安全关键计算机系统PDF电子书下载

1.1 什么是安全关键系统？ 1

第1章 安全关键系统概论 1

1.2 安全关键系统的结构 5

1.2.1 系统与环境 5

1.2.2 层次模型 6

1.3 安全关键计算机系统与其它学科的联系 7

1.3.1 实时系统 7

1.3.2 可信性 9

1.3.3 安全工程 10

1.3.4 信息安全 12

1.5 安全关键系统的回顾 13

1.5.1 安全系统对故障安全概念的影响 13

1.4 安全关键系统的分类 13

1.5.2 安全元件和器件技术的影响 16

1.5.3 应用对安全系统的影响 17

1.6 安全关键计算机系统的现状 18

小 结 19

第2章 安全技术的国际标准 21

2.1 国际安全标准体系的特点 21

2.2 ISO/IEC GUIDE51—1999(E) 22

2.3 ISO TR—12100—1992 23

2.4 ISO 14121—1999(E) 25

2.5 ISO 13849—1999(E) 26

2.6 IEC 61508 27

2.7 软件安全标准 28

2.8 铁路信号的安全性标准 29

小结 30

第3章 安全关键系统的安全原理 31

3.1 大系统：人—机—环境系统 31

3.1.1 人 31

3.1.2 环 境 35

3.1.3 机 36

3.2 全过程——安全生存周期 38

3.2.1 安全生存周期的定义 38

3.2.2 总体安全生存周期的组成 38

3.2.3 E/E/PES安全生存周期 41

3.3 多层次——安全措施的层次化 42

3.3.1 安全措施的层次化原理 42

3.3.2 本质安全（inherently safe） 43

3.3.3 安全防护 54

3.3.4 使用信息 55

3.4 安全确认型系统 57

3.4.1 必须用确定性构筑安全关键系统 57

3.4.2 安全状态和安全功能 57

3.4.3 安全确认型系统和危险检出型系统 59

3.4.4 安全确认型系统的构成原理 61

3.4.5 扩展的安全确认系统 66

小结 67

第4章 危险和风险分析 68

4.1 危险分析 68

4.1.1 危险分析的目标 68

4.1.2 危险分析方法综述 72

4.1.3 危险性预先分析 73

4.1.4 安全检查表法 74

4.1.5 故障模式及效应分析法 75

4.1.6 故障树分析法 77

4.1.7 事件树分析法 81

4.1.8 危险可操作性研究 83

4.2 风 险 85

4.2.1 风险的定义 85

4.2.2 风险元素 85

4.2.3 风险率 87

4.3 危险和风险分析的总要求 87

4.4 风险评价的步骤及其内容 88

4.4.1 风险分析 89

4.5.1 ALARP原理 90

4.4.2 风险评定 90

4.5 ALARP原理和可忍受的风险 90

4.5.2 可忍受的风险 91

4.5.3 可忍受的风险目标 91

4.5.4 可忍受风险目标的实现 92

4.6 安全完整性（safety intergrity） 93

4.6.1 安全完整性的定义 93

4.6.2 风险和安全完整性 93

4.6.3 决定安全完整等级的定性方法——风险图 94

小结 95

第5章 形式方法 97

5.1 什么是形式方法？ 97

5.2.1 根据对软件系统进行说明的方式进行分类 98

5.2 形式方法的分类 98

5.2.2 根据对软件系统的验证技术进行分类 101

5.3 为什么使用形式方法？ 102

5.4 形式方法在安全关键系统中的应用 103

5.4.1 航空 103

5.4.2 铁路信号系统 103

5.4.3 医疗系统 104

5.4.4 箝入式微处理器 104

5.5 开发生存周期中的形式方法 104

5.5.1 应用形式方法的严密性等级 104

5.5.2 需求分析与形式方法 105

5.5.3 形式规格说明语言 105

5.5.5 形式方法与验证 106

5.5.4 设计与实现的形式方法 106

5.6 形式方法的支撑工具 107

5.7 形式方法例：Petri网 108

5.7.1 基本概念 108

5.7.2 Petri网的特性 112

5.7.3 Petri网的扩充 114

5.7.4 时间Petri网（time petri nets） 116

小结 118

第6章 安全关键系统的需求工程 119

6.1 需求工程概述 119

6.1.1 什么是需求？ 119

6.1.2 什么是需求工程？ 120

6.1.3 系统需求规格说明书的质量——什么是好的系统需求规格说明书？ 122

6.1.4 高质量的需求过程带来的好处 123

6.2 安全关键系统的需求工程 124

6.3 安全关键系统的需求规格说明的形式 125

6.4 安全需求规格说明书的组成 127

6.4.1 安全相关系统的总体安全需求规格说明 127

6.4.2 电气的／电子的／可编程电子的安全相关系统的需求规格说明 128

6.5 安全关键系统的安全需求分析方法 129

6.6 安全关键系统的安全需求分析实例：使用Petri网的安全需求分析 131

小结 135

第7章 安全关键计算机系统的组成原理 136

7.1 故障安全计算机系统概论 136

7.1.1 故障安全计算机系统的分类 136

7.1.2 故障安全检测器和校正器 138

7.1.4 故障分类 141

7.1.3 硬件分类 141

7.1.5 硬件安全完整性的结构约束 144

7.2 自校验检测技术 146

7.2.1 概 述 146

7.2.2 自校验逻辑电路的基本结构 146

7.2.3 完全自校验检测器的特性 148

7.2.4 广义故障安全概念 148

7.3 双模比较检测技术 149

7.3.1 概 论 149

7.3.2 强故障安全比较器 150

7.3.3 交替变量故障安全比较器 152

7.3.4 共模故障及其克服方法 154

7.4 监督定时器（Watch Dog Timer）检测技术 156

7.4.1 监督定时器的原理 156

7.3.5 自校验处理器 156

7.4.2 监督定时器的结构规则 158

7.4.3 监督定时器的检错能力 159

7.4.4 双CPU系统的监督定时器 159

7.4.5 监督定时器的故障安全特性 159

7.5 硬件自检测程序 160

7.6 故障安全表决器 162

7.6.1 由完全自校验模块构成的TMR系统的表决器 163

7.6.2 用于由通用计算机构成的TMR系统的表决器 164

7.7 瞬时差错恢复技术 168

7.7.1 稳态效应的瞬时差错恢复技术 168

7.7.2 瞬时效应的瞬时差错恢复技术 169

7.8.1 安全型继电器 170

7.8 安全型控制继电器和故障安全输出接口 170

7.8.2 故障安全输出接口 171

7.8.3 故障安全控制电路的构成 172

7.9 输入器件和故障安全输入接口 173

7.9.1 输入器件 173

7.9.2 故障安全输入接口 175

小结 176

第8章 安全传输系统原理 177

8.1 概 述 177

8.2 安全信息 180

8.3 安全信息传输系统的故障 安全概念的形成 181

8.4 安全信息传输系统的结构模型 182

8.5 现场总线的安全态和危险态 183

8.7 安全关键系统现场总线的安全需求 184

8.6 现场总线的故障—安全特性 184

8.8 现场总线故障安全传输通信协议的总体结构 186

8.8.1 通信协议的总体结构 186

8.8.2 故障 安全传输通信协议的构思 187

8.9 实现现场总线故障安全传输的通信协议 187

8.9.1 保证现场总线生存性的措施——必须是容错的拓朴结构 187

8.9.2 保证现场总线信息传输完整性的措施 188

8.9.3 保证安全信息传输的实时性的措施 192

8.9.4 保证安全信息传输的可测性的措施 194

小结 195

第9章 安全关键计算机系统的软件 196

9.1 软件安全性的由来及其重要性 196

9.2 软件安全性的定义及其主要研究内容 197

9.3 软件质量保证是软件安全性的基础 198

9.4 软件安全生存周期 201

9.5 软件危险分析 204

9.6 软件安全需求规格说明 206

9.7 软件设计和开发 208

9.7.1 目标 208

9.7.2 总的要求 208

9.7.3 软件结构 209

9.7.4 对支持工具和编程语言的要求 211

9.7.5 对详细设计和开发的要求 211

9.7.8 对软件集成测试的要求 212

9.8 可编程电子集成（硬件／软件集成） 212

9.7.7 对软件模块测试的要求 212

9.7.6 对编码实现的需求 212

9.9 软件安全性确认 214

9.10 软件修改 215

9.11 软件验证 216

9.12 软件技术措施的选择 219

9.13 软件安全性设计准则 222

9.14 实现软件安全性的技术 225

9.14.1 安全核技术 225

9.14.2 安全壳技术 227

9.14.3 安全代技术 228

小结 229

10.1.1 关于硬件需求描述与分析方法的基本要求 230

10.1 概 述 230

第10章 系统验证 230

10.1.2 验证、确认与测试 231

10.1.3 硬件的描述 232

10.1.4 设计验证 233

10.2 描述、模拟与验证 234

10.3 基于故障注入的方法 240

10.3.1 故障注入方法的基本原理 240

10.3.2 故障参数与注入故障集的生成 241

10.3.3 模拟故障注入技术 243

10.3.4 物理故障注入技术 245

10.3.5 故障注入工具简介 247

10.4 系统性能评估的基准程序方法 254

主要参考文献 259

跋 264