智能感知系统安全完整性评测要求

5智能感知系统安全完整性评测要求本文件规定了智能感知系统安全完整性评测对象、管理、流程、内容和报告的要求。本文件适用于当智能感知系统承担相应的安全防护任务时，对所应用的智能感知系统开展安全完整性能力评测。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20438.1电气/电子/可编程电子安全相关系统的功能安全第1部分：一般要求GB/T20438.2电气/电子/可编程电子安全相关系统的功能安全第2部分：电气/电子/可编程电子安全相关系统的要求GB/T20438.3电气/电子/可编程电子安全相关系统的功能安全第3部分：软件要求GB/T20438.4电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语3术语和定义GB/T20438.4界定的以及下列术语和定义适用于本文件。3.1智能感知系统intelligentsensingsystem利用传感采集、智能算法、数据处理等技术，对物理世界中的信息进行采集、处理、分析和理解，从而实现对环境、物体或事件认知的系统。注1：智能感知系统可由结合智能化技术的传感器、软硬件处理单3.2安全测量精度safetymeasureaccuracy确保智能感知系统能够执行特定应用安全功能的测量精度。注：安全测量精度不同于智能感知系统的通用测量精度，安全测量精度是结合具体的应用，从安全功能能得到有效实现的角度考虑现场所要求的测量精度，例如某个智能感知系统的测量精度可达到0.1%，但从某个应用现场的安全功能来说，精度偏差在1%以内4缩略语下列缩略语适用于本文件。6ASIL：汽车安全整性等级（AutomotiveSafetyIntegrityLevel）HART：可寻址远程传感器高速通道（HighwayAddressableRemoteTransducer）MRT：平均维修时间（MeanRepairTime）PL：性能等级（PerformanceLevel）SIL：安全完整性等级（SafetyIntegrityLevel）SRS：安全要求规范（SafetyRequirementsSpecification）UPS：不间断电源（UninterruptiblePowerSupply）5智能感知系统安全完整性评测对象本文件所规定的评测对象是整体安全功能中传感器子系统部分，包括对外界信号感知、分析和传输所包含的硬件、软件、通信等。注：一个典型的测量控制系统可能包括传感器子系统、逻辑解算子系6智能感知系统安全完整性评测管理6.1一般要求针对智能感知系统的安全完整性评测，应建立一套系统化、规范化的管理程序，实现对评测全过程的规划、组织、实施、监督及归档闭环管控，应包括如下内容：——评测的人员管理要求；——评测的设备管理要求；——评测的变更管理要求；——评测的文档管理要求。6.2人员管理要求6.2.1实施评测的组织或人员应与智能感知系统的研制或供应方具有独立性，确保评测结果的客观性、公正性。6.2.2应对实施评测的人员进行明确分工，明确岗位职责及能力要求，确保各环节工作有序落地。应规定评测负责人、技术实施人员、复审人员、文档管理员等核心岗位，并定义其职责。6.2.3在具体的应用项目中，人员可兼任多个岗位，但质量核查人员不应兼任该项目其他岗位。6.2.4开展评测的评测负责人、技术实施人员、核查复审人员应具备以下能力，包括但不限于：——熟悉待评测智能感知系统的原理、功能，了解其基本的设计运行模式；——熟悉安全完整性相关标准；——熟悉智能感知系统预期的应用条件和环境情况；——需具备智能感知系统相关技术背景，需具备功能安全相关技术背景；——至少应有一人接受过行业权威机构培训，取得培训合格证书。6.3设备管理要求7执行评测的设备应在一套适当的设备管理程序控制之下，且满足适当的量值溯源要求。6.4变更管理要求在整个评测流程中，应考虑评测活动中可能发生的变更，并在变更发生后采取适当的分析，以确认是否需要返回到变更发生前的阶段，重新执行相关的规划或安排。变更管理的具体执行，可参考GB/T20438.1中的要求。6.5文档管理要求应将智能感知系统评测相关的全部活动及收集的证据形成完整文档，实现全过程可追溯。7智能感知系统安全完整性评测流程7.1智能感知系统安全完整性评测流程包括：编制评测计划、确定评测目标、实施评测及编制评测报7.2智能感知系统安全完整性评测流程各个阶段的管理和技术活动应符合第6章、第8章的要求。8智能感知系统安全完整性评测内容8.1一般要求本文件所规定的评测内容及其输出文件应作为对智能感知系统预期应用的整体安全功能及其安全完整性要求实施验收的依据。应开展的安全完整性评测内容包括：——设计的安全完整性评测；——功能和性能的适应性评测；——环境适应性评测；——可靠性、可维护性和可测试性评测；——文档评测；——补充测试的要求。8.2编制评测计划8.2.1应在评测开始前编制评测计划。8.2.2评测计划应至少包括如下内容：——评测对象的范围：明确本次评测所针对的智能感知系统（包括版本、配置等），及其在安全功能中的边界和作用；——评测依据与目标：列出评测所依据的标准、规范以及本次评测拟达成的总体目标；注：遵循的标准除了功能安全要求的标准以外，还可能包括产品标准、应用领域标准或其他测试规范。——评测方法：确定具体评测方法；——进度安排：制定详细的时间进度表；8——资源：确定评测所需的人员、设施、工具清单等，明确工具的有效性、技术适用性（适配特定场景及被测系统）要求；——交付物：明确评测完成后需输出的成果，如评测报告、记录等。8.3确定评测目标8.3.1基于评测计划，应确定具体的、可验证的、可追溯的评测目标。8.3.2对智能感知系统不同阶段的评测应结合具体的应用要求设立评测目标，一般情况下应至少包括如下评测目标：——预期应用安全功能的安全等级（如SIL、PL、ASIL等）；——在应用要求下的响应时间特性，包括最长响应时间、故障响应时间等；——所应用的环境条件要求，包括温度、湿度、电磁环境等；——适用测量介质的要求；——应达到的安全测量精度；——可靠性、可维护性与可测试性要求，包括诊断覆盖率、检验测试覆盖率、检验测试间隔等；——智能化技术包括智能感知模型、数据等达到的安全性能力；——在行业领域中应用的其他安装、使用和操作维护的限制。8.3.3评测目标的获得可来自如下文件或资料：——智能感知系统所参与执行的整体安全要求规范（SRS）；性要求，那么在执行评测目标构建时需要基于整体安全功能分解为适当的——预期应用场景下现场实际工艺文档、环境描述；——该类智能感知系统与功能安全和行业领域相关的标准或行业惯例；——智能感知系统实现特定功能的输入数据集；——该评测之前所得到的其他评测报告或相关产出文件。注2：例如在系统应用设计阶段及其后续阶段的评测可以参考来自研发设计阶段所产生的智能感知系统安全8.3.4评测目标应形成正式的文件，在整个评测过程中保持可追溯性，并被评测活动所全部覆盖。8.4评测的实施8.4.1基本要求8.4.1.1评测的实施应基于已完成的评测计划和评测目标。8.4.1.2对于智能感知系统应按照8.4.2-8.4.7给出的适用要求实施评测。8.4.2设计的安全完整性评测8.4.2.1可以通过以下三种方式之一来评测智能感知系统设计能够实现的安全完整性：——方式一“符合性开发”的评测：检查智能感知系统的设计是否满足相应的功能安全标准中开发生命周期的全流程要求；——方式二“经使用证明”的评测：检查智能感知系统在相近环境条件下有较多数量和较长时间的现场应用，基于对其使用过程中失效原因的分析，失效量的统计等证明其满足相应的安全完整性能力；9——方式一和方式二的组合评测。8.4.2.2为执行方式一的评测，应确保智能感知系统开发生命周期过程及采取的技术措施满足功能安全要求。8.4.2.3为执行方式二的评测，应确保待评测智能感知系统在相似环境下有足够有效的运行经验，且满足功能安全相关数据收集要求，具体包括：——智能感知系统的失效统计过程应在一套适当的管理体系下执行，运行经验证据应可审查；——运行经验证据应与智能感知系统软件和硬件的精确已知版本、配置设置相关联，如果认为运行经验具有通用性能够适用于智能感知系统的各个版本，则应分析不同版本之间的差异并证明这种通用性；——智能感知系统在类似环境条件下的使用统计累计时长，以及具体的环境特征条件（如温湿度）；——应有一套可靠性失效报告体系，来对运行过程中发生失效的详细记录，包括发现失效的时间、现场失效的具体表现（例如失电、机械磨损等）、失效的原因机理分析（如存在）、采取的补救或更换手段等；应确保失效的记录是现场智能感知系统发生失效之后的原始情况，而不是基于操作员或技术人员的主观判断；注1：如果对失效报告体系存在不确定的情况，可考虑对预估注2：智能感知系统可能会执行多个功能，甚至多个测量功能，评测重点关注的是其中执行安全相关的测量功能，例如某液位计的主要安全功能是测量液位，虽然同时也可以实现对液体密度等测量，但本次评测关注的是该液位计的液位测量部分的功能和性能。共因失效分析可以参考GB/T204——对运行经验证据的分析应考虑待评测智能感知系统的特定功能是连续运行还是间歇按需运行。对于前者，证据的依据应是实际运行的小时数；对于后者，证据的依据应是在按需功能没有失效情况下的执行次数；——运行时长应根据所需满足的安全等级目标确定、智能感知系统的复杂性等因素来确定，安全等级越高、智能感知系统越复杂所需最低运行时长越长；注3：充分的运行时间宜根据工程判断逐个项目确定，难以有一个统一的标准，可以参考GB/T20438.7的附录D或其他适当的统计学理论，结合不同安全完整性目标失效量数值来确定最低的——通过运行经验结合统计学相关的分析，可以计算获得智能感知系统基于运行经验的随机失效率，如果该数值远大于理论分析数值，则应分析是智能感知系统内存在明显的系统性失效还是固有的随机失效过大。8.4.3功能和性能的适应性评测8.4.3.1应对智能感知系统的安全相关和非安全相关功能及其安全相关性能开展适应性评测，以确认：1)预期功能被正确实现；2)各项安全相关性能指标达到预期水平；3)非安全相关功能未对安全相关功能及性能产生负面影响；4)系统功能运行的可靠性符合既定预期；5)存在完整描述上述功能与性能要求的规范性文档。注：所需功能是智能感知系统在特定整体安全功能中分解所需要承担8.4.3.2应对智能感知系统所执行的最主要测量相关安全功能进行评测，以确保其满足整体安全要求规范和现场的应用要求，具体评测内容包括：1)所规定的主要测量相关安全功能的精度和可重复性；2)智能感知系统实现测量输出的响应时间和适当的信号处理能力（根据适当的产品或行业标准定义，如采样率、时间延迟、上升时间、带宽、滤波特性等）；3)涉及频域转换功能时，智能感知系统应在相关频率范围内表现出足够的增益和相位变化能力；4)智能感知系统安全状态（如开关量的输出状态，模拟量的电流值等以及在逻辑结算器的组态配置时是否按照该安全状态的定义要求执行了适当的信号逻辑处理。8.4.3.3应对智能感知系统的非安全相关功能开展评测，以证明其不会对安全相关功能造成不可接受的负面影响：1)应确认系统在集成阶段是否已进行非安全功能对安全功能的影响分析，并从设计的角度采取了适当的避免或控制措施；2)应检查或测试智能感知系统的配置功能是否具有输入合法性判断的能力，并能够拒绝或提示非法输入数值或输入方式；3)应检查智能感知系统的配置权限是否受控；4)应检查智能感知系统的配置进入、配置参数得到适当防护，以避免无意、恶意或未经授权的修改；5)应通过分析或测试验证，系统在执行非安全相关的通信功能时，其外部连接设备的正常或异常状态均不会对智能感知系统自身造成负面影响；6)应检查智能感知系统是否存在非特定应用项目所必须的功能（也称之为多余功能，例如仅有模拟量信号输出需求的应用场景配置有HART通信），对所有安全等级的安全应用，应分析这些多余功能是否可能对安全测量造成负面影响，必要时还应采用测试的方式证明。8.4.3.4应对智能感知系统测量的介质可能造成的各类影响进行系统性评测，评测应包括以下内容：1)评估介质对系统的物理/化学影响（如腐蚀、结垢、堵塞等），并分析介质关键物性参数（如电导率、密度、粘度等）与系统测量原理的匹配性；2)评估工艺过程中介质的动态变化（如相态转变、温度、压力波动等）对系统测量的影响；3)评估介质长期作用下，系统可能出现的性能衰减或测量漂移趋势。8.4.3.5应对智能感知系统依赖的关键公用设施支撑条件进行评测，应包括以下内容：1)供电系统评测：评估供电电源的质量（如电压稳定性、频率波动、谐波含量等）、可靠性（如双路供电、不间断电源UPS的备份容量与切换时间等）及安全性（如配电保护、绝缘、隔离2)供气系统评测（如适用对于依赖气源的系统，应评测气源的质量（如露点、含油量、颗粒物含量）、压力稳定性与供应可靠性；3)防雷与接地系统评测：评估系统的防雷保护等级与措施（如浪涌保护器的配置与等级以及接地网络的性能。8.4.3.6应对智能感知系统安装施工的规范性与完整性进行评测，确保符合智能感知系统手册及现场要求。8.4.3.7应对执行智能化相关功能所需的数据集质量及其完整性开展评测，在适用时宜包括：1)数据集来源具有代表性和可追溯性，覆盖预期应用场景中的正常工况、边界工况及异常工况；2)数据集包含足够的多样性和扰动样本，避免偏差或过拟合；3)数据标注（如适用）具有明确规则、可复现性，并经过交叉验证或专家审核；4)检查数据集版本、构建方法、样本分布及预处理过程，确保数据可追溯。8.4.3.8应对智能感知系统智能感知模型在应用条件下的适应性开展评测，具体包括：1)应评测智能感知系统是否具备对模型性能衰减的检测或发现能力；2)应分析模型在长期运行中因环境变化、数据分布偏移等因素可能导致的性能下降；3)宜分析模型适应性的判定阈值及触发重新评估或更新的机制；4)智能化模型若有更新机制，应评测其更新过程的安全性，包括版本控制、更新触发条件、回滚机制等。8.4.4环境适应性评测8.4.4.1应对智能感知系统在现场应用的环境适应性开展评测，具体包括：1)应通过测试或审查相关报告、确认智能感知系统能够满足现场所在区域的极限环境条件（如高原、极寒、极热环境等），评估因素包括温度、压力、湿度、腐蚀、射线及电磁干扰等；2)应通过分析、测试或审查相关报告，确认在应用现场极端环境条件下，系统的可靠性（包括寿命、长期稳定性等）达到声称的指标，并满足特定应用项目的功能安全需求；3)当智能感知系统需依赖特定的辅助装置（如机柜、伴热等）满足环境要求时，应评测应用现场是否具备该装置所需的条件。8.4.4.2系统已有的历史使用经验可以作为其环境适应性符合的重要证据，该经验的使用应满足以下要求：1)经验有效性：所引用的历史使用经验，其环境条件（如温度、湿度、压力、电磁环境等）应与当前现场的应用环境相同或更为严酷；2)证据可追溯性：经验数据应具备完整、客观、可追溯的记录，证明系统在所述历史周期内运行正常，且未因环境因素导致功能失效或性能超差；3)审查与确认：应对历史经验记录进行审查，确认其持续时间、样本数量及运行结果足以支持当前应用的可信度要求。必要时，可结合有限的针对性测试进行补充验证。8.4.5可靠性、可维护性和可测试性评测8.4.5.1系统可靠性评测的内容包括：——智能感知系统所声明的失效模式及失效率是否满足功能安全相关标准要求，以及在安装、运行和维护过程中满足所达到这些失效率的前提或假设条件；——对于智能感知系统冗余应用的情况（如1oo2或2oo3等），应开展共因失效分析，确定其满足在设计过程中所假设的共因失效因子，具体的共因失效分析方法可参考GB/T20438.6；——应结合智能感知系统各个组成部分的失效率、现场实际的检验测试方法、现场实际可能实现的平均维护时间（MRT）以及检测到故障后智能感知系统的行为模式来开展智能感知系统部分的失效参数计算，并判断其是否小于分配给智能感知系统部分的目标失效量；——应在评估智能感知系统安全相关部分的寿命限制组件（如电解电容），以便在设备的预期故障率可能表明使用寿命结束之前，为组件或设备更换提供依据；——应检查智能感知系统的诊断测试间隔和诊断测试覆盖率是否满足现场的可靠性要求；注：确认当硬件故障裕度为0时，仅当高要求和连续运行模式下诊断测试间隔和执行特定功能以获得或维持安全状态的时间总和小于过程安全时间时或者高要求运行模式下诊断测试率与要求率之比大于或等于100时，对智能——应分析智能感知系统达到相应诊断能力的前提和假设，并确认应用现场的整个系统配置过程中满足了相应的要求。8.4.5.2感知模型可靠性评测内容包括：——应评测智能感知模型在标准工况下的准确性、误报率、漏报率等关键性能指标；——宜通过对抗样本、噪声注入、信号中断、环境突变等方式测试模型的鲁棒性；——应分析模型对输入扰动、传感器失效、数据缺失等异常输入的响应行为。8.4.5.3系统可维护性评测内容包括：——应对智能感知系统的维护友善性进行评测，确认是否有支持维护的软硬件配置措施，宜采用自动化的方式实施维护；——应对智能感知系统维护后的安全功能、性能等方面自诊断能力进行评测，确保维护后的安全完整性仍然符合预期要求。8.4.5.4系统可测试性评测内容包括：——应对智能感知系统在安全手册等文件给出的智能感知系统检验测试策略进行评测，确认检验测试方法和限定的最长检验测试间隔在应用现场的可操作性和可实施性，分析所提出的检验测试方法预期可达到的测试覆盖率水平；——应检查智能感知系统及其相关的规程/手册中是否考虑了对检验测试的支持；——应检查智能感知系统在线测试能力，确认智能感知系统具备在线运行时开展功能、性能等测试的机制。8.4.5.5系统模型可测试性评测内容包括：——宜对模型输出的结果离线复现与验证；——对于可能存在恶意输入或数据篡改风险的场景，应评测系统的识别与防护能力；——宜通过模拟攻击（如数据注入、模型扰动、逃逸攻击等）评估系统的防御机制有效性；——应评测智能感知系统对攻击检测、响应时间及系统在攻击下的行为状态的记录能力。8.4.6文档评测8.4.6.1应检查智能感知系统是否有足够的文档证据，包括关键的功能、系统和可靠性测试报告，失效分析报告，安全参数计算证明等。8.4.6.2应检查智能感知系统是否配有安全相关的安装、使用和维护说明书，一般以安全手册或用户手册的形式呈现。注：设备的安全使用是指在设备的安装、配置和维护方式适当符合设8.4.6.3安全手册应符合功能安全相关标准要求，至少包含：——完整的智能感知系统版本信息；——主要功能说明，以及配置参数的具体影响、设备接口、上电/电源中断期间的行为、失效影响等核心信息；——安全相关功能的失效模式和失效指示；——辅助和多余功能的完整描述，包括相关的配置方式，以防止干扰主要功能；——功能完整性要求，如通过自诊断检测硬件失效，以及在检测到失效时采取的措施；——设备的环境和健壮性限制以及寿命限制部件；——所有维修、操作程序及其相应的警告；——定期维护、校准和检验测试的要求；——智能感知系统的应用安全假设或前提条件。8.4.7补充测试的要求应分析8.4.1-8.4.6评测证据的有效性和完整性，并确认是否需要开展补充测试。如需开展补充测试，应形成详细的测试记录或报告，补充测试记录信息示例参见附录B。9智能感知系统安全完整性评测报告9.1评测负责人应在完成评测后及时编制评测报告。9.2评测报告应包括如下通用内容：——标题（例如“XX系统安全完整性评测报告”）及报告编号；——评测机构的名称和地址；——实施评测活动的地点；——将评测报告中所有部分标记为完整报告一部分的唯一性标识，以及表明评测报告结束的清晰标识；——客户的名称和联络信息；——所用评测方法、结果判定等标准的信息；——智能感知系统的描述、明确的标识（如型号、系列号、软件版本等）、编号以及必要时智能感知系统的状态；——智能感知系统及相关文档的接收日期，以及对结果的有效性和应用至关重要的抽样日期；——实施评测活动的日期或时间段；——评测报告的发布日期；——如与结果的有效性或应用相关时，或其他机构所用的抽样计划和抽样方法；——适用时，测评数据和结果不确定度的计算或声明；——结果仅与被评测智能感知系统有关的声明；——评测所使用的评测设备及其编号，评测的有效期，评测人员、审核人员及批准人员信息；——当部分数据或结果来自于外部供应商时，应清晰标识。9.3评测