ICS 25.040 N 10
GB
中华人民共和国国家标准
GB/T20438.3—2017/IEC61508-3:2010
代替GB/T20438.3—2006
电气/电子/可编程电子安全相关系统的
功能安全　第3部分：软件要求
Functional safety of electrical/electronic/programmable electronic safety-related
systems-Part 3 : Software requirements
（IEC61508-3:2010,IDT)
2018-07-01实施
2017-12-29发布
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会 发布 GB/T20438.3—2017/IEC61508-3.2010
目 次
前言引言
V
范围规范性引用文件定义和缩略语标准的符合性 5 文档安全相关软件管理的附加要求
2
3
4
6
6.1 目的 6.2 要求软件安全生命周期要求 7.1 概述 7.2 软件安全要求规范 7.3 系统安全软件方面的确认计划…. 7.4 软件设计和开发 7.5 可编程电子集成（硬件和软件）... 7.6 软件操作和修改规程 7.7 系统安全确认的软件方面· 7.8 软件修改 7.9 软件验证功能安全评估
7
10
13
14
22 23
2
24 26
29
8
附录A（规范性附录） 技术和措施选择指导附录B（资料性附录） 详细表格附录C（资料性附录） 软件系统性能力的属性附录D（规范性附录） 符合项安全手册一软件组件的附加要求…. 附录E（资料性附录） GB/T20438.2和GB/T20438.3之间的关系· 附录F（资料性附录）单计算机中各软件组件间实现互不干扰的技术附录G（资料性附录） 数据驱动系统的生命周期裁剪指南参考文献
30
37
42
68
70
72
76
T
图1GB/T20438的整体框架图2整体安全生命周期· 图3E/E/PE系统安全生命周期（在实现阶段）图4 软件安全生命周期（在实现阶段）.：图5GB/T20438.2和GB/T20438.3的范围和关系
6 GB/T20438.3—2017/IEC61508-3:2010
图6软件系统性能力和开发生命周期（V模型）图G.1数据驱动系统的复杂度中的可变性
TF
表1软件安全生命周期：概述表A.1 软件安全要求规范（见7.2）表A.2 软件设计和开发：软件架构设计（见7.4.3）表A.3 软件设计和开发：支持工具和编程语言（见7.4.4) 表A.4 软件设计和开发：详细设计（见7.4.5和7.4.6）表A.5 软件设计和开发：软件模块测试和集成（见7.4.7和7.4.8）表A.6 可编程电子集成（硬件和软件）（见7.5）... 表A.7 系统安全确认的软件方面（见7.7）表A.8 修改（见7.8）表A.9 软件验证（见7.9）表A.10 功能安全评估（见第6章）表 B.1 设计和编码标准表B.2 动态分析和测试表 B.3 功能和黑盒测试表B.4 失效分析表B.5 建模表B.6 性能测试表 B.7 半形式化方法表 B.8 静态分析表B.9 模块化方法表 C.1 系统性安全完整性的属性一软件安全要求规范表C.2 系统性安全完整性的属性一软件设计和开发一软件架构设计表C.3 系统性安全完整性的属性一软件设计和开发一支持工具和编程语言表C.4 系统性安全完整性的属性一软件设计和开发一详细设计（包括软件系统设计、软件模块
30 31 32 33 34 34 35 35 36 36 37 37 38 38 39 39 39
40 41 45 47 53
设计和编码）：
54
表C.5 系统性安全完整性的属性一软件设计和开发一软件模块测试和集成表C.6 系统性安全完整性的属性一可编程电子集成（硬件和软件）表C.7 系统性安全完整性的属性一系统安全确认的软件方面表C.8 系统性安全完整性属性一软件修改表C.9 系统性安全完整性的属性一软件验证表C.10 系统性安全完整性的属性一功能安全评估表 C.11 详细属性一设计和编码标准表C.12 详细属性一动态分析和测试表C.13 详细属性一功能和黑盒测试表C.14 详细属性一失效分析表C.15 详细属性 建模表C.16 详细属性 性能测试表 C.17 详细属性 一半形式化方法 II
55
57 58 58 60
60
61
62 63 64 65 65 65 GB/T20438.3—2017/IEC61508-3:2010
表C.18 系统性安全完整性的属性一静态分析表C.19 详细属性一模块化方法表E.1 GB/T20438.2要求分类表E.2 GB/T20438.2的软件相关要求及其与特定类型软件的典型关联表F.1 模块耦合 术语定义表F.2 模块耦合类型
66 67 70 70 73 74
...
....
.
II GB/T20438.3—2017/IEC61508-3:2010
前言
GB/T20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分：
第1部分：一般要求；第2部分：电气/电子/可编程电子安全相关系统的要求；
-
一第3部分：软件要求；一第4部分：定义和缩略语：一第5部分：确定安全完整性等级的方法示例；
第6部分：GB/T20438.2和GB/T20438.3的应用指南；第7部分：技术和措施概述
一
本部分为GB/T20438的第3部分本部分按照GB/T1.1一2009给出的规则起草。 本部分代替GB/T20438.3一2006《电气/电子/可编程电子安全相关系统的功能安全第3部分：
软件要求》，与GB/T20438.3一2006相比，主要技术变化如下：
增加了软件系统性能力的属性（见附录C)；增加了符合项安全手册一软件组件的附加要求（见附录D）；增加了GB/T20438.2和GB/T20438.3之间的关系（见附录E）；
-
一增加了单个计算机中各软件组件间实现互不干扰的技术（见附录F）；
增加了数据驱动系统的生命周期剪裁指南（见附录G)。 本部分使用翻译法等同采用IEC61508-3：2010《电气/电子/可编程电子安全相关系统的功能安
全 第3部分：软件要求》。
本部分由中国机械工业联合会提出。 本部分由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124)归口。 本部分起草单位：机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、上海
工业自动化仪表研究院、皮尔磁工业自动化贸易（上海)有限公司、北京和利时系统工程有限公司、欧姆龙自动化（中国)有限公司、西门子（中国)有限公司、上海中沪电子有限公司。
本部分主要起草人：冯晓升、夏明、熊文泽、史学玲、周有铮、杨柳、黄之炯、罗安、庄凌昀、李佳、刘晓东、 梅豪、华、张龙、叶均、褚卫中、裘坤、孟邹清、肖家麒、王德吉。
本部分所代替标准的历次版本发布情况为：
GB/T20438.3—2006。
V GB/T20438.3—2017/IEC61508-3:2010
引言
由电气和电子器件构成的系统，多年来在许多应用领域中执行其安全功能。以计算机为基础的系
统（一般指可编程电子系统）在其应用领域中用于执行非安全功能，并且也越来越多地用于执行安全功能。如果要安全并有效地使用计算机技术，有关决策者在安全方面有充足的指导并据此做出决定是十分必要的
GB/T20438针对由电气和/或电子和/或可编程电子（E/E/PE)组件构成的、用来执行安全功能的系统安全生命周期的所有活动，提出了一个通用的方法。采用统一的方法的目的是为了针对所有以电为基础的安全相关系统提出一种一致的、合理的技术方针。主要目标是促进基于GB/T20438系列标准的产品和应用领域国家标准的制定
注1：在参考文献中给出了基于GB/T20438系列标准的产品和应用领域标准的例子（见参考文献[1]，[2]，[3])。 在许多情况下，可用多种基于不同技术（如机械的、液压的、气动的、电气的、电子的、可编程电子的
等)的系统来保证安全。因而不得不考虑各类安全策略，不仅要考虑单个系统中的所有组件的问题（如传感器、控制器、执行器等），还要考虑不同安全相关系统组合后的问题。因此当GB/T20438在关注电气/电子/可编程电子（E/E/PE)安全相关系统的同时，也提供了一个框架，在这个框架内，基于其他技术的安全相关系统也可被考进去，
在各种应用领域里，存在着许多潜在的危险和风险，包含的复杂性也各不相同，从而需应用不同的
E/E/PE安全相关系统。对每个特定的应用，将根据特定应用的许多因素来确定所需的安全措施。 GB/T20438作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施。
GB/T 20438
考虑了当使用E/E/PE系统执行安全功能时，所涉及的整体安全生命周期、E/E/PE系统安全生命周期以及软件安全生命周期的各阶段（如初始概念、整体设计、实现、运行和维护到退役）；针对飞速发展的技术，建立一个足够健全且广泛满足未来发展需求的框架；
一使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定；在GB/T20438的框
架下，产品和应用领域的国家标准的制定在应用领域和交叉应用领域宜具有高度一致性（如基本原理，术语等）；这将既具有安全性又具有经济效益；为实现E/E/PE安全相关系统所需的功能安全，提供了编制安全要求规范的方法；
一采用了一种可确定安全完整性要求的基于风险的方法；一引入安全完整性等级，用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整
性等级；
注2：GB/T20438没有规定每个安全功能的安全完整性等级的要求，也没有规定如何确定安全完整性等级。而是
提供了一种基于风险概念的框架和技术范例。 建立了E/E/PE安全相关系统执行安全功能的目标失效量，这些量都同安全完整性等级相联系；
-
一 建立了单一E/E/PE安全相关系统执行安全功能时，目标失效量的一个下限值。这些E/E
PE安全相关系统运行在：
低要求运行模式下，下限设定成要求时危险失效平均概率为10-"；高要求或连续运行模式下，下限设定成危险失效平均频率为10-/h，
注3：单一E/E/PE安全相关系统不一定是单通道架构注4：对于非复杂系统，通过安全相关系统的设计实现更优目标安全完整性是可能的。但对于相对复杂的系统（例
如可编程电子安全相关系统），这些限值代表了目前能够达到的水平。
VI