GJB/Z102-97 5.5安全关键功能的设计 a.安全关键功能必须至少受控于两个独立的功能。 b.安全关键的模块必须同其它模块隔离;安全关键的模块必须放在一起,以便对其进行 保护 安全关键功能必须具有强数据类型;不得使用一位的逻辑“0”或“1”来表示“安全”或 危险”状态;其判定条件不得依赖于全“0”或全“1”的输入 d.安全关键的计时功能必须由计算机控制,使操作人员不能随意修改。 e.在启动安全关键功能之前,必须对可测试的安全关键的单元进行实时检测。当检测到 不安全的情况时,软件必须采取措施对其进行处理;如软件无法处理这种情况,则应保证将控 制转换到硬件的安全子系统。 5.6冗余设计 56.1软件冗余 5.6.1.1考虑失效容限,确定冗余要求 一般依据软件安全关键等级,确定软件的失效容限要求,根据软件的失效容限要求,确定 软件冗余要求。例如,对于A级软件,推荐的失效容限为2,要进行5版本程序设计;对于B级 软件,推荐的失效容限为1要进行3版本程序设计;对于C、D级软件,不考虑失效容限,无需 软件冗余。 对无法实现N(>2)版本程序设计的安全关键软件,建议采用恢复块技术。 56.1.2N版本程序设计 N版本程序设计由N个实现相同功能的(必要时,在考虑特殊处理后可包括按功能降级 设计的)相异程序和一个管理程序组成,各版本先后运算出来的结果相互比较(表决)确定输 出。在表决器不能分辨出错模式的情况下,应当采取少数服从多数的表决方式,甚至可以根据 系统安全性要求采取“一票否决”的表决方式。 N版本程序设计还可以对每一版本运算的结果增加一个简单接受测试或定时约束的功 能,先期取消被证明是错误的结果或迟迟不能到达的结果,以提高表决器的实时性和成功率。 要选用各种不同的实现手段和方法来保证版本的强制相异,以减少共因故障。 注:仅依靠不同的设计队伍并对其它设计因素不作强制要求而开发的软件称为随机相异软件;不仅依靠不同的设计 队伍,而且对方法、手段、工具、模型、语言(或语言的子集)作出强制规定而开发的软件称为强制相异软件 5.6.1.3恢复块 软件需求规格说明中应对恢复块作单独的定义和说明。恢复块由一个基本块、若干个替 换块(可以是功能降级替换块)和接受测试程序组成。基本工作方式是:运行基本块;进行接受 测试,若测试通过,则输出结果;否则,调用第一个替换块,再进行接受测试;……;若在第N个 替换块用完后仍未通过接受测试,便进行出错处理。 5.62信息冗余 a.安全关键功能应该在接到两个或更多个相同的信息后才执行。 b.对安全关键信息,应保存在多种或多个不同芯片中,并进行表决处理 c,对可编程只读存储器(PROM)中的重要程序进行备份(例如,备份在不同的PROM