安全苛求统及其评估.pptVIP

安全苛求系统及其认证 同济大学 徐中伟 主要内容 引言 功能安全性 安全苛求系统的开发 容错和故障安全技术 系统可靠性 形式化方法 验证、确认和测试 质量管理 铁路信号EN标准和安全性认证 典型的高安全系统实例 引言——关键领域中应用的安全苛求系统 领域：核工业、航空、航天、军工、交通、医疗等 特点：嵌入式的、实时的、安全相关的——系统失效的后果往往是灾难性的 名称：安全苛求系统（Safety-critical Systems） 功能安全性（Function Safety） 概念：是系统不危及生命或环境的属性 两种安全性：信息安全性与功能安全性（Security and Safety） 安全性与可靠性——可信性（Dependability）：RAMS 安全性范围：硬件和软件、系统边界 基于计算机的控制和防护系统:优点和缺点 安全苛求系统的开发 故障、错误和失效（Fault、Error and Failure） 故障分类：随机性故障和系统性故障 避错（fault avoidance）、纠错（fault removal）、检错（fault detection）和容错（fault tolerance） V型生命周期模型 验证和确认 系统需求 可靠性（Reliability）：系统在给定条件，给定的时间内实现所要求功能的可能性 可用性（Availability）：系统在任意时刻能完成规定功能的可能性 故障安全操作（Fail-Safe） 系统完整性（System Integrity）：系统检测到故障并通知操作员的能力 数据完整性（Data Integrity） 系统恢复（System recovery） 可维护性（Maintainability） 可测试性（Testability） 可信性（Dependability） 系统需求之间冲突 安全性需求 识别危害 危害分类 确定处理危害的方法 可靠性和可用性需求的分解 确定适合的安全完整性水平 符合选定安全完整性水平的开发方法规范 危害分析技术 失效模式和影响分析（FMEA） 失效模式、影响和危害性分析（FMECA） 危害和可操作性研究（HAZOP） 事件树分析（ETA） 故障树分析（FTA） 等等 生命周期不同阶段的安全性分析 初始危害识别（PHI） 初始危害分析（PHA） 安全性评审 安全性计划 系统危害分析 系统风险评估 独立安全性审计 误动作的后果——危害严重等级 误动作的可能性——频率 频繁 经常 有时 很少 极少 几乎不可能 注：不同领域有不同标准规定 风险矩阵 风险=严重度x频率 风险矩阵 风险分类 风险接受原则实例——ALARP原则(As Low As Reasonably Practicable) 风险评估和验收实例 风险缩减过程 安全完整性SI 在指定的时间范围内和指定的条件下，系统圆满完成规定的安全功能的可能性。 安全需求和安全完整性 安全完整性等级 SIL SIL表 V型生命周期模型 开发方法 需求和危害分析 规范 正确性 完备性 一致性 无二义性 规范原型化 自顶向下设计 细化设计 模块实现 模块测试 系统集成 系统测试 分层设计 安全内核和防火墙 可测试性的设计 面向维护的设计 人因差错的考虑 安全性管理 安全评估和认证 故障类型 硬件故障类型 单固定故障 短路故障 开路故障 硬件设计和规范故障等等 软件故障类型 软件规范故障 编码故障 栈溢出故障 使用未初试化便量故障等等 故障覆盖率 容错和故障安全技术 冗余技术 多系备份技术（热备、冷备） 多系表决技术 设计多样性技术 硬件 软件 故障诊断技术 功能检查 一致性检查 信号比较 信息冗余 指令监测 回环测试 看门狗 总线监测 电源监测 硬件容错和故障安全技术 静态容错技术 三模冗余TMR N模冗余 表决技术 动态容错技术 备份技术 自检验对技术 混合容错技术 带有备份的N模冗余技术 硬件容错的模块同步和多样性 固有式故障安全技术 组合式故障安全技术 反应式故障安全技术 电磁兼容设计 防雷设计 固有式失效-安全 这种技术允许一个安全相关功能由单个项执行，前提是假定项的所有可信失效模式均为非危险的。 软件容错和故障安全技术 多版本编程技术 恢复块 选择合适的程序设计语言 设计良好、清晰的软件架构 软件模块化，减少模块相互依赖 防御性编程 软件注释 软件测试 系统可靠性基本概念 失效率 浴盆曲线 MTTF MTTR MTBF 可用性 可靠性模型 可靠性方框图 串联 并联 串并联组合 失效的独立性 马尔可夫模型 离散马尔可夫模型 连续马尔可夫模型 其他模型 可靠性预测和评估 硬件可靠性预测 软件可靠性预测 形式化方法概要 传统的诸如测试、故障树等检错、纠错和容错技术擅长处理由