安全软件的SIL设计(下)
SIL是安全完整性等级
SIL是Safety Integrity Level的缩写,译为安全完整性等级。
SIL是在1998年颁布的IEC61508功能安全标准中首次提出的,它是功能安全等级的一种划分。
IEC61508将SIL划分为4级,即SIL1,SIL2,SIL3和SIL4。
安全相关系统的SIL应该达到哪一级别,是由风险分析得来的,即通过分析风险后果严重程度、风险暴露时间和频率、不能避开风险的概率及不期望事件发生概率这四个因素综合得出。
级别越高要求其危险失效概率越低。
SIL整体安全性等级PFD按要求的故障概率PFH每小时的危险故障概率1 10-2~10-1 10-6~10-52 10-3~10-2 10-7~10-63 10-4~10-3 10-8~10-74 10-5~10-4 10-9~10-8工厂内的设备/系统故障可能会引起环境破坏、爆炸和人员伤亡等。
SIL概念使得工厂运行者能够根据预期损害来划分其设备的要求。
另外,SIL概念为产品制造商提供了一个描述产品故障性能的方法。
所有设备/系统,甚至包括那些最精密的设备系统都可能产生故障。
SIL概念就是评定故障及其后果。
评估结果是根据概率计算得出的。
为了简化安全评估,SIL概念将安全级别化分为SIL1-SIL4(SIL4为最高安全级别)。
安全完整性等级的确定需要进行安全系统风险分析,它是进行系统研发的目标和基础,是评估系统能否保证安全的依据。
安全评估体系在完成了安全相关系统研发工作之后还涉及到对整个系统的安全性评价和认可问题,即安全评估。
它是要检查工程的安全管理是否完善,能否和安全计划保持一致。
把安全相关系统和安全需求规范相对照以评价它对控制系统风险是不是已经足够,以及系统能不能满足安全需求规范。
安全评估的目标是对于E/E/PE安全相关系统在功能安全方面达到的水平进行调查,并得出结论。
在石化、钢铁、电力、医药等工业领域,大部分安全问题依赖于仪表与控制系统执行正确的功能,这种安全依赖于系统功能的情况,被称为“功能安全”。
安全完整性等级(SIL)验算方法及流程
2020年06月作业申请人在电脑端发起申请后,作业审批人员在移动端查看管辖范围内的待审批作业票,对符合作条件的作业票进行批复。
图1直接作业管理系统流程框架作业计划时间前作业票签发相关人员抵达作业现场,由施工单位技术人员向作业人员进行技术和安全交底,并通过移动端拍照留痕,并提交到系统。
对于需要进行采样检测的作业,需同步开展采样检测,并将采样检测结果输入至系统中。
作业票由作业申请人现场填报作业人员相关信息后生成,作业票由监护人员进行安全条件确认签字和签发人签字后签发。
为保证签字人现场签字,通过人员定位和人脸识别实现定位签发,证件真伪通过OCR 证件识别比照基础信息库信息和外部查询网站信息识别。
作业完工后,监护人现场定位签字验收。
作业流程从现场交底到完工验收全程实现视频监控,具有权限的用户可通过移动端远程查看现场作业场景。
同时具有权限用户也可在GIS 地图查看作业分布情况。
当作业完工验收后,作业票据及相关信息会上传至系统,系统会对作业情况进行分析,形成分析报告。
4结语直接作业信息管理系统的开发应用,能够规范管道企业直接作业流程,解决目前作业环节中存在的关键问题,实现直接作业管理现场透明化、作业标准化、系统信息化,颠覆直接作业传统管理形式。
对于提升和优化直接作业的安全管理,保障直接作业作业过程安全具有重要意义。
参考文献:[1]张少春,丁元华.天然气管道运营企业直接作业环节HSE 管理探讨[J].中国石油和化工标准与质量,2017,(10):47-48.[2]李成承,周玉峰.化工装置直接作业环节安全管理对策[J].安全、健康和环境,2018,18(11):53-55.[3]李彬,张建辉.浅谈石化企业直接作业环节的安全监管[J].石油化工安全环保技术,2019,35(5):3-5.[4]施红勋,王秀香,牟善军,等.石化企业作业票证移动定位签发系统的研发与应用[J].中国安全生产科学技术,2014,10(增):124-128.[5]刘珍,陈全.铜冶炼企业风险数据库与作业许可管理信息系统研发[J].工业安全与环保,2017,43(9):71-74.作者简介:邓付平(1986-),男,从事生产安全管理工作。
安全仪表系统(sis)的sil评估
亡问题,并且会造成巨额的经济损失,因此在过程工业中必须要开展安全仪表系统的安全评定,确保其安全性。
相关资料显示,在过程工业所出现的安全事故中,很多都是由于安全仪表系统存在问题导致的,安全仪表系统安全要求不合理,或者是对其进行了不恰当改造等因素,是导致出现安全事故的重要因素。
如果安全仪表系统的设计存在不合理的问题,那么可能会出现两方面问题:一方面,可能导致其在该跳车时不进行动作,出现拒动,拒动极有可能造成安全事故,甚至造成灾难性的后果;另一方面则是在不应该跳车时进行动作,造成误动,进而导致装置停车,会给企业带来比较严重的经济损失。
因此保证安全仪表系统的安全性具有重要意义,这就需要对其进行完整性评估,定量可靠性计算是最为重要的和有效的途径,通过这样的方式能够有效的防止各类事故的发生。
3 安全仪表系统功能安全评估等级划分相关标准对过程安全的安全等级进行了划分,IEC-61508将其划分为4个等级(SIL1-SIL4)。
而ISA-S84.01,则按照系统不响应连锁要求的概率对安全度等级进行了划分,分为了3级(SIL1-SIL3)。
我国当前根据自身的实际情况,按照所有事件发生的可能性、其可能导致后果的严重程度,以及其它安全措施的有效性等进行评估,并基于其制定了适当的安全等级,SIL 共分为1、2、3、4几个等级,级别越高则表示要求其危险失效概率越低。
其中,1级表示故障的发生概率很低。
如出现了事故,其所能够造成的影响也比较低,装置和产品可能受到轻微的影响,但是不会立即造成环境污染或者是人员伤亡,造成的经济损失不大;2级则表示事故偶尔发生。
如果出现事故则会给装置和产品造成比较大的影响,并有一定几率造成严重的环境污染,甚至人员伤亡,造成的经济损失比较大;3级事故则表示,事故发生的频率很高。
如果发生事故则会严重的影响到装置和产品,并且造成比较严重的环境问题,以及会导致人员出现伤亡,造成非常严重的经济损失。
评估安全完整性等级SIL 的主要参数就是PFDavg (probabilityoffailureon demand 平均危险故障率),按照从高到低将划分为1、2、3、4四个等级。
安全度等级sil -回复
安全度等级sil -回复什么是安全度等级(SIL)?安全度等级(Safety Integrity Level,简称SIL)是一种用于评估和度量安全系统可靠性的方法。
SIL通常被应用于控制系统、安全系统和关键风险领域,以帮助企业和组织确保其系统在操作时的安全性。
SIL等级主要用于指导安全系统的设计、开发和验证,以及评估系统的预期性能和可靠性。
SIL等级是根据设计、功能要求和系统的可靠性要求来确定的,其标准主要由国际电工委员会(IEC)的标准IEC 61508和IEC 61511所定义。
根据这些标准,SIL等级分为4个级别,分别是SIL 1、SIL 2、SIL 3和SIL 4。
这些级别代表了系统的可靠性程度,SIL 4表示最高的可靠性,而SIL 1则表示最低的可靠性。
评估SIL等级的过程包括以下几个步骤:1. 风险评估:首先,需要对系统所涉及的风险进行评估。
这包括确定可能的危害、风险发生的可能性以及可能带来的后果。
通过风险评估,可以确定系统对安全的要求。
2. 定义安全功能:基于风险评估的结果,确定系统中的安全功能。
安全功能指的是在特定的操作模式下,系统必须采取的安全措施。
这些安全功能通常包括故障检测、故障屏蔽和故障回复。
3. 定义可靠性要求:根据安全功能的要求,设定系统的可靠性目标。
这包括定义系统故障的可接受概率和故障后果的严重程度。
可靠性要求通常以指标“失效概率每小时(PFH)”或“平均失效间隔(MTTF)”来表示。
4. 选择适当的硬件和软件:根据可靠性要求,选择适合的硬件和软件组件。
这些组件必须具备足够的可靠性,以实现所需的安全功能。
通常,组件的可靠性需要通过各种测试和验证来确认。
5. 进行验证和验证:在设计和开发阶段,对系统进行验证和验证,以确保其满足预期的SIL等级。
这包括对安全功能进行建模和分析,进行故障模式和效应分析(FMEA),并进行实验室测试和实地验证。
6. 维护和监控:一旦系统投入使用,需要对其进行维护和监控,以确保其持续满足SIL等级。
功能安全SIL认证介绍
安全完整性(SIL)评测简介机械工业仪器仪表综合技术经济研究所测量控制设备及系统实验室 功能安全中心产品评测项目2015.6中国•北京西城区广安门外大街甲397, 1000551 机构简介机械工业仪器仪表综合技术经济研究所(简称ITEI)是中央直属的科研院所,主要负责国内仪表自动化的研究、测试和推广服务。
功能安全技术研发中心(简称“功能安全中心”)是ITEI的技术部门之一,主要负责功能安全技术的研究,以及安全产品和系统的测试、评估等工作。
功能安全中心拥有国内最权威的安全专家团队,其核心成员皆是IEC国际功能安全标准制订与修订的专家组成员,有着深厚的可靠性基础和工业安全经验。
功能安全技术研发中心可提供培训、辅导、面向项目的咨询服务、工程安全分析工具、详细的产品确认和验证分析以及一系列的安全与可靠性资源测量控制设备及系统实验室(简称MCDL)为中国合格评定国家认可委员会(简称CNAS)授权,可在国内开展相关标准的检验测试服务,并颁发CNAS认可的认证报告和证书。
MCDL隶属于ITEI,其中功能安全产品相关的评测由功能安全中心负责开展,对经过评测的产品可以颁发安全完整性等级(SIL)适用性证书和报告。
2目的与范围本评测项目主要针对单个的产品或零部件,本评测的目的是通过分析、检查、测试和现场审核等方式,证明产品是否具有相应的SIL 适用能力(包括SIL1/2/3/4)。
一般情况下,本评测依据的标准为三个部分:功能安全基础标准——IEC61508(国标GB/T20438);行业领域功能安全标准,如IEC61511,ISO13849等;产品标准,如产品的质量规范、国家/国际检测要求等;通过这些要求来满足随机硬件失效量目标控制量和系统性失效控制的双重要求,因此在评测的过程中需考察产品设计过程中以下三个方面:一、产品安全完整性技术论据(机械、电子、电气和软件等)二、产品研发过程管理(研发流程、文档化、管理规程等)三、产品生产质量管理过程3 评测方式在评测开始前,功能安全中心将成立专门的评测团队,负责本次项目的技术分析、测试和完成报告等工作。
安全仪表系统(SIS)SIL定级及验算方法
危化企业高温高压,有毒有害。
安全联锁系统(SIS)是阻止事故发生最关键的一个环节。
那么什么样的安全联锁系统(SIS)算是合格的系统呢,怎么评价一个安全联锁系统是否具备真正的保护作用,除了安全联锁系统(SIS)具有安全认证、冗余性、容错性和故障安全性以外,最有效的评估手段只有SIL定级和验算,SIL定级和验算是针对每一个联锁回路的(SIF),只有回路全部合格了,才是一个有效的保护层。
所以SIL验算是整个安全仪表系统(SIS)是否合格的最有力证明。
SIL定级太简单了,直接说验算吧。
问题1:目前存在一个认知的误区,就是一味的追求传感器和切断阀的SIL 等级,这是外行人的行为。
制约一个回路最关键的因素是联锁仪表的结构形式,而非单台仪表的SIL等级。
也就是我们常说的1oo2D、2oo3、2oo4D 等,任何一个低SIL级别的仪表,通过联锁结构,可以搭建成为高级别回路。
举个极端的例子,没有SIL级别的传感器,通过1oo3、1oo4或1oo5可以搭建成SIL2甚至SIL3的回路。
问题2:假认证(无效认证)满天飞,目前安全认证最权威的是TUV,如果你想选,那就选TUV认证的。
一些企业盲目追求安全认证,还不想花钱,催生了一批山寨认证。
一个最破旧的磁浮子液位计,竟然有“SIL3认证”,售价几百块,获得了很多企业的青睐。
高端仪表怎么和它PK?硬生生的掐断了一些真正高质量的仪表厂商活路的同时,给自己埋下了事故的种子。
问题3:计算人员过分依靠软件,目前最权威的软件为exSILentia,即使它的失效数据库,其实可信度也不高。
这些数据从哪里来,大部分是仪表厂商自己提供的,也有一部分是软件公司收集的,他们的收集只能从企业。
这些数据库有多大的可信度值得商榷。
权威软件如此,国内一些小软件,只能是东施效颦。
最主要的是,企业所使用的设备绝大部分没有在这个数据库中。
问题4:其实就SIS系统本身来讲,其可靠性和可用性都差不多,失效数据不会差距太多。
安全完整性等级(SIL)杂谈(一)
编者按:关于安全完整性等级的知识,例如1.什么是安全完整性SlL?2.SlL等级如何确定?3.舞台机械的SlL等级如何确定?4.符合SIL3的舞台机械控制系统必须具备那些条件?5.从S1L3出发客观评价国内舞台机械的水平及国内外差距。
6.所有剧场的舞台机械控制系统都应达到SⅠL3吗?上述问题在以往的论坛和技术交流中均未很好地解决,大部分还处于似是而非的状态。
为此,杂志特邀行业专家普及相关内容,以供交流。
安全完整性等级(SIL)杂谈(一)段慧文1 概述1.1 功能安全、安全完整性和安全相关系统电子/电气/可编程(E/E/EP)电子器件、软件系统在工业控制领域的大量使用,大大提升了自动化程度和生产效率。
但由于各种原因(如:研发人员的知识结构、开发制造中风险管理意识的不足、自身安全性能存在缺陷产品的流入等),在相关行业的安全控制系统中,由可靠性造成的人身安全、财产损失和环境危害等问题经常发生,给社会带来了无法挽回的损失。
世界各国在过程安全和工业装备安全控制中,对广泛涉及公众及职业安全的产品安全性设计非常重视,并且将电子、电气及可编程电子安全控制系统相关的技术,发展为一套成熟的安全设计技术,即功能安全技术。
【摘 要】 介绍安全完整性等级的相关标准,重点在于舞台机械控制系统安全相关的内容,同时阐述了舞台机械专业的国 内外差距。
【关键词】 安全完整性等级;舞台机械;控制系统;标准;差距文章编号: 10.3969/j.issn.1674-8239.2018.07.008Safety Integrity Level (SIL) (1)-A Discussion on the Gap between Domestic and Foreign in the Major of Stage MachineryDUAN Hui-wen【Abstract】The author introduces the relevant standards of safety integrity level, focusing on the safety related contents of the stage mechanical control system, and at the same time expounds the domestic and foreign gap of the stage machinery specialty.【Key Words】safety integrity level; stage machinery; control system; standard; gap笔者对几个与安全设计技术有关的名词作简单说明:(1)功能安全功能安全是与电子单元控制EUC(Electronic Unit Control)或与EUC控制系统有关的整体安全的组成部分, 内容包括管理和技术两方面。
sil安全手册
SIL安全手册1. 引言安全对于个人和组织来说都至关重要。
在网络时代,保护和维护信息安全变得尤为重要。
本手册将详细讨论如何保护个人和组织的安全,以及在面对安全威胁时如何应对。
2. 理解安全威胁2.1 什么是安全威胁?安全威胁指的是可能危及个人或组织安全的任何事件、行动或事物。
安全威胁可分为内部威胁和外部威胁。
2.2 内部威胁内部威胁指的是来自组织内部的安全威胁。
这可能包括雇员的疏忽、恶意行为或系统错误等。
2.3 外部威胁外部威胁指的是来自组织外部的安全威胁。
这可能包括黑客入侵、恶意软件、网络钓鱼等。
3. SIL安全策略3.1 预防措施为了保护个人和组织的安全,下面列出了一些预防措施:1.安装最新的防病毒软件,并定期更新数据库。
2.确保操作系统和软件程序都是最新版本,并及时安装安全补丁。
3.使用强密码,并定期更改密码。
4.限制对敏感数据的访问权限,只授权给有需要的人员。
5.定期备份重要数据,并将备份存储在离线和安全的地方。
3.2 应对措施当安全威胁发生时,合适的应对措施是至关重要的。
以下是一些应对措施的建议:1.针对具体威胁制定应急响应计划。
2.及时发现和隔离受感染的系统或网络。
3.寻求专业的安全咨询和技术支持。
4.恢复被破坏或丢失的数据。
5.分析安全事件的原因并进行调查。
4. 培训和意识提高4.1 员工培训为了加强个人和组织的安全意识,进行安全培训是必要的:1.员工应接受定期的安全培训,以了解最新的安全威胁和防范措施。
2.培训涵盖的主题应包括密码管理、网络安全、社交工程攻击等。
4.2 安全政策制定和执行明确的安全政策对于维护组织的安全至关重要:1.确定安全政策的目标和范围。
2.明确规定员工在工作中应遵守的安全规定。
3.审查和更新安全政策,以适应不断变化的威胁环境。
5. 总结保护个人和组织的安全是一个持久的挑战。
通过理解安全威胁、采取预防措施和合适的应对措施,以及加强培训和意识提高,我们可以提高信息安全水平。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋基本要求(3/3)
z z
z
z
当软件被要求实现不同安全功能时,所有软件必须看 作属于最高的安全完整性等级 就可行性而言,设计必须包括执行证明测试和全部诊 断测试的软件功能,以便实现E/E/PE安全相关系统 的安全完整性需求 软件设计必须包括与所要求的安全完整性等级相称的 控制流和数据流的自监督,关于失效检测,必须选取 合适的动作 如果标准的或以前开发的软件是用作设计的一部分, 那么必须能够清楚地识别它。软件满足软件安全要求 规范软件的适用性应该加以证明
机械工业仪器仪表综合技术经济研究所
软件安全要求规范
▋要求(2/2)
z
z z z
如果在规定的E/E/PE安全相关系统的安全需求先前没 足够定义,在规定的软件安全需求中必须详细说明被 控设备的所有相关的运行模式 软件安全要求规范必须详细说明并为硬件和软件之间 的所有安全相关和有关约束提供文件 对被描述的E/E/PE硬件结构设计所要求的范围,软件 安全要求规范必须考虑软件的自监督等问题 软件安全要求规范必须陈述所要求的产品安全,但不 是计划,必须适当说明软件安全功能需求和软件安全 完整性的需求
机械工业仪器仪表综合技术经济研究所
软件安全要求规范
▋目标
z z z z
主要介绍IEC61508-3中有关软件安全要求规范 的内容,并结合了EN50128的相关内容 用软件安全功能需求和软件完整性需求详细说 明软件需求 详细说明每一个E/E/PE安全相关系统为了实现 所要求的安全功能所必需的软件安全功能需求 详细说明每个E/E/PE安全相关系统的软件安全 完整性,该安全完整性对分配给E/E/PE 安全相 关系统的每一安全功能达到规定的安全完整性 等级是必需的
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋软件结构目标
z
z
软件结构指的是软件系统的体系结构,它代表了软件 系统的整体性问题。软件体系结构的设计是整个软件 开发过程中关键的一步,软件体系结构的选择往往会 成为一个系统设计成败的关键 目标 (1)开发实现符合软件安全完整性等级要求的软件要求 规范所规定的软件结构 (2)审查由系统结构分配给软件的需求 (3)识别和评估硬件/软件安全交互作用的有效性 (4)如果事先没有规定,选择设计方法
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋对支持工具和编程语言的要求(2/2)
4.当3不能满足时,在软件体系结构设计描述过程中应记 录选用替代语言的理由,包括该语言用于本软件的合理性以 及安全软件设计和开发针对该语言的任何已识别出的缺点的 任何附加措施 5.必须开发编码标准并用于所有软件的开发,编码标准必 须包含在软件质量保证计划中 6.编码标准必须规定好的编程安全方法,排除非安全的语 言特征,并规定源代码文档编制的规程。最低限度必须把下 列信息包括在源代码文档中: a. 合法实体(如著作者、公司) b. 配置管理沿革 c . 描述 d . 输入和输出
安全软件设计和开发
▋对软件模块测试的要求 测试软件模块是否正确地满足它的测试规格说 明是一种验证活动,它是代码审查和软件模块 测试的组合 1.在软件设计期间必须按照规定测试每一个 软件模块 2.这些测试必须表明每一个模块实现了它的 预期功能并且没有实现不期望的功能 3.软件模块测试结果必须建立文档 4.必须规定测试失败所采用的改正动作过程
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋基本要求(2/3)
z z z z z
为了促进最终安全相关系统的这些特性的实现,在设 计活动期间必须考虑安全修改的可测性和限度 设计方法的选择必须具有能够增强软件修改的特征, 这样的特征包括模块化、信息隐蔽和压缩 设计陈述必须以确切定义的符号为基础或局限于确切 定义的特征 就可行性而言,设计必须把软件的安全相关部分减少 到最低限度 当软件被要求同时实现非安全和安全的两种功能时, 所有的软件必须看作安全相关的,除非在设计时,可 以论证两种功能间充分独立
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋对详细设计和开发的要求
1.下列消息应在设计开始以前是可用的:软件安全要求 规范;软件结构设计描述;软件安全确认计划 2.所编制的软件应该具有实现模块化、可测试性和安全 修改的能力 3.对软件结构设计描述中的每个主要部件/子系统,设 计的进一步求精必须以软件模块划分为基础(也就是软件 系统设计规格说明)。必须规定每个软件模块的设计和每 个软件模块所用的测试 4.应该规定合适的软件系统集成测试,以保证软件系统 满足在所要求的安全完整性等级上所规定的软件安全需求
机械工业仪器仪表综合技术经济研究所
可编程电子中软件结构和硬件结构的关系
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋目标
z z
z
z
z
创建一个软件结构,该结构满足相对于所要求的安全 完整等级的规定的软件安全需求 审查和评估软件需求,这个软件需求是由E/E/PE安全 系统按排到软件上的需求,这个系统包括E/E/PE硬件/ 软件对被控设备安全相互作用的重要性 选择一套合适的工具,包括语言和编译器,对所要求 的安全完整等级,覆盖帮助验证,确认,评价和改进 的整个安全生命周期 设计和实现软件,这个软件满足对于所要求的安全完 整性等级的规定的软件安全需求,能够分析和验证且 能安全地修改 验证达到的软件安全需求(所要求的软件安全功能和 软件安全完整性)
z
机械工业仪器仪表综合技术经济研究所
软件/硬件集成
z
要求(1/2)
(1) 在设计和开发阶段期间必须确定集成测试,以保证硬 件和软件的相容性 (2) 硬件和软件集成测试必须确定下列各项: a. 将系统分成集成等级 b. 测试用例和测试数据 c. 所用 的测试形式 d. 包括工具、支持软件和配置描述在内的 的测试环境 e. 判断测试完成的测试准则 (3) 硬件和软件的集成测试必须区分可以由开发者以自己 的假设所开展的活动和按用户要求进行的活动 (4) 硬件和软件的集成测试必须区分下列各项活动: a.将软件系统合并到目标可编程电子硬件 b.E/E/PE 集成,就是加上传感器和执行器这样的接口 c.EUC和 E/E/PE安全相关系统的完全集成
机械工业仪器仪表综合技术经济研究所
软件安全要求规范
▋要求(1/2)
z
z z z
为了可以设计和实现达到所要求的安全完整性,并且允许 进行功能安全评介,软件安全要求规范必须足够详细。其 详细程度随应用的复杂性而变化 软件开发者必须审核E/E/PE安全相关系统安全规范和安全 计划的所有信息,以保证需求被足够详细地说明 软件开发者必须制定在分配软件安全完整性等级上,解决 所有争论的进程 对被安全完整性等级所要求的范围,必须陈述和构造规定 的安全要求
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋软件结构的输入输出
z
输入文件 (1)软件要求规范 (2)系统安全规格说明 (3)系统结构描述 (4)软件质量保证计划 输出文件 软件结构规格说明
z
机械工业仪器仪表综合技术经济研究所来自安全软件设计和开发▋软件结构要求(1/3)
(1)必须由软件提供者和/或开发者制定建议性的软件 结构,并在软件结构规格说明中详细说明。 (2)软件结构规格说明必须考虑实现在所要求的软件安 全完整性等级上的软件要求规范的可行性。 (3)软件结构规格说明必须识别、评估和详细说明所有 软件/硬件交互作用的有效性。作为EN50126和 EN50129的要求,关于硬件和软件之间交互作用的初 步研究必须记录在系统安全规格说明中 (4)软件结构规格说明必须识别所有软件部件,并对这 些部件进行识别
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋对支持工具和编程语言的要求(1/2)
1.为了在整个软件生命周期保持所要求的软件安全等级必 须选择一套合适的工具,它包括设计方法、语言和编译器 2.在可以使用的时候,必须使用自动测试工具和集成开发 工具,必须考虑验证和确认的需要 3.为了达到软件安全完整性等级所要求的程度,所选择的 编程语言具有下列各项之一的翻译器/编译器: a. 有一个通过国家或国际标准确认证书的或通过评测认为 适合所用目的解释器/编译器 b. 被完整和明确定义或局限于具有明确定义的特性 c. 与应用的特性相适应 d. 具有易于识别编程差错的特性 e. 支持与设计方法相适应的特征
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋对编码实现的需求 1.源码必须是 a. 可读的、可理解的和可测试的 b. 满足规定的软件模块设计要求 c. 满足规定的编码标准要求 d. 满足在安全计划期间规定的所有相关的要 求 2.应该审查每个软件编码模块
机械工业仪器仪表综合技术经济研究所
机械工业仪器仪表综合技术经济研究所
软件/硬件集成
z
目标
a.将软件集成到预先规定的可编程电子硬件中 b. 将软件和硬件组合到安全相关可编程电子设备中,保 证它们的相容性,并满足预期安全完整性等级的要求 和系统安全规格说明
z
输入文档
a. 系统要求规范 b. 系统安全要求规范 c. 系统结构 描述 d. 软件要求规范 e. 软件需求测试规格说明 f. 软件结构规格说明 g. 软件设计规格说明 h. 软件模块 设计规格说明 i. 软件模块测试规格说明 j. 软件源码 和支持文档 k. 硬件文档 输出文档 a. 软件/硬件集成测试计划 b.软件/硬件集成测试 报告。
机械工业仪器仪表综合技术经济研究所
安全软件设计和开发
▋对软件集成测试的要求
1.在软件设计和开发期必须同时规定软件集成测试 2.所规定的软件集成测试必须规定下列各项:a.被分成可管理的集成集 合的软件的各个部分 b.测试用例和测试数据 c.所用的测试形式 d.测试环 境、工具、配置和程序 e.判断测试完成的测试准则 f.测失败所采用的改 正动作过程 3.必须按照规定的软件集成测试来测试软件。这些测试必须表明所有 软件模块和软件部件/子系统正确地交互作用,以实现它期望的功能并 且没有实现不期望的功能 4.软件集成测试结果必须建立文档,陈述测试结果,以及是否满足测 试准则的目标和准则。如果有失败,必须建立失败原因的文档 5.在软件集成期间,对软件的任何修改或变动必须进行影响分析,以 确定所有受影响的软件模块以及进行重新验证和重新设计的必要性