1、安全苛求系统及其认证安全苛求系统及其认证同济大学 徐中伟主要内容v引言v功能安全性v安全苛求系统的开发v容错和故障安全技术v系统可靠性v形式化方法v验证、确认和测试v质量管理v铁路信号EN标准和安全性认证v典型的高安全系统实例引言关键领域中应用的安全苛求系统 领域:核工业、航空、航天、军工、交通、医疗等 特点:嵌入式的、实时的、安全相关的系统失效的后果往往是灾难性的 名称:安全苛求系统(Safety-critical Systems)功能安全性(Function Safety) 概念:是系统不危及生命或环境的属性 两种安全性:信息安全性与功能安全性(Security and Safety) 安
2、全性与可靠性可信性(Dependability):RAMS 安全性范围:硬件和软件、系统边界 基于计算机的控制和防护系统:优点和缺点安全苛求系统的开发 故障、错误和失效(Fault、Error and Failure) 故障分类:随机性故障和系统性故障 避错(fault avoidance)、纠错(fault removal)、检错(fault detection)和容错(fault tolerance) V型生命周期模型 验证和确认系统需求v 可靠性(Reliability):系统在给定条件,给定的时间内实现所要求功能的可能性v 可用性(Availability):系统在任意时刻能完成规定功
3、能的可能性v 故障安全操作(Fail-Safe)v 系统完整性(System Integrity):系统检测到故障并通知操作员的能力v 数据完整性(Data Integrity)v 系统恢复(System recovery)v 可维护性(Maintainability)v 可测试性(Testability)v 可信性(Dependability)v 系统需求之间冲突安全性需求v识别危害v危害分类v确定处理危害的方法v可靠性和可用性需求的分解v确定适合的安全完整性水平v符合选定安全完整性水平的开发方法规范危害分析技术v失效模式和影响分析(FMEA)v失效模式、影响和危害性分析(FMECA)v危害
4、和可操作性研究(HAZOP)v事件树分析(ETA)v故障树分析(FTA)v等等生命周期不同阶段的安全性分析v初始危害识别(PHI)v初始危害分析(PHA)v安全性评审v安全性计划v系统危害分析v系统风险评估v独立安全性审计误动作的后果危害严重等级严重等级对环境或人的影响给服务带来的后果特大多人死亡,和/或是多方面的严重伤害,和/或对环境的严重损害重大一人死亡,和/或是单个严重伤害,和/或是对环境产生明显的损害主系统受损次要较小的损伤和/或对环境的明显影响严重的系统损害轻微可能存在的较小的伤害较小的系统损害注:不同领域有不同标准规定误动作的可能性频率v频繁v经常v有时v很少v极少v几乎不可能注:
5、不同领域有不同标准规定风险矩阵v风险=严重度x频率v风险矩阵危险事件的发生频危险事件的发生频度度风风 险险 等等 级级 频繁经常有时很少极少几乎不可能轻微次要重大特大危 险 后 果 的 严 重 等 级注:不同领域有不同标准规定风险分类风险种类风险种类对每一类风险所采取的防范措施对每一类风险所采取的防范措施不容许的应该消除不希望的当风险降低不可行时,应经过铁路主管部门或安全规章主管部门同意后方可接受容许的采用充分控制并经铁路主管部门同意后可以接受可忽略的有或无铁路主管部门同意均可接受风险接受原则实例ALARP原则(As Low As Reasonably Practicable)ALARP或可容
6、忍或可容忍区域区域(仅当期望得仅当期望得到利益时承担风险到利益时承担风险)不可容忍不可容忍区域区域风险无法确定,特风险无法确定,特殊情况例外殊情况例外仅当无法降低风险或仅当无法降低风险或成本与利润不成比例成本与利润不成比例时可容忍时可容忍风险缩减成本超过利润风险缩减成本超过利润时可容忍时可容忍广泛可容忍区域广泛可容忍区域(不不需要详细的需要详细的ALARP证明工作证明工作)必要的维护确认该必要的维护确认该级别中是否仍存在级别中是否仍存在的风险的风险注:其他还有GAMAB原则、最小内在死亡率(原则、最小内在死亡率(MEM)原则)原则 风险评估和验收实例危险事件的发生频危险事件的发生频度度风风 险
7、险 等等 级级 频繁不希望的不容许的不容许的不容许的经常容许的不希望的不容许的不容许的有时容许的不希望的不希望的不容许的很少可忽略的容许的不希望的不希望的极少可忽略的可忽略的容许的容许的几乎不可能可忽略的可忽略的可忽略的可忽略的轻微次要重大特大危 险 后 果 的 严 重 等 级风险缩减过程允许风险组合:外部设施 系统设计 程序结构调整 元件设计实际风险缩减产生实际风险缩减产生实际风险缩减最小风险缩减现有风险安全完整性安全完整性SIv在指定的时间范围内和指定的条件下,系统圆满完成规定的安全功能的可能性。安全需求和安全完整性安全需求和安全完整性 系统需求规范非安全需求安全需求安全需求规范安全完整性
8、需求系统失效完整性随机失效完整性安全功能需求安全完整性等级安全完整性等级 SIL 安全完整性系统失效完整性随机失效完整性安全管理条件质量管理条件技术安全条件安全定量指标没有明确的需求一组充分的根据SIL归类的方法和工具SILFRSIL4SIL3SIL2SIL1SIL0 SIL表 每功能每小时允许危险率安全完善度等级10-9=THR10-8410-8=THR10-7310-7=THR10-6210-6=THR10-51 概念系统定义和应用条件风险分析系统需求系统需求分配设计和实现制造安装系统确认系统验收运行和维护停用和处置开发方法v 需求和危害分析v 规范正确性完备性一致性无二义性v 规范原型化
9、v 自顶向下设计v 细化设计v 模块实现v 模块测试v 系统集成v 系统测试v 分层设计v 安全内核和防火墙v 可测试性的设计v 面向维护的设计v 人因差错的考虑v 安全性管理v 安全评估和认证故障类型v硬件故障类型 单固定故障 短路故障 开路故障 硬件设计和规范故障等等v软件故障类型 软件规范故障 编码故障 栈溢出故障 使用未初试化便量故障等等v故障覆盖率容错和故障安全技术v 冗余技术 多系备份技术(热备、冷备) 多系表决技术v 设计多样性技术 硬件 软件v 故障诊断技术 功能检查 一致性检查 信号比较 信息冗余 指令监测 回环测试 看门狗 总线监测 电源监测硬件容错和故障安全技术v 静态容
10、错技术 三模冗余TMR N模冗余 表决技术v 动态容错技术 备份技术 自检验对技术v 混合容错技术 带有备份的N模冗余技术 硬件容错的模块同步和多样性v 固有式故障安全技术v 组合式故障安全技术v 反应式故障安全技术v 电磁兼容设计v 防雷设计固有式失效固有式失效-安全安全v这种技术允许一个安全相关功能由单个项执行,前提是假定项的所有可信失效模式均为非危险的。组合式故障-安全技术A中出现第一个故障&功能A功能B输出屏蔽功能A故障检测功能B故障检测功能A功能B检测输出T安全状态A中出现第一个故障第一个故障被检测出屏蔽输出B中出现第二个故障第一个故障出现概率以及第二个故障在检测和屏蔽第一个故障期间
11、T内出现概率的复合应小于规定的概率指标每个安全相关功能应至少由两个项来执行。各项之间应相互独立,以避免共因失效。只有当必要数量的项取得一致时,才允许进行非限制行为。应能检测出一个项中的危险故障并在足够的时间内加以屏蔽,以避免第二个项发生相同故障。反应式故障-安全技术功能A功能A故障检测屏蔽输出功能A检测输出T安全状态A中出现第一个故障第一个故障被检测出屏蔽输出A中出现第一个故障后的检测和屏蔽时间T不应大于规定的潜在危险性瞬间输出时间限制这种技术允许一个安全相关功能由单个项执行,前提是通过快速的危险故障检测和屏蔽来确保它的安全操作(例如通过编码,多路计算和比较,或通过连续的测试)。尽管只由一个项
12、实施实际的安全相关功能,但检查/测试/检测功能应被看作为第二项。检查/测试/检测功应是独立的,以避免共因失效。 软件容错和故障安全技术v多版本编程技术v恢复块v选择合适的程序设计语言v设计良好、清晰的软件架构v软件模块化,减少模块相互依赖v防御性编程v软件注释v软件测试系统可靠性基本概念v失效率v浴盆曲线vMTTFvMTTRvMTBFv可用性可靠性模型v可靠性方框图 串联 并联 串并联组合v失效的独立性v马尔可夫模型 离散马尔可夫模型 连续马尔可夫模型v其他模型可靠性预测和评估v硬件可靠性预测v软件可靠性预测形式化方法概要v 传统的诸如测试、故障树等检错、纠错和容错技术擅长处理由随机产生、系统
13、老化或系统单部件引起的,而不是由复杂的交互作用引起的故障。它们是在假设系统的设计正确的情况下,对软件、硬件故障进行处理。同时,软件的故障处理主要借鉴于硬件故障处理技术。然而硬、软件的故障性质是有差别的,软件具有离散性,更适合用集合、格、群等数学工具来表达。v 一种更为严格和客观安全保障方法v 形式化是指使用离散数学和逻辑学的技术来分析需求、设计和构建计算机系统及其软件,用严格的数学符号和数学法则对目标系统的的结构与行为进行有效的综合分析和推理的方法,它为系统的说明、开发验证提供了一个框架,以利于发现目标系统需求中的不一致、不完整的情况。形式化方法分类形式化方法分类 v 形式化规范形式化规范 描
14、述顺序系统行为的形式规范方法:典型有Z、B、VDM等。 这类方法中状态使用集合、关系和函数等数学结构来表示;状态转移使用前置条件和后置条件来表示。 描述并发系统行为的形式规范方法:典型有CSP、CCS、时序逻辑和I/O自动机。这类方法中状态只使用简单的数学类型例如整数或对状态根本没有定义;系统的行为用序列、树或事件的偏序关系来表示。 集成的形式规范方法:典型有SDL和RAISE。它们把两种不同的方法结合起来,既能表示复杂的状态类型又能描述并发系统的特性。v 形式化验证形式化验证 模型检验模型检验(model checking):模型检验是对有限状态系统的一种形式化确认方法,具体做法是:采用一种
15、形式语言描述系统的规范说明,构造一种算法来遍历根据系统规范设计的实现模型,确认实现模型是否满足系统的规范说明。由于系统的状态是有限的,所以该算法必然会终止。 定理证明:定理证明:定理证明的原理是:首先我们定义一种数学逻辑,该逻辑系统实际上是一个形式化的系统,由一系列公理和推理规则组成。然后我们用这种数学逻辑分别表示被验证系统和其被期望的特性。所谓定理证明就是从系统的公理出发使用推理规则逐步推导出其所期望的特性的证明过程。证明所需要的步骤依赖于系统的公理和推理规则,在某种程度上也依赖于其派生定义和中间引理。与模型检验不同!定理证明可直接处理无限的状态空间。 形式化方法的开发过程验证和确认计划验证
16、和确认人员必须满足独立性要求动态测试v 功能测试v 结构测试v 随机测试v 动态测试技术 基于等价类划分的测试案例 基于边界值分析的测试案例 状态转移测试 概率测试 基于结构的测试 过程仿真 猜错 播错 实时和内存测试 性能测试 压力测试 环境仿真 安全性测试静态分析技术v走查/设计审核v检查表v形式证明vFagan检查v控制流分析v数据流分析v符号执行v度量建模技术v形式化方法v软件原型v性能建模v状态转移图v时间Petri网v数据流图v结构图v环境建模测试策略v测试覆盖率完备测试不可能 语句覆盖率 分枝覆盖率 组合判定覆盖率等等v测试充分性准则 基于需求的准则 基于结构的准则v时间特性v测
17、试开销质量管理v软件工程vISO 9001质量管理体系vCMM/CMMI软件能力成熟度模型(1-5级)铁路信号EN标准族EN50128整个铁路系统铁路信号系统子系统单独设备EN50159(通信)EN50129(安全性)硬件软件EN50126(可信性)安全性的证据:安全性例证Safety Case第六部分:结论第五部分:相关安全例证第四部分:技术安全报告第三部分:安全管理报告第二部分:质量管理报告第一部分:系统定义安全例证安全例证质量管理报告v组织结构v质量计划和程序v需求规范v设计控制v设计验证和评审v应用工程v采购和生产v产品鉴别与可追溯能力v处理与贮存v检查和测试;v不一致及其更正v包装和
18、交货v安装和交付使用v运行与维护v质量监督和反馈v文件和记录v配置管理/修改控制v人员能力与培训v质量审计与追踪报告v系统退役和处置系统生命周期概念系统定义和应用条件风险分析系统需求系统需求的分配设计和实现制造安装系统确认(包括安全性验收和交付使用)系统验收运行和维护系统退役和处置运行监测修改重新应用生命周期安全性生命周期-V形周期系统需求规格危险分析和风险评估安全性需求规格系统结构设计硬件设计软件设计硬件确认软件确认集成和安装测试功能安全性测试/确认系统测试确认安全性功能需求安全性完善度需求系统性失效完善度随机性失效完善度质量管理报告安全性管理报告技术安全性报告测试计划/安排安全组织v建立一
19、个适当的安全组织v使用能胜任工作的职员v各自担任明确的角色,不同角色之间应有适当的独立性v按公认的标准对职员的能力,包括技术水平、学历、相关经验和适当培训经历必须进行评价并形成文档不同角色的独立性安排PMDESVER,VALASSRPMDESVERVALASSRDESDES,VER,VALVER,VALASSRASSR*或SIL3和4SIL1和2SIL0安全验证和确认 v 应验证生命周期的每一阶段能满足前一阶段的安全需求说明v 应确认已完成的系统/子系统/设备能满足最初的安全需求规范v 所有验证和确认工作,包括适当的测试和安全性分析工作都必须进行并作完整的记录v 任何系统/子系统或设备进行修改
20、或扩展以后,都应重复这些工作v 根据安全权威机构的意见,评估员可以是供应商组织的一部分,也可以是顾客组织的一部分。此时,评估员应: 由安全性权威机构认可 完全独立于项目团队 直接向安全性权威机构报告不同安全完整性等级的系统和产品设计的验证和确认指南(表E.9)技术/措施SIL1SIL2SIL3SIL41.检查清单推荐:准备检查清单,关注主要安全性问题推荐:准备详细的检查清单2.仿真推荐推荐3.系统功能测试强力推荐:应实施功能测试、评审,以证实达到预定的特征和安全需求强力推荐:应基于良好定义的测试用例进行全面的功能测试,以证实达到预定的特征和安全需求4.环境条件下的功能测试强力推荐:应在指定环境
21、条件下进行安全相关功能和其他功能的测试强力推荐: :应在指定环境条件下进行安全相关功能和其他功能的测试5.抗浪涌测试强力推荐:应进行实际运行条件边界值的抗浪涌测试强力推荐:应进行比实际运行条件边界值更高的抗浪涌测试6.计算失效率强力推荐:基于典型的条件进行强力推荐:基于最不利条件进行7.文档检查强力推荐:检查所有文档8.确保设计假设没有和生产过程妥协强力推荐:明确生产需求和防范要点,另外由安全组织审查实际生产过程不同安全完整性等级的系统和产品设计的验证和确认指南(续表E.9)技术/措施SIL1SIL2SIL3SIL49.测试装置推荐:测试装置的设计者应独立与系统或产品的设计者强力推荐:测试装置
22、的设计者应独立与系统或产品的设计者10.设计评审强力推荐:在生命周期的适当阶段进行评审,以证实实现了指定的特征和安全性需求强力推荐:在生命周期的适当阶段进行评审,以证实实现了指定的特征和安全性需求11.确保设计假设没有和安装和维护过程妥协强力推荐:明确安装和维护需求以及防范要点强力推荐:明确安装和维护需求以及防范要点,另外由安全组织审查实际安装和维护过程12.通过使用达到高置信度推荐:10000小时运行时间,有运行设备中运用至少1年的经历推荐:一百万小时运行时间,有不同设备中运用至少2年的经历,其中包括安全性分析,运行期间的小修改也要有详细文档资料备注:在阶段验证活动中,可以使用检查清单、计算
23、机辅助规范工具和规范检查。技术安全性报告的格式 v引言v功能正确运行的保障v故障的影响v外界干扰下的运行 v安全性相关的应用条件 v安全性合格测试 功能正确运行的保障 包括所有用以表明系统/子系统/设备在无故障正常情况下正确运行、符合规定的运行和安全性需求的证据材料。 主要有分以下几个方面:v系统结构描述v接口定义v系统需求规范的实现v安全性需求规范的实现v硬件功能正确性的保障v规定环境条件的实现v软件功能正确性的保障故障的影响 本节应论证系统/子系统/设备持续符合规定的安全性要求,包括在发生随机硬件故障时量化的安全性指标。此外,尽管应用了质量和安全性管理程序,系统故障仍然可能存在,本节应当证
24、实为了使残留风险降至合理且可行的最低水平采用了哪些技术措施。本节还应证实安全性完善度等级低于整个系统的系统/子系统/设备中的故障不会影响整个系统的安全性。 主要有分以下几个方面:v 单一故障的影响v 部件的独立性v 单一故障的检测v 故障检测后的措施(包括安全状态的保持) v 多重故障的影响v 系统故障的防护外界干扰下的运行v 应论证在遭受系统需求规范中所论述的外部干扰时,系统/子系统/设备: 继续满足规定的功能需求 继续满足规定的安全性需求(包括故障情况)v 安全性例证只在规定范围的外界干扰内有效。在这些限制之外,则没有安全性保证,除非提供附加的特殊措施v 需完整解释和论证抵御规定的外界干扰
25、的方法安全性相关的应用条件v规定了系统/子系统/设备应用时应遵守的规则、条件和限制,包括任何相关子系统或设备的安全性案例给出的应用条件安全性合格测试 v应包括说明在运行条件下成功完成安全性合格测试的证据材料安全性例证分类v通用产品安全性例证通用产品安全性例证(独立于应用独立于应用)-能被重用于不同独立应用的通用产品v通用应用安全性例证通用应用安全性例证(针对一针对一类应用类应用)-能被重用于一类具有共同功能的应用的通用应用v特定应用安全性例证特定应用安全性例证(针对针对特定应用特定应用)-仅用于某特定装置的特定应用安全性认证 安全性评估报告安全性评估报告应解释安全性评估员采取的行动,以判明系统
26、/子/系统/设备(硬件和软件)如何设计来满足规定的需求,并规定系统/子系统/设备运行可能需附加的条件。评估的深度和独立程度建立在如EN50126-2所述风险分类的结果上。为了增加置信度,安全性评估员可要求进行特定的测试。 整个文档性证据应包括:v 系统系统(或子系统或子系统/设备设备)需求规范需求规范v 安全性需求规范安全性需求规范v 安全性例证安全性例证v 安全性评估报告安全性评估报告 一旦安全性案例证明所有安全性验收条件已得到满足并且符合安全性独立评估结果,系统/子系统/设备就通过了相关安全性管理机构的安全性认证。认证包含了满足安全性评估员所提出的附加条件(暂时的或永久的)。 安全性接收和
27、认证过程系统需求规范系统需求规范系统需求规范安全性需求规范安全性需求规范安全性需求规范通用产品通用产品安全性例证第一部分 第二部分 第三部分 第四部分 第五部分 第六部分通用应用安全性例证第一部分 第二部分 第三部分 第四部分 第五部分 第六部分特定应用安全性例证应用设计 物理实现第一部分 第一部分第二部分 第二部分第三部分 第三部分 第四部分 第四部分 第五 部分 第五 部分第六部分 第六部分安全性评估报告产品安全性认证产品安全性验收交叉验收安全性评估报告应用安全性认证应用安全性验收交叉验收安全性评估报告安全性评估报告设计安全性认证物理实现安全性认证整个安全性验收安全性例证/认证的依赖关系举例设备(a)设备(b)设备(c)子系统4子系统1子系统2子系统3系统A系统B特定应用通用应用通用产品结束结束 谢 谢 !
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。