1、安全苛求系統及其評估安全苛求系統及其認證安全苛求系統及其評估主要內容v 引言v 功能安全性v 安全苛求系統的開發v 容錯和故障安全技術v 系統可靠性v 形式化方法v 驗證、確認和測試v 質量管理v 鐵路信號EN標準和安全性認證v 典型的高安全系統實例安全苛求系統及其評估引言關鍵領域中應用的安全苛求系統 領域：核工業、航空、航天、軍工、交通、醫療等 特點：嵌入式的、實時的、安全相關的系統失效的后果往往是災難性的 名稱：安全苛求系統（Safety-critical Systems）安全苛求系統及其評估功能安全性（Function Safety） 概念：是系統不危及生命或環境的屬性 兩種安全性：信息

2、安全性與功能安全性（Security and Safety） 安全性與可靠性可信性（Dependability）：RAMS 安全性范圍：硬件和軟件、系統邊界 基于計算機的控制和防護系統:優點和缺點安全苛求系統及其評估安全苛求系統的開發 故障、錯誤和失效（Fault、Error and Failure） 故障分類：隨機性故障和系統性故障 避錯（fault avoidance）、糾錯（fault removal）、檢錯（fault detection）和容錯（fault tolerance） V型生命周期模型 驗證和確認安全苛求系統及其評估系統需求v 可靠性（Reliability）：系統在給定條

3、件，給定的時間內實現所要求功能的可能性v 可用性（Availability）：系統在任意時刻能完成規定功能的可能性v 故障安全操作（Fail-Safe）v 系統完整性（System Integrity）：系統檢測到故障并通知操作員的能力v 數據完整性（Data Integrity）v 系統恢復（System recovery）v 可維護性（Maintainability）v 可測試性（Testability）v 可信性（Dependability）v 系統需求之間沖突安全苛求系統及其評估安全性需求v 識別危害v 危害分類v 確定處理危害的方法v 可靠性和可用性需求的分解v 確定適合的安全完整性

4、水平v 符合選定安全完整性水平的開發方法規范安全苛求系統及其評估危害分析技術v 失效模式和影響分析（FMEA）v 失效模式、影響和危害性分析（FMECA）v 危害和可操作性研究（HAZOP）v 事件樹分析（ETA）v 故障樹分析（FTA）v 等等安全苛求系統及其評估生命周期不同階段的安全性分析v 初始危害識別（PHI）v 初始危害分析（PHA）v 安全性評審v 安全性計劃v 系統危害分析v 系統風險評估v 獨立安全性審計安全苛求系統及其評估誤動作的后果危害嚴重等級嚴重等級對環境或人的影響給服務帶來的后果特大多人死亡，和/或是多方面的嚴重傷害，和/或對環境的嚴重損害重大一人死亡，和/或是單個嚴重

5、傷害，和/或是對環境產生明顯的損害主系統受損次要較小的損傷和/或對環境的明顯影響嚴重的系統損害輕微可能存在的較小的傷害較小的系統損害注：不同領域有不同標準規定安全苛求系統及其評估誤動作的可能性頻率v 頻繁v 經常v 有時v 很少v 極少v 幾乎不可能注：不同領域有不同標準規定安全苛求系統及其評估風險矩陣v 風險=嚴重度x頻率v 風險矩陣危險事件的發生頻危險事件的發生頻度度風風 險險 等等 級級 頻繁經常有時很少極少幾乎不可能輕微次要重大特大危 險 后 果 的 嚴 重 等 級注：不同領域有不同標準規定安全苛求系統及其評估風險分類風險種類風險種類對每一類風險所采取的防范措施對每一類風險所采取的防范

6、措施不容許的應該消除不希望的當風險降低不可行時，應經過鐵路主管部門或安全規章主管部門同意后方可接受容許的采用充分控制并經鐵路主管部門同意后可以接受可忽略的有或無鐵路主管部門同意均可接受安全苛求系統及其評估風險接受原則實例ALARP原則(As Low As Reasonably Practicable)ALARP或可容忍或可容忍區域區域(僅當期望得僅當期望得到利益時承擔風險到利益時承擔風險)不可容忍不可容忍區域區域風險無法確定，特風險無法確定，特殊情況例外殊情況例外僅當無法降低風險或僅當無法降低風險或成本與利潤不成比例成本與利潤不成比例時可容忍時可容忍風險縮減成本超過利潤風險縮減成本超過利潤時可

7、容忍時可容忍廣泛可容忍區域廣泛可容忍區域(不不需要詳細的需要詳細的ALARP證明工作證明工作)必要的維護確認該必要的維護確認該級別中是否仍存在級別中是否仍存在的風險的風險注：其他還有GAMAB原則、最小內在死亡率（原則、最小內在死亡率（MEM）原則）原則 安全苛求系統及其評估風險評估和驗收實例危險事件的發生頻危險事件的發生頻度度風風 險險 等等 級級 頻繁不希望的不容許的不容許的不容許的經常容許的不希望的不容許的不容許的有時容許的不希望的不希望的不容許的很少可忽略的容許的不希望的不希望的極少可忽略的可忽略的容許的容許的幾乎不可能可忽略的可忽略的可忽略的可忽略的輕微次要重大特大危 險 后 果 的

8、 嚴 重 等 級安全苛求系統及其評估風險縮減過程允許風險組合:外部設施 系統設計 程序結構調整 元件設計實際風險縮減產生實際風險縮減產生實際風險縮減最小風險縮減現有風險安全苛求系統及其評估安全完整性安全完整性SIv 在指定的時間范圍內和指定的條件下，系統圓滿完成規定的安全功能的可能性。安全苛求系統及其評估安全需求和安全完整性安全需求和安全完整性 系統需求規范非安全需求安全需求安全需求規范安全完整性需求系統失效完整性隨機失效完整性安全功能需求安全苛求系統及其評估安全完整性等級安全完整性等級 SIL 安全完整性系統失效完整性隨機失效完整性安全管理條件質量管理條件技術安全條件安全定量指標沒有明確的需

9、求一組充分的根據SIL歸類的方法和工具SILFRSIL4SIL3SIL2SIL1SIL0 安全苛求系統及其評估SIL表 每功能每小時允許危險率安全完善度等級10-9=THR10-8410-8=THR10-7310-7=THR10-6210-6=THR10-51安全苛求系統及其評估V型生命周期模型 概念系統定義和應用條件風險分析系統需求系統需求分配設計和實現制造安裝系統確認系統驗收運行和維護停用和處置安全苛求系統及其評估開發方法v需求和危害分析v規范正確性完備性一致性無二義性v規范原型化v自頂向下設計v細化設計v模塊實現v模塊測試v系統集成v系統測試v分層設計v安全內核和防火墻v可測試性的設計v

10、面向維護的設計v人因差錯的考慮v安全性管理v安全評估和認證安全苛求系統及其評估故障類型v 硬件故障類型 單固定故障 短路故障 開路故障 硬件設計和規范故障等等v 軟件故障類型 軟件規范故障 編碼故障 棧溢出故障 使用未初試化便量故障等等v 故障覆蓋率安全苛求系統及其評估容錯和故障安全技術v 冗余技術 多系備份技術（熱備、冷備） 多系表決技術v 設計多樣性技術 硬件 軟件v 故障診斷技術 功能檢查 一致性檢查 信號比較 信息冗余 指令監測 回環測試 看門狗 總線監測 電源監測安全苛求系統及其評估硬件容錯和故障安全技術v靜態容錯技術 三模冗余TMR N模冗余 表決技術v動態容錯技術 備份技術 自檢

11、驗對技術v混合容錯技術 帶有備份的N模冗余技術 硬件容錯的模塊同步和多樣性v固有式故障安全技術v組合式故障安全技術v反應式故障安全技術v電磁兼容設計v防雷設計安全苛求系統及其評估固有式失效固有式失效-安全安全v 這種技術允許一個安全相關功能由單個項執行，前提是假定項的所有可信失效模式均為非危險的。安全苛求系統及其評估組合式故障-安全技術A中出現第一個故障&功能A功能B輸出屏蔽功能A故障檢測功能B故障檢測功能A功能B檢測輸出T安全狀態A中出現第一個故障第一個故障被檢測出屏蔽輸出B中出現第二個故障第一個故障出現概率以及第二個故障在檢測和屏蔽第一個故障期間T內出現概率的復合應小于規定的概率指標每個安

12、全相關功能應至少由兩個項來執行。各項之間應相互獨立，以避免共因失效。只有當必要數量的項取得一致時，才允許進行非限制行為。應能檢測出一個項中的危險故障并在足夠的時間內加以屏蔽，以避免第二個項發生相同故障。安全苛求系統及其評估反應式故障-安全技術功能A功能A故障檢測屏蔽輸出功能A檢測輸出T安全狀態A中出現第一個故障第一個故障被檢測出屏蔽輸出A中出現第一個故障后的檢測和屏蔽時間T不應大于規定的潛在危險性瞬間輸出時間限制這種技術允許一個安全相關功能由單個項執行，前提是通過快速的危險故障檢測和屏蔽來確保它的安全操作(例如通過編碼，多路計算和比較，或通過連續的測試)。盡管只由一個項實施實際的安全相關功能，

13、但檢查/測試/檢測功能應被看作為第二項。檢查/測試/檢測功應是獨立的，以避免共因失效。 安全苛求系統及其評估軟件容錯和故障安全技術v 多版本編程技術v 恢復塊v 選擇合適的程序設計語言v 設計良好、清晰的軟件架構v 軟件模塊化，減少模塊相互依賴v 防御性編程v 軟件注釋v 軟件測試安全苛求系統及其評估系統可靠性基本概念v 失效率v 浴盆曲線v MTTFv MTTRv MTBFv 可用性安全苛求系統及其評估可靠性模型v 可靠性方框圖 串聯 并聯 串并聯組合v 失效的獨立性v 馬爾可夫模型 離散馬爾可夫模型 連續馬爾可夫模型v 其他模型安全苛求系統及其評估可靠性預測和評估v 硬件可靠性預測v 軟件

14、可靠性預測安全苛求系統及其評估形式化方法概要v 傳統的諸如測試、故障樹等檢錯、糾錯和容錯技術擅長處理由隨機產生、系統老化或系統單部件引起的，而不是由復雜的交互作用引起的故障。它們是在假設系統的設計正確的情況下，對軟件、硬件故障進行處理。同時，軟件的故障處理主要借鑒于硬件故障處理技術。然而硬、軟件的故障性質是有差別的，軟件具有離散性，更適合用集合、格、群等數學工具來表達。v 一種更為嚴格和客觀安全保障方法v 形式化是指使用離散數學和邏輯學的技術來分析需求、設計和構建計算機系統及其軟件，用嚴格的數學符號和數學法則對目標系統的的結構與行為進行有效的綜合分析和推理的方法，它為系統的說明、開發驗證提供了

15、一個框架，以利于發現目標系統需求中的不一致、不完整的情況。安全苛求系統及其評估形式化方法分類形式化方法分類 v形式化規范形式化規范 描述順序系統行為的形式規范方法：典型有Z、B、VDM等。 這類方法中狀態使用集合、關系和函數等數學結構來表示；狀態轉移使用前置條件和后置條件來表示。 描述并發系統行為的形式規范方法：典型有CSP、CCS、時序邏輯和I/O自動機。這類方法中狀態只使用簡單的數學類型例如整數或對狀態根本沒有定義；系統的行為用序列、樹或事件的偏序關系來表示。 集成的形式規范方法：典型有SDL和RAISE。它們把兩種不同的方法結合起來，既能表示復雜的狀態類型又能描述并發系統的特性。v形式化

16、驗證形式化驗證 模型檢驗模型檢驗(model checking)：模型檢驗是對有限狀態系統的一種形式化確認方法，具體做法是：采用一種形式語言描述系統的規范說明，構造一種算法來遍歷根據系統規范設計的實現模型，確認實現模型是否滿足系統的規范說明。由于系統的狀態是有限的，所以該算法必然會終止。 定理證明：定理證明：定理證明的原理是：首先我們定義一種數學邏輯，該邏輯系統實際上是一個形式化的系統，由一系列公理和推理規則組成。然后我們用這種數學邏輯分別表示被驗證系統和其被期望的特性。所謂定理證明就是從系統的公理出發使用推理規則逐步推導出其所期望的特性的證明過程。證明所需要的步驟依賴于系統的公理和推理規則，

17、在某種程度上也依賴于其派生定義和中間引理。與模型檢驗不同!定理證明可直接處理無限的狀態空間。 安全苛求系統及其評估形式化方法的開發過程安全苛求系統及其評估驗證和確認計劃驗證和確認人員必須滿足獨立性要求安全苛求系統及其評估動態測試v功能測試v結構測試v隨機測試v動態測試技術 基于等價類劃分的測試案例 基于邊界值分析的測試案例 狀態轉移測試 概率測試 基于結構的測試 過程仿真 猜錯 播錯 實時和內存測試 性能測試 壓力測試 環境仿真 安全性測試安全苛求系統及其評估靜態分析技術v 走查/設計審核v 檢查表v 形式證明v Fagan檢查v 控制流分析v 數據流分析v 符號執行v 度量安全苛求系統及其評

18、估建模技術v 形式化方法v 軟件原型v 性能建模v 狀態轉移圖v 時間Petri網v 數據流圖v 結構圖v 環境建模安全苛求系統及其評估測試策略v 測試覆蓋率完備測試不可能 語句覆蓋率 分枝覆蓋率 組合判定覆蓋率等等v 測試充分性準則 基于需求的準則 基于結構的準則v 時間特性v 測試開銷安全苛求系統及其評估質量管理v 軟件工程v ISO 9001質量管理體系v CMM/CMMI軟件能力成熟度模型（1-5級）安全苛求系統及其評估鐵路信號EN標準族EN50128整個鐵路系統鐵路信號系統子系統單獨設備EN50159（通信）EN50129(安全性)硬件軟件EN50126（可信性）安全苛求系統及其評估

19、安全性的證據：安全性例證Safety Case第六部分：結論第五部分：相關安全例證第四部分：技術安全報告第三部分：安全管理報告第二部分：質量管理報告第一部分：系統定義安全例證安全例證安全苛求系統及其評估質量管理報告v 組織結構v 質量計劃和程序v 需求規范v 設計控制v 設計驗證和評審v 應用工程v 采購和生產v 產品鑒別與可追溯能力v 處理與貯存v 檢查和測試；v 不一致及其更正v 包裝和交貨v 安裝和交付使用v 運行與維護v 質量監督和反饋v 文件和記錄v 配置管理/修改控制v 人員能力與培訓v 質量審計與追蹤報告v 系統退役和處置安全苛求系統及其評估系統生命周期概念系統定義和應用條件風險

20、分析系統需求系統需求的分配設計和實現制造安裝系統確認（包括安全性驗收和交付使用）系統驗收運行和維護系統退役和處置運行監測修改重新應用生命周期安全苛求系統及其評估安全性生命周期-V形周期系統需求規格危險分析和風險評估安全性需求規格系統結構設計硬件設計軟件設計硬件確認軟件確認集成和安裝測試功能安全性測試/確認系統測試確認安全性功能需求安全性完善度需求系統性失效完善度隨機性失效完善度質量管理報告安全性管理報告技術安全性報告測試計劃/安排安全苛求系統及其評估安全組織v 建立一個適當的安全組織v 使用能勝任工作的職員v 各自擔任明確的角色，不同角色之間應有適當的獨立性v 按公認的標準對職員的能力，包括技

21、術水平、學歷、相關經驗和適當培訓經歷必須進行評價并形成文檔安全苛求系統及其評估不同角色的獨立性安排PMDESVER，VALASSRPMDESVERVALASSRDESDES，VER，VALVER，VALASSRASSR*或SIL3和4SIL1和2SIL0安全苛求系統及其評估安全驗證和確認 v 應驗證生命周期的每一階段能滿足前一階段的安全需求說明v 應確認已完成的系統/子系統/設備能滿足最初的安全需求規范v 所有驗證和確認工作,包括適當的測試和安全性分析工作都必須進行并作完整的記錄v 任何系統/子系統或設備進行修改或擴展以后，都應重復這些工作v 根據安全權威機構的意見,評估員可以是供應商組織的一

22、部分,也可以是顧客組織的一部分。此時，評估員應： 由安全性權威機構認可 完全獨立于項目團隊 直接向安全性權威機構報告安全苛求系統及其評估不同安全完整性等級的系統和產品設計的驗證和確認指南（表E.9）技術/措施SIL1SIL2SIL3SIL41.檢查清單推薦:準備檢查清單,關注主要安全性問題推薦:準備詳細的檢查清單2.仿真推薦推薦3.系統功能測試強力推薦:應實施功能測試、評審，以證實達到預定的特征和安全需求強力推薦:應基于良好定義的測試用例進行全面的功能測試,以證實達到預定的特征和安全需求4.環境條件下的功能測試強力推薦:應在指定環境條件下進行安全相關功能和其他功能的測試強力推薦: :應在指定環

23、境條件下進行安全相關功能和其他功能的測試5.抗浪涌測試強力推薦:應進行實際運行條件邊界值的抗浪涌測試強力推薦:應進行比實際運行條件邊界值更高的抗浪涌測試6.計算失效率強力推薦:基于典型的條件進行強力推薦:基于最不利條件進行7.文檔檢查強力推薦:檢查所有文檔8.確保設計假設沒有和生產過程妥協強力推薦:明確生產需求和防范要點,另外由安全組織審查實際生產過程安全苛求系統及其評估不同安全完整性等級的系統和產品設計的驗證和確認指南（續表E.9）技術/措施SIL1SIL2SIL3SIL49.測試裝置推薦:測試裝置的設計者應獨立與系統或產品的設計者強力推薦:測試裝置的設計者應獨立與系統或產品的設計者10.設

24、計評審強力推薦:在生命周期的適當階段進行評審,以證實實現了指定的特征和安全性需求強力推薦:在生命周期的適當階段進行評審,以證實實現了指定的特征和安全性需求11.確保設計假設沒有和安裝和維護過程妥協強力推薦:明確安裝和維護需求以及防范要點強力推薦:明確安裝和維護需求以及防范要點,另外由安全組織審查實際安裝和維護過程12.通過使用達到高置信度推薦:10000小時運行時間,有運行設備中運用至少1年的經歷推薦:一百萬小時運行時間,有不同設備中運用至少2年的經歷,其中包括安全性分析,運行期間的小修改也要有詳細文檔資料備注:在階段驗證活動中，可以使用檢查清單、計算機輔助規范工具和規范檢查。安全苛求系統及其

25、評估技術安全性報告的格式 v 引言v 功能正確運行的保障v 故障的影響v 外界干擾下的運行 v 安全性相關的應用條件 v 安全性合格測試 安全苛求系統及其評估功能正確運行的保障 包括所有用以表明系統/子系統/設備在無故障正常情況下正確運行、符合規定的運行和安全性需求的證據材料。 主要有分以下幾個方面：v 系統結構描述v 接口定義v 系統需求規范的實現v 安全性需求規范的實現v 硬件功能正確性的保障v 規定環境條件的實現v 軟件功能正確性的保障安全苛求系統及其評估故障的影響 本節應論證系統/子系統/設備持續符合規定的安全性要求，包括在發生隨機硬件故障時量化的安全性指標。此外，盡管應用了質量和安全

26、性管理程序,系統故障仍然可能存在，本節應當證實為了使殘留風險降至合理且可行的最低水平采用了哪些技術措施。本節還應證實安全性完善度等級低于整個系統的系統/子系統/設備中的故障不會影響整個系統的安全性。 主要有分以下幾個方面：v 單一故障的影響v 部件的獨立性v 單一故障的檢測v 故障檢測后的措施(包括安全狀態的保持) v 多重故障的影響v 系統故障的防護安全苛求系統及其評估外界干擾下的運行v 應論證在遭受系統需求規范中所論述的外部干擾時，系統/子系統/設備： 繼續滿足規定的功能需求 繼續滿足規定的安全性需求(包括故障情況)v 安全性例證只在規定范圍的外界干擾內有效。在這些限制之外，則沒有安全性保證，除非提供附加的特殊措施v 需完整解釋和論證抵御規定的外界干擾的方法安全苛求系統及其評估安全性相關的應用條件v 規定了系統/子系統/設備應用時應遵守的規則、條件和限制，包括任何相關子系統或設備的安全性案例給出的應用條件安全苛求系統及其評估安全性合格測試 v 應包括說明在運行條件下成功完成安全性合格測試的證據材料安全苛求系統及其評估安全性例證分類v 通用產品安全性例通用產品安全