安全软件的SIL设计(下).pdfVIP

机械工业仪器仪表综合技术经济研究所 软件安全要求规范 软件安全要求规范 ▋ 目标 主要介绍IEC61508-3 中有关软件安全要求规范 的内容，并结合了EN50128 的相关内容 用软件安全功能需求和软件完整性需求详细说 明软件需求 详细说明每一个E/E/PE安全相关系统为了实现 所要求的安全功能所必需的软件安全功能需求 详细说明每个E/E/PE安全相关系统的软件安全 完整性，该安全完整性对分配给E/E/PE 安全相 关系统的每一安全功能达到规定的安全完整性 等级是必需的 机械工业仪器仪表综合技术经济研究所 软件安全要求规范 软件安全要求规范 ▋要求(1/2) 为了可以设计和实现达到所要求的安全完整性，并且允许 进行功能安全评介，软件安全要求规范必须足够详细。其 详细程度随应用的复杂性而变化 软件开发者必须审核E/E/PE安全相关系统安全规范和安全 计划的所有信息，以保证需求被足够详细地说明 软件开发者必须制定在分配软件安全完整性等级上，解决 所有争论的进程 对被安全完整性等级所要求的范围，必须陈述和构造规定 的安全要求 机械工业仪器仪表综合技术经济研究所 软件安全要求规范 软件安全要求规范 ▋要求(2/2) 如果在规定的E/E/PE安全相关系统的安全需求先前没 足够定义，在规定的软件安全需求中必须详细说明被 控设备的所有相关的运行模式 软件安全要求规范必须详细说明并为硬件和软件之间 的所有安全相关和有关约束提供文件 对被描述的E/E/PE硬件结构设计所要求的范围，软件 安全要求规范必须考虑软件的自监督等问题 软件安全要求规范必须陈述所要求的产品安全，但不 是计划，必须适当说明软件安全功能需求和软件安全 完整性的需求 机械工业仪器仪表综合技术经济研究所 可编程电子中软件结构和硬件结构的关系 可编程电子中软件结构和硬件结构的关系 机械工业仪器仪表综合技术经济研究所 安全软件设计和开发 安全软件设计和开发 ▋目标 创建一个软件结构，该结构满足相对于所要求的安全 完整等级的规定的软件安全需求 审查和评估软件需求，这个软件需求是由E/E/PE安全 系统按排到软件上的需求，这个系统包括E/E/PE硬件/ 软件对被控设备安全相互作用的重要性 选择一套合适的工具，包括语言和编译器，对所要求 的安全完整等级，覆盖帮助验证，确认，评价和改进 的整个安全生命周期 设计和实现软件，这个软件满足对于所要求的安全完 整性等级的规定的软件安全需求，能够分析和验证且 能安全地修改 验证达到的软件安全需求（所要求的软件安全功能和 软件安全完整性） 机械工业仪器仪表综合技术经济研究所 安全软件设计和开发 安全软件设计和开发 ▋基本要求（1/3） 根据软件开发的性质，与软件设计和开发相一致的责 任可以只取决于供应者，或只取决于用户，或取决于 供应者和用户。责任的划分应在安全计划中确定 根据所要求的安全完整性等级，所选择的设计方法必 须有助于增强下列处理特征： (1) 抽象、模块化和控制复杂性的其它特征 (2) 功能、组件间的信息流、时序和时间相关信息、时 间约束、并发性、数据结构及其特性、设计假设及其 相关性等各项的表示 (3) 被开发者和其他需要通晓设计的人所理解 (4) 验证和确认 机械工业仪器仪表综合技术经济研究所 安全软件设计和开发 安全软件设计和开发 ▋基本要求（2/3 ） 为了促进最终安全相关系统的这些特性的实现，在设 计活动期间必须考虑安全修改的可测性和限度 设计方法的选择必须具有能够增强软件修改的特征， 这样的特征包括模块化、信息隐蔽和压缩 设计陈述必须以确切定义的符号为基础或局限于确切 定义的特征 就可行性而言，设计必须把软件的安全相