一个用于取得符合IEC61508组织性功能安全认证的方法论——第一部分:制定策略和确定实施范围

　　1 引言

　　在全球安全关键系统市场，国际安全标准越来越多地被援引用于证明对法定要求的遵守和验证对所需功能安全的满足。随着合同的日趋严格和潜在诉讼风险，一旦出现任何问题，相关组织就需要向有关方面证明其功能安全能力已达到同类最高水平。

　　在此情况下非常重要的一点是通过有效的能力管理机制来确保机构内部对功能安全负有责任的部门和个人有充分能力承担这些职责。为了满足这些不断增长的需求，安全提供商和集成商越来越多地采用更规范的体制，包括认证程序等，以确保其安全应用的实施符合IEC 61508[1]和IEC61511[2]的要求。

　　本文作为功能安全手册的第三部分涵盖了在开发安全生命周期模型和建立功能安全管理系统过程中所涉及的各个步骤。特别陈述了一个系统集成商在设计安全生命周期模型时需要考虑的主要范围，包括一个用于显示必须经历的不同进程阶段的图表。同时给出了各关键阶段的定义：流程诠释、活动和主要交付内容。

　　2 开发安全生命周期模型和建立功能安全管理系统

　　这是所采取/进行的最为重要的活动。它遵循差距评估，并定义了一个全面的安全生命周期模型，其中安全生命周期模型对应于涉及在第一部分第 4 节“确定实施范围”中的核心前提条件的IEC 61508[1]和IEC 61511[2]的相应阶段。该安全生命周期模型是由规程、结构文档(定制成应对任何特定项目变化的安全项目的基本缺省信息)和纲要(包括全部需完成的必要标题的模版)组成。该安全生命周期模型的开发充分利用现有的质量管理流程和规程。下图1给出了模型的细节。对模型中定义的交付内容的解释请参见下面的2.1 节和2.5节。

　　2.1 设计文档

　　2.1.1 功能设计规范

　　功能设计规范(FDS: Functional Design

　　Specification)是集成商提供的关键设计文档。它也是用于对系统设计的关键控制文档，包括所有与为什么采用特定方法进行设计相关的基本原理。它将来自客户的安全要求规范(SRS: Safety RequirementSpecification)作为输入数据，通过FDS对他们进行开发，细化拟将使用的产品平台、系统结构(通常以系统方框图的形式)、接口、以及在功能和操作设计方面的考虑。FDS 一旦被核准认可，它就确立了设计和溯源性的基础，追溯确保证根据进行设计是按客户要求。它也给出最初的硬件设计和软件设计规范。FDS给出系统工厂验收测试(FAT: Factory AcceptanceTesting)的关键验收标准，并被集成商用作衡量FAT结果来测量项目的成功。

　　2.1.2 模块设计规范

　　这是项目生成的最低级别详设文档。模块设计规范的主要作用是明确阐述设计意图，以清晰的设计方式进行交流，和准备执行该规范前的正式批准。模块设计规范详细定义一个特定软件模块的输入，输出和相应操作。它也定义所有使用的变量(全局的或局部的)，其它调用模块、结果和出错条件、传递的参数、以及与其他模块或系统的接口和关系。