ICS25.040 CCS N 10
GB
中华人民共和国国家标准
GB/T 41295.3—2022
功能安全应用指南第3部分：测试验证
Application guide of functional safetyPart 3:Testing and verification
2022-10-01实施
2022-03-09发布
国家市场监督管理总局
国家标准化管理委员会 发布 GB/T41295.3—2022
目 次
前言引言 1 范围 2 规范性引用文件 3 术语和定义
缩略语 5 总则 6 硬件测试
4
/
软件测试 8 集成测试 9 故障插入测试 10 确认测试参考文献
7
10
图 1 基于安全生命周期典型阶段的测试
表1 各个测试的总体考虑表2 软件动态测试· 表3 功能和性能测试· 表4 故障插入测试的程度表5故障插入测试的测试项
. GB/T41295.3—2022
前言
本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
本文件是GB/T41295《功能安全应用指南》的第3部分。GB/T41295已经发布了以下部分：
第1部分：危害辨识和需求分析；一第2部分：设计和实现；一第3部分：测试验证；
一第4部分：管理和维护。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由中国机械工业联合会提出。 本文件由全国工业过程测量和控制标准化技术委员会（SAC/TC124)归口。 本文件起草单位：机械工业仪器仪表综合技术经济研究所、国家管网集团西南管道有限责任公司、
国能智深控制技术有限公司、浙江中控技术股份有限公司。
本文件主要起草人：熊文泽、陈小华、田雨聪、徐德腾、裘坤、史学玲、孟邹清、李旺、张亚彬、王璐刘晓亮、朱杰、刘志勇、帅冰、孙腾。
1 GB/T 41295.3—2022
引言
自GB/T20438（所有部分）发布以来，电气/电子/可编程电子系统已经越来越多的应用于国内各个领域的安全控制和安全防护，包括石油、化工、电力、轨道交通、汽车、电梯/扶梯等。近年来随着智能制造的兴起，智能化设备（主要由电气/电子/可编程电子为技术基础）的安全问题逐渐成为一个新的研究方向和焦点，进一步提升了对功能安全技术的需求。
GB/T20438（所有部分）给出了实现功能安全的基本框架和结构，作为等同转化的标准，与国内企业的管理体系和设计思路未能完全切合，加之很多国内工程技术人员都是初次接触功能安全技术，对于功能安全概念一时难以理解，这就造成虽然国际功能安全标准提出了非常好的安全理念和设计措施，但技术人员难以清楚的理解和认识。GB/T20438（所有部分）发布10多年来，国内一些领先的科研院所和企业已经基于标准要求开展了很多工作，并积累了一定的经验。因此，基于国内目前已有的功能安全评估、功能安全设计、功能安全测试和功能安全管理实践形成本文件，以更好地指导功能安全相关系统的测试验证。
GB/T41295拟制定4个部分：
第1部分：危害辨识和需求分析。目的在于确立功能安全系统设计初期的危害辨识内容和需求如何产生的方法；第2部分：设计和实现。目的在于确立功能安全系统的软硬件设计和实现方法和实施指南
-
一第3部分：测试验证。目的在于确立功能安全系统在生命周期过程各个阶段的测试导则和测
试方法解读；一第4部分：管理和维护。目的在于确立功能安全系统管理和维护过程的导则。
II GB/T41295.3—2022
功能安全应用指南第3部分：测试验证
1范围
本文件确立了功能安全系统的测试验证，包括执行安全相关功能的硬件、软件、集成和系统级的测试。
本文件适用于功能安全系统研发阶段、制造阶段、系统集成阶段、试运行阶段或现场确认阶段。测试活动包括功能安全系统研发团队内部测试和外部测试。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T20438.4一2017电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语
IEC61326-3-1 测量、控制和实验室用电气设备电磁兼容性（EMC)的要求第3-1部分：与安全相关的系统和用于与执行安全相关的功能设备（功能安全）用抗扰度要求一般工业应用Electrical equipment for measurement,control and laboratory useEMC requirementsPart 3-1:Immunity re- quirements for safety-related systems and for equipment intended to perform safety-related functions (functional safety)—General industrial applications]
IEC61326-3-2测量、控制和实验室用电气设备电磁兼容性（EMC)的要求第3-2部分：与安全相关的系统和用于与执行安全相关的功能设备（功能安全）用抗扰度要求带指定电磁环境的工业应用[Electrical equipmentformeasurement,control and laboratory use—EMC requirements—Part 3-2: Immunity requirements for safety-related systems and for equipment intended to perform safety- related functions (functional safety)—Industrial applications with specified electromagnetic environ ment]
3术语和定义
GB/T20438.4一2017界定的以及下列术语和定义适用于本文件。
3.1
功能安全系统functionalsafetysystem 执行安全相关功能的系统，具有功能安全相关的特性，满足特定的安全完整性等级（SIL）。 注：这里的系统是一个广义的概念，包含不同的层次，如安全部件、安全设备或安全控制系统等。在实际的工业过
程中，功能安全系统可能是一个变送器、继电器、安全可编程序控制器或安全仪表系统。 [来源：GB/T41295.1—2022,3.6]
1 GB/T41295.3—2022
3.2
功能安全系统研发团队teamforfunctionalsafetysystemresearchanddevelopment 执行功能安全系统设计研发的责任主体。 注：包括功能安全系统硬件开发人员、软件开发人员、验证测试人员、功能安全管理人员等［来源：GB/T41295.2—2022,3.2]
3.3
故障插入测试faultinjectiontest 人为地在功能安全系统中产生一种故障模式，验证系统在故障状态下的响应情况是否符合安全要
求的一种测试方法。
［来源：GB/T41295.2—2022,3.4］
4缩略语
下列缩略语适用于本文件。 EMC：电磁兼容性（ElectromagneticCompatibility） FMEA：失效模式与影响分析（FailureModeandEffectAnalysis) FMEDA：失效模式、影响与诊断分析（FailureMode，EffectandDiagnosticAnalysis) HDL：硬件描述语言（HardwareDescriptionLanguage） MC/DC：修订的条件/判定覆盖率（ModifiedCondition/DecisionCoverage） SIL：安全完整性等级（SafetyIntegrityLevel）
5总则
5.1需考虑在功能安全系统研发安全生命周期的适当阶段开展测试，以证明所确立的安全功能和安全完整性得以实现，基于安全生命周期典型阶段的测试如图1所示。
安全/设计要求规范阶段
集成测试计划
确认测试计划
软硬件架构设计阶段
硬件测试计划
故障插入测试计划
硬件测试
软硬件详细设计阶段
软件测试
软件测试计划
集成阶段
集成测试
故障插入测试
确认测试
确认阶段
图 1 基于安全生命周期典型阶段的测试
5.2一般功能安全系统实现安全研发过程所开展的测试内容如图1所示，对于更加复杂的系统，或在更严格的安全研发管理下，可能有更多的测试项。 5.3对测试的总体考虑如表1所示。
2 GB/T41295.3—2022
表1各个测试的总体考虑
测试类型
输人文件硬件详细设计相关文
测试计划
测试输出
测试不通过的处理
对硬件详细设计进行修改，并重新执行硬件测试
硬件测试记录/报告
硬件测试 件（设计规范、原理图、 硬件测试计划
降额分析等）
软件测试记录/报告（静态测试报告、单元 对软件详细设计进行修改，动态测试报告、单元集 并重新执行软件测试成测试报告等）
软件详细设计相关文
软件测试 件（设计规范、编码规 软件测试计划
则等) 软硬件架构设计相关 集成测试计划（在架构文件
对设计进行修改，开展影响分析和适当的重新测试
集成测试
集成测试记录/报告
设计完成之后编制)
软硬件相关设计相关文件（设计规范、原理 故障插入测试计划图、失效分析报告等）
故障插入测试记录/ 对设计进行修改，开展影响报告
故障插入测试
分析和适当的重新测试
对设计进行修改，开展影响分析和适当的重新测试
确认测试 安全/设计需求规范 确认测试计划
确认测试记录/报告
5.4测试过程的文档需包括：
a）在测试前宜编制测试规范，详细规定测试内容、方法、采用的设备、步骤和预期结果等； b) 在测试过程中宜形成测试记录； c） 在测试完成后宜编制测试报告； d) 所有测试相关的文档宜按照功能安全管理体系的规定进行编制、维护和存档。
5.5所有测试设备宜有相应的设备管理制度，宜在执行测试之前进行功能完好性检查，宜经过定期的校准。 5.6宜采用自动化测试工具，将手动操作的步骤降到最低， 5.7 测试之前，需清楚的定义出功能安全系统通过测试时应达到的状态和性能指标，宜考虑如下情况：
硬件的损坏； b) 嵌入式程序和应用程序出现非预期的修改或意外的改变； c) 应用数据的存储和交换过程出现非预期的修改； d) 模拟输入/输出接口精度出现不允许的偏差；
a)
通信过程的响应时间超过允许的限值；
9 f) 组件/系统内的扫描周期和响应时间超过允许的限值；
g) 时钟错误； h) 不能正常初始化或复位； i) 组件/系统不能在不同运行模式之间进行转换，如“初始化”“正常运行”“故障”等
5.8 3如在相关的产品标准里面已经定义了适当的性能判据，宜采用该性能判据。
6硬件测试
6.1硬件测试可由功能安全系统硬件研发小组成员开展，执行测试的人员宜不同于该部分硬件的研发人员。
3 GB/T41295.3—2022
6.2 考虑基于硬件详细设计来规划硬件测试用例
3如果使用数字专用集成电路，需要考虑开展以下测试：
6.3
a） 模块级的功能测试，如：使用（V)HDL测试平台； b) 顶层功能测试； c) 嵌人式环境的功能测试； d) 通过对门级网表的仿真进行测试，包括时序、参考模型等。
7 软件测试
7.1 软件测试可由功能安全系统软件研发小组成员开展，执行测试的人员需考虑不同于该部分软件的研发人员。 7.2 基于软件架构和软件详细设计来规划软件测试用例。 7.3 3开展软件静态测试，包括：
a) 对采用的编码规则进行符合性检查，确保代码符合所有的编码规则，对于出现不符合的情况
有相应的论证以说明不符合不会导致潜在的安全隐患，所有的不符合情况及其论证宜文档化； b) 对软件的结构化和模块化特性进行度量，包括圈复杂度等； c) 宜采用专业化工具开展软件静态测试。
7.4 4开展软件动态测试，宜考虑以下内容：
至少从模块（函数）和模块（函数)集成两个层面开展软件动态测试；
a)
软件动态测试的测试用例生成方法和覆盖率程度满足表2；对于某些模块如果达不到100%覆
b）
盖率有合理性论证，例如，调用了第三方已有的安全库、防御性编程等，不符合情况及其论证宜文档化；
c）宜采用专业化工具开展软件动态测试。
表2软件动态测试
参考 SIL1 SIL2 SIL3 SIL4
技术/措施
HR HR
C.5.4 C.5.5 C.5.6 C.5.27 C.5.20 C.5.7 C.5.8 HR HR HR HR C.5.8
R R
根据边界值分析执行测试用例根据错误推测执行测试用例根据错误植入执行测试用例根据基于模型测试用例的生成执行测试用例
HR R R R R R
R R HR HR HR
R R HR R R
2 3 4 5 性能建模
R R R
等价类和输入划分测试
6 7a 结构测试覆盖率（人口)100% 7b 结构测试覆盖率(语句)100% 7c 结构测试覆盖率(分支)100% 7d 结构测试覆盖率（条件、MC/DC)100%
HR R R
HR HR HR
HR
R R R
C.5.8 C.5.8
HR
R
测试用例分析在子系统级进行并基于规范和代码注1：第三列中的参考（属于资料性的，而非规范性的）“C.x.x"显示了GB/T20438.7一2017中附录C给出的技
术/措施的详细描述，
注2：HR表示强烈推荐，R表示推荐，一表示不推荐也不反对，注3：该表引用自GB/T20438.3—2017中表B.2，并进行适当修改，根据安全完整性等级选择适当的技术/措施当100%覆盖率不能实现时（比如防御性代码的语句覆盖率），给予适当的说明，
4