IEC 61508-3-第3部分：软件要求.pdf-道客多多

资源描述

1、1国际标准 IECIEC61508-361508-3198198年 1212月第一版电气电子 /可编程的功能安全性电子安全相关系统第 33部分：软件要求2目录前言 2简介 4条款 1范围 62标准参考文件 83定义和缩略语 4顺应本标准 .85文件 .6软件质量管理系统 .86.1目标 .6.2要求 .87软件安全生命周期要求 .97.1概述 .7.2软件安全要求技术规范 .167.3软件安全确认计划编制 .187.4软件设计和开发 .207.5可编程电子集成（硬件和软件

2、） 267.6软件操作和修改步骤 .277.7软件安全确认 .7.8软件修改 297.9软件验证 .30附录 A37附录 B 43附录 C47表表 1软件安全生命周期总览 14表 A.1软件安全要求技术规范（参见 7.2） .38表 .2软件设计和开发 .表 A.4软件设计和开发 .39表 .5软件设计和开发 .40表 A.7软件安全确认（参见 7.7）表 .8修改（参见 7.8） 41表 A.9软件验证（参见 7.8） .表 .10功能安全评价（参见条款 8） 42表 B.l设计和译码标准 .4

3、3表 .2动态分析和测试 .表 B.3功能测试和黑盒测试 44表 .4失效分析 .表 B.5建模 44表 .6性能测试 .45表 B.7半形式方法表 .8静态分析 .453表 B.9模块方法 .46图图 1本标准的总体框架 .8图 2E/PES安全生命周期（在实现阶段） 1图 3软件安全生命周期（在实现阶段） .12图 4IEC6158-2和 IEC61508-3范围之间的关系图 5软件安全集成和开发生命周期（ V-模块） .13图 6可编程电器的软件和硬件结构之间的关系 .174国际电气委

4、员会电气 /电子 /可编程电子安全相关系统的功能安全性第三部分：软件要求前言1） IEC(国际电工委员会 )是全球标准化组织，包括所有的国家电工委员会（ IEC国家委员会）。 IEC的目标就是促进电子和电气领域内所有与标准化有关的问题间的国际合作。除促进合作外， IEC还公布了国际标准。授权技术委员会以及任何对预备工作中的课题感兴趣的 IEC国家委员会参与编制这些标准。和 IEC有联系的国际组织、政府组织和非政府组织也

5、参与编制工作。 I和国际标准化组织 (ISO)按照两个组织达成的协议，进行密切合作。2） IEC在技术问题上的决定或者协议尽可能地表达了（在相关主题上）国际间的一致观点，这是由于每个技术委员会的代表来自所有对此感兴趣的国家委员会。3）所产生的文件采用国际推荐使用的格式，同时以标准、技术报告或者指南的形式出版，并为国家委员会所接受。4）为促进国际统一化， IEC国家委员会承担了将 IEC国际标准以最透彻形式在

6、本国和本区域标准中进行贯彻的任务。稍后，将明确地指出在 IEC标准和相应国家或者区域标准之间的分歧。5） IEC提供无标记程序来表明其认可，同时对符合其标准之一的任何设备不承担责任。6）应当注意本国际标准中的某些部分可能受到专利权的限制。 IEC不对识别任何一个或者所有此类专利权负责。由附属委员会 65A编制国际标准 IEC61508-3：系统方面， IEC技术委员会 65：工业过程测量和控制。本标准的文本基于下列文档：有关批准本标准的所

7、有投票信息可以在表决报告中找到。附录 A、 B是本标准的一部分。附录 C仅供参考。IEC61508由下列几部分组成，总标题为电气 /电子 /可编程电子安全系统的功能安全：第 1部分：一般要求第 2部分：对电气 /电子 /可编程电子安全系统的要求第 3部分：软件要求第 4部分：定义和缩略语第 5部分：确定安全完整性水平的方法示例第 6部分： IEC61508-2和 IEC61508-3的应用指南第 7部分：技术和措施综述FDlS 表决报告65A/269/

8、FIS 65A/l277/RVD5简介由电气和（或）电子部件构成的系统，多年来在许多领域中执行安全功能。以计算机为基础的系统（一般指可编程电子系统 (PES)）在许多领域中用于非安全目的，但也越来越多地用于安全目的。如果计算机系统技术可被有效安全地开发，那么对那些负责做出安全决策的计算机系统进行足够的安全指导是十分必要的。本国际标准针对由电气和 /或电子和 /或可编程电子部件构成的、起安全作用的电气和 /或电子和 /或可编

9、程电子部件（电气 /电子 /可编程电子系统 (E/PES)）的整体安全生命周期，建立了一个基础的评价方法。本统一方法的用途是，针对以电子为基础的安全系统提出一个合理的、一致的技术方案。主要目的就是方便应用部门标准的开发。在大多数情况下，通过大量的保护系统来实现安全，这些保护系统依赖于多种技术（例如机械、液压、气动、电气、电子、可编程电子系统等）。所有的安全策略不仅需要考虑单独系统（例如传感器、控制装置和执行器等）中所有元件的问题，同时还要考虑构成安全系统组合的所有安全系统的问

10、题。因此，当本国际标准和电气 /电子 /可编程电子 (E/PE)安全系统有关时，还会提供一个框架，在该框架内应当考虑基于其它技术的安全系统。现在公认在多个领域有多种 E/PES应用，所覆盖的复杂性、危险性和风险性范围很广。在任何一个特殊应用中，所需的安全手段应当依赖于该应用所特有的许多因素。由于其通用性，本国际标准可以给出方法，用于制定将来领域的国际标准。国际标准当 E/PES用于执行安全功能时，考虑了所有相关系统、 E/PE

11、S和软件安全生命周期阶段（例如从最初的概念，经过设计、实现、使用和维护直到废除）；构思时考虑到技术在飞速发展；框架具有足够的鲁棒性和全面性来满足将来发展的需要；给应用部门以国际标准，处理安全相关 E/PE有待开发；在本标准的框架内，应用部门国际标准的开发在应用部门及跨应用部门之间应达到较高的一致性（例如，优先原则、术语学等）；将同时具备安全性和经济利益；提供了开发安全要求技术规范的方法，该安全要求技术规范对于实现 E/PE安全相关系统

12、所需功能安全是必需的。使用安全完整性水平，用于规定分配给 E/PE安全系统的安全功能的安全完整性；采用基于风险的方法来确定安全完整性水平的要求；为和安全完整性水平相连的 E/PE安全系统设定数字目标故障测量；在故障的危险模式下，为目标故障测量设定下限，可用于单独的 E/PE安全系统；或运行在下列情况的E/PE安全系统低需求模式运行，将下限设定为 10 5的平均故障可能性，以执行其要求的设计功能，

13、高需求或者连续模式运行，将下限设定为 10 9/小时的危险故障可能性；注 -单个 E/PE安全系统并不一定意味着单通道结构。6 采用广泛的原理、技术和方法来实现 E/PE安全系统的功能安全，但不使用故障安全的概念，在定义了故障模式且复杂性等级相对较低时，故障安全是有价值的。由于 E/PE安全系统的复杂性（在标准范围内），故障安全的概念被认为是不适当的。7电气 /电子 /可编程电子安全系统的功能安全性第三部分：软件要求11范围1.11.1IECIEC6150861508这部分内容a)仅在深入

14、理解 IEC61508-1和 IEC61508-2后，才会有帮助。b)套用于软件系统的任一软件构建部分，或用于开发 IEC61508-1和 IEC6161508-2范围内的安全系统。这样的软件被称为安全软件。安全软件包括操作系统，系统软件、通讯网络中的软件、人机界面功能、支持软件、防火墙和应用程序。应用程序包括高级程序、低级程序和使用受限可变语言的特殊目的程序（参见 IEC61508-4的3.2.7）。c)要求指定软件安全功能和软件安全完整性

15、水平。注 1如果已经作为 EIIPE安全系统（参见 IEC61508-2的 7.2）的部分规范进行了指定，这里不必再次指定。注 2指定软件安全功能和软件安全完整性水平是一个迭代过程，参见图 2和图 6。注 3参见 IEC61508-2的条款 5和附录 A的文档结构。文档结构考虑了公司程序和特殊应用部门的工作实践情况。d)建立了对安全生命周期阶段和行为的要求，应用于安全软件（软件安全生命周期模式）的设计和开发。这些要求包括测量和技术的应用程序，为了避免和控制软件中的缺陷和错误，它们依安全完整性水平

16、进行分级。e)提供了对软件安全认证相关信息的要求，该信息提交给执行 E/PES整合的组织。f)提供了编制用户操作和管理 E/PE安全系统所需相关软件的信息和程序的要求。g)提供了对组织机构实施安全软件修正的要求。h)与 IEC61508-1及 IEC61508-2相结合，提供了对支持软件的要求，支持软件包括开发和设计软件、语言翻译人员、测试工具和配置管理工具。注 4图 4和图 6标示了 IEC61508-2及 IEC61508-3之间的关系1.21.2本标准的第 1、 2、 3和 4部分是基

17、本安全出版物，尽管本状态不适用于低复杂性 E/PE安全相关系统（参见第 4部分的 3.4.）中。做为基本安全出版物，它们专门用于技术委员会按照 IEC指南 104和 ISO/IEC指南 51中包含的原则制订标准。本标准的第 1、 2、 3和 4部分同时还专门用做单行标准。在任何适用的情况下，技术委员会的责任之一就是在编写其自己的出版物中使用基本安全出版物。在上下文中，如果没有明确说明或包括在由其技术委员会编写的出版物，则该基本安全出版物的要求、测试方法或

18、测试条件是不适用的。注除非已提交的 IEC61508过程部门实施（即 IEC6151）在美国和加拿大被制定为国际标准，否则在美国和加拿大，基于8IEC61508（即 ANSISA584.01-96）的现有国家过程安全标准可替代 IEC61508在过程部门中使用。1.31.3图 1表明了 IEC61508的第 1部分至第 7部分的总体框架，同时指明 IEC61508-3在实现 E/PE安全系统的功能安全方面的作用。图 1 本标准的总体框架定义和缩写第 4部分文档第五条款

19、和附录 A功能安全管理第 6条第 1部分功能安全评价第 8条第 1部分第 1部分第 2部分第 2部分和第 3部分应用指南E/PE安全相关系统的安全要求的分配 7.6E/PE安全相关系统的安全要求的分配 7.6E/PE安全相关系统的安装、调试和安全确认，7.13和 7.14第 1部分E/E/PE安全相关系统的运行和维护、改动和翻新、退役或者废弃， 7.15to7.17第 1部分用来开发安全完整性要求的基于风险的方法第 5部分综合安全要求的开发（概念、范围定义、危险和风险分析）（ E/PE安全

20、相关系统、其它技术安全相关系统和外部风险降低设施） 7.1 7.5P第 1部分技术要求用来开发安全完整性要求的基于风险的方法第 7部分E/PE安全相关系统的安全要求的分配 7.6第 1部分第 6部分其他要求第 2部分第 3部分922标准参考文件在本文中的所有参考文件中，下列的标准文件包含组成 IEC61508本部分的条款。在发行的时候，编辑是有效的。所有的标准文件都经过修订，且基于 IEC61508本部分的协议各方被鼓励研究应用下面给出的标准文件的最新版本的可能性。 IEC和 IS0的会员保持当前国际

21、标准的有效性。IEC61508-1:98，电气 /电子 /可编程电子安全系统的功能安全第 1部分：一般要求IEC61508-2-电气 /电子 /可编程电子安全系统的功能安全第 2部分：对电气 /电子 /可编程电子安全系统的要求 1)IEC61508-4:198，电气 /电子 /可编程电子安全系统的功能安全第 4部分：定义和缩略语IEC61508-5:198，电气 /电子 /可编程电子安全系统的功能安全第 5部分：确定安全完整性水平的方法示例IEC61508-6:198，电气 /

22、电子 /可编程电子安全系统的功能安全第 6部分：第 2部分和第 3部分的应用指南 1)IEC61508-7:198，电气 /电子 /可编程电子安全系统的功能安全第 7部分：技术和措施综述 1)ISO/IEC指南 51： 190，标准中包含的安全方面的指南IEC指南 104： 197，起草安全标准的指南，以及安全先导功能和安全组功能中委员会的地位33定义和缩略语对于本标准，使用在 IEC61508-4中给出的定义和缩略语。44顺应本标准IEC61508-1的条款 4给出

23、了对顺应本标准的要求。55文件IEC61508-1的条款 5给出了文件的目标和要求。66软件质量管理系统6.16.1目标目标正如 IEC61508-1的 6.1所述。6.26.2要求6.2.16.2.1要求包括 IEC61508-1的 6.1的内容和下面补充要求。106.2.26.2.2功能安全计划应定义软件采购、开发、集成、验证、认证和修订的策略，以满足 E/PE安全系统的软件完整性水平所要求的内容。注该方法的基本定律是将功能安全计划作为一个机会来定制本标

24、准，以考虑 E/PE安全系统组件中所要求的各种安全完整性。同时使用具有不同安全完整性水平的 E/PE安全系统组件时，应将第 3部分的 7.4.2.8纳入考虑。6.2.36.2.3软件配置管理应a)为了管理软件变化，对整个软件安全生命周期使用管理和技术控制，从而确保可以持续满足规定的软件安全要求；b)保证执行了所有必需操作，来验证已实现所要求的软件安全完整性；c)准确维持并唯一鉴定用来保持 E/PE安全系统完整性的所有配置条款。配置条款至少包括下面内容

25、：安全分析和要求；软件细则和设计文档；软件源代码模块；测试计划和结果；要并入 E/PE安全系统的预存在软件组件和软件包；用来创建、测试或在 E/PE安全系统的软件上执行任何操作的所有工具和开发环境；d)使用变化控制程序来防止未授权的修订；记录修订要求；分析所提交修订的影响，并批准或拒绝该请求；在软件开发的适当点建立配置基准，并记录证明基准的（部分）整体实验（参见 7.8）；保证全部软件基准（包括早期基准的重新构造）的组成和构造

26、；注 1需要管理决策和授权来指导并加强管理和技术控制的使用。e)记录下面信息以允许后续审核：配置状态、发布状态、所有修订的认证和批准、修订细节；f)正式记录安全软件的版本。保留软件的标准本和所有相关文件，以允许在所发布版本生效期间进行维护和修订。注 2详细信息，请参见 1207。77软件安全生命周期要求7.17.1概述7.1.17.1.1目标该子条款要求的目标是将软件开发构造到已定义的阶段和行为中（参见表 1和图 2-5）。7.1.27

27、.1.2要求7.1.2.17.1.2.1按照 IEC61508-1的条款 6，在软件计划期间应选择并规定软件开发的安全生命周期。注满足 IEC61508-1条款 7的要求的安全生命周期模块，可因项目或组织的特定需要进行适当定制。7.1.2.27.1.2.2质量和安全保证程序应集成到安全生命周期行为中。7.1.2.37.1.2.3应为软件安全生命周期的每个阶段划分基本行为，为每个阶段指定范围、输入和输出。注 1有关生命阶段的详细信息，请参见 ISO/IEC1207。注 2-IEC61508-1条款 5考虑

28、了安全生命周期的输出。在一些 E/PE安全系统的开发中，某些安全生命周期的输出可能是独立的文件，而某些阶段的记录输出可能是合并的文件。基本要求是安全生命周期的输出应符合其预期目的。在简单开发中，某些安全生1命周期阶段也可能会被合并（参见 7.4.5）7.1.2.47.1.2.4如果软件安全生命周期满足图 3和表 1的要求，考虑到项目的安全完整性和复杂性，可以修改 V-模型（参见图 5）阶段的深度、数量和工作尺寸。注表 1中整个生命阶段列表适用于大的新开发系统。在小系统中，例如，可能适于合并软件系统设计和结构设计的阶段。7.1.2.57.1.2.5在满足本

29、条款的所有目的和要求的条件下，可以接受定制不同于本标准组织结构（即使用其他软件安全生命周期模型）的软件项目。 7.1.2.67.1.2.6对于每个生命周期阶段，应使用适当的技术和方法。附录 A和 B（技术和方法的选择指南）给出了建议。选择附录 A和 B中的技术，本身并不会保证实现所需的安全完整性。7.1.2.77.1.2.7应记录软件安全生命周期行为的结果（参见条款 5）。7.1.2.87.1.2.8如果在软件安全生命周期的任一阶段，

30、需要更改一个早期生命周期阶段，则该早期生命阶段及其后续阶段应重复进行。图 2 E/E/PES安全生命周期（在实现阶段）IEC61508-1图 2中的方框 9安全系统 :E/PES实现E/PES安全生命周期 E/PES安全要求技术规范安全功能要求技术规范安全功能要求技术规范E/PES安全确认计划编制 E/PES设计和开发 E/PES集成 E/PES运行和维护程序E/PES安全确认每个 E/PE安全系统的一个 /PE安全生命周期到 IEC61508-1图 2中的方框 12 到 IEC

31、61508-1图 2中的方框 1412图 3 软件安全生命周期（在实现阶段）图 4-IEC6158-2和 IEC61508-3范围之间的关系到 IEC61508-1图 2中的方框 12E/PES安全要求技术规范 E/PES结构IEC61508-3的范围EC61508-2的范围软件安全要求软件设计和开发可编程电子集成（硬件和软件）硬件安全要求可编程电子硬件非可编程硬件可编程电器设计和开发非可编程硬件设计和开发E/PES集成/ 安全要求技术规范 /PES结构软件安全要求软件设计和开

32、发硬件安全要求可编程电子硬件非可编程硬件可编程电器设计和开发非可编程硬件设计和开发E/PES安全生命周期（参见图 2）软件安全生命周期软件安全要求技术规范安全功能要求技术规范安全完整性要求技术规范软件安全确认计划编制软件设计和开发 PE集成（硬件 /软件）软件操作和修改步骤软件安全确认到 IEC61508-1图 2中的方框 14到 IEC61508-1图 2中的方框 1213图 5 软件安全集成和开发生命周期（ V-模块）E/PES安全要求技术

33、规范软件安全要求技术规范确认确认测试已确认软件E/PES结构软件结构集成测试（组件、子系统和可编程电器）软件系统设计集成测试（模块）模块设计模块测试编写代码输出验证14表 1 软件安全生命周期总览安全生命周期阶段目标范围要求子条款输入（所需信息）输出（所产生信息）图 33方框编号标题9.1软件安全要求技术规范按照软件安全功能和软件安全完整性的要求，规定软件安全的要求；为实现所需安全

34、功能所必需的每个 E/PE安全系统指定软件安全功能要求；为达到安全完整性水平（为分配给 E/PE安全系统的每个安全功能指定的）所需的每个 E/PE安全系统规定软件安全完整性要求。 PES；软件系统。 7.2.2E/PES安全要求技术规范 (IEC61508-2)。软件安全要求技术规范9.2软件安全确认计划编制编制确认软件安全的计划。 PES；软件系统。 7.3.2软件安全要求技术规范软件安全确认计划9.3软件设计和开发结构：

35、根据所需的安全完整性水平，创建软件结构来完成规定的软件安全要求；通过 E/PE安全系统的硬件结构，查看并评价对软件的要求，包括 E/PE硬件 /软件相互配合对受控设备安全的重要性。 PES；软件系统。 7.4.3软件安全要求技术规范；E/PES硬件结构设计（ IEC61508-2）软件结构设计描述；软件结构集成测试技术规范；软件 /可编程电子集成测试技术规范（与IEC61508-2要求一致）9.3软

36、件设计和开发支持工具和编程语言：为所需的安全完整性水平，选择合适的工具集（包括语言和编译器），用于软件整个安全生命周期的验证、确认、评价和修改。 PES；软件系统；支持工具；编程语言。 7.4.4软件安全要求技术规范；软件结构设计描述；开发工具标准和开发工具的译码选择15表 11（接上表）安全生命周期阶段目标范围要求子条款输入（所需信息）输出（所产生信息）图

37、33方框编号标题9.3软件设计和开发详细设计和开发（软件设计）：根据所需的安全完整性水平，设计和实现软件来完成规定的软件安全要求，可进行分析、验证，并能进行安全修订。软件主要组件和子系统的结构设计。 7.4.5软件结构设计描述；支持工具和编码标准。软件系统设计技术规范；软件系统集成测试技术规范。9.3软件设计和开发详细设计和开发（单个软件模块设计）：根据所需的安

38、全完整性水平，设计和实现完成指定软件安全要求的软件，可进行分析、确认，并能进行安全修订。软件系统设计 7.4.5软件系统设计技术规范；支持工具和编码标准。软件模块设计技术规范；软件模块测试技术规范；9.3软件设计和开发详细代码实现：根据所需的安全完整性水平，设计和实现完成指定软件安全要求的软件，可进行分析、确认，并能进行安全修订。单个软件模块。 7.4.6软件模

39、块设计技术规范；支持工具和编码标准。源代码列表；代码查看报告。9.3软件设计和开发软件模块测试：确认实现了软件安全要求（所需软件安全功能和软件安全完整性） -表明每个软件模块执行其预期功能，且未执行非预期功能。软件模块。 7.4.7软件模块测试技术规范；源代码列表；代码查看报告。软件模块测试结果；经确认并测试的模块。9.3软件设计和开发软件集成测试：确认实现了软件安全

40、要求（所需软件安全功能和软件安全完整性） -表明所有软件模块、组件和子系统正确配合，以执行其预期功能且未执行非预期功能。软件结构软件系统。 7.4.8软件系统集成测试技术规范。软件系统集成测试结果；经确认并测试的模块。9.4可编程电子集成（硬件和软件）将软件集成到目标可编程电子硬件；将软件和硬件组合到安全可编程电器上，以确保其兼容性，并达到安全完整

41、性水平的预期要求。可编程电子硬件；集成软件。 7.5.2软件结构集成测试技术规范；可编程电子集成测试技术规范（与 IEC61508-2的要求一致）；集成可编程电器。软件结构集成测试结果；可编程电子集成测试结果；经确认和测试的集成可编程电器。16表 11（接上表）安全生命周期阶段目标范围要求子条款输入（所需信息）输出（所产生信息）图 33方框编号标题9.5软件操作和修改步骤提供有关软

42、件的必要信息和步骤，以确保在操作和修改期间维持 E/PE安全系统的功能安全。同上 7.6.2与上述全部有关软件操作和修改步骤9.6软件安全确认确保集成系统在预期安全完整性水平上满足指定的软件安全要求。同上 7.7.2软件安全确认计划软件安全确认结果。已确认软件- 软件修改对已确认软件进行修正、增强或变通，以确保维持所需的软件安全完整性水平。同上 7.8.2软件修改步骤；软件

43、修改要求。软件修改影响的分析结果；修改日志。- 软件认证对于安全完整性水平所需的范围，测试并评价已知软件安全生命周期阶段的输出，以确保作为该阶段输入的输出和标准的正确性和一致性。依赖于阶段 7.9.2适合的确认计划（依赖于阶段）适合的确认报告（依赖于阶段）- 软件功能安全评定对 E/PE安全系统实现的功能安全进行调查并得出评价。所有上述阶段 8软件功能安全评定计

44、划软件功能安全评定报告177.27.2软件安全要求技术规范注 1参见表 A.1和 8.7。注 2本阶段是图 3的中的方块 9.1。7.2.17.2.1目标7.2.1.17.2.1.1本子条款要求的第一个目标是，按照软件安全功能和软件安全完整性的要求，规定软件安全的要求。7.2.1.27.2.1.2本子条款要求的第二个目标是，为实现所需安全功能所必需的每个 E/PE安全系统规定软件安全功能的要求。 7.2.1.37.2.1.3本子条款要求的第三个目标是，为达到安全完整性水平（为分配给 E/PE安全系统的每个

45、安全功能指定的）所需的每个 E/PE安全系统规定软件安全完整性要求。所示结构为示例，可以是：图 6 可编程电器的软件和硬件结构之间的关系可编程电子结构PE硬件结构 PE软件结构（ S/W结构由嵌入式 S/W和应用程序S/W组成）PE嵌入式软件 PE应用软件所示结构为示例，可以是： -单通道；双通道；-1o2、 1o3、 202等。传感器逻辑系统终端元素PE硬件的一般功能和特殊应用功能。示例包括：-诊断测试；冗余处理器；-双 I/O卡。示例包括：-通讯驱动；

46、错误处理；-执行软件。示例包括：-输入 /输出功能；派生功能（例如，在未提供嵌入式软件服务时，所进行的传感器检查）。187.2.27.2.2要求注通过一般嵌入软件和特殊应用软件的组合，大多数情况下可以实现这些要求。正是需要两者的组合来提供满足下面子条款的功能。一般软件和特殊应用软件的明确划分依赖于所选择的软件结构（参见 7.4.3和图 6）。7.2.2.17.2.2.1如果在 E/PE安全系统要求（参见 IEC61508-2的 7.2）中已规定了软件安全要求，则不必重复软件

47、安全要求的技术规范。 7.2.2.27.2.2.2软件安全要求的技术规范应从规定的 E/PE安全系统（参见 IEC61508-2）安全要求及任何安全计划（参见条款 6）编制要求派生而来。软件开发人员可使用本信息。注本要求并不表示 E/PE开发者与软件（ IEC61508-2和 IEC61508-3）开发者之间互不干涉。由于软件安全要求和软件结构（参见 7.4.3）变得更精确，可能会影响 E/P硬件结构。出于这个原因，硬件开发人员和软件开发人员之间的密切合作

48、是十分必要的。参见图 4。7.2.2.37.2.2.3软件安全要求的技术规范应足够详细，允许设计和实现达到所需的软件完整性，并允许执行功能安全评价。注技术规范的详细程度因应用的复杂性而不同。7.2.2.47.2.2.4软件开发人员应浏览7.2.2.27.2.2.2的内容，以确保对要求进行了合理规定。软件开发人员特别应考虑下面问题：a)安全功能；b)配置或系统结构；c)硬件安全完整性要求（可编程电器、传感器和执行器）；d)软件安全完整性要求；e)容量和响应时

49、间性能；f)设备和操作人员界面。7.2.2.57.2.2.5软件开发人员应建立规范，以解决任何与软件安全完整性水平分配不一致的问题。7.2.2.67.2.2.6对于安全完整性水平所要求的内容，应表达并构造所规定的软件安全要求，因此a)它们是清楚、精确、非模糊、可确认、可测试、可维护、可行的，符合安全完整性水平；b)可追溯到 E/PE安全系统安全要求的技术规范；c)没有含糊不清且（或）未被（那些在软件安全生命周期的任何阶段使用本文件的人）理解的术语和描述。7.2.2.77.2.2.7如果未在规定的 E/PE安全系统安全要求进行充分地定义，则应在规定的软件安全要求中详细说明EUC所有相关操作模式。注通过一般嵌入软件和特殊应用软件的组合，大多

展开阅读全文