(高清版)GB∕T 37691-2019 可編程邏輯器件軟件安全性設計指南

ICS35.080GB/T37691—2019可編程邏輯器件軟件安全性設計指南國家市場監(jiān)督管理總局中國國家標準化管理委員會GB/T37691—2019 I 2 附錄A(資料性附錄)可編程邏輯器件軟件安全性分析方法 本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。本標準由全國信息技術標準化技術委員會(SAC/TC28)提出并歸口。本標準起草單位：中國航天科工集團公司第三研究院第三O四研究所、中國電子技術標準化研究I1GB/T37691—2019可編程邏輯器件軟件安全性設計指南本標準給出了可編程邏輯器件軟件安全性設計的指導和建議，并給出了需考慮要點有關的信息。下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T11457—2006信息技術軟件工程術語GB/T18349集成電路/計算機硬件描述語言VerilogGB/T33781—2017可編程邏輯器件軟件開發(fā)通用要求GB/T33783—2017可編程邏輯器件軟件測試指南GB/T11457—2006、GB/T33781—2017和GB/T33783—2017界定的以及下列術語和定義適用3.1可編程邏輯器件programmablelogicdevice允許用戶編程(配置)實現所需邏輯功能的器件。[GB/T33781—2017,定義3.1.1]3.2[GB/T33781—2017,定義3.1.5]3.3軟件運行不引起系統(tǒng)事故的能力。3.4軟件系統(tǒng)喪失完成規(guī)定功能能力的事件。3.53.6安全關鍵可編程邏輯器件軟件safetycriticalpro具有安全關鍵功能的可編程邏輯器件軟件。2GB/T37691—20193.7行波時鐘rippleclock當前一級時序邏輯的數據輸出被用作下一級時序邏輯的時鐘輸入時的時鐘信號。4縮略語下列縮略語適用于本文件：BDA:雙向分析(Bi-DirectionalAnalysis)CPLD:復雜可編程邏輯器件(ComplexProgrammableLogicDevice)DCM:數字時鐘管理(DigitalClockManager)FMEA:故障模式及影響分析(FailureModeandEffectsAnalysis)FPGA:現場可編程門陣列(FieldProgrammableGateArray)FTA:故障樹分析方法(FaultTreeAnalysis)HDL:硬件描述語言(HardwareDescriptionLanguage)IP:知識產權(IntellectualProperty)PLDS:可編程邏輯器件軟件(ProgrammableLogicDeviceSoftware)PLL:鎖相環(huán)(PhaseLockedLoop)VHDL:超高速集成電路硬件描述語言(VeryhighspeedintegratedcircuitHardwareDescriptionLanguage)PLDS安全性貫穿于PLDS全生存周期過程，宜與PLDS生存周期過程活動緊密結合?？赏ㄟ^下a)系統(tǒng)需求分析：1)明確系統(tǒng)/分系統(tǒng)中應重點防范的系統(tǒng)危險事件。2)根據系統(tǒng)/分系統(tǒng)規(guī)格說明和系統(tǒng)/分系統(tǒng)設計說明開展系統(tǒng)級安全性分析，確定PLDS的系統(tǒng)級安全性要求。3)明確提出PLDS的安全性要求，并完全覆蓋系統(tǒng)/分系統(tǒng)規(guī)格說明和系統(tǒng)/分系統(tǒng)設計說明中的相關要求。4)明確安全等級。系統(tǒng)人員根據系統(tǒng)危險分析結果以及行業(yè)相關規(guī)定，確定PLDS的安全5)對于安全關鍵PLDS,安全性需求宜給出重點防范的系統(tǒng)危險事件、失效容限以及安全性保障水平等要求。7)對于安全關鍵PLDS,宜提出失效模式以及規(guī)避失效的策略。8)根據給出的系統(tǒng)危險事件及失效模式，確定PLDS的安全關鍵功能。b)軟件需求分析：2)進一步分析系統(tǒng)危險事件及失效模式，根據需要擴充PLDS的安全關鍵功能。3)明確應完成的規(guī)避失效風險的技術措施。3GB/T37691—20195)對于安全關鍵PLDS,宜使用故障模式及影響分析、故障樹分析等方法進行安全性分析。6)完全覆蓋系統(tǒng)需求分析時提出的安全性要求。c)設計和實現：1)PLDS設計和實現覆蓋軟件需求分析時給出的所有安全性要求及措施。2)依據設計準則或編碼標準開展PLDS設計和實現。3)根據可編程邏輯器件的安全關鍵功能，確定PLDS的安全關鍵部件和單元。5)配置項級別宜明確防止錯誤擴大化的措施，如數據處理時前一幀錯誤數據不會影響后續(xù)正常數據的處理。5.2PLDS更改確定PLDS繼承性，對已納入配置管理的受控PLDa)決定重用某PLDS或使用IP核來完成安全關鍵功能之前，確定其適用性，并充分分析其安全性影響。在PLDS開發(fā)過程中，對重用PLDS產品及IP核進行安全性分析和評價，并對其進產品進行安全性分析和評價。b)編程語言建議選用VHDL或VerilogHDL,使用VerilogHDL宜遵循GB/T18349中要求。d)可編程邏輯器件的運行環(huán)境。e)可編程邏輯器件的開發(fā)環(huán)境。f)可編程邏輯器件的功耗要求。g)可編程邏輯器件芯片規(guī)格。確認選用的可編程邏輯器件的芯片等級、速度等級、設計資源數、h)系統(tǒng)分配給PLDS功能的合理性分析。分配的軟件任務復雜度不宜超出可編程邏輯器件的能力范圍。i)使用片上可編程系統(tǒng)要求。若使用片上可編程系統(tǒng)，按軟件相關標準分析處理器軟件的安全性要求。j)接口和信號要求。給出所有接口和信號描述，明確上電及復位后接口信號狀態(tài)和管腳綁定4GB/T37691—20191)IP核復用要求。對IP核進行安全性分析、評價及驗證，確定其不存在不可接受的安全性m)安全性設計要求。如給定的錯誤情況如何處理。o)如有抗空間輻照設計要求，對有單粒子效應敏感的靜態(tài)隨機存儲器型可編程邏輯器件宜提出宜正確、完整地追蹤安全性需求來源。PLDS安全性需求來源可分為通用的安全性需求和專用的a)通用的安全性需求一般為某一應用領域或多個類似的項目共同的安全性需求；統(tǒng)初步危險分析結果中危險原因與PLDS相關的安全性需求，其中也包括開發(fā)過程中新識別出再由PLDS系統(tǒng)采納下達的安全性需求。見附錄A。安全關鍵功能的安全保證措施如下：PLDS進入禁止或不適用的模式或狀態(tài)。2)在整個軟件需求中查找是否存在可能導致不安全狀態(tài)的條件和潛在的失效隱患，如不按控制失效模式之類的條件。對所有的不安全狀態(tài)的條件和潛在失效隱患，制定適當的響3)針對狀態(tài)機需求，分析確認所需狀態(tài)機的狀態(tài)完整性、狀態(tài)轉換完整性、輸入和輸出變量2)采用容錯機制防止微小的差錯造成失效。3)安全關鍵功能宜單獨劃分模塊，避免受其他模塊干擾。5GB/T37691—2019注2:接口錯誤檢查或者糾正措施適用于接口的出錯概率。如，根據安全級別考慮協(xié)議是否滿足安全性要求，包括1)定義軟件所使用的各種數據，包括外部輸入輸出數據及內部生成數據，列出這些數據的e)抗空間輻照：明確可編程邏輯器件實際工作時的內核溫度和電壓范圍，考慮可編程邏輯器件在最大、最小、典型三種工況下的時序收斂性。規(guī)模和資源占用情況。是否滿足要求。b)可編程邏輯器件與外圍芯片的延時。c)宜采用以下方式開展PLDS層次結構設計：3)頂層模塊僅包含對其下層模塊的組織和調用。較為合理的頂層模塊由輸入輸出管腳聲輯等構成。6GB/T37691—20194)不宜建立子模塊間跨層次的接口。d)組合邏輯模塊的輸出信號不宜直接或通過層次關系間接連接到同一模塊的輸入端口。注：由于組合邏輯模塊的輸出信號再重入會產生組合邏輯反饋環(huán)，這種結構的輸入端有任何變化都有可能使輸出跨時鐘域設計需要考慮的因素如下：注1:跨時鐘域信號包括異步信號進入時序電路和不同時鐘域的信號傳遞，同步處理方式可采用多次寄存、雙口存b)將組合邏輯模塊的輸出信號寄存后再輸出；注2:將組合邏輯從一個時鐘域連接到另一個時鐘域時，組合邏輯產生的毛刺會傳播到下一個時鐘域，將組合邏輯冗余的設計方法。余量設計需要考慮的因素如下：a)PLDS的設計宜滿足系統(tǒng)的資源余量要求，如無明確的系統(tǒng)要求，宜保留20%的資源余量；b)PLDS工作的時序宜滿足系統(tǒng)的時序余量要求，如無明確的系統(tǒng)要求，宜保留20%的時序編碼需要考慮的因素如下：a)避免在同一進程中對同一信號多次賦值或同一時刻有多個信號驅動同一端口。c)if條件判斷包含所有條件分支，case包含default分支。d)在VerilogHDL中正確使用阻塞賦值與非阻塞賦值：1)對組合邏輯建模宜采用阻塞式賦值。2)對時序邏輯建模宜采用非阻塞式賦值。3)宜采用多個always塊分別對組合和時序邏輯建模。e)進程中的敏感列表完整正確。注1:進程的敏感列表不完整會導致仿真和綜合后實現不一致，甚至功能f)在VHDL中正確使用信號和變量：2)變量的賦值是立即生效的。信號是電路內部硬件連接的抽象，信號的賦值在進程結束后7GB/T37691—2019值前保持原來的值。g)條件判斷的表達式中宜使用邏輯運算符。i)在設計過程中宜避免使用鎖存器。注2:任何對數據的干擾都會直接反映到鎖存器的輸出，從而降低對毛刺的過濾能力，使用對數據干擾有較好過濾能力的觸發(fā)器代替鎖存器。時鐘設計需要考慮的因素如下：a)在資源允許的條件下，宜使用由可編程邏輯器件全局時鐘輸入管腳驅動的全局時鐘；注1:全局時鐘資源能夠提供器件中最短的時鐘到輸出的延時，是最簡單和最可預測的時鐘。b)合理使用PLL和DCM;c)避免使用組合邏輯產生的時鐘；注2:由于組合邏輯容易產生毛刺，引起觸發(fā)器的錯誤翻轉，影響PLDS設計的安全性，在需要使用組合邏輯產生時d)不宜在時鐘路徑上插入反相器或緩沖器；注3:在時鐘路徑上插入反相器或緩存器會增加時鐘信號的偏移，引起時序錯誤。e)時鐘信號不宜再匯聚；注4:再匯聚路徑將導致時鐘路徑上發(fā)生時序沖突。注5:行波時鐘即一個觸發(fā)器的輸出用作另一個觸發(fā)器的輸入，在行波鏈上各觸發(fā)器時鐘之間會產生較大的時鐘偏g)不宜對時鐘信號進行三模冗余設計；注6:對時鐘進行三模，不但不利于時序分析，而且在設計中由于走線延時的不確定性使設計中產生多路跨時鐘域電路。h)避免將寄存器輸出的信號直接作為時鐘使用。接口及通信設計需要考慮的因素如下：a)對輸入接口進行滿足系統(tǒng)要求的濾波和抗干擾設計；b)數據傳輸和采集：1)在確定數據傳輸前對通信信道進行測試；2)確定數據采集分辨率和外部數據精度相適應；3)確定數據采集頻率和外部數據變化率相適應；5)關鍵的通信設置校驗或握手機制；7)接口通信協(xié)議保持一致；8)接口通信對接收數據進行有效性判斷；c)確定未使用的輸出接口狀態(tài)滿足安全性要求；e)確定輸入輸出接口的電氣相互兼容；8GB/T37691—2019配合存儲器相關設計需要考慮的因素如下：b)避免外部存儲器的讀寫沖突；c)異步復位采用同步釋放的方式；注2:異步復位采用同步釋放的方式可避免異步復位釋放時的亞穩(wěn)態(tài)。d)設計中使用同一個復位域。狀態(tài)機設計需要考慮的因素如下：a)狀態(tài)機設置合法初始狀態(tài)；注1:避免出現狀態(tài)機死鎖。b)對狀態(tài)機的無效狀態(tài)進行適當處理；注2:狀態(tài)機設計時可能存在一些非法的或無關的狀態(tài)，充分考慮各種可能出現的狀態(tài)以及一旦進入非法狀態(tài)后可c)狀態(tài)機編譯模式選擇安全模式；注3:在綜合時對綜合屬性進行設置，編譯模式選擇安全模式確保狀態(tài)機綜合后包含對無d)狀態(tài)機的跳轉不能僅依賴外部信號；f)宜避免狀態(tài)機寄存器的復制。宜對IP核使用進行版本控制，在IP核的調用語句后添加版本號注釋。綜合設計需要考慮的因素如下：a)將關鍵路徑和非關鍵路徑、組合邏管腳約束設計需要考慮的因素如下：a)對未使用的輸入管腳進行上拉設置；9GB/T37691—2019c)避免可編程邏輯器件硬件管腳間的相互干擾，對于存在耦合干擾的信號可通過調整管腳位置、增加地線隔離等方式處理；GB/T37691—2019(資料性附錄)A.1概述常用的可編程邏輯器件軟件安全性分析方法包括FMEA、FTA和BDA。這三種方法各有特點，在A.2可編程邏輯器件軟件FMEAA.2.1概述可編程邏輯器件軟件FMEA分析方法通過識別可編程邏輯器件軟件故障模式，分析造成的后果，A.2.2.1可編程邏輯器件軟件故障模式常等。其中可編程邏輯器件軟件故障指可編程邏輯器件軟件在運行中喪失了全部或部分功能、出現偏離預期的正常狀態(tài)的事件?？删幊踢壿嬈骷浖收蠚w根結底是由可編程邏輯器件軟件中潛藏的缺陷可編程邏輯器件軟件故障模式的分析是進行可編程邏輯器件軟件FMEA的基礎。只有將被分析故障模式的分析是否全面合理決定了可編程邏輯器件軟件FMEA的分析效果，是整個分析過程中最為在進行可編程邏輯器件軟件FMEA時，宜根據被分析可編程邏輯器件軟件的不同特點，選擇合適表A.1可編程邏輯器件軟件設計中常見的典型故障模式序號類別具體故障模式1典型功能類串口通信功能典型故障模式存儲控制功能典型故障模式復位功能典型故障模式FLASH存儲器控制功能典型故障模式數模轉換控制功能典型故障模式GB/T37691—2019表A.1(續(xù))序號類別具體故障模式2典型接口類中央處理器接口典型故障模式低電壓差分信號接口典型故障模式串行外設接口典型故障模式控制器局域網絡總線接口典型故障模式3典型硬件環(huán)境類模擬單粒子翻轉故障模式A.2.2.2可編程邏輯器件軟件故障影響及嚴酷度可編程邏輯器件軟件故障影響指可編程邏輯器件軟件故障模式對可編程邏輯器件軟件系統(tǒng)的運行、功能或狀態(tài)等造成的后果。例如可編程邏輯器件軟件故障會影響任務的完成可編程邏輯器件軟件故障影響嚴酷度指可編程邏輯器件軟件故障模式所產生的后果的嚴重程度。性等?？删幊踢壿嬈骷浖收嫌绊懠捌鋰揽岫鹊拇_定可以為故障模式改進措施的制定提供依據。對于A.2.3可編程邏輯器件軟件FMEA分析步驟A.2.3.1概述故障原因分析系統(tǒng)定義圖A.1可編程邏輯器件軟件FMEA分析步驟系統(tǒng)定義的主要目的為確定可編程邏輯器件軟件FMEA的分析級別和分析對象，以確定分析的重素的影響無法對整個可編程邏輯器件軟件系統(tǒng)進行全面的分析，可在分析前確定分析的重點。通過識別對系統(tǒng)功能和安全性影響較大的危險事件，確定對上述危險事件的出現有直接或間接關系的功能模GB/T37691—2019塊、可編程邏輯器件軟件部件等，作為可編程邏輯器件軟件FMEA分析的重點。A.2.3.3可編程邏輯器件軟件故障模式分析可編程邏輯器件軟件故障模式為可編程邏輯器件軟件故障的表現形式。可編程邏輯器件軟件故障模式分析的目的為針對每個被分析的可編程邏輯器件軟件單元，找出其所有可能的故障模式；針對每個A.2.3.4可編程邏輯器件軟件故障原因分析針對每個故障模式，分析其所有可能原因?？删幊踢壿嬈骷浖收系脑蚴强删幊踢壿嬈骷浖袧摬氐娜毕?，一個可編程邏輯器件軟件故障的產生可能是由一個缺陷引起的，也可能是由多個缺陷共同作用引起的。在進行故障原因分析時盡可能全面地分析所有可能的可編程邏輯器件軟件缺陷，為制定改進措施提供依據。A.2.3.5可編程邏輯器件軟件故障模式影響及嚴酷度分析分析每個故障模式對局部、高一層次，直至整個系統(tǒng)的影響，以及故障影響的嚴重性。分析故障影響及其嚴重性的目的為識別可編程邏輯器件軟件故障所造成的后果的嚴重程度，以便按照優(yōu)先級為不同嚴重等級的故障制定改進措施?？蓞⒄毡鞟.2所示的方法確定故障影響的嚴酷度類別。需要指出的是，嚴酷度類別僅是按故障模式造成的最壞的潛在后果，且僅對系統(tǒng)層次的影響程度進行確定的。嚴酷度類別劃分有多種方法，但對同一可編程邏輯器件軟件進行FMEA時，其定義保持一致。根據上述分析得到的故障產生的原因及影響的嚴重性等，確定出需要采取的改進措施。改進措施加硬件防護措施。進行可編程邏輯器件軟件FMEA時，填寫FMEA表。FMEA表宜完整地體現分析的目的和取得的成果。表A.2是一張FMEA表的示例，表中記錄了FMEA的分析結果。表A.2FMEA表示例序號單元功能故障模式故障原因故障影響嚴酷度備注局部影響最終影響單元序號功能模塊名稱單元執(zhí)行的主要功能與功能、性能有關的所有故障模式導致故障模式發(fā)生的可能原因根據故障影響分析結果，依次填寫FPGA故障模式的局部影響和最終影響按故障最終影響嚴重程度確定記錄對其他欄的注釋和補充說明A.3可編程邏輯器件軟件FTAA.3.1概述可編程邏輯器件軟件FTA是一種自頂而下的可編程邏輯器件軟件安全性分析方法，即從可編程邏輯器件軟件系統(tǒng)不希望發(fā)生的事件(頂事件),特別是對人員和設備的安全產生重大影響的事件開始，向下逐步追查導致頂事件發(fā)生的原因，直至基本事件(底事件)?？删幊踢壿嬈骷浖﨔TA的分析結GB/T37691—2019程邏輯器件軟件安全性得到更充分的保證。A.3.2可編程邏輯器件軟件故障樹的建立A.3.2.1概述建立可編程邏輯器件軟件故障樹的目的為找出導致頂事件發(fā)生的直接原因，直至最底層的根本原因。只有建立了故障樹，才能在此基礎上進行定性、定量分析，故障樹的建立是可編程邏輯器件軟件FTA中最基本同時也是最關鍵的一項工作，故障樹建立的完善程度直接影響定性分析和定量分析的準確性。建立可編程邏輯器件軟件故障樹通常采用演繹法，見圖A.2。否是圖A.2可編程邏輯器件軟件故障樹建立方法A.3.2.2頂事件的確定在故障樹最頂層的頂事件是系統(tǒng)不期望的故障事件，可依據以下信息確定可編程邏輯器件軟件故其后果的危害性。在可編程邏輯器件軟件開發(fā)的各個過程，通過危險分析可識別出對系統(tǒng)可能造成的潛在危險，可以此作為故障樹的頂事件進行可編程邏輯器件軟件FTA。b)可編程邏輯器件軟件FMEA的分析結果。在可編程邏輯器件軟件FMEA中，通過對故障模式的影響分析可以得出對可編程邏輯器件軟件系統(tǒng)產生的不利影響。在進行可編程邏輯器件軟件FTA時，可選取影響嚴重性較大的故障事件作為可編程邏輯器件軟件故障樹的頂事件進行分析。GB/T37691—2019c)可編程邏輯器件軟件需求規(guī)格說明等文檔中提出要求等。在故障樹最底層的底事件是導致頂事件發(fā)生的根本原因。可編程邏輯器件軟件故障樹分析的目的就是要采取措施避免底事件的發(fā)生，從而降低頂事件的發(fā)生概率。有些底事件可有些底事件按照一定的邏輯關系共同引發(fā)頂事件。可編程邏輯器件軟件故障樹的建立可以伴隨著可編程邏輯器件軟件開發(fā)過程而逐步深入。在可編程邏輯器件軟件需求分析時，可以利用故障樹分析可編程邏輯器件軟件需求中可能導致頂事件發(fā)生的原因，即需求的不完善之處。隨著開發(fā)過程的深入，可以通過對可編程邏輯器件軟件設計的進一步分可編程邏輯器件軟件代碼語句級。A.3.3可編程邏輯器件軟件故障樹的定性分析可編程邏輯器件軟件故障樹定性分析的目的為找出關鍵性的導致頂事件發(fā)生的原因，指導可編程邏輯器件軟件安全性設計以及可編程邏輯器件軟件測試，從而提高可編程邏輯器件軟件的安全性?？尚「罴暗资录闹匾赃M行排序。割集是指能引起頂事件發(fā)生的底事件的集合，最小割集是指不包含任何冗余因素的割集。如果去頂事件頂事件(T)X?X?X?X?X?X?X?GB/T37691—2019表A.3最小割集求解過程步驟l23456過程X4,X?,XX?,X?,X由表A.3最后得出的割集有{X?,X?}、{X?}、{X?,X?,X?}及{X?,X?,X?}。根據最小割集的定義，b)低階最小割集所包含的底事件比高階最小割集所包含的底事件重要；c)在不同的最小割集中重復出現次數越多的底事件越重要。A.3.4可編程邏輯器件軟件故障樹的定量分析可編程邏輯器件軟件故障樹定量分析的目的為計算或估算故障樹頂事件發(fā)生的概率。故障樹頂事A.4可編程邏輯器件軟件BDAA.4.1概述可編程邏輯器件軟件FMEA與可編程邏輯器件軟件FTA兩種技術在單獨應用進行可編程邏輯器件軟件安全性分析時各有其不足：可編程邏輯器件軟件FMEA是一種自底而上的單因素故障分析方圖形化表達方式直觀?？删幊踢壿嬈骷浖﨔TA是一種自頂而下依照樹狀結構倒推故障原因的方軟件FTA在分析故障原因時也會有所遺漏，這會影響到底事件的重要度排序，從而影響實施改進措施時輕重緩急的判斷。樹形結構在描述分析結果方面不如FMEA信息詳盡。將這兩種分析方法綜合應用，形成可編程邏輯器件軟件FMEA和可編程邏輯器件軟件FTA相結合的可編程邏輯器件軟件BDA,可以起到優(yōu)勢互補的作用。根據可編程邏輯器件軟件FMEA與可編程邏輯器件軟件FTA綜合分析的方向，可將其分為正向綜合分析和逆向綜合分析兩類。正向綜合分析是以可編程邏輯器件軟件FMEA方法為主，輔以可編程邏輯器件軟件FTA;而逆向綜合分析則正相反，以可編程邏輯器件軟件FTA方法為主，輔以可編程邏輯器件軟件FMEA。A.4.2正向分析方法可編程邏輯器件軟件FMEA與FTA正向綜合分析原理見圖A.4。從分析對象的故障模式出發(fā)，GB/T37691—2019先由可編程邏輯器件軟件FMEA分析得到頂層故障影響及其嚴酷度類別，故障影響可作為可編程邏輯器件軟件FTA頂事件的來源，并可根據嚴酷度類別確定FTA的分析優(yōu)先級。也可以分析對象的故障模式作為中間事件，進行可編程邏輯器件軟件FTA向下分析故障原因。這樣，在可編程邏輯器件軟件FMEA基礎上，補充使用故障樹分析故障原因，以樹形結構圖可以更加直觀地表達各故障原因之間的FMEAFMEAO其邏輯關系FTA分析的優(yōu)先次序最小割集O 對比單一的可編程邏輯器件軟件FMEA技術，這種以可編程邏輯器件軟件FTA為補充的綜合分障影響進行可編程邏輯器件軟件FTA顯然不現實。通常，根據故障影響的嚴酷度高低排序決定實施可編程邏輯器件軟件FTA的優(yōu)先次序，同時，改進措施的制定也可以此為依據。由此，綜合分析方法可以根據工程需要靈活的放大或縮小實施的工作量。可編程邏輯器件軟件FMEA與FTA正向綜合分析的實施步驟如下：a)對所選定的分析對象進行可編程邏輯器件軟件FMEA;b)選取嚴酷度等級高的故障影響作為頂事件進行可編程邏輯器件軟件FTA,對關鍵的故障影響進行更加深入全面的原因分析；c)或者選取故障模式作為中間事件，進行可編程邏輯器件軟件FTA,分析對應故障模式的故障d)根據可編程邏輯器件軟件FTA得出的故障原因及其邏輯關系補充完善可編程邏輯器件軟件GB/T37691—2019A.4.3逆向綜合分析可編程邏輯器件軟件FMEA與FTA逆向綜合分析的原理見圖A.5,該方法以可編程邏輯器件軟鍵功能選取頂事件頂事件否是故障線索是否存在底事中間事件底事件Xn底事件XnXn-1線索事件FMEA最小割集 說明：對比單一的可編程邏輯器件軟件FTA技術，補充進行的可編程邏輯器件軟件FM