))都比R類技術(shù)更加有效。應(yīng)用都正確的算法。附錄C給出了選擇具體技術(shù)來達(dá)到軟件系統(tǒng)性能力要求的原理指導(dǎo)。對于某個特定的應(yīng)用，在安全計劃編制中應(yīng)闡明技術(shù)或措施的適當(dāng)結(jié)合。除非在表中的注做出了GB/T20438.6中以兩個實例的形式對表格的解釋給出了初步的指導(dǎo)。表A.1軟件安全要求規(guī)范(見7.2)參考半形式化方法表B.7RR形式化方法RR2在系統(tǒng)安全要求和軟件安全要求間向前可追溯RR3在安全要求和認(rèn)識到的安全需求間向后可追溯RRGB/T20438.3—2017/IEC61508-3:2010表A.1(續(xù))技術(shù)/措施參考SIL1SIL2SIL3SIL44支持上述適當(dāng)?shù)募夹g(shù)或措施的計算機(jī)輔助規(guī)范工具B.2.4RRHRHR注1:軟件安全要求規(guī)范通常使用自然語言和反映應(yīng)用的必要的數(shù)學(xué)符號對問題進(jìn)行描述。注2:本表反映了為清晰和準(zhǔn)確說明軟件安全要求的附加要求。注3:見表C.1。和附錄C給出的技術(shù)/措施的詳細(xì)描述?！皯?yīng)根據(jù)安全完整性等級選擇適當(dāng)?shù)募夹g(shù)/措施?？商娲幕虻葍r的技術(shù)/措施用字母緊隨數(shù)字的方式予以表示。其目的是只需選取可替代的或等價的技術(shù)/措施中的一種。替代技術(shù)的選擇宜根據(jù)附錄C中給出的屬性進(jìn)行論證，以滿足特定的應(yīng)用。技術(shù)/措施參考SIL1SIL2SIL3SIL4架構(gòu)與設(shè)計特點1故障檢測C.3.1RHRHR2錯誤檢測代碼C.3.2RRRHR失效斷言編程C.3.3RRRHR多樣化監(jiān)視技術(shù)(同一臺計算機(jī)上的監(jiān)視功能和被監(jiān)視功能之間獨立)C.3.4RR多樣化監(jiān)視技術(shù)(監(jiān)視計算機(jī)與被監(jiān)視計算機(jī)之間分離)C.3.4RRHR多樣化冗余，實現(xiàn)相同軟件安全要求規(guī)范C.3.5—R功能上多樣化冗余，實現(xiàn)不同軟件安全要求規(guī)范C.3.5RHR后向恢復(fù)C.3.6RRNR無狀態(tài)軟件設(shè)計(或者有限狀態(tài)設(shè)計)C.2.12—RHR故障恢復(fù)重試機(jī)制C.3.7RR適度降級C.3.8RRHRHR5人工智能——故障糾正C.3.9NRNRNR6動態(tài)再配置C.3.10NRNRNR7模塊化方法表B.9HRHRHRHR8使用可信賴/已證實的軟件組件(如可獲得)C.2.10RHRHRHR9在軟件安全要求規(guī)范和軟件架構(gòu)間向前的追溯性C.2.11RRHRHRGB/T20438.3—2017/IEC61508-3:2010表A.2(續(xù))技術(shù)/措施參考SIL1SIL2SIL3SIL4架構(gòu)與設(shè)計特點在軟件安全要求規(guī)范和軟件架構(gòu)間向后的追溯性C.2.11RRHRHR結(jié)構(gòu)化的圖解方法bC.2.1HRHRHRHR半形式化方法b表B.7RRHRHR形式化設(shè)計和優(yōu)化方法bB.2.2,C.2.4 RRHR自動軟件生成C.4.6RRRR計算機(jī)輔助規(guī)范和設(shè)計工具B.2.4RRHRHR周期性運(yùn)轉(zhuǎn)，并且確定最大周期時間C.3.11RHRHRHR時間觸發(fā)式架構(gòu)C.3.11RHRHRHR事件驅(qū)動，并且確定最大響應(yīng)時間C.3.11RHRHR靜態(tài)資源分配C.2.6.3RHRHR訪問共享資源的靜態(tài)同步C.2.6.3RHR注1:表A.2中給出的一些方法是關(guān)于設(shè)計理念的，其余的是關(guān)于如何表達(dá)設(shè)計的。注2:GB/T20438.2—2017表中與故障裕度(失效控制)相關(guān)的措施宜與架構(gòu)要求和可編程電子設(shè)備的硬件失效控制一起考慮。注3:見表C.2。注4:第13組措施僅適用于有安全時間要求的系統(tǒng)及軟件。注5:第14組措施使用動態(tài)對象(例如使用執(zhí)行堆棧或堆)可能會對可用內(nèi)存和執(zhí)行時間上施加要求。在以下情況下，第14組措施不需要應(yīng)用，即如果使用的編譯器能夠確保：a)在運(yùn)行前，為所有的動態(tài)變量和對象分配了足夠的內(nèi)存，或者保證一旦發(fā)生內(nèi)存分配錯誤，能夠?qū)崿F(xiàn)安全狀態(tài)；b)其響應(yīng)時間滿足要求。注6:措施4a。故障恢復(fù)重試往往在任何的SIL中都是適用的，但宜設(shè)定一個重試次數(shù)的限值。和附錄C給出的技術(shù)/措施的詳細(xì)描述?！皯?yīng)根據(jù)安全完整性等級選擇適當(dāng)?shù)募夹g(shù)/措施?？商娲幕虻葍r的技術(shù)/措施用字母緊隨數(shù)字的方式予以表示。其目的是只需選取可替代的或等價的技術(shù)/措施中的一種。替代技術(shù)的選擇宜根據(jù)附錄C中給出的屬性進(jìn)行論證，以滿足特定的應(yīng)用。第11組，“結(jié)構(gòu)化方法”。在SIL3或SIL4的情況下，僅當(dāng)11b不適合時，才使用措施1la。技術(shù)/措施參考SIL1SIL2SIL3SIL41適當(dāng)?shù)木幊陶Z言C.4.5HRHRHRHR2強(qiáng)類型編程語言C.4.1HRHRHRHR3語言子集C.4.2HRHR已認(rèn)證的工具和已認(rèn)證的翻譯器C.4.3RHRHRHRGB/T20438.3—2017/IEC61508-3:2010技術(shù)/措施參考SIL1SIL2SIL3SIL4工具和翻譯器：通過使用提高置信度C.4.4HRHRHRHR注1:見表C.3。和附錄C給出的技術(shù)/措施的詳細(xì)描述。”應(yīng)根據(jù)安全完整性等級選擇適當(dāng)?shù)募夹g(shù)/措施。可替代的或等價的技術(shù)/措施用字母緊隨數(shù)字的方式予以表示。其目的是只需選取可替代的或等價的技術(shù)/措施中的一種。替代技術(shù)的選擇宜根據(jù)附錄C中給出的屬性進(jìn)行論證，以滿足特定的應(yīng)用。表A.4軟件設(shè)計和開發(fā)：詳細(xì)設(shè)計(見7.4.5和7.4.6)(包括軟件系統(tǒng)設(shè)計、軟件模塊設(shè)計和編碼)技術(shù)/措施參考SIL1SIL2SIL3SIL4結(jié)構(gòu)化方法bC.2.1HRHRHRHR0半形式化方法表B.7RHRHRHR1形式化設(shè)計和優(yōu)化方法B.2.2,C.2.4RRHR2計算機(jī)輔助設(shè)計工具B.3.5RRHRHR3防御性編程C.2.5RHRHR4模塊化方法表B.9HRHRHRHR5設(shè)計和編碼標(biāo)準(zhǔn)C.2.6,表B.1RHRHRHR6結(jié)構(gòu)化編程C.2.