DIN EN (VDE ): EN :2010

Transkript

1 Inhalt Vorwort... 2 Einleitung Anwendungsbereich Normative Verweisungen Begriffe und Abkürzungen Anhang A (informativ) Überblick über Verfahren und Maßnahmen für sicherheitsbezogene E/E/PE- Systeme: Beherrschung von zufälligen Hardwareausfällen (siehe IEC ) A.1 Elektrik A.1.1 Erkennung von Ausfällen durch Überwachung während des Betriebs A.1.2 Überwachung von Relaiskontakten A.1.3 Vergleicher A.1.4 Mehrheitsentscheider A.1.5 Ruhestromprinzip A.2 Elektronik A.2.1 Tests durch redundante Hardware A.2.2 Dynamische Prinzipien A.2.3 Standardtestschnittstelle (Access Port) und Boundary-Scan-Architektur A.2.4 (Nicht verwendet) A.2.5 Überwachte Redundanz A.2.6 Hardware mit automatischen Tests A.2.7 Analogsignal-Überwachung A.2.8 Unterlastung A.3 Verarbeitungseinheiten (CPUs) A.3.1 Selbsttest durch Software: begrenzte Anzahl von Mustern (ein Kanal) A.3.2 Selbsttest durch Software: Walking Bit (ein Kanal) A.3.3 Selbsttest unterstützt durch Hardware (ein Kanal) A.3.4 Codierte Verarbeitung (ein Kanal) A.3.5 Gegenseitiger Vergleich durch Software A.4 Unveränderliche Speicherbereiche A.4.1 Wortsicherungsverfahren mit Mehr-Bit-Redundanz (zum Beispiel ROM-Überwachung mit einem modifizierten Hammingcode) A.4.2 Modifizierte Prüfsumme A.4.3 Signatur mit einfacher Wortbreite (8 Bit) A.4.4 Signatur mit doppelter Wortbreite (16 Bit) A.4.5 Blockwiederholung (zum Beispiel doppeltes ROM mit Hardware- oder Softwarevergleich) A.5 Veränderliche Speicherbereiche A.5.1 RAM-Test Checkerboard oder March

2 A.5.2 RAM-Test Walkpath A.5.3 RAM-Test Galpat oder transparenter Galpat A.5.4 RAM-Test Abraham A.5.5 Ein-Bit-Redundanz (zum Beispiel RAM-Überwachung mit einem Parity-Bit) A.5.6 RAM-Überwachung mit einem modifizierten Hammingcode oder Erkennung von Datenfehlern mit fehlererkennenden und -korrigierenden Codes (en: error-detectioncorrection codes, EDC) A.5.7 Doppeltes RAM mit Hardware- oder Softwarevergleich und Schreib-/Lesetest A.6 E/A-Einheiten und Schnittstellen (externe Kommunikation) A.6.1 Testmuster A.6.2 Codesicherung A.6.3 Mehrkanalige parallele Ausgabe A.6.4 Überwachte Ausgaben A.6.5 Eingabevergleich/-entscheidung A.7 Datenwege (interne Kommunikation) A.7.1 Ein-Bit-Hardwareredundanz A.7.2 Mehr-Bit-Hardwareredundanz A.7.3 Vollständige Hardwareredundanz A.7.4 Inspektion durch Verwendung von Testmustern A.7.5 Übertragungsredundanz A.7.6 Informationsredundanz A.8 Spannungsversorgung A.8.1 Überspannungsschutz mit Sicherheitsabschaltung A.8.2 Spannungsüberwachung (sekundärseitig) A.8.3 Energieabschaltung mit Sicherheitsabschaltung A.9 Zeitliche und logische Programmlaufüberwachung A.9.1 Watchdog mit separater Zeitbasis ohne Zeitfenster A.9.2 Watchdog mit separater Zeitbasis und Zeitfenster A.9.3 Logische Überwachung des Programmablaufs A.9.4 Kombination von zeitlicher und logischer Überwachung des Programmablaufs A.9.5 Zeitliche Überwachung mit Test während des Betriebs A.10 Lüftung und Beheizung A.10.1 Temperatursensor A.10.2 Lüfterkontrolle A.10.3 Auslösung der Sicherheitsabschaltung über eine thermische Sicherung A.10.4 Gestaffelte Meldung von Thermosensoren und bedingter Alarm A.10.5 Zuschaltung von Umluftkühlung und Statusanzeige A.11 Kommunikation und Massenspeicher A.11.1 Trennung elektrischer Energieleitungen von Informationsleitungen A.11.2 Räumliche Trennung mehrfacher Leitungen

3 A.11.3 Erhöhung der Störfestigkeit A.11.4 Antivalente Signalübertragung A.12 Sensoren A.12.1 Referenzsensor A.12.2 Zwangsöffnender Schalter A.13 Stellglieder (Aktoren) A.13.1 Überwachung A.13.2 Kreuzweise Überwachung mehrfacher Aktoren A.14 Maßnahmen gegen die Einwirkung der physikalischen Umgebung Anhang B (informativ) Überblick über Verfahren und Maßnahmen für sicherheitsbezogene E/E/PE- Systeme: Vermeidung von systematischen Ausfällen (siehe IEC und IEC ) B.1 Allgemeine Maßnahmen und Verfahren...35 B.1.1 Projektmanagement B.1.2 Dokumentation B.1.3 Trennung der Sicherheitsfunktionen des E/E/PE-Systems von Nichtsicherheitsfunktionen B.1.4 Diversitäre Hardware B.2 Spezifikation der Anforderungen an den Entwurf des E/E/PE-Systems B.2.1 Strukturierte Spezifikation B.2.2 Formale Methoden B.2.3 Semi-formale Methoden B.2.4 Rechnerunterstützte Spezifikationswerkzeuge B.2.5 Checklisten B.2.6 Inspektion der Spezifikation B.3 Entwurf und Entwicklung des E/E/PE-Systems B.3.1 Beachtung von Richtlinien und Normen B.3.2 Strukturierter Entwurf B.3.3 Verwendung von bewährten Bauteilen B.3.4 Modularisierung B.3.5 Rechnerunterstützte Entwurfswerkzeuge B.3.6 Simulation B.3.7 Inspektion (Überprüfungen und Analysen) B.3.8 Walkthrough B.4 Betriebs- und Instandhaltungsverfahren für das E/E/PE-System B.4.1 Betriebs- und Instandhaltungsanweisungen...47 B.4.2 Benutzerfreundlichkeit B.4.3 Instandhaltungsfreundlichkeit B.4.4 Eingeschränkte Betriebsmöglichkeiten B.4.5 Betrieb nur durch erfahrene Bediener B.4.6 Schutz gegen Irrtümer des Bedieners

4 B.4.7 (Nicht verwendet) B.4.8 Schutz vor Modifikation B.4.9 Eingabebestätigung B.5 Integration des E/E/PE-Systems B.5.1 Funktionstest B.5.2 Black-Box-Test B.5.3 Statistisches Testen B.5.4 Felderfahrung B.6 Validierung der Sicherheit des E/E/PE-Systems B.6.1 Funktionstest unter Umgebungsbedingungen B.6.2 Test der Störfestigkeit gegen Stoßspannungen B.6.3 (Nicht verwendet) B.6.4 Statische Analyse B.6.5 Dynamische Analyse und Test B.6.6 Ausfallanalyse B.6.7 Worst-Case-Analyse B.6.8 Erweiterte Funktionstests B.6.9 Test unter Grenzbedingungen B.6.10 Test durch Fehlereinbau Anhang C (informativ) Überblick über Verfahren und Maßnahmen zum Erreichen der Sicherheitsintegrität der Software (siehe IEC ) C.1 Allgemeines C.2 Anforderungen und detaillierter Entwurf C.2.1 Strukturierte schematische Methoden C.2.2 Datenflussdiagramme C.2.3 Strukturdiagramme C.2.4 Formale Methoden C.2.5 Defensive Programmierung C.2.6 Entwurfs- und Programmierrichtlinien C.2.7 Strukturierte Programmierung C.2.8 Geheimnisprinzip/Kapselung C.2.9 Modularer Ansatz C.2.10 Verwendung bewährter/verifizierter Softwareelemente C.2.11 Nachvollziehbarkeit C.2.12 Zustandsloser Softwareentwurf (oder Entwurf eingeschränkter Zustände) C.2.13 Numerische Offline-Analyse C.2.14 Nachrichtenverlaufstabellen C.3 Entwurf der Architektur C.3.1 Fehlererkennung und Diagnose

5 C.3.2 Fehlererkennende und korrigierende Codes C.3.3 Assertion-Programmierung (en: failure assertion programming) C.3.4 Diversitäre Überwachungseinrichtung C.3.5 Diversitäre Programmierung C.3.6 Rückwärtsregeneration C.3.7 Regeneration durch Wiederholung C.3.8 Abgestufte Funktionseinschränkungen C.3.9 Künstliche Intelligenz Fehlerkorrektur C.3.10 Dynamische Rekonfiguration C.3.11 Sicherheit und Leistungsfähigkeit in Echtzeit: zeitgesteuerte Architektur C.3.12 UML C.4 Entwicklungswerkzeuge und Programmiersprachen C.4.1 Streng typisierte Programmiersprache C.4.2 Sprachenteilmenge C.4.3 Zertifizierte Werkzeuge und Compiler C.4.4 Betriebsbewährte Werkzeuge und Compiler C.4.5 Geeignete Programmiersprache C.4.7 Testmanagement und Automatisierungswerkzeuge C.5 Verifikation und Modifikation C.5.1 Statistisches Testen C.5.2 Datenaufzeichnung und Analyse C.5.3 Schnittstellenprüfung C.5.4 Durchführung von Testfällen nach einer Grenzwertanalyse C.5.5 Durchführung von Testfällen aus der Fehlererwartung ( Fehler erraten ) C.5.6 Durchführung von Testfällen nach Fehlereinpflanzung C.5.7 Äquivalenzklassen und Test von Partitionen des Eingangsbereichs C.5.8 Strukturabhängige Tests C.5.9 Kontrollflussanalyse C.5.10 Datenflussanalyse C.5.11 Symbolische Ausführung C.5.12 Formaler Beweis (Verifikation) C.5.13 Softwarekomplexitätskontrolle C.5.14 Formale Inspektion C.5.15 Walk-through (Software) C.5.16 Entwurfsüberprüfung C.5.17 Prototypenerstellung/Animation C.5.18 Simulation des Prozesses C.5.19 Anforderungen an die Leistungsfähigkeit C.5.20 Modellierung der Leistungsfähigkeit

6 C.5.21 Belastungstest (en: avalanche/stress testing) C.5.22 Reaktionszeiten und Speicherbeschränkungen C.5.23 Einflussanalyse C.5.24 Software-Konfigurationsmanagement C.5.25 Validierung durch Regressionstest C.5.26 Animation der Spezifikation und des Entwurfs C.5.27 Modellbasiertes Testen (Testfallgenerierung) C.6 Beurteilung der funktionalen Sicherheit C.6.1 Entscheidungs-/Wahrheitstabellen C.6.2 Software-Gefährdungs- und Betreibbarkeitsuntersuchung (en: software hazard and operability study, CHAZOP, FMEA) C.6.3 Analyse von Ausfällen infolge gemeinsamer Ursache C.6.4 Zuverlässigkeitsblockdiagramm Anhang D (informativ) Ein probabilistischer Ansatz zur Bestimmung der Sicherheitsintegrität von vorentwickelter Software D.1 Allgemeines D.2 Gleichungen für statistische Tests und Beispiele für ihre Anwendung D.2.1 Einfacher statistischer Test für die Betriebsart mit niedriger Anforderungsrate D.2.2 Test des Wertebereichs der Eingänge für die Betriebsart mit niedriger Anforderungsrate D.2.3 Einfacher statistischer Test für die Betriebsart mit hoher Anforderungsrate oder kontinuierlicher Anforderung D.2.4 Vollständiger Test D.3 Literaturhinweise Anhang E (informativ) Überblick über Verfahren und Maßnahmen für den Entwurf von ASICs E.1 Entwurfsbeschreibung in (V)HDL E.2 Schaltplaneingabe E.3 Strukturierte Beschreibungsmethodik E.4 Betriebsbewährte Werkzeuge E.5 (V)HDL-Simulation E.6 Funktionstest auf Modulebene E.7 Funktionstest auf oberster Ebene E.8 Funktionstest eingebettet in Systemumgebung E.9 Eingeschränkte Verwendung asynchroner Konstrukte E.10 Synchronisation von primären Eingängen und Kontrolle von Metastabilitäten E.11 Entwurf für Testbarkeit E.12 Modularisierung E.13 Testabdeckung der Verifikationsszenarien (Testbenches) E.14 Beachtung von Programmierrichtlinien E.15 Verwendung eines Codecheckers E.16 Defensive Programmierung

7 E.17 Dokumentation von Simulationsergebnissen E.18 Codeinspektion E.19 Walkthrough E.20 Anwendung validierter Soft-Cores E.21 Validierung von Soft-Cores E.22 Simulation der Gatter-Netzliste zur Überprüfung der Zeitvorgaben E.23 Statische Laufzeitanalyse (STA) E.24 Vergleich der Gatter-Netzliste gegen ein Referenzmodell durch Simulation E.25 Vergleich der Gatter-Netzliste mit dem Referenzmodell (formale Äquivalenzprüfung) E.26 Überprüfung der Anforderungen und Beschränkungen des Herstellers E.27 Dokumentation der Synthesevorgaben, Ergebnisse und Werkzeuge E.28 Verwendung von betriebsbewährten Synthesewerkzeugen E.29 Verwendung von betriebsbewährten Zielbibliotheken E.30 Skriptbasierende Verfahren E.31 Implementierung von Teststrukturen E.32 Abschätzung der Testabdeckung durch Simulation E.33 Abschätzung der Testabdeckung durch Anwendung eines ATPG-Werkzeugs E.34 Nachweis der Betriebsbewährung für verwendete Hard-Cores E.35 Verwendung validierter Hard-Cores E.36 Online-Tests der Hard-Cores E.37 Design-Rule-Check (DRC) E.38 Überprüfung des Layouts Versus Schematic (LVS) E.39 Zusätzliche Reserven (> 20 %) für Prozesstechnologien mit weniger als 3 Jahren Anwendung E.40 Burn-In-Test E.41 Verwendung von betriebsbewährten Schaltkreisfamilien E.42 Betriebsbewährter Fertigungsprozess E.43 Qualitätskontrolle des Fertigungsprozesses E.44 Produktions-Qualitätsprüfung des Schaltkreises E.45 Funktionale Qualitätsprüfung des Schaltkreises E.46 Qualitätsnormen Anhang F (informativ) Definitionen der Eigenschaften der Software-Lebenszyklusphasen Anhang G (informativ) Anleitung zur Entwicklung von sicherheitsbezogener objektorientierter Software Stichwortverzeichnis Literaturhinweise Anhang ZA (normativ) Normative Verweisungen auf internationale Publikationen mit ihren entsprechenden europäischen Publikationen Bilder Bild 1 Gesamtrahmen der IEC

8 Tabellen Tabelle C.1 Empfehlungen für bestimmte Programmiersprachen Tabelle D.1 Notwendige Vorgeschichte zur Zuordnung von Sicherheits-Integritätsleveln bei gegebenem Vertrauensniveau Tabelle D.2 Wahrscheinlichkeiten eines Versagens für die Betriebsart mit niedriger Anforderungsrate Tabelle D.3 Mittlerer Abstand von zwei Testpunkten Tabelle D.4 Wahrscheinlichkeit eines Versagens für die Betriebsart mit hoher Anforderungsrate oder kontinuierlicher Anforderung Tabelle D.5 Wahrscheinlichkeit des Tests aller Programmeigenschaften Tabelle F.1 Spezifikation der Anforderungen an die Sicherheit der Software Tabelle F.2 Softwareentwurf und Softwareentwicklung: Entwurf der Softwarearchitektur Tabelle F.3 Softwareentwurf und Softwareentwicklung: unterstützende Werkzeuge und Programmiersprache Tabelle F.4 Softwareentwurf und Softwareentwicklung: detaillierter Entwurf Tabelle F.5 Softwareentwurf und Softwareentwicklung: Test der Softwaremodule und Integration Tabelle F.6 Integration der programmierbaren Elektronik (Hardware und Software) Tabelle F.7 Softwareaspekte bezüglich der Validierung der Systemsicherheit Tabelle F.8 Softwaremodifikation Tabelle F.9 Softwareverifikation Tabelle F.10 Beurteilung der funktionalen Sicherheit Tabelle G.1 Objektorientierte Softwarearchitektur Tabelle G.2 Detaillierter objektorientierter Entwurf Tabelle G.3 Einige detaillierte objektorientierte Begriffe