參考中文標準2018年9月24日可編程組件中的軟件-UL19983內(nèi)容2所用術(shù)語的定義63風險分析104流程定義115設(shè)計，實施和驗證工具的資格116軟件設(shè)計127軟件的關(guān)鍵和監(jiān)督部分128解決微電子硬件故障模式的措施139產(chǎn)品界面1410用戶界面1411軟件分析與測試1511.1軟件分析1511.2軟件測試1511.3失效模式和壓力測試1612文檔1712.1用戶文檔1712.2軟件計劃1712.3風險分析方法和結(jié)果1712.4配置管理計劃1712.5可編程系統(tǒng)架構(gòu)1812.6可編程組件和軟件需求規(guī)范1812.7軟件設(shè)計文檔1812.8分析和測試文檔1913現(xiàn)成的(OTS)軟件1914軟件更改和文檔控制2015鑒定20附錄A(信息性)-解決微電子硬件故障模式的措施示例A6表A2.1A10的應(yīng)用示例此頁有意留為空白。2018年9月24日可編程組件中的軟件-UL19981.1這些要求適用于駐留在執(zhí)行安全相關(guān)功能的可編程組件中的非網(wǎng)絡(luò)嵌入式軟件，該軟件的故障可能導致火災(zāi)，電擊或人身傷害的風險。1.2這是一個參考標準，當其他標準或產(chǎn)品安全要求明確引用該要求時，將應(yīng)用這些要求。1.3這些要求解決了由可編程組件中的軟件控制的產(chǎn)品硬件所特有的風險。1.4這些要求旨在補充適用的產(chǎn)品或組件標準和要求，而不是作為調(diào)查火災(zāi)，電擊或人身傷害風險的唯一1.5這些要求旨在解決軟件或用于開發(fā)和維護軟件的過程中發(fā)生的風險，例如：a)需求轉(zhuǎn)換故障，導致可編程組件的規(guī)范和軟件設(shè)計之間的差異；b)設(shè)計錯誤，例如錯誤的軟件算法或接口；c)編碼錯誤，包括語法，不正確的符號，無窮循環(huán)和其他編碼錯誤；d)導致程序執(zhí)行過早或延遲的時序錯誤；e)微電子內(nèi)存故障，例如內(nèi)存故障，內(nèi)存不足或內(nèi)存重疊；f)由微電子硬件故障引起的故障：g)潛在故障，用戶故障，輸入/輸出故障，范圍故障以及其他僅在給定狀態(tài)發(fā)生時才可檢測到的故障。和h)可編程組件根本無法執(zhí)行任何功能。1.6產(chǎn)品標準要求可以酌情修改或取代本標準中的要求。1.7這些要求并非旨在解決網(wǎng)絡(luò)安全問題。產(chǎn)品標準或其他參考標準(例如，可聯(lián)網(wǎng)產(chǎn)品的軟件網(wǎng)絡(luò)安全標準，第1部分)應(yīng)解決與未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問或攻擊相關(guān)的風險。一般要求，UL2900-1。6可編程組件中的軟件-UL19982013年12月18日2所用術(shù)語的定義2.1就本標準而言，以下定義適用。2.2特定于應(yīng)用的集成電路(ASIC)-一種電子設(shè)備，由許多晶體管和其他半導體組件組成，這些組件將標準庫和庫中的陣列集成到一個特定用途的硅片中。2.3內(nèi)置測試-一種設(shè)計方法，通過添加用于生成測試信號和分析測試結(jié)果的邏輯，產(chǎn)品可以進行2.4中央處理單元(CPU)-計算和控制系統(tǒng)的單元，包括控制指令解釋及其執(zhí)行的電路。2.5關(guān)鍵部分-軟件的一部分，旨在執(zhí)行解決或控制風險的功能。2.6數(shù)據(jù)-以適合存儲，交流，解釋或處理的方式表示事實，概念或說明。2.7設(shè)計-定義軟件體系結(jié)構(gòu)，組件，模塊，接口，測試方法和數(shù)據(jù)以滿足特定要求的過程。2.8電子可擦除可編程只讀存儲器(EEPROM)-一種可重新編程的只讀存儲器，其中的單元可以被電擦除，并且每個單元都可以被電重新編程。2.9嵌入式軟件-物理上屬于產(chǎn)品的軟件，其主要目的是維護產(chǎn)品其他組件之間的某些屬性或關(guān)系，以實現(xiàn)總體系統(tǒng)目標。2.10可擦除可編程只讀存儲器(EPROM)-一種可編程存儲器，只能在正常使用下讀取，不能更改。該存儲器能夠被紫外線擦除并重新編程。2.11錯誤-計算，觀察或測量的值或條件與真實，指定或理論上正確的值或條件之間的差異。2.12FAIL-OPERATIONALPROCEDURE-在發(fā)生故障的情況下執(zhí)行的過程，該過程可以繼續(xù)產(chǎn)品操作，但會降低性能或降低功能。2.13失敗安全程序-一種在過渡到非操作模式時維持產(chǎn)品的“已解決風險”狀態(tài)的程序。2.14失敗-產(chǎn)品或組件無法執(zhí)行其指定功能。2.15故障模式-故障的物理或功能表現(xiàn)。2.16故障模式測試-根據(jù)可編程組件或產(chǎn)品中存在的故障模式專門開發(fā)的一套測試。節(jié)的增量。2.20危險-潛在的人身傷害來源。2.22完整性-系統(tǒng)或組件防止未經(jīng)2.23微控制器-一種能夠執(zhí)行指令的微計算機芯片。2.30現(xiàn)貨(OTS)軟件-在市場上出售并打算廣泛分發(fā)的軟件，通常不需要其他定制，包括但不限于操作系統(tǒng)軟件，運行時庫，實時執(zhí)行人員，內(nèi)核原語，可共享的可重入庫類型例程等。這包括由另一位開發(fā)2.31操作測試-使用代表其操作環(huán)境的輸入配置文件對產(chǎn)品或組件進行評估。2.32參數(shù)設(shè)置-分配給變量的有限值集合，以選擇，啟用或禁用軟件的已知預(yù)先存在的功能。2.33分區(qū)-將系統(tǒng)功能分離為可驗證的獨特且受保護的功能集合的行為。2.34發(fā)行后測試-所有發(fā)布的最終軟件發(fā)布后進行的更改測試。2.35程序-執(zhí)行任務(wù)所采取的行動過程。2.36過程-為產(chǎn)生給定結(jié)果而執(zhí)行的一系列步驟。2.37產(chǎn)品-供個人，家庭，工業(yè)，實驗室，辦公室或運輸使用的儀器，設(shè)備，工具或機器。2.38產(chǎn)品硬件-產(chǎn)品的一部分并且提供電氣，機械和(或)機電功能的任何硬件。2.39可編程組件-可在設(shè)計中心，工廠或現(xiàn)場進行編程的任何微電子硬件。這里，術(shù)語“可編程的”被認為是可以改變軟件的任何方式，其中可以改變組件的行為。2.40可編程組件配置-必須存在的微電子硬件和軟件的配置，并且該軟件可以正常運行以按預(yù)期操作和控制設(shè)備。該配置包括但不限于操作系統(tǒng)或執(zhí)行軟件，通信軟件，微控制器，網(wǎng)絡(luò)，輸入/輸出硬件，任何通用軟件庫，數(shù)據(jù)庫管理和用戶界面軟件。2.41可編程只讀存儲器(PROM)-一種存儲芯片，其內(nèi)容可以由用戶或制造商針對特定目的進2.42隨機訪問存儲器(RAM)-數(shù)據(jù)存儲，其中數(shù)據(jù)訪問所需的時間與最近獲取或放置在存儲中的數(shù)據(jù)位置無關(guān)。2.43只讀存儲器(ROM)-數(shù)據(jù)存儲，用于存儲計算機指令無法更改的數(shù)據(jù)。2.44風險-與產(chǎn)品安全要求所指定的產(chǎn)品預(yù)期用途相關(guān)的火災(zāi)，電擊或人身傷害的潛在危險。2.45潛在風險(RA)州-一種特征，即與要解決的產(chǎn)品的預(yù)期用途相關(guān)的所有合理可預(yù)見的風險，從風險的可能性。2013年12月18日可編程組件中的軟件-UL199892.46安全相關(guān)功能-控制，保護和監(jiān)視功能，旨在減少火災(zāi)，電擊或人身傷害的風險。2.47軟件-與可編程組件的操作有關(guān)的計算機程序，過程和數(shù)據(jù)，可提供以下與安全相關(guān)的功能：a)對微電子或產(chǎn)品硬件的狀態(tài)進行直接控制。如果不執(zhí)行，亂序執(zhí)行或執(zhí)行不正確，則此類程序，過程和數(shù)據(jù)可能會導致風險。b)監(jiān)視微電子或產(chǎn)品硬件的狀態(tài)。當不執(zhí)行，亂序執(zhí)行或執(zhí)行不正確時，此類程序，過程和數(shù)據(jù)將提供可能導致風險的數(shù)據(jù)。c)對微電子或產(chǎn)品硬件的狀態(tài)進行直接控制。如果不執(zhí)行，不按順序執(zhí)行或執(zhí)行不正確，則此類程序，過程和數(shù)據(jù)可能會與其他人為操作，產(chǎn)品硬件或環(huán)境故障結(jié)合在一起，從而導致風險。2.48軟件代碼-以編程語言或匯編器，編譯器或其他翻譯器輸出的形式表示的計算機指令和數(shù)據(jù)定義。2.49軟件設(shè)計-定義軟件體系結(jié)構(gòu)，組件，模塊，接口，測試方法和數(shù)據(jù)的過程，以實現(xiàn)特定要求的軟件實現(xiàn)。2.50狀態(tài)-在給定的時間點通過一組變量定義的值，這些變量定義了產(chǎn)品或其組件的某些特定特征。2.51應(yīng)力測試-為評估產(chǎn)品或組件達到或超出其指定要求的限制而進行的測試。2.52管理部分-控制軟件的關(guān)鍵和非關(guān)鍵部分(例如，微處理器的操作系統(tǒng))的執(zhí)行的軟件的主要部分。2.53測試配置-用于測試的測試和測量設(shè)備的詳細標識和布局。測試配置通常直接記錄在測試計劃或測試過程中，并指定所有特殊的測試裝置，輔助軟件，軟件工具和數(shù)據(jù)文件，以及對測試設(shè)置和任何準備活動的描述。2.54測試標準-產(chǎn)品或組件必須滿足的目標才能符合給定的測試。2.55測試參數(shù)-用于更改和定義測試的變量。2.56測試計劃-描述預(yù)期測試活動的范圍，方法，資源和時間表的文件。它定義了測試項目，要測試的功能，測試任務(wù)，將執(zhí)行每個任務(wù)的人員以及需要應(yīng)急計劃的任何風險。2.57測試程序-針對給定測試用例的結(jié)果的設(shè)置，執(zhí)行和評估的詳細說明。2.58工具-任何設(shè)備(例如邏輯分析儀，示波器，萬用表，數(shù)字和模擬計算機),設(shè)備或軟件程序(例如模擬器，計算機輔助軟件/系統(tǒng)工程(CASE)工具，編譯器，類型檢查器，靜態(tài)分析器，自動化測試腳本，調(diào)試器，鏈接器，加載器，匯編器，代碼生成器，代碼庫管理員，編輯器和軟件分析器],用于自動化或部分自動化軟件開發(fā)活動，包括設(shè)計，實現(xiàn)和測試。2.59工具鑒定-接受分析，測試和所得證據(jù)，以證明他們對工具輸出的正確性具有信心。2.60工具供應(yīng)商-負責提供工具的組織。2.61UNIQUEIDENTIFIER(唯一標識符)-一個值，用于區(qū)別制造商的軟件關(guān)鍵和監(jiān)管部分的每個單獨的版本或修訂版。2.62USER-合格的服務(wù)人員或可編程組件的操作員。2.63驗證-對集成計算機系統(tǒng)(硬件和軟件)及其規(guī)格的測試和評估，以確定其是否實現(xiàn)了預(yù)期2.64驗證-確定給定開發(fā)階段的產(chǎn)品是否正確并與該階段輸入的產(chǎn)品和標準相一致的過程。3風險分析3.1應(yīng)進行風險分析以確定：a)風險集合；和b)該軟件解決了已識別的風險。3.2風險分析應(yīng)基于可編程組件的安全要求。3.3必須進行分析以識別軟件的關(guān)鍵，非關(guān)鍵和管理部分。3.4應(yīng)當進行分析以識別可能導致風險的狀態(tài)或過渡。2018年9月24日可編程組件中的軟件-UL19984工藝定義4.1應(yīng)描述所有軟件過程活動(請參見第12節(jié)，文檔)。4.2應(yīng)使用不同的入口點，出口點和活動之間的轉(zhuǎn)換標準來標識軟件過程活動。4.3根據(jù)第3節(jié)“風險分析”的要求，軟件過程應(yīng)包括風險分析。風險分析應(yīng)可追溯到《可編程組件和軟件需求規(guī)范》(參見12.6)。4.4活動之間轉(zhuǎn)換的標準應(yīng)包括對可編程組件安全相關(guān)要求的考慮。4.5工作產(chǎn)品(例如會議記錄，分析和測試結(jié)果，正式文檔等)應(yīng)予以標識并與軟件過程活動相關(guān)聯(lián)。4.6所有軟件過程活動均應(yīng)支持可能影響可編程組件安全相關(guān)功能的問題的溝通。4.7可編程組件的安全相關(guān)要求應(yīng)可在整個軟件過程活動中追溯，并應(yīng)提供書面證據(jù)證明符合該標準。4.8軟件過程中的驗證，確認和測試活動應(yīng)從源頭上解決錯誤。5設(shè)計，實施和驗證工具的資格5.1應(yīng)使用以下至少一種形式，為在可編程組件中設(shè)計，實施和驗證軟件中使用的所有工具提供工具資格a)根據(jù)本標準11.1.1、11.2.1、11.2.4、12.1、12.2、12.4、12.8和第14和15節(jié)證明工具校準，驗證和確認活動的文檔。b)該工具已達到第三方工具認證程序正式定義的要求的證據(jù)。5.2當可從工具供應(yīng)商或其他來源(例如，用戶社區(qū))獲得時，制造商應(yīng)提供制造商打算用于開發(fā)軟件的工具的精確修訂/版本的已知錯誤列表。對于工具已知錯誤報告中的每個已識別錯誤，在實施5.1(a)時應(yīng)提供以下證據(jù)。a)導致錯誤的功能已由工具供應(yīng)商在新版本中進行了修復(fù)，測試和批準，以供分發(fā)，該新版本已合并到工具制造商的版本中，或者b)導致錯誤的功能尚未被制造商用于與安全相關(guān)的軟件的開發(fā)中，并且不會導致風6軟件設(shè)計為初始值，則該工具的資格應(yīng)包括對此的驗證(請參閱第5節(jié))。7軟件的關(guān)鍵和監(jiān)督部分2018年9月24日可編程組件中的軟件-UL1998137.7當安全相關(guān)功能的啟動可能導致危險時，除非產(chǎn)品安全要求中另有規(guī)定，否則至少應(yīng)使用兩個指令序列來驗證安全相關(guān)功能的啟動。7.8應(yīng)有規(guī)定來控制專用于關(guān)鍵和監(jiān)督部分功能的指令和數(shù)據(jù)的可訪問性。7.9應(yīng)有條文保護軟件的關(guān)鍵和監(jiān)督部分的指令和數(shù)據(jù)不受任何功能(關(guān)鍵和監(jiān)督部分功能除外)的影響。7.10軟件的監(jiān)督和關(guān)鍵部分應(yīng)駐留在非易失性存儲器中。如果在操作過程中將軟件的管理和關(guān)鍵部分轉(zhuǎn)移到易失性存儲器中，則應(yīng)在第3節(jié)“風險分析”中考慮與從易失性存儲器中轉(zhuǎn)移和執(zhí)行軟件有關(guān)的風險。7.11必須采用手段來保持軟件關(guān)鍵和監(jiān)控部分所使用數(shù)據(jù)的完整性。7.12用于軟件關(guān)鍵和監(jiān)控部分的固定或一次性更改數(shù)據(jù)應(yīng)駐留在非易失性存儲器中。如果在操作過程中將用于軟件關(guān)鍵部分和管理部分的固定或一次性更改數(shù)據(jù)轉(zhuǎn)移到易失性存儲器中，則應(yīng)在第3節(jié)“風險分析”中考慮與從易失性存儲器中轉(zhuǎn)移和訪問此數(shù)據(jù)相關(guān)的風險。8解決微電子硬件故障模式的措施8.1必須采取措施解決由第3節(jié)“風險分析”確定的所有微電子硬件故障模式。附錄A包含微電子硬件可接受措施的示例。8.2應(yīng)考慮以下微電子硬件的物理故障：a)CPU寄存器，指令解碼和執(zhí)行，程序計數(shù)器，尋址和數(shù)據(jù)路徑；b)中斷處理和執(zhí)行；d)非易失性和易失性存儲器以及存儲器尋址；e)內(nèi)部數(shù)據(jù)路徑和數(shù)據(jù)尋址；f)外部通訊和數(shù)據(jù)，尋址和時序；g)輸入/輸出設(shè)備，例如模擬I/O,D/A和A/D轉(zhuǎn)換器以及模擬多路復(fù)用器；h)監(jiān)控裝置和比較器；和i)專用集成電路(ASIC),門陣列邏輯(GAL),可編程邏輯陣列(PLA)和可編程門陣列(PGA)硬件。8.3微電子硬件故障，軟件故障和其他可能導致危險的事件的可能組合應(yīng)進行分析。例如，這包括微電子硬件故障，這些故障會導致軟件故障，從而導致風險。8.4當可從可編程組件供應(yīng)商或其他來源(例如用戶社區(qū))獲得時，制造商應(yīng)為制造商打算使用的可編程組件的精確修訂/版本提供勘誤表。對于勘誤中的每個已識別錯誤，應(yīng)提供以下證據(jù)：a)該錯誤已由可編程組件供應(yīng)商以新版本修復(fù)，測試并批準分發(fā)，該新版本已合并到制造商版本的可編程組件中，或者b)制造商尚未在安全相關(guān)軟件的開發(fā)中使用受錯誤影響的功能。9產(chǎn)品介面9.1對于任何持續(xù)時間的電源中斷，軟件均應(yīng)保持記錄在案的RA狀態(tài)。9.2當初始化被分配為軟件功能時，軟件應(yīng)將產(chǎn)品初始化為記錄的RA狀態(tài)。9.3在軟件終止的任何情況下，產(chǎn)品均應(yīng)保持記錄在案的RA狀態(tài)。9.4旨在中止可編程組件的過程或指令應(yīng)保持產(chǎn)品的RA狀態(tài)。10使用者介面10.1除非產(chǎn)品安全要求中另有規(guī)定，否則本節(jié)中的要求僅適用于接受用戶輸入的軟件。10.2用戶不得更改軟件的時間限制和其他參數(shù)，以免對軟件的關(guān)鍵部分和管理部分的預(yù)期執(zhí)行產(chǎn)生不利影10.3應(yīng)防止打算由合格的服務(wù)人員配置的軟件的時間限制和其他參數(shù)，以免對軟件的關(guān)鍵或監(jiān)控部分的預(yù)期操作造成不良影響。10.4該軟件應(yīng)要求兩個或多個用戶響應(yīng)才能啟動可能導致風險的操作。10.5當從外部源接收到輸入命令時，這些輸入命令在執(zhí)行時會導致危險，在沒有操作員干預(yù)的情況下，不10.6對于10.5中所述的系統(tǒng)，任何可能導致風險的操作都不應(yīng)由單個用戶輸入啟動。10.7輸入錯誤將不會對軟件關(guān)鍵部分的執(zhí)行產(chǎn)生不利影響。10.8如果產(chǎn)品安全要求要求這樣做，并且由風險分析確定時，則軟件應(yīng)提供用戶取消當前操作的功能，并使可編程組件返回RA狀態(tài)。10.9用戶取消當前操作應(yīng)要求用戶輸入一次。10.10取消處理將使軟件處于RA狀態(tài)。此頁面上沒有文字11.1.1應(yīng)進行軟件設(shè)計和代碼分析，以評估軟件的關(guān)鍵部分和監(jiān)督部分僅執(zhí)行其打算執(zhí)行的功能，并且不11.1.2進行軟件設(shè)計和代碼分析以證明：a)關(guān)于可編程組件安全要求的正確性和完整性；b)處理和糾正與異常操作相關(guān)的風險或涉及與其正常操作相關(guān)的風險的每個分支條件和功能c)故障安全和故障操作過程使產(chǎn)品進入RA狀態(tài)。參見6.3、6.4和7.6;d)滿足調(diào)度要求，并且安全相關(guān)功能滿足可編程組件安全要求所規(guī)定的時序約束。見6.5;e)軟件的管理，關(guān)鍵和非關(guān)鍵部分之間的分區(qū)的完整性。見7.2;f)不會發(fā)生由數(shù)據(jù)處理錯誤，控制錯誤，時序錯誤和資源濫用等事件引起的分區(qū)違規(guī)；和g)跨接口的數(shù)據(jù)和控制流的一致性。11.2軟件測試11.2.1軟件測試應(yīng)包括開發(fā)和發(fā)布后測試。11.2.2應(yīng)進行軟件測試并記錄測試結(jié)果，以評估該軟件僅執(zhí)行其預(yù)期的功能，不會造成任何風險。11.2.3應(yīng)基于風險分析，軟件操作和安全功能的書面說明(參見12.7.2)以及軟件分析來開發(fā)測試用例。參見11.1。11.2.4應(yīng)進行測試以證明：a)關(guān)于可編程組件安全要求的正確性和完整性；b)能夠涉及風險的每個決策和功能的覆蓋范圍；c)故障安全和故障操作過程使產(chǎn)品進入RA狀態(tài)。參見6.3、6.4和7.6;d)確保滿足計劃要求，并且與安全相關(guān)的功能滿足可編程組件安全要求所規(guī)定的時序約束。e)軟件的管理，關(guān)鍵和非關(guān)鍵部分之間的分區(qū)的完整性。見7.2;f)不會發(fā)生由數(shù)據(jù)處理錯誤，控制錯誤，時序錯誤和資源濫用等事件引起的分區(qū)違規(guī)：和g)跨接口的數(shù)據(jù)和控制流的一致性。11.2.5應(yīng)測試軟件為控制產(chǎn)品硬件而生成的輸出，以根據(jù)預(yù)期的輸出確定其對產(chǎn)品硬件的影響。11.3失效模式和壓力測試11.3.1除了在正常使用下進行測試外，還應(yīng)進行失效模式測試和壓力測試。11.3.2失效模式和壓力測試應(yīng)考慮以下因素：a)能夠嚴重影響可編程組件的預(yù)期操作或控制的操作員錯誤；b)微電子硬件組件故障；c)從外部傳感器或其他軟件過程接收到的數(shù)據(jù)中的錯誤：d)與軟件的關(guān)鍵和監(jiān)督部分的進入和執(zhí)行有關(guān)的故障；e)與能夠降低風險的決策和功能相關(guān)的故障，錯誤和其他異常情況，包括負面條件分支；和f)能夠?qū)浖念A(yù)期操作產(chǎn)生不利影響的其他過程和過程。11.3.3根據(jù)11.1.2(b)確定的測試用例應(yīng)包括以下內(nèi)容：a)超出范圍；c)鍵入用于決策的參數(shù)的不匹配值。11.3.4失效模式測試應(yīng)解決“風險分析”第3節(jié)中確定的所有可預(yù)見的故障。12文獻資料12.1用戶文件12.1.1除沒有直接用戶交互作用的嵌入式軟件外，應(yīng)準備用戶文檔(例如，手冊，指南或其他文檔)。12.1.2用戶文檔應(yīng)描述所需的數(shù)據(jù)和控制輸入，輸入序列，選項，程序限制以及軟件預(yù)期執(zhí)行所需的其他12.1.3所有錯誤消息均應(yīng)得到識別，糾正措施在用戶文檔中進行描述。12.2軟件計劃12.2.1應(yīng)記錄軟件計劃，該計劃描述軟件開發(fā)活動。12.2.2軟件計劃應(yīng)包括對軟件設(shè)計方法，開發(fā)原理，要收集的任何度量標準，適用的標準和采用的工程方法/技術(shù)的描述，以及在整個軟件過程中產(chǎn)生的所有文檔的逐項列出。12.3風險分析方法和結(jié)果12.3.1風險分析方法和結(jié)果(見第3節(jié))應(yīng)形成文件。12.3.2風險分析應(yīng)說明事件或事件的邏輯組合如何導致已識別的危害。12.3.3風險分析應(yīng)列出與產(chǎn)品相關(guān)的所有已識別風險。12.4配置管理計劃12.4.1應(yīng)記錄適用于現(xiàn)成軟件，軟件工具和制造商提供的軟件的配置管理計劃。12.4.2配置管理計劃應(yīng)描述：a)如何管理軟件和硬件的更改；b)差異報告和變更請求的發(fā)起，傳輸，審查，處置，實施和跟蹤；和c)正式控制本節(jié)中確定的軟件和所有文檔的接收，存儲和備份，處理和發(fā)布的方法和活動。12.5可編程系統(tǒng)架構(gòu)12.5.1可編程系統(tǒng)架構(gòu)應(yīng)形成文件。12.5.2可編程系統(tǒng)架構(gòu)應(yīng)描述可編程組件，包括與用戶，傳感器，致動器，顯示器，微電子硬件架構(gòu)，頂級軟件架構(gòu)，軟件到硬件的映射以及可編程系統(tǒng)框圖，其中包括產(chǎn)品架構(gòu)的高層視圖。12.5.3可編程系統(tǒng)架構(gòu)應(yīng)描述軟件到軟件的接口和硬件到軟件的接口。12.5.4應(yīng)當確定與軟件一起使用的可編程組件的配置。參見2.39。12.6可編程組件和軟件需求規(guī)范12.6.1可編程組件和軟件要求規(guī)范應(yīng)形成文件。12.6.2可編程組件和軟件要求規(guī)范應(yīng)描述可編程系統(tǒng)和軟件的功能，性能和接口要求。12.6.3規(guī)范應(yīng)包括所有操作模式的描述，故障行為的識別和所需的響應(yīng)。12.6.4可編程系統(tǒng)和軟件要求規(guī)范應(yīng)可追溯至12.3中記錄的風險分析結(jié)果。12.7軟件設(shè)計文件12.7.2軟件設(shè)計文件應(yīng)包括與預(yù)期功能有關(guān)的軟件操作和安全功能的描述。12.7.3軟件設(shè)計文件應(yīng)包括輸入和輸出，功能，數(shù)據(jù)描述和關(guān)系，控制和數(shù)據(jù)流，故障處理和算法。12.7.4軟件設(shè)計文檔應(yīng)描述軟件設(shè)計如何滿足系統(tǒng)和軟件要求規(guī)范的詳細信息。12.8分析和測試文檔12.8.1所有分析和測試方法及結(jié)果均應(yīng)形成文件。12.8.2測試計劃應(yīng)形成文件，涵蓋可編程組件中使用的所有軟件，包括現(xiàn)成的和第三方提供的軟件(請參閱現(xiàn)成的軟件，第13節(jié))。12.8.3測試計劃應(yīng)包括或參考已記錄的測試程序，這些程序用于驗證可編程組件中軟件的正確實施。12.8.4測試程序應(yīng)包括對測試參數(shù)，測試標準，測試配置的描述，以及與測試用例的設(shè)置，執(zhí)行和解釋有關(guān)的任何特殊規(guī)定或假設(shè)(參見11.2.3、11.2.4和11.3)。2)。12.8.5測試用例應(yīng)形成文件，并可追溯到軟件實施。12.8.6測試結(jié)果應(yīng)形成文件，并可追溯到產(chǎn)生它們的測試用例。13現(xiàn)成的(OTS)軟件13.1對于與制造商提供的軟件連接的所有OTS軟件，應(yīng)在軟件計劃中提供以下信息，請參閱12.2:c)對軟件使用目的的描述；d)對軟件提供的功能的清晰描述；e)顯示所有控制和數(shù)據(jù)流進出OTS軟件的接口規(guī)范；和f)與制造商軟件連接的每個可調(diào)用例程的OTS軟件文檔參考。13.2對于OTS軟件，至少應(yīng)提供以下形式的證據(jù)之一：a)在解決涉及OTS軟件的風險的范圍內(nèi)證明OTS軟件的驗證和測試活動的文檔。b)OTS軟件已通過獨立的OTS軟件認證程序滿足正式定義的要求的證據(jù)。13.3當可從OTS軟件開發(fā)人員或其他來源(例如，用戶社區(qū))獲得時，制造商應(yīng)提供制造商打算在嵌入式軟件中使用的OTS軟件的精確修訂/版本的已知錯誤列表。對于OTS軟件已知錯誤報告中的每個已識別錯誤，在實施13.2(a)時應(yīng)提供以下證據(jù)：a)OTS軟件開發(fā)人員已修復(fù)，測試并批準了導致錯誤的功能，并已分發(fā)給該軟件的制造商版本中的新版本；要么b)導致錯誤的功能尚未被制造商用于與安全相關(guān)的軟件的開發(fā)中，并且不會導致風13.4對于執(zhí)行監(jiān)督部分功能或被該監(jiān)督部分使用的OTS軟件，其6.5、11.1.2(d),11.1.2(e),11.1.2(f)和第7節(jié)中包含的要求本標準適用。14軟件更改和文檔控制14.1對參數(shù)設(shè)置和數(shù)據(jù)的更改，除非減少或消除，否則不會造成任何風險或影響先前已確定的風險。14.2除了減少或消除軟件風險外，對軟件的更改或補丁不得造成任何風險或影響先前已確定的風險。14.3為了確定符合性，所有變更均應(yīng)根據(jù)該標準進行評估。14.4應(yīng)檢查文檔，以確定其正確反映了軟件中與安全相關(guān)的更改。14.5應(yīng)有程序來維護和控制對可編程組件的配置以及軟件的關(guān)鍵和管理部分進行的軟件更改，以促進可追15身份證明15.1軟件應(yīng)可追溯到存儲在非易失性存儲器中的唯一標識符。15.2唯一標識符應(yīng)反映對軟件的關(guān)鍵和管理部分所做的更改。15.3每次將變更或補丁納入軟件的關(guān)鍵或監(jiān)管部分時，均應(yīng)分配一個新的唯一標識符。15.4文檔應(yīng)包括足夠的信息，以識別使用該軟件調(diào)查的每個項目。例如，軟件元素的標識應(yīng)包括版本號，發(fā)行號和日期。微電子硬件元素應(yīng)包括組件供應(yīng)商，零件編號和修訂級別，以唯一標識可編程組件芯片。附錄A(信息性)-解決微電子硬件故障模式的措施示例A1.1當產(chǎn)品標準，指令或法規(guī)對此進行說明時，應(yīng)將附錄A視為規(guī)范性文件。否則，附錄A被視為提供信息。A1.2本附錄的表A2.1提供了微電子硬件故障模式可接受的措施的示例，這些措施符合自動電氣控制，第1部A1.3本附錄提供了軟件類定義和要求的示例。這些示例并未說明在應(yīng)用UL1998要求的情況下可能開發(fā)的所有軟件類別定義。當參考UL1998時，將基于與應(yīng)用軟件相關(guān)的風險識別方法來進一步確定軟件類別，以執(zhí)行產(chǎn)品中與安全相關(guān)的功能。A1.4本附錄中還包括故障模型的描述，系統(tǒng)結(jié)構(gòu)以及表A2.1的示例應(yīng)用程序。A2微電子硬件故障模式可接受措施的示例A2.1下表提供了一些可接受的措施示例，這些措施涵蓋了所選組件的各種故障模式。A2.2如果可以顯示表A2.1中指定的故障/錯誤情況，則可以采用表A2.1中未指定的其他措施。微電子硬件故障模式的范圍可接受措施的示例c.d.121.中央處理器q功能測試；要么定期使用以下任一方法進行自我測試：一其有一位冗余的字保護q比較冗余CPU的方式之一：-獨立的硬件比較器：要么內(nèi)部錯誤檢測：要么比較的冗余內(nèi)存；要么-透明加爾帕特試驗：要么表A2.1下頁續(xù)表A2.1續(xù)表可接受措施的示例c,d.12具有多位冗余的字保護：要么具有一位冗余的靜態(tài)存儲器測試和字保護行行q比較冗余CPU的方式之一：-獨立的硬件比較器：要么內(nèi)部錯誤檢測；要么使用等效類測試的定期自測q功能測試；要么定期自檢；要么獨立的時隙監(jiān)控：要么q定期自檢和監(jiān)視，使用以下任一方法：-內(nèi)部錯誤檢測：要么比較冗余功能通道：q比較冗余CPU的方式之一：-獨立的硬件比較器：要么內(nèi)部錯誤檢測：要么使用地址線的測試模式進行定期自檢：要么完整的總線冗余：要么多位總線奇偶校驗，包括地址q比較冗余CPU的方式之一：-獨立的硬件比較器：要么內(nèi)部錯誤檢測；要么使用測試模式進行定期自我測試：要么數(shù)據(jù)冗余：要么2018年9月24日可編程組件中的軟件-UL1998A2表A2.1續(xù)表可接受措施的示例c.d.e12A2可編程組件中的軟件-UL19982018年9月24日此頁面上沒有文字可接受措施的示例c.d.e12中斷處理與執(zhí)行沒有中斷或中斷太頻繁q功能測試；要么時隙監(jiān)控繁的中斷以及與不同來源相關(guān)的中斷q比較冗余功能通道：-獨立的硬件比較器：要么時鐘q頻率監(jiān)控：要么時隙監(jiān)控q頻率監(jiān)控：要么時隙監(jiān)控：要么比較冗余功能通道：障q定期修改校驗和：要么多重校驗和要么具有一位冗余的字保護q比較任一冗余CPU:-獨立的硬件比較器；要么比較的冗余內(nèi)存：要么周期循環(huán)冗余檢查，可以是：-雙字要么具有多位冗余的字保護易失性記憶q定期的靜態(tài)內(nèi)存測試：要么可接受措施的示例c.d.e12具有一位冗余的字保護q比較冗余CPU的方式之一：一獨立的硬件比較器：要么比較的冗余內(nèi)存：要么一透明加爾帕特測試要么具有多位冗余的字保護儲器有關(guān))qq比較冗余CPU的方式之一；-獨立的硬件比較器；要么測試模式要么周期循環(huán)冗余檢查，可以是：-雙字要么具有多位冗余(包括地址)的字保護內(nèi)部數(shù)據(jù)路徑q具有一位冗余的字保護q比較冗余CPU的方式之一：-獨立的硬件比較器：要么具有多位冗余(包括地址)的字保護：要么數(shù)據(jù)冗余：要么12q具有單位冗余(包括地址)的字保護q比較冗余CPU:-獨立的硬件比較器：要么具有多位冗余的字保護，包括地址：要么全總線冗余；要么q具有多位冗余的字保護：要么CRC-單字：要么傳輸冗余：要么qCRC-雙字：要么數(shù)據(jù)冗余；要么比較冗余功能通道：q具有多位冗余的字保護，包括地址：要么CRC-單個字，包括地址；要么傳輸冗余：要么qCRC-雙字，包括地址：要么數(shù)據(jù)和地址的完整總線冗余；要么比較冗余通信通道的方法之一：可接受措施的示例c.d.e12錯誤的時間點q時隙監(jiān)控：要么q時隙和邏輯監(jiān)控：要么比較冗余通信通道的方法之一：q邏輯監(jiān)控；要么時隙監(jiān)控：要么q時隙和邏輯監(jiān)控；要么比較冗余通信通道的方法之一：圍品標準中規(guī)定的qq比較冗余CPU的方式之一：-獨立的硬件比較器；要么輸入比較：要么多個并行輸出：要么輸出驗證；要么測試模式要么A/D和D/A-品標準中規(guī)定的q表A2.1下頁續(xù)可接受措施的示例c.d.e12q比較冗余CPU的方式之一：-獨立的硬件比較器：要么輸入比較：要么多個并行輸出：要么輸出驗證：要么qq比較冗余CPU的方式之一：-獨立的硬件比較器：要么輸入比較：要么輸出q經(jīng)過測試的監(jiān)控：要么多余的監(jiān)視和比較：要么件1-8r例如ASIC,GAL,門陣列輸出9定期自測q定期自檢和監(jiān)控：要么雙通道(多樣化)并進行比較);要么a對于故障/錯誤評估，某些組件分為其子功能。b軟件類別確定是產(chǎn)品安全考慮。c對于表中的每個子功能，“軟件2類”度量將涵蓋“軟件1類”的故障/錯誤。d公認一些可接受措施的例子提供了比本標準所要求的更大的覆蓋范圍。e如果為子功能提供了多個度量，則可以選擇這些度由制造商根據(jù)需要分為子功能。A3軟件類別A3.1軟件1級-旨在控制功能以減少與設(shè)備相關(guān)的風險的可能性的軟件部分。可以視為軟件1類功能的A3.2軟件2級-用于控制功能以減少與設(shè)備相關(guān)的特殊風險(例如爆炸)的可能性的軟件部分。可以視為軟b)雙通道(同質(zhì)),比較，A5.3;要么c)雙通道(多樣化),帶比較，A5.2。A3.7使用雙通道結(jié)構(gòu)并進行比較的聲明為軟件等級2的軟件部分，應(yīng)具有附加的故障/錯誤檢測手段(例如格式存儲(見A7.1.22)。A3.11在故障/錯誤導致危險之前，應(yīng)檢測到故障/錯誤。A4故障模型說明A4.1直流故障模型-直流故障模型表示卡死的故障模型，其中包含信號線之間的短路。A4.2堵轉(zhuǎn)故障模型-堵轉(zhuǎn)故障模型表示代表斷路或信號電平不變的故障模型。A5系統(tǒng)結(jié)構(gòu)說明A5.1雙通道-雙通道表示一種結(jié)構(gòu)，其中包含兩個相互獨立的功能部件來執(zhí)行指定的操作。A5.2具有比較功能的雙通道(分立)-具有比較功能的雙通道(分立)表示包含兩個不同且相互獨立的功能部件的雙通道結(jié)構(gòu)，每個功能部件均能夠提供明確的響應(yīng)，其中比較輸出信號是否有故障/錯誤識別。A5.3具有比較功能的雙通道(均質(zhì))-具有比較功能的雙通道(均質(zhì))表示包含兩個相同且相互獨立的功能部件的雙通道結(jié)構(gòu)，每種功能部件均能夠提供明確的響應(yīng)，其中內(nèi)部信號或輸出信號的比較為用于故障/錯誤識別。A5.4單通道-單通道表示一種結(jié)構(gòu)，其中使用單個功能性手段執(zhí)行指定的操作。A5.5具有功能測試的單通道-具有功能測試的單通道表示單通道結(jié)構(gòu)，其中在操作之前將測試數(shù)據(jù)引入功能單元。A5.6具有定期自我測試的單通道-具有定期自我測試的單通道表示一種單通道結(jié)構(gòu)，其中在操作過程中定期測試控件的組件。A5.7帶有定期自我測試和監(jiān)控的單通道-具有定期自檢和監(jiān)視表示具有周期性自檢的單個通道結(jié)構(gòu)，其中獨立的裝置(每個裝置均能夠提供所需的響應(yīng))監(jiān)視諸如安全相關(guān)的時序，序列和軟件操作之類的方面。A6表A2.1的應(yīng)用舉例A6.1表A6.1包含使用單片機(8位)軟件Class2(具有自檢和監(jiān)視功能的單通道)來控制產(chǎn)品中的故障/錯誤的措施這些說明分為以下幾類：易失性存儲器的尋址1/O組件的尋址1/O測試涵蓋的1/O地址線，請參閱7.1(此表)易失性存儲器的數(shù)據(jù)路徑1/O組件的數(shù)據(jù)路徑測試易失性存儲器，請參閱4.2(此表)1/O測試涵蓋的內(nèi)容，請參見7.1(此表)2中斷處理與執(zhí)行3時鐘CRC-單個字(8位)易失性記憶外部通訊，數(shù)據(jù)和CRCv-包含數(shù)據(jù)的雙字(16位),數(shù)字量輸出輸入比較(極性相反)89PAL(可編程邏輯陣列)2013年12月18日可編程組件中的軟件-UL1998A11A7提供表A2.1中指定的所需故障/錯誤覆蓋率的可接受措施的說明A7.1故障/錯誤控制技術(shù)的描述A7.1.1完整總線冗余-完整總線冗余表示一種故障/錯誤控制技術(shù)，其中通過冗余總線結(jié)構(gòu)提供完整的冗余A7.1.2多位總線奇偶校驗-多位總線奇偶校驗表示一種故障/錯誤控制技術(shù)，其中總線擴展了兩個或更多位，并且這些附加位用于錯誤檢測。A7.1.3代碼安全性-代碼安全性是指故障/錯誤控制技術(shù)，其中通過使用數(shù)據(jù)冗余和/或傳輸冗余來提供針對輸入和輸出信息中的巧合和/或系統(tǒng)性錯誤的保護。(另請參閱A7.1.4和A7.1.5)。A7.1.4數(shù)據(jù)冗余-數(shù)據(jù)冗余表示一種代碼安全形式，其中發(fā)生了冗余數(shù)據(jù)的存儲。A7.1.5傳輸冗余-傳輸冗余表示一種代碼安全性，其中至少連續(xù)兩次傳輸數(shù)據(jù)，然后進行比較。A7.1.6比較器-比較器表示用于雙通道結(jié)構(gòu)中的故障/錯誤控制的設(shè)備。該設(shè)備比較兩個通道的數(shù)據(jù)，如果檢測到差異，則啟動聲明的響應(yīng)。A7.1.7等效類測試-等效類測試表示旨在確定指令解碼和執(zhí)行是否正確執(zhí)行的系統(tǒng)測試。測試數(shù)據(jù)來自CPU指令規(guī)范。A7.1.8錯誤識別裝置-錯誤識別裝置表示為識別系統(tǒng)內(nèi)部錯誤而提供的獨立裝置。A7.1.9輸入比較-輸入比較表示一種故障/錯誤控制技術(shù)，通過該技術(shù)可以比較設(shè)計在指定公差范圍內(nèi)的輸A7.1.10內(nèi)部錯誤檢測或糾正-內(nèi)部錯誤檢測或糾正是一種錯誤/錯誤控制技術(shù)，其中并入了附加電路來檢測或糾正錯誤。A7.1.11頻率監(jiān)控-頻率監(jiān)控是一種故障/錯誤控制技術(shù)，其中將時鐘頻率與獨立的固定頻率進行比較。A7.1.12程序順序的邏輯監(jiān)視-程序順序的邏輯監(jiān)視是一種故障/錯誤控制技術(shù)，其中監(jiān)視程序順序的邏輯執(zhí)A12可編程組件中的軟件-UL19982013年12月18日A7.1.13程序序列的時隙監(jiān)視-程序序列的時隙監(jiān)視是一種故障/錯誤控制技術(shù)，其中定期觸發(fā)具有獨立時基的計時設(shè)備以監(jiān)視程序功能和序列。A7.1.14時隙和邏輯監(jiān)視-這是A7.1.12和A7.1.13的組合。A7.1.15多個并行輸出-多個并行輸出表示一種故障/錯誤控制技術(shù)，其中提供獨立的輸出以進行操作錯誤檢測或獨立的比較器。A7.1.16輸出驗證-輸出驗證表示一種故障/錯誤控制技術(shù)，其中將輸出與獨立輸入進行比較。A7.1.17合理性檢查-合理性檢查表示一種故障/錯誤控制技術(shù)，其中檢查程序執(zhí)行，輸入或輸出的程序順序，時序或數(shù)據(jù)是否不正確。A7.1.18協(xié)議測試-協(xié)議測試是一種故障/錯誤控制技術(shù)，其中，數(shù)據(jù)往返于計算機組件之間進行傳輸，以檢測內(nèi)部通信協(xié)議中的錯誤。A7.1.19相互比較-相互比較表示在雙通道(同質(zhì))結(jié)構(gòu)中使用的故障/錯誤控制技術(shù)，其中對在兩個處理單元之間相互交換的數(shù)據(jù)進行比較。A7.1.20冗余監(jiān)視-冗余監(jiān)視表示可以使用兩個或多個獨立的工具(例