在所有行業中,越來越需要基于計算機的系統或可程式設計電子系統(PES),以符合安全标準。 傳統上,這不是趨勢,因為以前的系統主要包含電氣或電子元件,而不是PES。 這些元件通常指定用于安全合規性,而不是整個系統。 但是,随着對基于軟體的控制和通信系統的更多使用,安全标準已得到擴充,以将這一新發展納入系統工程。
國際電工技術委員會(IEC 61508)的标準是電氣/電子/可程式設計電子安全相關系統(E / E / PE或E / E / PES)的功能安全,它描述了針對以下系統的所有安全活動的通用方法:用于安全功能。 在大多數情況下,可以通過幾個依靠各種技術的保護系統來實作安全。 是以,任何安全政策都不僅必須考慮單個系統中的所有元素(例如,傳感器,控制裝置和執行器),而且還必須考慮所有與安全相關的系統。 它還可以提供一個架構,用于考慮依賴于其他技術的安全相關系統。
本文提供了采用IEC 61508準則和技術的路線圖,這些準則和技術将其納入系統和嵌入式軟體開發生命周期。 它還提供了用于應用軟體和系統工程方法的用例示例,以及有助于增強與安全相關且對安全至關重要的系統的可靠性和功能性的政策。
通過使用跨功能的方法和工具,您可以更好地管理IEC 61508準則并将其納入産品開發過程。 這不僅有助于確定産品安全,而且還有助于提高系統可靠性,并最大程度地減少可能對人類生活和環境造成嚴重影響的危險和風險更新事件。
合規挑戰
- 越來越多的合規性問題,涉及安全性,安全性和環境保護
- 安全性和可靠性合規性工作是人工密集且耗時的,這使得建立,維護和證明對各種标準和監管機構的合規性非常困難
- 由于無法在認證過程中有效查找和連結關鍵資訊,是以在獲得由不同機構認證的産品時面臨的挑戰和高于所需的成本
- 流程,工具和資料之間缺乏內建和可見性,導緻學科脫節,進而難以跟蹤和識别與安全相關或對安全至關重要的系統變更的影響
- 缺乏成文的政策和程式,從需求到設計,開發,測試和變更管理的可追溯性不足。
- 此外,涉及關鍵裝置故障的過程的影響(可能會危及生命或危及公共安全或環境)必須成為可追溯性的一部分。 這就是所謂的影響分析 。
為什麼安全和關鍵性系統認證對制造商至關重要
從制造商的角度來看,符合國際标準(例如,國際電工委員會(IEC 61508))的關鍵系統的安全相關認證可大大提高其産品的信譽。 在投标項目時,買方通常會指定制造商和供應商強制遵守IEC 61508。 供應商可以向買方展示的更高的系統完整性等級(SIL),其競争優勢就越大,赢得合同的機會就越大。
確定公共安全的高品質體系結構對于這些與安全相關或對安全至關重要的系統的成功至關重要。 例如,如果系統中底層裝置内部的傳感器或執行器發生故障,則該事件對供應商和制造商釋出IEC 61508認證的系統對人身和環境安全的影響應最小。 供應商必須通過可追溯性來示範系統和軟體開發過程的每個步驟,并證明他們有适當的過程來記錄,實施和跟蹤安全要求。
是以,最大的問題可能是:我們是否有足夠的理由采用建議的自動化方案,以提高效率并同時提高安全性? 換句話說,投資回報率(ROI)是否足夠? 答案是:IEC 61508認證。 它不僅給硬體和軟體供應商都提供了超越競争對手的顯着優勢,而且還證明了投入時間和金錢的合理性。
有效方法概述
協同生命周期管理應用程式
Rational Method Composer與包含Rational for Collaborative Lifecycle Management(CLM)解決方案的應用程式內建,例如IBM®Rational Team Concert™。 通過利用這些內建,過程工程,産品開發和項目傳遞團隊可以確定不同的工程團隊遵循正确且一緻的實踐。 CLM通過将配置和變更管理,需求管理和測試連結到一個解決方案中,提供了工作流的連續性。 CLM提供的實用程式在不同程度上普遍适用于所有基于團隊的項目。
我們在本文中介紹的方法适用于對系統的安全性和可靠性至關重要的各個行業,例如工業過程控制,石油和天然氣,化學和石油,采礦和核電站。 使用模式探讨了流程工程師與開發團隊之間的互動,這些團隊可以通路組織的項目開發流程指南,資料,工作流和協作工具。 它展示了諸如IBM®Rational®DOORS®和Rational Requirements Composer之類的需求管理工具如何在整個項目生命周期中有效地管理需求,以及IBM®Rational Team Concert™如何幫助分散在各地的工程師團隊改善他們的流程。 這增強了對軟體和系統開發紀律的控制,進而避免了風險并降低了項目的成本和複雜性。
規劃
根據法規标準(例如IEC 61508的七個部分)指導業務目标和要求,可使安全計劃傳播到組織的開發和實施層。
圖1.此組合的進階概述
流程和工具
是以,您需要一個工具和過程來幫助快速識别需求變更的影響,并跟蹤與各種元件,子元件和系統的關系。 這裡的重點是傳遞過程。 考慮到不可避免的變化,當發生變化時,産品傳遞團隊适應這些變化的靈活性和适應性對于成功至關重要。
成功的産品開發始于現代的需求管理軟體
從概念到項目生命周期的結束,我們必須捕獲,分析和管理需求。 需求管理軟體(例如Rational Requirements Composer)可幫助管理整個業務部門和域中無法管理的資料。
高度安全可靠的裝置和系統的開發在很大程度上取決于參與工程過程的許多個人和團隊的協作。 對于系統供應商來說,減少項目的危害,風險和複雜性,對于組織而言,擁有強大的需求管理軟體至關重要,該軟體使工程師能夠有效地管理需求并避免範圍蔓延(涉衆需求,客戶需求,法規要求) ,安全要求,功能要求,非功能要求,設計要求,安全要求等)。 這不僅使組織可以更好地響應需求更改,而且還可以幫助解決其他關鍵因素:
- 更好的風險管理
- 確定産品品質,可靠性和安全性
- 及時執行項目計劃
- 産品生命周期内的可追溯性
- 消除返工
- 驗證,驗證和測試産品的時間更快
- 縮短上市時間
打造安全,可靠,可靠的産品是團隊的共同努力。 它需要多個團隊和利益相關者之間不斷的協作。 系統安全專家對安全的看法可能與軟體工程師的看法完全不同。 自動化的需求管理工具和工作流使地理上分散的工程團隊可以同時在同一項目上進行協作。 這使團隊可以識别,驗證和删除系統設計中不應包括的任何不明确或有毒的要求。
确定整個安全生命周期的初始需求,并将這些複雜的需求分解為更小的,更易于管理的需求塊。
在圖2的流程圖中,頂層概念(或安全性定義)與其後續的實作和驗證之間有許多不同的步驟。 這些步驟在IEC 61508第1部分中介紹。
圖2.安全生命周期(來源IEC 61508第1部分)
來源: IEC 61508标準-電氣/電子/可程式設計電子安全相關系統的功能安全
為了簡化與标準有關的要求的管理,最好将實際的IEC 61508标準用作制定與标準有關的要求的起點。 需求的開發涉及分析和解釋,最好由一組負責審查和識别這些需求的領域專家來執行。
圖2中的安全生命周期圖是在IBM®Rational®Method Composer中捕獲的,可幫助我們确定整個安全生命周期的初始要求。 這使過程工程師更容易捕獲這些複雜的需求并将其分解為可管理的較小部分,以遵循生命周期。
在一個複雜的,多年的項目中,習慣上花幾個月的時間來收集和分析初始需求,然後才能進行實際的設計工作。 我們希望在整個項目過程中控制并保持設計要求的一緻性,這是一個具有挑戰性的目标。 通常,有影響力的利益相關者之類的外部力量會迫使需求發生變化(例如,新法規,新标準或新法律要求)。 這極大地導緻了成本超支和産品傳遞進度的延遲。
用于流程創作的IBM Rational Method Composer
與其費力地挖掘一堆紙來尋找正确的流程,不如将其自動化,以便可以立即檢視類似的流程步驟,這是更好的選擇。 我們使用Rational Method Composer是因為它的基礎工具具有靈活性和适應性。 我們使用它以HTML格式在Web伺服器或内部檔案伺服器上釋出我們的系統和軟體工程過程,準則,最佳實踐和方法,而不是紙質裝訂本。
需要更改的開發流程可以由流程工程師快速調整,修改或擴充,并Swift提供給團隊的其他成員。 可追溯性對于合規性至關重要。 是以,将組織的流程記錄在一個可以快速建立可追溯性的地方,被證明在簡化工作流程和稽核過程中非常有效。
通過緊密內建的流程以及Rational Method Composer與IBM®Rational Team Concert™的變更管理的結合,可以導出我們在方法工具中捕獲的各種流程和最佳實踐,并在團隊和項目之間共享。 這樣做可以使各個工程學科的成員進行協作,并共享其最佳實踐和方法。 這鼓勵在組織内重複使用,以幫助提高産品品質并符合法規标準和準則。
例如,根據IEC 61508第3部分(IEC 61508标準)編寫的軟體建議遵循V模型開發過程。 如圖3所示,我們必須在整個系統開發過程中,通過系統範圍的安全性驗證,揭示系統設計,軟體安全性,體系結構,設計和代碼與軟體子產品測試,內建和驗證之間的關系。 。
安全與系統傳遞過程的各個級别都息息相關。 Rational Method Composer使傳遞團隊能夠在V模型中明确定義和實施安全性,這是工作流中的一種最佳實踐。
圖3.捕獲了Rational Method Composer的V模型開發流程圖
根據V模型開發過程,軟體子產品測試必須確定在功能級别的開發中對軟體進行完整的測試。 在Rational Method Composer中捕獲并定義了所有用于開發與安全相關的軟體的軟體開發任務和活動。 開發過程基于以下階段采用自上而下的方法:
- 軟體安全要求規範
- 架構,元件和子產品設計
- 測試和軟體內建
- 驗證和确認直到發生硬體和軟體內建為止
通過驗收測試和項目品質與安全計劃中定義的其他活動,可以實作包括IEC 61508指南和遵循V模型開發過程的主要好處。 通過明确定義的流程,任務和活動,您可以自信地準備向稽核員證明那些裝置和系統是根據最佳實踐以及安全性和可靠性标準開發的。 對于過程工程師,我們建議您全面評估組織的軟體開發過程,然後進行相應的檢查和擴充。 當然,您希望如何實作和解釋它們。
歸根結底,大多數決策仍取決于供應商-他們如何有選擇地解釋需求以及标準中有多少需求适用于他們。
顯然,供應商試圖達到的系統完整性級别越高,則需要實施的技術和要求就越嚴格。 具有較低SIL(例如SIL1和SIL2)的裝置或系統對于供應商而言,實施成本較低。 更高的SIL(例如SIL 3和SIL 4)需要更多的金錢和時間。 是以,将需要花費更多的精力來驗證和重新驗證系統,最終導緻教育訓練操作人員的成本更高。
簡而言之,如前所述,Rational協作生命周期管理(CLM)解決方案對于在整個業務領域和供應鍊中同步變更至關重要。 您可以使用完善的流程模闆來簡化業務部門的工作,進而提高效率。 這為整個生态系統提供了一種內建方法。
摘要
對于系統供應商來說,減少項目的危害,風險和複雜性,對于組織而言,實施以需求為中心的工作流程以有效管理需求(尤其是與安全性和安全性相關的需求)至關重要。 基于系統和軟體工程最佳實踐的過程創作可幫助公司遵守各種标準。 通過使用本文介紹的技術,工具和過程,組織可以輕松地采用和應用各種安全标準(例如IEC 61508),并将其納入開發生命周期。
本文提到的所有功能都可以通過軟體附帶的内容有效地實作。 然後,您可以輕松地自定義和擴充應用程式或工具,以滿足組織的需求。
通過系統的方法,您可以提高地理上分散的團隊的效率,是以他們可以通過互動使用變更,配置和項目管理軟體進行協作。 這樣可以更快地解決任何問題。
對于系統供應商和系統內建商而言,他們可以向買方展示的系統完整性等級(SIL)越高,他們獲得的競争優勢就越多,這有助于增加他們成為項目的標明供應商或供應商的機會。
是以,對于系統和軟體開發組織而言,協作生命周期管理(CLM)的Rational解決方案不僅有助于提高開發流程的品質,而且還有助于降低風險并管理複雜系統和軟體的傳遞。
附錄:本文中有關概念的更多資訊
通過将合規性流程和需求分解為可管理的部分并将它們配置設定給各個團隊,該方法有助于簡化系統和軟體的複雜傳遞過程。
何時何地開始
在編碼階段将安全要求納入産品設計要求已被證明不足以證明産品的安全性。 建構安全可靠的産品需要組織具有明确的流程和方法,以進行規劃,設計,開發,測試,實施和退役。
是以,我們無力承擔産品釋出時的安全性,安全性和合規性要求。 從産品開發之初就需要捕獲,評估和計劃法規,安全,功能,非功能和利益相關者的要求。
從需求一直到測試用例以及測試結果的資訊跟蹤,都可以幫助測試團隊快速找出問題的根本原因,并及時向感興趣的人發出警報。
這裡的問題是:我們如何幫助所有供應商提供對其安全功能的內建控制,以幫助他們提高産品安全性和功能性,同時又不影響安全性?
實施IEC 61508标準的政策的關鍵步驟
- 确定要解決的标準,準則和這些子元件。
- 在實施那些計劃之前,定義組織的目标和政策以實作該标準。
- 制定政策,以實作IEC 61508标準并将其應用到系統和軟體開發生命周期過程中
使用強大的需求管理工具來管理整個産品生命周期中的需求,并避免範圍蔓延。 該軟體應該可以幫助您:
- 在團隊成員之間建立對适用要求,指南和其他文檔的了解。
- 确定初始需求和可追溯性關系,包括諸如“由……組成”,“驗證”,“測試者”,“實作者”等關系。
- 實施組織采用的政策和過程必須強制執行可追溯性,以確定需求的一緻性,完整性和可追溯性。
從需求到項目開發再到測試和傳遞的可追溯性使組織能夠完成關鍵任務:
- 了解哪些要求已實施和測試,哪些未實作
- 協作并确定變更在整個項目生命周期中的影響
翻譯自: https://www.ibm.com/developerworks/rational/library/compliance-IEC-61508-safety-standards/index.html