标准规范下载简介
GB/T 41295.3-2022 功能安全应用指南 第3部分:测试验证.pdfICS. 25.040 CCS N 10
GB/T 41295.3—2022
堤防工程投标书施工组织设计Application guide of functional safetyPart 3:Testing and verificatio
国家市场监督管理总局 发布 国家标准化管理委员会
GB/T41295.32022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T41295《功能安全应用指南》的第3部分。GB/T41295已经发布了以下部分: 第1部分:危害辨识和需求分析; 第2部分:设计和实现; 一第3部分:测试验证; 一第4部分:管理和维护。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国机械工业联合会提出。 本文件由全国工业过程测量和控制标准化技术委员会(SAC/TC124)归口。 本文件起草单位:机械工业仪器仪表综合技术经济研究所、国家管网集团西南管道有限责任公司 国能智深控制技术有限公司、浙江中控技术股份有限公司。 本文件主要起草人:熊文泽、陈小华、田雨聪、徐德腾、裘坤、史学玲、孟邹清、李旺、张亚彬、王璐, 刘晓亮、朱杰、刘志勇、帅冰、孙腾
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T41295《功能安全应用指南》的第3部分。GB/T41295已经发布了以下部分: 第1部分:危害辨识和需求分析; 一第2部分:设计和实现; 一第3部分:测试验证; 一第4部分:管理和维护。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国机械工业联合会提出。 本文件由全国工业过程测量和控制标准化技术委员会(SAC/TC124)归口。 本文件起草单位:机械工业仪器仪表综合技术经济研究所、国家管网集团西南管道有限责任公司 国能智深控制技术有限公司、浙江中控技术股份有限公司。 本文件主要起草人:熊文泽、陈小华、田雨聪、徐德腾、裘坤、史学玲、孟邹清、李旺、张亚彬、王璐, 刘晓亮、朱杰、刘志勇、帅冰、孙腾
GB/T 41295.32022
自GB/T20438(所有部分)发布以来,电气/电子/可编程电子系统已经越来越多的应用于国内各 个领域的安全控制和安全防护,包括石油、化工、电力、轨道交通、汽车、电梯/扶梯等。近年来随着智能 制造的兴起,智能化设备(主要由电气/电子/可编程电子为技术基础)的安全问题逐渐成为一个新的研 究方向和焦点,进一步提升了对功能安全技术的需求。 GB/T20438(所有部分)给出了实现功能安全的基本框架和结构,作为等同转化的标准,与国内企 业的管理体系和设计思路未能完全切合,加之很多国内工程技术人员都是初次接触功能安全技术,对于 力能安全概念一时难以理解,这就造成虽然国际功能安全标准提出了非常好的安全理念和设计措施,但 支术人员难以清楚的理解和认识。GB/T20438(所有部分)发布10多年来,国内一些领先的科研院所 和企业已经基于标准要求开展了很多工作,并积累了一定的经验。因此,基于国内目前已有的功能安全 平估、功能安全设计、功能安全测试和功能安全管理实践形成本文件,以更好地指导功能安全相关系统 的测试验证。 GB/T41295拟制定4个部分: 第1部分:危害辨识和需求分析。目的在于确立功能安全系统设计初期的危害辨识内容和需 求如何产生的方法; 第2部分:设计和实现。目的在于确立功能安全系统的软硬件设计和实现方法和实施指南; 第3部分:测试验证。目的在于确立功能安全系统在生命周期过程各个阶段的测试导则和测 试方法解读; 第4部分:管理和维护。目的在于确立功能安全系统管理和维护过程的导则
GB/T41295.32022
功能安全应用指南 第3部分:测试验证
本文件确立了功能安全系统的测试验证,包括执行安全相关功能的硬件、软件、集成和系统级的 测试。 本文件适用于功能安全系统研发阶段、制造阶段、系统集成阶段、试运行阶段或现场确认阶段。测 试活动包括功能安全系统研发团队内部测试和外部测试
B/12U438.42U17齐定的以 ,1 功能安全系统 functional safety system 执行安全相关功能的系统,具有功能安全相关的特性,满足特定的安全完整性等级(SIL)。 注:这里的系统是一个广义的概念,包含不同的层次,如安全部件、安全设备或安全控制系统等。在实际的工业过 程中,功能安全系统可能是一个变送器、继电器、安全可编程序控制器或安全仪表系统。 来源GB/T41295.12022,3.6
GB/T41295.3—2022
功能安全系统研发团队teamforfunctionalsafetysystemresearchanddevelopmen 执行功能安全系统设计研发的责任主体 注:包括功能安全系统硬件开发人员、软件开发人员、验证测试人员、功能安全管理人员等。 [来源:GB/T41295.2—2022,3.2]
人为地在功能安全系统中产生一种故障模式,验证系统在故障状态下的响应情况是否符合安全 一种测试方法。 「来源:GB/T41295.2—2022,3.47
需考虑在功能安全系统研发安全生命周期的适 阶段开展测试,以证明所确立的安全功能和安
图1基于安全生命周期典型阶段的测运
一般功能安全系统实现安全研发过程所开展的测试内容如图1所示,对于更加复杂的系统,或 格的安全研发管理下,可能有更多的测试项。 对测试的总体考虑如表1所示。
GB/T41295.32022
表1各个测试的总体考虑
5.4测试过程的文档需包括!
a)在测试前宜编制测试规范,详细规定测试内容、方法、采用的设备、步骤和预期结果等; b)在测试过程中宜形成测试记录; c)在测试完成后宜编制测试报告; d)所有测试相关的文档宜按照功能安全管理体系的规定进行编制、维护和存档。 5.5所有测试设备宜有相应的设备管理制度,宜在执行测试之前进行功能完好性检查,宜经过定期的 校准。 5.6宜采用自动化测试工具,将手动操作的步骤降到最低。 5.7 测试之前,需清楚的定义出功能安全系统通过测试时应达到的状态和性能指标,宜考虑如下情况 a) 硬件的损坏; b 嵌人式程序和应用程序出现非预期的修改或意外的改变; ) 应用数据的存储和交换过程出现非预期的修改; 模拟输人/输出接口精度出现不允许的偏差; e 通信过程的响应时间超过允许的限值; f 组件/系统内的扫描周期和响应时间超过允许的限值; 8) 时钟错误: h)不能正常初始化或复位; 1 组件/系统不能在不同运行模式之间进行转换,如“初始化”“正常运行”“故障”等。 5.8如在相关的产品标准里面已经定义了适当的性能判据,宜采用该性能判据
硬件测试可由功能安全系统硬件研发小组成员开展,执行测试的人员宜不同于该部分硬件的 员
GB/T41295.3—2022
6.2考虑基于硬件详细设计来规划硬件测试用例,
a) 模块级的功能测试,如:使用(V)HDL测试平台; b) 顶层功能测试: 嵌人式环境的功能测试; 通过对门级网表的仿真进行测试,包括时序、参考模型等
7.3开展软件静态测试,包括: a)对采用的编码规则进行符合性检查,确保代码符合所有的编码规则,对于出现不符合的情况, 有相应的论证以说明不符合不会导致潜在的安全隐患,所有的不符合情况及其论证宜文档化; b)对软件的结构化和模块化特性进行度量,包括圈复杂度等; c)宜采用专业化工具开展软件静态测试。 7.4开展软件动态测试,宜考虑以下内容: a)至少从模块(函数)和模块(函数)集成两个层面开展软件动态测试; b 软件动态测试的测试用例生成方法和覆盖率程度满足表2;对于某些模块如果达不到100%覆 盖率有合理性论证,例如,调用了第三方已有的安全库、防御性编程等,不符合情况及其论证宜 文档化; c)宜采用专业化工具开展软件动态测试
7.3开展软件静态测试,包括
注1:第三列中的参考(属于资料性的,而非规范性的)“C.x.x"显示了GB/T20438.7一2017中附录C给出的技 术/措施的详细描述。 注2:HR表示强烈推荐,R表示推荐,一表示不推荐也不反对, 注3:该表引用自GB/T20438.3一2017中表B.2,并进行适当修改, 根据安全完整性等级选择适当的技术/措施, 当100%覆盖率不能实现时(比如防御性代码的语句覆盖率),给予适当的说明
GB/T41295.32022
8.1集成测试宜由功能安全系统研发团队的测试人员完成,测试人员宜不同于硬件和软件设计人员。 8.2基于功能安全系统架构设计和系统级失效分析的结论设计集成测试的用例。 3.3执行功能、黑盒和性能测试,以证明集成后的组件或系统满足预期的目的,宜至少满足表3的相关 内容
GB/T41295.3—2022
表3功能和性能测试(续)
构现场见证下完成 9.2故障插人测试的用例宜由第三方功能安全评估机构根据设计文档和失效分析记录等形成,并在测 武前与功能安全系统研发团队沟通确定;故障插入测试可在器件级、组件级和系统级开展 9.3故障插入测试的执行程度如表4所示,在低测试程度下,测试至少在组件或系统级,包括不同单元间 的数据连接。在中等或高程度下,测试应用于元器件级,并以足够的严格度来验证声明的诊断覆盖率。
表4故障插入测试的程度
9.4故障插人测试的目的如下!
验证硬件失效分析(例如:FMEA或FMEDA)和软件失效分析(例如:软件HAZOP,软件 FTA)对于故障影响判定的正确性(例如:安全失效、危险失效的划分); D 验证初始化时/运行时执行的诊断测试是否切实有效,以及在诊断到故障后是否采取了正确 的动作(包括进入安全状态,指示灯变化,上位监控软件报警等); 验证组件/系统的故障响应是否符合设计意图; d) 验证允许的在线维护过程,如模块的更换,运行是否符合设计意图; e) 验证安全通信设计的正确性。 9.5 5故障插人测试的流程考虑如下过程: 收集所需的输人材料,包括软硬件详细设计、软硬件失效分析报告等; b) 设计故障插入测试用例,并形成故障插入测试计划; c)准备故障插入待测系统、测试环境和测试设备,对待测系统进行功能和性能检查(见第5章的
桥梁钢筋绑扎施工工艺标准9.5故障插入测试的流程考虑如下过程:
GB/T41295.32022
d)执行故障插入测试,并记录测试时间、现象和人员等信息;如在测试过程中发现问题宜执行设 计修改,并返回到第三步重新开始测试,已完成的测试是否需要重复取决于设计修改后的影响 程度; e 编制故障插人报告。 9.6 在确定故障插人测试点时考虑以下方面: a) 在失效分析中对于失效影响判定不明晰的地方,包括对安全还是危险能不能诊断到的判定; 失效模式的失效率较大; C 系统运行时用于故障揭露的所有诊断措施; d)完成特定功能的专用复杂器件(如模数转换芯片); 对于某些复杂器件的内部依靠软件实现的诊断措施; 安全通信过程的故障诊断措施。 注:由于功能安全系统的元器件/模块较多,一般情况对所有元器件/模块的失效模式进行故障模拟是不现实的,需 筛选出具有代表性的测试点,通过对代表性测试点的故障插入可证明对该部分信号链路的诊断能力是否确实 发挥作用。 典型故障插人测试用例如表5所示,对于功能安全系统考虑表5中的适用测试用例
表5故障插入测试的测试项
GB/T41295.3—2022
表5故障插入测试的测试项(续)
五家渠恒大金碧天下项目18#混凝土工程施工方案GB/T41295.32022