第2章 目標與安全完整性等級

2.1 軟件在系統中的定義

標準4.1節主要規定了系統文檔對安全相關軟件的定義。

2.1.1 標準條款

2.1.2 條款理解及應用

軟件是系統組成的一部分，軟件需求來自系統需求。安全相關系統的軟件功能和接口應在系統級文檔中定義，內容應包含：功能和接口、應用條件、系統配置或體系架構、可控風險、安全完整性需求、分配給軟件和硬件的SIL需求和條件。為完成系統分析階段指定的活動目標，一般需要開展的工作如下。

1）概念分析

概念分析的目的是，提高對整體系統及其環境的理解水平，確定整體系統的可容忍風險水平，以便于其他安全性分析活動能夠順利進行?；顒幽繕税ǎ?/p>

（1）對系統或部件的控制功能和所處的物理環境進行全面了解；

（2）確定可能的危險源；

（3）獲取相關已確定的危險源信息（毒性、爆炸性、腐蝕性、反應性、易燃性等）；

（4）獲取當前相關的安全法規；

（5）考慮相關聯的系統或部件之間相互作用所產生的危險；

（6）確定整體系統的不可容忍的風險、可容忍的風險和完全可以接受的風險。

2）系統范圍確定

系統范圍確定的首要目的是確定系統的邊界，第二個目的是確定危險和危險分析的范圍。活動的目標包括：

（1）確定在初步危險及風險分析范圍內的實際物理設備；

（2）確定在初步危險及風險分析時應考慮的外部設備；

（3）確定與危險有關的子系統間以及它們與其他部分間的接口；

（4）確定需要考慮的可引發事故的事件類型（如零部件失效、程序錯誤、人員出錯）；

（5）可采用初步危險表的方式列出可能需要特別重視的危險或需要深入分析的危險部位。

3）系統中與軟件相關的定義

（1）軟件對象。軟件對象是指待建模分析的軟件配置項或系統。軟件對象的建模內容主要包括：

● 名稱或標識：描述軟件對象的唯一名稱或標識；

● 軟件配置項/系統的內部邊界：描述軟件配置項的邊界，屬于軟件配置項所在系統的內部邊界，用于區分系統內部的軟件配置項劃分；

● 軟件配置項/系統的外部邊界：描述軟件配置項所在系統的邊界；

● 裕度設計（若有）：裕度設計是軟件常用的體系結構設計策略，實質也是一種提高軟件安全性的手段，建模軟件對象的裕度設計策略，能夠輔助軟件安全性分析時對于裕度的分析。

（2）外部交聯設備。外部交聯設備是指與軟件存在接口交聯關系的各類系統、硬件機構、人機交互設備等，它們通過外部輸入/輸出接口與軟件進行數據與控制的交互。分析外部交聯設備對軟件接口及數據的影響，確定外部交聯設備的建模內容，包括：

● 名稱或標識：描述外部交聯設備的唯一名稱或標識；

● 物理限制要求（若有）：描述外部交聯設備、尤其是硬件機構的物理限制要求，如作動機構的極限位置、轉子機構的轉速限制、機械運動順序等，這些物理限制要求會對軟件外部輸入/輸出接口產生影響，也是軟件安全性分析需要考慮的因素之一。

● 裕度設計（若有）：外部交聯設備的裕度設計信息不是當前軟件對象建模所必需的，其對軟件對象的影響一般體現在與之交聯的外部接口裕度上，可在后續軟件外部輸入接口數據的裕度建模時進行描述。

● 環境或人員的影響（若有）：軟件對象所在的環境或使用該軟件的人員都會影響軟件的運行，但這些影響是間接的，這也是軟件與硬件最大的區別。軟件本身僅通過軟件外部接口去“感知”和“控制”外在影響，比如運行環境發生變化，軟件通過傳感器接口數據的變化去感知；人員發出操作指令，軟件通過人機接口數據的變化去識別。描述環境或人員對軟件運行的影響也是為了輔助軟件安全性分析時對于接口的分析。

（3）軟件外部輸入接口數據。軟件外部輸入接口數據是指與軟件存在輸入關系的外部接口數據元素，它們承擔了軟件所能感知到的一切信息，如環境因素、物理條件、硬件動作、故障狀態、裕度配置等信息，需要重點描述。依據軟件架構設計說明書，確定軟件外部輸入接口數據的建模內容，包括：

● 名稱：描述軟件外部輸入接口數據元素的唯一名稱或標識；

● 接口類型：描述軟件外部輸入接口數據元素對應的接口類型，軟件常用的外部接口類型如：離散量、模擬量、CAN總線、RS-422A/232、RS-485、TCP/UDP、MVB等；

● 數值/值域：如果軟件外部輸入接口數據元素為離散型數據，描述該數據元素的各種可能的取值；如果軟件外部輸入接口數據元素為連續型數據，描述該數據元素的有效取值區間；

● 通信格式：描述軟件外部輸入接口數據幀的通信協議格式，例如幀頭、數據位、狀態位、校驗位等；

● 時間：描述軟件外部輸入接口數據取值的時刻信息或持續時間信息；

● 周期：描述軟件外部輸入接口數據的輸入周期信息；

● 故障處理：描述軟件外部輸入接口數據故障（如極值故障、斜率故障、跳變故障等）的診斷策略、處理策略、恢復策略、缺省值等；

● 裕度設計：描述軟件外部輸入接口數據的裕度設計（例如雙裕度、四裕度）、裕度表決方法及切換策略；

● 交聯設備：外部發送或接收數據的組件或設備，與被測軟件進行通信。

（4）軟件外部輸出接口數據。軟件外部輸出接口數據是指與軟件存在輸出關系的外部接口數據元素，它們反映了軟件所有可見的功能或行為，如硬件控制、故障報警、執行反饋、數據存儲等，需要重點描述。結合軟件特征“軟件外部接口及數據交互復雜”的分析，基于需求標準要求，確定軟件外部輸出接口數據的建模內容，包括：

● 名稱：描述軟件外部輸出接口數據元素的唯一名稱或標識。

● 接口類型：描述軟件外部輸出接口數據元素對應的接口類型，軟件常用的外部接口類型如：離散量、模擬量、CAN總線、RS-422A/232、RS-485、TCP/UDP、MVB等。

● 數值/值域：如果軟件外部輸出接口數據元素為離散型數據，描述該數據元素的各種可能的取值；如果軟件外部輸出接口數據元素為連續型數據，描述該數據元素的有效取值區間。

● 通信格式：描述軟件外部輸出接口數據幀的通信協議格式，例如幀頭、數據位、狀態位、校驗位等。

● 時間：描述軟件外部輸出接口數據取值的時刻信息或持續時間信息。

● 周期：描述軟件外部輸出接口數據的輸出周期信息。

● 故障處理：描述軟件外部輸出接口數據故障的診斷策略、處理策略、恢復策略、缺省值等。

● 裕度設計：描述軟件外部輸出接口數據的裕度設計（例如雙裕度、四裕度）、裕度表決方法及切換策略；

● 目的設備：描述軟件外部輸出接口數據對應的目的設備，來自“外部交聯設備”信息。