《“ 功能安全产品实现技术“系列讲座 第7讲 安全相关产.pdf》由会员分享,可在线阅读,更多相关《“ 功能安全产品实现技术“系列讲座 第7讲 安全相关产.pdf(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、自动化仪表第 34 卷第 12 期摇 2013 年 12 月修改稿收到日期:2013-12-05。第一作者谢亚莲(1966-),女,1991 年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究。“功能安全产品实现技术冶系列讲座第 7 讲摇安全相关产品的软件实现(一)Chapter 喻摇 Implementation of the Software for Safety鄄related Products:Part 1谢亚莲1,2摇庄凌昀1,2(上海工业自动化仪表研究院1,上海摇 200233;上海仪器仪表自控检验测试所功能安全中心2,上海摇 200
2、233)摘摇 要:安全相关产品的软件需满足软件安全完整性等级的要求,因此安全相关软件的设计和开发需按照软件安全生命周期,这样才能避免软件的系统失效,实现软件的系统性能力。针对安全相关产品软件的特点,简略介绍了嵌入式软件,并基于 IEC 61508.3Edition 2 的要求,给出并解析了编制软件安全要求规范的具体要求。关键词:功能安全摇 嵌入式软件摇 安全相关软件摇 软件安全生命周期摇 软件安全要求规范中图分类号:TP202摇 摇 摇 摇 文献标志码:AAbstract:The software of safety鄄related products must meet the require
3、ments of software safety integrity level,so the design and development ofthe safety鄄related software shall follow the software security lifecycle to avoid the system failure caused by software,and the systematiccapabilities of software can be implemented.Aiming at the features of the software for sa
4、fety鄄related products,the embedded software isintroduced briefly,and on the basis of the requirements in IEC 61508.3 Edition 2,specific requirements for working out the software safetyspecification are given and resolved.Keywords:Functional safety摇 Embedded software摇 Safety鄄related software摇 Softwar
5、e security lifecycle摇Software safety requirement specification0摇 引言安全相关产品通常由硬件和软件构成,安全相关产品的实现包括硬件实现和软件实现。安全相关产品有别于非安全相关产品的特殊要求,即提出了硬件安全完整性和软件安全完整性的要求。安全完整性的概念简略叙述就是衡量在规定的时间和条件下危险失效发生的概率,所以为达到要求的安全完整性,安全相关产品的整个实现过程也是控制和避免危险失效的过程,而软件实现的整个过程也是如何达到软件安全完整性等级的过程。由软件故障导致的结果往往比硬件失效更严重,并且难以排查和发现。以火箭发射为例,阿丽亚娜
6、五号运载火箭在发射后37s 自行毁灭,原因是控制火箭飞行的软件故障,造成该故障的原因是64 位元浮点跳到16 位元导致整个数据有误、处理器困顿,而使软件处理器(Ada 码)无法负荷。而韩国罗老号系列火箭在即将发射前,由于火箭自动发射程序中各种阀门和感应器进行测定的测压软件发生错误故障,导致整体项目发射中止。针对在安全相关系统中的软件故障可能导致的巨大风险,为了控制和避免软件故障,功能安全标准IEC 61508.3(GB/T 20438.3)给出了按软件安全生命周期模型对安全相关软件进行设计和开发的方法,并规定了安全生命周期各阶段和需开展的活动。安全相关产品的软件实现过程也是遵循功能安全标准的过
7、程。怎样遵循 IEC 61508.3,从而获得具有要求安全完整性等级的安全相关软件是本讲座及后续两讲所要讲述的内容。1摇 嵌入式软件软件是一系列按照指定顺序组织的数据和指令的集合。软件按其作用可分为系统软件和应用软件。系统软件主要负责管理控制器系统中各种独立的硬件并协调工作。系统软件使得用户和其他软件将计算机当作一个整体而不需要考虑到底层硬件的工作原理。一些设备如果牵涉到硬件驱动、接口配置等要求,则通过19第 7 讲摇 安全相关产品软件的实现(一)摇 谢亚莲,等PROCESS AUTOMATION INSTRUMENTATION Vol郾 34 No郾 12 December 2013系统软件
8、进行配置、管理和任务调度。应用软件指用于解决各种不同具体应用问题的专门软件。构成软件的总体为软件编程的语言、系统软件、应用软件和配套文档。嵌入式系统是将计算机硬件和软件结合起来构成的一个专门的装置,这个装置可以完成一些特定的功能和任务,能够在没有人工干预的情况下独立地进行实时监测和控制。IEEE 定义嵌入式系统是用于控制、监视或者辅助操作机器和设备的装置,即以应用为中心,以计算机技术为基础,软硬件可裁剪,适用于应用系统对功能、可靠性、成本、体积、功耗有严格要求的专用计算机系统。嵌入式系统一般由嵌入式微处理器、外围硬件设备、嵌入式操作系统以及应用程序等四个部分组成。总之,嵌入式系统采用“量体裁衣
9、冶的方式把所需的功能嵌入到各种应用系统中,而嵌入式软件就是基于嵌入式系统设计的软件。嵌入式软件具有三个特点:淤嵌入式软件与外部硬件和设备联系紧密;于嵌入式软件是根据应用需求定向开发,面向产业、面向市场,需要特定的行业经验,每种嵌入式软件都有自己独特的应用环境和实用价值;盂嵌入式软件通常设计成一种模块化软件,它应该能非常方便灵活地运用到各种嵌入式系统中,而不能破坏或更改原有的系统特性和功能。嵌入式软件首先要小巧,不能占用大量资源;其次要使用灵活。鉴于嵌入式软件的特点,嵌入式软件在系统设计、模块设计、模块测试以及集成测试等方面所采用的方法都有别于通用计算机的应用软件。这里简述嵌入式系统是因为大多安
10、全相关产品就是嵌入式系统在智能仪表、工控设备中的应用。安全相关产品的安全相关软件的设计和开发需针对嵌入式软件的特点,依据功能安全的要求进行。2摇 软件安全生命周期建立软件安全生命周期的目的是将软件开发纳入到已定义的各阶段和活动中。软件安全生命周期是指从软件开始构思到软件永久停用期间的所有活动,包含了软件安全要求规范、设计和开发、软硬件集成、软件操作维护规程、软件安全确认等阶段,涵盖了软件功能安全管理、软件功能安全评估、软件修改和根据阶段进行的软件验证活动。安全相关产品的实现过程如图 1 所示,在实现阶段的软件安全生命周期如图 2 所示,软件设计和开发生命周期(V 模型)如图 3 所示。由图 2
11、 和图 3 可以看出,软件安全生命周期贯穿了软件开发的各个阶段。图 1摇 安全相关产品的实现过程Fig.1摇 The realization process of safety鄄related products图 2摇 软件安全生命周期(实现阶段)Fig.2摇 Software safety lifecycles(in realization phase)图 3摇 软件开发生命周期(V 模型)Fig.3摇 Software development lifecycle(the V鄄model)按照功能安全管理的要求,在安全相关产品设计和开发项目的实施中,首先要求制订安全计划,在安全计划中需规定软
12、件开发的安全生命周期、生命周期每个阶段的输入和输出、生命周期的每个阶段为避免系统失效而采用的技术和措施的规划等(关于安全计划的制订请参考自动化仪表2013 年 8 月第三讲功能安全管理)。允许根据安全相关产品项目的安全完整性和复杂性对图3 所示的开发 V 模型进行裁剪。例如对于小型非复杂安全相关产品的软件开发,可以将架构设计和系统设计合并。在整个软件安全生命周期中,每个阶段都会划分为若干个基本活动,每个活动都有输入文件和输出文件。软件安全生命周期的文档化工作是整个功能安全产品中重要的部分。文档包括软件安全要求规范、软29第 7 讲摇 安全相关产品软件的实现(一)摇 谢亚莲,等自动化仪表第 34
13、 卷第 12 期摇 2013 年 12 月件架构/模块设计、软件模块/集成/系统/确认测试规范、支持工具和编码标准以及开发工具的选择等文件。各个文件既是该阶段活动的输出文件,也是下一阶段活动的输入文件。若在软件安全生命周期的任一阶段,提出对一早期生命周期阶段进行更改时,需进行影响分析,以确定哪些软件模块受到影响,哪些早期安全生命周期的活动应被重复。安全相关产品嵌入式软件本质符合软件工程的要求,软件工程上所采用的模型和方法如开发模型、测试方法同样也可能符合功能安全项目要求。因此,IEC 61508提出了只要满足该标准安全相关软件安全生命周期的所有目标和要求,可以使用任何软件生命周期模型1。3摇
14、软件安全要求规范软件安全要求规范的制订是安全相关产品软件安全生命周期的第一阶段,由图 1 可以看出,软件安全要求规范是在完成安全相关产品安全要求规范和安全相关产品的架构设计之后进行的,它的输入文档是安全相关产品设计要求规范和安全相关产品的架构设计。软件安全要求规范针对安全相关产品执行所需的每个安全功能,规定软件安全功能的要求;针对每个安全功能要达到的安全完整性等级,规定软件系统性能力的要求。为了在编制软件安全要求规范阶段达到系统性能力的要求,需选择合适的技术和措施。在选择合适的技术和措施时应考虑安全要求规范的下列属性:需要由软件来解决的安全方面的完整性;需要由软件来确保的安全方面的正确性;没有
15、规范本身的错误,包括无语义模糊;安全要求的可理解性;没有非安全功能对由软件来确保安全的不利干扰;为验证和确认提供基础的能力。IEC 61505鄄7 Edition 2:2010 附录 F 对软件生命周期各个阶段的属性定义提出了详细的解释说明,表F.1对上述六条属性逐一做了详细的定义。在编制安全软件需求规范时,应尽可能细致,便于设计和实施能够达到项目预期的安全完整性要求,同时能满足独立性要求。这里的独立性主要指设计功能多样性:使用不同的方法实现相同的结果。在编制安全软件需求规范时,应特别考虑以下几点:淤安全功能;于产品系统配置或架构;盂产品安全完整性要求;榆软件系统性能力要求;虞容量和响应时间;
16、愚设备和操作人员界面,包括合理可预见的错误。安全相关产品的软件安全要求规范包括对软件安全功能的要求和对系统性能力的要求。软件安全功能的要求包括:淤 安全相关产品实现的安全功能和失效鄄安全状态;于 对安全相关产品自身硬件故障进行检测、报告和管理的相关功能;盂 检测和管理外围传感器和执行器故障的相关功能(若需要时);榆 在软件自身内部,检测、报告和管理故障的相关功能(软件自监视);虞 安全功能在线(即在预期的运行环境中)周期测试的相关功能;愚 安全功能离线周期测试的相关功能;舆 容量和响应时间性能;余 软件和 PE 系统之间的接口;俞 安全相关通信逾 非安全功能;訛輥輯 与非安全功能的接口。系统性
17、能力的要求包括:淤 每个安全功能的安全完整性等级;于 功能间的独立性要求。对于安全相关产品,因为其软件实现的安全功能之间、安全功能和非安全功能之间通常不具备独立性,所以软件整体的安全完整性按安全功能的最高安全完整性选取。同时也通常规定安全相关产品的软件的安全完整性等级为安全相关产品的安全完整性等级加 1。这是因为当同样的两个安全相关产品用在安全相关系统中并采用 1oo2 结构时,相同的组件冗余在这两个组件之间没有足够的独立性,所以该 1oo2 结构的系统性能力仍然为单个组件的系统性能力,即 1oo2 结构的两个安全相关产品的软件安全完整性等级等同于单个产品的软件安全完整性等级。为使 1oo2
18、结构的安全相关产品的安全完整性等级加 1,则安全相关产品的软件的安全完整性等级应为安全相关产品的安全完整性等级加 1。4摇 结束语安全相关产品的软件实现过程应置于功能安全管理之下,其按照软件安全生命周期模型进行设计和开发,使得安全相关软件的系统失效达到系统性能力的要求,从而达到要求的软件安全完整性等级。参考文献1IEC.IEC 61508鄄4 Edition 2.0.Functional safety of electrical/electronic/programmble electronic safety鄄related systems鄄part 3:software requirementsS.2010.39第 7 讲摇 安全相关产品软件的实现(一)摇 谢亚莲,等