GB∕T 20438.7-2017 電氣∕電子∕可編程電子安全相關(guān)系統(tǒng)的功能安全 第7部分：技術(shù)和措施概述

ICS25.040代替GB/T20438.7—2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第7部分：技術(shù)和措施概述(IEC61508-7:2010,IDT)IGB/T20438.7—2017/IEC61508-7:2010 Ⅲ 1 33定義和縮略語 3 4附錄B(資料性附錄)E/E/PE安全相關(guān)系統(tǒng)的技術(shù)和措施概述：系統(tǒng)性失效的避免 附錄C(資料性附錄)實(shí)現(xiàn)軟件安全完整性的技術(shù)和措施的綜述 附錄D(資料性附錄)確定預(yù)開發(fā)軟件的軟件安全完整性的一種概率法 附錄E(資料性附錄)專用集成電路(ASIC)設(shè)計(jì)技術(shù)和措施概述 附錄F(資料性附錄)軟件安全生命周期各階段屬性的定義 附錄G(資料性附錄)安全相關(guān)的面向?qū)ο筌浖拈_發(fā)指南 參考文獻(xiàn) 索引 2表C.1具體的編程語言的建議 表D.1安全整性等級的置信度的必要?dú)v史 表D.2低要求運(yùn)行模式的失效概率 表D.3兩個測試點(diǎn)的平均距離 表D.4高要求或者連續(xù)運(yùn)行模式時的失效概率 表D.5測試所有程序?qū)傩缘母怕?表F.1軟件安全要求規(guī)范 表F.6可編程電子集成(硬件和軟件) 表F.7系統(tǒng)安全確認(rèn)的軟件方面 表F.8軟件修改 表F.9軟件驗(yàn)證 表F.10功能安全評估 表G.1面向?qū)ο蟮能浖軜?gòu) 表G.2面向?qū)ο蟮脑敿?xì)設(shè)計(jì) 表G.3一些相關(guān)術(shù)語 ⅢGB/T20438.7—2017/IEC61508-7:2010——第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求；——第3部分：軟件要求；——第4部分：定義和縮略語；——第5部分：確定安全完整性等級的方法示例；——第6部分：GB/T20438.2和GB/T20438.3的應(yīng)用指南；——第7部分：技術(shù)和措施概述。本部分為GB/T20438的第7部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。本部分代替GB/T20438.7—2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第7部分：——增加了專用集成電路(ASIC)設(shè)計(jì)技術(shù)和措施概述(見附錄E);——增加了軟件安全生命周期各階段屬性的定義(見附錄F);——增加了安全相關(guān)的面向?qū)ο筌浖拈_發(fā)指南(見附錄G)。本部分使用翻譯法等同采用IEC61508-7:2010《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安本部分由中國機(jī)械工業(yè)聯(lián)合會提出。本部分由全國工業(yè)過程測量控制和自動化標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC124)歸口。GB/T20438.7—2017/IEC61508-7:2010注1:在參考文獻(xiàn)中給出了基于GB/T20438系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的例子(見參考文獻(xiàn)[1],[2],[3])。E/E/PE安全相關(guān)系統(tǒng)。對每個特定的應(yīng)用，將根據(jù)特定應(yīng)用的許多因素來確定所需的安全措施。GB/T20438——使涉及E/E/PE安全相關(guān)系統(tǒng)的產(chǎn)品和應(yīng)用領(lǐng)域的國家標(biāo)準(zhǔn)得以制定；在GB/T20438的框注2:GB/T20438沒有規(guī)定每個安全功能的安全完整性等級的要求，也沒有規(guī)定如何確定安全完整性等級。而是提供了一種基于風(fēng)險概念的框架和技術(shù)范例?！⒘薊/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能的目標(biāo)失效量，這些量都同安全完整性等級相——低要求運(yùn)行模式下，下限設(shè)定成要求時危險失效平均概率為10-?;——高要求或連續(xù)運(yùn)行模式下，下限設(shè)定成危險失效平均頻率為10-?/h。注3:單一E/E/PE安全相關(guān)系統(tǒng)不一定是單通道架構(gòu)。注4:對于非復(fù)雜系統(tǒng)，通過安全相關(guān)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)更優(yōu)目標(biāo)安全完整性是可能的。但對于相對復(fù)雜的系統(tǒng)(例如可編程電子安全相關(guān)系統(tǒng)),這些限值代表了目前能夠達(dá)到的水平。VGB/T20438.7—2017/IEC61508-7:2010——基于工業(yè)實(shí)踐中獲取的經(jīng)驗(yàn)和判斷，設(shè)定了避免和控制系統(tǒng)性故障的要求。即使發(fā)生系統(tǒng)性——采用多種原理、技術(shù)和措施以實(shí)現(xiàn)E/E/PE安全相關(guān)系統(tǒng)的功能安全，但沒有明確地使用失GB/T20438.7—2017/IEC61508-7:2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第7部分：技術(shù)和措施概述1范圍1.1GB/T20438的本部分包含了GB/T20438.2和GB/T20438.3有關(guān)的各種安全技術(shù)和措施的1.2GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4是基礎(chǔ)的安全標(biāo)準(zhǔn)，雖然它不適用于低復(fù)雜的E/E/PE安全相關(guān)系統(tǒng)(見GB/T20438.4—2017的3.4.3),但作為基礎(chǔ)安全標(biāo)準(zhǔn)，各技術(shù)委員會可以在IEC指南104和ISO/IEC指南51的指導(dǎo)下制定相關(guān)標(biāo)準(zhǔn)時使用。GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4也可作為獨(dú)立標(biāo)準(zhǔn)來使用。GB/T20438的橫向安全功能不適用于在IEC60601系列指導(dǎo)下的醫(yī)療設(shè)備。1.3各技術(shù)委員會的責(zé)任之一，是在其標(biāo)準(zhǔn)的起草工作中盡可能使用基礎(chǔ)的安全標(biāo)準(zhǔn)。在本部分中，本基礎(chǔ)安全標(biāo)準(zhǔn)中的要求、測試方法或測試條件只有在這些技術(shù)委員會起草的標(biāo)準(zhǔn)中已明確引用或包1.4圖1表示了GB/T20438的整體框架，同時明確了本部分在實(shí)現(xiàn)E過程中的作用。l2GB/T20438.7—2017/IEC61508-7:2010第1部分第1部分系統(tǒng)第1部分第2部分E/E/PE安全相段第3部分安全相關(guān)軟件第1部分7.13和7.14第1部分第5部分第6部分第2部分和第3部第7部分第4部分第1部分第5章和附錄A第1部分第1部分3GB/T20438.7—2017/IEC61508-7:2010下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(IEC61508-4:2010,IDT)3定義和縮略語GB/T20438.4—2017界定的定義和縮略語適用于本文件。4GB/T20438.7—2017/IEC61508-7:2010(資料性附錄)E/E/PE安全相關(guān)系統(tǒng)的技術(shù)和措施概述：隨機(jī)硬件失效控制(參看GB/T20438.2)A.1電氣A.1.1利用在線監(jiān)視檢測失效目的：通過監(jiān)視E/E/PE安全相關(guān)系統(tǒng)在響應(yīng)受控設(shè)備(EUC)正常(在線)運(yùn)行時的行為來檢測描述：在某些條件下，可用(例如)EUC的時間行為信息來檢測失效，例如，作為E/E/PE安全相關(guān)系統(tǒng)組成部分的一只開關(guān)，由EUC正常驅(qū)動，如果在預(yù)定的時間開關(guān)并未改變狀態(tài)，則將檢測到一次A.1.2繼電器觸點(diǎn)監(jiān)視目的：檢測繼電器觸點(diǎn)的失效(例如被熔接)。ZusammenstellungundBewertungelektromechanischerSicherheitsschaltungenfürVerriegelung-seinri-chtungen.F.Kreutzkampf,W.Hertel,SicherheitstechnischesInformations-undArbeitsblatt330212,BIA-Handbuch.17,Lfg.X/91,ErichSchmidtVerlag,Bielefeldwww.BGIA-HANDBUCHdigital.de/330212目的：為了盡早檢測一個獨(dú)立處理單元或者比較器中的(非同時的)失效。描述：利用一個硬件比較器周期性地或者連續(xù)地比較獨(dú)立處理單元的信號?？梢栽谕獠繙y試比較器，或者它本身可使用自監(jiān)視技術(shù)。監(jiān)測到的處理器行為的差異將產(chǎn)生一條失效報文。目的：為了檢測和防護(hù)三個或三個以上硬件通道之一的失效。描述：表決單元使用多數(shù)原理(3個中有2個、3個中有3個、或者n個中有m個)來檢測和防護(hù)失效。表決器自身可由外部測試，也可使用自監(jiān)視技術(shù)。參考文獻(xiàn)：5GB/T20438.7—2017/IEC61508-7:2010GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0554-6描述：當(dāng)觸點(diǎn)斷開并且沒有電流流過時就執(zhí)行安全功能。例如，當(dāng)使用制動器來制止一臺電機(jī)的危險運(yùn)動時，制動器將隨安全相關(guān)系統(tǒng)中觸點(diǎn)的閉合而開放，隨安全相關(guān)系統(tǒng)中觸點(diǎn)的打開而制動。參考文獻(xiàn)：GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0554-6A.2電子A.2.1利用冗余硬件進(jìn)行測試目的：為了檢測失效而使用硬件冗余(即使用不必執(zhí)行過程功能的附加硬件)。A.2.2動態(tài)原理描述：強(qiáng)制改變其他的靜態(tài)信號(內(nèi)部或外部產(chǎn)生的)可幫助檢測部件中的靜態(tài)失效。通常這種技術(shù)與機(jī)電部件相聯(lián)系。ElektronikinderSicherheitstechnik.H.Jürs,D.Reinert,SicherheitsechnischesInformations-undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993http://www.bgia-handbuchdigital.de/330220A.2.3標(biāo)準(zhǔn)測試訪問端口和邊界掃描架構(gòu)目的：為了控制和觀測一片IC(集成電路)的每個引腳處發(fā)生的情況。參考文獻(xiàn)：IEEE1149-1:2001IEEEstandardtestaccessportandboundary-scanarchitecture,IEEE6GB/T20438.7—2017/IEC61508-7:2010ComputerSociety,2001,ISBN:0-7381-2944-5A.2.4(不再使用)A.2.5監(jiān)視冗余ElektronikinderSicherheitsechnik.H.Jürs,D.Reinert,SicherheitechnischesInformations-undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993http://www.bgia-handbuchdigital.de/330220DependabilityofCriticalComputerSystems1.F.J.Redmll,ElsevierAppliedScience,1988,ISBN1-85166-203-0.A.2.6帶自動檢驗(yàn)的電氣/電子部件ElektronikinderSicherheitstechnik.H.Jürs,D.Reinert,SicherheitstechnischesInformations-undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993http://www.bgia-handbuchdigital.de/330220DependabilityofCriticalComputerSystems1.F.J.Redmill,ElsevierAppliedScience,1988,ISBN1-85166-203-0.A.2.7模擬信號監(jiān)視A.3處理單元整體目標(biāo)：辨別導(dǎo)致處理單元結(jié)果錯誤的失效。7GB/T20438.7—2017/IEC61508-7:2010A.3.1利用軟件進(jìn)行自測試：有限數(shù)量的模板(單通道)描述：使用不需考慮任何特殊安全要求的標(biāo)準(zhǔn)技術(shù)構(gòu)建硬件。借助附加的軟件功能完全可實(shí)現(xiàn)失效檢測，這種軟件功能使用至少兩個互補(bǔ)的數(shù)據(jù)模板(例如十六進(jìn)制的55和十六進(jìn)制的AA)來執(zhí)行自測試。A.3.2利用軟件進(jìn)行自測試：漫步位(WALKINGBIT)(單通道)注：在GB/T20438.2—2017的表A.4中引用了本技術(shù)/措施。描述：利用附加軟件功能完全可實(shí)現(xiàn)失效檢測，該軟件功能存器)和指令譯碼的一個數(shù)據(jù)模板(例如漫步位模板)執(zhí)行自測試。但診斷覆蓋率只有90%。根據(jù)看門狗原理周期性地監(jiān)視某個位模板的輸出。A.3.4編碼處理(單通道)Leprocesseurcodé:unnouveauconceptappliquéàlasécuritédessystèmesdetransports.Gabriel,Martin,Wartski,RevueGénéraledescheminsdefer,No.6,June1990VitalCodedMicroprocessorPrinciplesandApplicationforVariousTransitSystems.P.Forin,IFACControlComputersCommunicationsinTransportation,79-84,1989A.3.5利用軟件進(jìn)行相互比較A.4不可變內(nèi)存范圍整體目標(biāo)：檢測不可變內(nèi)存中信息的修改。A.4.1字保存多位冗余(例如使用改進(jìn)的漢明碼進(jìn)行ROM監(jiān)視)注2:參見A.5.6使用改進(jìn)的漢明碼進(jìn)行RAM監(jiān)視，或者通過錯誤檢測和糾正碼(EDC)檢測數(shù)據(jù)失效和C.3.2錯8GB/T20438.7—2017/IEC61508-7:2010描述：為了產(chǎn)生漢明距離至少為4的一個改進(jìn)的漢明碼，可用幾個冗余位來擴(kuò)充存儲器的每一個信息。此程序也可通過計(jì)算數(shù)據(jù)字及其地址的連接冗余位來檢測尋址失效。PrüfbareundkorrigierbareCodes.W.W.Peterson,München,Oldenburg,1967Errordetectinganderrorcorrectingcodes.R.W.Hamming,TheBellSystemTechnicalJournal29(2),147-160,1950為一個附加字存儲在ROM中，或者把一個附加字附加給內(nèi)存塊以保證校驗(yàn)和算法產(chǎn)生一個預(yù)定的值。A.4.3單字(8位)的簽名描述：(既可使用硬件也可使用軟件)通過一種循環(huán)冗余校驗(yàn)(CRC)算法把一個內(nèi)存塊的內(nèi)容壓縮這種算法，使用一個多項(xiàng)式發(fā)生器來執(zhí)行一個連續(xù)的多項(xiàng)式除法。除得的余項(xiàng)就代表壓縮的存儲內(nèi)A.4.4雙字(16位)的簽名失效報文。A.4.5塊復(fù)制(例如利用硬件或者軟件進(jìn)行比較的雙重ROM)描述：在兩個存儲器中復(fù)制地址空間。第一個存儲器以正常方式工作。第二個存儲器包含同樣的信息并且同第一個并行存取。比較它們的輸出，當(dāng)檢測到有差異時就產(chǎn)生一條失效報文。為了檢測某整體目標(biāo)：檢測尋址、寫、存儲和讀過程中的失效。9GB/T20438.7—2017/IEC61508-7:2010注：軟錯誤列在GB/T20438.2—2017的表A.1中，作為運(yùn)行期間可以被檢測出的故障，或者進(jìn)行分析以導(dǎo)出安全部EMI噪聲由其他國際標(biāo)準(zhǔn)要求覆蓋。Alpha粒子和中子的影響宜由運(yùn)行時安全完整性措施來控制。對硬差錯有效的安全完整性措施對軟錯誤不一能復(fù)讀存儲器單元的監(jiān)控技術(shù)是有效的當(dāng)輻射事件引起足夠的電荷干擾扭轉(zhuǎn)或翻轉(zhuǎn)低能量的半導(dǎo)體存儲單元、寄存器、鎖存器或觸發(fā)器的數(shù)據(jù)狀態(tài)(SBU)或單事件翻轉(zhuǎn)(SEU)和多位翻轉(zhuǎn)(MBU)。核心電壓更小的geometries需要更多評估和更加有效的保護(hù)措施。根據(jù)下面從a到i的報告記錄，內(nèi)存(嵌入式)的軟錯誤率在700Fit/Mbit到1200Fit/Mbit范圍之間。這是通過比較采用硅工藝實(shí)現(xiàn)的器件得到的一個參考值。直到最近SBU差錯被認(rèn)為是主要的差錯，但是最近的報道a)AltitudeSEETestEuropeanPlatform(ASTEP)andFirstResultsinCMOS130nmSRAM.J-L.Autran,P.Roche,C.Sudreetal.NuclearScience,IEEETransactionsonVolume54,Isue4,Aug.2007Page(s):b)Radiation-InducedSoftErrorsinAdvancedSemiconductorTechnologies,RobertC.Baumann,Fellow,IEEE,IEEETRANSACTIONSONDEVICEANDMATERIALSRELIABILITY,VOL5,N0.3,SEPTEMBER2005c)Softerrors'impactonsystemreliability,RiteshMastipuramandEdwinCWee,CypressSemiconductor,2004d)TrendsAndChallengesInVLSICircuitReliability,C.Costantinescu,Intel,2003,IEEEComputerSocietye)Basicmechanismsandmodelingofsingle-eventupsetindigitalmicroelectronics,P.E.DoddandL.W.Massen-gill,IEEETrans.Nucl.Sci.,vol.50,no.3,pp.583-602,Jun.2003f)Destructivesingle-eventeffectsinsemiconductordevicesandICs,F.W.Sexton,IEEETrans.Nuci.Sci.,vol50,no.3,pp.603-621,Jun.2003g)ComingChallengesinMicroarchitectureandArchitecture,Ronen,Mendelson,ProceedingsoftheIEEE,Vol-ume89,Issue3,Mar2001Page(s):325-340h)ScalingandTechnologyIssuesforSoftErrorRates,AJohnston,4thAnnualResearchConferenceonRelia-bilityStanfordUniversity,Ocotober2000i)InternationalTechnologyRoadmapforSemiconductors(ITRS),severalpapers.描述：把含有數(shù)個0和數(shù)個1的一個檢測板寫入面向位的存儲器的存儲單元中。成對地檢查存儲單元以保證它們的內(nèi)容相同和正確無誤。這個成對的第1單元的地址是可變的，而此對的第2單元的地址則由第1單元的地址逐位取反形成。第1次運(yùn)行時，存儲器地址區(qū)從可變地址朝高地址方向擴(kuò)展，GB/T20438.7—2017/IEC61508-7:2010有差異則產(chǎn)生一條失效報文。一個面向位的存儲器的單元將由一個均勻的位流初始化。在第一次運(yùn)行時，按升序檢查這些單元，檢查每個單元的內(nèi)容是否正確并將它的內(nèi)容反向。在第二次運(yùn)行時按降序和同樣的方式處理第一次運(yùn)行中建立的后臺。在第3次或第4次運(yùn)行中反向預(yù)賦值的情況下，將重復(fù)頭兩次運(yùn)行。如果出現(xiàn)有差異就會產(chǎn)生一條失效報文。始化情況下執(zhí)行第二次運(yùn)行。任何差異就會產(chǎn)生一條失效報文?！巴该鞯膅alpat”測試法是上面的操作過程的一種變種：更換初始化所選存儲范圍內(nèi)的所有單元，現(xiàn)存內(nèi)容保持不變，使用簽名來比較單元集合的內(nèi)容。選擇在所選范圍內(nèi)要測試的第1個單元，計(jì)算范圍中其余所有單元的簽名S1,并把它存儲起來。然后把要測試的單元反向，重新計(jì)算所有其余單元的簽名S2(在每讀取一個剩余單元之后，也檢驗(yàn)反向的單元。)比較S2和S1,任何差異就產(chǎn)生一條失效報文。重新反向被測單元使之重建原先的內(nèi)容，重新計(jì)算其余所有單元的簽名S3,把S3同S1進(jìn)行比較，任何差異就產(chǎn)生一條失效報文。按同樣的方法測試所選存儲范圍中的所有存儲單元。目的：為了檢測存儲單元之間所有的固定型失效和耦合失效。描述：檢測故障的比例超過“galpat”RAM測試法。整個存儲器測試需要執(zhí)行的操作次數(shù)約為30n,n是存儲器中的單元數(shù)。為了在操作循環(huán)過程中使用透明法進(jìn)行測試，需要通過分割存儲器并在不同時間段測試每個分區(qū)。EfficientAlgorithmsforTestingSemiconductorRandom-AccessMemories.R.Nair,S.M.Thatte,J.A.Abraham,IEEETrans.Comput.C-27(6),572-576,1978A.5.5一位冗余(例如，使用一個奇偶校驗(yàn)位進(jìn)行RAM監(jiān)視)目的：為了在被測試的存儲范圍內(nèi)檢測所有可能的位失效的50%。描述：把存儲器的每個字都擴(kuò)展1位(奇偶校驗(yàn)位),此位給每個字補(bǔ)齊偶數(shù)個或奇數(shù)個邏輯1。每次讀數(shù)據(jù)字時將檢驗(yàn)它的奇偶性。如發(fā)現(xiàn)1的個數(shù)有錯時，就產(chǎn)生一條失效報文。應(yīng)這樣選擇偶或GB/T20438.7—2017/IEC61508-7:2010奇偶性，使得在一次失效事件中，無論是0字(全0)還是1字(全1)都不是有效的，此時字也不是有效代A.5.6利用一個修改的漢明碼進(jìn)行RAM監(jiān)視，或者利用差錯檢測和糾錯碼(EDC)檢測數(shù)據(jù)失效注1:在GB/T20438.2—2017的表A.6中引用了本技術(shù)/措施。描述：把存儲器的每次操作擴(kuò)展幾個冗余位從而產(chǎn)生具有一個漢明距離至少為4的一個修改過的PrüfbareundkorrigierbareCodes.W.W.Peterson,München,Oldenburg,1967Errordetectinganderrorcorrectingcodes.R.W.Hamming,TheBellSystemTechnicalJournal29(2),147—160,1950A.5.7具有硬件或者軟件比較和讀/寫測試的雙重RAM描述：在兩個存儲器中復(fù)制地址空間。第一個存儲器以常規(guī)方式工作。第2個存儲器包含同樣的信息并且同第一個存儲器并行存取。比較兩個輸出，當(dāng)檢測到差異時就產(chǎn)生一條失效報文。為了檢測A.6I/0單元和接口(外部通信)傳送給過程。描述：它是一種與數(shù)據(jù)流無關(guān)的輸入和輸出單元的循環(huán)測試。它用一種定義的測試模式來比較觀測值和對應(yīng)的預(yù)計(jì)值。測試模式信息、測試模式接受及測試模式評價都必須相互獨(dú)立。受控設(shè)備不應(yīng)目的：為了檢測輸入/輸出數(shù)據(jù)流中隨機(jī)硬件和系統(tǒng)性失效。描述：本程序可保護(hù)輸入和輸出信息免受系統(tǒng)和隨機(jī)硬件引起的失效。代碼保護(hù)提供了以信息冗感器輸出信號上可以疊加一個載頻信號。為了監(jiān)視邏輯單元和最后的執(zhí)行器之間流經(jīng)的一個信號的有效性，邏輯單元可以檢驗(yàn)附加到一個輸出通道上的載頻或者冗余碼位的存在。GB/T20438.7—2017/IEC61508-7:2010A.6.3多通道并行輸出部比較器進(jìn)行失效檢測。當(dāng)發(fā)生一次失效時，立即關(guān)掉受控設(shè)備。這種措施只有在診斷測試間隔期間數(shù)據(jù)流改變時才有效。A.6.4受監(jiān)視的輸出注：在GB/T20438.2—2017的表A.7和表A.13中引用本技術(shù)/措施。2選1、3選2或者更多的冗余方法。此措施只有在診斷測試間隔期間數(shù)據(jù)改變時才有效。A.7數(shù)據(jù)通路(內(nèi)部通信)A.7.1一位硬件冗余A.7.2多位硬件冗余A.7.3完全硬件冗余A.7.4使用測試模式進(jìn)行檢查GB/T20438.7—2017/IEC61508-7:2010描述：這是一種與數(shù)據(jù)流無關(guān)的數(shù)據(jù)通路循環(huán)測試。它使用一個定義的測試模式來比較觀察值和相應(yīng)的預(yù)期值。許的影響。A.7.5傳輸冗余注：在GB/T20438.2—2017的表A.8目的：為了測量總線通信中的失效。并把結(jié)果同接收到的檢驗(yàn)和作比較。A.8.1使用安全斷電的過壓保護(hù)描述：及早檢測過壓使之能通過掉電例行程序或者轉(zhuǎn)換到第二電源把所有輸出轉(zhuǎn)換到一個安全GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0554-6注：在GB/T20438.2—2017的表A.9中引用了本技術(shù)/措施。A.8.3具有安全斷電的掉電描述：及早檢測過壓或欠壓使之內(nèi)部狀態(tài)能出能通過掉電例程設(shè)置或轉(zhuǎn)換到一個安全工況，或者轉(zhuǎn)換到第2電源。A.9時序的和邏輯的程序序列監(jiān)視注：在GB/T20438.2—2017的表A.15、表A.16和表A.18GB/T20438.7—2017/IEC61508-7:2010整體目標(biāo)：為了檢測一個有缺陷的程序序列。當(dāng)在錯誤的序列或時段中處理一個程序的各個單元A.9.1具有分離時基而無時間窗的看門狗注：在GB/T20438.2—2017的表A.10和表A.11中引用了本技術(shù)/措施。描述：為了監(jiān)視計(jì)算機(jī)的行為和程序序列的合理性，定期觸發(fā)具有分離A.9.2具有分離時基和時間窗的看門狗描述：為了監(jiān)視計(jì)算機(jī)的行為和程序序列的似真性，定期觸發(fā)具有分離A.9.3程序序列的邏輯監(jiān)視A.9.4程序序列的時序和邏輯監(jiān)視的組合描述：只有在也正確執(zhí)行程序段的順序時才會觸發(fā)監(jiān)視程序序列的一臺時序設(shè)備(例如看門狗計(jì)A.9.5具有在線檢驗(yàn)的時序監(jiān)視A.10通風(fēng)和加熱A.10.1溫度傳感器目的：當(dāng)系統(tǒng)開始在規(guī)定的溫度范圍之外工作之前，檢測溫度過高還是溫度過低。描述：溫度傳感器監(jiān)視E/E/PES的大多數(shù)臨界點(diǎn)處的溫度。在溫度偏離規(guī)定范圍之前就采取應(yīng)GB/T20438.7—2017/IEC61508-7:2010急行動。A.10.2風(fēng)扇控制目的：為了檢測風(fēng)扇運(yùn)轉(zhuǎn)的不正常。描述：監(jiān)視風(fēng)扇的運(yùn)轉(zhuǎn)是否正常。當(dāng)一臺風(fēng)扇工作不正常時，就要采取維護(hù)(或者最終得采取應(yīng)急)行動。A.10.3通過熱熔斷器啟動安全斷電目的：在系統(tǒng)的工作溫度超過技術(shù)條件的規(guī)定之前，就斷掉安全相關(guān)系統(tǒng)的電源。描述：一個熱熔斷器被用來切斷安全相關(guān)系統(tǒng)的供電，對一個可編程電子系統(tǒng)(PES)來說，可通過一個存儲有應(yīng)急行動所需的全部信息的掉電例行程序來引起斷電。A.10.4來自溫度傳感器和條件報警的交錯報文目的：為了指示安全相關(guān)系統(tǒng)正工作在技術(shù)條件規(guī)定的溫度范圍之外。描述：監(jiān)視溫度，當(dāng)溫度超出規(guī)定范圍時就產(chǎn)生一個報警。A.10.5強(qiáng)制通風(fēng)制冷的連接和狀態(tài)指示目的：利用強(qiáng)制風(fēng)冷卻防止過熱。描述：監(jiān)視溫度，當(dāng)溫度高于規(guī)定的上限時就引起強(qiáng)制風(fēng)冷卻。并告之用戶系統(tǒng)此時的狀態(tài)。A.11通信和大容量存儲器整體目標(biāo)：為了控制在與外部源和海量存儲器通信過程中的失效。A.11.1分隔開電力線和信息線目的：為了最小化信息線中大電流感生的串?dāng)_。描述：分隔開電力供電線同傳送信息的線路?？赡茉谛畔⒕€上感生電壓脈沖的電場隨距離增大而減小。A.11.2多線路的空間分隔目的：為了最小化多線路中大電流感生的串?dāng)_。描述：載有重復(fù)信號的線路彼此分隔開?？赡茉诙嗑€路上感生電壓脈沖的電場隨距離增大而減小。這種措施也減少了共同原因失效。A.11.3提高抗干擾性目的：為了減小對安全相關(guān)系統(tǒng)的電磁干擾。描述：可以使用比如屏蔽和濾波這樣的設(shè)計(jì)技術(shù)來提高安全相關(guān)系統(tǒng)對電力線或信號線或者靜電放電產(chǎn)生的輻射或者傳導(dǎo)電磁干擾的抗擾性。注：參見表16和表17安全相關(guān)系統(tǒng)的抗干擾要求和工業(yè)應(yīng)用中實(shí)施安全相關(guān)功能(功能安全)的設(shè)備抗干擾GB/T20438.7—2017/IEC61508-7:2010IEC/TR61000-5-2:1997,Electromagneticcompatibility(EMC)—Part5:Installationandmitigationguidelines—Section2:EarthingandcablingPrinciplesandTechniquesofElectromagneticCompatibility,SecondEdition,C.Christopoulos,CRCPress,2007,ISBN-10:0849370353,ISBN-13:978-0849370359NoiseReductionTechniquesinElectronicSystems.H.W.Ott,JohnWileyInterscience,2ndEdition,1988EMCforProductDesigners.T.Williams,Newnes,2007,ISBN:0750681705GroundingandShieldingTechniquesinInstrumentation,3edition,R.Morrison.WileyInterscience,NewYork,1986,ISBN-10:0471838055,ISBN-13:978-0471838050A.11.4反價的(Antivalent)描述：使用反價的(Antivalent)信號(例如邏輯1和0)來傳輸所有的ElektronkinderSicherheitstechnik.H.Jürs,D.Reinert,SicherheitstechnischesInformations-undArbeit-sblatt330220,BIA-Handdbuch.20.Lfg.V/93,ErichSchmidtVerlag,Bielefeld.http://www.bgia-handbuchdigital.de/330220A.12傳感器A.12.1參考傳感器GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0554-6A.12.2啟動可靠的開關(guān)了任何時候，只要開關(guān)凸輪處于吸合位置，開關(guān)觸點(diǎn)一定是斷開的。VerriegelungbeweglicherSchutzeinrichtungen.F.Kreutzkampf,K.Becker,SicherheitstechnichesInformations-undArbeitsblatt330210,BIA-Handbuch.1.Lfg.IX/85ErichSchmidtVerlag,BielefeldGB/T20438.7—2017/IEC61508-7:2010A.13最終元件(執(zhí)行器)整體目標(biāo)：為了控制安全相關(guān)系統(tǒng)的最終元件中的失效。A.13.1監(jiān)視描述：監(jiān)視執(zhí)行器的工作(例如通過一個繼電器的啟動可靠的觸點(diǎn)，參見A.1.2中繼電器觸點(diǎn)監(jiān)視)。此監(jiān)視采用的冗余可用來觸發(fā)應(yīng)急行動。GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0554-6ZusammenstellungundBewertungelektromechanischerSicherheitschaltungenfürVer-riege-lungsein-richtungen.F.Kreutzkampf,W.Hertel,SicherheitstechnischesInformations-undArbeitsblatt330212,BIA-Han-dbuch.17.Lfg.X/91,ErichSchmidtVerlag,BielefeldA.13.2多個執(zhí)行器的交叉監(jiān)視目的：為了通過比較結(jié)果來檢測多個執(zhí)行器中的故障。描述：使用一個不同的硬件通道來監(jiān)視多個執(zhí)行器中的每一個執(zhí)行器。當(dāng)出現(xiàn)差異時，就采取應(yīng)急行動。描述：設(shè)計(jì)的設(shè)備的機(jī)殼要能耐受預(yù)計(jì)的環(huán)境。參考文獻(xiàn)：GB4208—1993外殼防護(hù)等級(IP代碼)GB/T20438.7—2017/IEC61508-7:2010(資料性附錄)E/E/PE安全相關(guān)系統(tǒng)的技術(shù)和措施概述：系統(tǒng)性失效的避免(參看GB/T20438.2和GB/T20438.3)B.1一般測量和技術(shù)B.1.1項(xiàng)目管理——在交叉項(xiàng)目和項(xiàng)目專用指南中制定建立和確認(rèn)安全相關(guān)系統(tǒng)的規(guī)則和措施。下面確立了許多重要的基本原則：●各組織單位的任務(wù)和責(zé)任；——序列計(jì)劃(活動模型)的定義：●確定在執(zhí)行項(xiàng)目的過程中所有有關(guān)的活動，包括內(nèi)部檢驗(yàn)和它們的日程表；·次品的放行機(jī)制； GB/T19001—2008,質(zhì)量管理體系要求ISO/IEC15504(allparts),Informationtechnology—ProcessassessmentCMMI:GuidelinesforProcessIntegrationandProductImprovement,2ndEdition.M.B.Chrissis,M.Konrad,S.Shrum,Addison-WesleyProfessional,2006,ISBN-10:0-3213-7967-0,ISBN-13:978-3212-7967-5GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0544-6GB/T20438.7—2017/IEC61508-7:2010DependabilityofCriticalComputerSystems1.F.J.Redmill,ElsevierAppliedScience,1988,ISBNB.1.2編制文檔目的：通過把開發(fā)過程中的每一步編寫成文件從而避免失效和便于評估系統(tǒng)安全性?！褚髢?nèi)容的檢查表；——借助計(jì)算機(jī)輔助的和組織化的項(xiàng)目庫來管理建立文檔?！は到y(tǒng)方面的文檔(用戶文檔);●開發(fā)文檔(包括內(nèi)部檢驗(yàn))。●圖形元素的語義定義；和GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0544-6B.1.3分離開E/E/PE系統(tǒng)的安全功能與非安全功能目的：為了防止系統(tǒng)的非安全部分以不期望的方式影響安全部分。GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0544-6GB/T20438.7—2017/IEC61508-7:2010干擾)的概率并提高檢測這種失效的概率。道。存在幾種多樣化形式。功能多樣化使用了各種辦法來達(dá)到同樣的結(jié)果。GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0544-6B.2E/E/PE系統(tǒng)設(shè)計(jì)要求規(guī)范B.2.1結(jié)構(gòu)化規(guī)范單、可視。這種分析一步一步更加精確直到能夠區(qū)別那些小而清晰的部分要求為止。最后的精確結(jié)果是一種部分要求的層次化結(jié)構(gòu)，它提供了總體要求規(guī)范的一個框架。這種方法著重于各部分要求之間ESAPSS05-02,Guidetotheuserrequirementsdefinitionphase,Issue1,Revision1,ESABoardforSoftwareStandardisationandControl(BSSC),ESA,Paris,March1995,ftp://ftp.estec.esa.nl/pub/wrn/wme/bssc/PSS0502.pdfStructuredAnalysisandSystemSpecification.T.DeMarco,YoudonPress,EnglewoodCliffs,1979,ISBN-10:0138543801,ISBN-13:978-0138-543808B.2.2形式化方法注1:關(guān)于專用形式化方法的細(xì)節(jié)可參看C.2.4。注2:在GB/T20438.2—2017的表B.1、表B.2和表B.6中引用了本技術(shù)/措施。描述：形式化方法提供了一種在系統(tǒng)開發(fā)規(guī)范和/或?qū)嵤╇A段描述的描述是系統(tǒng)功能和/或結(jié)構(gòu)的數(shù)學(xué)模型。的一系列數(shù)學(xué)模型(見以下備注)。GB/T20438.7—2017/IEC61508-7:2010 注5:形式化方法共有的重點(diǎn)顯然是系統(tǒng)的目標(biāo)函數(shù)建FormalSpecification:TechniquesandApplications.N.Nissanke,Springer-VerlagTelos,1999,ISBN-10:1852330023B.2.3半形式化方法注1:在GB/T20438.3—2017的表B.7中采用其他半形式化的軟件相關(guān)技術(shù)擴(kuò)展了這個附錄B的列表。列表 注2:在GB/T20438.2—2017的表B.1、表B.2和表B.6以及在GB/T20438.3—2017的表A.1、表A.2、表A.4、B.2.3.1概述成動畫。此動畫可對系統(tǒng)滿足實(shí)際要求以及規(guī)定的要求提供了額外的置信度。在下面的條款中將描述兩種半形式化方法。B.2.3.2有限狀態(tài)機(jī)/狀態(tài)轉(zhuǎn)換圖輸入I時，一個系統(tǒng)將會執(zhí)行動作A并轉(zhuǎn)換到狀態(tài)S2。通過描述一個系統(tǒng)處于每個狀態(tài)中時，每個輸入導(dǎo)致該系統(tǒng)的動作，就能完整地描述一個系統(tǒng)。產(chǎn)生的系統(tǒng)模型叫做一個有限狀態(tài)機(jī)(或有限狀態(tài)自一個復(fù)雜系統(tǒng)或者具有一個自然結(jié)構(gòu)的系統(tǒng)的情況可以在一個分層的有限狀態(tài)機(jī)中反映出來。狀態(tài)圖是一種可以嵌套的狀態(tài)轉(zhuǎn)換圖(目標(biāo)的狀態(tài)分為可以GB/T20438.7—2017/IEC61508-7點(diǎn)重新組合為一個狀態(tài)),這增加了狀態(tài)轉(zhuǎn)換標(biāo)記法的表達(dá)能力，但在安全相關(guān)系統(tǒng)中也增加了不受歡迎的額外的復(fù)雜性。狀態(tài)圖有一個形式化的(數(shù)學(xué)上)規(guī)范，狀態(tài)轉(zhuǎn)換圖可以適用于整個系統(tǒng)或某些對象或者它的元素?？梢詸z查表示成一個有限狀態(tài)機(jī)的規(guī)范或設(shè)計(jì)的：——可達(dá)性(是否能通過任何輸入序列從一個狀態(tài)到達(dá)另一狀態(tài));以及它們是關(guān)鍵系統(tǒng)的一些重要屬性。很容易開發(fā)支持這些檢查的工具，并且可以使用基于有限狀態(tài)機(jī)的不同模型(形式化語言、佩特里(Petri)網(wǎng)、馬爾可夫圖形等等)。而且也存在能夠自動生成測試用例的算法，這些用例用于驗(yàn)證一個有限狀態(tài)機(jī)實(shí)現(xiàn)或者制作一個有限狀態(tài)機(jī)模型的動畫。狀態(tài)轉(zhuǎn)換圖和狀態(tài)圖被各種工具廣泛支持，包括圖表的繪制和檢查，生成描述狀態(tài)機(jī)執(zhí)行的代碼。他們也可以用于失效概率的計(jì)算，參見B.6和C.6部分。IntroductiontoAutomataTheory,Languages,andComputation(3rdEdition).J.Hopcroft,R.Mot-wani,J.Ullman,Addison-WesleyLongmanPublishingCo,2006,ISBN:0321462254Securisationdesarchitecturesinformatiques.Jean-LouisBoulanger,Hermès-Lavoisier,2009,ISBN:978-2-7462-1991-5目的：通過分析和再設(shè)計(jì)模型化系統(tǒng)行為的有關(guān)方面、評估及盡可能地提高安全性和操作要求。描述：佩特里(Petri)網(wǎng)是一個有限狀態(tài)自動機(jī)的特殊情況，屬于圖形理論模型一類，適用于在呈現(xiàn)并發(fā)性和有異步行為的系統(tǒng)中表示信息和控制流。佩特里(Petri)網(wǎng)是一個位置和變遷網(wǎng)。位置可被“標(biāo)記”或“不標(biāo)記”。當(dāng)輸入該網(wǎng)的所有輸入位入位置就變成未標(biāo)記的了，并且代之以變遷產(chǎn)生的每個輸出位置被標(biāo)記。這些也對執(zhí)行蒙特卡羅模擬提供有效的支持，以實(shí)現(xiàn)失效概率的計(jì)算，參見B.6.6.8。參考文獻(xiàn)：TimedPetriNets:TheoryandApplication.JiacunWang,Springer,1998,ISBN0792382706Securisationdesarchitecturesinformatiques.Jean-LouisBoulanger,Hermes-Lavoisier,2009,B.2.4計(jì)算機(jī)輔助的規(guī)范工具B.2.4.1概述目的：使用形式化規(guī)范技術(shù)以便于自動檢測歧義性和完備性。描述：本技術(shù)可產(chǎn)生一個數(shù)據(jù)庫形式的規(guī)范，這種形式可被自動檢查，從而評估一致性和完備性。GB/T20438.7—2017/IEC61508-7:2010項(xiàng)目生命周期的其他階段?？筛鶕?jù)以下條款對規(guī)范工具進(jìn)行分類。B.2.4.2面向無特定方法的工具為了不用特殊方法所面向的工具描述：規(guī)范工具可接替用戶的一些日常工作并支持項(xiàng)目管理。它不強(qiáng)求任何特殊的規(guī)范方法。在B.2.4.3面向模型的層次分析程序程在描述連續(xù)/模擬系統(tǒng)上具有類似的思路和目的。各個層次下的分析對動作和數(shù)據(jù)兩者都有作用。在層次之間和同一層次的兩個功能單元(模塊)之間評估歧義性和完備性是可能的。(例如，系統(tǒng)模型的有效工具的可行性(開發(fā)這樣的工具是一項(xiàng)需付出巨大努力的工作)和工作人員能夠開發(fā)和分析模型的可Systemrequirementsanalysis.Jeffrey0.Grady,AcademicPress,2006,ISBN012088514X,9780120885145描述：把要求的系統(tǒng)描述成一些對象和它們之間的關(guān)系的一個集合。工具使我們能確定系統(tǒng)能解于特定生產(chǎn)過程的。為了用于過程控制，已對傳統(tǒng)的程序進(jìn)行了擴(kuò)充。檢查能力和對用戶的支持與所SoftwareRequirements:PracticalTechniquesforGatheringandManagingRequirementsThroughouttheProductDevelopmentCycle.KarlEugeneWiegers,MicrosoftPress,2003,ISBN0735618798,9780735618794GB/T20438.7—2017/IEC61508-7:2010IEC60880:2006,Nuclearpowerplants—Instrumentationandcontrolsystemsimportanttosafe-ty—Softwareaspectsforcomputer-basedsystemsperformingcategoryAfunctionsTheArtofSoftwareTesting,SecondEdition.G.Myersetal.,Wiley&.Sons,NewYork,2004,ISBN0471469122.9780471469124SoftwareQualityAssurance:FromTheorytoImplementation.DanielGalin,PearsonEducation,2004,ISBN0201709457,9780201709452GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0554-6RiskAssessmentandRiskManagementfortheChemicalProcessIndustry.H.R.Greenberg,J.J.Cramer,JohnWileyandSons,1991,ISBN0471288829,9780471288824IEC61160:2005,DesignreviewTheArtofSoftwareTesting,SecondEdition.G.Myersetal.,Wiley&.Sons,NewYork,2004,ISBN0471469122,9780471469124SoftwareQualityAssurance:FromTheorytoImplementation.D.Galin,PearsonEducation,2004,ISBN0201709457,9780201709452GB/T20438.7—2017/IEC61508-7:2010B.3E/E/PE系統(tǒng)的設(shè)計(jì)和開發(fā)B.3.1遵循指南和標(biāo)準(zhǔn)目的：為了遵循應(yīng)用領(lǐng)域標(biāo)準(zhǔn)(GB/T20438中未規(guī)定)。GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:B.3.2結(jié)構(gòu)化設(shè)計(jì)目的：通過建立部分要求的層次結(jié)構(gòu)來減少復(fù)雜性，避免各要求之間的接口失效。簡化驗(yàn)證。GB/T5094工業(yè)系統(tǒng)、裝置與設(shè)備以及工業(yè)產(chǎn)品結(jié)構(gòu)原則與參照代號SoftwareEngineeringforReal-timeSystems.J.E.Cooling,PearsonEducation,2003,ISBNSoftwareDesign.D.Budgen,PearsonEducation,2003,ISBN0201722194,9780201722192AnOverviewofJSD,J.R.Cameron,IEEETransSE-12No.2,February1986StructuredDevelopmentforReal-TimeSystems(3Volumes).P.T.Yourdon,P.T.YourdonPress,1985StructuredDevelopmentforReal-TimeSystems(3Volumes).P.T.Ward,S.J.Mellor,YourdonPress,1985ApplicationsandExtensionsofSADT.D.T.Ross,Computer,25-34,April1985EssentialSystemsAnalysis.St.M.McMenamin,F.Palmer,YourdonInc,1984StructuredAnalysis(SA):Alanguageforcommunicatingideas.D.T.Ross,IEEETrans.SoftwareEng,Vol.SE-3(1),16-34B.3.3使用經(jīng)試用并證明效果良好的元件目的：通過使用具有專門特性的元件減小大量首次和未檢測到的故障的風(fēng)險。描述：在安全性方面根據(jù)組件的可靠性，制造商選擇經(jīng)試用并證明效果良好的元件(例如使用經(jīng)運(yùn)行測試過的物理單元來滿足高安全要求，或者僅在安全存儲器中存儲安全的程序)。存儲器的安全性與未授權(quán)的訪問和環(huán)境影響(電磁兼容性、輻射等)以及在發(fā)生一次失效的事件中組件的響應(yīng)有關(guān)。GB/T20438.7—2017/IEC61508-7IEC61163-1:2006,Reliabilitystressscreening—Part1:RepairableassembliesmanufacturedTheArtofSoftwareTesting,SecondEdition.G.Myersetal.,Wiley&.Sons,NewYork,2004,SoftwareEngineeringforReal-timeSystems.J.E.Cooling,PearsonEducation,2003,ISBNSoftwareReliability—PrinciplesandPractices.G.J.Myers,Wiley-Interscience,NewYork,1976,ISBN-10:0471627658,B.3.5計(jì)算機(jī)輔助設(shè)計(jì)工具目的：為了更系統(tǒng)化地執(zhí)行設(shè)計(jì)規(guī)程。包括已經(jīng)可用的和經(jīng)測試過的合適的自動結(jié)構(gòu)組件。OverviewofTechnologyComputer-AidedDesignToolsandApplicationsinTechnologyDevelop-ment,ManufacturingandDesign.W.Fichtner,JournalofComputationalandTheoreticalNanoscience,Volume5,Number6,June2008,pp.1089-1105(17)TheElectromagneticDataExchange:MuchmorethanaCommonDataFormat.P.E.Frandsenetal.InProceedingofthe2ndEuropeanConferenceonAntennasandPropagation.TheInstitutionofEn-gineeringandTechnology(IET),2007,ISBN978-0-86341-842-6Softwareengineering:Update.IanSommerville,Addison-WesleyLongman,Amsterdam;8thed.,2006,ISBN0321313798,9780321313799SoftwareEngineering.IanSommerville,PearsonStudium,8.Auflage,2007,ISBN3827372577,B.3.6模擬目的：為了對電氣/電子電路元件的功能性能和正確度量兩方面進(jìn)行一次系統(tǒng)、全面的檢查。描述：借助一個軟件行為模型，在一臺計(jì)算機(jī)上仿真安全相關(guān)系統(tǒng)電路的功能。電路的各個元件每GB/T20438.7—2017/IE個都有它們自己的模擬行為，并且通過觀察每個元件的邊緣數(shù)據(jù)來檢驗(yàn)這些元件連成的電路的響應(yīng)。B.3.7檢查(復(fù)審和分析)描述：檢驗(yàn)和評價安全相關(guān)系統(tǒng)的規(guī)定功能以保證安全相關(guān)系統(tǒng)符合規(guī)范中給出的要求。有關(guān)實(shí)現(xiàn)的和產(chǎn)品使用的任何疑點(diǎn)都編入文檔，因此這些疑點(diǎn)可得到解決。在檢查過程中，同走查相比，作者IEC61160:2005,DesignReviewSoftwareengineering:Update.IanSommerville,Addison-WesleyLongman,Amsterdam;8thed.,2006,ISBN0321313798,9780321313799SoftwareEngineering.IanSommerville,PearsonStudium,8.Auflage,2007,ISBN3827372577,TheArtofSoftwareTesting,SecondEdition.G.Myersetal.,Wiley&.Sons,NewYork,2004,ISBN0471469122,9780471469124ANSI/IEE1028:1997,IEEEStandardforsoftwarereviewsDependabilityofCriticalComputerSystems3.P.G.Bishopetal.,ElsevierAppliedScience,1990,ISBN1-85166-544-7參考文獻(xiàn)：Softwareengineering:Update.IanSommerville,Addison-WesleyLongman,Amsterdam;8thed.,2006,ISBN0321313798,9780321313799SoftwareEngineering.IanSommerville,PearsonStudium,8.Auflage,2007,ISBN3827372577,ANSI/IEEE1028:1997,IEEEStandardforsoftwarereviewsDependabilityofCriticalComputerSystems3.P.G.Bishopetal.,ElsevierAppliedScience,1990,ISBN1-85166-544-7MethodischesTestenvonProgrammen.G.J.Myers,OldenbourgVerlag,München,Wien,1987B.4E/E/PE系統(tǒng)操作和維護(hù)規(guī)程整體目標(biāo)：擬制有助于避免安全相關(guān)系統(tǒng)在操作和維護(hù)過程中失效的規(guī)程。目的：為了避免安全相關(guān)系統(tǒng)在操作和維護(hù)過程中出錯。GB/T20438.7—2017/IEC61508-7:2010還包括安裝安全相關(guān)系統(tǒng)的例子。所有說明必須要容易讀懂。復(fù)雜的操作步驟和相互關(guān)系可用圖表GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0554-6描述：安全相關(guān)系統(tǒng)的正確操作與人的操作水平有關(guān)。通過考慮有關(guān)的系統(tǒng)設(shè)計(jì)和工作場地的設(shè)——盡量減少人為干預(yù)的需要；——必要的干預(yù)應(yīng)盡可能簡單；——干預(yù)操作規(guī)程和設(shè)備的培訓(xùn)應(yīng)適合受訓(xùn)用戶的知識水平和技能。B.4.3維護(hù)友善性——對于不可避免的修理應(yīng)具有足夠的、切合實(shí)際并易于掌握的診斷工具——這些工具應(yīng)包括所B.4.4限制操作可能性注：在GB/T20438.2—2017的表B.4和表B.6中引用了本技術(shù)/措施。——限制操作組件的數(shù)量；GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0554-6B.4.5只能由熟練的操作員操作注：在GB/T20438.2—2017的表B.4和表B.6中引用了本技術(shù)/措施。GB/T20438.7—2017/IEC61508-7:2010培訓(xùn)包括學(xué)習(xí)生產(chǎn)過程的基礎(chǔ)知識和了解安全相關(guān)系統(tǒng)和受控設(shè)備之間的關(guān)系。GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993,ISBN-10:0-8169-0554-1,ISBN-13:978-0-8169-0554-6注：在GB/T20438.2—2017的表B.4和表BB.4.7(未用)B.4.9輸入確認(rèn)的速度上下限以及人的反應(yīng)傾向。這樣可以避免例如操作員按鍵比預(yù)計(jì)的快而引起系統(tǒng)把一次雙擊讀當(dāng)操作員還未作決定并讓系統(tǒng)等待時，為了提供必要除非在設(shè)計(jì)軟件及硬件時考慮到了這種需要，否則重新啟動一個安全可編程電子系統(tǒng)的能力將使B.5E/E/PE系統(tǒng)集成注：在GB/T20438.2—2017的表B.3和表B.5中以及GB/T20438.3—2017的表A.5、表A.6、表A.7、表C.5、表C.6和表C.7中引用了本技術(shù)/措施。GB/T20438.7—2017/IEC61508-7:2010說明一般預(yù)期的工作特性。觀察輸出并把它們的響應(yīng)同規(guī)范給出的響應(yīng)作對比。與規(guī)范的不符合性和為多通道架構(gòu)設(shè)計(jì)的電子元件的功能測試通常把制造的元件與已確認(rèn)的伙伴元件一起進(jìn)行檢測，則該類故障會被掩藏而不能揭示出來。SoftwareTestingandQualityAssurance.K.Naik,P.Tripathy,WileyInterscience,2008,PrintISBN:9780471789116OnlineISBN:9780470382844TheArtofSoftwareTesting,SecondEdition.G.Myersetal.,Wiley&.Sons,NewYork,2004,ISBN0471469122,9780471469124PracticalSoftwareTesting:AProcess-orientedApproach.I.Burnstein,Springer,2003,ISBN0387951318,9780387951317DependabilityofCriticalComputerSystems3.P.G.Bishopetal.,ElsevierAppliedScience,1990,ISBN1-85166-544-7表C.6和表C.7中都引用了本技術(shù)/措施。目的：為了檢驗(yàn)實(shí)際功能條件下的動態(tài)行為。為了揭示失效從而滿足功能規(guī)范和評估實(shí)用性和魯棒性。描述：在一個規(guī)定的環(huán)境中，利用規(guī)定的測試數(shù)的)執(zhí)行一個系統(tǒng)或者程序的功能。這將揭露出系統(tǒng)的行為并允許同規(guī)范進(jìn)行比較。不需使用系統(tǒng)內(nèi)部結(jié)構(gòu)的知識來指導(dǎo)測試。測試的目的是要確定功能單元是否能正確執(zhí)行規(guī)范要求的所有功能。形成等價類的技術(shù)是黑盒測試數(shù)據(jù)判定的一個例子。借助規(guī)范可把輸入數(shù)據(jù)空間細(xì)分成專用的輸入值范圍(等價類)。于是由下列情況構(gòu)成各種測試用例：——來自不允許范圍的數(shù)據(jù)；——以上各類的組合。為了選擇各種測試活動(模塊測試、集成測試和系統(tǒng)測試)中的測試用例，其他判據(jù)也可能是有效SoftwareTestingandQualityAssurance.K.Naik,P.Tripathy,WileyInterscience,2008,PrintISBN:9780471789116OnlineISBN:9780470382844EssentialsofSoftwareEngineering.FrankF.Tsui,OrlandoKaram.Jones&.Bartlett,2006.ISBN076373537X,9780763735371TheArtofSoftwareTesting,SecondEdition.G.Myersetal.,Wiley&.Sons,NewYork,2