GB T 20438.3-2006 电气 电子 可编程电子安全相关系统的功能安全 第3部分 软件要求.pdf

《GB T 20438.3-2006 电气 电子 可编程电子安全相关系统的功能安全 第3部分 软件要求.pdf》由会员分享，可在线阅读，更多相关《GB T 20438.3-2006 电气 电子 可编程电子安全相关系统的功能安全 第3部分 软件要求.pdf（36页珍藏版）》请在麦多课文档分享上搜索。

1、JCS 25.040 N 10 中华人民共和国国家标准GB/T 20438. 3-2006/IEC 61508幽31998 电气电子可编程电子安全相关系统的功能安全第3部分：软件要求Functional safety of electrical/ electronic/programmable electronic safety-related systems-Part 3: Software r叫uirementsOEC 61508心：1998,IDT) 2006-07嗣25发布中华人民共租回国家质量监督检验检捷总届中回国家标准化管理委员会2007-01心1实施发布GB/T 20438. 3

2、-2006/IEC 61508恤31998 目次前言”，“川川刷Ill引言言，,. - ” N I 犯阴2 规范性引用文件 E . 3 定义和缩略语4 标准的符合役，. 3 己文衍，., . 3 6 软件放簸管煤系统6. I 囚的川6. 2 葵求，v.a川.句川，”翩，37 软中安全生命周期要求，,.,. 4 7 I 一般要求. . . . 4 7. 2 软件安余要求规m.自., .”.” . 7 7. 3 软件安全确认计划编制j.107. 4 软件设计和开发，”.刷刷，.川剧川，自刷，117. 5 可编粮电子集成（磁侨和软件）刷刷吟.口，. 16 7. 6 软件操作和修改稳序圃，. .,.,

3、. 叼.16 7. 7 软件Ji;余确认“.自. . 17 7. 8 软件修改，川”，,.-. .,. 17 7. 9 软件验证”，确刷自川”，198 功能安全评估”川川刷啕 E E -. 22 附法A规流做附录）技术和指脱逃亲手指衔。.- . 23 附泌B（规范j险附送）除去自若是格.唱.川.”.28 因lG日IT20438的总体框架00 2 立IE/PE安余致命周期（实现阶段），. ，町川”町.4 阂3软件ti;余生命则期（实现阶段）4国. . 8 图4GB/T 20438. 2初GB/T20438. 3的范阁及关系川，刷，川.8 图5软f牛安全完整性的开发生命周期CV模式），.9阁6可编

4、稼咆子硬件和软件络构的关系我1软件安全统命简朔：书班主主.,.” . 5 表A.1 软件安全望在求规范（见7.2) ，司，. . 23 表A.2 软件设计和开发：软件直在构设计（见7.4. 3）4”自.，咽”24表A3 软件设计和开发”支持工具和编程诸言（见7.4. 4) -.,. 24 表儿4软件设汁和开发：详细设计见7.4. 5和7.4.6）.25袋A.5 软件设计和开发：软件楼块测试利集成（见7.4. 7和？.4. 8）盼.”25号IA 6 ilJ编程电子集成（硬仲和软件）（见7.5）.”。”川剧.26 GB/T 20438. 3-2006肌c61508-3, 1998 发A.7 软件安

5、全确认（见7.7) -. 26 表A.8修改（见7.8). 26 表A.9 软件骏诙（见7.9) . M 亵A.10 功能安全评估（见第8意） 27 表队l设计和编码标被（参见表A.4). 28 袋日2动态分析和测试（参见我A5和农A.9)”. 28 表B.3 功能和黑盒测试（参见表A.5、表儿6和表A.7) . 29 表B.4 失效分析（参见者A.10) . . .，国”表日.5 建模（参见表A.7），约我自.6 做能测试（参见表A.5和表A.们.30 农B.7 半形式方法（参见亵A.l、农儿2和表A.4l 30 表队8静态分析（参见表A.9) . 30 农B.9 楼块化方法（参见我A.4)

6、. 31 ll GB/T 20438响32006/IEC61508翩3:1998 GB/T 20438由下列7部分构成：第1部分：般要要求g前育一一第2部分：电气电子问编稳电子安全相关系统的姿求；第3部分：软件要求g一一第4部分定义和缩略语；5部分：确JE安全完整性等级的方讼例；一一第6部分：GB/T 20438. 2和GB/T20438. 3的应用指南；7部分g技术和措施概述。本部分是GB/T20438的第3部分a本部分等问采用自骂际标准!EC615083:1998电气电子ilJ编将电子安全相关系统的功能安全第3部分：软件要求（英文版）。本部分的附录A、附录日为规范燃附录。本部分与!EC61

7、508-3: 1998在技术内容上没有装异，为傻子使用做了下列编辑性修改ga) 将“!EC61508”改为“GB/T20438”。b) 本“国际标准”一词改为“本标准”。c) 删除网际标准中1.2的注2，例为此法所表泌的怨！EC61508在美网和加拿大等网的应用情况，与我阔的实际不符，所以删除。d) 用小数点气”代替作为小数点的逗号“，”。本部分由中国机械工业联合会提出。本部分由企图工业过程测量和控制标准化技术委员会（SAC/TC124）归口。本部分白机械工业仪器仪表综合技术经济研究所负责起草。本部分主耍起草人王莉、冯晓升、梅恪、郑旭、欧阳劲松等。Ill GB/T 20438. 3-2006/

8、lEC 61508-3, 1998 百3寄tll电气平日电子器件构成的系统多年来在许多领域中执行兴安余功能，以计算机为A基础的系统（一般指问编程电子系统PESJJ在许多锁域中用于非安全目的，倒也越来越多地fflf安全目的，为使计算机系统技术更有效安全地克朗，有必要进行安全方面i的指导aGl:l/T 20438针对自电气或电子和1lJ编将电子部件构成的、通宝安会作用的电气咆子口I编草草电子系统CE/E/PESJ的黑体安全生命则期提出了一个通用的Jj讼。建立统一的Jj泌的目的经为了针对以电子为基础的安全相关系统在是出一种一致的、合理的技术方针，主要目标是促进应用领域标攒的制定。在许多情况下，可用多

9、种妻在于不同技术的防护系统来保证安全（日机械的、液压的、气动的、电气的嘀电子的、可编辍f包子的，等等）。从安全战略角度，不仅要考虑务系统中5G器件的问题（如传感器、控制器、执行器等），而且要考虑构成组合安全相关系统的所有安全相关系统。网此GB/T20438 t电气电子可编想电子CE/E/PE安全相关系统进行了规定。GB/T20438还提出了一个框架，必这个概架内，基于其他技术的安全相关系统也可同时被考虑进去份在各种JZ用领域里，存在辛苦许多潜在的危险和风险，包含的复杂性也各不相同从附需启立用不同的E/E/PES，对每个特定的应用，!QIJ根据应用的不同而确所需的安全盘nGB/T 20438仅是

10、使这些最值规范化。IV 。巴IT20438 ”问考虑了1!1使用E/E/PE哩执行安全功能时，所涉及到的事主体安全生命周期、E/E/PES安全生命网期以及软件生命周期的各阶段（如初始构思，整个设计、实现、运行和维护到俘用）针对飞速发展的技术，建立个足够健壮丽广泛的能满足今后发展需要的框架。辛辛利予促i芷E/E/PES安全相关系统在不同领域中相关标准的制定，各应用领域和王主义应用领域相关标准应在GB/T20438的框架r制定，使之具有高水平的致性t如然础原理，:tv密榕的致性），并将既安全又经济”一为达到E/E/PE安全相关系统所需的功能安全，挺供了编制安全要求规范的方法。使用了一个安全完整性等

11、级，此安全完整性等级规定了E/E/PE安全相关系统要实现的安全功能的阴标安全it惑性等级。采闲了一种可确定安全完整性等级lJ!求的基于风险的方案。一建立了E/E/PE安全相关系统的数值目标失效量，这些最都同安全完整性等级相联系。一建立了危险失效模式中臼柏：失效宣告的一个下限，此下限忠对单一E/E/PE安全相关系统的要求这些系统运行在11) 低妥善求操作楼式下，为了执行它的设计功能，一股要求时，就把F限设定成平均失效概率为10二Z2) 高要求操作模式或者i主续操作模式节，下限设定成危险失效概感为10寸h,i:L单aE/E/PE安全相关系统不定是单通道结构町一一采用广泛的应在1慧、技术和l措施以达

12、到IJE/E/PE $2.E:相关系统的功能安念，倒不使别失效发余的概念这个概念j盖在很好起义了失效模式，并Ji复杂性相对较随时的一个数倘由于E/E/PE安余搁关系统的复杂悦均夜GB/T20438 f在倒之内，阴此不选用失效Ji;余的概念。1 范围GB/T 20438. 3-2006/IEC 61508-3, 1998 电气电子可编租电子安全相关系统的功能安全第3部分：软件要求1. 1 6日丁20438的本部分：a) 使用应建立在充分理解GB/T20438. 1, G日丁20438.2的蒜础Lb) 远别于fH吁在GB丁20438.1、GB/T20438. 2在1日可内构成与安余相关系统的一部分

13、有关的统用于开发安全相当主系统的软件。这种软件定义为安全软件。安余软件包括操作系统、系统软件、激信网络中的软件、人机界在到功能、文挣工具、后引件以.illffl程序。成用军黑序包括商级语言、低级i音高磁序和使用有限可交活裔的特殊闲途革是序（见GB/T 20438. 4 2006的3.2.7）。c) 软件安全功能和软件安全究整性等级的姿求E注明确。注l：如柴这一要求作为电气电子可编程安余椭关系统（见GB/T20438. 2一200日的7.2）有部分巳提出，则在此处不需藏复。注2：规定软件安全功能和软件安全究略性等级是一个鳖盟的程序，见图2利因6。Ii 3文树生古构要求见GB/T2043札1200

14、6的第5章和GB/T20438. I 2006的附录A。文楼结构成考虑公司现程和特殊应用领域的工作实际情况。d) 建立安念线命周期阶段和在设计、开发与安念有关的软件（软件安余致命周期软件模块）阶段和行为的姿求。这块姿2拉包括根据安全究联性等级分锋的、在软件咿网子避免和控制故院普及失效的措施和技术的应用。时对向执行电气电子肖I编车里集成的机构挺供与软件安余悦确认有关的信息提出要在求。f) X1操作和维护E/E/PE安全相关系统的用户所需的与软件有关的信息和规程的樵锈提出要哥求。即对修改与安全有关的软件的机构提出要求。h) 然合GB/T20438. 1. GB/T 20438. 2提出对支持工具的

15、要求，如设计开发工具、语言翻译器、测试和调试工具、自己堂臂现工具。Ii 4图4和图6袭示了GB/T20438. 2和GB/T20438. 3之间的关系1.2 GB丁20438.1、GB丁20438.2、GB丁20438.3罪GB丁20438,4是基础的安全标准，尽管它们不适网于简单E/E/PE安全相关系统（见GB/T20438. 42006的3.4. 4），作为基础的安余标礁，根搅!EC导则104和ISO/IEC导则51中包含的原则，各技术姿览会在起草标准时成考虑使用这些争；你准，因为技术委员会的资任之一A是在起孽自己你准时凡是适用之处都应贯彻葱础安全标准。GB/T20438同时也可作为独立的

16、标憔去使用“1. 3 囱1表添了GB/T20438的整体橙架阅日才明确了在达到UE/E/PE安全相关系统功能安全阶段中本部分的作用。GB/T20438.。一2006的附录A捕述了GB丁20438.2和GB/T20438. 3的成用。2 规范性引用文件下列文销中的条款通过G日IT20438的本部分的寻阴阳成为本部分的条款。凡是论自翔的引用义件，其随后所有的修改岛生（不包指勘淡的内容）！（.修订版均不适用于本部分，然jjfj，鼓励根据本部分达成协议的各方研究是否可使用这些些文件的最新版本。凡是不注目期的引用文件，其最新版本适例子本部分。GB/T 20438. 32006/IEC 61508明319

17、98 编制品的责金噩束概盘、葡阔、商旦、角险和风险分析）CE/E/PE贵全相荣革绩，其他技术费最相关统及外部风除降低世阑E/E/PE安全相关罩绒的事现阶段7. I7 5 E/E/PE贵金相荒草统的辈辈革、试运行和击最tt确认7. 13和714 E/E/PE贵生栩提罩挠的运行、雄护、悻iiiill器；一一输入输出功能一一前隙处理g一一幢!E功能（如本作为融入辑件服叫可执行牧件费的检测柑感幡圄6可编程咆子硬件和软件结构的关系9 GB/T 20438. 3例“2006/IEC61508唰3:1998 7.2.2.4 软件的开发人员应复审7.2. 2. 2中的债息以确保对要求全面规定，应特别考虑以下环

18、节：a) 安全功能；b) 系统配置量成立自构gc) 硬件安余完整f索要耳求（町编草草电子、传感苦苦和执行榜hd) 软伶安全究辈辈性要求？e) 能力和响应时间性能；f) 设备和操作人员界面。7.2.2.5 软件开发人员成建交个规穗，以解决仅何软件安全完鹅性等级分配的矛盾刷7.2.2.6 在要求的安全完？要性等级范围内，软件安余的规定要求应得到农达和组织，以俊其za) 清楚、准确、不含糊、可骏证、可测堡、可维护、可行，并与安全究核性等级栩.b) ilJ回溯到E/E/PE安全相关系统的安全姿求的规定；c) 不使用不明确的或在软伶安全生命周期任一阶段使用这些文档的人所不能理解的术语和描述。7.2.2.

19、 7 如果没有i草细定义E/E/PE安全相关系统的特殊安全要求，所有EUC的有关操作模式应在软件安余的特殊要求中详细说明。注：这种要求通常可通过通用的嵌入软件和特殊的应用软件来!tj导陶潜的结合婴求提供满足要求的特性，通用软件和应用软件之间的精确18:分依赖于软件绵构的选择（见7.4. 3和图6）。7.2.2.8 软件安余要求规范应对软件和硬件间的任何与安全有关的戎相应的约束进行规范并文档化。7.2.2.9 名EE/E/PE磁件结构设计描述的注：朋内，软件安余规范J!iL考虑如下内容：a) 软件自监视（如见GB丁20438.72006巾的C.2.5和C.3.10的示伊tl);b) 可编程电子硬

20、件、传感器和执行糠的陈视；。在系统运行时对安全功能进行的阶段性测试；d) 对EUC可操作时，能够对安全功能进行的测试。7.2.2. 10 要求E/E/PE安全相关系统执行非安余功能时，软件安全做的规定要耳求将消费牵强在别这些些功能7. 2. 2. 11 软件安余要求规范将表示出产品姿求的安全腾性，但不是工稳项目的安余篇性。参考7. 2. 2. 17.2.2.10，应规定以下内容zal 软件安余功能的要求：EUC获得或维给安全状态的功能；与可编号费电子硬件中故障的探测、通货和管理有关的功能；与传J漆器和执行器攸障的探测、通告和管五里有关的功能，一与软件囱身（软件自监视）巾的故障的探测、通货和管理

21、有关的功能；一一与在线安全功能阶段性检资有关的功能（软件自Jl(1视）；一与离线安全功能阶段性检班有关的功能；一一允许P立s:li;f;修改的功能；非安全功能界面；能力和lii.J!il惊能；软件均PES之间的界涵。按1界面包括在线和商线。b) 软件安全完整性要求包括一一以上a）中每一功能的安念完导震惊得级。泼2：在软件组仲中分配安全究整性俗息LGB/T 2043862006中的附没A,7. 3 软件安全确认计划j编制被s这一阶段对应倒3中的方框9.2. JO GB/T 20438. 32006/IEC 61508峭3:1998 7. 3. 1 目的拟定软件安全确认计划编制。7.3.2 要求7

22、.3.2. 1 ill执行计划编制来规定规军壁上和技术上步骤，用以证明软件满足其安余要求（见7”2）。7.3.2.2 确认软件安全计划成考虑：a) 确认时的细节问题。b) 执行确认的人员的细节问题。c) EUC操作的有关模式的识别包绍：一一使用的P配备，包括设景和调被z劫、教学、自动化、手动、半自动化、操作的稳定状态；严句E重量是、关机、维护；合珑的问预见异常条件。d) 在开始试运行前，将要耳确认EUC操作的每模式安全软件的识别。e) 确认的技术战略（如分析方法、统计测试等）（见7.3.2.3）。f) 根据e），用于确定符合软件安全功能（见7.2）规定要耳求和软件资金完粮性（见7.2）规定姿求

23、的每1i:金功能的措施（技术）和规程。g) 软件安全规定要求的特殊参考（7. 2）。hJ 进行确认滔功时所需的环境（如测试将包指渊校工具和设备）。i) 通过失败浓则（；也7.3.2.5）。) 评价确认结果，特别是评价失效的方针和规程。改g这段要求辛基于GB/T20438. I 2006中7,8的一般要求。7.3.2.3 确认安全软件的投术战略应包括F列筒息（见表A.7): a) 手动或囱动技术选或选.，bl 动态或静态技术选一或选二pc) 分析或统计技术选一统选一。7.3.2.4 作为确认安软件规稼的织成部分，确认软件安性的计划的范阙和内容应根据安念完辈革校等级的姿求囱评估11或代农评估方的一

24、方进行发审（见GB丁20438.1-2006小的8.2. 12），这一规混成就在E测试中评估方的出席做出说明。7.3.2.5 7f:成软件确认的通过失败准则应包指：a) 要求的输入信号及其次序和值1bJ :ijj朔的输出信号及其次序和值；c) 其他可接受的准则，如内存使用、定时、值的允许偏差。7.4 软件设计和开发位gi主A阶段为朋3中的方恒9.3.7. 4. 1 目的7. 4. 1. 1 创建软件络构以满足不同的安全完整件；等级中对软件安全的规定要求。7.4.1.2 复审和评价E/E/PES安会相关系统硬件纺构对软件的要求，包括E/E/PES系统中软件和锁件相互作用对受控设备安余傲的影响。7

25、.4.1.3 用于辅助验证、确认、评价和修改的软件的整个的生命周期巾，根据耍求的安全完整性等级选择合适的卫兵多是包括t语言和编译器。7.4.1.4 设计和实现软件，以满足不闷的安全完整性等级对软件安全的规定要求，这种软件问分析、jjJ验饭并能被安全地修改7. 4. 1. 5 验证已满足软件安全要求（根据娩您的软件安余功能和软件安余完黎做）。II GB/T 20438. 32006/I配c61508-3 1998 7.4.2 一般要求7. 4. 2. 1 根据软件开发的因有特性.7“4中符合做资fi可单独取决于供方，就单独取决于用户，或取决斗F两者e资任的划分应在安全计划编制过程中确定（见第6:

26、i在）。7.4.2.2 根据要求的软件完穰性等级，设计方法的选择应具有提供以F便利的特性：a) 抽象化、模块化和其他按制复杂性的特性b) 以下我主主主！：一功能性；一“主！H牛间的俗息，流：与信息有关的次序和时间；一一定时约束s并发性；一数据络构及其属性；设计假设及其依据c) 开发者和其也常要懂得设计的人民的理解。dl 骏证和确认。注2另见附最A利附:l;Jj器辉的或等价投:1巳措施成用数字说明，只能满足一种其他可i韭择的成等价技I措施。24 GB/T 20438. 3-2006/IEC 61508-3: 1998 理EA.4 软件设计和开发：详细设计（见7.4.5和7.4. 6) （包括软件

27、系统设计、软件模块设计和编码）技术擒施aRef S!Ll SIL2 la结构1f法包括如JSD、MASCOT、SADT和Yourdon丁白21 llR H且lb半形式方法表巴.7 R HR le形式方法包括如cc骂，CSP.HOL.LOTO日，c. 2. 4 R OBJ，暂存逻辑，VDM和Z2计算机辅助设计工具日.3. 5 民R 3防御性编糠c. 2. 5 R 4模块化方法表日，9HR HR 5设计和编码你准我自I R HR 6给构化编程C.2. 7 H且HR 7可倍的经验证的软件模块和组件库（如可行）c. 2.10 R HR c. 4. 5 SIL3 SIL4 HR HR HR HR R H

28、R HR HR HR HR HR HR HR HR HR HR HR HR !iiI根据安全究熟性等级选择适当的技术措施。其他可选择的l?ll等价技术情施应用数字说明，只需满足一种其他可选择的或等价技术措施。亵A.5软件设计和开发软件模块测试和集成（见7.4.7和7.4.8)技束措施aRel S!Ll SILZ SIL3 SIL4 l概率测试C. 5. I R R HR 2动森分析和测试日.6. 5 R HR HR HR 我自23数据记录和分析c. 5 2 HR HR HR HR 4功能和黑禽测试日5.I HR HR HR HR 日5.2表旦。35性能测试C. 5. 20 R R HR H且表

29、巴。66接i:Jl9ili:i!:c. 5 3 R 民HR HR 技l软件模块和集成测试是骏liE活动（见表A，的。It 2应根据安全完整性等级逃择i适当的技术j曹施 Ill根据安全究理事性等级选择B编号的技术措施“2.5 GB/T 20438. 3-2006/IEC 615083, 1998 表A.6可编穰电子集成（硬件和软件）（见7，如技术措施a且efSILi SIL2 SIL3 S!L4 l功能手UJ愈测试B. 5. I HR HR HR HR B.5.2 表日，32性能测试c. 5. 20 R R HR HR 我且6改it可编草里电子集成是种尊贵证活动（见表儿的11 2.应根t居安全，

30、；串串恢等级选择适当的技术攒施。a 应根据安全究整性等级选蝉巳编号的技术措施。袋A.7 软件安余确认（见7.7) 技术措施臼Ref SIU SIL2 SIL3 SIL4 1慨率测试（略）C. 5. I 且民HR 2仿真豫模表B.5 R R HR HR 3功能和黑盆测试B. 5. I HR HR “且HR B.5.2 我且，3tf,Jl汪模擞安余完费事性等级选择适当的技术措施a 1句根据安全究整性等级逃择巳编号的投it措施。司！A.8 1修改（见7.8)技术措施Ref SIU SIL2 SIL3 Sll.4 l影响分析C. 5. 23 HR HR HR HR 2再验诙已改变的软件模换c. 5.

31、23 HR HR HR HR 3严于骏ill:已受影响的软件模块c. 5. 23 民HR HR HR 4再确认整个罪统C. 5. 23 R HR HR 5软件配It管现c. 5. 24 HR HR HR HR 一一一6数据i己最和分析C守5.2HR HR HR HR 11.成根据交余完熟性等级选择溺宠的技术措施。a 应根鲁吉安全）：整性等级选择巳编号的投;jt措施。26 GB/T 20438. 3-2006/IEC 61508阉3:1998 表A.9软件磁证（见7.9)技术措施Ref SIL! SIL2 SIL3 SllA l形式证明c. 5. 13 R R HR 2概率测试盼）C. 5. I

32、 且且HR 3静态分析i江6,4R HR HR HR 表B.8 4动态分析和测试日6.5 R HR HR HR 我自6,8 5软件复杂性度最c. 5. 14 R R R R 川 l平.；h 川l 川川.口 山川. y /,.! 叫。！；.川川. 软件模块侧试和集成见袋A.5可编革思电子集成测试见表A.6 软件果统测试（确认见袋A.7 泼la为方便进行本表中所有骏证行为，本表不对表人5和表儿6中对自身进行验证活动的动态测量元素确认提Ill锁外要求，也不对GB丁20438中对安全要求规定的符合性说明的在国外的软件确认提出妥求（endend 验证）ti: 2：骏首E贯穿GB/T20438. l、GB

33、/T20438. 2和GB/T20438嗡3的边界，因此安cl:相关系统的第一个骏证可参早期罪统在平规缸”ti: 3夜软件安全使命周期的原期阶段，验证是静态的例如通过检查、复审、形式证明当产生代码后可进行动态测试。骏证吉普安陶类信息的综合。如通过静态方法对软件模块的代码验证包括软件检查、走:I、静态分析、形式班明等技术，动态方法的代码验证包括功能测试、自盒测试、统计测试。通过两类证据的结合证明每软件模块满足有关规定。 且E根据安全究鹅性等级选摔巳编号的技术情施应根据安金尧在做等级逸事罪活弱的技术措施褒A.10 功能安全评估（见第8.I靠）技术借施aRef SIL! SfL2 SIL3 SIL4

34、 l检查列褒日.2. 5 R R R R 2判定真假表C. 6. I 民R 民R 3软件复杂性If量C. 5. 14 R R R R 4失效分析表日4民民HR HR 5多种软件的共同原因失效分析（如实际使用多种软件等C. 6. 3 R HR HR 6可靠性块阁c. 6, 5 R R R R a $.根居安余究猿性等级选择适当的技术措施，27 GB/T 20438. 3-2006/IEC 61508-3: 1998 附录日（规范性附法）详细褒格注2本部分给朋GB/T2白438.7巾技本措施的详细描述表队1设计和编码标准t参见袋A.41技术措施民Ref SIL! l编码标准的使用c. 2. 6.

35、2 HR 2尤功态对象C.2.6.3 R 3a无动态:il:i毒C 2.6 3 3b动态变革童安装的在线检避C.2. 6.4 4中断的有限使用c 2. 6. s R 5指针的有限使用c. 2. 6. 6 6递归的有限使用c. 2. 6. 7 7 仨存在高级诸宵糕序中的光条件转移C. 2. 6. 2 且SIL2 SII 3 SIL4 HR HR HR HR HR 日且R HR HR R HR HR R HR HR R HR HR R HR HR HR HR HR 注：在使用编译苦苦时如呆在运行之前对所有远ti：；变豫和对象分配了足够的内存，或者对内存在线分自己的校.IE愉入了运行检查，则无稽应用

36、措施2和缸。a 成根据安余完憨惊奇事级选择适萄的技术措施。其他可选择的或等价技术措施成用数字说明，只能满足种其他可i革桦的或等价技水措施。表B.2 动态分析和测试参见表A.5和表A.9)技术措施Ref SIL! SIL2 SJL3 SIIA l根据边界值分析执行测试用例c. 5. 4 R HR HR HR 2根据错误推测执行测试用例C. 5 5 R R R 民3根据铺设播种执行测试用例c. 5 6 R R R 4性能主靠槟c. 5. 20 R 且且HR 5号事价炎和输入划分担试c. :i. 7 R R R HR 6基于结构的测试c. 5. 8 R R HR HR 注：测试Ill例分挤在于革统级

37、进行并基于规范和或规f臣和代码。 应报纸安全完整做等级选探适当的技术措施。28 GB/T 20438. 3-2006/IEC 61508-3: 1998 表B.3 功能和黑盒测试（疆各见袋A.5、袋A.6和袋A.7) 技术措施aRef SILi SIL2 SIL3 SII.4 l根指因巢E自执行测试用例H队6.2R R 2原l!i设计模拟动作c. 5. 17 民R 3边界值分析口司5.4 日HR HR HR 4等价3位和输入划分测试C. 5. 7 R HR HR HR 5过程仿真C, 5, 18 R 且R 民技1，测试用例分析在软件嘉统烧成行并只根据规施。注2：仿真的完整性将依靠安全51整性等

38、级、篮杂性和应用。 lL根据安余完擦性等级选择适当的技术措施。表B.4 失效分析（参见袋A.10) 技术措施但Ref SIU SIL2 SIL3 SIL4 la因果阁日.6. 6. 2 R R R R lb喜事件树分听B 6. 6 3 R R R 且2故障树分析B.6.6.5 R R HR HR 3失效模式、影响和戒防程度分析日66. 4 R R HR HR 4 MonteCarlo仿真c 6. 6 R R R R 注为了将软件分类到虫草合适的软件51整性等缀，应进行创步危险分衍。a lL根据安全完戴性等级i革择适当的技术措施。其他可选择的或等价技术措施应用数学说明只需满足种其他可选择的成等价

39、技术措施。表B.5 建模（参见褒A.7) 技术摘颇aRef SILi SIL2 SIL3 SIIA l费生指流阔C. 2. 2 R R R R 2有限状态机B. 2. 3. 2 R HR HR 3形式fl法c. 2. 4 民且HR 4性能辈辈模c. 5. 20 R HR HR HR 二5时间Petri17JJ 巴。2.3. 3 R HR HR 6 v在剥设计动回c. 5, 17 R R R R 7结构网C.2.3 R R R HR 泼，未在表中列出的特定技术也应在帮虑拖周之内，旦成符合GB/T20438。a 应根出自安全乡已整性等级逃择i适当的技术措施。29 GB/T 20438. 32006

40、/IEC 61508唰3,1998 褒B.6 性能测试（份见袋A.5和褒A.6) 技术措施Ref S!Ll SILZ 5日，3SIL4 l雪崩过就测试c. 5. 21 且R HR HR 2响应定时和存储约束c. 5. 22 HR HR HR HR 3性能要求c. 5. 19 HR HR HR HR 应根据安全究整性等级选择适当的技术措施袋B.7 半形式方法（参见袋A.1、袋A.2和袋A.4J 技术措施eRef SIL! SILZ SJL3 SIL4 1逻辑功能块图见注R 直HR HR 2时序囱见注R R 日RHR 3数据i!U自c. 2.2 R R 且民4有限状态机制状态转挟图B.2.3.Z

41、R R HR HR 5时间Petris网B. 2. 3. 3 R R HR HR 6判定；再值褒c. 6” l R R HR HR 注逻辑功能块朗和时序图在GB/T15969. 3中有描述。a 应根据安全究整性等级逃摔滔当的技术攒施。表B.8 静态分析参见A.9) 技术措施aRef S!Ll SILZ S!L3 SIL4 l边界僚分析c. 5, 4 R R H且HR 3检聂列号是B. 2. 5 R R R R 3按制流分析c. 5. 9 R HR HR HR 4数据流分析c 5. 10 R HR HR HR 5错误推测c. 5. 5 R R R R 6 Fagan俭盗c 5. 15 R R H

42、R 7寄！朋路分析c. 5. 11 R R 8符号执行c. 5. 12 R 且H且HR 9走夜ilt十复审c. 5. 16 HR HR HR HR I&根撒安1:完薪性等级选择适当的技术措施”30 GB/T 20438. 32006/IEC 615083: 1998 袋B.9模块化方法（参见裴A.4) 技术措施aRef Sill SIL2 SIL3 SIL4 l软件筷块规模限制C.2.9 HR HR HR HR 2信息隐蔽封装c 2. 8 R HR HR HR 3参数号限制C.2.9 R 且民R 47程序和功能的单人口单出口C.2 9 HR HR HR HR 5充分f主义接口C.2.9 HR HR HR HR 注2除去f窗J息除自配封装的所宿技it的倍思见GB/T20438. 72006中C.2. 9. 没有一个单一的技术恳充分的，成考虑所有滔逝的技术。31