系统开发和安全性分析

1. 术语

安全性（Safety）：风险可接受的状态

损害（harm）:人身伤害，财产损失或对环境造成的危害

故障（fault）:项目或系统的一个非预期异常，故障的发生可能导致失效

失效（failure）:功能缺失，或者系统或系统某部分发生故障

危害（hazard）: ①造成harm的潜在根源②由失效、故障、外部事件、错误或者这些组合造成的一种潜在的不安全状况

风险：损害发生的概率以及损害的严重程度

安全性、风险和损害都比较容易理解。而危害、故障和失效需要进一步的解释，危害强调系统的一种直接表现，这种表现是一种不安全的状态。如飞机指令显示屏显示数据错误；失效强调功能的不正确执行或缺失，如返回指令的功能返回错误数据；故障强调功能某个组件错误的运行表现，如功能运行时出现数组指针越界访问。可以这么理解原来有的一个功能，不能正确的执行或者错误的执行就是失效。而故障是非预期的异常，这种异常可能导致失效。

功能危害分析（FHA）：

故障树分析（FTA）：一个可能的事故开始，自上而下、一层层的寻找顶事件的直接原因和间接原因事件，直到基本原因事件

失效模式与影响分析（FMEA）：FMEA是在产品设计阶段和过程设计阶段，对构成产品的子系统、零件，对构成过程的各个工序逐一进行分析，找出所有潜在的失效模式，并分析其可能的后果，从而预先采取必要的措施，以提高产品的质量和可靠性的一种系统化的活动。

2. 系统开发和安全性分析

由图可以看到捕获安全性分析和系统开发的3个重要阶段：系统概念开发阶段（D1），系统设计阶段（D2），软件开发阶段（D3）。

各阶段的任务：

D1:对系统功能执行初期的功能危害分析（S1）获得系统安全性目标、系统危害、危害分类的原因等主要数据。

D2:系统架构逐渐清晰，可以执行系统安全分析(S2)，以初期识别的危害作为树顶，构建故障树，分析造成系统危害的失效和故障，并提出相应的安全性需求处理失效。

D3:一方面，开发实现从系统安全分析过程分配的安全性需求；另一方面，执行软件安全性分析（S3），采用类似系统安全分析。的过程对软件执行故障树分析和软件失效模式影响分析