安全苛求系统及其评估

平安苛求系统及其认证

同济大学徐中伟精选ppt主要内容引言功能平安性平安苛求系统的开发容错和故障平安技术系统可靠性形式化方法验证、确认和测试质量管理铁路信号EN标准和平安性认证典型的高平安系统实例精选ppt引言——关键领域中应用的平安苛求系统

领域：核工业、航空、航天、军工、交通、医疗等特点：嵌入式的、实时的、平安相关的——系统失效的后果往往是灾难性的名称：平安苛求系统〔Safety-criticalSystems〕精选ppt功能平安性〔FunctionSafety〕概念：是系统不危及生命或环境的属性两种平安性：信息平安性与功能平安性〔SecurityandSafety〕平安性与可靠性——可信性〔Dependability〕：RAMS平安性范围：硬件和软件、系统边界基于计算机的控制和防护系统:优点和缺点精选ppt平安苛求系统的开发故障、错误和失效〔Fault、ErrorandFailure〕故障分类：随机性故障和系统性故障避错〔faultavoidance〕、纠错〔faultremoval〕、检错〔faultdetection〕和容错〔faulttolerance〕V型生命周期模型验证和确认精选ppt系统需求可靠性〔Reliability〕：系统在给定条件，给定的时间内实现所要求功能的可能性可用性〔Availability〕：系统在任意时刻能完成规定功能的可能性故障平安操作〔Fail-Safe〕系统完整性〔SystemIntegrity〕：系统检测到故障并通知操作员的能力数据完整性〔DataIntegrity〕系统恢复〔Systemrecovery〕可维护性〔Maintainability〕可测试性〔Testability〕可信性〔Dependability〕系统需求之间冲突精选ppt平安性需求识别危害危害分类确定处理危害的方法可靠性和可用性需求的分解确定适合的平安完整性水平符合选定平安完整性水平的开发方法标准精选ppt危害分析技术失效模式和影响分析〔FMEA〕失效模式、影响和危害性分析〔FMECA〕危害和可操作性研究〔HAZOP〕事件树分析〔ETA〕故障树分析〔FTA〕等等精选ppt生命周期不同阶段的平安性分析初始危害识别〔PHI〕初始危害分析〔PHA〕平安性评审平安性方案系统危害分析系统风险评估独立平安性审计精选ppt误动作的后果——危害严重等级严重等级对环境或人的影响给服务带来的后果特大多人死亡，和/或是多方面的严重伤害，和/或对环境的严重损害重大一人死亡，和/或是单个严重伤害，和/或是对环境产生明显的损害主系统受损次要较小的损伤和/或对环境的明显影响严重的系统损害轻微可能存在的较小的伤害较小的系统损害注：不同领域有不同标准规定精选ppt误动作的可能性——频率频繁经常有时很少极少几乎不可能注：不同领域有不同标准规定精选ppt风险矩阵风险=严重度x频率风险矩阵危险事件的发生频度风险等级

频繁经常有时很少极少几乎不可能轻微次要重大特大危险后果的严重等级注：不同领域有不同标准规定精选ppt风险分类风险种类对每一类风险所采取的防范措施不容许的应该消除不希望的当风险降低不可行时，应经过铁路主管部门或安全规章主管部门同意后方可接受容许的采用充分控制并经铁路主管部门同意后可以接受可忽略的有或无铁路主管部门同意均可接受精选ppt风险接受原那么实例——ALARP原那么(AsLowAsReasonablyPracticable)ALARP或可容忍区域(仅当期望得到利益时承担风险)不可容忍区域风险无法确定，特殊情况例外仅当无法降低风险或成本与利润不成比例时可容忍风险缩减成本超过利润时可容忍广泛可容忍区域(不需要详细的ALARP证明工作)必要的维护确认该级别中是否仍存在的风险注：其他还有GAMAB原那么、最小内在死亡率〔MEM〕原那么精选ppt风险评估和验收实例危险事件的发生频度风险等级

频繁不希望的不容许的不容许的不容许的经常容许的不希望的不容许的不容许的有时容许的不希望的不希望的不容许的很少可忽略的容许的不希望的不希望的极少可忽略的可忽略的容许的容许的几乎不可能可忽略的可忽略的可忽略的可忽略的轻微次要重大特大危险后果的严重等级精选ppt风险缩减过程允许风险组合:外部设施系统设计程序结构调整元件设计实际风险缩减产生实际风险缩减最小风险缩减现有风险精选ppt平安完整性SI在指定的时间范围内和指定的条件下，系统圆满完成规定的平安功能的可能性。精选ppt平安需求和平安完整性系统需求标准非平安需求平安需求平安需求标准平安完整性需求系统失效完整性随机失效完整性平安功能需求精选ppt平安完整性等级SIL安全完整性系统失效完整性随机失效完整性安全管理条件质量管理条件技术安全条件安全定量指标没有明确的需求一组充分的根据SIL归类的方法和工具SILFRSIL4SIL3SIL2SIL1SIL0

精选pptSIL表每功能每小时允许危险率安全完善度等级10-9<=THR<10-8410-8<=THR<10-7310-7<=THR<10-6210-6<=THR<10-51精选pptV型生命周期模型

概念系统定义和应用条件风险分析系统需求系统需求分配设计和实现制造安装系统确认系统验收运行和维护停用和处置精选ppt开发方法需求和危害分析标准正确性完备性一致性无二义性标准原型化自顶向下设计细化设计模块实现模块测试系统集成系统测试分层设计平安内核和防火墙可测试性的设计面向维护的设计人因过失的考虑平安性管理平安评估和认证精选ppt故障类型硬件故障类型单固定故障短路故障开路故障硬件设计和标准故障等等软件故障类型软件标准故障编码故障栈溢出故障使用未初试化便量故障等等故障覆盖率精选ppt容错和故障平安技术冗余技术多系备份技术〔热备、冷备〕多系表决技术设计多样性技术硬件软件故障诊断技术功能检查一致性检查信号比较信息冗余指令监测回环测试看门狗总线监测电源监测精选ppt硬件容错和故障平安技术静态容错技术三模冗余TMRN模冗余表决技术动态容错技术备份技术自检验对技术混合容错技术带有备份的N模冗余技术硬件容错的模块同步和多样性固有式故障平安技术组合式故障平安技术反响式故障平安技术电磁兼容设计防雷设计精选ppt固有式失效-平安这种技术允许一个平安相关功能由单个项执行，前提是假定项的所有可信失效模式均为非危险的。精选ppt组合式故障-平安技术A中出现第一个故障&功能A功能B输出屏蔽功能A故障检测功能B故障检测功能A功能B检测输出T安全状态A中出现第一个故障第一个故障被检测出屏蔽输出B中出现第二个故障第一个故障出现概率以及第二个故障在检测和屏蔽第一个故障期间T内出现概率的复合应小于规定的概率指标每个平安相关功能应至少由两个项来执行。各项之间应相互独立，以防止共因失效。只有当必要数量的项取得一致时，才允许进行非限制行为。应能检测出一个项中的危险故障并在足够的时间内加以屏蔽，以防止第二个项发生相同故障。精选ppt反响式故障-平安技术功能A功能A故障检测屏蔽输出功能A检测输出T平安状态A中出现第一个故障第一个故障被检测出屏蔽输出A中出现第一个故障后的检测和屏蔽时间T不应大于规定的潜在危险性瞬间输出时间限制这种技术允许一个平安相关功能由单个项执行，前提是通过快速的危险故障检测和屏蔽来确保它的平安操作(例如通过编码，多路计算和比较，或通过连续的测试)。尽管只由一个项实施实际的平安相关功能，但检查/测试/检测功能应被看作为第二项。检查/测试/检测功应是独立的，以防止共因失效。精选ppt软件容错和故障平安技术多版本编程技术恢复块选择适宜的程序设计语言设计良好、清晰的软件架构软件模块化，减少模块相互依赖防御性编程软件注释软件测试精选ppt系统可靠性根本概念失效率浴盆曲线MTTFMTTRMTBF可用性精选ppt可靠性模型可靠性方框图串联并联串并联组合失效的独立性马尔可夫模型离散马尔可夫模型连续马尔可夫模型其他模型精选ppt可靠性预测和评估硬件可靠性预测软件可靠性预测精选ppt形式化方法概要传统的诸如测试、故障树等检错、纠错和容错技术擅长处理由随机产生、系统老化或系统单部件引起的，而不是由复杂的交互作用引起的故障。它们是在假设系统的设计正确的情况下，对软件、硬件故障进行处理。同时，软件的故障处理主要借鉴于硬件故障处理技术。然而硬、软件的故障性质是有差异的，软件具有离散性，更适合用集合、格、群等数学工具来表达。一种更为严格和客观平安保障方法形式化是指使用离散数学和逻辑学的技术来分析需求、设计和构建计算机系统及其软件，用严格的数学符号和数学法那么对目标系统的的结构与行为进行有效的综合分析和推理的方法，它为系统的说明、开发验证提供了一个框架，以利于发现目标系统需求中的不一致、不完整的情况。精选ppt形式化方法分类

形式化标准描述顺序系统行为的形式标准方法：典型有Z、B、VDM等。这类方法中状态使用集合、关系和函数等数学结构来表示；状态转移使用前置条件和后置条件来表示。描述并发系统行为的形式标准方法：典型有CSP、CCS、时序逻辑和I/O自动机。这类方法中状态只使用简单的数学类型例如整数或对状态根本没有定义；系统的行为用序列、树或事件的偏序关系来表示。集成的形式标准方法：典型有SDL和RAISE。它们把两种不同的方法结合起来，既能表示复杂的状态类型又能描述并发系统的特性。形式化验证模型检验(modelchecking)：模型检验是对有限状态系统的一种形式化确认方法，具体做法是：采用一种形式语言描述系统的标准说明，构造一种算法来遍历根据系统标准设计的实现模型，确认实现模型是否满足系统的标准说明。由于系统的状态是有限的，所以该算法必然会终止。定理证明：定理证明的原理是：首先我们定义一种数学逻辑，该逻辑系统实际上是一个形式化的系统，由一系列公理和推理规那么组成。然后我们用这种数学逻辑分别表示被验证系统和其被期望的特性。所谓定理证明就是从系统的公理出发使用推理规那么逐步推导出其所期望的特性的证明过程。证明所需要的步骤依赖于系统的公理和推理规那么，在某种程度上也依赖于其派生定义和中间引理。与模型检验不同!定理证明可直接处理无限的状态空间。精选ppt形式化方法的开发过程精选ppt验证和确认方案验证和确认人员必须满足独立性要求精选ppt动态测试功能测试结构测试随机测试动态测试技术基于等价类划分的测试案例基于边界值分析的测试案例状态转移测试概率测试基于结构的测试过程仿真猜错播错实时和内存测试性能测试压力测试环境仿真平安性测试精选ppt静态分析技术走查/设计审核检查表形式证明Fagan检查控制流分析数据流分析符号执行度量精选ppt建模技术形式化方法软件原型性能建模状态转移图时间Petri网数据流图结构图环境建模精选ppt测试策略测试覆盖率——完备测试不可能语句覆盖率分枝覆盖率组合判定覆盖率等等测试充分性准那么基于需求的准那么基于结构的准那么时间特性测试开销精选ppt质量管理软件工程ISO9001质量管理体系CMM/CMMI软件能力成熟度模型〔1-5级〕精选ppt铁路信号EN标准族EN50128整个铁路系统铁路信号系统子系统单独设备EN50159（通信）EN50129(安全性)硬件软件EN50126（可信性）精选ppt平安性的证据：平安性例证SafetyCase第六部分：结论第五部分：相关安全例证第四部分：技术安全报告第三部分：安全管理报告第二部分：质量管理报告第一部分：系统定义安全例证精选ppt质量管理报告组织结构质量方案和程序需求标准设计控制设计验证和评审应用工程采购和生产产品鉴别与可追溯能力处理与贮存检查和测试；不一致及其更正包装和交货安装和交付使用运行与维护质量监督和反响文件和记录配置管理/修改控制人员能力与培训质量审计与追踪报告系统退役和处置精选ppt系统生命周期概念系统定义和应用条件风险分析系统需求系统需求的分配设计和实现制造安装系统确认〔包括平安性验收和交付使用〕系统验收运行和维护系统退役和处置运行监测修改重新应用生命周期精选ppt平安性生命周期-V形周期系统需求规格危险分析和风险评估平安性需求规格系统结构设计硬件设计软件设计硬件确认软件确认集成和安装测试功能平安性测试/确认系统测试确认平安性功能需求平安性完善度需求系统性失效完善度随机性失效完善度质量管理报告平安性管理报告技术平安性报告测试方案/安排精选ppt平安组织建立一个适当的平安组织使用能胜任工作的职员各自担任明确的角色，不同角色之间应有适当的独立性按公认的标准对职员的能力，包括技术水平、学历、相关经验和适当培训经历必须进行评价并形成文档精选ppt不同角色的独立性安排PMDESVER，VALASSRPMDESVERVALASSRDESDES，VER，VALVER，VALASSRASSR*或SIL3和4SIL1和2SIL0精选ppt平安验证和确认应验证生命周期的每一阶段能满足前一阶段的平安需求说明应确认已完成的系统/子系统/设备能满足最初的平安需求标准所有验证和确认工作,包括适当的测试和平安性分析工作都必须进行并作完整的记录任何系统/子系统或设备进行修改或扩展以后，都应重复这些工作根据平安权威机构的意见,评估员可以是供给商组织的一局部,也可以是顾客组织的一局部。此时，评估员应：由平安性权威机构认可完全独立于工程团队直接向平安性权威机构报告精选ppt不同平安完整性等级的系统和产品设计的验证和确认指南〔表E.9〕技术/措施SIL1SIL2SIL3SIL41.检查清单推荐:准备检查清单,关注主要安全性问题推荐:准备详细的检查清单2.仿真推荐推荐3.系统功能测试强力推荐:应实施功能测试、评审，以证实达到预定的特征和安全需求强力推荐:应基于良好定义的测试用例进行全面的功能测试,以证实达到预定的特征和安全需求4.环境条件下的功能测试强力推荐:应在指定环境条件下进行安全相关功能和其他功能的测试强力推荐::应在指定环境条件下进行安全相关功能和其他功能的测试5.抗浪涌测试强力推荐:应进行实际运行条件边界值的抗浪涌测试强力推荐:应进行比实际运行条件边界值更高的抗浪涌测试6.计算失效率强力推荐:基于典型的条件进行强力推荐:基于最不利条件进行7.文档检查强力推荐:检查所有文档8.确保设计假设没有和生产过程妥协强力推荐:明确生产需求和防范要点,另外由安全组织审查实际生产过程精选ppt不同平安完整性等级的系统和产品设计的验证和确认指南〔续表E.9〕技术/措施SIL1SIL2SIL3SIL49.测试装置推荐:测试装置的设计者应独立与系统或产品的设计者强力推荐:测试装置的设计者应独立与系统或产品的设计者10.设计评审强力推荐:在生命周期的适当阶段进行评审,以证实实现了指定的特征和安全性需求强力推荐:在生命周期的适当阶段进行评审,以证实实现了指定的特征和安全性需求11.确保设计假设没有和安装和维护过程妥协强力推荐:明确安装和维护需求以及防范要点强力推荐:明确安装和维护需求以及防范要点,另外由安全组织审查实际安装和维护过程12.通过使用达到高置信度推荐:10000小时运行时间,有运行设备中运用至少1年的经历推荐:一百万小时运行时间,有不同设备中运用至少2年的经历,其中包括安全性分析,运行期间的小修改也要有详细文档资料备注:在阶段验证活动中，可以使用检查清单、计算机辅助规范工具和规范检查。精选ppt技术平安性报告的格式引言功能正确运行的保障故障的影响外界干扰下的运行平安性相关的应用条件平安性合格测试精选ppt功能正确运行的保障包括所有用以说明系统/子系统/设备在无故障正常情况下正确运行、符合规定的运行和平安性需求的证据材料。主要有分以下几个方面：系统结构描述接口定义系统需求标准的实现平安性需求标准的实现硬件功能正确性的保障规定环境条件的实现软件功能正确性的保障精选ppt故障的影响本节应论证系统/子系统/设备持续符合规定的平安性要求，包括在发生随机硬件故障时量化的平安性指标。此外，尽管应用了质量和平安性管理程序,系统故障仍然可能存在，本节应当证实为了使残留风险降至合理且可行的最低水平采用了哪些技术措施。本节还应证实平安性完善度等级低于整个系统的系统/子系统/设备中的故障不会影响整个系统的平安性。主要有分以下几个方面：单一故障的影响部件的独立性单一故障的检测故障检测后的措施(包括平安状态的保持)多重故障的影响系统故障的防护精选ppt外界干扰下的运行应论证在遭受系统需求标准中所论述的外部干扰时，系统/子系统/设备：继续满足规定的功能需求继续满足规定的平安性需求(包括故障情况)平安性例证只在规定范围的外界干扰内有效。在这些限制之外，那么没有平安性保证，除非提供附加的特殊措施需完整解释和论证抵御规定的外界干扰的方法精选ppt平安性相关的应用条件规定了系统/子系统/设备应用时应遵守的规那么、条件和限制，包括任何相关子系统或设备的平安性案例给出的应用条件精选ppt平安性合格测试应包括说明在运行条件下成功完成平安性合格测试的证据材料精选ppt平安性例证分类通用产品平安性例证(独立于应用)-能被重用于不同独立应用的通用产品通用应用平安性例证(针对一类应用)-能被重用于一类具有共同功能的应用的通用应用特定应用平安性例证(针对