工业软件的功能安全.ppt

工业软件的功能安全 上海工业自动化仪表研究院 什么是功能安全 如何实现软件的功能安全 上海市工业软件工程中心 （功能安全领域） 风险无出不在 控制系统的两大职能 现代生产过程中控制系统的作用 控制生产过程、实现风险降低（SIS、ESD） 什么是安全？ 危害 - 对人体健康的损害或损伤或者对环境和财产的损害 风险 - 出现危害的概率及该危害严重性的组合 安全 不可接受的风险被全部排除 风险降低系统 功能安全 功能安全是指风险降低系统功能的可靠性 重点是对E/E/PE安全相关系统功能可靠性的半定量描述（安全完整性等级） 功能安全的关键词 E/E/PE（电气/电子/可编程电子设备） 安全相关 可靠性 普通产品的可靠性是由生产企业自己来保障的，可靠性是企业品牌的基础之一 功能安全的可靠性仅依靠生产企业保障是不够的，必须经权威第3方机构认证 安全完整性等级 安全完整性等级—(Safety Integrity Level) 规定了4个安全完整性等级（SIL等级） 依据对象可能存在的风险和可接受的风险程度，确定风险降低系统（安全系统）的安全完整性等级 安全完整性等级(SIL) 功能安全标准体系 功能安全标准体系 功能安全的国内现状 功能安全概念指出，控制装置有两大功能： 生产过程的控制和信息化功能 生产过程的风险降低功能 风险降低的最高境界是：不该发生的什么也别发生 因此风险降低研究的显示度和受关注度远不及先进控制和信息化 功能安全的国内现状 虽然国内已经有部分功能安全标准的对应版本，但实施情况并不理想 主要原因有： 国内对功能安全的认识和宣传远远不够 缺乏第3方认证机构 面对软件可靠性，大家手足无措 座落在上海的“国家工业自动化仪表产品质量监督检验中心”具有实施功能安全第3方认证的资质和业绩 软件的功能安全 PE（可编程）设备是有软件的 复杂软件运行在概率上具有一定不可预测性，这是软件可靠性的基本问题之一 可预测性包括：存贮空间利用、控制流、 时序、数学或逻辑结果等方面 软件功能安全研究的是： 提高软件的可预测性（实现功能安全的技术） 半定量地估计软件的可预测性（功能安全的评估认证技术） 安全相关系统的构成 根据安全相关系统的安全需求将系统分为硬件、执行安全功能的软件、其它软件（包括操作系统、通信系统等可靠性数据未知的部分） 执行安全功能的软件通过故障诊断判别硬件和其它软件的故障，采用类似冗余等技术措施改善安全性能 执行安全功能的软件——按软件功能安全的规定进行处理和计算，得出SIL等级 安全相关软件之特殊性 安全相关软件强调系统失效的概念，认为软件仅存在系统失效。系统失效是在需求分析阶段、设计阶段、测试阶段、验证确认阶段等引入的，只有采取避免和控制系统失效的措施，才能使系统失效达到要求的SIL等级 安全相关软件的系统失效与时间无关，即随着时间的推移，不存在硬件的耗损型失效 安全相关软件强调安全生命周期的概念，强调从软件开始构思到软件永久停用期间的所有活动都是管理受控状态 安全相关软件的获得是通过安全生命周期各阶段适当技术和措施的采用 软件功能安全的国际标准 软件功能安全的基本措施 完全消除软件的不可预测性在相当长时间内的不现实的 提高软件可预测性（可靠性）的基本措施是： 管理制度、工作流程、可选择的技术和措施 软件功能安全的难度在于上述措施不完全是刚性的，受习惯、偏好等因素的影响 管理制度、工作流程、技术方法都做好了，就可以进行有关SIL等级的计算了 管理制度 要求实施软件工程的质量管理体系，ISO/IEC 90003:2004，或GB/T 19003—2008 最严格的情况（如核电），要求企业自最高领导之下，分别建立独立的软件开发部门和软件测试认证部门 用确定的软件开发和生产的手段、步骤、方法、工具等，来降低软件的不可预测性 工作流程——V模型 软件的开发生命周期（V 模型） 软件安全需求规范—措施和方法 软件结构设计—措施和方法 软件结构设计—措施和方法（续） 软件结构设计—措施和方法（续） 软件设计开发之支持工具和编程语言—措施和方法 软件设计与开发之详细设计—措施和方法 软件模型测试和集成方法 可编程电子集成（硬件和软件集成）—措施和方法 软件安全确认—措施和方法 软件修改—措施和方法 软件代码验证—措施和方法 实现软件功能安全，完成VV的关键 保障软件可靠方法的通俗说法就是： 每一步，每项工作，由来自不同考核要求部门的至少2个人来做 任何一件事不能由一个人说了算 实施上述两条在企业内部是有难度的，因此需要外部独立第3方机构来参予保障 软件功能安全的目标 软件功能安全半定量估计的是软件的“安全功能”部分性能 其它部分软件的可靠性并未得到定量估的计 但是“软件功能安全”的方法——可以用于各种类型软件可靠