书 书 书犐犆犛 ３５ ． ０８０ 犔 ７７ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ３７６９１ — ２０１９ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G27 /G29 /G2A /G2B /G2C /G2D /G2E /G2F 犌狌犻犱犲犳狅狉狆狉狅犵狉犪犿犿犪犫犾犲犾狅犵犻犮犱犲狏犻犮犲狊狅犳狋狑犪狉犲狊犪犳犲狋狔犱犲狊犻犵狀 ２０１９  ０８  ３０ /G30 /G31 ２０２０  ０３  ０１ /G32 /G33 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G21 /G27 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G30 /G31目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 总则 ２ ……………………………………………………………………………………………………… ６ 　 需要考虑的因素 ３ ………………………………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 可编程逻辑器件软件安全性分析方法 １０ ………………………………………… 犌犅 ／ 犜 ３７６９１ — ２０１９ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息技术标准化技术委员会 （ ＳＡＣ ／ ＴＣ２８ ） 提出并归口 。 本标准起草单位 ： 中国航天科工集团公司第三研究院第三 ○ 四研究所 、 中国电子技术标准化研究院 、 中国电子科技集团第三十研究所 、 国家卫星海洋应用中心 。 本标准主要起草人 ： 孟伟 、 杨楠 、 王黎 、 姜晓辉 、 胡勇 、 黄琼 、 王国锋 、 张津荣 、 李文鹏 、 朱琳 、 张国宇 、 肖崇俭 、 寇科男 、 李恺 、 巫忠跃 、 彭鸣 、 毛伟 、 许卓琦 、 张 、 陈元 、 史 癑 、 陈鹏 、 刘廷 、 杨永生 、 王希 、 孙健 、 葛永娇 。 Ⅰ 犌犅 ／ 犜 ３７６９１ — ２０１９ 可编程逻辑器件软件安全性设计指南 １ 　 范围 本标准给出了可编程逻辑器件软件安全性设计的指导和建议 ， 并给出了需考虑要点有关的信息 。 本标准适用于可编程逻辑器件软件的系统需求分析 、 软件需求分析 、 设计和实现时的安全性设计 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１１４５７ — ２００６ 　 信息技术 　 软件工程术语 ＧＢ ／ Ｔ１８３４９ 　 集成电路 ／ 计算机硬件描述语言 ＶｅｒｉｌｏｇＧＢ ／ Ｔ３３７８１ — ２０１７ 　 可编程逻辑器件软件开发通用要求 ＧＢ ／ Ｔ３３７８３ — ２０１７ 　 可编程逻辑器件软件测试指南 ３ 　 术语和定义 ＧＢ ／ Ｔ１１４５７ — ２００６ 、 ＧＢ ／ Ｔ３３７８１ — ２０１７ 和 ＧＢ ／ Ｔ３３７８３ — ２０１７ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 可编程逻辑器件 　 狆狉狅犵狉犪犿犿犪犫犾犲犾狅犵犻犮犱犲狏犻犮犲 允许用户编程 （ 配置 ） 实现所需逻辑功能的器件 。 ［ ＧＢ ／ Ｔ３３７８１ — ２０１７ ， 定义 ３．１．１ ］ ３ ． ２ 　 可编程逻辑器件软件 　 狆狉狅犵狉犪犿犿犪犫犾犲犾狅犵犻犮犱犲狏犻犮犲狊狅犳狋狑犪狉犲 针对 ＦＰＧＡ 、 ＣＰＬＤ 等可编程逻辑器件进行设计而产生的程序 、 文档和数据 。 ［ ＧＢ ／ Ｔ３３７８１ — ２０１７ ， 定义 ３．１．５ ］ ３ ． ３ 　 软件安全性 　 狊狅犳狋狑犪狉犲狊犪犳犲狋狔 软件运行不引起系统事故的能力 。 ３ ． ４ 　 软件失效 　 狊狅犳狋狑犪狉犲犳犪犻犾狌狉犲 软件系统丧失完成规定功能能力的事件 。 ３ ． ５ 　 安全关键功能 　 狊犪犳犲狋狔犮狉犻狋犻犮犪犾犳狌狀犮狋犻狅狀 针对特定的危险事件 ， 为达到或保持受控设备的安全状态而实现的功能 。 ３ ． ６ 　 安全关键可编程逻辑器件软件 　 狊犪犳犲狋狔犮狉犻狋犻犮犪犾狆狉狅犵狉犪犿犿犪犫犾犲犾狅犵犻犮犱犲狏犻犮犲狊狅犳狋狑犪狉犲 具有安全关键功能的可编程逻辑器件软件 。 １ 犌犅 ／ 犜 ３７６９１ — ２０１９ ３ ． ７ 　 行波时钟 　 狉犻狆狆犾犲犮犾狅犮犽 当前一级时序逻辑的数据输出被用作下一级时序逻辑的时钟输入时的时钟信号 。 ４ 　 缩略语 下列缩略语适用于本文件 ： ＢＤＡ ： 双向分析 （ ＢｉＤｉｒｅｃｔｉｏｎａｌＡｎａｌｙｓｉｓ ） ＣＰＬＤ ： 复杂可编程逻辑器件 （ ＣｏｍｐｌｅｘＰｒｏｇｒａｍｍａｂｌｅＬｏｇｉｃＤｅｖｉｃｅ ） ＤＣＭ ： 数字时钟管理 （ ＤｉｇｉｔａｌＣｌｏｃｋＭａｎａｇｅｒ ） ＦＭＥＡ ： 故障模式及影响分析 （ ＦａｉｌｕｒｅＭｏｄｅａｎｄＥｆｆｅｃｔｓＡｎａｌｙｓｉｓ ） ＦＰＧＡ ： 现场可编程门阵列 （ ＦｉｅｌｄＰｒｏｇｒａｍｍａｂｌｅＧａｔｅＡｒｒａｙ ） ＦＴＡ ： 故障树分析方法 （ ＦａｕｌｔＴｒｅｅＡｎａｌｙｓｉｓ ） ＨＤＬ ： 硬件描述语言 （ ＨａｒｄｗａｒｅＤｅｓｃｒｉｐｔｉｏｎＬａｎｇｕａｇｅ ） Ｉ ／ Ｏ ： 输入 ／ 输出 （ Ｉｎｐｕｔ ／ Ｏｕｔｐｕｔ ） ＩＰ ： 知识产权 （ ＩｎｔｅｌｌｅｃｔｕａｌＰｒｏｐｅｒｔｙ ） ＰＬＤＳ ： 可编程逻辑器件软件 （ ＰｒｏｇｒａｍｍａｂｌｅＬｏｇｉｃＤｅｖｉｃｅＳｏｆｔｗａｒｅ ） ＰＬＬ ： 锁相环 （ ＰｈａｓｅＬｏｃｋｅｄＬｏｏｐ ） ＶＨＤＬ ： 超高速集成电路硬件描述语言 （ ＶｅｒｙｈｉｇｈｓｐｅｅｄｉｎｔｅｇｒａｔｅｄｃｉｒｃｕｉｔＨａｒｄｗａｒｅＤｅｓｃｒｉｐｔｉｏｎＬａｎｇｕａｇｅ ） ５ 　 总则 ５ ． １ 　 犘犔犇犛 安全性设计 ＰＬＤＳ 安全性贯穿于 ＰＬＤＳ 全生存周期过程 ， 宜与 ＰＬＤＳ 生存周期过程活动紧密结合 。 可通过下列过程 ， 保证 ＰＬＤＳ 设计的安全性 ： ａ ） 　 系统需求分析 ： １ ） 　 明确系统 ／ 分系统中应重点防范的系统危险事件 。 ２ ） 　 根据系统 ／ 分系统规格说明和系统 ／ 分系统设计说明开展系统级安全性分析 ， 确定 ＰＬＤＳ 的系统级安全性要求 。 ３ ） 　 明确提出 ＰＬＤＳ 的安全性要求 ， 并完全覆盖系统 ／ 分系统规格说明和系统 ／ 分系统设计说明中的相关要求 。 ４ ） 　 明确安全等级 。 系统人员根据系统危险分析结果以及行业相关规定 ， 确定 ＰＬＤＳ 的安全性等级 。 ５ ） 　 对于安全关键 ＰＬＤＳ ， 安全性需求宜给出重点防范的系统危险事件 、 失效容限以及安全性保障水平等要求 。 ６ ） 　 给出必要的检错 、 纠错和容错要求 。 ７ ） 　 对于安全关键 ＰＬＤＳ ， 宜提出失效模式以及规避失效的策略 。 ８ ） 　 根据给出的系统危险事件及失效模式 ， 确定 ＰＬＤＳ 的安全关键功能 。 ｂ ） 　 软件需求分析 ： １ ） 　 根据系统需求分析时给出的危险事件及失效模式 ， 进一步确认 ＰＬＤＳ 的安全关键功能 。 ２ ） 　 进一步分析系统危险事件及失效模式 ， 根据需要扩充 ＰＬＤＳ 的安全关键功能 。 ３ ） 　 明确应完成的规避失效风险的技术措施 。 ２ 犌犅 ／ 犜 ３７６９１ — ２０１９ ４ ） 　 落实系统需求分析时给出的检错 、 纠错和容错要求 。 ５ ） 　 对于安全关键 ＰＬＤＳ ， 宜使用故障模式及影响分析 、 故障树分析等方法进行安全性分析 。 ６ ） 　 完全覆盖系统需求分析时提出的安全性要求 。 ７ ） 　 衍生的安全性要求宜反馈到系统需求分析过程 ， 并进一步分析其对于安全性的影响 。 ｃ ） 　 设计和实现 ： １ ） 　 ＰＬＤＳ 设计和实现覆盖软件需求分析时给出的所有安全性要求及措施 。 ２ ） 　 依据设计准则或编码标准开展 ＰＬＤＳ 设计和实现 。 ３ ） 　 根据可编程逻辑器件的安全关键功能 ， 确定 ＰＬＤＳ 的安全关键部件和单元 。 ４ ） 　 对安全关键部件和单元进行安全性分析和测试 ， 测试宜覆盖所有的安全性要求 。 ５ ） 　 配置项级别宜明确防止错误扩大化的措施 ， 如数据处理时前一帧错误数据不会影响后续正常数据的处理 。 ６ ） 　 衍生的安全性要求宜反馈到需求分析过程 ， 并进一步分析其对于安全性的影响 。 ５ ． ２ 　 犘犔犇犛 更改 确定 ＰＬＤＳ 继承性 ， 对已纳入配置管理的受控 ＰＬＤＳ 的更改宜进行影响域分析 ， 并分析 ＰＬＤＳ 更