1、GB/T20438.6-2006/1EC61508-6:2000表E.1软件安全要求规范(见GB/T20438.3一2006的7.2)989988899098988951表E.2软件设计与开发:软件结构设计(见GB/T20438.3一2006的7.4.3)51表E.3软件设计与开发:支持工具和编程语言(见GB/T20438.3一2006的7.4.4)52表E.4软件设计与开发:详细设计(见GB/T20438.3一2006的7.4.5及7.4.6)52表E.5软件设计与开发:软件模型测试和集成(见GB/T20438.3一2006的7.4.7及7.4.8)52表E.6可编程电子集成(硬件和软件)(
2、见GB/T20438.3一2006的7.5)53表E.7软件安全确认(见GB/T20438.3一2006的7.7)53表E.8软件修改(见GB/T20438.3一2006的7.8)53表E.9软件脸证(见GB/T20438.3一2006的7.9)54表E.10功能安全评估(见GB/T20438.3一2006的第8章)54表E.11软件安全要求规范(见GB/T20438.3一2006的7.2)55表E.12软件设计与开发:软件结构设计(见GB/T20438.3一2006的7.4.3)55表E.13软件设计与开发:支持工具及编程语言(见GB/T20438.3一2006的7.4.4)56表E.14软
3、件设计与开发:详细设计(见GB/T20438.3一2006的7.4.5和7.4.6)56表E.15软件设计与开发:软件模块测试和集成(见GB/T20438.3一2006的7.4.7和7.4.8)56表E.16可编程电子集成(硬件和软件)(见GB/T20438.3一2006的7.5)57表E.17软件安全确认(见GB/T20438.3一2006的7.7)57表E.18修改(见GB/T20138.3一2006的7.8)57表E.19软件的确认(见GB/T20438.3一2006的7.9)”58表E.20功能安全评估(见GB/T20438.3一2006的第8章)58图1GB/T20438的总体框架图
4、A.1GB/T20438.2的应用6图A.2GB/T20438.2的应用图A.3GB/T20438.3的应用图B.1两个传感器通道配置示例12图B.2子系统结构115图B.31001物理块图15图B.41001可靠性块图16图B.51002物理块图16图B.61002可靠性块图17图B.72002物理块图图B.82002可靠性块图19019019090190190930917图B.91oo2D物理块图18图B.101002D可靠性块图18图B.112003物理块图18图B.122003可靠性块图19图B.13低要求操作模式结构示例25图B.14高要求或连续操作模式的结构示例5图D.1各个通道失
5、效与共同原因失效的关系42GB/T20438.6-2006/1EC61508-6:2000引言由电气和电子器件构成的系统,多年来在许多领域中执行其安全功能,以计算机为基础的系统(一般指可编程电子系统(PES)在许多领域中用于非安全目的,但也越来越多地用于安全目的,为使计算机系统技术更有效安全的使用,有必要进行安全方面的指导。GB/T20438针对由电气或电子和可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PES)的整体安全生命周期,提出了一个通用的方法。建立统一的方法的目的是为了针对以电子为基础的安全相关系统提出一种一致的、合理的技术方针,主要目标是促进应用领域标准的制
6、定。在许多情况下,可用多种基于不同技术的防护系统来保证安全(如机械的、液压的、气动的、电气的电子的、可编程电子的,等等)。从安全战略角度,不仅要考虑各独立系统中所有元器件的问题(如传感器、控制器、执行器等),而且要考虑由所有安全相关系统构成的组合安全相关系统的问题。因此GB/T20438对电气/电子/可编程电子(E/E/PE)安全相关系统进行了规定。GB/T20438还提出了一个框架,在这个框架内,基于其他技术的安全相关系统也可同时被考虑进去。在各种应用领域里,存在着许多潜在的危险和风险,包含的复杂性也各不相同,从而需应用不同的E/E/PES。对每个特定的应用,则根据应用的不同而确定所需的安全
7、量。GB/T20438仅是使这些量值规范化。GB/T20438一考虑了当使用E/E/PES执行安全功能时,所涉及到的整体安全生命周期、E/E/PES安全生命周期以及软件安全生命周期的各阶段(如初始构思,整个设计、实现、运行、维护及停用)。一针对飞速发展的技术,建立一个足够健壮而广泛的能满足今后发展需要的框架。一有利于促进E/E/PE安全相关系统在不同领域中相关标准的制订,各应用领域和交叉应用领域相关标准应在GB/T20438的框架下制定,使之具有高水平的一致性(如基础原理,术语等的一致性)并将既安全又经济。一为达到E/EPE安全相关系统所需的功能安全,提供了编制安全要求规范的方法。一使用了一个
8、安全完整性等级,此安全完整性等级规定了E/E/PE安全相关系统要实现的安全功能的日标安全完整性等级。一采用了一种基于风险的方案来确定安全完整性等级要求。一建立了E/E/PE安全相关系统的数值目标失效量,这些量都同安全完整性等级相联系。一建立了危险失效模式中目标失效量的一个下限,此下限是对单一E/E/PE安全相关系统的要求。这些系统运行在:1)低要求操作模式下,为了执行它的设计功能,一旦要求时,就把下限设定成平均失效概率为10-3:2)高要求操作模式或者连续操作模式下,下限设定成危险失效概率为10-”/h。注:单一E/E/PE安全相关系统不一定是单通道结构,一采用广泛的原理,技术和措施以达到E/E/PE安全相关系统的功能安全,但不使用失效-安全的概念,这个概念是在很好定义了失效模式,并且复杂性相对较低时的一个数值。由于E/E/PE安全相关系统的复杂性均在GB/T20438范围之内,因此不适用失效-安全的概念。
