GB∕T 20438.3-2017 電氣∕電子∕可編程電子安全相關(guān)系統(tǒng)的功能安全 第3部分：軟件要求

ICS25.040GB/T20438.3—2代替GB/T20438.3—2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求(IEC61508-3:2010,IDT)IGB/T20438.3—2017/IEC61508-3:2010 V 1 33定義和縮略語 44標(biāo)準(zhǔn)的符合性 4 46安全相關(guān)軟件管理的附加要求 4 4 4 5 57.2軟件安全要求規(guī)范 7.3系統(tǒng)安全軟件方面的確認(rèn)計(jì)劃 7.4軟件設(shè)計(jì)和開發(fā) 7.5可編程電子集成(硬件和軟件) 7.6軟件操作和修改規(guī)程 7.7系統(tǒng)安全確認(rèn)的軟件方面 7.8軟件修改 7.9軟件驗(yàn)證 8功能安全評(píng)估 附錄A(規(guī)范性附錄)技術(shù)和措施選擇指導(dǎo) 附錄B(資料性附錄)詳細(xì)表格 附錄C(資料性附錄)軟件系統(tǒng)性能力的屬性 附錄D(規(guī)范性附錄)符合項(xiàng)安全手冊(cè)—軟件組件的附加要求 附錄E(資料性附錄)GB/T20438.2和GB/T20438.3之間的關(guān)系 附錄F(資料性附錄)單計(jì)算機(jī)中各軟件組件間實(shí)現(xiàn)互不干擾的技術(shù) 附錄G(資料性附錄)數(shù)據(jù)驅(qū)動(dòng)系統(tǒng)的生命周期裁剪指南 2圖2整體安全生命周期 3圖3E/E/PE系統(tǒng)安全生命周期(在實(shí)現(xiàn)階段) 6圖4軟件安全生命周期(在實(shí)現(xiàn)階段) 6 7ⅡGB/T20438.3—2017/IEC61508-3:2010圖6軟件系統(tǒng)性能力和開發(fā)生命周期(V模型) 7圖G.1數(shù)據(jù)驅(qū)動(dòng)系統(tǒng)的復(fù)雜度中的可變性 表1軟件安全生命周期：概述 8表A.1軟件安全要求規(guī)范(見7.2) 表A.2軟件設(shè)計(jì)和開發(fā)：軟件架構(gòu)設(shè)計(jì) 表A.3軟件設(shè)計(jì)和開發(fā)：支持工具和編程語言(見7.4.4) 表A.4軟件設(shè)計(jì)和開發(fā)：詳細(xì)設(shè)計(jì)(見7.4.5和7.4.6) 表A.6可編程電子集成(硬件和軟件)(見7.5) 表A.7系統(tǒng)安全確認(rèn)的軟件方面(見7.7) 表A.8修改(見7.8) 表A.9軟件驗(yàn)證(見7.9) 表A.10功能安全評(píng)估(見第6章) 表B.1設(shè)計(jì)和編碼標(biāo)準(zhǔn) 表B.2動(dòng)態(tài)分析和測(cè)試 表B.3功能和黑盒測(cè)試 表B.4失效分析 表B.5建模 表B.6性能測(cè)試 表B.7半形式化方法 表B.8靜態(tài)分析 表C.1系統(tǒng)性安全完整性的屬性—軟件安全要求規(guī)范 表C.2系統(tǒng)性安全完整性的屬性—軟件設(shè)計(jì)和開發(fā)—軟件架構(gòu)設(shè)計(jì) 表C.3系統(tǒng)性安全完整性的屬性—軟件設(shè)計(jì)和開發(fā)—支持工具和編程語言 表C.4系統(tǒng)性安全完整性的屬性—軟件設(shè)計(jì)和開發(fā)一詳細(xì)設(shè)計(jì)(包括軟件系統(tǒng)設(shè)計(jì)、軟件模塊設(shè)計(jì)和編碼) 表C.5系統(tǒng)性安全完整性的屬性—軟件設(shè)計(jì)和開發(fā)—軟件模塊測(cè)試和集成 表C.6系統(tǒng)性安全完整性的屬性—可編程電子集成(硬件和軟件) 表C.7系統(tǒng)性安全完整性的屬性—系統(tǒng)安全確認(rèn)的軟件方面 表C.8系統(tǒng)性安全完整性屬性—軟件修改 表C.9系統(tǒng)性安全完整性的屬性—軟件驗(yàn)證 表C.10系統(tǒng)性安全完整性的屬性—功能安全評(píng)估 表C.11詳細(xì)屬性—設(shè)計(jì)和編碼標(biāo)準(zhǔn) 表C.12詳細(xì)屬性—?jiǎng)討B(tài)分析和測(cè)試 表C.13詳細(xì)屬性—功能和黑盒測(cè)試 表C.14詳細(xì)屬性—失效分析 表C.15詳細(xì)屬性—建模 表C.16詳細(xì)屬性—性能測(cè)試 表C.17詳細(xì)屬性—半形式化方法 ⅢGB/T20438.3—2017/IEC61508-3:2010表C.18系統(tǒng)性安全完整性的屬性一靜態(tài)分析 表C.19詳細(xì)屬性—模塊化方法 表E.1GB/T20438.2要求分類 表F.2模塊耦合類型 VGB/T20438.3—2017/IEC61508-3:2010——第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求；——第4部分：定義和縮略語；——第5部分：確定安全完整性等級(jí)的方法示例；——第6部分：GB/T20438.2和GB/T20438.3的應(yīng)用指南；——第7部分：技術(shù)和措施概述。本部分為GB/T20438的第3部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。本部分代替GB/T20438.3—2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：——增加了軟件系統(tǒng)性能力的屬性(見附錄C);——增加了符合項(xiàng)安全手冊(cè)—軟件組件的附加要求(見附錄D);——增加了GB/T20438.2和GB/T20438.3之間的關(guān)系(見附錄E);——增加了單個(gè)計(jì)算機(jī)中各軟件組件間實(shí)現(xiàn)互不干擾的技術(shù)(見附錄F);——增加了數(shù)據(jù)驅(qū)動(dòng)系統(tǒng)的生命周期剪裁指南(見附錄G)。本部分使用翻譯法等同采用IEC61508-3:2010《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求》。本部分由中國機(jī)械工業(yè)聯(lián)合會(huì)提出。本部分由全國工業(yè)過程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)歸口。本部分所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為：——GB/T20438.3—2006。GB/T20438.3—2017/IEC61508-3:2010由電氣和電子器件構(gòu)成的系統(tǒng)，多年來在許多應(yīng)用領(lǐng)域中執(zhí)行其安全功能。以計(jì)算機(jī)為基礎(chǔ)的系統(tǒng)(一般指可編程電子系統(tǒng))在其應(yīng)用領(lǐng)域中用于執(zhí)行非安全功能，并且也越來越多地用于執(zhí)行安全功能。如果要安全并有效地使用計(jì)算機(jī)技術(shù)，有關(guān)決策者在安全方面有充足的指導(dǎo)并據(jù)此做出決定是十分必要的。GB/T20438針對(duì)由電氣和/或電子和/或可編程電子(E/E/PE)組件構(gòu)成的、用來執(zhí)行安全功能的系統(tǒng)安全生命周期的所有活動(dòng)，提出了一個(gè)通用的方法。采用統(tǒng)一的方法的目的是為了針對(duì)所有以電為基礎(chǔ)的安全相關(guān)系統(tǒng)提出一種一致的、合理的技術(shù)方針。主要目標(biāo)是促進(jìn)基于GB/T20438系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域國家標(biāo)準(zhǔn)的制定。注1:在參考文獻(xiàn)中給出了基于GB/T20438系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的例子(見參考文獻(xiàn)[1],[2],[3])。等)的系統(tǒng)來保證安全。因而不得不考慮各類安全策略，不僅要考慮單個(gè)系統(tǒng)中的所有組件的問題(如術(shù)的安全相關(guān)系統(tǒng)也可被考慮進(jìn)去。E/E/PE安全相關(guān)系統(tǒng)。對(duì)每個(gè)特定的應(yīng)用，將根據(jù)特定應(yīng)用的許多因素來確定所需的安全措施。GB/T20438——使涉及E/E/PE安全相關(guān)系統(tǒng)的產(chǎn)品和應(yīng)用領(lǐng)域的國家標(biāo)準(zhǔn)得以制定；在GB/T20438的框——為實(shí)現(xiàn)E/E/PE安全相關(guān)系統(tǒng)所需的功能安全，提供了編制安全要求規(guī)范的方法；——采用了一種可確定安全完整性要求的基于風(fēng)險(xiǎn)的方法；——引入安全完整性等級(jí)，用于規(guī)定E/E/PE安全相關(guān)系統(tǒng)所要執(zhí)行的安全功能的目標(biāo)安全完整注2:GB/T20438沒有規(guī)定每個(gè)安全功能的安全完整性等級(jí)的要求，也沒有規(guī)定如何確定安全完整性等級(jí)。而是提供了一種基于風(fēng)險(xiǎn)概念的框架和技術(shù)范例。——建立了E/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能的目標(biāo)失效量，這些量都同安全完整性等級(jí)相聯(lián)系；——建立了單一E/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能時(shí)，目標(biāo)失效量的一個(gè)下限值。這些E/E/PE安全相關(guān)系統(tǒng)運(yùn)行在：——低要求運(yùn)行模式下，下限設(shè)定成要求時(shí)危險(xiǎn)失效平均概率為10-5;——高要求或連續(xù)運(yùn)行模式下，下限設(shè)定成危險(xiǎn)失效平均頻率為10-?/h。注3:單一E/E/PE安全相關(guān)系統(tǒng)不一定是單通道架構(gòu)。注4:對(duì)于非復(fù)雜系統(tǒng)，通過安全相關(guān)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)更優(yōu)目標(biāo)安全完整性是可能的。但對(duì)于相對(duì)復(fù)雜的系統(tǒng)(例如可編程電子安全相關(guān)系統(tǒng)),這些限值代表了目前能夠達(dá)到的水平。VGB/T20438.3—2017/IEC61508-3:2010——采用多種原理、技術(shù)和措施以實(shí)現(xiàn)E/E/PE安全相關(guān)系統(tǒng)的功能安全，但沒有明確地使用失V1GB/T20438.3—2017/IEC61508-3:2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求1.1GB/T20438的本部分：a)應(yīng)建立在充分理解GB/T20438.1和GB/T20438.2的基礎(chǔ)上使用；b)適用于在GB/T20438.1和GB/T20438.2范圍內(nèi)構(gòu)成安全相關(guān)系統(tǒng)的一部分或用于開發(fā)安c)提供適用于在GB/T20438.1和GB/T20438.2范圍內(nèi)開發(fā)和配置安全相關(guān)系統(tǒng)的支持工具注1:如果這一要求作為電氣/電子/可編程電子安全相關(guān)系統(tǒng)規(guī)范(見GB/T20438.2—2017中7.2)的一部分已提注2:規(guī)定軟件安全功能和軟件系統(tǒng)性能力是一個(gè)反復(fù)的過程，見圖3和圖6。注3:文檔結(jié)構(gòu)要求見GB/T20438.1—2017的第5章和附錄A。文檔結(jié)構(gòu)可能要考慮公司規(guī)程和特殊應(yīng)用領(lǐng)域的工作實(shí)際情況。i)結(jié)合GB/T20438.1和GB/T20438.2,提出對(duì)支持工具的要求注5:圖5表示了GB/T20438.2和GB/T20438.3之間的關(guān)系。j)不適用于符合IEC60601系列的醫(yī)療設(shè)備。委員會(huì)可以在IEC指南104和ISO/IEC指南51的指導(dǎo)下制定相關(guān)標(biāo)準(zhǔn)時(shí)使用。GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4也可作為獨(dú)立標(biāo)準(zhǔn)來使用。GB/T20438的橫向安全1.4圖1表示了GB/T20438的整體框架，同時(shí)明確了本部分在實(shí)現(xiàn)E/E/PE安全相關(guān)系統(tǒng)功能安全2GB/T20438.3—2017/IEC61508-3:2010第1部分編制整體安全要求(概念、范圍、定7.1～7.5第1部分系統(tǒng)7.6第1部分7.10第2部分E/E/PE安全相段第3部分安全相關(guān)軟件第1部分第1部分第5部分第6部分第2部分和第3部第7部分20438的整體框架第4部分第1部分第5章和附錄A第1部分第1部分3GB/T20438.3—2017/IEC61508-3:2010677注：整體89命周期)16退役或處置2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T20438.1—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求(IEC61508-1:2010,IDT)GB/T20438.2—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求(IEC61508-2:2010,IDT)GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義及縮略4GB/T20438.3—2017/IEC61508-3:2010語(IEC61508-4:2010,IDT)IECGuide104:1997安全出(Thepreparationofsafetypublicationsandtheuseofbasicsafetypublicationsandgroupsafetypubli-涉及安全的內(nèi)容將安全內(nèi)容納入標(biāo)準(zhǔn)的指南(Safetyaspects—GuidelinesfortheirinclusioninstaGB/T20438.4—2017界定的定義和縮略語適用于本文件。本部分對(duì)GB/T20438的符合性要求，詳見GB/T20438.1—2017的第4章。本部分對(duì)文檔的要求，詳見GB/T20438.1—2017的第5章。見GB/T20438.1—2017中6.1。6.2.1見GB/T20438.1—2017中6.2,以下為附加要求。6.2.2功能安全計(jì)劃應(yīng)規(guī)定由E/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能的安全完整性等級(jí)所需的軟件采5GB/T20438.3—2017/IEC61508-3:2010注1:為指導(dǎo)、加強(qiáng)管理和技術(shù)控制的使用，有必要進(jìn)行管理決定和授權(quán)。注2:一種極端情況，影響分析可能包括一次非正式的評(píng)估；另一種極端情況，影響分析可能包括針對(duì)所有可能被不恰當(dāng)?shù)乩斫饣驁?zhí)行的建議變更的潛在不利影響進(jìn)行一次嚴(yán)格正式分析。見GB/T20438.7影響分析指南。注3:本條款可能包括對(duì)特定目標(biāo)系統(tǒng)以及通用系統(tǒng)的考慮。非應(yīng)用軟件可能需要一種安全的加載方法，如：固件。g)應(yīng)正式歸檔安全相關(guān)軟件的發(fā)布。軟件的主要備份和所有有關(guān)文檔和服務(wù)的數(shù)據(jù)版本在已發(fā)注4:對(duì)于配置管理的更詳細(xì)的信息，見GB/T20438.7。7軟件安全生命周期要求7.1的目的是將軟件開發(fā)納入到已定義的各階段和活動(dòng)中(見表1、圖3～圖6)。7.1.2.1軟件開發(fā)的安全生命周期應(yīng)在根據(jù)GB/T20438.1—2017第6章的安全計(jì)劃編制期間進(jìn)行挑選和規(guī)定。注：見圖3、圖4和表1。7.1.2.4只要軟件安全生命周期滿足表1要求，允許根據(jù)項(xiàng)目的安全完整性和復(fù)雜性對(duì)V模型(見圖6)進(jìn)行裁剪。注1:滿足本章要求的軟件安全生命周期模型可按照項(xiàng)目或組織的需要適當(dāng)定制。表1中生命周期各階段的全部列表更適用新開發(fā)的大型系統(tǒng)。對(duì)于小的系統(tǒng)，例如將軟件系統(tǒng)設(shè)計(jì)和架構(gòu)設(shè)計(jì)合并也是合適的。注2:數(shù)據(jù)驅(qū)動(dòng)系統(tǒng)特性(例如：全可變/有限可變編程語言、數(shù)據(jù)配置的程度)見附錄G,這些特性在定制軟件安全生命周期時(shí)可能是相關(guān)的。7.1.2.5軟件安全生命周期的定制應(yīng)基于功能安全進(jìn)行論證。7.1.2.6質(zhì)量和安全保證規(guī)程應(yīng)該集成到安全生命周期活動(dòng)中。7.1.2.7對(duì)生命周期的每個(gè)階段，應(yīng)使用適當(dāng)?shù)募夹g(shù)和措施。附錄A和附錄B提供了選擇技術(shù)和措施的指南，并參考GB/T20438.6和GB/T20438.7。GB/T20438.6和GB/T20438.7給出了達(dá)到系統(tǒng)性安全完整性要求屬性的特定技術(shù)推薦。僅從這些推薦中選擇技術(shù)不能保證就實(shí)現(xiàn)了要求的安全完注：成功實(shí)現(xiàn)系統(tǒng)性安全完整性依賴于在選擇技術(shù)時(shí)考慮如下因素：——為整個(gè)開發(fā)周期選擇的方法、語言和工具的一致性和互補(bǔ)性；——開發(fā)者是否完全理解使用方法、語言和工具； 在開發(fā)期間.方法、語言和工具是否對(duì)遇到的特定問題有很好的適用性7.1.2.8軟件安全生命周期中的活動(dòng)結(jié)果應(yīng)歸檔(見第5章)。注：GB/T20438.1—2017第5章考慮了安全生命周期各階段輸出的文檔。在E/E/PE安全相關(guān)系統(tǒng)的開發(fā)中，某些安全生命周期階段的輸出文檔可能是單獨(dú)的，而一些階段的輸出文檔可能是合并的。本質(zhì)的要求是安全生命周期階段的輸出與預(yù)期目的相匹配。注：一種極端情況，影響分析可能包括一次非正式的評(píng)估；另一種極端情況，影響分析可能包括針對(duì)所有可能被不恰當(dāng)?shù)乩斫饣驁?zhí)行的建議變更的潛在不利影響進(jìn)行一次嚴(yán)格正式分析。見GB/T20438.7影響分析指南。6至圖2方框14至圖2方框14GB/T20438.3—2017/IEC61508-3:2010圖2的方框10周期)計(jì)劃編制計(jì)劃編制至圖2方框12至圖2方框12(見圖3)PE集成(硬件和軟件)10.6系統(tǒng)安全確認(rèn)的軟件部分至圖2方框14至圖2方框12圖4軟件安全生命周期(在實(shí)現(xiàn)階段)7GB/T20438.3—2017/IEC61508-3:2010第2部分的范圍第2部分的范圍可編程電子集成(硬件和軟件)設(shè)計(jì)和開發(fā)確認(rèn)確認(rèn)設(shè)計(jì)編碼經(jīng)確認(rèn)的軟件要求規(guī)范(模塊)輸出驗(yàn)證圖6軟件系統(tǒng)性能力和開發(fā)生命周期(V模型)8GB/T20438.3—2017/IEC61508-3:2010安全生命周期階段范圍要求所在的條款輸入(要求的信息)輸出(產(chǎn)生的信息)圖4中的方框號(hào)標(biāo)題軟件安全要求規(guī)范根據(jù)軟件安全功能要求和軟件系統(tǒng)性能力要求規(guī)定軟件安全要求；對(duì)每個(gè)需要執(zhí)行一定安全功能的E/E/PE安全相關(guān)系統(tǒng)規(guī)定軟件安全功能的要求；規(guī)定每一個(gè)E/E/PE安全相關(guān)系統(tǒng)對(duì)于軟件系統(tǒng)性能力的要求，以保證獲得這一E/E/PE系統(tǒng)分配的每一安全功能需達(dá)到的安全完整性等級(jí)PE系統(tǒng)；軟件系統(tǒng)7.2.2在分配階段生成的E/E/PE安全要求規(guī)范(見GB/T20438.1)GB/T20438.2)軟件安全要求規(guī)范系統(tǒng)安全軟件部分的確認(rèn)計(jì)劃編制系統(tǒng)安全的軟件確認(rèn)計(jì)劃PE系統(tǒng)；軟件系統(tǒng)7.3.2軟件安全要求規(guī)范系統(tǒng)安全軟件部分的確認(rèn)計(jì)劃軟件設(shè)計(jì)和開發(fā)架構(gòu)：創(chuàng)建軟件架構(gòu)，滿足不同的安全完整性等級(jí)中對(duì)軟件安全規(guī)定要求；評(píng)價(jià)E/E/PE安全相關(guān)系統(tǒng)硬件架構(gòu)對(duì)軟件的要求，包括E/E/PE中軟件/硬件相互作用對(duì)受控設(shè)備安全性的影響。PE系統(tǒng)；軟件系統(tǒng)7.4.3軟件安全要求規(guī)范；GB/T20438.2)軟件架構(gòu)設(shè)計(jì)；軟件架構(gòu)集成測(cè)試軟件/可編程電子集GB/T20438.2中也做了要求)軟件設(shè)計(jì)和開發(fā)支持工具和編程語言：在用于輔助驗(yàn)證、確認(rèn)、評(píng)估和修改的軟件整個(gè)生命周期中，根據(jù)要求的安全完整性等級(jí)選擇合適的工具集，包括語言和編譯器、運(yùn)行時(shí)系統(tǒng)接口、用戶界面、數(shù)據(jù)格式和表現(xiàn)形式PE系統(tǒng)；軟件系統(tǒng)；支持工具；編程語言。7.4.4軟件安全要求規(guī)范；軟件架構(gòu)設(shè)計(jì)開發(fā)工具的選擇軟件設(shè)計(jì)和開發(fā)詳細(xì)設(shè)計(jì)和開發(fā)(軟件系統(tǒng)設(shè)計(jì)):設(shè)計(jì)和實(shí)現(xiàn)軟件，以滿足要求的安全完整性等級(jí)對(duì)安全相關(guān)軟件規(guī)定的要證并能被安全地修改軟件架構(gòu)設(shè)計(jì)的主要組件和子系統(tǒng)7.4.5軟件架構(gòu)設(shè)計(jì)；規(guī)范9GB/T20438.3—2017/IEC61508-3:2010表1(續(xù))安全生命周期階段范圍要求所在的條款輸入(要求的信息)輸出(產(chǎn)生的信息)圖4中的方框號(hào)標(biāo)題軟件設(shè)計(jì)和開發(fā)詳細(xì)設(shè)計(jì)和開發(fā)(單個(gè)軟件模塊設(shè)計(jì)):設(shè)計(jì)和實(shí)現(xiàn)軟件，以滿足要求的安全完整性等級(jí)對(duì)安全相關(guān)軟件規(guī)定的要證并能被安全地修改軟件系統(tǒng)設(shè)計(jì)7.4.5軟件系統(tǒng)設(shè)計(jì)規(guī)范；支持工具和編碼標(biāo)準(zhǔn)軟件設(shè)計(jì)和開發(fā)詳細(xì)代碼實(shí)現(xiàn)：設(shè)計(jì)和實(shí)現(xiàn)軟件，以滿足要求的安全完整性等級(jí)對(duì)安全相關(guān)軟件規(guī)定的要證并能被安全地修改單個(gè)軟件模塊7.4.6軟件模塊設(shè)計(jì)規(guī)范；支持工具和編碼標(biāo)準(zhǔn)源代碼清單；代碼復(fù)審報(bào)告軟件設(shè)計(jì)和開發(fā)軟件模塊測(cè)試：驗(yàn)證對(duì)安全相關(guān)軟件的要求已實(shí)現(xiàn)(根據(jù)要求的軟件安全功能和軟件系統(tǒng)性能力)。說明每一軟件模塊以實(shí)現(xiàn)其預(yù)定的功能，而不實(shí)現(xiàn)非預(yù)定的功能。在適用的范圍內(nèi)，確保用數(shù)據(jù)配置PE系統(tǒng)能滿足軟件系統(tǒng)性能力的特定要求軟件模塊7.4.7軟件模塊測(cè)試規(guī)范；源代碼清單；代碼復(fù)審報(bào)告軟件設(shè)計(jì)和開發(fā)軟件集成測(cè)試：驗(yàn)證對(duì)安全相關(guān)軟件的要求已實(shí)現(xiàn)(根據(jù)要求的軟件安全功能和軟件系統(tǒng)性能力)。說明所有軟件模塊、組件和子系統(tǒng)相互正確作用以實(shí)現(xiàn)其預(yù)定的功能，而不實(shí)現(xiàn)非預(yù)定的功能。在適用的范圍內(nèi)，確保用數(shù)據(jù)配置PE系統(tǒng)能滿足軟件系統(tǒng)性能力的特定要求軟件架構(gòu)；軟件系統(tǒng)7.4.8軟件系統(tǒng)集成測(cè)試規(guī)范軟件系統(tǒng)集成測(cè)試經(jīng)驗(yàn)證和測(cè)試的軟GB/T20438.3—2017/IEC61508-3:2010表1(續(xù))安全生命周期階段范圍要求所在的條款輸入(要求的信息)輸出(產(chǎn)生的信息)圖4中的方框號(hào)標(biāo)題可編程電子集成(硬件和軟件)在目標(biāo)可編程電子硬件上集成軟件；將軟件和硬件結(jié)合到安全相關(guān)的可編程電子上以保證其兼容性和滿足預(yù)定安全完整性等級(jí)的要求?？删幊屉娮佑布?；集成的軟件7.5.2軟件架構(gòu)集成測(cè)試軟件/PE集成測(cè)試規(guī)范(在GB/T20438.2中也做了要求);集成的可編程電子軟件架構(gòu)集成測(cè)試可編程電子集成測(cè)經(jīng)驗(yàn)證和測(cè)試的集成可編程電子軟件運(yùn)行和修改規(guī)程提供軟件有關(guān)的信息和規(guī)程以保持運(yùn)行和修改階段中E/E/PE安全相關(guān)系統(tǒng)的功能安全。同上7.6.2與上面所有內(nèi)容相關(guān)的規(guī)程系統(tǒng)安全確方面保證集成的系統(tǒng)符合安全相關(guān)軟件在預(yù)定安全完整性等級(jí)下的規(guī)定要求同上7.7.2系統(tǒng)安全的軟件確認(rèn)計(jì)劃軟件安全確認(rèn)結(jié)果；軟件修改修正、增強(qiáng)或調(diào)整確認(rèn)軟件以保證維持所要求的軟件系統(tǒng)性能力同上7.8.2軟件修改規(guī)程；軟件修改請(qǐng)求軟件修改影響分析軟件修改日志軟件驗(yàn)證測(cè)試和評(píng)價(jià)給定軟件安全生命周期階段的輸出，以保證當(dāng)輸入該階段時(shí)提供的輸出與標(biāo)準(zhǔn)的正確性和一致性。根據(jù)階段7.9.2適當(dāng)?shù)尿?yàn)證計(jì)劃(根據(jù)階段)適當(dāng)?shù)尿?yàn)證報(bào)告(根據(jù)階段)軟件功能安全評(píng)估調(diào)查并對(duì)E/E/PE安全相關(guān)系統(tǒng)所實(shí)現(xiàn)的功能安全的軟件方面作出判斷所有以上階段8軟件功能安全評(píng)估計(jì)劃軟件功能安全評(píng)估報(bào)告GB/T20438.3—2017/IEC61508-3:2010統(tǒng)性能力的要求。注1:這些要求大多情況下可由通用嵌入式軟件和特定應(yīng)用軟件共同滿足。要求兩者結(jié)合來提供滿足下列條款的特性。兩者之間的精確劃分依據(jù)所選擇的軟件架構(gòu)(見7.4.3)。注2:為了選擇合適的技術(shù)和措施(見附錄A和B)來執(zhí)行7.2的要求，宜考慮如下的軟件安全要求規(guī)范的屬性(屬性的解釋指南見附錄C和GB/T20438.7—2017附錄F非正式定義):——需要由軟件來確保安全方面的完整性；——需要由軟件來確保安全方面的正確性； 安全要求的可理解性；——沒有非安全功能對(duì)由軟件來確保安全的不利干擾；——為驗(yàn)證和確認(rèn)提供基礎(chǔ)的能力。注3:由軟件提供的安全是一組安全功能與相應(yīng)安全完整性要求，上述內(nèi)容是通過E/E/PE系統(tǒng)的設(shè)計(jì)分配給軟件功能的。(系統(tǒng)安全要求的完整集是一個(gè)更大的集，也包括不依靠軟件的安全功能)。軟件安全要求規(guī)范的完整性非常依賴早期的系統(tǒng)生命周期階段的有效性。7.2.2.1如果安全相關(guān)軟件的要求已在E/E/PE安全相關(guān)系統(tǒng)的要求中規(guī)定(見GB/T20438.2—2017中第7章),則在軟件安全要求規(guī)范中不必重復(fù)。7.2.2.2安全相關(guān)軟件要求規(guī)范應(yīng)由E/E/PE安全相關(guān)系統(tǒng)規(guī)定的安全要求(見GB/T20438.2—2017第7章)和任何安全計(jì)劃的要求(見第6章)中得出，軟件開發(fā)人員應(yīng)能獲取這些信息。注1:這一要求并不意味著E/E/PE系統(tǒng)開發(fā)人員和軟件開發(fā)人員之間沒有反復(fù)(GB/T20438.2和GB/T20438.3),當(dāng)安全相關(guān)軟件要求和軟件架構(gòu)變得更加精確時(shí)，將會(huì)對(duì)E/E/PE系統(tǒng)硬件架構(gòu)產(chǎn)生影響，因此軟件和硬件開發(fā)人員之間的密切合作就變得非常必要了，見圖5。注2:軟件設(shè)計(jì)包含已有重復(fù)使用軟件時(shí)，原軟件的開發(fā)可能沒有考慮當(dāng)今系統(tǒng)要求規(guī)范。對(duì)已有軟件滿足軟件安全要求規(guī)范的要求見7.4.2.12。7.2.2.3安全相關(guān)軟件要求規(guī)范應(yīng)足夠細(xì)致以使設(shè)計(jì)和實(shí)施能達(dá)到要求的安全完整性(包括獨(dú)立性要措施。注：軟件獨(dú)立性實(shí)現(xiàn)技術(shù)見附錄F。a)安全功能；b)系統(tǒng)配置或架構(gòu)；c)硬件安全完整性要求(可編程電子、傳感器和執(zhí)行器);d)軟件系統(tǒng)性能力要求；e)容量和響應(yīng)時(shí)間；注：宜考慮與已有應(yīng)用相兼容。7.2.2.6如果沒有在E/E/PE安全相關(guān)系統(tǒng)的規(guī)定安全要求中充分定義，EUC、E/E/PE系統(tǒng)以及連接到E/E/PE系統(tǒng)的其他設(shè)備或系統(tǒng)的所有相關(guān)運(yùn)行模式應(yīng)在規(guī)定的安全相關(guān)軟件要求中詳細(xì)說明。7.2.2.7軟件安全要求規(guī)范應(yīng)該規(guī)定和歸檔軟硬件之間的所有安全相關(guān)的或有關(guān)的約束。GB/T20438.3—2017/IEC61508-3:2010a)軟件自監(jiān)視(例子見GB/T20438.7);e)為了滿足E/E/PE安全相關(guān)系統(tǒng)性安全完整性要求，執(zhí)行所有檢驗(yàn)測(cè)試和自診斷測(cè)試的軟件7.2.2.9當(dāng)要求E/E/PE安全相關(guān)系統(tǒng)執(zhí)行非安全功能時(shí)，安全相關(guān)軟件的規(guī)定要求應(yīng)明確識(shí)別出非1)使EUC實(shí)現(xiàn)或維持安全狀態(tài)的功能；5)安全功能在線(即在預(yù)期的運(yùn)行環(huán)境中)周期測(cè)試的相關(guān)功能；6)安全功能離線(即EUC處于不依賴于其安全功能的環(huán)境中)周期測(cè)試的相關(guān)功能；7)允許安全修改PE系統(tǒng)的功能；8)與非安全相關(guān)功能的接口；9)容量和響應(yīng)時(shí)間性能；10)軟件和PE系統(tǒng)之間的接口；注1:包括離線和在線的編程設(shè)備。11)安全相關(guān)通信(見GB/T20438.2—2017的7.4.11)。b)對(duì)軟件系統(tǒng)性能力的要求：1)在上述a)中每個(gè)功能的安全完整性等級(jí)；注2:關(guān)于分配安全完整性給軟件組件的信息見GB/T20438.5—2017的附錄A。2)功能間的獨(dú)立性要求。a)與系統(tǒng)安全要求一致；b)按照允許范圍和經(jīng)授權(quán)的一組運(yùn)行參數(shù)來表示；注1:這個(gè)對(duì)應(yīng)用數(shù)據(jù)的要求特別針對(duì)數(shù)據(jù)驅(qū)動(dòng)的應(yīng)用。有下面的特性：源碼已經(jīng)存在，開發(fā)活動(dòng)的主要目的是保注2:數(shù)據(jù)驅(qū)動(dòng)系統(tǒng)指南見附錄G。7.2.2.12如果數(shù)據(jù)定義軟件和外部系統(tǒng)間的接口，在GB/T20438.2—2017的7.4.11之外，應(yīng)該考慮下面的性能特性：a)需要與數(shù)據(jù)定義一致；e)數(shù)據(jù)存儲(chǔ)容量的上溢和下溢。GB/T20438.3—2017/IEC61508-3:20107.2.2.13應(yīng)保護(hù)運(yùn)行參數(shù)，以防止：a)無效的、超出范圍或不適時(shí)的值；b)非授權(quán)變更；注1:基于軟件和非軟件機(jī)制，宜考慮防止非授權(quán)變更。注意有效防止非授權(quán)的軟件更改可能對(duì)安全產(chǎn)生不利的影響，比如當(dāng)變更需要在快速和有壓力條件下進(jìn)行時(shí)。注2:雖然人員可以是安全相關(guān)系統(tǒng)的一部分(見GB/T20438.1—2017的第1章),與E/E/PE安全相關(guān)系統(tǒng)設(shè)計(jì)相關(guān)的人的因素要求在GB/T20438中沒有詳細(xì)考慮。然而，宜適當(dāng)考慮下面關(guān)于人的因素：——操作員信息系統(tǒng)宜用圖形化布局和操作員熟悉的術(shù)語。它是清楚的，容易理解并且沒有不必要的細(xì)節(jié)和/或方面；——EUC向操作員顯示的信息宜密切匹配EUC的物理布局；——如果操作員面對(duì)幾個(gè)顯示內(nèi)容，和/或可能的操作員動(dòng)作允許產(chǎn)生互動(dòng)，其后果不能一目了然，顯示的信息宜自動(dòng)包括一個(gè)顯示或一個(gè)動(dòng)作順序的每種狀態(tài)，信息宜顯示何種序列狀態(tài)已經(jīng)到達(dá)、何種操作可行和何種可能的后果可選擇。注1:本階段對(duì)應(yīng)圖4中的方框10.2。注2:軟件確認(rèn)通常不能脫離它的底層硬件和系統(tǒng)環(huán)境。7.3.2要求7.3.2.1應(yīng)編制計(jì)劃來規(guī)定規(guī)程上和技術(shù)上的步驟，用以證明軟件滿足其安全要求。c)EUC相關(guān)運(yùn)行模式的確定，包括：1)使用的準(zhǔn)備，包括設(shè)置和調(diào)整；2)啟動(dòng)、教學(xué)、自動(dòng)、手動(dòng)、半自動(dòng)、穩(wěn)定狀態(tài)運(yùn)行；3)重啟、關(guān)機(jī)、維護(hù)；e)確認(rèn)的技術(shù)策略(如分析方法、統(tǒng)計(jì)測(cè)試等);i)評(píng)價(jià)確認(rèn)結(jié)果的方針和規(guī)程，特別是失敗時(shí)。注：這些要求基于GB/T20438.1—2017中7.8的一般要求。GB/T20438.3—2017/IEC61508-3:2010d)選擇接受的準(zhǔn)則是基于客觀因素或?qū)＜遗袛噙€是兩者均選。7.3.2.4如果安全完整性等級(jí)有要求(見GB/T20438.1—2017的第8章),則作為系統(tǒng)安全軟件方面確認(rèn)計(jì)劃編制規(guī)程的一部分，系統(tǒng)安全軟件方面確認(rèn)計(jì)劃的范圍和內(nèi)容應(yīng)得到評(píng)估人員或評(píng)估方代表的認(rèn)可。該規(guī)程還應(yīng)說明在測(cè)試過程中評(píng)估人員是否需要出席。7.3.2.5完成軟件確認(rèn)通過/失敗的準(zhǔn)則應(yīng)包括：a)要求的輸入信號(hào)及其序列和值；b)預(yù)期的輸出信號(hào)及其序列和值；注：這一階段為圖4中的方框10.3。7.4.1.17.4的第一個(gè)目的是創(chuàng)建軟件架構(gòu)以滿足要求的安全完整性等級(jí)中對(duì)安全相關(guān)軟件規(guī)定的7.4.1.27.4的第二個(gè)目的是評(píng)價(jià)由E/E/PE系統(tǒng)安全相關(guān)系統(tǒng)硬件架構(gòu)對(duì)軟件的要求，包括E/E/PE系統(tǒng)中軟件和硬件相互作用對(duì)受控設(shè)備安全性的影響。7.4.1.37.4的第三個(gè)目的是為要求的安全完整性等級(jí)選擇合適的工具集，包括語言和編譯器、運(yùn)行時(shí)7.4.1.57.4的第五個(gè)目的是驗(yàn)證安全相關(guān)軟件要求(根據(jù)要求的軟件安全功能和軟件系統(tǒng)性能力)已7.4.1.67.4的第六個(gè)目的是在適用的范圍內(nèi)，確保PE系統(tǒng)的數(shù)據(jù)配置滿足軟件系統(tǒng)性能力的規(guī)定要求。7.4.2.1根據(jù)軟件開發(fā)的性質(zhì)，符合7.4的責(zé)任取決于安全相關(guān)編程環(huán)境的供方(如PLC供應(yīng)商),或取決于該環(huán)境的用戶(如應(yīng)用軟件開發(fā)者),或取決于兩者。責(zé)任的劃分應(yīng)在安全計(jì)劃編制過程中確定(見第6章)。b)表達(dá)以下內(nèi)容：2)組件間的信息流；3)序列和時(shí)間相關(guān)的信息；5)訪問共享資源的并發(fā)性和同步性；6)數(shù)據(jù)結(jié)構(gòu)及其屬性；7)設(shè)計(jì)假設(shè)及其關(guān)聯(lián)性；GB/T20438.3—2017/IEC61508-3:20108)異常處理；c)表達(dá)包括結(jié)構(gòu)視圖和行為視圖在內(nèi)的若干設(shè)計(jì)視圖的能力；d)使開發(fā)者和其他需要了解設(shè)計(jì)的人員理解；e)驗(yàn)證和確認(rèn)。7.4.2.3為了有助于這些屬性在最終安全相關(guān)系統(tǒng)中的執(zhí)行，在設(shè)計(jì)活動(dòng)中應(yīng)考慮可測(cè)試性和安全修注：見附錄F.7。7.4.2.5設(shè)計(jì)表達(dá)方式應(yīng)依據(jù)明確定義的或受限于明確定義了特征的符號(hào)表示法。7.4.2.6設(shè)計(jì)應(yīng)盡可能將軟件中的安全相關(guān)部分簡單化。時(shí)應(yīng)采取適當(dāng)?shù)男袆?dòng)。的設(shè)計(jì)措施保證非安全功能失效不會(huì)對(duì)安全功能產(chǎn)生不利影響。7.4.2.9當(dāng)軟件執(zhí)行不同安全完整性等級(jí)的安全功能時(shí)，所有的軟件都被認(rèn)為屬于最高安全完整性等7.4.2.10如果軟件組件的系統(tǒng)性能力低于其提供的安全功能的安全2017的7.4.3中系統(tǒng)性能力要求?，F(xiàn)。主處理器的組件安全功能是節(jié)流閥理想的要求/響應(yīng)行為。另一個(gè)處理器的GB/T20438.7-2017的C.3.4),并在必要時(shí)應(yīng)用緊急停止。兩個(gè)處理器的組合實(shí)現(xiàn)了端到端安全功能“防止非要求加應(yīng)同時(shí)滿足以下a)和b):a)滿足以下符合性路線之一：——路線2s:經(jīng)使用證明。提供組件已在使用中證明的證據(jù)。見GB/T20438.2—2017的7.4.10;——路線3s:非符合性開發(fā)評(píng)估。符合7.4.2.13。注2:見GB/T20438.4—2017的3.2.8。已有軟件可能是注3:對(duì)已有組件的要求適用于運(yùn)行時(shí)庫或一個(gè)解釋器。GB/T20438.3—2017/IEC61508-3:2010b)提供安全手冊(cè)(見GB/T20438.2—2017的附錄D和本部分的附錄D)以給出足夠精確和完整的組件描述，使得一個(gè)整體或部分依賴于已有軟件組件的特定安全功能的完整性評(píng)估成為7.4.2.13為遵守路線3s,一個(gè)已有軟件組件應(yīng)滿足下列a)～i)的全部要求：a)組件的軟件安全要求規(guī)范在其新應(yīng)用中應(yīng)歸檔，此文檔應(yīng)按照本部分為任何同等系統(tǒng)性能力的安全相關(guān)組件要求的同等精確程度建立。軟件安全要求規(guī)范應(yīng)覆蓋組件在其新應(yīng)用中適用的功能和安全行為及7.2中的規(guī)定。見表A.1。b)軟件組件的使用論證應(yīng)提供足夠的證據(jù)，表明在附錄C的指導(dǎo)下考慮了相關(guān)條款(即7.2.2、c)組件設(shè)計(jì)應(yīng)歸檔，并具備一定程度的精確性和充分性，以對(duì)其符合規(guī)范要求和符合要求的系統(tǒng)性能力提供證據(jù)。見7.4.3、7.4.5和7.4.6,以及附錄A的表A.2和表A.4。d)7.4.2.13a)和7.4.2.13b)要求的證據(jù)應(yīng)覆蓋硬件與軟件的集成。見7.5和附錄A的表A.6。e)應(yīng)有證據(jù)表明，組件已采用系統(tǒng)性方法進(jìn)行驗(yàn)證與確認(rèn)，該方法包括文檔化的測(cè)試和對(duì)所有組附錄B中的相關(guān)表格。f)如果軟件組件提供安全相關(guān)系統(tǒng)中不需要的功能，那么應(yīng)提供證據(jù)表明不需要的功能不會(huì)阻止E/E/PE系統(tǒng)滿足其安全要求。g)應(yīng)有證據(jù)表明已經(jīng)識(shí)別了軟件組件的所有可信失效機(jī)制并采取了適當(dāng)?shù)木徑獯胧)組件使用計(jì)劃應(yīng)確定軟件組件的配置、軟件和硬件運(yùn)行時(shí)環(huán)境和編譯/連接系統(tǒng)的配置(如有必要)。i)使用組件的論證僅對(duì)其應(yīng)用遵從組件符合項(xiàng)安全手冊(cè)所做的假設(shè)時(shí)有效(見GB/T20438.2—2017的附錄D和本部分的附錄D)。7.4.2.14在適用的范圍內(nèi)，7.4.2條應(yīng)用于數(shù)據(jù)和數(shù)據(jù)生成語言。a)當(dāng)PE系統(tǒng)由通過數(shù)據(jù)進(jìn)行配置的已有功能組成來滿足特定應(yīng)用要求時(shí)，應(yīng)用軟件的設(shè)計(jì)應(yīng)與應(yīng)用的可配置度、已交付的既有功能和PE安全相關(guān)系統(tǒng)的復(fù)雜度相匹配。b)當(dāng)PE系統(tǒng)的安全相關(guān)功能在很大程度上或主要取決于配置數(shù)據(jù)時(shí)，應(yīng)使用適當(dāng)?shù)募夹g(shù)和措施以防止在配置數(shù)據(jù)的設(shè)計(jì)、生產(chǎn)、裝載和修改期間引入故障，并確保配置數(shù)據(jù)正確地描述應(yīng)用邏輯。c)數(shù)據(jù)結(jié)構(gòu)規(guī)范應(yīng)：——與系統(tǒng)的功能要求一致，包括應(yīng)用數(shù)據(jù)；GB/T20438.3—2017/IEC61508-3:2010d)當(dāng)PE系統(tǒng)由通過數(shù)據(jù)進(jìn)行配置的已有功能組成來滿足特定應(yīng)用要求時(shí)，配置過程自身應(yīng)相7.4.3軟件架構(gòu)設(shè)計(jì)的要求注3:在某些用戶應(yīng)用程序編程環(huán)境中，特別是在PLC中(見GB/T20438.6—2017附錄E),軟件架構(gòu)將由供方作為產(chǎn)品的一種標(biāo)準(zhǔn)特性提供。在這一標(biāo)準(zhǔn)下將要求供方確保用戶產(chǎn)品的符合性滿足7.4的要求。用戶使用標(biāo)準(zhǔn)編程工具來定制PLC的應(yīng)用，例如梯形圖。7.4.3至7.4.8的要求仍適用。軟件架構(gòu)的定義和文檔的要求可作為用戶選擇適用的PLC(或類似產(chǎn)品)的信息。注5:盡管GB/T20438標(biāo)準(zhǔn)為由E/E/PE安全相關(guān)系統(tǒng)實(shí)現(xiàn)的安全功能設(shè)置了數(shù)值化的目標(biāo)失效量，但系統(tǒng)性安全完整性通常是不可量化的(見GB/T20438.4—2017的3.5.6),軟件安全完整性(見GB/T20438.4—2017的3.5.5)被定義為置信度為1-4(見GB/T20438.4—2017的3.5.9)之間的系統(tǒng)性能力。根據(jù)軟件的具體使用，GB/T20438將軟件失效分為安全的或非安全的。系統(tǒng)/軟件架構(gòu)需要在組件的非安全失效時(shí)受到某些架構(gòu) 歸檔(見GB/T20438.1—2017的第6章)。a)在軟件安全生命周期各階段，為滿足軟件安全要求規(guī)范規(guī)定的安全完整性等級(jí)應(yīng)選擇和論證一組必要的技術(shù)和措施。這些技術(shù)和措施包括故障裕度(與硬件一致)和故障避免的軟件設(shè)計(jì)2)每一個(gè)子系統(tǒng)/組件是否安全相關(guān)；3)子系統(tǒng)/組件的軟件系統(tǒng)性能力。d)架構(gòu)應(yīng)依據(jù)明確定義的或受限于明確定義了特征的符號(hào)表示法；GB/T20438.3—2017/IEC61508-3:2010e)選擇用于保持所有數(shù)據(jù)安全完整性的設(shè)計(jì)特性。數(shù)據(jù)可包括裝置輸入/輸出數(shù)據(jù)、通信數(shù)據(jù)、f)規(guī)定適當(dāng)?shù)能浖軜?gòu)集成測(cè)試，以保證軟件架構(gòu)在要求的安全完整性等級(jí)下滿足軟件安全要7.4.3.3應(yīng)用7.4.3.2后，任何對(duì)E/E/PE系統(tǒng)安全要求規(guī)范的變更請(qǐng)求都應(yīng)經(jīng)E/E/PE開發(fā)人員同意注：軟件和硬件架構(gòu)不可避免會(huì)有重疊(見圖5),因此需要與硬件開發(fā)人員討論可編程電子硬件和軟件集成(見7.5)注：在選擇合適的技術(shù)和措施(見附錄A和附錄B)來實(shí)現(xiàn)本條款的要求時(shí)，宜考慮支持工具的下列屬性(見附錄C屬性解釋指南和GB/T20438.7—2017的附錄F非正式定義):——工具對(duì)生成具有要求屬性的軟件的支持程度；——工具的操作和功能的清晰度；——輸出的正確性和可重復(fù)性。注：在線和離線工具的例子見GB/T20438.4—2017的3.2.10和3.2.11。7.4.4.2應(yīng)選擇軟件離線支持工具作為軟件開發(fā)活動(dòng)的密切相關(guān)部分。注1:軟件開發(fā)生命周期要求見7.1.2。加軟件的完整性。軟件開發(fā)生命周期階段相關(guān)工具的例子包括：a)轉(zhuǎn)換或翻譯工具，將軟件或設(shè)計(jì)表述(例如文本或圖解c)診斷工具，用于在運(yùn)行條件下維護(hù)和監(jiān)視軟件；f)應(yīng)用數(shù)據(jù)工具，產(chǎn)生或維護(hù)用來定義參數(shù)和實(shí)例化系統(tǒng)功能的數(shù)據(jù)。此數(shù)據(jù)包括功能參數(shù)、儀表量程、報(bào)具的輸出具有合適的內(nèi)容和格式，用作后一個(gè)工具的自動(dòng)輸入，使得在重寫中間結(jié)果中的人為出錯(cuò)的可能性注4:離線支持工具的選擇宜與應(yīng)用、安全相關(guān)系統(tǒng)和集成工具的需求相匹配。注5:宜考慮在E/E/PE安全相關(guān)系統(tǒng)的整個(gè)生命周期內(nèi)提供必要服務(wù)的適當(dāng)工具的可用性(如支持規(guī)范、設(shè)計(jì)、實(shí)注6:宜考慮所選擇工具的用戶能力。能力要求見GB/T20438.1—2017的第6章。7.4.4.4所有類別為T2和T3中的離線支持工具應(yīng)具有規(guī)格書或產(chǎn)品文檔，用以清晰定義工具的行為和所有使用該工具的指南和約束。見7.1.2軟件開發(fā)生命周期要求和GB/T20438.4—2017的3.2.11軟件離線支持工具的分類。注：這個(gè)“規(guī)格書或者產(chǎn)品文檔”并非工具自身符合項(xiàng)安全手冊(cè)(見GB/T20438.2—2017和本部分的附錄D)。符合項(xiàng)安全手冊(cè)與并入到可執(zhí)行的安全相關(guān)系統(tǒng)的已有組件相關(guān)。當(dāng)通過T3工具生成已有組件，然后并入可執(zhí)行安全相關(guān)系統(tǒng)內(nèi)，從而所有來自工具的“規(guī)格書或者產(chǎn)品文檔”的相關(guān)信息(例如，優(yōu)化編譯器的文檔可能指示不能保證函數(shù)參數(shù)的求值次序)宜包含在符合項(xiàng)的安全手冊(cè)中，使得完全或部分依賴并入組件的特定安全功能的完整性評(píng)估成為可能。GB/T20438.3—2017/IEC61508-3:20107.4.4.5應(yīng)評(píng)估T2和T3類中的離線支持工具，以確定工具的置信水平和可能影響可執(zhí)行軟件的工具注1:軟件HAZOP是一種分析潛在軟件工具失效后果的技術(shù)。7.4.4.6對(duì)于T3類的每一個(gè)工具，應(yīng)有證據(jù)表明工具符合其規(guī)范或文檔。證據(jù)可能基于在類似環(huán)境和類似應(yīng)用(在組織內(nèi)或其他組織)的成功使用歷史和7.4.4.7中規(guī)定的工具確認(rèn)的適當(dāng)組合。注2:對(duì)T3所列的證據(jù)也可用于判斷T2工具結(jié)果的正確性。7.4.4.7工具確認(rèn)結(jié)果應(yīng)歸檔并包括以下內(nèi)容：a)確認(rèn)活動(dòng)按時(shí)間先后順序的記錄；b)所用工具產(chǎn)品手冊(cè)的版本；d)使用的工具和設(shè)備；f)測(cè)試用例及其后續(xù)分析的結(jié)果；g)預(yù)期結(jié)果和實(shí)際結(jié)果的差異。進(jìn)行評(píng)估；b)僅使用已定義的語言特征；c)與應(yīng)用特性匹配；d)包含便于檢測(cè)設(shè)計(jì)或編程中錯(cuò)誤的特征；e)支持與設(shè)計(jì)方法相匹配的特征。注1:編程語言是一類軟件或者設(shè)計(jì)表述。翻譯器將軟件或設(shè)計(jì)表述(例如文本或圖解)從一個(gè)抽象級(jí)別轉(zhuǎn)換到另注2:可以為特定的應(yīng)用項(xiàng)目或一類應(yīng)用進(jìn)行翻譯器的評(píng)估。在后一種情況下，宜給該工具的用戶提注3:確認(rèn)套件(即正確翻譯的一組預(yù)知的測(cè)試程序)可用于根據(jù)定義的準(zhǔn)則評(píng)估翻譯器的適用性，7.4.4.11當(dāng)7.4.4.10不能被完全滿足時(shí)，應(yīng)論證語言目的的適合性和所有處理已識(shí)別的語言缺陷的額7.4.4.13編程語言編碼標(biāo)準(zhǔn)須規(guī)定良好的編程習(xí)慣，禁止不安全的語GB/T20438.3—2017/IEC61508-3:2010源代碼中應(yīng)包含下列信息：b)描述；c)輸入和輸出；d)配置管理歷史。估安全相關(guān)系統(tǒng)開發(fā)所采用的自動(dòng)翻譯程序的適用性。7.4.4.15當(dāng)T2和T3類的離線支持工具配置基線中產(chǎn)生項(xiàng)時(shí)，配置管理應(yīng)確保工具上的信息被記錄a)工具和其版本的標(biāo)識(shí)；b)對(duì)應(yīng)使用工具版本的配置基線項(xiàng)的標(biāo)識(shí)；7.4.4.16配置管理應(yīng)確保僅使用T2和T3類中的工具合格的版本。7.4.4.17配置管理應(yīng)確保僅使用相互兼容及與安全相關(guān)系統(tǒng)兼容的工具。早期版本提供的證據(jù)為證。a)能上的差異(若存在的話)將不會(huì)影響與工具集中其他工具的兼容性；b)新版本不大可能包含重大的新的未知錯(cuò)誤。7.4.4.19依據(jù)軟件開發(fā)的性質(zhì)，對(duì)7.4.4的符合性可由多方負(fù)責(zé)。責(zé)任的劃分應(yīng)在安全計(jì)劃編制期間(見GB/T20438.1—2017的第6章)形成文檔。注2:詳細(xì)設(shè)計(jì)和開發(fā)的性質(zhì)因軟件開發(fā)活動(dòng)和軟件架構(gòu)性質(zhì)的不同而變化(見7.4.3)。在某些應(yīng)用程序編程環(huán)境注3:為選擇合適的技術(shù)和措施(見附錄A和附錄B)以實(shí)現(xiàn)本條的要求，以下屬性(見附錄C的屬性解釋指南，和GB/T20438.7—2017的附錄F中的非正式定義)在設(shè)計(jì)與開發(fā)中宜予考慮： ——防止共因失效。檔(見GB/T20438.1—2017第6章)。GB/T20438.3—2017/IEC61508-3:20107.4.5.2下列信息應(yīng)在詳細(xì)設(shè)計(jì)開始前獲得：E/E/PE安全相關(guān)7.4.5.4對(duì)于軟件架構(gòu)設(shè)計(jì)中的每一個(gè)主要組件/子系統(tǒng)，設(shè)計(jì)的進(jìn)一步細(xì)化應(yīng)基于軟件模塊的劃分(即軟件系統(tǒng)設(shè)計(jì)的規(guī)范)。應(yīng)規(guī)定每個(gè)軟件模塊的設(shè)計(jì)以及對(duì)每個(gè)軟件模塊的驗(yàn)證。注2:驗(yàn)證包含測(cè)試和分析。7.4.5.5應(yīng)規(guī)定適當(dāng)?shù)能浖到y(tǒng)集成測(cè)試，以保證軟件系統(tǒng)滿足在所要求安全屬性解釋指南):c)滿足編碼標(biāo)準(zhǔn)的規(guī)定要求(見7.4.4);d)滿足安全計(jì)劃編制中規(guī)定的所有相關(guān)要求(見第6章)。(見GB/T20438.7—2017的C.5.15);(3)通過形式化檢查(見GB/T20438.7—2017的C.5.14)。以上方法嚴(yán)格注1:測(cè)試軟件模塊正確地滿足了測(cè)試規(guī)范是一種驗(yàn)證活動(dòng)(見7.9),是代碼復(fù)審和軟件模塊測(cè)試的結(jié)合，用以確保注2:為選擇合適的技術(shù)與措施(見附錄A和附錄B)以實(shí)現(xiàn)本條的要求，宜考慮軟件模塊測(cè)試的下列屬性(屬性解釋指南見附錄C和GB/T20438.7—2017的附錄F中非正式定義): 7.4.7.1每一軟件模塊均應(yīng)根據(jù)軟件模塊測(cè)試規(guī)范的要求進(jìn)行驗(yàn)證，該測(cè)試規(guī)范是在軟件系統(tǒng)設(shè)計(jì)階7.4.7.2這個(gè)驗(yàn)證應(yīng)表明每一軟件模塊是否執(zhí)行預(yù)定功能且不執(zhí)行非預(yù)定功能。流分析可將測(cè)試用例減少至一個(gè)可接受的數(shù)量。可分析的程序能更容易地滿足要求。這些技術(shù)見GB/T20438.7—2017的附錄C。2017的附錄C。注3:盡管系統(tǒng)性安全完整性通常無法量化(見GB/T20438.4—2017的3.5.6),如果對(duì)統(tǒng)計(jì)學(xué)有效證據(jù)的所有相關(guān)7.4.7.3軟件模塊測(cè)試的結(jié)果應(yīng)歸檔。GB/T20438.3—2017/IEC61508-3:20107.4.7.4應(yīng)規(guī)定未通過測(cè)試的校正措施規(guī)程。7.4.8.1軟件集成測(cè)試應(yīng)在設(shè)計(jì)和開發(fā)階段予以規(guī)定(見7.4.5)。7.4.8.2軟件系統(tǒng)集成測(cè)試規(guī)范應(yīng)規(guī)定以下內(nèi)容：a)將軟件劃分為可管理的集成集；b)測(cè)試用例和測(cè)試數(shù)據(jù)；c)執(zhí)行測(cè)試的類型；e)判定測(cè)試完成的準(zhǔn)則；f)測(cè)試失敗的校正措施規(guī)程。有軟件模塊和軟件組件/子系統(tǒng)正確交互以執(zhí)行其預(yù)定的功能而不執(zhí)行非預(yù)定的功能。注1:這不意味著測(cè)試所有輸入組合和輸出組合。測(cè)試所有的等價(jià)類或結(jié)構(gòu)可能就已經(jīng)足夠了，邊界值分析或控制流分析可將測(cè)試用例減少至一個(gè)可接受的數(shù)量?？煞治龅某绦蚰芨菀椎貪M足要求。這些技術(shù)見GB/T20438.7—2017的附錄C。注2:當(dāng)開發(fā)使用形式化方法、形式化證明或斷言時(shí)，此類測(cè)試可在一定范圍內(nèi)減少。有關(guān)這些技術(shù)見GB/T20438.7—2017的附錄C。注3:盡管系統(tǒng)性安全完整性通常無法量化(見GB/T20438.4—2017的3.5.6),如果對(duì)統(tǒng)計(jì)學(xué)有效證據(jù)的所有相關(guān)需的再驗(yàn)證和再設(shè)計(jì)活動(dòng)。注：這一階段是圖4中的方框10.4。7.5.1.27.5的第二個(gè)目的是將軟件和硬件結(jié)合到安全相關(guān)可編程電子上，以保證其兼容性和滿足預(yù)定安全完整性等級(jí)的要求。注1:測(cè)試軟件是否正確集成到可編程電子硬件中是一種驗(yàn)證活動(dòng)(見7.9)。注2:根據(jù)應(yīng)用的性質(zhì)這些活動(dòng)可與7.4.8結(jié)合。注：為選擇合適的技術(shù)和措施(見附錄A和附錄B)來實(shí)現(xiàn)7.5的要求，宜考慮集成的下列屬性(見附錄C的屬性解釋指南，和GB/T20438.7—2017的附錄F中的非正式定義):7.5.2.1應(yīng)在設(shè)計(jì)和開發(fā)階段(見7.4.3)中規(guī)定集成測(cè)試，以確保在安全相關(guān)可編程電子中硬件和軟件GB/T20438.3—2017/IEC61508-3:2010注：可能會(huì)要求與E/E/PE系統(tǒng)開發(fā)人員緊密合作以開展集成測(cè)7.5.2.2軟件/PE集成測(cè)試規(guī)范(硬件和軟件)應(yīng)規(guī)定以下內(nèi)容：a)將系統(tǒng)拆分為各集成級(jí)；b)測(cè)試用例和測(cè)試數(shù)據(jù)；c)執(zhí)行測(cè)試的類型；e)判定測(cè)試完成的準(zhǔn)則。7.5.2.3軟件/PE集成測(cè)試規(guī)范(硬件和軟件)應(yīng)區(qū)分：可由開發(fā)人員在其場(chǎng)地完成的活動(dòng)和需要訪問用戶現(xiàn)場(chǎng)的活動(dòng)。7.5.2.4軟件/PE集成測(cè)試規(guī)范(硬件和軟件)應(yīng)區(qū)分以下活動(dòng)：a)將軟件系統(tǒng)納入目標(biāo)可編程電子硬件；c)將E/E/PE安全相關(guān)系統(tǒng)用到EUC中。7.5.2.5應(yīng)根據(jù)軟件/PE集成測(cè)試規(guī)范(硬件和軟件)對(duì)軟件和安全相關(guān)可編程電子硬件進(jìn)行集成。7.5.2.6在安全相關(guān)可編程電子(硬件和軟件)集成測(cè)試中，應(yīng)對(duì)集成系統(tǒng)的所有變更進(jìn)行影響分析。影響分析應(yīng)確定所有受影響的軟件模塊和必要的再驗(yàn)證活動(dòng)。7.5.2.8安全相關(guān)可編程電子(硬件和軟件)的集成測(cè)試應(yīng)歸檔，說明測(cè)試結(jié)果以及是否滿足測(cè)試目的注：該階段是圖4中方框10.5。7.6要求的目的是提供軟件有關(guān)必要的信息和規(guī)程以保證在操作和修改階段中保持E/E/PE安全相關(guān)系統(tǒng)的功能安全。要求在本部分的7.8和GB/T20438.2—2017的7.6中給出。注1:這一階段為圖4中方框10.6。注2:軟件確認(rèn)通常不能脫離它相關(guān)的硬件和系統(tǒng)環(huán)境。7.7的目的是保證集成的系統(tǒng)在所需的安全完整性等級(jí)上符合軟件安全要求規(guī)范。注：為選擇合適的技術(shù)和措施(見附錄A和附錄B)來實(shí)現(xiàn)7.7的要求，宜考慮安全確認(rèn)的下列屬性(見附錄C屬性解釋指導(dǎo)和GB/T20438.7—2017的附錄F非正式定義):GB/T20438.3—2017/IEC61508-3:2010 7.7.2.1如果在E/E/PE安全相關(guān)系統(tǒng)的安全確認(rèn)計(jì)劃中已建立了對(duì)安全相關(guān)軟件的符合性要求(見GB/T20438.2—2017中7.7),則不必重復(fù)確認(rèn)。7.7.2.2確認(rèn)活動(dòng)應(yīng)根據(jù)系統(tǒng)安全的軟件方面安全確認(rèn)計(jì)劃的規(guī)定進(jìn)行。中歸檔(見GB/T20438.1—2017的第6章)。7.7.2.4系統(tǒng)安全的軟件方面確認(rèn)的結(jié)果應(yīng)歸檔。注：記錄測(cè)試結(jié)果時(shí)，重要的是能夠追溯活動(dòng)的順序。此要求的重點(diǎn)是追溯一個(gè)活動(dòng)序列，而不是僅產(chǎn)生一個(gè)時(shí)b)所用的系統(tǒng)安全的軟件方面確認(rèn)計(jì)劃(見7.3)的版本；d)使用的工具和設(shè)備及其校準(zhǔn)數(shù)據(jù)；e)確認(rèn)活動(dòng)的結(jié)果；f)實(shí)際結(jié)果和預(yù)期結(jié)果的差異。7.7.2.6當(dāng)實(shí)際結(jié)果和預(yù)期結(jié)果出現(xiàn)差異時(shí)，所進(jìn)行的分析和對(duì)是繼續(xù)確認(rèn)或是提出變更請(qǐng)求并返回7.7.2.7系統(tǒng)安全的安全相關(guān)軟件方面的確認(rèn)應(yīng)符合下列要求：b)軟件應(yīng)通過對(duì)以下情形的仿真進(jìn)行測(cè)試：——預(yù)期的事件；c)供方和/或開發(fā)人員(或?qū)Ψ闲载?fù)責(zé)的各方)應(yīng)使系統(tǒng)開發(fā)者得到系統(tǒng)安全的軟件方面確認(rèn)的文檔化結(jié)果及其所有的附屬文檔，以使其產(chǎn)品滿足GB/T20438.1和GB/T20438.2的7.7.2.8軟件工具應(yīng)符合7.4.4的要求。7.7.2.9系統(tǒng)安全的安全相關(guān)軟件方面的確認(rèn)結(jié)果應(yīng)滿足以下要求：a)測(cè)試應(yīng)表明所有安全相關(guān)軟件規(guī)定的要求都正b)測(cè)試用例及其結(jié)果應(yīng)文檔化，以用于后續(xù)的分析和由安全完整性等級(jí)所要求的獨(dú)立評(píng)估(見GB/T20438.1—2017的第8章);c)文檔化的系統(tǒng)安全的軟件方面確認(rèn)的結(jié)果應(yīng)表明(1)軟件已通過確認(rèn)，或(2)未通過確認(rèn)的注：這一階段是圖4中的方框10.5。7.8的目的是指導(dǎo)修正、增強(qiáng)或調(diào)整已確認(rèn)軟件，以保證維持要求的軟件系統(tǒng)性能力。GB/T20438.3—2017/IEC61508-3:2010注：為選擇合適的技術(shù)和措施(見附錄A和附錄B)來實(shí)現(xiàn)7.8的要求，宜考慮軟件修改的下列屬性(見附錄C屬性解釋指導(dǎo)和GB/T20438.7—2017的附錄F非正式定義): 7.8.2.1在執(zhí)行任何軟件修改之前，軟件修改規(guī)程應(yīng)已可用(見GB/T20438.1—2017中的7.16)。注1:7.8.2.1～7.8.2.9主要用于在軟件運(yùn)行階段中發(fā)生的改變。它們也可用于可編程電子集成和整體安裝和調(diào)試階段(見GB/T20438.1—2017中7.13)。注2:一個(gè)修改規(guī)程模型的例子見GB/T20438.1—2017中的圖9。7.8.2.2只有經(jīng)批準(zhǔn)的軟件修改請(qǐng)求按照安全計(jì)劃編制階段規(guī)定的規(guī)程(見第6章)發(fā)出時(shí)，才應(yīng)啟動(dòng)a)可能受到影響的危險(xiǎn)；b)建議的修改；c)修改的原因?！狤UC或其使用的修改； a)確定是否需要危險(xiǎn)和風(fēng)險(xiǎn)分析；b)確定哪個(gè)軟件安全生命周期階段需重復(fù)。7.8.2.4在7.8.2.3中所做影響分析的結(jié)果應(yīng)文檔化。7.8.2.5所有對(duì)E/E/PE安全相關(guān)系統(tǒng)的功能安全有影響的修改應(yīng)返回軟件安全生命周期的一個(gè)相應(yīng)階段。所有后續(xù)的階段也應(yīng)根據(jù)本部分對(duì)特定階段要求規(guī)定的規(guī)程執(zhí)行。安全計(jì)劃編制(見第6章)應(yīng)細(xì)化所有后續(xù)的活動(dòng)。7.8.2.6安全相關(guān)軟件修改的安全計(jì)劃編制應(yīng)滿足GB/T20438.1—2017中第6章的要求，特別是：a)人員識(shí)別和其所需能力的規(guī)范；b)修改的詳細(xì)規(guī)范；c)驗(yàn)證計(jì)劃編制；a)修改/改型請(qǐng)求；GB/T20438.3—2017/IEC61508-3:2010b)評(píng)估建議的軟件修改對(duì)功能安全影響的分析結(jié)果和決策及其相關(guān)的論證；c)軟件配置管理歷史；d)與正常操作和條件的偏差；e)受修改活動(dòng)影響的所有文檔化信息。7.8.2.10對(duì)所需修改或改型活動(dòng)的評(píng)估應(yīng)取決于影7.9的目的是，針對(duì)安全完整性等級(jí)要求的程度，測(cè)試和評(píng)估軟件安全生命周期在給定階段的輸(見7.7)的額外驗(yàn)證，因?yàn)楸静糠种熊浖_認(rèn)是符合安全要求規(guī)范的證明。對(duì)安全要求規(guī)范自身是否正確的性解釋指導(dǎo)和GB/T20438.7—2017的附錄F非正式定義): 7.9.2.1對(duì)軟件安全生命周期的每一個(gè)階段，應(yīng)與開發(fā)過程同步制定軟件驗(yàn)證計(jì)劃(見7.3),并且對(duì)軟a)安全完整性要求的評(píng)價(jià)；d)驗(yàn)證結(jié)果的評(píng)價(jià)；e)采用的糾正措施。7.9.2.3軟件驗(yàn)證應(yīng)根據(jù)計(jì)劃執(zhí)行。注：驗(yàn)證技術(shù)和措施的選擇以及驗(yàn)證活動(dòng)的獨(dú)立程度取決于很多因素并可能在應(yīng)用領(lǐng)域的標(biāo)準(zhǔn)中規(guī)定。因素的例 a)被驗(yàn)證項(xiàng)的識(shí)別；b)完成驗(yàn)證所依據(jù)信息的識(shí)別；GB/T20438.3—2017/IEC61508-3:20107.9.2.6軟件安全生命周期階段N中為階段N+1正確執(zhí)行所需的所有基本信息都應(yīng)可獲得并被驗(yàn)g)時(shí)間性能的驗(yàn)證；j)可編程電子集成測(cè)試(見7.5);a)考慮軟件安全要求規(guī)范是否已充分滿足E/E/PE系統(tǒng)安全要求規(guī)范(見GB/T20438.1—20171)軟件安全要求規(guī)范和E/E/PE系統(tǒng)安全要求規(guī)范(見GB/T20438.1—2017的7.10和GB/T20438.2—2017的7.2);GB/T20438.3—2017/IEC61508-3:20103)對(duì)于開發(fā)團(tuán)隊(duì)而言的可讀性；d)檢查以下內(nèi)容之間的不一致性：1)軟件架構(gòu)設(shè)計(jì)和軟件安全要求規(guī)范；2)軟件架構(gòu)設(shè)計(jì)及其集成測(cè)試；3)軟件架構(gòu)設(shè)計(jì)集成測(cè)試和系統(tǒng)安全的軟件方面確認(rèn)計(jì)劃。a)考慮軟件系統(tǒng)設(shè)計(jì)(見7.4.5)是否充分滿足軟件架構(gòu)設(shè)計(jì)；b)考慮軟件系統(tǒng)集成規(guī)定的測(cè)試(見7.4.5)是否已充分滿足軟件系統(tǒng)設(shè)計(jì)(見7.4.5);2)進(jìn)一步驗(yàn)證的可測(cè)試性；3)對(duì)于開發(fā)團(tuán)隊(duì)而言的可讀性；注：軟件系統(tǒng)集成測(cè)試可規(guī)定為軟件架構(gòu)集成測(cè)試的一部分。d)檢查以下內(nèi)容之間的不一致性：1)軟件系統(tǒng)設(shè)計(jì)規(guī)范(見7.4.5)和軟件架構(gòu)設(shè)計(jì)；2)軟件系統(tǒng)設(shè)計(jì)規(guī)范(見7.4.5)和軟件系統(tǒng)集成測(cè)試規(guī)范(見7.4.5);a)考慮軟件模塊設(shè)計(jì)規(guī)范(見7.4.5)是否已充分滿足軟件系統(tǒng)設(shè)計(jì)規(guī)范(見7.4.5);b)考慮軟件模塊測(cè)試規(guī)范(見7.4.5)是否已充分滿足軟件模塊設(shè)計(jì)規(guī)范(見7.4.5);1)要求的安全性能的可行性(見軟件安全要求規(guī)范);2)進(jìn)一步驗(yàn)證的可測(cè)試性；3)對(duì)于開發(fā)團(tuán)隊(duì)而言的可讀性；d)檢查以下內(nèi)容之間的不一致性：1)軟件模塊設(shè)計(jì)規(guī)范(見7.4.5)和軟件系統(tǒng)設(shè)計(jì)規(guī)范(見7.4.5);2)(對(duì)每一個(gè)軟件模塊)軟件模塊設(shè)計(jì)規(guī)范(見7.4.5)和軟件模塊測(cè)試規(guī)范(見7.4.5);3)軟件模塊測(cè)試規(guī)范(見7.4.5)和軟件系統(tǒng)集成測(cè)試規(guī)范(見7.4.5)。碼標(biāo)準(zhǔn)(見7.4.4)和系統(tǒng)安全的軟件方面確認(rèn)計(jì)劃。注：在軟件安全生命周期的早期階段，驗(yàn)證是靜態(tài)的(如檢查、復(fù)審、形式化證明等)。代碼驗(yàn)證包括軟件檢查和走查等技術(shù)。代碼驗(yàn)證和軟件模塊測(cè)試結(jié)論的結(jié)合保證每一軟件模塊滿足其相關(guān)規(guī)范。此后，測(cè)試成為驗(yàn)證的主要方法。7.9.2.13數(shù)據(jù)驗(yàn)證。a)應(yīng)驗(yàn)證數(shù)據(jù)結(jié)構(gòu)。b)應(yīng)驗(yàn)證應(yīng)用數(shù)據(jù)：2)針對(duì)應(yīng)用要求的完整性；4)數(shù)據(jù)值的正確性。GB/T20438.3—2017/IEC61508-3:2010c)應(yīng)針對(duì)應(yīng)用要求驗(yàn)證所有運(yùn)行參數(shù)。2)預(yù)期接口失效的容錯(cuò)。e)所有通信接口及其相應(yīng)軟件應(yīng)以一個(gè)充分的等級(jí)進(jìn)行驗(yàn)證：3)數(shù)據(jù)確認(rèn)。8功能安全評(píng)估注：在選擇合適的技術(shù)和措施(見附錄A和附錄B)來實(shí)現(xiàn)本章的要求時(shí)，宜考慮功能安全評(píng)估的下列屬性(見附錄C屬性解釋指導(dǎo)和GB/T20438.7—2017的附錄F非正式定義): 針對(duì)設(shè)計(jì)規(guī)范(成功完成),功能安全評(píng)估的正確性：——對(duì)所有發(fā)現(xiàn)問題的可追溯的閉環(huán)；——不需要大量的重新評(píng)估的變更后，修改功能安全評(píng)估的能力；——可重復(fù)性；——及時(shí)性；——精確定義的配置。8.1GB/T20438.1—2017第8章中的目的和要求適用于安全相關(guān)軟件的評(píng)估。8.2除非在應(yīng)用領(lǐng)域國家標(biāo)準(zhǔn)中另有規(guī)定，執(zhí)行功能安全評(píng)估的有關(guān)方面的最低獨(dú)立性水平應(yīng)與GB/T20438.1—2017中第8章的規(guī)定一致。8.3功能安全評(píng)估可利用表A10中活動(dòng)的結(jié)果。注：選擇附錄A和附錄B中的技術(shù)其自身并不能保證達(dá)到要求的安全完整性(見7.1.2.7),評(píng)估方還需考慮：——在整個(gè)開發(fā)周期中選擇的方法、語言和工具的一致性和互補(bǔ)性； GB/T20438.3—2017/IEC61508-3:2010(規(guī)范性附錄)本部分中一些條款有相關(guān)表格，如7.2(軟件安全要求規(guī)范)與表A.1有關(guān)，附錄B中更詳些是由附錄A中的表項(xiàng)擴(kuò)展來的，如表B.2根據(jù)表A.5中動(dòng)態(tài)分析和測(cè)試的主題擴(kuò)展而成。附錄A和附錄B中提及的技術(shù)和措施可見GB/T20438.7。表中的每一技術(shù)和措施都有安全完整性等級(jí)1到4的推薦，推薦如下：HR在該安全完整性等級(jí)下極力推薦的技術(shù)或措施。如未采用這種技術(shù)或措施則應(yīng)在安全計(jì)劃中詳細(xì)記錄未使用該技術(shù)和措施的理由，并需經(jīng)評(píng)估方認(rèn)可。R在該安全完整性等級(jí)下低于HR推薦程度的所推薦的技術(shù)或措施。不推薦或不反對(duì)使用的技術(shù)或措施。NR在該安全完整性等級(jí)下明確不推薦的技術(shù)或措施。如果采用這類技術(shù)或措施，應(yīng)在安全計(jì)劃中參照附錄C詳細(xì)記錄使用該技術(shù)和措施的理由，并需經(jīng)評(píng)估方認(rèn)可。應(yīng)根據(jù)安全完整性等級(jí)選擇適當(dāng)?shù)募夹g(shù)/措施?？蛇x擇的或等價(jià)的技術(shù)/措施用數(shù)字后跟字母的方式表示。只需滿足一種可選擇的或等價(jià)的技術(shù)/措施。假如已經(jīng)滿足要求及目標(biāo)，可應(yīng)用其他措施和技術(shù)。選擇技術(shù)指導(dǎo)技術(shù)和措施的分級(jí)與GB/T20438.2中所使用的有效性的概念有關(guān)。在所有其他因素都相同的情況下，HR類的技術(shù)在軟件開發(fā)中防止引入系統(tǒng)性故障或在軟件執(zhí)行中控制殘余故障方面(針對(duì)軟件架構(gòu))都比R類技術(shù)更加有效。應(yīng)用都正確的算法。附錄C給出了選擇具體技術(shù)來達(dá)到軟件系統(tǒng)性能力要求的原理指導(dǎo)。對(duì)于某個(gè)特定的應(yīng)用，在安全計(jì)劃編制中應(yīng)闡明技術(shù)或措施的適當(dāng)結(jié)合。除非在表中的注做出了GB/T20438.6中以兩個(gè)實(shí)例的形式對(duì)表格的解釋給出了初步的指導(dǎo)。表A.1軟件安全要求規(guī)范(見7.2)參考半形式化方法表B.7RR形式化方法RR2在系統(tǒng)安全要求和軟件安全要求間向前可追溯RR3在安全要求和認(rèn)識(shí)到的安全需求間向后可追溯RRGB/T20438.3—2017/IEC61508-3:2010表A.1(續(xù))技術(shù)/措施參考SIL1SIL2SIL3SIL44支持上述適當(dāng)?shù)募夹g(shù)或措施的計(jì)算機(jī)輔助規(guī)范工具B.2.4RRHRHR注1:軟件安全要求規(guī)范通常使用自然語言和反映應(yīng)用的必要的數(shù)學(xué)符號(hào)對(duì)問題進(jìn)行描述。注2:本表反映了為清晰和準(zhǔn)確說明軟件安全要求的附加要求。注3:見表C.1。和附錄C給出的技術(shù)/措施的詳細(xì)描述。“應(yīng)根據(jù)安全完整性等級(jí)選擇適當(dāng)?shù)募夹g(shù)/措施。可替代的或等價(jià)的技術(shù)/措施用字母緊隨數(shù)字的方式予以表示。其目的是只需選取可替代的或等價(jià)的技術(shù)/措施中的一種。替代技術(shù)的選擇宜根據(jù)附錄C中給出的屬性進(jìn)行論證，以滿足特定的應(yīng)用。技術(shù)/措施參考SIL1SIL2SIL3SIL4架構(gòu)與設(shè)計(jì)特點(diǎn)1故障檢測(cè)C.3.1RHRHR2錯(cuò)誤檢測(cè)代碼C.3.2RRRHR失效斷言編程C.3.3RRRHR多樣化監(jiān)視技術(shù)(同一臺(tái)計(jì)算機(jī)上的監(jiān)視功能和被監(jiān)視功能之間獨(dú)立)C.3.4RR多樣化監(jiān)視技術(shù)(監(jiān)視計(jì)算機(jī)與被監(jiān)視計(jì)算機(jī)之間分離)C.3.4RRHR多樣化冗余，實(shí)現(xiàn)相同軟件安全要求規(guī)范C.3.5—R功能上多樣化冗余，實(shí)現(xiàn)不同軟件安全要求規(guī)范C.3.5RHR后向恢復(fù)C.3.6RRNR無狀態(tài)軟件設(shè)計(jì)(或者有限狀態(tài)設(shè)計(jì))C.2.12—RHR故障恢復(fù)重試機(jī)制C.3.7RR適度降級(jí)C.3.8RRHRHR5人工智能——故障糾正C.3.9NRNRNR6動(dòng)態(tài)再配置C.3.10NRNRNR7模塊化方法表B.9HRHRHRHR8使用可信賴/已證實(shí)的軟件組件(如可獲得)C.2.10RHRHRHR9在軟件安全要求規(guī)范和軟件架構(gòu)間向前的追溯性C.2.11RRHRHRGB/T20438.3—2017/IEC61508-3:2010表A.2(續(xù))技術(shù)/措施參考SIL1SIL2SIL3SIL4架構(gòu)與設(shè)計(jì)特點(diǎn)在軟件安全要求規(guī)范和軟件架構(gòu)間向后的追溯性C.2.11RRHRHR結(jié)構(gòu)化的圖解方法bC.2.1HRHRHRHR半形式化方法b表B.7RRHRHR形式化設(shè)計(jì)和優(yōu)化方法bB.2.2,C.2.4 RRHR自動(dòng)軟件生成C.4.6RRRR計(jì)算機(jī)輔助規(guī)范和設(shè)計(jì)工具B.2.4RRHRHR周期性運(yùn)轉(zhuǎn)，并且確定最大周期時(shí)間C.3.11RHRHRHR時(shí)間觸發(fā)式架構(gòu)C.3.11RHRHRHR事件驅(qū)動(dòng)，并且確定最大響應(yīng)時(shí)間C.3.11RHRHR靜態(tài)資源分配C.2.6.3RHRHR訪問共享資源的靜態(tài)同步C.2.6.3RHR注1:表A.2中給出的一些方法是關(guān)于設(shè)計(jì)理念的，其余的是關(guān)于如何表達(dá)設(shè)計(jì)的。注2:GB/T20438.2—2017表中與故障裕度(失效控制)相關(guān)的措施宜與架構(gòu)要求和可編程電子設(shè)備的硬件失效控制一起考慮。注3:見表C.2。注4:第13組措施僅適用于有安全時(shí)間要求的系統(tǒng)及軟件。注5:第14組措施使用動(dòng)態(tài)對(duì)象(例如使用執(zhí)行堆?；蚨?可能會(huì)對(duì)可用內(nèi)存和執(zhí)行時(shí)間上施加要求。在以下情況下，第14組措施不需要應(yīng)用，即如果使用的編譯器能夠確保：a)在運(yùn)行前，為所有的動(dòng)態(tài)變量和對(duì)象分配了足夠的內(nèi)存，或者保證一旦發(fā)生內(nèi)存分配錯(cuò)誤，能夠?qū)崿F(xiàn)安全狀態(tài)；b)其響應(yīng)時(shí)間滿足要求。注6:措施4a。故障恢復(fù)重試往往在任何的SIL中都是適用的，但宜設(shè)定一個(gè)重試次數(shù)的限值。和附錄C給出的技術(shù)/措施的詳細(xì)描述。“應(yīng)根據(jù)安全完整性等級(jí)選擇適當(dāng)?shù)募夹g(shù)/措施。可替代的或等價(jià)的技術(shù)/措施用字母緊隨數(shù)字的方式予以表示。其目的是只需選取可替代的或等價(jià)的技術(shù)/措施中的一種。替代技術(shù)的選擇宜根據(jù)附錄C中給出的屬性進(jìn)行論證，以滿足特定的應(yīng)用。第11組，“結(jié)構(gòu)化方法”。在SIL3或SIL4的情況下，僅當(dāng)11b不適合時(shí)，才使用措施1la。技術(shù)/措施參考SIL1SIL2SIL3SIL41適當(dāng)?shù)木幊陶Z言C.4.5HRHRHRHR2強(qiáng)類型編程語言C.4.1HRHRHRHR3語言子集C.4.2HRHR已認(rèn)證的工具和已認(rèn)證的翻譯器C.4.3RHRHRHRGB/T20438.3—2017/IEC61508-3:2010技術(shù)/措施參考SIL1SIL2SIL3SIL4工具和翻譯器：通過使用提高置信度C.4.4HRHRHRHR注1:見表C.3。和附錄C給出的技術(shù)/措施的詳細(xì)描述。”應(yīng)根據(jù)安全完整性等級(jí)選擇適當(dāng)?shù)募夹g(shù)/措施?？商娲幕虻葍r(jià)的技術(shù)/措施用字母緊隨數(shù)字的方式予以表示。其目的是只需選取可替代的或等價(jià)的技術(shù)/措施中的一種。替代技術(shù)的選擇宜根據(jù)附錄C中給出的屬性進(jìn)行論證，以滿足特定的應(yīng)用。表A.4軟件設(shè)計(jì)和開發(fā)：詳細(xì)設(shè)計(jì)(見7.4.5和7.4.6)(包括軟件系統(tǒng)設(shè)計(jì)、軟件模塊設(shè)計(jì)和編碼)技術(shù)/措施參考SIL1SIL2SIL3SIL4結(jié)構(gòu)化方法bC.2.1HRHRHRHR0半形式化方法表B.7RHRHRHR1形式化設(shè)計(jì)和優(yōu)化方法B.2.2,C.2.4RRHR2計(jì)算機(jī)輔助設(shè)計(jì)工具B.3.5RRHRHR3防御性編程C.2.5RHRHR4模塊化方法表B.9HRHRHRHR5設(shè)計(jì)和編碼標(biāo)準(zhǔn)C.2.6,表B.1RHRHRHR6結(jié)構(gòu)化編程C.2.