【国家标准(GB)】 电气/电子/可编程电子安全相关系统的功能安全 第3部分: 软件要求

ICS25.040
中华人民共和国国家标准
GB/T20438.32006/1EC61508-3:1998电气/电子/可编程电子安全相关系统的功能安全第3部分：软件要求
Functional safety of electrical/electronic/programmable electronicsafety-related systems-Part 3:Software requirements(IEC61508-3.1998.IDT)
2006-07-25发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2007-01-01实施
1范围
2规范性引用文件
3定文和缩路语
标难的特合性
5文档
6软件质量管理系镜
6.1日的
临.2婴求
7件安全生命周期要求
7.1一般要求
7.2软件安全要求规藏
软件安全确认计划编制·
7.4软件设计和开发
7.5可编程电子集成《硬件和软件3.7.6软件操作和修改程序.
软件安全确认
7.8软件修改
7.9软件段证
8功能安全评估
附景A（规克性附录）
技术和措施选择指南·
阿录B范性附景）
详细表格
GB/T20438的总依标架
E/E/PE安全生命周期（实现阶段）教件安全生命周期（实现阶段）GB/T20438.2和GB/T20438.3的范图及关系软件安全完繁性的开爱生命周期V模式》..可确程电子理件和软件结构的关系…表1牧件安全生命周期：概速
表A.1软件安全要求规范（见7.2)表A.2软件设计和开发软件结将设计（见7.4.3）次
表A.3软件设计和开发：支持工具和编程语言（见7.4.4）表A.4软作设计和开发，详组设计（见7.4.5和7.4.6)GB/T 20438.3-2006/IEC61508-3.199810
表A.5教件设计和开发：软件模块避试和集成（见7.4.7和7.4.8)m表A.6可编程电子集皮（要件和软件见7.5）25
CB/T20438.3—2006/1EC61508-3:1998表A.T
软件安全确认（见7.7）
警改（见7.8)
软件验证（见7.9）
表A10
功施安全评估（见第8章）
设计和缩码标准（见表A.4)
动志分析和副试（参见表A.5和表A.9）功能和黑盒测试（参见表A.5.表A.6和表A.7)失欢分析（参见表A10）...
建模（参见表A.7)
性能测试参见表A5和表A.6）
半形式方法参见表A.1.表A.2和表A.4）静态分析（参见表A.9）
模块化方法（参见表A4)
GB/T20438由下列7部分档虎：
第1部分：一般要求：
GB/T20438.3—2006/IEC61508-3.1998第2部分：电气/电子/可编程电子安全相关系统的要求：第3部分·软件夏求：
一第4部分：定文和缩略语：
第5部分：确定安全完整性等级的方法示例：第6部分：GB/T20438.2和GB/T20438.3的应用指南！第7都分：技术和措施摄进。
本部分是GB/T20438的第3部分
本部分等同用国际标准1EC61508-3：1998电气/电子/可缩程电子安全相关系统的功能安全第3部分软件要求）（英文版）
本部分的附录A附录B为规范性附录。本部分与1EC61508-3：1998在技术内容上设有差异，为便于使用做了下列编辑性能改：将\1EC61508\改为\GB/T20438”6本“国际标准”一词改为“本标准刷除国际标准中1.2的注2.因为此注所表连的是TEC61508在美国和加拿大等国的应用情说，与我国的实除不符，所以刷除，用小数点”代替作为小数点的适号“”本部分由中国机械工业联合会提出。本部分由全国工业过程测量和控制标准化技术委员会（SAC/TC124)归口本部分由机械工业仪器仪表综合技术经济研究所负责起草。本部分主要起草人，王菊、冯晓升，梅恪、郑旭、欧阳劲松等。GB/T20438.3-2006/1EC61508-3.1998引言
由电气和电子器件构虚的系镜，多年来在许多领域中执行其安全功能，以计算机为基础的系烧（一般指可第程电子系统（PES））在许多领域中用于非安全日的，但也越来越多地用于安全日的，为使计算机系统技术更有效安全地使用，有必要进行安全方面的指导。GB/T20438计对由电气或电子和可编程电子部件构成的、起安全作用的电气/电子/可编程电子系就（E/E/PES）的整体安全生命周期，娱出了一个通用的方法，建立就一的方法的目的是为了针对以电手为基础的安全相关需统提出一种一致的，合理的技术方针，主要目标是促进应用领城标准的制定。在许客情说下，可用多种基于不同技术的防护系统来保证安全（如机械的、液压的、气动的，电气的。电于的可端程电子的，等等）。从安全战略拍度，不仅要考惠各系统中元器件的同题（如传感器，控制器，执行器等），面且要考虑构成组合安全相关系统的所有安全相关系统，固此GB/T20438对电气/电手/可编程电子（E/E/PE）安全相关系统进行了规定，GB/T20438还提出了一个概架，在这个框架内，基于其他技术的安全相关系统也可同时该考惠进去。在各种虚用领域里，存在着许多潜在的危险和风隐，包含的复杂性也各不相同，从面需应用不同的E/E/PES。对每个特定的应用，则根据魔用的不同面确定所需的安全量。GB/T20438仅是使这些量值规范化
GB/T20438
考虑了当使用E/E/PES执行安全动能时，所沙及到的整作安全生命周期，E/E/PES安全生命周期以及软件生命周期的各阶段（如初始构思，整个设计，实现，适行和赠护到停用），针对飞速发展的技术，建宣一个是够健壮广泛的能满是今后发展需要的据架。有利于促进E/E/PES安全相美系统在不同领城中相关标准的制定，各应用领域和交叉应用领玻相关标准应在GB/T20138的框案下制定，使之具有高水平的一致性（如基确原理，术语等的一致性》并将既安全叉经济。为达到E/E/PE安全相关系统所需的功能安全提供了确制安全要求规范的方法，使用了一个安全完整性等级，此安全完整生等级规定了E/E/PE安全相美系统要实现的安全功能的目标安全完整性等级。
采照了一种可确定安全完整性等级要求的基于风险的方案。建立了E/E/PE安全相关系统的数值目标失效量，这些量都同安全完整性等级相联系。建立了危险失效模式中目标失效量的一个下限，此下限是对单一E/E/PE安全相关系就的要求，这些系绕运行在：
1低要求操作模式下，为了执行它的设计功能，一且要求时，就把下限设定虚早均失效概章为10-*
23高要求择作模式或者连续操作模式下，下限设定虚危险失效概率为10-/h连：单一E/E/PE安全相美系境不一定是单通道站构，采用广钙的原理，技术和措端以适到E/E/PE安全相美系统的功能安全，但不使用失效-安全的抵念，这个既念是在很好定文了失效模式，并且复杂性机对较低时的一个数值，由于E/E/PE安全相关系晓的复杂性均在GB/T20438范明之内·因此不适用失效-安全的概念，1范围
GB/T20438.3-2006/IEC61508-3:1998电气/电子/可编程电子安全相关系统的功能安全第3部分：软件要求
1.1 GB/T20438的本部分：
使用应建立在充分理解GB/T20438.1.GB/T20438.2的基础上，b）适用于任何在GB/T20438.1.GB/T20438.2范围内构成与安全相关系统的一部分有关的改用于开发安全相美系统的软件，这种软件定文为安全软件，要全软件包括操作系统、系就软件通信网络中的软件，人机界面功能，支持工具，固件以及应用程
应用程序包高级语言，低级语盲程序和使用有限可变语言的特殊用连程序（见GB/T20438.4—2006的3.2.7).
e）软件安全功能和软性安全完整性等级的要求应明确。注1：如累选一要求作为电气/电子/可编程安全相关系烧（见GB/T20438，2一2006的7.2）有一邮分已提出，对在此处卡直卖
注2：规定软件安全功能和软件安全完整性等级是一个重复的醒序，见图2和图6.注3：文档结构要免GB/T20438.1-2006的第5章和GB/T20438，1-2006尊附录A，文档结构应考思公司规程和特球良用慢蚊的工作实乐情露，建立安全生命周期阶段和在设计，开爱与安全有关的软件（软件安全生命周期软件模块）阶段d
和行为的要求，这费要求包括根据安全完整性等级分等的，在软件中用于避免和控制故障及失效的措施和技术的应用。
e）对向执行电气/电子/可缩程集成的机构提供与软件安全性确认有关的信息提出要求D对操作和维护E/E/PE安全相关系统的用户所需的与软件有关的信息和规程的准备提出要求，
对修改与安全有关的软件的机构提出要求，结合GB/T20438.1.GB/T20438.2提出对支持工具的要求，如设计开发工具.语盲翻泽器、测试和调试工具、配置管理工具。让4.图4和图5表示了GB/T20138.2和GB/T20438,3之间的美系。1.2GB/T20438.1GB/T20438.2.GB/T20438.3和GB/T20438.4是基础的安全标准，尽管它们不适用于单E/E/PE安全相关系统见GB/T20438.4一2006的3.4.4），作为基础的安全标准，根据IEC导则104和ISO/IEC导则51中包含的原则，各技术委员会在起草标准时应考虑使用这选标准，因为技术委员会的责任之一是在起草自己标准时凡是适用之处都应贯御基础安全标准，GB/T2038同时也可作为独立的标准去使用，1.3图1表示了GB/T20438的整体板架同时明确了在达到E/E/PE安全相关系统功能安全阶段中本部分的作用.GB/T20438.6-2006的附录A措连了GB/T20438.2和GB/T20138.3的应用。2规范性引用文件
下列文档中的条款通过GB/20438的本部分的引用而成为孝部分的条款，凡是注日期的引用文件，其随后所有的修改单不包括携误的内容）或修订版均不适用于本部分，然百，鼓励根据本部分送成协议的各方研究是否可使用这些文件的最新版本，凡是不注日期的引用文件，其般新版本适用于本部分，HBCT204383-2006/1EC61508-3-1998器丹
验制品的安全要桌盟者，程国，定总险乳风A分新E/M支全
关承残。其格批车安全相关系感及ABAPHERN
第#分
与E/EPE费全美系装行养的原膜
安全营术的丹配
EETE安全机
关系就的实肥
第之部分
安全教件的车
正产变主相美系健的安最，试温行移变全性动
EEE安全奶美最技首送行。维萨
悠录和改型，你用或处理
7.15-7.17
技素要票
#服成设制宝中光站
性器草的方快
H术和精施图
前6#分
第8和#
免美良##
图1G8T20438的总体糕架
其热爱串
定交刺赠信适
5量录人
联管安全首置
#喜导
动量要全评指
GB/T20438.3-2006/1EC61508-3.1998GB/T20438.1一2006电气/电子/可端程电子安全相关系统的功能安全第1部分：一股要求(IEC61508-1.1998.IDT)
GB/T20438.2一2006电气/电子/可缩程电子安全相美系镜的功能安全第2部分：电气/电于/可编程电子安全相关系绕的要求（IEC61508-2：2000.1DT）GB/T20438.4一2006电气/电手/可编程电子安全相关系统的功能安全第4部分：定文和蜡略语(IEC61508-4：1998.IDT)
GB/T20438.5一2006电气/电子/可编程电子安全相美系统的功能安全第5部分：晚定安全完整性等级的方选示例(IEC61508-5.1998.IDT)GB/T20438.6一2006电气/电手/可编程电子安全相美系统的功能安全第6部分：
GB/T20438.2和GB/T20438.3的应用指南CIEC61508-6.2000.IDT)GB/T20438.7一2006电气/电子/可编程电子安全相美系统的功能安全第7部分：技术和播施纸违(IEC61508-7:2000.IDT)
ISO/IEC导则51：1990安全方面在标准中引人安全条款的指南TEC导购104：1997安全出版物的编写及基本安全出版物和分类安全出版物的虚用3定文和蹭略语
见GB/T20438.4.
4标准的特合性
见GB/T20438.1—2006的第4章
5文档
见GB/T20438.1-2006的第5章。
心款件质盘管理系统
6.1目的
见GB/T20438,12006的6.1
6.2要求
6.2.1见GB/T20438,1—2006的6.2.以下为附加要求。6.2.2功脂安全计划皮定文E/E/PE安全相关系统的安全完整性等级所要求的软件获取，开发，集成，确认和快改的战略。
注：孩方法的理念是在培制计别时考惠E/E/PE安全相关系就部件所要求的各种安全完整性，制定标准，本部分的7,4.2，8将考感E/E/PE安全相美系晚中使用不同安全完整性等圾的妞件时的情品：6.2.3件配置管理
a）应在软件安全生命周期阶段中使用行改和技术控制，以管理软件变化和保证有美软件安全的规定要求始终能得到满足，
）应确保所有些需的操作已被执行以说明获得了所要求的软件安金完整性。应保持精确的和维护E/E/PE安全相关系统完整性所必需的所有配置项的唯一识别配置项e
至少包插：安全分折和要求软件规范和设计文档，软件源代码模块：测试计划和站果：将要被安装于E/E/PE安全相关系统的已存在的软件组件和软件包·所有用于创建、测试或执行E/E/PE安全和关系境装件的工具和开发环境。应采用变更控制规程用于防止事授权的性改：对作改请求文档化！分析建议修改的影响以批准或拒绝请求：对所有准许作改的组节和授权文档化在软件开发阶段中适当点建文配量基线，井对判断基线（部分）的集成副试文档化（见7.8）骑保所有牧件基线的构成（包括早期需3
GB/T20438.3—2006/IEC61508-3：1998绕的重建）
注为费导，加强行政和我未控制的使用有各要进行管理决定和规忆，）戏下到信息文档化，以用于随后的审技，配置状态，发布扶态，对房有修改的妞断和通过，修改的矩节，
行安全软件爱布室正式文格化，教件的主要备份和所有有美文哲在已发布软件的操作生命周期内应被保存以充评维护和烤改，连，对手配置餐理的更详邮的价息，果1SO/IEC12207工秋件安全生命国期要求
7.1一般要求
7.1.1口的
等软件开爱结人到规定的各阶段和活动中（现表1和图2图5）EEES
变全系质
EEFES安全生中A所
FTPES安全医R版器
EEPES安全碧A计部
计对甲十LLPES安全
东悦的一十EEPE
安全生全周
全马险
求娱旺
安生完啦
EETES魔和开发
EMEPES舞减
EEPES安业调A
中的民2方#12
图2E/E/PE安全生命围期（现阶段）E/E/PES恒片和
维护暖程
GT20481200
中的国2支国
7.1.2要索
7.1.2.1款件开爱的安全生命周购应量据GBT20438.1-2005第6章意在的制安全计划期问进行接选和规定，
注：一个房足GB/T20#38.1一2006第了意要求的安全生心周期报股可极器禁工服项日或机构的指味需要来定制，7.1.2.2质量和安全保正规程启集点到安全生命周期活动中，7.1.2.3软件安全生命周期的各阶根据各阶段规定的范用，输人和辅出分成基本的活动。注1，对于生食周用各图股的更详额的信息，见180/1EC12207，注2，GB/T204送1一2006第5章考点了安全生命离期各阶段的输出：在开发一些E/E/FE安全和美军统的阶段中，一些安全生命周用阶段的给出可能是一十明的的文古，西从儿个好度出的文性呼缺会并，基本的要求是安全生政周期股的验出应符会共预定的口的，在尚举开发阶经中，一些安全生会周期阶段可技合井（见7，45GB/T20438.3-2006/1EC61508-3.19987.1.2.4爆如装件安全生命周期请足图3和表1要求，充许想据项日的安全完整性和复杂生改变V限型中际股的收最和工信范国
性：表1中所有生心期期阶段的到表适用于大型新开发的系统，在小系院中电可能活用·朗如合井肤件院设计和材控设计阶轻。
7.1.2.5在本条所有的目的和要求可以满足时，充许以不同于GB/T20438组缺结码的其他方式境排转件工程项目（如使用真他的软作安全生命周所模型）7.1.2.6对每一个生命周期阶段，应使用适当的技术和帮施，附录A和附录B给出了推荐。只通过从阳最A和附录B中选择技术不能保证能满足安全光整性的要求。了2了我性安全生金周期中的活动结果应文化见英5产7，1.2.8如果在软件安全生命周期的任一阶段，婴求生命周期的前一段改变时，期应重复安全生命周期的前一时段和的后的前段
表十软件安全生命周期，概述
安全生心马期厨度
医3中的
乾性安全
要惠规芯
机把软件安全功能要求和软件
安全完整性要事能定软纤安全
对年个富实限一定要全功能的
E/E/PES安全用美系悦现定软
性安全攻能的要求：
规定每一个E/E/PES安全相关
系悦对于软件集皮的要求，以保延获得达E/E/PES军洗分配
的每一安全办靠肾适到的安全
完整性等缓
致计安全略报定收件安全认计划编制认计划施制
教计设计
和开数
结构：
创建肤件结码取得足不同的卖
全完整性等现中对款件安全理
是要最：
复事和评价E/E/PES安全相关
系就腰伴站将对轮件的婴求·包括E/E/PES系能中软件和更件
拍互作用对受控轻音安全性的
支持工具和缝程语育！
在用手精服脆证确认，评价和bZxz.net
推改的软件的整个生身周期中，想插爱惠的安全完整性等级选
择合造的工具业，包基语合和牌降器
献得系院
软件系境
献祥系施
鼓借系快
支持工具
蜂服请育
求新在
的新款
要卖的信户
E/E/PES安全
爱求靓花
CGB/T20438.2)
软件安全要求
软件安全要求
规草：
E/E/PES
精将设计克
GB/T 20418.23
联件安全要求
软件贴构设计
产生的情自
款作安全卖
求观惑
教件安全确
认计划
敬伴请脚设
计送：
数件结特菜
感试理范
紫件可埠程
电子紫取割
武舰意问
GB/T 20438.2
的要滚
开北工具和
确标：
开设工具的
GB/T 20438.3-2006/IEC 61500-3:1998变全生命属期阶区
国3中的
方租号
软作投计
和开墅
PE集康
理件和
表1c读）
详烟设计和开发性系悦设
设计和卖理款件，以请是不同的安全完整造等眼式软件婴全的
限宠要术这种杜件可分概，验
正并他银安全地作改
详据设婚和开发（单个验件模块设计
设计和卖现软件，以障是不网的安全克整性等级戏软件安全的
规克更求，达种轮可分断验
证并胎融安全胶作改
鲜想代码实现：
设计和实脱肤件，即鹭是不网的安全完整性导提对款件安全的
规定要求，达种收件可外新，
证井的装安总作点
软件锁换测试
晚医白精足软性安全卖提器
提定的软件安全孕能和装件安
全完整位说明每一软件模快
实观其頭定的功整，不实现非顶定的功
软件售或费肤：
晚证已请足软件安全婴求职器
祝定的软件安全男靓和软件
全完整性说明所有软件模技。
凯件和子系晓相互正动作用来
实现共质定的功就，不卖现非预定的功靓
在品标可编程电于理件上集感
敢伟！
格软件和硬作随专到与更全有
关的可始程电手上以保证北载
容性和调是医定安全完整性等
馥的要求
敢件结购
段计的主
要超件柜
手需忧
要求所在
的年款
联件系缆14.5
单个款件
软件模境
软作结构：7.4.8
肤桥系膜
可端程电
干硬件
蒙康软牌
要求的信喜
软件堵构设计
支持工具和蜡
码标难
装件雨烧设计
惠范：
支持工具和销
码棉难
转作机扶设计
支持工具和销
再标准
敢件模快翻试
遵代码清单！
代码复申控告
软件系晓集克
谢式烧器
软拌结特索吃
意试想范：
可端器电子话
祝购试现西网
GB/T20438.2
集点可填理
产生的使自
敦件系烧设
联件系牌卖
虚副武靓器
收件模换设
转件模换刻
武规临
原代码清单：
我复报告
教伟夏肤
赋随果
融证和建式
转件模换
装炸系虎量
股超式结果！
助证和型站
转瑞技：
软性结构果
高测试精单！
可程电子
聚成副试
鳍果·
验和光试
集成的可端
瓶电子
安全生会周期阶段
图3中的
方配号
肤件择作和
推改规程
肤韩安全
软件修改
软件股证
献性功能
安全语估
表续）
提供软伴有关的信息和规程以
保持择作和快改略投中E/E/PE
安全相关系悦的功能安全
保证集感系烧持合在揭定安全
完整性等级上对裁件安全的规
定要求
健正，增强或调整确认教作以保证障特所婴款的献件安全完整
堆等圾
适到所需的安全光整性养现，醛试和评价给定肤件安全生会周
期命段的享出，以保证当辅人该阶段时提供的验出与标准的正
确性和一致性
同在和对E/E/PE安全相美系
烧所兵得的功能安全做出
7.2软件安全要求规范
注1：另见表A.1和表7.
建2：这一阶度是图3中的方框9.1.7.2.1日的
股据阶控
GB/T20438.3—2006/1EC61508-31998要求所在
的新就
所有助电
上阶段
要求的信点入
与上面房有内
容相关的
软传安全确让
软件性逆规程：
软件炸改请惑
适当的验证计
好（想据险）
联作功地安全
浮估计单
了211报据软件安全功使要求和软件安全完鞋作要求靓定软件安全要求愉出
（产生的信卓）
教件操作和
性改规理
软件安全确
认结果：
已确认款件
软件修政彩
确分析站果！
敢行您改日卖
适当的验旺
报告C根据阶
软轩动安
全评情告
7.2.1.2对每个需实见一定安全功能的E/E/PES安全相关系选规定软件安全功能的要求7.2.1.3规定每一个E/E/PES安全相关系镜对于软件集成的要求，以保证获得达一E/E/PES系烧分配的每一要全动能露达到的安全完整性等题。7.2.2夏克
注：达些要求大多情况下可由通用人软件和特妹应用软伴共同牌足，要求两者结合来提供满足下列条款的特性，两者之间的精踏对分惊据所路择的软件站购见7.3和图6)。7.2.2.1如果软件安全的要求已在E/E/PE安全相关系统的要求中规定（见GB/T20438.2一2006的7.21.购此处不然重友
7.2.2.2软件安全要求的规定应由E/E/PE安全相关系境规定的安全要求和任一安全计划瑜制的要求（见第6章）中趣出（见GB/T20438.2）软件开爱人员虚能获取这些信息，注：这一要求井不意味奢E/E/PE$开爱人员和较借开发人员之间没有量复（GB/T2038.2和GB/T20438.3）.当软件全要求和软件结构见7.4.32变得更加精确时，特会对E/E/PES现体精转产生影萌-此快件和题件开爱人风之间的密好合作就变得非需多要了，是图4，7.2.2.3软件安全要求的舰定应足够细致以使设计和实现能获得要求的安全完整性，并光许执行功陷安全的评估。
避，规范的频致摄度可提帮点用的复杂程定确定，
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。