功能安全應(yīng)用指南第3部分：測(cè)試驗(yàn)證國(guó)家市場(chǎng)監(jiān)督管理總局GB/T41295.3—2022 I 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 25總則 26硬件測(cè)試 37軟件測(cè)試 48集成測(cè)試 9故障插入測(cè)試 610確認(rèn)測(cè)試 9參考文獻(xiàn) 圖1基于安全生命周期典型階段的測(cè)試 2表1各個(gè)測(cè)試的總體考慮 3表2軟件動(dòng)態(tài)測(cè)試 表3功能和性能測(cè)試 5表4故障插入測(cè)試的程度 6表5故障插入測(cè)試的測(cè)試項(xiàng) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是GB/T41295《功能安全應(yīng)用指南》的第3部分。GB/T41295已經(jīng)發(fā)布了以下部分：——第1部分：危害辨識(shí)和需求分析；——第2部分：設(shè)計(jì)和實(shí)現(xiàn)；——第3部分：測(cè)試驗(yàn)證；——第4部分：管理和維護(hù)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出。本文件由全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)歸口。本文件起草單位：機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所、國(guó)家管網(wǎng)集團(tuán)西南管道有限責(zé)任公司、國(guó)能智深控制技術(shù)有限公司、浙江中控技術(shù)股份有限公司。Ⅱ自GB/T20438(所有部分)發(fā)布以來(lái)，電氣/電子/可編程電子系統(tǒng)已經(jīng)越來(lái)越多的應(yīng)用于國(guó)內(nèi)各個(gè)領(lǐng)域的安全控制和安全防護(hù)，包括石油、化工、電力、軌道交通、汽車、電梯/扶梯等。近年來(lái)隨著智能制造的興起，智能化設(shè)備(主要由電氣/電子/可編程電子為技術(shù)基礎(chǔ))的安全問(wèn)題逐漸成為一個(gè)新的研究方向和焦點(diǎn)，進(jìn)一步提升了對(duì)功能安全技術(shù)的需求。GB/T20438(所有部分)給出了實(shí)現(xiàn)功能安全的基本框架和結(jié)構(gòu)，作為等同轉(zhuǎn)化的標(biāo)準(zhǔn)，與國(guó)內(nèi)企業(yè)的管理體系和設(shè)計(jì)思路未能完全切合，加之很多國(guó)內(nèi)工程技術(shù)人員都是初次接觸功能安全技術(shù)，對(duì)于功能安全概念一時(shí)難以理解，這就造成雖然國(guó)際功能安全標(biāo)準(zhǔn)提出了非常好的安全理念和設(shè)計(jì)措施，但技術(shù)人員難以清楚的理解和認(rèn)識(shí)。GB/T20438(所有部分)發(fā)布10多年來(lái)，國(guó)內(nèi)一些領(lǐng)先的科研院所和企業(yè)已經(jīng)基于標(biāo)準(zhǔn)要求開(kāi)展了很多工作，并積累了一定的經(jīng)驗(yàn)。因此，基于國(guó)內(nèi)目前已有的功能安全評(píng)估、功能安全設(shè)計(jì)、功能安全測(cè)試和功能安全管理實(shí)踐形成本文件，以更好地指導(dǎo)功能安全相關(guān)系統(tǒng)的測(cè)試驗(yàn)證。GB/T41295擬制定4個(gè)部分： 第1部分：危害辨識(shí)和需求分析。目的在于確立功能安全系統(tǒng)設(shè)計(jì)初期的危害辨識(shí)內(nèi)容和需求如何產(chǎn)生的方法；——第2部分：設(shè)計(jì)和實(shí)現(xiàn)。目的在于確立功能安全系統(tǒng)的軟硬件設(shè)計(jì)和實(shí)現(xiàn)方法和實(shí)施指南；——第3部分：測(cè)試驗(yàn)證。目的在于確立功能安全系統(tǒng)在生命周期過(guò)程各個(gè)階段的測(cè)試導(dǎo)則和測(cè)試方法解讀；——第4部分：管理和維護(hù)。目的在于確立功能安全系統(tǒng)管理和維護(hù)過(guò)程的導(dǎo)則。1功能安全應(yīng)用指南第3部分：測(cè)試驗(yàn)證1范圍本文件確立了功能安全系統(tǒng)的測(cè)試驗(yàn)證，包括執(zhí)行安全相關(guān)功能的硬件、軟件、集成和系統(tǒng)級(jí)的測(cè)試。本文件適用于功能安全系統(tǒng)研發(fā)階段、制造階段、系統(tǒng)集成階段、試運(yùn)行階段或現(xiàn)場(chǎng)確認(rèn)階段。測(cè)試活動(dòng)包括功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)內(nèi)部測(cè)試和外部測(cè)試。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(yǔ)IEC61326-3-1測(cè)量、控制和實(shí)驗(yàn)室用電氣設(shè)備電磁兼容性(EMC)的要求第3-1部分：與安全相關(guān)的系統(tǒng)和用于與執(zhí)行安全相關(guān)的功能設(shè)備(功能安全)用抗擾度要求一般工業(yè)應(yīng)用[Electricalequipmentformeasurement,controlandlaboratoryuse—EMCrequirements—Part3-1:Immunityre-quirementsforsafety-relatedsystemsandforequipmentintendedtoperformsafety-relatedfunctions(functionalsafety)—Generalindustrialapplications]IEC61326-3-2測(cè)量、控制和實(shí)驗(yàn)室用電氣設(shè)備電磁兼容性(EMC)的要求第3-2部分：與安全相關(guān)的系統(tǒng)和用于與執(zhí)行安全相關(guān)的功能設(shè)備(功能安全)用抗擾度要求帶指定電磁環(huán)境的工業(yè)應(yīng)用[Electricalequipmentformeasurement,controlandlaboratoryuse—EMCrequirements—Part3-2:Immunityrequirementsforsafety-relatedsystemsandforequipmentintendedtoperformsafety-relatedfunctions(functionalsafety)—Industrialapplicationswithspecifiedelectromagneticenviron-ment]3術(shù)語(yǔ)和定義GB/T20438.4—2017界定的以及下列術(shù)語(yǔ)和定義適用于本文件。功能安全系統(tǒng)functionalsafetysystem執(zhí)行安全相關(guān)功能的系統(tǒng)，具有功能安全相關(guān)的特性，滿足特定的安全完整性等級(jí)(SIL)。注：這里的系統(tǒng)是一個(gè)廣義的概念，包含不同的層次，如安全部件、安全設(shè)備或安全控制系統(tǒng)等。在實(shí)際的工業(yè)過(guò)2功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)teamforfunctionalsafetysystemresearchanddevelopment執(zhí)行功能安全系統(tǒng)設(shè)計(jì)研發(fā)的責(zé)任主體。注：包括功能安全系統(tǒng)硬件開(kāi)發(fā)人員、軟件開(kāi)發(fā)人員、驗(yàn)證測(cè)試人員、功能安全管理人員等。人為地在功能安全系統(tǒng)中產(chǎn)生一種故障模式，驗(yàn)證系統(tǒng)在故障狀態(tài)下的響應(yīng)情況是否符合安全要求的一種測(cè)試方法。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。EMC:電磁兼容性(ElectromagneticCompatibility)FMEA:失效模式與影響分析(FailureModeandEffectAnalysis)FMEDA:失效模式、影響與診斷分析(FailureMode,EffectandDiagnosticAnalysis)HDL:硬件描述語(yǔ)言(HardwareDescriptionLanguage)MC/DC:修訂的條件/判定覆蓋率(ModifiedCondition/DecisionCoverage)SIL:安全完整性等級(jí)(SafetyIntegrityLevel)5總則5.1需考慮在功能安全系統(tǒng)研發(fā)安全生命周期的適當(dāng)階段開(kāi)展測(cè)試，以證明所確立的安全功能和安全完整性得以實(shí)現(xiàn)，基于安全生命周期典型階段的測(cè)試如圖1所示。安全/設(shè)計(jì)要求規(guī)范階段安全/設(shè)計(jì)要求規(guī)范階段集成測(cè)試計(jì)劃軟硬件架構(gòu)設(shè)計(jì)階段故障插入測(cè)試計(jì)劃軟硬件詳細(xì)設(shè)計(jì)階段軟件測(cè)試計(jì)劃集成測(cè)試故障插入測(cè)試確認(rèn)測(cè)試確認(rèn)測(cè)試計(jì)劃硬件測(cè)試計(jì)劃測(cè)試軟件測(cè)試確認(rèn)階段集成階段圖1基于安全生命周期典型階段的測(cè)試5.2一般功能安全系統(tǒng)實(shí)現(xiàn)安全研發(fā)過(guò)程所開(kāi)展的測(cè)試內(nèi)容如圖1所示，對(duì)于更加復(fù)雜的系統(tǒng)，或在更嚴(yán)格的安全研發(fā)管理下，可能有更多的測(cè)試項(xiàng)。5.3對(duì)測(cè)試的總體考慮如表1所示。3表1各個(gè)測(cè)試的總體考慮測(cè)試類型輸入文件測(cè)試計(jì)劃測(cè)試輸出測(cè)試不通過(guò)的處理硬件測(cè)試硬件詳細(xì)設(shè)計(jì)相關(guān)文件(設(shè)計(jì)規(guī)范、原理圖、降額分析等)硬件測(cè)試計(jì)劃硬件測(cè)試記錄/報(bào)告對(duì)硬件詳細(xì)設(shè)計(jì)進(jìn)行修改，并重新執(zhí)行硬件測(cè)試軟件測(cè)試軟件詳細(xì)設(shè)計(jì)相關(guān)文件(設(shè)計(jì)規(guī)范、編碼規(guī)則等)軟件測(cè)試計(jì)劃軟件測(cè)試記錄/報(bào)告(靜態(tài)測(cè)試報(bào)告、單元?jiǎng)討B(tài)測(cè)試報(bào)告、單元集成測(cè)試報(bào)告等)對(duì)軟件詳細(xì)設(shè)計(jì)進(jìn)行修改，并重新執(zhí)行軟件測(cè)試集成測(cè)試軟硬件架構(gòu)設(shè)計(jì)相關(guān)文件集成測(cè)試計(jì)劃(在架構(gòu)設(shè)計(jì)完成之后編制)集成測(cè)試記錄/報(bào)告對(duì)設(shè)計(jì)進(jìn)行修改，開(kāi)展影響分析和適當(dāng)?shù)闹匦聹y(cè)試故障插入測(cè)試軟硬件相關(guān)設(shè)計(jì)相關(guān)文件(設(shè)計(jì)規(guī)范、原理圖、失效分析報(bào)告等)故障插入測(cè)試計(jì)劃故障插入測(cè)試記錄/報(bào)告對(duì)設(shè)計(jì)進(jìn)行修改，開(kāi)展影響分析和適當(dāng)?shù)闹匦聹y(cè)試確認(rèn)測(cè)試安全/設(shè)計(jì)需求規(guī)范確認(rèn)測(cè)試計(jì)劃確認(rèn)測(cè)試記錄/報(bào)告對(duì)設(shè)計(jì)進(jìn)行修改，開(kāi)展影響分析和適當(dāng)?shù)闹匦聹y(cè)試5.4測(cè)試過(guò)程的文檔需包括：a)在測(cè)試前宜編制測(cè)試規(guī)范，詳細(xì)規(guī)定測(cè)試內(nèi)容、方法、采用的設(shè)備、步驟和預(yù)期結(jié)果等；b)在測(cè)試過(guò)程中宜形成測(cè)試記錄；c)在測(cè)試完成后宜編制測(cè)試報(bào)告；d)所有測(cè)試相關(guān)的文檔宜按照功能安全管理體系的規(guī)定進(jìn)行編制、維護(hù)和存檔。5.5所有測(cè)試設(shè)備宜有相應(yīng)的設(shè)備管理制度，宜在執(zhí)行測(cè)試之前進(jìn)行功能完好性檢查，宜經(jīng)過(guò)定期的校準(zhǔn)。5.6宜采用自動(dòng)化測(cè)試工具，將手動(dòng)操作的步驟降到最低。5.7測(cè)試之前，需清楚的定義出功能安全系統(tǒng)通過(guò)測(cè)試時(shí)應(yīng)達(dá)到的狀態(tài)和性能指標(biāo)，宜考慮如下情況：a)硬件的損壞；b)嵌入式程序和應(yīng)用程序出現(xiàn)非預(yù)期的修改或意外的改變；c)應(yīng)用數(shù)據(jù)的存儲(chǔ)和交換過(guò)程出現(xiàn)非預(yù)期的修改；d)模擬輸入/輸出接口精度出現(xiàn)不允許的偏差；e)通信過(guò)程的響應(yīng)時(shí)間超過(guò)允許的限值；f)組件/系統(tǒng)內(nèi)的掃描周期和響應(yīng)時(shí)間超過(guò)允許的限值；g)時(shí)鐘錯(cuò)誤；h)不能正常初始化或復(fù)位；5.8如在相關(guān)的產(chǎn)品標(biāo)準(zhǔn)里面已經(jīng)定義了適當(dāng)?shù)男阅芘袚?jù)，宜采用該性能判據(jù)。6硬件測(cè)試6.1硬件測(cè)試可由功能安全系統(tǒng)硬件研發(fā)小組成員開(kāi)展，執(zhí)行測(cè)試的人員宜不同于該部分硬件的研發(fā)人員。46.2考慮基于硬件詳細(xì)設(shè)計(jì)來(lái)規(guī)劃硬件測(cè)試用例。6.3如果使用數(shù)字專用集成電路，需要考慮開(kāi)展以下測(cè)試：a)模塊級(jí)的功能測(cè)試，如：使用(V)HDL測(cè)試平臺(tái)；b)頂層功能測(cè)試；c)嵌入式環(huán)境的功能測(cè)試；d)通過(guò)對(duì)門級(jí)網(wǎng)表的仿真進(jìn)行測(cè)試，包括時(shí)序、參考模型等。7軟件測(cè)試7.1軟件測(cè)試可由功能安全系統(tǒng)軟件研發(fā)小組成員開(kāi)展，執(zhí)行測(cè)試的人員需考慮不同于該部分軟件的研發(fā)人員。7.2基于軟件架構(gòu)和軟件詳細(xì)設(shè)計(jì)來(lái)規(guī)劃軟件測(cè)試用例。a)對(duì)采用的編碼規(guī)則進(jìn)行符合性檢查，確保代碼符合所有的編碼規(guī)則，對(duì)于出現(xiàn)不符合的情況，有相應(yīng)的論證以說(shuō)明不符合不會(huì)導(dǎo)致潛在的安全隱患，所有的不符合情況及其論證宜文檔化；b)對(duì)軟件的結(jié)構(gòu)化和模塊化特性進(jìn)行度量，包括圈復(fù)雜度等；c)宜采用專業(yè)化工具開(kāi)展軟件靜態(tài)測(cè)試。7.4開(kāi)展軟件動(dòng)態(tài)測(cè)試，宜考慮以下內(nèi)容：a)至少?gòu)哪K(函數(shù))和模塊(函數(shù))集成兩個(gè)層面開(kāi)展軟件動(dòng)態(tài)測(cè)試；b)軟件動(dòng)態(tài)測(cè)試的測(cè)試用例生成方法和覆蓋率程度滿足表2;對(duì)于某些模塊如果達(dá)不到100%覆蓋率有合理性論證，例如，調(diào)用了第三方已有的安全庫(kù)、防御性編程等，不符合情況及其論證宜文檔化；c)宜采用專業(yè)化工具開(kāi)展軟件動(dòng)態(tài)測(cè)試表2軟件動(dòng)態(tài)測(cè)試技術(shù)/措施參考SIL1SIL2SIL3SIL41根據(jù)邊界值分析執(zhí)行測(cè)試用例C.5.4RHRHRHR2根據(jù)錯(cuò)誤推測(cè)執(zhí)行測(cè)試用例C.5.5RRRR3根據(jù)錯(cuò)誤植入執(zhí)行測(cè)試用例C.5.6—RRR4根據(jù)基于模型測(cè)試用例的生成執(zhí)行測(cè)試用例C.5.27RRHRHR5性能建模C.5.20RRRHR6等價(jià)類和輸入劃分測(cè)試C.5.7RRRHR結(jié)構(gòu)測(cè)試覆蓋率(入口)100%bC.5.8HRHRHRHR結(jié)構(gòu)測(cè)試覆蓋率(語(yǔ)句)100%C.5.8RHRHRHR結(jié)構(gòu)測(cè)試覆蓋率(分支)100%C.5.8RRHRHR結(jié)構(gòu)測(cè)試覆蓋率(條件、MC/DC)100%C.5.8RRRHR測(cè)試用例分析在子系統(tǒng)級(jí)進(jìn)行并基于規(guī)范和代碼。注1:第三列中的參考(屬于資料性的，而非規(guī)范性的)“C.x.x”顯示了GB/T20438.7—2017中附錄C給出的技術(shù)/措施的詳細(xì)描述。注3:該表引用自GB/T20438.3—2017中表B.2,并進(jìn)行適當(dāng)修改。根據(jù)安全完整性等級(jí)選擇適當(dāng)?shù)募夹g(shù)/措施?！?dāng)100%覆蓋率不能實(shí)現(xiàn)時(shí)(比如防御性代碼的語(yǔ)句覆蓋率),給予適當(dāng)?shù)恼f(shuō)明。58集成測(cè)試8.1集成測(cè)試宜由功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)的測(cè)試人員完成，測(cè)試人員宜不同于硬件和軟件設(shè)計(jì)人員。8.2基于功能安全系統(tǒng)架構(gòu)設(shè)計(jì)和系統(tǒng)級(jí)失效分析的結(jié)論設(shè)計(jì)集成測(cè)試的用例。8.3執(zhí)行功能、黑盒和性能測(cè)試，以證明集成后的組件或系統(tǒng)滿足預(yù)期的目的，宜至少滿足表3的相關(guān)內(nèi)容。表3功能和性能測(cè)試測(cè)試子項(xiàng)內(nèi)容執(zhí)行要點(diǎn)功能測(cè)試在正常室內(nèi)沒(méi)有增加額外的環(huán)境應(yīng)力下，對(duì)產(chǎn)品設(shè)計(jì)中定義的所有安全相關(guān)功能進(jìn)行測(cè)試充分考慮以下方面開(kāi)展功能測(cè)試：——系統(tǒng)級(jí)失效分析報(bào)告；——所有正常和異常的輸入輸出情況；——所有組件之間的接口黑盒測(cè)試在一個(gè)規(guī)定的環(huán)境中，利用規(guī)定的測(cè)試數(shù)據(jù)執(zhí)行一個(gè)系統(tǒng)或者程序的功能。這將揭露出系統(tǒng)的行為是否符合設(shè)計(jì)規(guī)范開(kāi)展黑盒測(cè)試，考慮如下設(shè)計(jì)測(cè)試用例：——邊界值分析；——等價(jià)類劃分；——根據(jù)因果圖，結(jié)合在極限運(yùn)行邊界的臨界狀況等通用性能測(cè)試在正常室內(nèi)沒(méi)有增加額外的環(huán)境應(yīng)力下，對(duì)產(chǎn)品設(shè)計(jì)中定義的所有安全相關(guān)性能進(jìn)行測(cè)試充分考慮以下方面開(kāi)展通用性能測(cè)試：——輸入輸出的電氣性能測(cè)試；——結(jié)構(gòu)的機(jī)械性能測(cè)試；——測(cè)試設(shè)備的精度要高于待測(cè)系統(tǒng)的精度性能測(cè)試-響應(yīng)時(shí)間測(cè)試任何輸入點(diǎn)的階躍變化到任何輸出點(diǎn)階躍變化的最大持續(xù)時(shí)間，以及通過(guò)點(diǎn)到點(diǎn)通信的某一個(gè)系統(tǒng)輸入點(diǎn)階躍變化到任何其他系統(tǒng)輸出點(diǎn)的階躍變化開(kāi)展響應(yīng)時(shí)間測(cè)試，以盡可能地反映最壞情況下的響應(yīng)時(shí)間：迅速改變輸入和輸出、持續(xù)外部通信、持續(xù)點(diǎn)對(duì)點(diǎn)通信等。考慮對(duì)以下可能影響響應(yīng)時(shí)間的情況開(kāi)展測(cè)試：——條件打印語(yǔ)句；條件浮點(diǎn)計(jì)算或數(shù)組處理；——突發(fā)事件，多個(gè)輸入/輸出接口同時(shí)變化；——源自外部的通信報(bào)文突發(fā)性出現(xiàn)；——輸入/輸出接口出現(xiàn)突發(fā)變化時(shí)，遠(yuǎn)程監(jiān)控導(dǎo)致內(nèi)部生成信息的增長(zhǎng)；——因開(kāi)路、短路或EMI導(dǎo)致丟失通信連接，造成內(nèi)部超時(shí)或故障響應(yīng)；——單一隨機(jī)硬件故障造成內(nèi)部超時(shí)或故障響應(yīng)的情況性能測(cè)試-系統(tǒng)容量測(cè)試從硬件擴(kuò)展和軟件存儲(chǔ)等方面對(duì)系統(tǒng)設(shè)計(jì)中規(guī)定的容量進(jìn)行測(cè)試宜開(kāi)展系統(tǒng)性能測(cè)試，按照最大配置或最多存儲(chǔ)占用等方式開(kāi)展測(cè)試性能測(cè)試-壓力過(guò)載測(cè)試設(shè)置在極端情況下，極端輸入條件或輸入速度情況下開(kāi)展壓力過(guò)載測(cè)試——對(duì)于SIL3以上的應(yīng)用，開(kāi)展壓力過(guò)載測(cè)試；——壓力過(guò)載后允許系統(tǒng)損壞，但要合乎安全行為，例如，實(shí)現(xiàn)了安全輸出6表3功能和性能測(cè)試(續(xù))測(cè)試子項(xiàng)內(nèi)容執(zhí)行要點(diǎn)性能測(cè)試-統(tǒng)計(jì)測(cè)試采用足夠的樣品、足夠的測(cè)試輸入和足夠的測(cè)試實(shí)驗(yàn)，實(shí)現(xiàn)多次的批量化測(cè)試以證明系統(tǒng)的可靠性能力(包括硬件可靠性和軟件可靠性);統(tǒng)計(jì)測(cè)試的目的是驗(yàn)證系統(tǒng)的動(dòng)態(tài)行為是否符合預(yù)期目標(biāo)，包括功能上的和健壯性上的。統(tǒng)計(jì)測(cè)試必須基于某些應(yīng)用場(chǎng)景或失效分析假設(shè)，通過(guò)模擬給安全相關(guān)組件/系統(tǒng)的大量不同輸入的統(tǒng)計(jì)分布來(lái)進(jìn)行測(cè)試——對(duì)于SIL3以上的一般軟硬件系統(tǒng)，宜采用統(tǒng)計(jì)測(cè)試；——對(duì)于簡(jiǎn)單的具有重復(fù)性功能的機(jī)械組件(例如，機(jī)械繼電器、閥門、開(kāi)關(guān)等)應(yīng)采用統(tǒng)計(jì)測(cè)試；——輸入組合可以來(lái)自硬件和軟件失效分析的結(jié)論，或來(lái)自預(yù)期應(yīng)用現(xiàn)場(chǎng)可能出現(xiàn)的輸入條件統(tǒng)計(jì)分布；-由于需要進(jìn)行大量較長(zhǎng)時(shí)間的測(cè)試，因此可能需要配置專用的測(cè)試工具以產(chǎn)生測(cè)試信號(hào)和接收記錄輸出情況；對(duì)輸出情況的記錄可能包括輸出信號(hào)的時(shí)間戳、值和保持時(shí)間等9故障插入測(cè)試9.1故障插入測(cè)試宜由獨(dú)立于研發(fā)團(tuán)隊(duì)的第三方功能安全評(píng)估機(jī)構(gòu)完成，或由第三方功能安全評(píng)估機(jī)構(gòu)現(xiàn)場(chǎng)見(jiàn)證下完成。9.2故障插入測(cè)試的用例宜由第三方功能安全評(píng)估機(jī)構(gòu)根據(jù)設(shè)計(jì)文檔和失效分析記錄等形成，并在測(cè)試前與功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)溝通確定；故障插入測(cè)試可在器件級(jí)、組件級(jí)和系統(tǒng)級(jí)開(kāi)展。9.3故障插入測(cè)試的執(zhí)行程度如表4所示，在低測(cè)試程度下，測(cè)試至少在組件或系統(tǒng)級(jí)，包括不同單元間的數(shù)據(jù)連接。在中等或高程度下，測(cè)試應(yīng)用于元器件級(jí)，并以足夠的嚴(yán)格度來(lái)驗(yàn)證聲明的診斷覆蓋率。表4故障插入測(cè)試的程度該部分聲明的診斷覆蓋率低低中高高高高高9.4故障插入測(cè)試的目的如下：a)驗(yàn)證硬件失效分析(例如：FMEA或FMEDA)和軟件失效分析(例如：軟件HAZOP,軟件FTA)對(duì)于故障影響判定的正確性(例如：安全失效、危險(xiǎn)失效的劃分);b)驗(yàn)證初始化時(shí)/運(yùn)行時(shí)執(zhí)行的診斷測(cè)試是否切實(shí)有效，以及在診斷到故障后是否采取了正確的動(dòng)作(包括進(jìn)入安全狀態(tài)，指示燈變化，上位監(jiān)控軟件報(bào)警等);c)驗(yàn)證組件/系統(tǒng)的故障響應(yīng)是否符合設(shè)計(jì)意圖；d)驗(yàn)證允許的在線維護(hù)過(guò)程，如模塊的更換，運(yùn)行是否符合設(shè)計(jì)意圖；e)驗(yàn)證安全通信設(shè)計(jì)的正確性。9.5故障插入測(cè)試的流程考慮如下過(guò)程：a)收集所需的輸入材料，包括軟硬件詳細(xì)設(shè)計(jì)、軟硬件失效分析報(bào)告等；b)設(shè)計(jì)故障插入測(cè)試用例，并形成故障插入測(cè)試計(jì)劃；c)準(zhǔn)備故障插入待測(cè)系統(tǒng)、測(cè)試環(huán)境和測(cè)試設(shè)備，對(duì)待測(cè)系統(tǒng)進(jìn)行功能和性能檢查(見(jiàn)第5章的性能判據(jù)),確保測(cè)試前系統(tǒng)無(wú)異常；7d)執(zhí)行故障插入測(cè)試，并記錄測(cè)試時(shí)間、現(xiàn)象和人員等信息；如在測(cè)試過(guò)程中發(fā)現(xiàn)問(wèn)題宜執(zhí)行設(shè)計(jì)修改，并返回到第三步重新開(kāi)始測(cè)試，已完成的測(cè)試是否需要重復(fù)取決于設(shè)計(jì)修改后的影響程度；e)編制故障插入報(bào)告。9.6在確定故障插入測(cè)試點(diǎn)時(shí)考慮以下方面：a)在失效分析中對(duì)于失效影響判定不明晰的地方，包括對(duì)安全還是危險(xiǎn)能不能診斷到的判定；b)失效模式的失效率較大；c)系統(tǒng)運(yùn)行時(shí)用于故障揭露的所有診斷措施；d)完成特定功能的專用復(fù)雜器件(如模數(shù)轉(zhuǎn)換芯片);e)對(duì)于某些復(fù)雜器件的內(nèi)部依靠軟件實(shí)現(xiàn)的診斷措施；f)安全通信過(guò)程的故障診斷措施。注：由于功能安全系統(tǒng)的元器件/模塊較多，一般情況對(duì)所有元器件/模塊的失效模式進(jìn)行故障模擬是不現(xiàn)實(shí)的，需篩選出具有代表性的測(cè)試點(diǎn)，通過(guò)對(duì)代表性測(cè)試點(diǎn)的故障插入可證明對(duì)該部分信號(hào)鏈路的診斷能力是否確實(shí)發(fā)揮作用。典型故障插入測(cè)試用例如表5所示，對(duì)于功能安全系統(tǒng)考慮表5中的適用測(cè)試用例。表5故障插入測(cè)試的測(cè)試項(xiàng)測(cè)試對(duì)象故障插入測(cè)試用例機(jī)電裝置(如繼電器、開(kāi)關(guān)等)1)繼電器線圈阻值變化；2)繼電器開(kāi)/關(guān)觸點(diǎn)粘黏；3)繼電器開(kāi)/關(guān)觸點(diǎn)動(dòng)作時(shí)間延遲分立硬件數(shù)字I/O1)輸入/輸出通路的開(kāi)路和短路；2)表示高/低電平的電壓變化；3)由于器件故障導(dǎo)致輸入/輸出卡死在固定狀態(tài)模擬I/O1)輸入/輸出通路的開(kāi)路和短路；2)負(fù)責(zé)采樣器件的異常，如開(kāi)路、短路和值變化；3)負(fù)責(zé)信號(hào)轉(zhuǎn)換器件的異常，如模數(shù)轉(zhuǎn)換，加法器等；4)由于器件故障導(dǎo)致輸入/輸出卡死在固定狀態(tài)電源1)外部/內(nèi)部電源欠壓/欠流；2)外部/內(nèi)部電源過(guò)壓/過(guò)流；3)外部/內(nèi)部電源波動(dòng)；4)外部意外掉電重啟總線通用1)模擬數(shù)據(jù)/地址錯(cuò)誤；2)模擬傳輸超時(shí)內(nèi)存管理單元(MMU)1)模擬數(shù)據(jù)/地址錯(cuò)誤；2)模擬使用的寄存器軟錯(cuò)誤直接內(nèi)存訪問(wèn)(DMA)總線仲裁1)模擬無(wú)或連續(xù)的訪問(wèn)錯(cuò)誤；2)模擬使用的寄存器軟錯(cuò)誤；3)模擬仲裁信號(hào)固定；4)模擬無(wú)或連續(xù)仲裁信號(hào)8表5故障插入測(cè)試的測(cè)試項(xiàng)(續(xù))測(cè)試對(duì)象故障插入測(cè)試用例安全通信協(xié)議1)模擬傳輸過(guò)程中的數(shù)據(jù)完整性受損；2)模擬傳輸過(guò)程中的重復(fù)、刪除、插入、重新排序；3)模擬傳輸過(guò)程中的誤用、延時(shí)和偽裝中央處理器(CPU)寄存器1)模擬數(shù)據(jù)或地址錯(cuò)誤；2)模擬寄存器內(nèi)的軟錯(cuò)誤1)模擬數(shù)據(jù)或地址錯(cuò)誤；2)模擬內(nèi)存的軟錯(cuò)誤；3)模擬尋址錯(cuò)誤編碼和執(zhí)行，包括標(biāo)志寄存器地址計(jì)算程序計(jì)數(shù)器，堆棧指針1)模擬運(yùn)算碼的執(zhí)行錯(cuò)誤；2)模擬固定錯(cuò)誤；3)模擬數(shù)據(jù)的軟錯(cuò)誤；4)模擬指向地址固定；5)模擬軟錯(cuò)誤中斷處理中斷復(fù)位電路1)模擬無(wú)中斷或連續(xù)中斷；2)模擬中斷的交叉；3)模擬電路可能產(chǎn)生的直流故障；4)模擬電路的震蕩不可變內(nèi)存1)地址線或管腳錯(cuò)誤；2)數(shù)據(jù)線或管腳錯(cuò)誤；3)不可變內(nèi)存器件上其他管腳的開(kāi)路和短路可變內(nèi)存1)地址線或管腳錯(cuò)誤；2)數(shù)據(jù)線或管腳錯(cuò)誤；3)可變內(nèi)存器件上其他管腳的開(kāi)路和短路；4)模擬數(shù)據(jù)的軟錯(cuò)誤時(shí)鐘[石英、振蕩器、鎖相環(huán)(PLL)]1)無(wú)時(shí)鐘；2)時(shí)鐘頻率過(guò)快；3)時(shí)鐘頻率過(guò)慢；4)時(shí)鐘頻率振蕩通信和大容量存儲(chǔ)器1)模擬數(shù)據(jù)或地址錯(cuò)誤；2)模擬傳輸錯(cuò)誤傳感器1)模擬固定故障；2)模擬直流故障；3)模擬漂移或振蕩最終元件1)模擬固定故障；2)模擬直流故障；3)模擬漂移或振蕩910確認(rèn)測(cè)試10.1確認(rèn)測(cè)試一般由功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)內(nèi)部和第三方測(cè)試機(jī)構(gòu)共同完成。a)針對(duì)安全需求中規(guī)定的，在上面已經(jīng)完成的測(cè)試中沒(méi)有覆蓋到的安全功能和安全完整性(性能),開(kāi)展測(cè)試(具體描述按照表3);b)開(kāi)展環(huán)境條件下的功能測(cè)試，環(huán)境條件下的功能測(cè)試一般也稱為型式試驗(yàn)；c)對(duì)SIL2以上的系統(tǒng)，開(kāi)展擴(kuò)展的功能測(cè)試，即測(cè)試安全需求描述內(nèi)容以外的意外發(fā)生時(shí)，或極端情況下，組件/系統(tǒng)能否進(jìn)入或保持安全狀態(tài)；d)根據(jù)功能安全系統(tǒng)的應(yīng)用情況，宜開(kāi)展黑盒測(cè)試、最壞情況測(cè)試和統(tǒng)計(jì)測(cè)試(具體描述按照表3)。10.3對(duì)于環(huán)境條件下的功能測(cè)試(型式試驗(yàn)),宜考慮以下內(nèi)容：a)測(cè)試項(xiàng)目能夠證明在安全需求中定義的應(yīng)用環(huán)境條件得以滿足；b)滿足特定功能安全系統(tǒng)領(lǐng)域應(yīng)用標(biāo)準(zhǔn)或產(chǎn)品標(biāo)準(zhǔn)中的型式試驗(yàn)[如安全可編程序控制器符合IEC611