GB/T 37691-2019 可编程逻辑器件软件安全性设计指南

犐犆犛３５．０８０

犔７７

／—

犌犅犜３７６９１２０１９

犌狌犻犱犲犳狅狉狉狅狉犪犿犿犪犫犾犲犾狅犻犮犱犲狏犻犮犲狊狅犳狋狑犪狉犲狊犪犳犲狋犱犲狊犻狀

狆犵犵狔犵

２０１９０８３０２０２００３０１

／—

犌犅犜３７６９１２０１９

目次

前言…………………………Ⅰ

１范围………………………１

２规范性引用文件…………………………１

３术语和定义………………１

４缩略语……………………２

５总则………………………２

６需要考虑的因素…………………………３

附录资料性附录可编程逻辑器件软件安全性分析方法

Ａ（）…………１０

／—

犌犅犜３７６９１２０１９

前言

本标准按照／—给出的规则起草。

ＧＢＴ１．１２００９

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

本标准由全国信息技术标准化技术委员会（／）提出并归口。

ＳＡＣＴＣ２８

：、

本标准起草单位中国航天科工集团公司第三研究院第三四研究所中国电子技术标准化研究

○

院、中国电子科技集团第三十研究所、国家卫星海洋应用中心。

：、、、、、、、、、、、

本标准主要起草人孟伟杨楠王黎姜晓辉胡勇黄琼王国锋张津荣李文鹏朱琳张国宇

、、、、、、、、、癑、、、、、、

肖崇俭寇科男李恺巫忠跃彭鸣毛伟许卓琦张陈元史陈鹏刘廷杨永生王希孙健

葛永娇。

Ⅰ

／—

犌犅犜３７６９１２０１９

可编程逻辑器件软件安全性设计指南

１范围

本标准给出了可编程逻辑器件软件安全性设计的指导和建议，并给出了需考虑要点有关的信息。

本标准适用于可编程逻辑器件软件的系统需求分析、软件需求分析、设计和实现时的安全性设计。

２规范性引用文件

。，

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。，（）。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

／—信息技术软件工程术语

ＧＢＴ１１４５７２００６

／／

ＧＢＴ１８３４９集成电路计算机硬件描述语言Ｖｅｒｉｌｏ

ｇ

／—可编程逻辑器件软件开发通用要求

ＧＢＴ３３７８１２０１７

／—可编程逻辑器件软件测试指南

ＧＢＴ３３７８３２０１７

３术语和定义

／—、／—和／—界定的以及下列术语和定义适用

ＧＢＴ１１４５７２００６ＧＢＴ３３７８１２０１７ＧＢＴ３３７８３２０１７

于本文件。

３．１

可编程逻辑器件狉狅狉犪犿犿犪犫犾犲犾狅犻犮犱犲狏犻犮犲

狆犵犵

（）。

允许用户编程配置实现所需逻辑功能的器件

［／—，］

ＧＢＴ３３７８１２０１７定义３．１．１

３．２

可编程逻辑器件软件狉狅狉犪犿犿犪犫犾犲犾狅犻犮犱犲狏犻犮犲狊狅犳狋狑犪狉犲

狆犵犵

针对、等可编程逻辑器件进行设计而产生的程序、文档和数据。

ＦＰＧＡＣＰＬＤ

［／—，］

ＧＢＴ３３７８１２０１７定义３．１．５

３．３

软件安全性狊狅犳狋狑犪狉犲狊犪犳犲狋

狔

软件运行不引起系统事故的能力。

３．４

软件失效狊狅犳狋狑犪狉犲犳犪犻犾狌狉犲

软件系统丧失完成规定功能能力的事件。

３．５

安全关键功能狊犪犳犲狋犮狉犻狋犻犮犪犾犳狌狀犮狋犻狅狀

狔

针对特定的危险事件，为达到或保持受控设备的安全状态而实现的功能。

３．６

安全关键可编程逻辑器件软件狊犪犳犲狋犮狉犻狋犻犮犪犾狉狅狉犪犿犿犪犫犾犲犾狅犻犮犱犲狏犻犮犲狊狅犳狋狑犪狉犲

狔狆犵犵

具有安全关键功能的可编程逻辑器件软件。

１

／—

犌犅犜３７６９１２０１９

３．７

行波时钟狉犻犾犲犮犾狅犮犽

狆狆

当前一级时序逻辑的数据输出被用作下一级时序逻辑的时钟输入时的时钟信号。

４缩略语

下列缩略语适用于本文件：

：（）

ＢＤＡ双向分析ＢｉＤｉｒｅｃｔｉｏｎａｌＡｎａｌｓｉｓ

ｙ

：（）

ＣＰＬＤ复杂可编程逻辑器件ＣｏｍｌｅｘＰｒｏｒａｍｍａｂｌｅＬｏｉｃＤｅｖｉｃｅ

ｐｇｇ

：（）

ＤＣＭ数字时钟管理ＤｉｉｔａｌＣｌｏｃｋＭａｎａｅｒ

ｇｇ

：（）

ＦＭＥＡ故障模式及影响分析ＦａｉｌｕｒｅＭｏｄｅａｎｄＥｆｆｅｃｔｓＡｎａｌｓｉｓ

ｙ

：现场可编程门阵列（）

ＦＰＧＡＦｉｅｌｄＰｒｏｒａｍｍａｂｌｅＧａｔｅＡｒｒａ

ｇｙ

：（）

ＦＴＡ故障树分析方法ＦａｕｌｔＴｒｅｅＡｎａｌｓｉｓ

ｙ

：（）

ＨＤＬ硬件描述语言ＨａｒｄｗａｒｅＤｅｓｃｒｉｔｉｏｎＬａｎｕａｅ

ｐｇｇ

／：／（／）

ＩＯ输入输出ＩｎｕｔＯｕｔｕｔ

ｐｐ

：（）

ＩＰ知识产权ＩｎｔｅｌｌｅｃｔｕａｌＰｒｏｅｒｔ

ｐｙ

：（）

ＰＬＤＳ可编程逻辑器件软件ＰｒｏｒａｍｍａｂｌｅＬｏｉｃＤｅｖｉｃｅＳｏｆｔｗａｒｅ

ｇｇ

：（）

ＰＬＬ锁相环ＰｈａｓｅＬｏｃｋｅｄＬｏｏｐ

：（

ＶＨＤＬ超高速集成电路硬件描述语言ＶｅｒｈｉｈｓｅｅｄｉｎｔｅｒａｔｅｄｃｉｒｃｕｉｔＨａｒｄｗａｒｅＤｅｓｃｒｉｔｉｏｎ

ｙｇｐｇｐ

）

Ｌａｎｕａｅ

ｇｇ

５总则

５．１犘犔犇犛安全性设计

，。

ＰＬＤＳ安全性贯穿于ＰＬＤＳ全生存周期过程宜与ＰＬＤＳ生存周期过程活动紧密结合可通过下

列过程，保证ＰＬＤＳ设计的安全性：

ａ）系统需求分析：

１）明确系统／分系统中应重点防范的系统危险事件。

２）根据系统／分系统规格说明和系统／分系统设计说明开展系统级安全性分析，确定ＰＬＤＳ

的系统级安全性要求。

３）明确提出ＰＬＤＳ的安全性要求，并完全覆盖系统／分系统规格说明和系统／分系统设计说

明中的相关要求。

４）明确安全等级。系统人员根据系统危险分析结果以及行业相关规定，确定ＰＬＤＳ的安全

性等级。

５）对于安全关键ＰＬＤＳ，安全性需求宜给出重点防范的系统危险事件、失效容限以及安全性

保障水平等要求。

给出必要的检错纠错和容错要求

６）、。

），。

７对于安全关键ＰＬＤＳ宜提出失效模式以及规避失效的策略

），。

８根据给出的系统危险事件及失效模式确定ＰＬＤＳ的安全关键功能

ｂ）软件需求分析：

１）根据系统需求分析时给出的危险事件及失效模式，进一步确认ＰＬＤＳ的安全关键功能。

），。

２进一步分析系统危险事件及失效模式根据需要扩充ＰＬＤＳ的安全关键功能

３）明确应完成的规避失效风险的技术措施。

２

／—

犌犅犜３７６９１２０１９

）、。

４落实系统需求分析时给出的检错纠错和容错要求

），、。

５对于安全关键ＰＬＤＳ宜使用故障模式及影响分析故障树分析等方法进行安全性分析

６）完全覆盖系统需求分析时提出的安全性要求。

），。

７衍生的安全性要求宜反馈到系统需求分析过程并进一步分析其对于安全性的影响

）设计和实现：

ｃ

）设计和实现覆盖软件需求分析时给出的所有安全性要求及措施。

１ＰＬＤＳ

２）依据设计准则或编码标准开展ＰＬＤＳ设计和实现。

），。

３根据可编程逻辑器件的安全关键功能确定ＰＬＤＳ的安全关键部件和单元

），。

４对安全关键部件和单元进行安全性分析和测试测试宜覆盖所有的安全性要求

），

５配置项级别宜明确防止错误扩大化的措施如数据处理时前一帧错误数据不会影响后续

正常数据的处理。

６）衍生的安全性要求宜反馈到需求分析过程，并进一步分析其对于安全性的影响。

５．２犘犔犇犛更改

确定ＰＬＤＳ继承性，对已纳入配置管理的受控ＰＬＤＳ的更改宜进行影响域分析，并分析ＰＬＤＳ更改

，。

对系统安全的影响重点关注ＰＬＤＳ更改对时序关系的影响

５．３犘犔犇犛外购、外协或重用

、，：

安全关键软件采用外购外协软件或重用软件时重点关注

），，

决定重用某或使用核来完成安全关键功能之前确定其适用性并充分分析其安全

ａＰＬＤＳＩＰ

。，，

性影响在开发过程中对重用产品及核进行安全性分析和评价并对其进

ＰＬＤＳＰＬＤＳＩＰ

，。

行验证确定不存在不可接受的安全性风险

），，

ｂ外协ＰＬＤＳ产品的需方对外协产品的安全性负责对外协产品的开发过程进行监控并对外协

产品进行安全性分析和评价。

６需要考虑的因素

６．１系统需求分析

在系统需求分析中分析系统的结构功能性能需求工作环境实际外部接口时序考虑外部电路

，、、、、（

对信号延时的影响）等对ＰＬＤＳ的设计需求，需要明确的内容包括：

ａ）应遵循的相关安全性标准。

），／。

编程语言建议选用或使用宜遵循中要求

ｂＶＨＤＬＶｅｒｉｌｏＨＤＬＶｅｒｉｌｏＨＤＬＧＢＴ１８３４９

ｇｇ

）继承性要求。

ｃ

ｄ）可编程逻辑器件的运行环境。

）可编程逻辑器件的开发环境。

ｅ

）可编程逻辑器件的功耗要求。

ｆ

可编程逻辑器件芯片规格确认选用的可编程逻辑器件的芯片等级速度等级设计资源数

）。、、、

ｇ

、、。

工作频率封装抗空间辐照等指标满足要求

）。

ｈ系统分配给ＰＬＤＳ功能的合理性分析分配的软件任务复杂度不宜超出可编程逻辑器件的能

力范围。

）使用片上可编程系统要求。若使用片上可编程系统，按软件相关标准分析处理器软件的安全

ｉ

性要求。

）。，

接口和信号要求给出所有接口和信号描述明确上电及复位后接口信号状态和管脚绑定

ｊ

３

／—

犌犅犜３７６９１２０１９

要求。

）。，、

ｋ软件可编程要求针对与软件配合工作的可编程逻辑器件明确软件对ＰＬＤＳ的操作要求操

，、、、／。

作时序以及接口协议包括可编程寄存器名称地址复位状态读写操作等

）。、，

核复用要求对核进行安全性分析评价及验证确定其不存在不可接受的安全性

ｌＩＰＩＰ

风险。

）。。

ｍ安全性设计要求如给定的错误情况如何处理

）。、。

ｎ余量要求包括时钟频率和可编程逻辑器件逻辑资源管脚资源使用等

），

ｏ如有抗空间辐照设计要求对有单粒子效应敏感的静态随机存储器型可编程逻辑器件宜提出

，、／、。

抗单粒子效应防护设计要求如采用三模冗余设计纠检错编码设计动态刷新等设计方法

６．２软件需求分析

６．２．１安全性需求的来源

宜正确、完整地追踪安全性需求来源。ＰＬＤＳ安全性需求来源可分为通用的安全性需求和专用的

安全性需求，其中：

ａ）通用的安全性需求一般为某一应用领域或多个类似的项目共同的安全性需求；

），，

ｂ专用的安全性需求一般为所属ＰＬＤＳ系统特定的安全性需求是由系统向下传递的或者是系

，

统初步危险分析结果中危险原因与ＰＬＤＳ相关的安全性需求其中也包括开发过程中新识别

出再由ＰＬＤＳ系统采纳下达的安全性需求。

６．２．２安全性需求分析

、、、

系统特定的ＰＬＤＳ安全性需求的开发与分析宜依据系统安全性需求环境需求标准项目专用规

、，，。

范工具或者设施需求和接口需求查找安全关键功能确定安全性需求ＰＬＤＳ的安全性分析方法参

见附录。

Ａ

６．２．３安全关键功能的安全保证措施

安全关键功能的安全保证措施如下：

）、：

ａ安全运行模式运行状态与安全条件

），，

１ＰＬＤＳ安全性需求包括有效的运行模式或状态以及禁止和不适用的模式或状态宜避免

ＰＬＤＳ进入禁止或不适用的模式或状态。

），

２在整个软件需求中查找是否存在可能导致不安全状态的条件和潜在的失效隐患如不按

顺序、，，，，，

错误的事件不适当的量值不正确的极性无意的命令环境干扰造成的错误以及

控制失效模式之类的条件。对所有的不安全状态的条件和潜在失效隐患，制定适当的响

应要求。

），、、

３针对状态机需求分析确认所需状态机的状态完整性状态转换完整性输入和输出变量

完整性、初始状态等。

ｂ）容错和容失效：

１）明确系统是否能容错或容失效，或两者兼有。

２）采用容错机制防止微小的差错造成失效。

３）安全关键功能宜单独划分模块，避免受其他模块干扰。

：，、、

注系统中的安控处理模块宜单独分出并根据安全级别可选择热备份冷备份三冗余备份等容错或容失效

１

方式。

）接口：

ｃ

），，、、

１对接口进行分析分析接口出错方式及出错概率并以此来确定通信方法数据编码错误

４

／—

犌犅犜３７６９１２０１９

、。

检查同步方法以及校验和纠错码等

注：。，，

２接口错误检查或者纠正措施适用于接口的出错概率如根据安全级别考虑协议是否满足安全性要求包括

、、、、、；

帧头和帧尾不能为和等