IEC61508-3-第3部分：软件要求

1、国际标准IEC 61508-31998年12月第一版电气电子/可编程的功能安全性电子安全相关系统第3部分：软件要求目录前言2简 介4条款7.3747576777 8.18 .20 26 27 27 29软件安全确认计划编制 软件设计和开发 可编程电了集成（硬件和软件） 软件操作和修改步骤 软件安全确认 软件修改表表1软件安全生命周期总览14农A 1软件安全要求技术规范（参见7.2） 38表A 2软件设计和开发38农A 4软件设计和开发39表A5软件设计和开发40农A 7软件安全确认（参见7 7） 40表A8修改（参见78） 41农A 9软件矗证（参见7 8） 41表A 10功能安全评价（参见条

2、款8） 42农B1设计和译码标准43表B2动态分析和测试43农B 3功能测试和黑盒测试44表B4失效分析44表B 5建模44表B 6性能测试45表B 7半形式方法45表B8静态分析45农B 9模块方法46图图1本标准的总体框架8图2 E/E/PES安全生命周期（在实现阶段）11图3软件安全生命周期（在实现阶段）12图 4 IEC 6158-2 和 IEC 61508-3 范FH之间的关系12图5软件安全集成和开发生命周期（V模块）13图6可编程电器的软件和硕件结构之间的关系17#国际电气委员会电气/电子/可编程电子安全相关系统的功能安全性第三部分：软件要求前 B1）IEC（国际电工委-、:球标

3、准化组织，包括所有的国家电工委0（IEC国家姿血 o IEC的目标就堆促进屯了利屯气领域内所有与标准化有关的问题间的国Pj洽作。除促进介作外.IEC还公布门E际标准 授权技术委员会以及任何对预备工作中的课题感兴趣的IEC国家姿员会参与编制这些标准。和正C有联系 的国际组织、政府组织和非政府组织也参与编制匸作。IEC和国际标准化组织（ISO）按照两个组织达成的协 议，进行密切介作。2）IEC在技术问题上的决定或者协议尽可能地表达了（在相关主题上）国际间的-致观点，这足111于毎个技 术委员会的代农來口所有对此感兴趣的国家委员会。3）所产生的文件采用国际推荐使用的格式，同时以标准、技术报告或者指南

4、的形式出版，并为国家委员会所接 受。4）为促进国际统-化，IEC国家委员会承損了将正C国杯标准以最透彻形式在本国和本区域标准中进行贯彻 的任务。稍后，将明确地指出在IEC标准和相应国家或者区域标准之间的分歧5）EEC提供无标记程序來表明其认可，同时对符合其标准之一的任何设备不承担责任。6）W当注意本国际标准中的某些部分诃能受到专利权的限制。IEC不对识别任何一个或者所何此类专利权负贵。山附属委员会65A编制国际标准IEC 61508-3：系统方仏 IEC技术委员会65：匚业过程测ht和控制。本标准的文本展丁下列文档:FD1S农决报告65A/269/FDIS65A)1277/RVD有关批准木标准

5、的所有投票信息可以在表决报告中找到。附录A、B是本标准的一部分。附录C仅供参考。IEC 61508由下列儿部分组成，总标题为电气/电子/可编程电子安全系统的功能安全:一第1部分：一般耍求一第2部分：对电气/电子/可编程电子安全系统的要求一第3部分：软件耍求一第4部分：定义和缩略语一第5部分：确定安全完整性水平的方法示例一 第6部分：IEC 61508-2和IEC 61508-3的戒用指南一第7部分：技术和措施综述山电气和（或）电（部件构成的系统，多年來在许多领域中执行安全功能.以讣算机为慕础的系统（一般指可编 程电子系统（IES）在许多领域中用于非安全日的，但也越來越等地用于安全H的。如果计算

6、机系统技术可被有 效安全地开发，那么对那些负责做出安全决策的计算机系统进行足够的安全指导是十分必耍的。本国际标准针对山电气和/或电子和/或可編程电子部件构成的、起安全作用的电气和/或电子和/或可编程电子部件 （电P电/可编程电孑系统（E/E/PES）的整体安全生命周期，述立了 -个基础的评价方法。本统方法的用途 是，针对以电子为基础的安全系统提出一个合理的、一致的技术方案。主要冃的就是方便应用部门标准的开发。在大务数情况下，通过大最的保护系统來实现安全，这些保护系统依赖于多种技术（例如机械、液床、气动、电 气、电子、可編程电子系统等所有的安全策略不仅需要考虑单独系统（例如传感器、控制装丹和执彳

7、亍器等） 中所仃元件的问题，同时还耍考虑构成安全系统组合的所有安全系统的问题。因此，当本国际标准和电气/电子/ 可编程电子（E/E/PE）安全系统冇关时，还会提供一个框架，在该框架内应半右虑棊于其它技术的安全系统.现在公认在多个领域有多种E/E/PES应用，所覆盖的复杂性、危险性和风险性范用1很广。在任何一个特殊应用中 ,所需的安全乎段应当依赖于该应用所特有的许多因索。山于其通用性，本国际标准可以给出方法，用于制定将 來领域的国际标准。国际标准一当E/E/PES用丁执行安全功能时，再虑了所育和关系统、E/E/PES和软件安全生命周期阶段（例如从垠初的 概念，经过设计、实现、使用和维护直到废除）

8、；一构思时考虑到技术在E速发展；框架具有足够的鲁棒性和全iHi性來満足将來发展的需耍；一给应用部门以国际标准,处理安全相关E/E/PE有待开发:在本标准的框架内，应用部门国际标准的开发在 內用部门及跨应用部门Z间应达到较高的一致性（例如，优先原则术语学等）：将问时貝备安全性和经济利 益；一提供了开发安全耍求技术规范的方法，该安全耍求技术规范对于实现E/E/PE安全相关系统所需功能安全是 必需的。一使用安全完整性水平，用丁规宦分配给E/E/PE安全系统的安全功能的安全完整性：一采用基于风险的方法來确定安全完整性水平的耍求；一为和安全完整性水平相连的E/E/PE安全系统设定数字目标故障测戢：一在故

9、障的危险模式下，为H标故障测最设定卜限，可用于单独的E/E/PE安全系统；或运行在卞列情况的 E/E/PE安全系统低需求模式运行，将下限设定为10 5的平均故障可能性，以执行其要求的设计功能，爲需求或者连续模式运行，将下限设定为10 9/小时的危险故障可能性；注-爪个E/E/PE女全系统并不一定总味若氓通道结构。采用广泛的原理、技术和方法來实现E/E/PE安全系统的功能安全，但不使用故障安全的概念，在定义J"故 障模式L复朵性等级相对较低时，故障安全是有价值的。由于E/E/PE安全系统的复杂性（在标准范出|内九 故障安全的概念被认为是不适为的。6电气/电子/可编程电子安全系统的功能安

10、全性第三部分：软件要求1范围1.1 IEC 61508这部分内容a）仅在深入理解IEC61508-1和IEC 61508-2后，才会有耐助。b）套用于软件系统的任一软件构建部分，或用于开发lECd508-l和1EC61508-2范刖内的安全系统.这 样的软件被称为安全软件。一安全软件包括操作系统，系统软件、通讯网络中的软件、人机界而功能、支持软件、防火墙和应用 程序。一应用程序包括高级程序、低级程序和使用受限可变语言的特殊目的程序（参见IEC 615084的 3.2.7）。c）要求指定软件安全功能和软件安全完整性水半。注1-如果已经作为EIEIPE安全系统（参见IEC 61508-2的7.2）

11、的部分规范进行了描定,这里不必再次措定。注2- 定软件安全功能和软件安全完帑性水平是一个迭代过程.参见图2和图6.注3-参见IEC 61508-2的条款5和附录A的文* J.文* 构考虑了公创程岸和特姝应用部门的匸作实跋情况.d）建立了对安全生命周期阶段和行为的雯求，应用丁安全软件（软件安全生命周期模式）的设计和开发这 些要求包括测戢和技术的应用程序，为J'避免和控制软件中的缺陷和错谋它们依安全完整杵水半进行分 级。e）提供了对软件安全认证相关信息的要求，该信息提交给执彳了 E/E/PES整合的组织。f）提供了编制用户操作和管理E/E/PE安全系统所需相关软件的信息和程序的耍求。g）提

12、供了对组织机构实施安全软件修正的要求。h）与正C61508-1及正C61508J郴结合，提供了对支持软件的要求，支持软件包括开发和设计软件、语 言翻译人员、测试工口和配置竹理工具。注4-图4和图6标示了 IEC 61508-2及IEC 61508-3之间的关系1.2本标准的第1、2、3和4部分是卑本安全出版物，尽管木状态不适用丁低复杂性E/E/PE安全相关系统（参见 第4部分的3.4.4）中做为基本安全出版物,它们专门用于技术委员会按照IEC指南104和ISO/IEC指南54中包含 的原则制订标准。本标准的第1、2、3和4部分同时还专门用做单行标准。在任何适用的情况卜，技术委员会的贵任Z就是在

13、编写其口 C的出版物中使用基本安全出版物。在上下文中， 如果没冇明确说明或包扌舌在山苴技术呑员会编匕的出版物则该块木安全出版物的耍求、测试方法或测试条件是 不适用的。注-除非已提交的EC 61508过程部门实施（即IEC 61511）在美31和加拿大被制定为国际标准，否则在美国和加拿大，基于EC 61508 (即ANSIDSA584.01-1996)的现有国家il程安全标准可替代IEC 61508在过程部门中使川。1.3图1衣明了 IEC 61508的第1部分至第7部分的总体框架，同时指明正C 61508-3在实现E/E/PE安全系 统的功能安全方面的作用。综合安全耍求的开发(概念范困定义.

14、危殓和风険分析< I/I/PE安个郴关系统.英它技术安全相 关系统和外部风验降低汝施)用來开发安全处金处耍出的也 于风脸的方法第部分E/E/PE安全郴关系统的安装.调试和安全确认7 13 和7.14文档第五条秋 和附录A功瞪安全锌坪第6条第/部分功能安全if价 第8*第/部分7.1-7.5第八部分E/E/PF以全UIK蘇址的运行和仗护改动 和溜新iUMfl废奔.7 15 to 7.17图1 -本标准的总体框架2标准参考文件在木文中的所冇参考文件中，下列的标准文件包禽组成IEC 61508本部分的条款。在发行的时候，编辑足冇效 的。所有的标准文件都经过修订，丄基于IEC 61508本部分的

15、协议各方被扱励研究应用下面给出的标准文件的 嚴新版本的可能性IEC和ISO的会员保持当前国际标准的有效性。IEC 61508-1 :1998,电气/电子/可编程电子安全系统的功能安全一第4部分：一般要求IEC61508-2-电气/电子/町编程电子安全系统的功能安全一笫2部分：对电气/电子何编程电子安全系统的婆 求UIEC 61508-4:1998,电气/电子/可编程电子安金系统的功能安全一第4部分：定义和缩略语IEC 61508-5:1998,电气/电子/町编程电子安全系统的功能安全一第5部分：确定安全完整性水平的方法示例IEC 61508-6:1998,电气/电子/可编程电子安全系统的功能安

16、全一第6部分:第2部分和第3部分的应用指南0IEC 61508-7:1998,电气/电白可编程电犷安全系统的功能安全一第7部分：技术和措施综述“ISO/IEC 指南 51 :1990,标准中包含的安全方面的指南IEC指南104： 1997,起草安全标准的指南，以及安全先导功能和安全组功能中委员会的地位3定义和缩略语对于本标准，使川在IEC 61508-4中给出的定义和缩略语。4顺应本标准IEC 61508-1的条款4给出了对顺应本标准的要求。5文件IEC 61508-1的条款5给出了文件的目标和婆求。6软件质量管理系统6/1目标目标正如IEC 61508-1的6 1所述。6.2要求6.2.1要

17、求包括IEC 61508-1的6 1的内容和下面补充耍求。6.2.2功能安全计划应定义软件采购、开发、集成、验证、认证和修订的策略，以満足E/E/PE安全系统的软件完 整性水平所要求的内容。注-该方法的基本定律是将功能安全计划作为-个机会来定制本标准，以考虑E/E/PE安全JK统俎件中所要求的各种安全痕维. 同时使用具有不同安全完整性水平的E/E/PE安全系统纽件时，应将第3部分的7 4 2 8纳入考虔.6.23软件配置管理应a）为了管理软件变化，对整个软件安全生命周期使用管理和技术控制，从而确保可以持续满足规定的软件安全要 求；b）保证执彳亍了所有必需操作，來验证已实现所要求的软件安全完整性

18、：c）准确维持并唯-鉴定用來保持E/E/PE安全系统完整性的所冇配置条款。配置条款至少包括下面内容：安全分 析和耍求：软件细则和设计文档：软件源代码模块：测试讣划和结果：耍并入E/E/PE安全系统的预在软件 组件和软件包：用來创建、测试或在E/E/PE安全系统的软件上执行任何操作的所Tj T.fl和开发环境：d）使用变化控制程序來防止未授权的修订；记录修订要求；分析所提交修订的彩响，并批准或拒绝该请求；在软 件开发的适当点建立配置基准，并记录证明基准的（部分）整体实验（参见7.8）：保证全部软件基准（包括 早期基准的重新构造）的组成和构造；注1-需要管理决策和授权來指导并加强管理和技术控制的使

19、用。e）记录下面信息以允许后续审孩：配賈状态、发布状态、所有修订的认证和批准、修订细节；f）正式记录安全软件的版木。保留软件的标准本和所有相关文件，以允许在所发布版本生效期间进行维护和修订 0注2-详细仃息，谙参见1X07。7软件安全生命周期要求7.1概述7.1.1目标该子条款要求的冃标是将软件开发构造到已定义的阶段和行为中（参见表1和图25）7.1.2要求7.1.2.1按照IEC 61508-1的条款6,在软件计划期间应选择并规定软件开发的安全生命周期。注-満足EC 61508-1条款7的耍求的女全生命周期模块，可冈项II或组织的特定缶要进行适X定制。7.1.2.2质最和安全保证程序应集成到

20、安全生命周期行为中。7.12.3应为软件安全生命周期的每个阶段划分卑本行为，为每个阶段指泄范I科、输入和输出。注1仃关生命阶15的详细伫息.请空见ISO/IEC 12207.2-EC61508-1条款5考應了安全生命周期的输出.在一些E/E/PE安全系统的开发中.某些安全工命周期的输出町能是独立的 文件，而某些阶段的记录输出可能是合并的文件。基木要求是安全牛命周期的输出血符合其预期H的。在简单开发中，某些安全生 10命周期阶段也可総会被合并（参见74 5）7.12.4如果软件安全生命周期满足图3和表1的要求，考虑到项目的安全完整性和复杂性,可以修改V模型 （参见图5）阶段的深度、数戢和工作尺寸

21、。注表1中整个生命阶段列表适用于大的新开发系统.在小系统中,例如，可能适于合并状件系统设计和结构设计的阶I.7.12.5在满足本条款的所有门的和耍求的条件下，可以接受定制不同丁本标准组织结构（即使用其他软件安全 生命周期模型）的软件项目。7.12.6对丁每个生命周期阶段，应使川适当的技术和方法。附录A和B （技术和方法的选择指南）给出了建议 .选择附录A和B中的技术，本身并不会保证实现所需的安全完密性。7.1.2.7应记录软件安全生命周期行为的结果（参见条款5）。7.12.8如果在软件安全生命周期的任-阶段，需耍更改一个早期生命周期阶段，则该早期生命阶段及其后续阶段 应匝复进行。ICT 1 A

22、A7；图2 E/E/PES安全生命周期（在实现阶段）II图3 软件安全生命周期（在实现阶段）IEC 61508-3 的范IHE/E/PES文全翌农技术上他I/I/PIS fAHlE/EC 6150926紳1方个棘或可編程电子粳件非可編程酸件1软件安全吃求可備卅电你成（谟件和软 ft）1 1 '：；1:1 .II1软件设计和开发LT可编程电器设计和 开发1卄可編程破件设计和 开发E/E/PES 伏成fEC 1 6398图4 - IEC 6158-2和IEC 61508-3范围之间的关系表1 -软件安全生命周期总览安全生命周期 阶段目标范围要求子条款输入（所襦信息 ）输出（所产 生信息）图

23、3方 框编号标题9 1软件安 全要求 技术规 范按照软件安全功能和软件安 全完整性的耍求.规定软件 安全的要求：为实现所需安全功能所必需 的每个E/E/PE安全系统指定 软件安全功能要求：为达到安全完整性水平（为 分配给E/E/PE安全系统的每 个安全功能指定的）所需的 毎个E/E/PE安全系统规定软 件安全完整性要求。PES；软 件系统。7.2.2E/E/PES安全要 求技术规范 (IEC 61508-2)o软件安全要 求技术规范92软件安 全确认 计划编 制编制确认软件安全的计划。PES；软 件系统。7.32软件安全耍求技 术规范软件安全确 认计划93软件设 计和开 发结构:根据所需的安全

24、完整性水平 创建软件结构*完成规定 的软件安全要求：通过E/E/PE安全系统的哽件 结构，査看并评价对软件的 耍求，包括E/E/PE破j件/软 件相互配合对受控设备安全 的重耍性.PES：软件系统74 3软件安全要求技 术规范； E/EPES硬件结 构设计（正C 61508-2）软件结构设 计描述：软件结构集 成测试技术 规范：软件/可编程 电子集成测 试技术规范 （与IEC61508-2 婆求一致）9 3软件设 计和开 发支持工具和编程语言:为所 需的安全完整性水平，选择 介适的工几集（包括语言和 编译器），用于软件整个安 全生命周期的验证、确认. 评价和修改。PES：软 件系统： 支持工具

25、 :编程语 言。744软件安全耍求技 术规范：软件结构设计描 述：开发工具标 准和开发工 具的译码选表1 （接上表）安全生命周期 阶段目标范围要求子 条款输入（所需信息 ）输出（所产 生信息）图3方 框编号标题93软件设计 和开发详细设计和开发（软件役计）根据所需的安全完整性水平 设计和实现软件来完成规定的 软件安全耍求，可进行分析、 验证，并能进行安全修订。软件主要 组件和子 系统的结 构设计。74 5软件结构设计描 述：支持具和编码 标准。软件系统设 计技术规范k件系统集 成测试技术 规范。93软件设计 和开发详细设计和开发（单个软件模 块设计）：根据所需的安全完整性水平. 设计和实现完成

26、指定软件安全 要求的软件.可进行分析、确 认，并能进行安全修订。软件系统设计74 5软件系统设计技 术规范：支持工具和编码 标准。软件模块设计技术规范软件模块测 试技术规范9 3软件设计 利开发详细代码实现：根据所需的安全完整性水平， i殳计和实现完成指定软件安全 耍求的软件，可进行分析、确 认，并能进行安全修订。单个软件 模块。74 6软件模块设计技 术规范：支持I具和编码 标准。源代码列表k码査看报 告。93软件设计 和开发软件模块测试：确认实现了软fl安个要求（所 :件安全功能和软件安全完 第性）表明毎个软件模块执 行其预期功能，且未执行非预 期功能。软件模块O74 7软件模块测试技 术

27、规范：源代码列表；代 码査看报告.软件模块测 试结果；经确认并测 试的模块。93软件设计 和开发软件集成测试：确认实现了软件安全要求（所 需软件安全功能和软件安全完 整性表明所有软件模块、 组件和/系统正确配合，以执 行其預期功能且未执行非预期 功能。软件结构 软件系统O74 8软件系统集成测 试技术规范。软件系统集成测试结呆N确认并测 试的模块。94可编程电 子集成（换件和 软件）将软件集成到目标可编程电了 硬件;将软件和硬件组合到安全可编 程电器上，以确保其廉容性， 并达到安全完整性水平的预期 耍求。可编程电子硬件：集成软件0752软件结构集成测 试技术规范：可编程电了集成 测试技术规范（

28、 与 IEC 61508-2 的要求一致）； 集成可编程电器0软件结构集 成测试结呆可编程电子 集成测试结 果：经确认和测 试的集成可 编程电器。表1 （接上表）安全生命周期 阶段目标范围要求子 条款输入（所需信息 ）输出（所产生 信息图3方 框编号标题95软件操作 和修改步 骤提供有关软件的必要信息和步 骤.以确保在操作和修改期间 维持E/E/PE安全系统的功能 安全。同上76 2与上述全部有关软件操作和修改步骤96软件安全 确认确保集成系统在预期安全完整 性水平上满足指定的软件安全同上7.7.2软件安全确认计 划软件安全确认 结果。已确认软件-软件修改对已确认软件进行修正増强或 变通，以确

29、保维持所需的软件 安全完整性水平。同上78 2软件修改步骤； 软件修改耍求。软件修改影响 的分析结果； 修改日志。-软件认证对于安全完整性水半所需的范 围，测试并评价已知软件安全 生命周期阶段的输出，以确保 作为该阶段输入的输出和标准 的正确性和一致性。依赖于阶 段7.9 2适合的确认计划 （依赖丁阶段）适介的确认报 告（依赖于阶 段）软件功能 安全评定对E/E/PE安全系统实现的功 能安全进行调査并得出评价。所冇上述 阶段8软件功能安全评 定计划软件功能安全 评定报告17传佛器逻训系统终端元亲7.2软件安全要求技术规范注1-参见表A 1和8 7。注2 -本阶段是图3的中的方块9 1.7.2.

30、1目标7.2.1.1本孑条款耍求的第-个日标是，按照软件安全功能和软件安全完整性的耍求，规定软件安全的耍求。7.2.1.2本了条款要求的第个口标足，为实现所需安全功能所必需的毎个E/E/PE安全系统规定软件安全功能 的要求7213本了条款耍求的第三个H标是，为达到安全完整性水平（为分配给E/E/PE安全系统的每个安全功能指 定的）所需的每个E/EZPE安全系统规定软件安全完整性要求所示结构为示例，可以是：所示结构为示例.可以足:-m通道：以通道：-loo2. Ioo3. 2002 瓠可編程电子结构PE硬件结构PE软件结构（S/W结构由怅入式S/W和应用程序 S/W组成）PE饋件的收功能和特殊应

31、用功能。1示例包折：1-诊断测试：-冗余处女 I/O hPE嵌入式软件PE应用软件示例包括：-通讯朋动， -错谋处理：-执行软件.E示例包插1-输入/输出功能：-派生功施（例如.在未提供嵌入咒软 件服务时.所进行的他感器检金。IEC 1691/98图6 -可编程电器的软件和硬件结构之间的关系7.2.2要求注通过一股嵌入软件和特殊应用软件的组介，大多数情况下可以实现这冬耍求 正是需要两者的组介來提供满足下面子条款的功 能。-般软件和特殊应用软件的明确划分依赖F所选择的软件结构（参见7.4.3和图6）7.22.1如果在E/E/PE安全系统耍求（参见IEC 61508-2的7.2）中C规定了软件安全

32、要求，则不必重复软件 安全耍求的技术规范。7.2.2.2软件安全要求的技术规范应从规定的E/E/PE安全系统（参见正C 615082）安全要求及任何安全计划（ 参见条款6）编制耍求派生而來。软件开发人员可使用本信息。ii -本要求并不表示E7E/PE开发酋与软件（IEC 61508-2和EC 61508-3）开发看之间互不干涉.由于软件安全要求和软件结构 （参见7.4.3）变得更精确,可能会影响E7E/PE纱件结构。出于这个原因,磧件开发人员和软件开发人员Z间的密切合作是I分 必要的.参见图4。7.223软件安全耍求的技术规范应足够详细，允许设计和实现达到所需的软件完整性，并允许执行功能安全评

33、 价。注技术规范的详细程度因应用的更杂性而不同.7.224软件开发人员应浏览7.222的内容，以确保对耍求进行了介理规定。软件开发人以抽别应考虑卜側问题：a）安全功能：b）配置或系统结构：c）硬件安全完格性要求（可编程电器、传感器和执行器）；d）软件安全完幣性要求：e）容量和响应时间性能;0设备和操作人员界而。71.2.5软件开发人员应建立规范，以解决任何号软件安全完整性水平分配不一致的问题。7.2.2.6对于安全完整性水平所要求的内容，应表达并构造所规定的软件安全要求，因此a）它们是消楚、粘确、非模糊、可确认、可测试、可维护、可行的，符介安全完整性水平；b）町追溯到E/E/PE安全系统安全耍

34、求的技术规范：c）没冇含糊不淸11 （或）未被（那些在软件安全生命周期的任何阶段使用本文件的人）理解的术语和描述。7.2.2.7如果未在规定的E/E/PE安全系统安全要求进行充分地定义，则应在规定的软件安全耍求中详细说明 EUC所有相关操作模式。注通过一般嵌入软件和特殊应用软件的纽合大多数情况卜可以实现木耍求.正是需要两者的组介來提供満足设备的功能。一 般软件和特殊应用软件的明确划分依赖F所选择的软件结构（参见7.4.3和图6）71.2.8软件安全要求技术规范应规定并记录便件和软件Z间任何仃关安全或相关的约束。71.2.9对J： E/E/PE硬件结构设汁描述所耍求的内容，软件安全要求技术规范应

35、右虑下而几方而：a）软件自监控（例如，参见IEC 61508-7的C 2 5和C 3 10）:b）町编程电子皱件、传感器和执行器的监控：c）系统运行时，安全功能的定期测试：d）EUC工作时，可测试安全功能。7.2.2.10E/E/PE安全系统需农执行非安全功能时，规定的软件安金要求应明确地识别这些功能。7.2.2.11软件安全要求技术规范应表达产品所需的安全属性,而不是项乩 关于7 2 2 1到7.2 2.10,应适当规定 下面内容：a）软件安全功能的耍求：一启动EUC來实现或维护安全状态的功能：一与可编程电子破件故障的检査、发布和管理有关的功能：一与传感器和执行器故障的检査、发布和管理仃关的

36、功能：一打软件本身（软件门监控）故障的检査、发布和管理冇关的功能：一弓在线安全功能定期测试冇关的功能：一与离线安全功能定期测试有关的功能；一允许对PES进行安全修改的功能：一与非安全功能的接口：-容量和响应时间性能：一软件和PES之间的接口。注1-接口包括离线和在线编程设备。b）软件安全完胳性的要求：一每个功能的安全完整性水平在上述a）中。注2-参见EC 61508-5附录A中关于为软件组件分配安全完整性的估息。7.3软件安全确认计划编制注-本阶段是图3的中的方块9.2.7.3.1目标本f条款要求的目标是编制-个确认软件安全的计划。7.3.2要求7.3.2.1应进行计划编制以规定程序步骤和技术

37、步骤，用于证明软件满足其安全要求（参见72）。73.2.2确认软件安全的计划应考虑F面几个方面:R发生确认的时间详细资料：b）确认执行者的详细情况;c）EUC操作相关模式的证明包括一使用准备，包括设置和调整；一启动、训练、口动、手动、半口动、运行的稳定状态；一重新设置、关闭、维护；一介理地可预测异常条件：d）安全软件的核对，试运行开始前，需要对每个EUC操作模式进行确认；e）确认的技术策略（例如分析方法、统计测试等）（参见7.3 23）:£） 9条目e） 致，确认每个安全功能符合規定的软件安仝功能興求 见72和规定的软件安金完整性 要求（参见7 2）的方法（技术）和程序；g）对规定的

38、软件安全要求的特殊参考（参见72）:h）进行确认行为所需的环境（例如,进行测试将包括校准工具利设备）;I）通过/失效准则（参见7.3.25）：J）评价确认结果（特别是失效）的策略和程序。注-这些要求以IEC 61508-1的78中的总体要求为根据.7323安全软件确认（参见农A7）的技术策略应包括下面信息：a）选择乎动技术或11动技术，或选择:者;b）选抒静态技术或动态技术，或选择二者：c）选择分析技术或统计技术，或选择二者：7324如果软件完整性水平（参见IEC 61508-1的8.2 12）有要求，则对于确认安全软件的程序部分，确认软 件安全计划编制的范围和内容应山审核人员或代农ih核人员

39、的方进行审査。本程序也应当術明测试期间审核人 员应到场。73.2.5完成软件确认的通过/失效准则应当包括a）所需的输入新信号，及其序列和值：b）期望输出信号，及其序列和值：c）其他接受准则，例如内存使用、耗时和值容许戢。7.4软件设计和开发注-本阶段足图3的中的方块9 3。7.4.1目标7.4.1.1本子条款要求的第一个H标是根据所需的安全完整性水平，创建软件结构來完成规定的软件安全要求（ 参见7.2）。74.1.2木子条款要求的第：个目标是通过E/E/PE安全系统的硕件结构，代看并评价对软件的虔求，包括 E/E/PE硬件/软件相互配合对受控设备安全的重要性。7.4.1.3本了条款耍求的笫三个

40、口标足为所需紂安全完整性水平选择适当的LJI集，包括语言和編译器，用丁整 个软件安全生命周期，协助进行验证、确认、评价利修订。74.1.4本f条款耍求的第四个I I标是根据所需的安全完整性水平，设汁和实现软件來完成规泄的软件安全耍求 ,可进行分析、验证，并能进行安全修订。7.4.1.5本子条款要求的第五个H标是验证软件安全要求（所需软件安全功能和软件安全完整性）已实现。7.4.2总体要求7.4.2.1根据软件开发的特性，与7.4保持-致的任务可以仅取决丁供应商，或仅取决于用八，或取决于两&在 软件计划编制（参见条款6）期间应当确定任务的划分。74.2.2按照所需安全完整性水半，所选设计

41、方法应当具有易于下面操作的特性：a）抽彖、模块化和控制复杂性的其它特性；b）表达:一功能性，一组件之间的信息流动，序列和与时间相关的信息,一时间约束，一并发性，一数据结构及其属性，一设计假定及其相关性：C）开发人员和需要了解本设计的其他人员的理解：d）验证和确认。注-参见附飛A 附於R中的衣"7.4.23为了便于在掠终的软件系统中实现可测试性和软件修改能力，应为在设计行为中考虑这些属件。注-示例包括机械和过程装置中的维护模式.7.42.4所选设讣方法应当JI有便丁软件修改的特性。此类特性包拾模块化、倍息隐诫和封装。7.4.2.5设计农述应十基于明确定义的符号，或限制为明确定义的特性。

42、74.2.6至于可行性，设计应半将软件的安全部分减至最小。74.2.7软件是用來实现安全功能和非安全功能的，冈此所自软件应当被看作是安全的，除非设计中叮以证明功 能之间足够独立.7.428软件是用來实现安全功能或不同安全完整性水平的，因此所冇软件应被看作是属于扳岛安全完整性水 平的，除非设讣中可以衣明不同安全完整性水平的安全功能Z间足够独立。应当记录独立的理由。注软件安全完證性水平至少必须达到所屛安全功施的安全完於性水平但足.软件组件的安全完整性水平可以低该组件所属的 安全功能的丈金堯整性水平，如果该组件与氏他破件组件组介，则该组介件的安仝完整性水丫至少J该炊件功能的安仝完整性水'I&

43、#39; 一样.7.429至丁可彳亍性，为了完成E/E/PE安全系统的安全完整性耍求（如IEC 61508-2中所述），设汁应当包括 执行检验测试和所有诊断测试的软件功能。7.4.2.10与所需的安全完整性水半相称，软件设计应当包括控制流和数据流的口监测。对于失效检测，应当采取 适当的行为。参见表A2和表A4.7.4.2.11如果将标准软件和先询开发的软件作为设计的一部分（参见表A3和A4）,则应当进行明确标识。应 '”1证明软竹在满足软件安全要求技术规范（参见7.2）加hi的适介性。适介性应片以类似应用中的满意操作为基 础，或经过了（预计为任何新开发软件进行的）验证和确认过程。应当对

44、先前软件环境（例如操作系统和編译器 从属性）的约束进行评价。注-软件计划编制（参见条款6）期间可以进行证明.7.4.2.12只耍是适合的，本子条款（7 4）应当用于包括任何数据生成语言的数据。7.43软件结构要求注1-参见表A.2和B7.,i 2-软件结构定义了软件的主要组件和子糸统、它们之伺的互联方式及所需属性（特别是女全完整性）的实现方式。主要软件组 件的例子包括操作系统、数据库.装置输入/输岀子系统、通讯子系统、应用程序、编程工具和诊断工具等.注3-在菜些丁业部门.软件结构将被称作功能描述或功能设计规范（虽憑这些文件也可以包括在硕件中）注4-时于使用有限可变诅書（特别是PLC 吐EC 6

45、150845的附录E）进行编程的用户应用程序"供应商将结构規定为标 准PLC功能。在本标准卜；要求供应商保证用户使其产品符合7 4的要求。使用标准的编程工具.如梯形逻辑.用户定制PLC应 用用序.74 3-74 8的耍求仍然适用。定义结构和记录结构的耍求可以（T作足们息.用户便用该伫息來为应用选If PLC （或等价物 注5-另方面.在某些使用全部可变嵌入式应用中.例如微处理器控制机.将需耍供应商专为应用（或应用类）创建结构 通常用户没竹编程工具.在这些情况下.确保与7.4相符的任务取决于供应商.注6-仃些系统介于注4和注5所述两种类型系统之间，因保持相符的任务将在用户和供应商Z何分

46、配。注7-从安全观点看，软件结构阶段是为软件开发基木安全策略.7.43.1根据软件开发的特性，与7.4 3保持-致的任务可以仅以决于供应商，或仅収决于用户，或取决于两者 （参见上述注释）。在软件计划编制（参见条款6）期间应当记录任务的划分.7.43.2提交的软件结构设i十应当由软件供应商和/或开发人员建立，软件结构设计的描述用当是详细的描述应当 选择和证明软件安全生命周期阶段所需的整套技术和方法，以所需的安全完整性水平（参见7二）满足软件安全 要求技术规范。这些技术和方法包括容错（与破件相符）和故障避免的软件设计策略，包括兀余和分集。b）在对组件/子系统进行分块的基础上,为每块提供下列信息:一

47、足新的、现有的或所属性：一是否预先已经过验证，及Jt验证条件：一毎个于系统/组件安全与否：一子系统/组件的软件安全完整性水半：C）确定所有软件/硬件的相互作用,评价并详细说明其重要性:d）使用符兮來农示明确定义的结构或限制为明确定义特性的结构：e）选择用于维护全部安全完松性数期的设计特性。此类数据包括装置输入输出数据、通讯数据、操作人员接口 数据.维护数据和内部数据库数据： £）规定介适的软件结构完整性测试，以确保软件结构在所盂的安全完整性水V上满足软件安全耍求技术规范（ 参见72） o7.43.3E/E/PE安全系统的观定安全耍求所需的任何更改，在应用74.3.2 Z后,应当与E/

48、E/PE开发人员一致 ,并进行记录.注-破件结构和软件结构（参见图5）之闾不可遷免存在重复因此需要和硬件开发人员进行讨论,如可编程电子硬件和软件（# 见7.5）集成的测试技术规范7.4.4支持工具和编程语言的要求注1 -参见衣A 3。注2-开发T具的选择取决于软件开发行为和软件结构（参见74 3）的待点.一对于使用有限可变语言编吗的用户应用程丿乩在低安全完格性水平上，所需匸具和编族语言可限制为标准 PLC语言、编辑器和加载器。因此与74.4保持相符的任务主耍取决于供应商一在较高的安全完整性水平上，可能需要PLC语言的受限子集，II.需要验证I具和确认r.H （如代码分析 器和模拟器）。任务将収

49、决于这些环境中的供应商利用户，一使用完全可变语言的匸具（用于嵌入式应用），即使在低安全完整性水平上，也必须比较复杂。与7.44 保持相符的任务主婆取决于软件开发人员。这包拈PLC供应商，使用完全可变语言为用户丿卫用程序编程 提供低可变语言。7.4.4.1根据软件开发的特性，与74 4保持一致的任务可以仅取决于供应商，或仅取决于用户，或取决于为者 （参见上述注2）。在软件计划编制（参见条款6）期间应当记录任务的划分。7.44.2应当为所需安全完整性水平选择适当的集成匸具,包括语言、编译器、配直管理工具和（可适用时）自动 测试工具。应考虑工具（不必是初始系统开发期间便用的工具）的可用性,为E/E/

50、PE安全系统的整个生命周期 捉供相关服务.7.4.43对于软件完整性水半所需的内容，所选择的编程语言W当：a）有一个拥有验证证书的翻译器/编译器，來识别国家标准或国血；标准，或对其进行评价以建芷适合性。b）完全1L明确地定义或限制为明确定义的特性：c）与应用程序的特性相匹配：d）包育便于检金编程错误的特性；e）支持与设计方法匹配的特件。7.44.4不能满足74.4.3时，对所使用的备选语言的证明应当记录在软件结构设计描述（参见7.4 3）中.该证明 应当详细说明语言的适合性，及任何附加方法（记录了已确定的语言缺陷）。7.4.4.5译码标准应卅a）由审核人员审査适合性；b）用于所有安全软件的开发

51、。74.4.6 if码标准应当规定良好的编程习惯，禁止非安全语言特性（例如,未定义的语言特性、非结构设计等）, 规定源代码文件编制程序。至少，源代码文件编制中应当包含下面的信息：a）法人实体（例如公诃、作者等）：b）描述：C）输入和输出：d）配賈管理历史。745详细设计和开发的要求注1参见衷A4、B 1、B.7利B 9。注2-这里定义的详细设计是描软件JK统设计-将结构中的左要组件划分成一系列软件模块，进行单个软件模块设计和译码 在小 的应用程序中，软件系统设计和结构设计可以合并.注3详细设计和开发的持性随软件开发行为和软件结构（参见74.3）特性的不同而变化对于使用有限可变语言（如梯形逻供和

52、 功能块）编写的用户血用程序，町将详细设计看作是配置，而不是编程.但是，虽佳做法仍是以结构化方式设旧火件，包括按模块 结构（尽可能分成划分成安全部分）组织软件：包括范附检代和其他捉供数州输入错误保护的特件：使用先前验证的软件模块：并 提供便于以后对软件进行修改的设7.45.1根据软件开发的特性，与74 5保持一致的任务可以仅取决于供应商，或仅取决于用户，或取决于两者 （参见上述注3）。在软件计划编制（参见条款6）期间应当记录任务的划分。7.452开始详细设计之间，下面信息应肖是可用的：软件安全要求技术规范（参见72）:软件结构设计描述（ 参见743）；验证软件安全的计划（参见7 3） o7.4

53、5.3软件应当实现模块化、可测试性和安全修改能力。7.454对于软件结构设计（参见7 4 3）描述中的每个主要组件"系统，设计的进一步细化应卅以划分成软件模 块为皋础（即软件系统设计婆求）。应当观定每个软件模块的设计和用于每个软件模块的测试。注-对于标准的或先前开发的软件组件或软件模块,如果可以表明它们满足7.4 2.11的要求,则不需要任何设 计技术规范或测试技术规范。7.45.5应当规定合适的软件系统集成测试，以确保软件系统在所需安全完整性水平（参见7.2）上満足软件安全 要求。7.4.6代码实现要求注1 一参见农A4、B 1、B.7利B 9。74.6.1源代码应当a）可读性、可

54、理解性和可测试性：b）满足软件模块设计（参见74 5）的规定要求；c）满足译码标准（参见74 4）的规定要求：d）满足在安全计划编制（参见条款6）期间规定的所有相关耍求。7.44.2应当审査每个软件代码模块。注-代是一种验证仃为（参见79）.7.4.7软件模块测试要求注1 一参见衣A 5、B 2、B.3和B 6。注2-对软件模块正确满足英测试技术视范进行测试是一种验证行为（参见7 9）该行为结合了代码审資和软件榄块测试，为软 件模块満足其相关技术规范提供保证，即进行验证。7.4.7.1毎个软件模块应卅按软件设计（参见745）所规定的进行测试。74.7.2这些测试应肖表明每个软件模块将执行其预期功能，II不会执行非预期功能。注1-这并不意味着对所有输入组合或输出组合进行测试测试等效类（参见IEC 61508-7的C 5 7）或基结构的测试（参见EC 61508-7的C.5 8）就足够了.边界值分析（参见IEC 61508-7的C 5.4）、控制流分析（参见IEC 61508-7的C 5 9）或寄牛电路 分折1EC01SU8"的CM1）町将祷试用例虽減少到町按爻的嫂盘.町分析朴孚（参W. IEC 615U8-/的C 2 /）更易j实规 要求.注2-其中开发便用形式方法（参见IEC 61508-7的C24）、形式