.040 N 10 中华人民共和国国家标准//:.3 -/—.3 2006//电气电子可编程电子安全相关系统：功能安全部分软件要求3/-gy—：（ :,)- 发布于 2017-12-29 2018-07-01 中华人民共和国国家质量监督检验检疫总局 国家标准化管理委员会发布//:.3-表目录 前言…………………………………………………………………………………………………… Ⅴ 引言………………………… ………………………………………………………………………… Ⅵ 1 范围…………………………………………………… ……………………………………………… 1 2 规范性引用文件……………………………………………………………………………… ………… 3 3 定义和缩写……………………………………………………………………4 4 符合标准……………………………… …………………………………………………………… 4 5 文件…………………………………………………………………… ……………………… 4 6 安全相关软件管理的附加要求…………………………………………………………………… 4 6.1 目的…………………………………………………………………………………………………… 4 6.2 要求…………………………………………………………………………………………………… 4 7 软件安全生命周期要求…………………………………………………………………… 5 7.1 概述……………………………………………… ………………………………5 7.2 软件安全需求规范……………………………………………………………………………… 10 7.3 系统安全软件确认计划…………………………………………………………………… 13 7.4 软件设计与开发………… …………………………………………………………………………… 14()……………………………………………… ………………7.5 可编程电子集成软硬件 22 7.6 软件操作和法规修改……………………………………………………………… …………… 23 7.7 系统安全确认的软件方面…………………………………………………………………… 23 7.8 软件修改…………………………………………………………………………24 7.9 软件验证…………………………………… ……………………………26 8 功能安全评估………………………………………………………………………… 29()……………… …………………………………………………………………………………………………………………………………………………………………………………………………………… … …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………。 ……………………附录规范性附录一致性项目安全手册软件组件附加要求D68()//……………………………………附录信息性附录和2.370()之间的关系…… …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………。 … 79 总体框架图/…………………………………………………………………… 1 总体安全生命周期图………………………… ……………………………………………… 23//()………………………………………………………… 图3 EEPE系统安全寿命实现阶段的周期 6()……………………………………………… 图实现阶段的软件安全生命周期 46 图/和/…………………… ……………………………… 5 .2 .37Ⅰ /— /: .3 -()………………………………………… 图软件系统能力和开发生命周期模型 6V7 图 G.1 变量数据驱动系统的复杂性………………………………………………………… 76:……………………………………………… ……………… 表软件安全生命周期概述 18( )…………………………………………………………………… 表 A.1 软件安全要求规范见7.230:() ……… ……………………………………… 表 A.2 软件设计与开发 软件架构设计见7.4.331:() ……… ……………………………………… 表A.3 软件设计开发支持工具和编程语言见7.4.432：()…………………… ……………………… 表 软件设计开发的详细设计见A.47.4.5 7.4.633：()………………………… …… 表软件设计开发软件模块测试集成见A.57.4.7 7.4.834()( )…………………………………… …………… 表A. 6 可编程电子集成硬件和软件见7.534( )…………………………………………………… 表A.7 见软件方面的系统安全确认7.735()……………………………………………………………………………… 修改表A.8见7.835( )……………………………………………………………………………… 表A.9 软件验证见7.936()……………… ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… ………………………………………………………… 37 表 B.2 动态分析与试验………………………………………………………… ……………………… 37 表 B.3 功能和黑盒测试…………………………………………………………………………………… 38 表 B.4 失效分析………………………………………………………………………………………… 38 表 B.5 建模………… ……………………………………………………………39 表 B.6 性能试验…………………………………………………… ………………………… 39 表 B.7 半正式方法………​​…………………………………………………………………………… …… 39 表 B.8 静态分析………………………………………………………………………………………… 4 0 表 B.9 模块化方法…… ………………………………………………………………………41—…………………………………………………… 表C .1 系统安全完整性属性软件安全需求规范 45——……………………………… 表 C.2 系统安全完整性属性软件设计与开发软件架构设计ign 47——………………………… 表 C.3 系统安全完整性属性软件设计开发支持工具和编程语言 53——（，表 C.4 系统安全完整性属性软件设计开发详细设计包括软件系统设计软件模块设计和编码）……………………………………………………………………………………………… 54——……………… ……… 表 C.5 系统安全完整性软件设计开发软件模块测试与集成的属性 55—() ……………………………… 表 C.6 系统安全完整性属性可编程电子集成硬件和软件 57——………………………………………… 表 C.7 系统安全完整性 属性系统安全确认的软件方面 58——…………………………………… ……………… 表C.8 系统安全完整性属性软件修改 58—………… ………………………………………… 表C.9 系统安全属性软件验证完整性 60—……………………………………………………………… 表 C.10 系统安全完整性功能的属性总体安全评估 60——…………………………………………………………………… 表 C.11 详细属性设计和编码标准 61——…………………… …………………………………………… 表 C.12 详细属性动态分析与测试 62——……………………………………………………………… …………… 表 C.13 详细属性函数和黑盒测试 63—……………………………………………………………………………… 表 C. 14 详细属性失效分析 64—………………………………………………………………………………………… 表 C.15 详细属性建模 65—………… ………………………………………………………………… 表 C.16 详细属性性能测试 65 —………………………………………… ………………………………… 表 C.17 详细属性半形式化方法 65 Ⅱ/—/:.3 -— …………………………………………… ……… 表 C.18 系统安全完整性静态分析 66—……………………………………………………………………………… 表 C.19 详细属性模块化方法 67 表/需求分类……………………………………………………………………………… E.1.270 表/相关软件需求以及与特定类型软件的典型关联……………………… E.2.270 表 F.1 模块耦合——定义术语………………………………………… 73 表 F.2 模块耦合类型…………………………………………………………………… ………… 74Ⅲ/— /:.3 -/" / /": 电气和电子可编程电子安全相关系统的功能安全分为七个部分——:;部分一般要求1——： //;第 2 部分：电气和电子可编程电子安全相关系统的要求——第 2 部分：软件要求 3——:;部分定义和缩写 4——:;第 5 部分确定安全完整性级别的方法示例——部分：/和/的应用指南； .2 .3——：.

部分技术与措施概述 7 本部分是/的一部分。本部分根据/—给出的规则起草。 GBT1.1 2009/—》//：本部分取代了电气电子可编程电子安全相关系统的功能安全第3部分》，/—，：软件要求与2006.3相比主要技术变化如下:——();增加了软件系统能力的属性，见附录C————()；增加了合规项安全手册软件组件的附加要求，见附录D————//()；添加了和中间的关系见附录。 2. 3E———();增加了单机软件组件互不干扰技术，见附录F———()。添加了数据驱动系统的生命周期定制指南。参见附录 G：“//本节使用翻译方法为等效-电气和电子可编程电子安全相关系统功能安全：”。第 3 部分软件要求 3 本部分由中国机械工业联合会提出。 (/)。本部分由全国工业过程测量控制与自动化标准化技术委员会归口：上海腾云网、（）、工业自动化仪表研究所皮尔兹工业自动化贸易腾云网腾云网（）、（）、。

龙自动化腾云网络西门子腾云网络腾云网络：,,,,,,,,,本节丰小生夏明敻温仄施李学凌周优争刘洋黄罗暗桩凌云李佳刘小东的主要起草人,,, ,, ,,,。梅豪、华容、张龙、叶军、楚维中、邱坤、孟邹庆、肖佳琪、王德基，本部分所替代标准的前一版本为：---/-。 .3 2006Ⅴ /— /: .3-简介,.多年来，由电气和电子设备组成的系统已在许多应用领域发挥其安全功能。基于计算机的系统（- ），一般是指在其应用领域中用于执行非安全功能的可编程电子系统，也越来越多地用于执行安全功能。决策者要想安全有效地使用计算机技术，就必须有足够的安全指导并据此做出决策。 ///(// )，用于执行安全功能的电气和/或电子和/或可编程电子 EEPE 组件。针对系统安全生命周期的所有活动提出了一种通用方法。 / 为基本的安全相关系统提出一致且合理的技术政策。主要目标是在一系列标准的基础上推动产品和应用领域国家标准的制定。

:/([],[],[]).注：参考文献中给出了基于系列标准的产品和应用领域标准示例。参见参考文献 2 和 3。电子可编程电子）。因此，我们必须考虑各种安全策略，而不仅仅是单个系统中所有组件的问题，例如，，等）。 / 传感器、控制器、执行器等也需要考虑不同安全相关系统组合后的问题。因此，在关注电气//(//)、、、、气电子可编程电子EEPE安全相关系统时，还提供了一个框架，在此框架内基于其他技术的安全相关系统也可以考虑。 ,,,各个应用领域都有很多潜在的危险和风险，涉及的复杂度也不同，所以需要应用不同的应用 //. ，。 EEPE安全相关系统会根据具体应用的诸多因素确定每个具体应用所需的安全措施/作为基本原则，这些措施可以在未来产品和应用领域的国家标准的制定和修订中得到规范现有标准。 /———//,,//考虑到使用EEPE系统执行安全功能时所涉及的整体安全生命周期，EEPE系统安全(,,,);生命周期和软件安全生命周期的各个阶段作为一个整体的初始概念设计和实现运维到退役---，；为技术的快速发展，建立一个足够完善和广泛满足未来发展需求的框架---//;/制定涉及EEPE安全相关系统的产品和应用领域的国家标准可以在框架中制定，（框架下的产品和应用国家标准的制定，应在应用领域和跨应用领域具有高度的一致性，如依据）；这个原理、术语等，这样既安全又经济实惠——//,;为实现EEPE安全相关系统所要求的功能安全提供了编写安全要求和规范的方法——采用了一种基于风险的方法，可以确定安全完整性要求； — —,//引入安全完整性等级用于指定EEPE安全相关系统要执行的安全功能的目标安全完整性等级；：/,.

注2没有规定每个安全功能的安全完整性等级要求，也没有规定如何确定安全完整性等级。相反，它提供了一个基于风险概念的框架和技术示例。 ———//, 建立EEPE安全相关系统的目标故障量，以执行安全功能。这些数量都与安全完整性等级有关； ———//,. // 建立单个EEPE安全相关系统执行安全功能时的目标故障量下限。这些 EEPE 安全相关系统在以下条件下运行：-5———，；低需求运行模式的下限设置为按需发生危险故障的平均概率为10———软件安全实现-安全编程技术，-9/。高要求或连续运行模式的下限设置为危险故障的平均频率为10 h：//。注意 单个安全相关系统不一定是单通道架构 3 EEPE:,。 （注意，非复杂系统可以通过安全相关系统的设计实现更好的安全完整性，但对于4)等相对复杂的系统，比如可编程电子安全相关系统，这些限制代表什么可以目前达到 Ⅵ/—/:.3-———,; 基于行业实践中获得的经验和判断，设定了避免和控制系统性故障的要求。一般不能量化，允许对特定的安全功能进行说明，即如果满足标准中的所有要求，则认为已达到与安全功能相关的目标失效量，并且引入系统能力，该能力表示一个组件满足EEPE安全完整性等级要求时系统安全完整性的置信度；———,//，采用var EEPE 安全相关系统实现功能安全的原理、技术和措施较多，但没有明确的使用损失。

,, """效率和安全的概念。但是，如果能满足标准中相关条款的要求，故障安全的概念和本质——",。可以应用安全原则软件安全实现-安全编程技术，也可以采用这些概念 Ⅶ/— /:.3 -/ / 电气和电子可编程电子安全相关系统：功能安全第 3 部分软件要求 3 1 范围/本部分：1. 1) 应在充分了解/和/的基础上使用； .1 .2) 适用于构成安全范围内/和/或安全开发的安全相关系统的一部分。1.2． (.所有相关系统的任何软件。本软件定义为安全相关软件，包括操作系统软件、、、、、)；软件通信网络中的软件人机界面功能固件和应用软件）/范围内的安全相关系统的开发和配置支持工具。 1.2 具体要求；) 规定软件安全功能和软件系统能力的要求； d:/ /( /—) 注意本要求是否作为电气和电子可编程部分的电子安全相关系统规范已被提及。 2 2017 7.2,.

这里不需要重复输出：,。注：软件安全功能和软件系统能力的规定是一个迭代过程，见图23 6:/—。注 章和附录文件结构中的文件结构要求可能需要考虑公司法规和特殊应用领域的实际情况。 1 2017 5A 作品。 :""/—。注 术语系统能力的定义见 .4 2017 3.5.9)()e 在安全相关软件的设计和开发过程中建立软件安全生命周期模型 软件安全的开发安全生命周期各个阶段和需求的生命周期模型。 , 活动要求 这些要求包括应用措施和技术来避免和控制软件中的故障和故障，根据系统能力进行分类。 ),//f 请求与系统安全确认软件相关的信息。此信息将传递给执行 EEPE 系统集成的组织。 ) 操作和维护用户/安全相关系统所需的软件相关信息和程序的编写要求。 ) 对修改安全相关软件的组织提出要求。 h)//,,, 结合并提出对支持工具的要求，例如设计和开发工具，语言翻译器。 1.2、。测试和调试工具 配置管理工具://。注意 图中显示了和 5.2 之间的关系。 3)不适用于符合该系列的医疗设备。

/, /, //, 是基本的安全标准，虽然不适合1.2 ... 3.4//( /—)，用于低复杂度的安全相关系统，但用作基础安全标准和技术。 4 2017 3.4.3 委员会在指南和/或指南的指导下制定相关标准时可以使用它。 /、ISO .1/、/ 和 / 也可用作独立标准。 /'S 横向安全。 3. 该功能不适用于本系列指导下的医疗设备。 ，。 ,1.3 每个技术委员会的职责之一是在起草他们的标准时尽可能地使用基本的安全标准。本部分所要求的试验方法或试验条件以及本基本安全标准仅由这些技术委员会起草。适用于明确引用或包含在标准中的情况。 /,// 图中展示了整体框架，同时阐明了这部分在实现安全相关系统功能安全的过程中的作用1.4。 1