（高清版）GBT 41295.2-2022 功能安全應(yīng)用指南 第2部分：設(shè)計(jì)和實(shí)現(xiàn)

功能安全應(yīng)用指南第2部分：設(shè)計(jì)和實(shí)現(xiàn)2022-03-09發(fā)布2022-10-01實(shí)施國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T41295.2—2022 2規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 25總則 26安全生命周期 7系統(tǒng)設(shè)計(jì) 48系統(tǒng)架構(gòu)設(shè)計(jì) 69系統(tǒng)詳細(xì)設(shè)計(jì)和實(shí)現(xiàn) 710軟件設(shè)計(jì)和實(shí)現(xiàn) 11系統(tǒng)集成 12系統(tǒng)運(yùn)行和維護(hù)規(guī)程 13系統(tǒng)的確認(rèn) 14生命周期各個(gè)階段的驗(yàn)證 16功能安全系統(tǒng)評(píng)估評(píng)測(cè) 參考文獻(xiàn) 圖1系統(tǒng)實(shí)現(xiàn)過(guò)程的安全生命周期 3圖2系統(tǒng)設(shè)計(jì)要求規(guī)范與系統(tǒng)安全要求規(guī)范的關(guān)系 4圖3系統(tǒng)設(shè)計(jì)要求規(guī)范的分解 5圖4過(guò)程工業(yè)SIL目標(biāo)分配示例 5圖5安全確認(rèn)計(jì)劃內(nèi)容 6Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是GB/T41295《功能安全應(yīng)用指南》的第2部分。GB/T41295已經(jīng)發(fā)布了以下部分：——第1部分：危害辨識(shí)和需求分析；——第2部分：設(shè)計(jì)和實(shí)現(xiàn)；——第3部分：測(cè)試驗(yàn)證；——第4部分：管理和維護(hù)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出。本文件由全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)歸口。本文件起草單位：上海辰竹儀表有限公司、機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所、國(guó)能智深控制技術(shù)有限公司、浙江中控技術(shù)股份有限公司、北京康吉森技術(shù)有限公司、上海辰竹安全科技有限公司。自GB/T20438(所有部分)發(fā)布以來(lái)，電氣/電子/可編程電子系統(tǒng)已經(jīng)越來(lái)越多的應(yīng)用于國(guó)內(nèi)各個(gè)領(lǐng)域的安全控制和安全防護(hù)，包括石油、化工、電力、軌道交通、汽車(chē)、電梯/扶梯等。近年來(lái)隨著智能制造的興起，智能化設(shè)備(主要由電氣/電子/可編程電子為技術(shù)基礎(chǔ))的安全問(wèn)題逐漸成為一個(gè)新的研究方向和焦點(diǎn)，進(jìn)一步提升了對(duì)功能安全技術(shù)的需求。GB/T20438(所有部分)給出了實(shí)現(xiàn)功能安全的基本框架和結(jié)構(gòu)，作為等同轉(zhuǎn)化的標(biāo)準(zhǔn)，與國(guó)內(nèi)企業(yè)的管理體系和設(shè)計(jì)思路未能完全切合，加之很多國(guó)內(nèi)工程技術(shù)人員都是初次接觸功能安全技術(shù)，對(duì)于功能安全概念一時(shí)難以理解，這就造成雖然國(guó)際功能安全標(biāo)準(zhǔn)提出了非常好的安全理念和設(shè)計(jì)措施，但技術(shù)人員難以清楚的理解和認(rèn)識(shí)。GB/T20438(所有部分)發(fā)布10多年來(lái)，國(guó)內(nèi)一些領(lǐng)先的科研院所和企業(yè)已經(jīng)基于標(biāo)準(zhǔn)要求開(kāi)展了很多工作，并積累了一定的經(jīng)驗(yàn)。因此，基于國(guó)內(nèi)目前已有的功能安全評(píng)估、功能安全設(shè)計(jì)、功能安全測(cè)試和功能安全管理實(shí)踐形成本文件，以更好地指導(dǎo)功能安全相關(guān)系統(tǒng)GB/T41295擬制定4個(gè)部分： 第1部分：危害辨識(shí)和需求分析。目的在于給出功能安全系統(tǒng)設(shè)計(jì)初期的危害辨識(shí)內(nèi)容和需求如何產(chǎn)生的方法；——第2部分：設(shè)計(jì)和實(shí)現(xiàn)。目的在于給出功能安全系統(tǒng)的軟硬件設(shè)計(jì)和實(shí)現(xiàn)方法和實(shí)施指南；——第3部分：測(cè)試驗(yàn)證。目的在于給出功能安全系統(tǒng)在生命周期過(guò)程各個(gè)階段的測(cè)試導(dǎo)則和測(cè)試方法解讀；——第4部分：管理和維護(hù)。目的在于給出功能安全系統(tǒng)管理和維護(hù)過(guò)程的導(dǎo)則。1功能安全應(yīng)用指南第2部分：設(shè)計(jì)和實(shí)現(xiàn)本文件給出了設(shè)計(jì)和實(shí)現(xiàn)功能安全系統(tǒng)的指導(dǎo)措施，面向的對(duì)象包括安全傳感器、安全邏輯控制器、安全通信總線和安全執(zhí)行器等。本文件適用于功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)(如制造商),就開(kāi)發(fā)出符合相應(yīng)安全完整性能力的安全產(chǎn)品給出規(guī)范性指導(dǎo)；系統(tǒng)集成商、評(píng)估機(jī)構(gòu)和用戶用于對(duì)適當(dāng)功能安全系統(tǒng)的選型和評(píng)價(jià)參照?qǐng)?zhí)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T19001—2016質(zhì)量管理體系要求GB/T20438.1—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求GB/T20438.2—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求GB/T20438.3—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(yǔ)GB/T20438.6—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第6部分：GB/T20438.2和GB/T20438.3的應(yīng)用指南GB/T34040—2017工業(yè)通信網(wǎng)絡(luò)功能安全現(xiàn)場(chǎng)總線行規(guī)通用規(guī)則和行規(guī)定義GB/T41295.3功能安全應(yīng)用指南第3部分：測(cè)試驗(yàn)證IEC61508-3-1電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3-1部分：軟件要求重復(fù)使用預(yù)先存在的軟件元素來(lái)實(shí)現(xiàn)全部或部分安全功能(Functionalsafetyofgrammableelectronicsafety-relatedsystems—Part3-1:Softwarerequirements—Reuseofpre-existingsoftwareelementstoimplementallorpartofasafetyfunction)3術(shù)語(yǔ)和定義GB/T20438.4—2017界定的以及下列術(shù)語(yǔ)和定義適用于本文件。功能安全系統(tǒng)functionalsafetysystem執(zhí)行安全相關(guān)功能的系統(tǒng)，具有功能安全相關(guān)的特性，滿足特定的安全完整性等級(jí)(SIL)。注：這里的系統(tǒng)是一個(gè)廣義的概念，包括不同的層次，如安全部件、安全設(shè)備或安全控制系統(tǒng)等。在實(shí)際的工業(yè)過(guò)程中，功能安全系統(tǒng)可能是一個(gè)變送器、繼電器、安全可編程序控制器或安全儀表系統(tǒng)。2功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)teamforfunctionalsafetysystemresearchanddevelopment執(zhí)行功能安全系統(tǒng)設(shè)計(jì)研發(fā)的責(zé)任主體。注：包括功能安全系統(tǒng)硬件開(kāi)發(fā)人員、軟件開(kāi)發(fā)人員、驗(yàn)證測(cè)試人員、功能安全管理人員等。執(zhí)行功能安全系統(tǒng)生產(chǎn)制造的責(zé)任主體，它可能包括功能安全系統(tǒng)制造過(guò)程的裝配人員、測(cè)試人注：為保證系統(tǒng)的安全功能正確制造，功能安全系統(tǒng)制造團(tuán)隊(duì)需要得到來(lái)自功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)的有效協(xié)助。故障插入測(cè)試faultinjectiontest人為地在功能安全系統(tǒng)中產(chǎn)生一種故障模式，驗(yàn)證系統(tǒng)在故障狀態(tài)下的響應(yīng)情況是否符合安全要求的一種測(cè)試方法。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。ASIC:專用集成電路(ApplicationSpecificIntegratedCircuit)CMMI:能力成熟度模型集成(CapabilityMaturityModelIntegration)CPLD:復(fù)雜可編程邏輯器件(ComplexProgrammableLogicDevice)DC:診斷覆蓋率(DiagnosticCoverage)FMEA:失效模式與影響分析(Failuremodeandeffectanalysis)FMEDA:失效模式、影響與診斷分析(Failuremode,effectanddiagnosticanalysis)FPGA:現(xiàn)場(chǎng)可編程門(mén)陣列(FieldProgrammableGateArray)FTA:故障樹(shù)分析(Faulttreeanalysis)HFT:硬件故障裕度(HardwareFaultTolerance)MooN:N取M通道架構(gòu)(MoutofNchannelarchitecture)PFDavg:要求時(shí)危險(xiǎn)失效平均概率(AverageProbabilityofdangerousFailureonDemand)PFH:危險(xiǎn)失效平均頻率(Averagefrequencyofdangerousfailure)SFF:安全失效分?jǐn)?shù)(SafeFailureFraction)SIL:安全完整性等級(jí)(SafetyIntegrityLevel)5總則5.1功能安全系統(tǒng)的研發(fā)設(shè)計(jì)過(guò)程需要按照GB/T20438.2—2017和GB/T20438.3—2017等相關(guān)功能安全基礎(chǔ)標(biāo)準(zhǔn)的要求開(kāi)展功能安全系統(tǒng)研發(fā)和驗(yàn)證工作。為保證預(yù)期的SIL目標(biāo)和要求得以切實(shí)實(shí)現(xiàn)，本文件給出了相關(guān)的應(yīng)用指南。注：某些領(lǐng)域有其特定領(lǐng)域的功能安全標(biāo)準(zhǔn)，這些領(lǐng)域的功能安全標(biāo)準(zhǔn)繼承了GB/T20438.2—2017和GB/T20438.3—2017的整體架構(gòu)和核心理念，因此在符合這些領(lǐng)域功能安全要求時(shí)，也可參考本文件的相關(guān)內(nèi)容。5.2功能安全系統(tǒng)還宜滿足其產(chǎn)品標(biāo)準(zhǔn)中關(guān)于基本安全(如電氣安全)、環(huán)境適應(yīng)性以及可靠性/穩(wěn)定性的特定要求，這些要求是實(shí)現(xiàn)相應(yīng)安全完整性的前提。5.3功能安全系統(tǒng)的生產(chǎn)制造過(guò)程需要考慮第15章或相關(guān)領(lǐng)域功能安全標(biāo)準(zhǔn)中的規(guī)定。36安全生命周期6.1一般原則6.1.1功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)需要在安全研發(fā)的初期建立功能安全管理體系和定義安全生命周期階段。6.1.2功能安全管理體系和安全生命周期的建立需要結(jié)合功能安全標(biāo)準(zhǔn)要求以及研發(fā)團(tuán)隊(duì)的已有經(jīng)驗(yàn)。6.2應(yīng)用考慮6.2.1功能安全管理體系需要考慮GB/T20438.1—2017中第6章的要求，功能安全研發(fā)部門(mén)可以參考公司已有的質(zhì)量/安全管理體系來(lái)建立功能安全管理體系。注：GB/T19001—2016或CMMI等體系的構(gòu)建和實(shí)施是實(shí)現(xiàn)功能安全管理的有力保障。6.2.2功能安全管理體系需要包含系統(tǒng)或軟件變更的需求，需要考慮GB/T20438.2—2017中7.8和GB/T20438.3—2017中7.8的要求。當(dāng)變更發(fā)生后，宜按照制定的變更規(guī)程執(zhí)行影響分析，留存變更記錄。6.2.3典型的安全生命周期過(guò)程需要考慮GB/T20438.2—2017和GB/T20438.3—2017中第7章的要求，功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)按照該章的要求建立滿足自己研發(fā)特性的安全生命周期。6.2.4功能安全系統(tǒng)實(shí)現(xiàn)過(guò)程的安全生命周期需求包括：系統(tǒng)設(shè)計(jì)要求規(guī)范(包括軟件安全要求規(guī)范)、系統(tǒng)的架構(gòu)設(shè)計(jì)、系統(tǒng)的詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)、軟件設(shè)計(jì)和實(shí)現(xiàn)、系統(tǒng)集成(包括子系統(tǒng)軟硬件集成和子系統(tǒng)間集成)、系統(tǒng)運(yùn)行和維護(hù)規(guī)程(包括用戶手冊(cè)、安全手冊(cè)等)、系統(tǒng)的安全確認(rèn)(包括軟件確認(rèn))、系統(tǒng)的制造。功能安全系統(tǒng)的安全生命周期見(jiàn)圖1。8系統(tǒng)架構(gòu)設(shè)計(jì)系統(tǒng)詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)安全確認(rèn)計(jì)劃11系統(tǒng)集成12系統(tǒng)運(yùn)行和維護(hù)規(guī)程13系統(tǒng)的安全確認(rèn)生命周期各個(gè)階段的驗(yàn)證軟件設(shè)計(jì)和實(shí)現(xiàn)功能安全管理評(píng)估評(píng)測(cè)9圖1系統(tǒng)實(shí)現(xiàn)過(guò)程的安全生命周期6.2.5對(duì)系統(tǒng)的修改和驗(yàn)證的要求貫穿干以上生命周期的所有階段。7系統(tǒng)設(shè)計(jì)7.1一般原則7.1.1功能安全系統(tǒng)設(shè)計(jì)要求規(guī)范的基本要求需要考慮GB/T20438.2—2017中7.2和B.1的要求。7.1.2系統(tǒng)設(shè)計(jì)要求規(guī)范中需要包括系統(tǒng)的所有設(shè)計(jì)要求，包括安全相關(guān)要求和非安全相關(guān)要求。宜將安全相關(guān)要求和非安全相關(guān)要求明確區(qū)分開(kāi)來(lái)，對(duì)于非安全相關(guān)要求可以不必按照生命周期后續(xù)活動(dòng)執(zhí)行。7.1.3對(duì)與某些與應(yīng)用聯(lián)系非常緊密的產(chǎn)品(例如，軌道交通產(chǎn)品，汽車(chē)電子產(chǎn)品),安全要求和非安全要求的界定需要根據(jù)具體的應(yīng)用加以分析，并將分析過(guò)程文檔化。7.1.4宜對(duì)所有的安全要求保持追溯，典型的追溯方法包括：采用專業(yè)的要求管理工具，采用特定的編號(hào)系統(tǒng)等。7.1.5在系統(tǒng)設(shè)計(jì)要求規(guī)范和軟件安全要求規(guī)范編制完成后，需要按照GB/T20438.2—2017中圖2和GB/T20438.3—2017中圖6的V模型，在每一階段開(kāi)展對(duì)其的驗(yàn)證，驗(yàn)證形式包括內(nèi)部測(cè)試、外部測(cè)試、會(huì)議審查、專家評(píng)定或建模分析等。驗(yàn)證完成后形成正式的驗(yàn)證記錄。7.1.6需要按照GB/T20438.2—2017中7.3編制系統(tǒng)安全確認(rèn)計(jì)劃。7.2應(yīng)用考慮7.2.1系統(tǒng)設(shè)計(jì)要求與系統(tǒng)安全要求的關(guān)系，如圖2所示。整體安全要求及分配整體安全要求及分配GB/T20438.1—2017中7.5和7.6非安全相關(guān)要求規(guī)范，如非安全相關(guān)通信接π要求系統(tǒng)設(shè)計(jì)要求規(guī)范GB/T20438.22017小7.2和本章來(lái)白用戶、國(guó)家/行業(yè)標(biāo)準(zhǔn)等的要求，如可用性要求系統(tǒng)安全要求規(guī)范軟件安全要求規(guī)范圖2系統(tǒng)設(shè)計(jì)要求規(guī)范與系統(tǒng)安全要求規(guī)范的關(guān)系7.2.2一般情況下，系統(tǒng)設(shè)計(jì)要求規(guī)范可以包括功能級(jí)的要求和單獨(dú)的硬件要求，對(duì)于復(fù)雜的系統(tǒng)也可以單獨(dú)編制硬件安全要求規(guī)范。7.2.3系統(tǒng)設(shè)計(jì)要求規(guī)范宜進(jìn)行如圖3的分解。5系統(tǒng)設(shè)計(jì)要求規(guī)范保持追溯：安全和關(guān)要求非安全和關(guān)要求日的：基于信息執(zhí)行要求的安全功能安全功能相關(guān)的設(shè)計(jì)要求符合文檔結(jié)構(gòu)化要求和關(guān)的設(shè)計(jì)要求口的：基于信息，實(shí)現(xiàn)規(guī)定的安全完整性等級(jí)和口標(biāo)失效量●安全功能的描述●安全狀態(tài)的定義●響應(yīng)時(shí)問(wèn)的要求●外部接π電源/輸入/輸出/通信等●系統(tǒng)運(yùn)行模式低要求/高要求/連續(xù)●每個(gè)子系統(tǒng)的架構(gòu)應(yīng)滿足硬件安全完整性的架構(gòu)●預(yù)期實(shí)現(xiàn)的SIL日標(biāo)●口標(biāo)失效量(PFDavg/PFTI)●檢驗(yàn)測(cè)試頻率●診斷發(fā)現(xiàn)危險(xiǎn)時(shí)所采用的行動(dòng)●要求的抗電做干擾等級(jí)●其他要求圖3系統(tǒng)設(shè)計(jì)要求規(guī)范的分解7.2.4對(duì)于所有要求規(guī)范的描述避免直接進(jìn)入具體的軟硬件設(shè)計(jì)細(xì)節(jié)(這些設(shè)計(jì)細(xì)節(jié)將在后續(xù)架構(gòu)設(shè)計(jì)和詳細(xì)設(shè)計(jì)完成)。注：要求規(guī)范規(guī)定系統(tǒng)預(yù)期要實(shí)現(xiàn)的安全要求，而不給出設(shè)計(jì)方案，例如“系統(tǒng)應(yīng)對(duì)寄存器單元進(jìn)行周期性自診斷”是一項(xiàng)安全要求，“系統(tǒng)將采用漫步位方法對(duì)寄存器單元進(jìn)行周期性自診斷”是一項(xiàng)設(shè)計(jì)方案。7.2.5規(guī)定功能安全系統(tǒng)預(yù)期實(shí)現(xiàn)的SIL目標(biāo)(SIL1/SIL2/SIL3/SIL4)。如果系統(tǒng)內(nèi)的安全功能有不同的SIL目標(biāo)宜分別詳細(xì)規(guī)定。7.2.6如果整個(gè)安全回路是由多個(gè)功能安全系統(tǒng)組成，對(duì)于預(yù)期的SIL目標(biāo)，每個(gè)功能安全系統(tǒng)的目標(biāo)失效量(PFDavg或PFH)宜不超過(guò)規(guī)定的百分比，這個(gè)百分比規(guī)定下的PFDavg或PFH目標(biāo)應(yīng)作為要求規(guī)范中一條要求明確提出，這個(gè)百分比可來(lái)自：——在整體要求規(guī)范或安全要求規(guī)范中已經(jīng)明確的了對(duì)各個(gè)部分功能安全系統(tǒng)的目標(biāo)失效量，特定功能安全系統(tǒng)研發(fā)單位直接采用該數(shù)值；——如果在整體要求規(guī)范或安全要求中沒(méi)有明確給出，則需要按照行業(yè)的通常做法，例如，在典型過(guò)程工業(yè)中會(huì)有圖4的推薦分配。注1:例如，邏輯控制器保證不超過(guò)10%的回路目標(biāo)失效量，假設(shè)要求的SIL目標(biāo)是SIL3,按照SIL3在低要求運(yùn)行模式下滿足PFDavg小于10E-3,那么對(duì)于預(yù)期實(shí)現(xiàn)SIL3應(yīng)用的邏輯控制器其PFDavg目標(biāo)至少小于10E-4。注2:圖2更加適用于過(guò)程工業(yè)，不同行業(yè)可能可能安全回路的構(gòu)成有顯著差異，其他行業(yè)宜結(jié)合自身的行業(yè)特性確認(rèn)SIL分配目標(biāo)。整個(gè)安全回路傳感器邏輯控制器執(zhí)行器其他部件安全通信<30%<10%<50%圖4過(guò)程工業(yè)SIL目標(biāo)分配示例7.2.7其他部件也是執(zhí)行整個(gè)安全回路的必要組成部分，如安全柵、安全繼電器等；其他部件不包括與安全功能執(zhí)行沒(méi)有直接相關(guān)的部分。67.2.8安全確認(rèn)計(jì)劃宜包含的內(nèi)容見(jiàn)圖5。系統(tǒng)設(shè)計(jì)要求規(guī)范系統(tǒng)設(shè)計(jì)要求規(guī)范驗(yàn)證后立即實(shí)施目標(biāo)：驗(yàn)證每個(gè)安全功能是否符合系統(tǒng)設(shè)計(jì)要求規(guī)范T2/T3類工具安全生命周期不同階段均需制定安全確認(rèn)計(jì)劃。各階段執(zhí)行確認(rèn)后輸出安全生命周期各階段開(kāi)展確認(rèn)活動(dòng)用到的若用到T2/T3類軟件離線工具，除滿足常規(guī)工具要求，需額外進(jìn)行論證，并提供：●工具的約束條件；內(nèi)部審核外部審核走在驗(yàn)證活動(dòng)中用到的工具驗(yàn)證確認(rèn)計(jì)劃內(nèi)容安全確認(rèn)計(jì)劃常規(guī)工具圖5安全確認(rèn)計(jì)劃內(nèi)容7.2.9確認(rèn)計(jì)劃在系統(tǒng)設(shè)計(jì)要求規(guī)范和軟件安全要求規(guī)范驗(yàn)證完成后立即實(shí)施，需要針對(duì)要求規(guī)范的每一條要求規(guī)劃確認(rèn)策略。典型的確認(rèn)策略包括：——建模分析；——內(nèi)部測(cè)試；——外部測(cè)試；——會(huì)議審查；——專家評(píng)定。8系統(tǒng)架構(gòu)設(shè)計(jì)8.1一般原則8.1.1需要基于系統(tǒng)設(shè)計(jì)要求規(guī)范開(kāi)展系統(tǒng)(硬件)架構(gòu)設(shè)計(jì)。8.1.2對(duì)于相對(duì)簡(jiǎn)單的功能安全系統(tǒng)，系統(tǒng)架構(gòu)設(shè)計(jì)可以合并到系統(tǒng)設(shè)計(jì)要求規(guī)范階段實(shí)施，但單獨(dú)的軟件架構(gòu)設(shè)計(jì)是必要的。8.1.3對(duì)于相對(duì)復(fù)雜的功能安全系統(tǒng)，宜建立單獨(dú)的系統(tǒng)架構(gòu)設(shè)計(jì)階段。8.1.4架構(gòu)設(shè)計(jì)需要考慮GB/T20438.2—2017中7.4的適用要求。8.1.5需要考慮對(duì)架構(gòu)設(shè)計(jì)開(kāi)展驗(yàn)證。8.1.6需要考慮基于架構(gòu)設(shè)計(jì)內(nèi)容編制集成測(cè)試計(jì)劃。8.2架構(gòu)設(shè)計(jì)應(yīng)用考慮8.2.1架構(gòu)設(shè)計(jì)在保障功能安全上面需要考慮如下方面：——保證系統(tǒng)足夠的健壯性；——保證不同模塊之間適當(dāng)?shù)莫?dú)立性，避免復(fù)雜的耦合關(guān)系和共因失效；——保證非安全相關(guān)模塊不會(huì)對(duì)安全相關(guān)模塊造成負(fù)面影響。78.2.2需要對(duì)架構(gòu)設(shè)計(jì)的靜態(tài)特性進(jìn)行規(guī)范性描述(例如，架構(gòu)框圖),對(duì)組成系統(tǒng)架構(gòu)的每個(gè)模塊和模塊間接口進(jìn)行描述。8.2.3架構(gòu)設(shè)計(jì)宜避免對(duì)每個(gè)模塊內(nèi)部的實(shí)現(xiàn)細(xì)節(jié)進(jìn)行描述，這些細(xì)節(jié)是后續(xù)詳細(xì)設(shè)計(jì)的內(nèi)容。8.2.4可以考慮采用多通道的MooN表決結(jié)構(gòu)來(lái)實(shí)現(xiàn)高安全或高可用設(shè)計(jì)。可以在不同層次上實(shí)現(xiàn)8.2.5需要明確區(qū)分MooN表決結(jié)構(gòu)和備用結(jié)構(gòu)之間的差異，一般情況下備用結(jié)構(gòu)是用于提高可用性而非安全性。8.2.6需要在完成架構(gòu)設(shè)計(jì)驗(yàn)證之后，制定集成測(cè)試計(jì)劃，其中包括對(duì)所有架構(gòu)特性和接口特性的測(cè)試策略。9系統(tǒng)詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)9.1一般原則9.1.1功能安全系統(tǒng)設(shè)計(jì)和研發(fā)的基本要求需要考慮GB/T20438.2—2017中7.4、附錄A和B.2的要求。9.1.2需要考慮編制硬件詳細(xì)設(shè)計(jì)相關(guān)文件，并基于詳細(xì)設(shè)計(jì)實(shí)現(xiàn)硬件電路。9.2應(yīng)用考慮9.2.1隨機(jī)硬件失效的要求9.2.1.1功能安全系統(tǒng)最終的隨機(jī)硬件失效量小于或等于第7章所規(guī)定的目標(biāo)(PFDavg或PFH數(shù)值),并通過(guò)合理的建模和計(jì)算證明該目標(biāo)得以實(shí)現(xiàn)。9.2.1.2隨機(jī)硬件失效估算的范圍是功能安全系統(tǒng)中所有安全相關(guān)的部分。9.2.1.3需要考慮按照GB/T20438.6—2017中附錄B開(kāi)展PFDavg或PFH的估算，如果采用該方法，確保實(shí)際的待分析系統(tǒng)滿足規(guī)定的所有假設(shè)條件。如果采用其他方法，宜有符合數(shù)學(xué)邏輯的合理性證明。注：某些文獻(xiàn)資料給出了非常簡(jiǎn)化的公式，對(duì)于簡(jiǎn)化公式的應(yīng)用要更加小心，因?yàn)楹?jiǎn)化條件可能和當(dāng)前實(shí)際的項(xiàng)目要求不符，這會(huì)導(dǎo)致簡(jiǎn)化公式的錯(cuò)誤。9.2.1.4需要考慮使用適當(dāng)?shù)脑骷?失效模型數(shù)據(jù)庫(kù)作為計(jì)算的輸入，可以來(lái)自：——國(guó)際標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，如I——領(lǐng)域內(nèi)廣泛認(rèn)可的商用數(shù)據(jù)庫(kù)；——具有專門(mén)收集系統(tǒng)的現(xiàn)場(chǎng)反饋數(shù)據(jù)，保證統(tǒng)計(jì)置信度≥70%。9.2.1.5同一系統(tǒng)的計(jì)算宜使用一個(gè)同一來(lái)源的失效率/失效模式數(shù)據(jù)庫(kù)。只有能證明數(shù)據(jù)在共同條件下得到時(shí)，才能使用多個(gè)來(lái)源的數(shù)據(jù)。9.2.1.6某些計(jì)算的輸入?yún)?shù)，如檢驗(yàn)測(cè)試周期(T1)、平均修復(fù)時(shí)間(MTTR)和平均維修時(shí)間(MRT)等不是由功能安全系統(tǒng)研發(fā)設(shè)計(jì)單位決定的，因此需要基于產(chǎn)品預(yù)期的應(yīng)用情況預(yù)設(shè)一個(gè)數(shù)值參與計(jì)算，數(shù)值的合理性需要經(jīng)過(guò)專門(mén)的分析和論證，在功能安全系統(tǒng)后續(xù)的產(chǎn)品手冊(cè)中宜明確說(shuō)明這些預(yù)設(shè)的數(shù)值。9.2.1.7當(dāng)系統(tǒng)架構(gòu)包含多個(gè)通道，如loo2或2oo3架構(gòu)時(shí)，需要考慮共因失效對(duì)隨機(jī)硬件失效的影響，宜采用GB/T20438.6—2017的方法對(duì)共因失效因子進(jìn)行估算。9.2.1.8如果使用第三方的軟件工具開(kāi)展計(jì)算，需要對(duì)工具的適用性進(jìn)行分析，并開(kāi)展完備的工具驗(yàn)證。9.2.1.9為盡可能減小元器件發(fā)生隨機(jī)硬件失效的可能性，需要對(duì)安全相關(guān)的元器件開(kāi)展降額設(shè)計(jì)，電8氣特性的降額因子不宜高于67%,對(duì)于溫度的降額宜不小于10℃。9.2.1.10需要形成文檔性的分析材料，以證明降額設(shè)計(jì)的合理性，宜開(kāi)展測(cè)試對(duì)降額的實(shí)現(xiàn)情況進(jìn)行驗(yàn)證。9.2.2硬件失效分析要求9.2.2.1為對(duì)9.2.1所要求的隨機(jī)硬件失效進(jìn)行PFD/PFH估算，需要開(kāi)展元器件級(jí)的硬件失效分析，常用的分析方法包括FMEDA、FTA等。9.2.2.2基于元器件失效后對(duì)模塊的影響以及是否能夠被診斷到，失效分析宜將每種失效分類為以下幾種類別之一：——可診斷到的安全失效(λsp);——不可診斷到的安全失效(λsu);——可診斷到的危險(xiǎn)失效(λpp);——不可診斷到的危險(xiǎn)失效(λpu);——無(wú)影響失效。注：對(duì)于架構(gòu)設(shè)計(jì)階段已經(jīng)界定為安全無(wú)關(guān)的模塊，可以不對(duì)其元器件開(kāi)展詳細(xì)的失效分析，這些部件的失效在GB/T20438(所有部分)中被定義為無(wú)關(guān)失效。9.2.2.3對(duì)于復(fù)雜的子系統(tǒng)或元器件，如果其失效后安全或危險(xiǎn)難以判定，可以將其按照50%安全，50%危險(xiǎn)的方式進(jìn)行劃分。注：在一個(gè)有效的分析過(guò)程中，不宜簡(jiǎn)單的將大部分的元器件按照50%的方式劃分，這會(huì)導(dǎo)致最終的PFDavg,PFH,SFF等參數(shù)非常差，甚至連SIL1都達(dá)不到，這樣的分析是沒(méi)有意義的。9.2.2.4需要注意區(qū)分安全失效和無(wú)影響失效，不能將無(wú)影響失效納入安全失效之中。9.2.2.5基于硬件失效分析的結(jié)論需要對(duì)已有安全設(shè)計(jì)進(jìn)行復(fù)審，確保所有關(guān)鍵故障都得到有效控制或避免。9.2.2.6需要仔細(xì)判斷每個(gè)診斷功能的有效性，無(wú)效的診斷不能將對(duì)應(yīng)的失效歸類為可診斷的，無(wú)效的診斷包括但不限于：——診斷測(cè)試間隔過(guò)長(zhǎng)，不滿足過(guò)程安全時(shí)間的要求；——如果采用多通道設(shè)計(jì)，單純的通道間表決不能作為單個(gè)通道內(nèi)器件失效的診斷措施；——診斷到故障后沒(méi)有適當(dāng)?shù)墓收享憫?yīng)或報(bào)警。9.2.3診斷覆蓋率的判定需要仔細(xì)判斷每個(gè)診斷功能的覆蓋率，一般按照如下考慮進(jìn)行判定?！獙?duì)于簡(jiǎn)單元器件，如果診斷測(cè)試能夠診斷到它的某種失效模式，則該器件這種失效模式的診斷覆蓋率為100%,否則為0%,簡(jiǎn)單器件例子：電阻、電容、三極管、二極管、光耦等?！獙?duì)于復(fù)雜的器件，原則上基于GB/T20438.2—2017中A.1～A.14的要求。如果有更高診斷覆蓋率的申明或者采用了GB/T20438.2—2017中附錄A沒(méi)有規(guī)定的技術(shù)，采用測(cè)試的方法證明所實(shí)現(xiàn)診斷覆蓋率的真實(shí)性。復(fù)雜元器件的例子：中央處理器(CPU)、模數(shù)轉(zhuǎn)換(ADC)——對(duì)同一器件或模塊，可使用兩種或更多種診斷方法來(lái)診斷相同的失效模式，這種方式可以實(shí)現(xiàn)比GB/T20438.2—2017中附錄A規(guī)定的更高診斷覆蓋率。但這些不同方法一定是獨(dú)立的，且不具有共因失效的可能。9.2.4診斷功能及診斷覆蓋率(DC)9.2.4.1對(duì)于功能安全系統(tǒng)設(shè)計(jì)的足夠的自診斷措施，設(shè)計(jì)是否足夠的判定需要考慮如下：9——系統(tǒng)遵循了單一失效原則；——PFDavg/PFH滿足了目標(biāo)失效量的要求；——SFF滿足了架構(gòu)約束的要求。注：足夠的診斷功能可以更加利于以上要求的實(shí)現(xiàn)，但并不是單單依靠診斷功能，例如，失效率高低和檢驗(yàn)測(cè)試間隔長(zhǎng)短對(duì)于PFDavg/PFH是否滿足要求也有重大影響。當(dāng)這些要求無(wú)法滿足時(shí)，可以考慮是否通討提高診斷能力進(jìn)行改善。9.2.4.2診斷功能的設(shè)計(jì)滿足檢測(cè)到故障后系統(tǒng)的行為要求。9.2.4.3需要但不限于在如下兩個(gè)階段執(zhí)行診斷：——在系統(tǒng)初始化時(shí)，診斷重點(diǎn)是所有的硬件，內(nèi)部或外部數(shù)據(jù)通路等；——正常運(yùn)行時(shí)周期中執(zhí)行診斷功能，診斷重點(diǎn)包括硬件、軟件、軟錯(cuò)誤、數(shù)據(jù)通路等。9.2.4.4宜基于系統(tǒng)的運(yùn)行周期和所有診斷功能實(shí)現(xiàn)的時(shí)間，確定所有診斷的間隔時(shí)間，即診斷測(cè)試間隔(Tp)。9.2.4.6某些診斷功能為避免頻繁的誤動(dòng)作，可能會(huì)采取多次判斷后診斷決策的機(jī)制，需要考慮到這種多次判斷和重試可能會(huì)導(dǎo)致進(jìn)入到某種死循環(huán)或無(wú)法實(shí)現(xiàn)所規(guī)定的診斷能力。9.2.5.1架構(gòu)約束的基本要求需要考慮滿足GB/T20438.2—2017中7.4.4。9.2.5.2宜優(yōu)先選用GB/T20438.2—2017中7.4.4的路線1(1H),即通過(guò)硬件故障裕度(HFT)和安全失效分?jǐn)?shù)(SFF)的確定來(lái)給出架構(gòu)約束滿足的SIL目標(biāo)。9.2.5.3HFT的確定需要仔細(xì)分析采用的冗余方式，某些冗余的方式不能保證硬件故障裕度的提升。注：例如采用一用一備的方式實(shí)現(xiàn)冗余，正常時(shí)只有一個(gè)通道執(zhí)行要求的處理功能，故障時(shí)切換到另一個(gè)通道，這種情況下的HFT=0。9.2.5.4合理的估算系統(tǒng)的SFF需要考慮：——不將無(wú)影響失效納入SFF的計(jì)算之中；——診斷部分失效導(dǎo)致誤動(dòng)不能納入SFF的計(jì)算之中。9.2.5.5安全失效分?jǐn)?shù)的確定需要考慮到某些失效率很大的部件，如果該部件是安全失效，那么可能會(huì)導(dǎo)致在沒(méi)有執(zhí)行足夠的診斷情況下，SFF指標(biāo)滿足架構(gòu)約束要求，這個(gè)是不符合安全準(zhǔn)則的。9.2.6硬件部分系統(tǒng)性失效的避免和控制9.2.6.1為了避免硬件開(kāi)發(fā)期間的系統(tǒng)性失效，需要考慮使用GB/T20438.2—2017中附錄B的技術(shù)和措施。9.2.6.2在驗(yàn)證和確認(rèn)階段，需要有足夠的證據(jù)證明這些技術(shù)和措施的確在研發(fā)過(guò)程得到了實(shí)施，并對(duì)證據(jù)文檔化。9.2.6.3為控制系統(tǒng)性故障，系統(tǒng)設(shè)計(jì)需要考慮GB/T20438.2—2017中A.15～A.18的要求，以滿足安全數(shù)據(jù)通信過(guò)程中對(duì)于系統(tǒng)性故障控制。9.2.6.4在設(shè)計(jì)和開(kāi)發(fā)活動(dòng)中需要考慮可維護(hù)性和可測(cè)試性，以便在組合的最終安全相關(guān)系統(tǒng)中實(shí)現(xiàn)這些特性。系統(tǒng)的設(shè)計(jì)需要考慮人員的能力和限制，并且能夠分配給操作員和維護(hù)人員實(shí)施。所有接口的設(shè)計(jì)宜考慮人員因素，并適應(yīng)操作員可能具有的培訓(xùn)或意識(shí)等級(jí)，例如，大批量生產(chǎn)應(yīng)用中操作員可能僅接受過(guò)有限的培訓(xùn)。注：設(shè)計(jì)目標(biāo)是通過(guò)可能的設(shè)計(jì)或在完成前進(jìn)行再次確認(rèn)，來(lái)防止或消除由操作員或維護(hù)人員產(chǎn)生的可預(yù)見(jiàn)的關(guān)鍵錯(cuò)誤。9.2.7檢測(cè)到故障時(shí)系統(tǒng)行為9.2.7.1需要考慮GB/T20438.2—2017中7.4.8的所有內(nèi)容。9.2.7.2在系統(tǒng)初始化時(shí)檢測(cè)到危險(xiǎn)故障，需要停止啟動(dòng)并給出相應(yīng)的報(bào)警指示。9.2.7.3在系統(tǒng)運(yùn)行期間檢測(cè)到關(guān)鍵性危險(xiǎn)故障，需要導(dǎo)致：——在制造商規(guī)定的故障響應(yīng)時(shí)間內(nèi)，通過(guò)內(nèi)置措施(如硬件或嵌入式軟件)將所有受故障影響的輸出切換到定義的安全狀態(tài)；或——在制造商所規(guī)定的故障響應(yīng)時(shí)間內(nèi)，向應(yīng)用措施(如應(yīng)用程序)通知(報(bào)警)故障，從而應(yīng)用措施(如應(yīng)用程序)可采取適當(dāng)?shù)膭?dòng)作來(lái)保持安全；——當(dāng)以上任何一種情況發(fā)生后如果還沒(méi)有進(jìn)入安全狀態(tài)，就意味著系統(tǒng)已經(jīng)處于降級(jí)運(yùn)行，系統(tǒng)是否設(shè)計(jì)為當(dāng)降級(jí)運(yùn)行后在規(guī)定的時(shí)間內(nèi)如果沒(méi)有維修處理好需要自動(dòng)的輸出安全值，將過(guò)程導(dǎo)入安全狀態(tài)，降級(jí)后自動(dòng)進(jìn)入安全狀態(tài)的功能不能被現(xiàn)場(chǎng)運(yùn)行人員手動(dòng)關(guān)閉；規(guī)定的時(shí)間作為平均維修時(shí)間(MTTR)的影響因素之一納入失效計(jì)算。注1:關(guān)鍵性危險(xiǎn)故障的定義在危險(xiǎn)和風(fēng)險(xiǎn)分析時(shí)確定，通常來(lái)說(shuō)是指那些無(wú)法執(zhí)行安全功能且短時(shí)間內(nèi)無(wú)法自動(dòng)恢復(fù)的危險(xiǎn)故障。注2:何種動(dòng)作合適取決于應(yīng)用，功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)可以將其設(shè)計(jì)為可配置的方式。9.2.7.4故障需要被檢測(cè)并通知(報(bào)警)給應(yīng)用程序，除非以下兩種情況：——通過(guò)設(shè)計(jì)，該故障不可能在系統(tǒng)中發(fā)生；——由書(shū)面的技術(shù)評(píng)估證明故障可忽略。9.2.8安全數(shù)據(jù)通信9.2.8.1系統(tǒng)一般有兩種類型的數(shù)據(jù)通信，一種是安全相關(guān)通信，另一種是非安全相關(guān)通信，對(duì)于安全相關(guān)通信需要考慮符合GB/T20438.2—2017中7.4.11的要求。9.2.8.2可以采用黑色通道和白色通道兩種方式實(shí)現(xiàn)安全通信，對(duì)于工業(yè)控制領(lǐng)域宜按照GB/T34040—2017的要求采用黑色通道的方式。9.2.8.3除了對(duì)殘余差錯(cuò)率進(jìn)行估算之外，還需要考慮通過(guò)測(cè)試的方式證明安全通信的檢錯(cuò)能力，具體的測(cè)試方法按照GB/T41295.3的規(guī)定。9.2.8.4內(nèi)部通信路徑可以不按照GB/T34040—2017的要求實(shí)施，但也需要有足夠的傳輸錯(cuò)誤檢測(cè)能力。注：典型的內(nèi)部通信路徑包括：內(nèi)部芯片之間的數(shù)據(jù)通信(如IC等)、同一個(gè)模塊內(nèi)兩塊板卡之間接口通信。9.2.8.5實(shí)現(xiàn)安全通信協(xié)議的安全層軟件需要考慮符合第10章。9.2.8.6ASIC組件安全設(shè)計(jì)：如果系統(tǒng)中包含ASIC組件(如FPGA、CPLD等),其開(kāi)發(fā)過(guò)程需要考慮符合GB/T20438.2—2017中附錄F的要求。9.2.8.7需要考慮基于硬件詳細(xì)設(shè)計(jì)對(duì)硬件進(jìn)行實(shí)現(xiàn)。10軟件設(shè)計(jì)和實(shí)現(xiàn)10.1.1軟件設(shè)計(jì)和實(shí)現(xiàn)包括軟件安全要求規(guī)范、軟件架構(gòu)設(shè)計(jì)和軟件詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)。10.1.2安全相關(guān)軟件包括：系統(tǒng)的嵌入式固件、系統(tǒng)所應(yīng)用的操作系統(tǒng)、系統(tǒng)所應(yīng)用的安全數(shù)據(jù)庫(kù)、在線支持工具等。10.1.3安全軟件設(shè)計(jì)和實(shí)現(xiàn)的一般原則宜符合GB/T20438.3—2017。10.1.4基于已經(jīng)完成的軟件安全要求規(guī)范和軟件架構(gòu)設(shè)計(jì)來(lái)實(shí)施軟件詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)。10.1.5按照GB/T20438.3—2017中7.3的要求編制軟件確認(rèn)計(jì)劃。10.2應(yīng)用考慮10.2.1.1需要考慮基于系統(tǒng)設(shè)計(jì)要求規(guī)范編制軟件安全要求規(guī)范。10.2.1.2需要考慮對(duì)軟件安全要求規(guī)范進(jìn)行持續(xù)追蹤以確保所有要求得以正確實(shí)現(xiàn)。10.2.2.1需要對(duì)軟件架構(gòu)設(shè)計(jì)的靜態(tài)特性進(jìn)行規(guī)范性描述(例如，架構(gòu)框圖),宜對(duì)組成系統(tǒng)架構(gòu)的每個(gè)模塊和模塊間接口進(jìn)行描述。10.2.2.2軟件架構(gòu)設(shè)計(jì)需要避免對(duì)每個(gè)模塊內(nèi)部的實(shí)現(xiàn)細(xì)節(jié)進(jìn)行描述(如函數(shù)的參數(shù)),這些細(xì)節(jié)是后續(xù)詳細(xì)設(shè)計(jì)的內(nèi)容。10.2.2.3需要對(duì)軟件的動(dòng)態(tài)特性進(jìn)行規(guī)范性描述，包括軟件可能處于的運(yùn)行狀態(tài)描述，以及狀態(tài)之間的轉(zhuǎn)移關(guān)系。10.2.2.4在軟件架構(gòu)設(shè)計(jì)中，宜適當(dāng)?shù)膶?duì)數(shù)據(jù)規(guī)范、數(shù)據(jù)流、內(nèi)存分配及存儲(chǔ)空間余量方案等進(jìn)行描述。10.2.2.5在對(duì)架構(gòu)設(shè)計(jì)進(jìn)行驗(yàn)證時(shí)，需要考慮至少采用一種規(guī)范性的分析方法(如系統(tǒng)級(jí)/模塊級(jí)FMEA),通過(guò)該方法以證明：——非安全相關(guān)的模塊不會(huì)對(duì)安全相關(guān)模塊造成負(fù)面影響；——足夠的健壯性以保證在數(shù)據(jù)傳輸錯(cuò)誤等情況發(fā)生時(shí)，系統(tǒng)不會(huì)進(jìn)入危險(xiǎn)狀態(tài)。10.2.3.1軟件相關(guān)的離線支持工具包括：代碼編輯器、編譯器和連接器、模型化設(shè)計(jì)工具、軟件文檔編輯工具、軟件測(cè)試工具、配置管理工具等。10.2.3.2需要按照GB/T20438.3—2017中7.4.4的要求考慮對(duì)離線支持工具的分類，包括：——T1:不產(chǎn)生可直接或間接影響安全相關(guān)系統(tǒng)的可執(zhí)行代碼(包括數(shù)據(jù))的輸出；——T2:支持設(shè)計(jì)或可執(zhí)行代碼的測(cè)試或驗(yàn)證，工具中的錯(cuò)誤不能發(fā)現(xiàn)可執(zhí)行軟件的缺陷，但不會(huì)在可執(zhí)行軟件中直接產(chǎn)生錯(cuò)誤；——T3:產(chǎn)生可直接或間接影響安全相關(guān)系統(tǒng)的可執(zhí)行代碼的輸出。注1:T1的示例包括：文本編輯器或沒(méi)有自動(dòng)代碼生成能力的需求或設(shè)計(jì)支持工具；配置控制工具。注3:T3的示例包括：源代碼程序和生成的目標(biāo)代碼之間的關(guān)系不明顯的優(yōu)化編譯器；將一個(gè)可執(zhí)行運(yùn)行時(shí)軟件包組合到可執(zhí)行代碼的編譯器。注4:此分類基于GB/T20438.4—2017中3.2.11。10.2.3.3對(duì)于按照GB/T20438.3—2017已經(jīng)開(kāi)展了符合性評(píng)估的離線支持工具，設(shè)計(jì)人員可以考慮直接按照工具手冊(cè)的要求應(yīng)用工具。10.2.3.4對(duì)于沒(méi)有按照GB/T20438.3—2017開(kāi)展符合性評(píng)估的離線支持工具，設(shè)計(jì)人員需要對(duì)工具的適用性和正確性進(jìn)行論證，并形成論證報(bào)告。10.2.4.1選用符合產(chǎn)品特性和適于軟件設(shè)計(jì)人員的編程語(yǔ)言。10.2.4.2針對(duì)特定的編程語(yǔ)言需要考慮編制適當(dāng)?shù)木幋a規(guī)則來(lái)規(guī)范和約束代碼的實(shí)現(xiàn)，編碼規(guī)則需要考慮至少規(guī)定規(guī)范化的編碼風(fēng)格和可以使用和不能使用的編碼形式?！髽I(yè)的已有類似項(xiàng)目的編碼經(jīng)驗(yàn)，公司規(guī)定等；——國(guó)際和國(guó)內(nèi)通用的且被認(rèn)可的編碼規(guī)則或標(biāo)準(zhǔn)，如MirsaC/C++等；——待實(shí)施項(xiàng)目的特殊情況，如編譯環(huán)境或測(cè)試工具的特殊情況。10.2.5.1對(duì)SIL1和SIL2的軟件宜開(kāi)展軟件失效分析，對(duì)于SIL3和SIL4的軟件需要考慮開(kāi)展軟件失效分析。10.2.5.2軟件失效分析的典型方法有：軟件FMEA、軟件危險(xiǎn)與可操性分析(HAZOP)、軟件形式化建模分析等。10.2.5.3軟件失效分析的結(jié)果保證所有安全相關(guān)模塊的可預(yù)見(jiàn)故障都能得到相應(yīng)的安全控制。10.2.6.1對(duì)于某些軟件模塊，在執(zhí)行本次功能安全系統(tǒng)設(shè)計(jì)之前就已經(jīng)存在，并一直良好運(yùn)行(例如，應(yīng)用在之前類似系統(tǒng)上的通用軟件模塊),如果將這些軟件模塊復(fù)用于本次功能安全系統(tǒng)執(zhí)行特定的組件安全功能，這些軟件模塊符合GB/T20438.3—2017中7.4.2.12。10.2.6.2對(duì)于復(fù)用的軟件組件為了保證其安全性，采用以下三種方式之一進(jìn)行安全設(shè)計(jì)和論證。——路線1s:符合性開(kāi)發(fā)。按照GB/T20438.3—2017和第10章的所有內(nèi)容對(duì)該已有軟件組件進(jìn)行一次完全符合性的設(shè)計(jì)開(kāi)發(fā)?！肪€2s:經(jīng)使用證明。符合IEC61508-3-1的相關(guān)要求?！肪€3s:非符合性開(kāi)發(fā)。符合GB/T20438.3—2017中7.4.2.13。10.2.6.3如果采用路線2s,最高適用于SIL2的安全組件，并需要足夠的已有運(yùn)行經(jīng)驗(yàn)。10.2.7組件組合提高系統(tǒng)性能力10.2.7.1可以考慮通過(guò)組合安全組件來(lái)提高系統(tǒng)性能力，見(jiàn)GB/T20438.2—2017中7.4.3。10.2.7.2組合組件提高系統(tǒng)性能力的前提是組件之間具有足夠的獨(dú)立性，例如，兩個(gè)通道之間的軟件是異構(gòu)配置的。10.2.8.1可以考慮通過(guò)分析或測(cè)試的方法來(lái)對(duì)軟件開(kāi)展驗(yàn)證。10.2.8.2采用走查或?qū)彶榈确绞綄?duì)軟件代碼或詳細(xì)設(shè)計(jì)文件進(jìn)行檢查。10.2.9軟件部分避免系統(tǒng)性失效10.2.9.1為了避免軟件開(kāi)發(fā)期間的系統(tǒng)性失效，使用GB/T20438.3—2017中附錄A、附錄B和附錄C的相關(guān)技術(shù)和措施。10.2.9.2在驗(yàn)證和確認(rèn)階段，需要有足夠的證據(jù)證明這些技術(shù)和措施的確在研發(fā)過(guò)程得到了實(shí)施，對(duì)證據(jù)文檔化。11.1.1不同復(fù)雜度的系統(tǒng)可能有不同的集成考慮，對(duì)于簡(jiǎn)單的系統(tǒng)可能只有軟硬件集成，對(duì)于復(fù)雜的系統(tǒng)還存在一個(gè)到多個(gè)層次的子系統(tǒng)集成，宜在生命周期早期階段明確系統(tǒng)的集成方式。11.1.2功能安全系統(tǒng)集成考慮符合GB/T20438.2—2017中7.5(子系統(tǒng)集成)和GB/T20438.3—2017中7.5(軟硬件集成)。11.1.3在硬件和軟件架構(gòu)設(shè)計(jì)階段編制集成測(cè)試計(jì)劃。11.2應(yīng)用考慮11.2.1在集成階段執(zhí)行故障插入測(cè)試。11.2.2故障插入測(cè)試用例的設(shè)計(jì)和執(zhí)行參考GB/T41295.3。11.2.3故障插入測(cè)試的執(zhí)行得到第三方獨(dú)立機(jī)構(gòu)見(jiàn)證，并產(chǎn)生基于見(jiàn)證結(jié)論的故障插入測(cè)試報(bào)告。12系統(tǒng)運(yùn)行和維護(hù)規(guī)程12.1.1功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)宜基于產(chǎn)品的基本功能和應(yīng)用特性編制用戶手冊(cè)，包括安裝、維護(hù)要求等；功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)還需要基于產(chǎn)品的功能安全屬性編制安全手冊(cè)，包括安全配置方式、危險(xiǎn)失效參數(shù)等。12.1.2用戶手冊(cè)和安全手冊(cè)從形式上可以是一個(gè)或多個(gè)文檔。12.1.3安全手冊(cè)的內(nèi)容至少需要考慮GB/T20438.2—2017和GB/T20438.3—2017中附錄D的要求。12.1.4用戶手冊(cè)和安全手冊(cè)需要考慮隨功能安全系統(tǒng)在發(fā)貨時(shí)移交給集成單位或用戶單位。12.2應(yīng)用考慮12.2.1安全手冊(cè)中對(duì)于安全應(yīng)用的限制條件需要在手冊(cè)中詳細(xì)說(shuō)明，包括安全模塊的應(yīng)用范圍，響應(yīng)時(shí)間約束等；12.2.2除了12.1.3的規(guī)定外，安全手冊(cè)還需要考慮如下適用內(nèi)容：——安全功能可使用的那些功能和接口的規(guī)范，如應(yīng)用限制、通信限制；——可導(dǎo)致危險(xiǎn)的系統(tǒng)失效，并能被診斷測(cè)試檢測(cè)到的隨機(jī)硬件失效率的估計(jì)；——可導(dǎo)致危險(xiǎn)的系統(tǒng)失效，并不能被診斷測(cè)試檢測(cè)到的隨機(jī)硬件失效率的估計(jì)；——對(duì)保持失效率有效性的環(huán)境限制；——預(yù)期系統(tǒng)所處的機(jī)械和氣候環(huán)境(如振動(dòng)、沖擊、溫度、濕度);——制造商聲明的系統(tǒng)最大使用壽命，該壽命應(yīng)等于或小于20年，除非系統(tǒng)制造商能提供證據(jù)證明更長(zhǎng)的壽命，這些證據(jù)基于計(jì)算，表明其可靠性數(shù)據(jù)對(duì)于更長(zhǎng)壽命是有效的；注：系統(tǒng)中的有些單個(gè)元件已知壽命小于20年。典型示例包括：電池、電解電容、LED等。如有必要，對(duì)這些元件的定期更換作為系統(tǒng)制造商規(guī)定的常規(guī)維護(hù)規(guī)程的一部分。定義最大20年使用壽命是為了覆蓋大部分未知壽命的系統(tǒng)元件?！ㄆ跈z驗(yàn)測(cè)試方法、時(shí)間間隔和/或維護(hù)要求；——系統(tǒng)內(nèi)部的診斷覆蓋率；——系統(tǒng)內(nèi)部的診斷測(cè)試間隔；——如適用，平均恢復(fù)時(shí)間(MTTR)和平均維修時(shí)間(MRT);——安全失效分?jǐn)?shù)(SFF);——硬件故障裕度；——為避免系統(tǒng)性失效建議的應(yīng)用限制；——所用元件的降額；——適宜使用系統(tǒng)的安全相關(guān)系統(tǒng)的可聲明SIL;——系統(tǒng)的硬件版本；——系統(tǒng)已得到確認(rèn)的文檔證據(jù)。13系統(tǒng)的確認(rèn)13.1.1系統(tǒng)的確認(rèn)需要符合GB/T20438.2—2017中7.7和GB/T20438.3—2107中7.7。13.1.2系統(tǒng)的確認(rèn)方法可以考慮包括分析或測(cè)試。13.2.1保證安全要求規(guī)范中的所有內(nèi)容都得到了確認(rèn)，宜建立確認(rèn)項(xiàng)與安全要求規(guī)范條款的對(duì)應(yīng)關(guān)系矩陣，以清楚的顯示所有的確認(rèn)關(guān)系。13.2.2確認(rèn)的部分項(xiàng)目可以考慮在功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)內(nèi)部進(jìn)行(如功能測(cè)試),也可以考慮通過(guò)外部第三方實(shí)驗(yàn)室開(kāi)展(如型式試驗(yàn))。與確認(rèn)相關(guān)的功能安全測(cè)試按照GB/T41295.3進(jìn)行。14生命周期各個(gè)階段的驗(yàn)證在執(zhí)行以上功能安全系統(tǒng)生命周期過(guò)程中，在每個(gè)階段的工作完成后，需要考慮開(kāi)展對(duì)該階段的驗(yàn)證工作。每個(gè)系統(tǒng)生命周期階段交付內(nèi)容的驗(yàn)證工作需要計(jì)劃、執(zhí)行和文檔化。這些驗(yàn)證需要考慮到基于生命周期各階段輸入的規(guī)定。驗(yàn)證所使用的技術(shù)/工具包括，例如：——階段性文檔的復(fù)審；——設(shè)計(jì)復(fù)審；——功能測(cè)試；——環(huán)境測(cè)試。注：驗(yàn)證不要與校準(zhǔn)和確認(rèn)相混淆。15.1對(duì)功能安全系統(tǒng)制造的主要目的是保證制造過(guò)程的功能安全目標(biāo)能夠得到保持。15.2功能安全系統(tǒng)制造團(tuán)隊(duì)宜符合GB/T19001—2016的質(zhì)量管理體系要求，包括設(shè)定質(zhì)量負(fù)責(zé)人等崗位，編制質(zhì)量計(jì)劃等文檔。注：本文件中對(duì)于功能安全系統(tǒng)的制造要求其核心在于所有的安全功能和安全完整性在制造過(guò)程能夠保持，而不是對(duì)于單純制造質(zhì)量或生產(chǎn)效率提升的考慮，雖然GB/T19001—2016是對(duì)于質(zhì)量體系的規(guī)定，但是很多基于良好工作實(shí)踐的規(guī)定可以避免制造過(guò)程的錯(cuò)誤。15.3功能安全系統(tǒng)制造團(tuán)隊(duì)編制功能安全系統(tǒng)的制造計(jì)劃，并至少考慮以下內(nèi)容：——基本的生產(chǎn)要求，如工藝流程、裝配方案等；——安全相關(guān)的要求，如為了保證器件失效率而采取的篩選或老化測(cè)試的措施；——開(kāi)發(fā)過(guò)程最后發(fā)布的產(chǎn)品配置情況；——預(yù)期制造裝備、測(cè)試設(shè)備和相關(guān)人員能力的要求；——對(duì)系統(tǒng)或系統(tǒng)內(nèi)的組件的追溯方法(例如，編號(hào)、二維碼等)。15.4對(duì)于存在嵌入式軟件的系統(tǒng)，需要考慮制定相應(yīng)規(guī)程，以保證在制造時(shí)將正確版本的嵌入式軟件下裝到系統(tǒng)中，包括下裝前的人工核對(duì)，下裝后的一致性檢查等。注：可以采用的措施包括校驗(yàn)和比對(duì)，回讀比較等。15.5對(duì)于SIL3和SIL4應(yīng)用的功能安全系統(tǒng)生產(chǎn)過(guò)程，需要考慮開(kāi)展適當(dāng)?shù)氖Х治觯治錾a(chǎn)