标准在工作项目207安全性关键项目的确定与控制中指出,符合下述准则之一的软件,建议确定为安全性关键项目:
a) 导致后果严重的危险(如该标准规定的Ⅰ级危险和Ⅱ级危险)或是其发生条件之一;
b) 控制属于安全性关键项目的功能;
c) 处理属于安全性关键项目的命令或数据;
d) 对系统是否达到特定危险状态,进行检侧、报告或者采取纠正措施;
e) 与属于安全性关键项目的软件在同一处理器内运行的软件;
f) 进行危险趋势分析或数据处理,且其结果直接用于安全性决策;
g) 提供安全性关键项目(包括硬件或软件)的全部或部分验证或者确认。
GJB 900A-2012还指出安全性关键项目的确定和控制应是一个动态过程,应通过定期评审来评定安全性关键项目控制和试验的有效性,并对安全性关键项目清单及其控制计划和方法进行增减。
在工作项目303制定安全性设计准则中指出,通用的安全性设计准则可参考但不局限于以下内容:
a) 应通过设计(包括原材料、元器件的选择和代用),消除已识别的危险或将其风险降低到可接受水平;
b) 危险的物质、零部件和操作应与其它活动、区域、人员以及不相容的器材相隔离;
c) 对于不能消除的危险,应考虑采取补偿措施减少其风险,这类措施包括:联锁、冗余系统防护、灭火和防护服、防护设备、防护规程;
d) 当各种补偿措施都不能将危险的风险降低到可接受程度时,应在装配、使用、维护和修理说明书中给出告警和注意事项,并在危险零部件、器材、设备和设施上做出醒目标记(标记应符合GB 2894的有关规定,采用的安全色应符合GB 2893的规定);
e) 尽量减少恶劣环境条件(例如:温度、压力、噪声、毒性、加速度、振动、冲击和有害射线等)所导致的危险;
f) 装备设计时应同步开展防误操作设计、人机工效设计,降低人为差错的风险;
g) 装备的布局应使人员在操作、维护或调试过程中,能尽量避开危险;
h) 应综合考虑各种不利因素(环境及使用因素等)的影响,并留有一定的设计余量;
i) 对Ⅰ级和Ⅱ级危险应采取容错设计;
j) 对于影响安全的关键功能的冗余应在物理上或功能上进行隔离,设置保护措施;
k) 应进行故障隔离设计,防止因自身故障而导致与之有接口关系的产品发生Ⅰ级和Ⅱ级危险;
l) 对装备安全性起关键作用的系统、分系统、设备或部件应进行故障-安全设计,使其发生故障后仍能保证装备的安全;
m) 已有的标准、设计规范中的安全性要求,例如:GJB/Z 102A规定的软件安全性设计准则。
未完待续…
联系客服