船用軟件安全及可靠性評(píng)估指南

1、指導(dǎo)性文件GUIDANCE NOTES GD11-2015中 國(guó) 船 級(jí) 社船用軟件安全及可靠性評(píng)估指南GUIDELINES FOR SAFETY AND RELIABILITY ASSESSMENT FOR SHIPBOARD SOFTWARE2015目錄范圍及說明112規(guī)范性文件23術(shù)語及縮略語24計(jì)算機(jī)系統(tǒng)分類55質(zhì)量體系的要求66系統(tǒng)生命周期87軟件開發(fā)生命周期148試驗(yàn)和驗(yàn)證39附錄 1附錄 2附錄 3測(cè)試和檢驗(yàn)的驗(yàn)證表41小型低復(fù)雜度計(jì)算機(jī)系統(tǒng)的評(píng)估52計(jì)算機(jī)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)階段的技術(shù)建議541范圍及說明1.1本指南是對(duì)船用計(jì)算機(jī)系統(tǒng)（以下簡(jiǎn)稱計(jì)算機(jī)系統(tǒng)，包括可編程電子系統(tǒng)）中軟件的

2、可靠性及安全性評(píng)估指南，對(duì)船用計(jì)算機(jī)系統(tǒng)中軟件的開發(fā)、測(cè)試、認(rèn)證、生產(chǎn)、維護(hù)提出了安全及可靠性的技術(shù)要求。本指南也對(duì)與軟件相關(guān)的硬件制定了一些要求，這些要求需與于入級(jí)船舶上，提供符合入級(jí)要求的包括可編程電子系統(tǒng)。的技術(shù)要求結(jié)合對(duì)待。本節(jié)適用安裝、監(jiān)測(cè)或安全功能的計(jì)算機(jī)系統(tǒng)，1.2本指南主要關(guān)注在軟件開發(fā)生命周期，對(duì)整體安全生命周期中的一些環(huán)節(jié)也有所采用。本指南軟件開發(fā)模型采用 V 模型，相關(guān)模型的演化并未包含在本指南中。1.3考慮到小型簡(jiǎn)單的計(jì)算機(jī)系統(tǒng)的直接應(yīng)用和在復(fù)雜系統(tǒng)中對(duì)部分功能實(shí)現(xiàn)的應(yīng)用，本指南定義了小型低復(fù)雜度計(jì)算機(jī)系統(tǒng)，并在附錄 2 給出了簡(jiǎn)化的評(píng)估方法。1.4在應(yīng)用本指南時(shí)，可根

3、據(jù)制造廠的文檔，但內(nèi)容應(yīng)符合指南中提及的相關(guān)內(nèi)容。管理系統(tǒng)編制本指南中提到1.5附加標(biāo)志1.5.1對(duì)于建立了系統(tǒng)生命周期的計(jì)算機(jī)系統(tǒng)，依照鋼質(zhì)海船入級(jí)規(guī)范等要求通過了系統(tǒng)和硬件的認(rèn)證，并滿足了本指南對(duì)軟件的技術(shù)要求，根據(jù)其不同的系統(tǒng)等級(jí)（分類見 4.1 條），可授予下列附加標(biāo)志：（1）對(duì)于 I 類系統(tǒng)，SLC1；（2）對(duì)于 II 類系統(tǒng)，SLC2；（1）對(duì)于 III 類系統(tǒng)，SLC3。1.6本指南包括三個(gè)附錄。其中：1.6.1附錄 1 是現(xiàn)場(chǎng)驗(yàn)船師進(jìn)行船用計(jì)算機(jī)系統(tǒng)中軟件的安全及可靠性評(píng)估時(shí)使用的測(cè)試和檢驗(yàn)的驗(yàn)證表。1.6.2附錄 2 是小型低復(fù)雜度計(jì)算機(jī)系統(tǒng)的評(píng)估方法。11.6.3附錄 3

4、是計(jì)算機(jī)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)階段的技術(shù)建議。2規(guī)范性文件2.1下列參考文件對(duì)于指南的應(yīng)用是不可缺少的。凡是注日期的文件，僅版本適用。凡是不注日期的文件，其最新版本適用于本指南。文件表 2.13術(shù)語及縮略語3.1 術(shù)語21.中國(guó)船級(jí)社鋼質(zhì)海船入級(jí)規(guī)范（2012）及其修改通報(bào)2.SOLAS 公約第 II-1 章第 55 條3.GD01-2006中國(guó)船級(jí)社 電氣電子型式認(rèn)可試驗(yàn)指南4.IACS UR E22可編程電子系統(tǒng)船上使用和應(yīng)用5.IEC 61508-1： 2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1 部分：一般要求6.IEC 61508-2： 2010電氣/電子/可編程電子安全相關(guān)系

5、統(tǒng)的功能安全 第 2部分：電氣電子/可編程電子安全相關(guān)系統(tǒng)的要求7.IEC 61508-3： 2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第 3部分：軟件要求8.IEC 61508-4： 2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第 4部分：定義和縮略語9.IEC 61508-5： 2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第 5部分：確定安全完整性等級(jí)的方法示例10.IEC 61508-6： 2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第 6部分：應(yīng)用第 2 部分和第 3 部分的指南11.IEC 61508-7： 2010電氣/電子/可編程電子安全

6、相關(guān)系統(tǒng)的功能安全 第 7部分：技術(shù)和措施概述12.IEC 60092-504： 2001船舶電氣設(shè)備 第 504 部分：專輯和測(cè)量?jī)x表13.IEC 60812-2006系統(tǒng)可靠性分析技術(shù)-故障模式影響分析14.IEC 61025-2006故障樹分析15.IEEE 730-2014軟件質(zhì)量保證計(jì)劃16.ISO 9000-3ISO9001 質(zhì)量保證標(biāo)準(zhǔn)在計(jì)算機(jī)軟件開發(fā)、供應(yīng)、安裝和維護(hù)中的應(yīng)用指南17.ISO 17894-2005船舶和海上技術(shù) 計(jì)算機(jī)應(yīng)用 海上用可編程電子系統(tǒng)的開發(fā)和使用總則3.1.1軟件（software）包括程序、規(guī)程、數(shù)據(jù)、規(guī)則以及相關(guān)的數(shù)據(jù)處理系統(tǒng)操作文檔在內(nèi)的智能創(chuàng)作

7、。3.1.2計(jì)算機(jī)系統(tǒng)（computer system）以計(jì)算機(jī)技術(shù)為基礎(chǔ)，可以由硬件、軟件及其輸入和（或）輸出單元的。注：這個(gè)術(shù)語包括以一個(gè)或多個(gè)子裝置。處理器（CPU）及相關(guān)的器等為基礎(chǔ)的微電3.1.3系統(tǒng)（system）根據(jù)設(shè)計(jì)相互作用的一組元素，可能包括相互作用的硬件、軟件和人等。3.1.4 子系統(tǒng)（Subsystem）子系統(tǒng)是一種模型元素，它具有包（其中可包含其他模型元素）和類（其具有行為）的語義。子系統(tǒng)的行為由它所包含的類或其他子系統(tǒng)提供。子系統(tǒng)實(shí)現(xiàn)一個(gè)或多個(gè)接口，這些接口定義子系統(tǒng)可以執(zhí)行的行為。3.1.5模塊（Module）程序、分立部件、封裝程序的一個(gè)功能集、或一組歸并在一起

8、的分立部件。3.1.6軟件模塊（Software module）由規(guī)程和（或）數(shù)據(jù)說明組成的構(gòu)造，并能與其它這樣的構(gòu)造相互作用。3.1.7安全功能（Safety function）特定的，為達(dá)到或保持 EUC 的安全狀態(tài)，由計(jì)算機(jī)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)或外部風(fēng)險(xiǎn)降低設(shè)施實(shí)現(xiàn)的功能3.1.8受控設(shè)備（Equipment under control（EUC）用于制造、或其它活動(dòng)的設(shè)備、器械和（或）成套裝置。33.1.9小型低復(fù)雜度計(jì)算機(jī)系統(tǒng)（Small low complexity computer system）一種計(jì)算機(jī)系統(tǒng),其中：已很好確定了每個(gè)部件的失效模式；能完全確定在故障情況下的系

9、統(tǒng)行為。注：在故障狀態(tài)下系統(tǒng)行為可用試驗(yàn)和（或）分析的方法確定。3.1.10動(dòng)態(tài)測(cè)試（Dynamic testing）用系統(tǒng)的和受控的方式執(zhí)行軟件和（或）操作硬件以證明所要求的行為的存在以及非要求行為的不存在。3.1.11質(zhì)量計(jì)劃（Quality plan）特定的軟件、軟件項(xiàng)目所規(guī)定的質(zhì)量措施和活動(dòng)順序的文件。描述相關(guān)質(zhì)量標(biāo)準(zhǔn)并且說明如何滿足相應(yīng)標(biāo)準(zhǔn)的一系列文件。3.1.12系統(tǒng)生命周期（System lifecycle）系統(tǒng)實(shí)現(xiàn)過程中所必需的生命活動(dòng)，這些活動(dòng)發(fā)生在從一項(xiàng)工程的概念階段開始，直至所有的計(jì)算機(jī)系統(tǒng)及其相關(guān)停止使用為止的一段時(shí)間內(nèi)。3.1.13軟件生命周期（Software li

10、fecycle）從軟件開始構(gòu)思到軟件停用期間的活動(dòng)。注：一個(gè)典型的軟件生命周期包括需求、開發(fā)、測(cè)試、集成、安裝和修改等階段。3.1.14軟件配置管理（Software Configuration Management，SCM）是一種標(biāo)識(shí)、組織和程。修改的技術(shù)。軟件配置管理應(yīng)用于整個(gè)軟件工程過3.2縮略語3.2.1ISO：International Organization for Standardization，國(guó)際標(biāo)準(zhǔn)化組織。43.2.2IEC：International Electrotechnical Commission，國(guó)際電工委員會(huì)。3.2.3IEEE：Institute of E

11、lectrical and Electronics Engineers，電氣電子工程師學(xué)會(huì)。3.2.4FMEA：Failure Mode and Effects Analysis，故障模式影響分析。3.2.5FMECA：Failure Mode, Effects and Criticality Analysis，故障模式及影響分析和危害性分析。3.2.6FAT：Factory Acceptance Test，工廠驗(yàn)收試驗(yàn)。3.2.7PE：Programmable Electronic，可編程電子。4計(jì)算機(jī)系統(tǒng)分類4.1按照故障的影響并考慮系統(tǒng)提供的功能，應(yīng)參照表 4.1 將計(jì)算機(jī)系統(tǒng)分為 3

12、類，分別是 I、II、III 類。分類過程中，應(yīng)按最嚴(yán)酷環(huán)境進(jìn)行影響分析。計(jì)算機(jī)系統(tǒng)分類表 4.14.2在表 4.2 中，舉例說明了一些計(jì)算機(jī)系統(tǒng)的分類供制造商參考。系統(tǒng)分類舉例表 4.25系統(tǒng)類別舉例I維修保養(yǎng)支持系統(tǒng)日常信息處理II監(jiān)視和裝置 液柜容量測(cè)量設(shè)備輔機(jī)系統(tǒng)類別影響系統(tǒng)功能I這些系統(tǒng)的故障對(duì)的安全、船舶的安全以及環(huán)境產(chǎn)生危害監(jiān)視功能和日常管理功能II這些系統(tǒng)的故障最終會(huì)對(duì)的安全、船舶的安全以及環(huán)境產(chǎn)生危害監(jiān)視和功能對(duì)保持船舶處于正常運(yùn)營(yíng)和起居狀況所必要的功能III這些系統(tǒng)的故障即刻會(huì)對(duì)的安全、船舶的安全以及環(huán)境產(chǎn)生危害保持船舶推進(jìn)和操舵的功能安全功能5質(zhì)量體系的要求5.1質(zhì)量保證

13、體系5.1.1應(yīng)通過質(zhì)量保證體系證明制造廠具有一定的質(zhì)量保證能力和質(zhì)量管理水平，以及制造廠制定了能確保符合本社規(guī)范及相關(guān)公約的管理制度。5.1.2制造廠應(yīng)建立并實(shí)施 ISO9001 或等效標(biāo)準(zhǔn)的質(zhì)量管理體系并持有有效。按照 ISO9001 的要求，制造廠應(yīng)對(duì)其管理活動(dòng)、提供、軟件實(shí)現(xiàn)和測(cè)量、分析和改進(jìn)有關(guān)的過程進(jìn)行。5.1.3II、III 類系統(tǒng)的制造廠還應(yīng)滿足 ISO9000-3 的適用要求。5.2軟件質(zhì)量計(jì)劃5.2.1制造廠應(yīng)制定軟件開發(fā)生命周期的質(zhì)量計(jì)劃。5.2.2軟件質(zhì)量計(jì)劃應(yīng)規(guī)范該軟件整個(gè)生命周期的活動(dòng)，明確相關(guān)程序、職責(zé)和系統(tǒng)文件，包括配置管理。所制定的質(zhì)量計(jì)劃可參照 IEEE 7

14、30 的要求。5.2.3對(duì)于 II、III 類系統(tǒng)的軟件，質(zhì)量計(jì)劃中應(yīng)包含安全功能要求部分，應(yīng)設(shè)計(jì)具體保證方法，以驗(yàn)證和確認(rèn)安全功能要求是否得以滿足。5.2.4在軟件開發(fā)生命周期階段中，應(yīng)制定船用計(jì)算機(jī)系統(tǒng)的配置管理，詳見 5.6 條。5.3生產(chǎn)中質(zhì)量5.3.1通過切實(shí)可行的質(zhì)量保證措施、計(jì)劃和組織，確保的質(zhì)量。6主推進(jìn)裝置系統(tǒng)探火和滅火系統(tǒng)艙底水系統(tǒng)調(diào)速器III機(jī)械保護(hù)系統(tǒng)或設(shè)備燃燒器系統(tǒng)內(nèi)燃機(jī)的電子噴油器推進(jìn)和操舵系統(tǒng)發(fā)電機(jī)同步單元5.3.2制造廠應(yīng)具有的質(zhì)量文件，該質(zhì)量文件應(yīng)準(zhǔn)確描述的生產(chǎn)工藝流程，并用文字以及圖表清晰描述各工藝流程的質(zhì)量要求；還應(yīng)包含明確的對(duì)象、標(biāo)準(zhǔn)、方法及檢驗(yàn)方法和生

15、產(chǎn)質(zhì)量保證措施，還要求提供通過“試驗(yàn)和模擬”的落實(shí)的證明文件。對(duì)于安全相關(guān)功能的證明文件。5.4最終的試驗(yàn)報(bào)告5.4.1制造廠應(yīng)對(duì)進(jìn)行最終測(cè)試并提供報(bào)告。最終的試驗(yàn)報(bào)告是根據(jù)成品試驗(yàn)和試驗(yàn)結(jié)果生成的報(bào)告。5.5軟件可追溯性5.5.1軟件可追溯性要求：必須按程序?qū)幊虄?nèi)容和數(shù)據(jù)的修改以及版本的變化進(jìn)行標(biāo)識(shí)并文檔化。確保在需要時(shí)對(duì)軟件質(zhì)量形成過程實(shí)行可追溯。通過軟件配置管理及軟件版本說明等質(zhì)量保證文件，明確編程內(nèi)容、數(shù)據(jù)的修改以及版本的變化所必須遵循的流程，并確定在文件中這些修改或變化。5.5.2這些文件至少應(yīng)保存至軟件開發(fā)生命周期結(jié)束后一年。制造廠應(yīng)有明確證據(jù)證明該軟件確實(shí)退役。5.6配置管理5

16、.6.1配置管理的目的是為了保證當(dāng)某些可交付項(xiàng)有改變時(shí)，幾種開發(fā)的可交付項(xiàng)的一致性。一般來講，配置管理包括硬件配置管理和軟件配置管理。5.6.2要求：(1)在軟件開發(fā)生命周期階段中應(yīng)使用行政和技術(shù)，以管理軟件變化和保證有關(guān)軟件安全的規(guī)定要求始終能得到滿足。(2)應(yīng)確保所有必需的操作已被執(zhí)行以說明獲得了所要求的軟件需求。(3)應(yīng)保持精確的和維護(hù)計(jì)算機(jī)系統(tǒng)完整所必需的所有配置項(xiàng)的唯一識(shí)別。配置項(xiàng)至少包括：安全分析和要求；軟件規(guī)范和設(shè)計(jì)文檔； 軟件源代碼模塊；應(yīng)用于計(jì)算機(jī)系統(tǒng)軟件組件和軟件包的測(cè)試計(jì)劃和測(cè)試結(jié)果；所有用于創(chuàng)建、測(cè)試或執(zhí)行計(jì)算機(jī)系統(tǒng)軟件的工具和開發(fā)環(huán)境。7(4)應(yīng)采用變更規(guī)程來防止非的

17、修改，修改請(qǐng)求應(yīng)文檔化；分析建議修改的影響以批準(zhǔn)或拒絕請(qǐng)求；對(duì)所有準(zhǔn)許修改的細(xì)節(jié)和授權(quán)應(yīng)文檔化；確保所有軟件基線的（包括早期基線的重建）。(5)應(yīng)對(duì)配置狀態(tài)、發(fā)布狀態(tài)、所有修改的信息文檔化以便接受審核。和通過、修改的細(xì)節(jié)等(6)軟件的發(fā)布應(yīng)正式文檔化。軟件的主要備份和所有有關(guān)文檔在已發(fā)布軟件開發(fā)生命周期內(nèi)應(yīng)被保存以維護(hù)和修改。6系統(tǒng)生命周期6.1系統(tǒng)生命周期的劃分6.1.1系統(tǒng)生命周期劃分為五個(gè)階段，分別為概念、需求、實(shí)現(xiàn)、驗(yàn)證、運(yùn)行。每個(gè)階段根據(jù)目的范圍的不同又做了劃分，其關(guān)系和要求見下表和圖：C1 計(jì)劃編制C3 硬件實(shí)現(xiàn)C4 整體安裝和試運(yùn)行圖 6.1.1 系統(tǒng)生命周期8E3 停用或處理E

18、2 變更E1 操作、維護(hù)、修理D1 型式試驗(yàn)D3 船上試驗(yàn)D2 工廠驗(yàn)收試驗(yàn)C2 軟件實(shí)現(xiàn)(軟件開發(fā)生命周期)B2 風(fēng)險(xiǎn)分析B1 需求分析A1 概念系統(tǒng)生命周期概述表 6.1.19系統(tǒng)生命周期階段目的要求輸入輸出圖6.1.1的方框號(hào)標(biāo)題A 概念A(yù)1概念提高對(duì)受控設(shè)備及其環(huán)境（實(shí)際的、法律的等）的理解水平，以滿足執(zhí)行其生命周期活動(dòng)的需要。對(duì)受控設(shè)備及其要求的 功能和實(shí)際環(huán)境進(jìn)行全面的了解；確定可能的；獲取確定的有關(guān)信息；獲取當(dāng)前的安全法規(guī)；考慮相鄰近的受控設(shè)備之間相互作用所產(chǎn)生的危 險(xiǎn)；以上所要求的信息和結(jié)果應(yīng)文檔化。滿足該條要求所必需的所有有關(guān)信息從概念至整體范圍獲取的信息B 需求B1需求分析

19、在新建或修改計(jì)算機(jī)系統(tǒng)時(shí)描寫新系統(tǒng)的目的、范圍、定義和功能時(shí)所要做的所有的工作。包括：確定計(jì)算機(jī)系統(tǒng)的邊界；規(guī)定風(fēng)險(xiǎn)分析的范圍。從概念至整體范圍獲取的信息計(jì)算機(jī)系統(tǒng)要求規(guī)范B2風(fēng)險(xiǎn)分析（僅針對(duì)安全相關(guān)功能）為了保證計(jì)算機(jī)系統(tǒng)的安全可靠性，證明對(duì)于單一故障，系統(tǒng)進(jìn)入故障安全狀態(tài)，并且運(yùn)行中的系統(tǒng)丟失或降低到不能滿足船級(jí)社規(guī)定的可接受性能標(biāo)準(zhǔn)。應(yīng)采取適當(dāng)?shù)姆椒ㄟM(jìn)行分析，如：故障樹分析；風(fēng)險(xiǎn)分析；FMEA 或 FMECA分析計(jì)算機(jī)系統(tǒng)要求規(guī)范安全相關(guān)功能要求規(guī)范（含安全要求分配的信息和）C 實(shí)現(xiàn)C1計(jì)劃編制。在規(guī)定規(guī)程上和技術(shù)上步驟，證明計(jì)算機(jī)系統(tǒng)滿足安裝、操作和維擬定計(jì)算機(jī)系統(tǒng)的安裝、操作和維護(hù)計(jì)

20、劃，以確保在操計(jì)算機(jī)系統(tǒng)要求規(guī)范； 安全相關(guān)功軟件質(zhì)量計(jì)劃； 計(jì)算機(jī)系10護(hù)要求。作和維護(hù)過程中保持所要求的功能安全。擬定 FAT 試驗(yàn)大綱和船上試驗(yàn)大綱， 大綱中需包括安全相關(guān)功能試驗(yàn)。能要求規(guī)范。統(tǒng)安裝、操作和維護(hù)計(jì)劃；型式試驗(yàn)大綱； FAT 試驗(yàn)大綱；船上試驗(yàn)大綱。C2軟件實(shí)現(xiàn)建立符合計(jì)算機(jī)系統(tǒng)要求規(guī)范和安全相關(guān)功能要求規(guī)范的計(jì)算機(jī)系統(tǒng)軟件。詳見第 7 章軟件開發(fā)生命周期。計(jì)算機(jī)系統(tǒng)要求規(guī)范每個(gè)計(jì)算機(jī)系統(tǒng)滿足計(jì)算機(jī)系統(tǒng)要求規(guī)范的證實(shí)。詳見第7 章軟件開發(fā)生命周期。C3硬件實(shí)現(xiàn)建立符合計(jì)算機(jī)系統(tǒng)要求規(guī)范和安全相關(guān)功能要求規(guī)范的計(jì)算機(jī)系統(tǒng)硬件。計(jì)算機(jī)系統(tǒng)要求規(guī)范。每個(gè)計(jì)算機(jī)系統(tǒng)滿足計(jì)算機(jī)系統(tǒng)

21、要求規(guī)范的證實(shí)。C4整體安裝和試運(yùn)行安裝計(jì)算機(jī)系統(tǒng)； 試運(yùn)行計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)系統(tǒng)安裝、操作和維護(hù)計(jì)劃已安裝就緒的計(jì)算機(jī)系統(tǒng)； 經(jīng)充分試運(yùn)行過的計(jì)算機(jī)系統(tǒng)。D 驗(yàn)收D1型式試驗(yàn)確認(rèn)計(jì)算機(jī)系統(tǒng)滿足計(jì)算機(jī)系統(tǒng)要求規(guī)范（包含安全相關(guān)功能）；確認(rèn)系統(tǒng)滿足GD01-2006 的要求。按 GD01-2006 進(jìn)行試驗(yàn)。計(jì)算機(jī)系統(tǒng)要求規(guī)范； 安全相關(guān)功能要求規(guī) 范；型式試驗(yàn)大綱。確認(rèn)計(jì)算 機(jī)系統(tǒng)滿 足安全相 關(guān)功能要 求的證實(shí)。型式試驗(yàn) 報(bào)告。D2FAT 試驗(yàn)對(duì)計(jì)算機(jī)系統(tǒng)在工廠進(jìn)試FAT 報(bào)告應(yīng) 使用的工具和設(shè)備；FAT 活動(dòng)的計(jì)算機(jī)系統(tǒng)要求規(guī)范； FAT 試驗(yàn)大FAT 試驗(yàn)報(bào)告。11；實(shí)際結(jié)果和預(yù)期結(jié)果的

22、差異及處理。當(dāng)預(yù)期結(jié)果和實(shí)際結(jié)果出現(xiàn)差異時(shí)， 應(yīng)經(jīng)分析和評(píng)估確定是繼續(xù)測(cè)試還是提出變更請(qǐng)求。綱。D3船上試驗(yàn)通過船上試驗(yàn)，驗(yàn)證所有系統(tǒng)互連后，系統(tǒng)執(zhí)行預(yù)定功能的能力。船上試驗(yàn)，包括完全系統(tǒng)試驗(yàn)和集成試驗(yàn)。完全系統(tǒng)試驗(yàn)應(yīng)驗(yàn)證在實(shí)際硬件部件及最終應(yīng)用軟件的條件下，功能可以正常實(shí)現(xiàn)。集成試驗(yàn)應(yīng)驗(yàn)證所有系統(tǒng)集成狀態(tài)下的功能可以正常實(shí)現(xiàn)。計(jì)算機(jī)系統(tǒng)要求規(guī)范； 船上試驗(yàn)大綱。船上試驗(yàn)報(bào)告。E 運(yùn)行E1操作、維護(hù)、修理為保持要求的功能安全，操作、維護(hù)和修理計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)系統(tǒng)安裝、操作和維護(hù)計(jì)劃可持續(xù)滿足計(jì)算機(jī)系統(tǒng)所需的功能； 按時(shí)間排序的計(jì)算機(jī)系統(tǒng)的操作修理和維護(hù)文檔。E2變更在變更階段中及階段后保證計(jì)

23、算機(jī)系統(tǒng)受控。變更應(yīng)返回生命周期合適階段，并加以驗(yàn)證。 應(yīng)文檔化。制造廠應(yīng)對(duì)修改進(jìn)行。對(duì)II、III系統(tǒng)的軟件和硬件進(jìn)行的后續(xù)修改應(yīng)提交給船級(jí)社進(jìn)行批準(zhǔn)。應(yīng)提前告知對(duì)已批準(zhǔn)系統(tǒng)的修改和變更方案，并計(jì)算機(jī)系統(tǒng)要求規(guī)范 軟件質(zhì)量計(jì)劃相應(yīng)階段的試驗(yàn)大綱在變更階段中及階段后，均可達(dá)到計(jì)算機(jī)系統(tǒng)要求的功能安全；按時(shí)間排序的計(jì)算機(jī)系統(tǒng)的操作、修理和維護(hù)文檔。6.1.2在應(yīng)用本指南時(shí)，可根據(jù)制造廠到的文檔，但內(nèi)容應(yīng)符合指南中提及的相關(guān)內(nèi)容。管理系統(tǒng)編制本指南中提6.1.3下面將對(duì)系統(tǒng)生命周期中上表中需補(bǔ)充的內(nèi)容單獨(dú)列出。6.1.4軟件開發(fā)生命周期將在第 7 章詳述。6.2維護(hù)階段的軟件安全6.2.1目的在維

24、護(hù)階段達(dá)到軟件安全的要求。6.2.2要求(1)程序和數(shù)據(jù)的修改，以及版本的改變，要被并提交我社批準(zhǔn)。(2)保證軟件開發(fā)生命周期活動(dòng)的相應(yīng)責(zé)任部門的規(guī)程能勝任其活動(dòng)，尤其應(yīng)滿足以下要求： 對(duì)進(jìn)行診斷和修復(fù)故障以及系統(tǒng)測(cè)試的培訓(xùn)；12進(jìn)行影響分析， 同時(shí)修改應(yīng)獲得船級(jí)社批準(zhǔn)。 修改后的軟件應(yīng)進(jìn)行變更驗(yàn)證以證明滿足相關(guān)計(jì)算機(jī)系統(tǒng)要求。注：修改指影響船舶安全行駛和/或安全的修改。E3停用或處理在受控設(shè)備的停用及 處理活動(dòng)中及活動(dòng)后， 保證計(jì)算機(jī)系統(tǒng)的功 能安全適應(yīng)這種情況。在進(jìn)行停用或處理活動(dòng)之前應(yīng)進(jìn)行影響分析，并制定一個(gè)計(jì)劃，包括系統(tǒng)的關(guān)閉、系統(tǒng)的拆除。在計(jì)算機(jī)系統(tǒng)使用說明書中提示對(duì)敏感信息的銷毀和

25、處理。根據(jù)功能安全管理規(guī)程對(duì)停用或處理的請(qǐng)求 操作的培訓(xùn)； 對(duì)進(jìn)行定期再培訓(xùn)。(3)與軟件開發(fā)生命周期的任何活動(dòng)有關(guān)的應(yīng)文檔化。的培訓(xùn)、經(jīng)驗(yàn)和資格都(4)保證事故（或產(chǎn)生的潛在事故）分析，以及提出使其重復(fù)發(fā)生的概率降到最低的建議的規(guī)程。(5)對(duì)操作和維護(hù)性能進(jìn)行分析的規(guī)程，尤其是： 識(shí)別危及功能安全的系統(tǒng)故障的規(guī)程，包括用于檢測(cè)重復(fù)性故障的日常維護(hù)所使用的規(guī)程； 評(píng)估需求率和在操作和維護(hù)期間的失效率是否和系統(tǒng)設(shè)計(jì)期間的假設(shè)一致。(6)啟動(dòng)對(duì)安全相關(guān)系統(tǒng)進(jìn)行修改的規(guī)程。(7)進(jìn)行修改所需要的批準(zhǔn)規(guī)程和主管部門。(8)保持潛在和安全相關(guān)系統(tǒng)信息準(zhǔn)確的規(guī)程。(9)在軟件開發(fā)生命周期中，計(jì)算機(jī)系統(tǒng)的配

26、置管理，尤其要對(duì)以下各項(xiàng)進(jìn)行規(guī)定：實(shí)現(xiàn)配置的規(guī)程；用于對(duì)一個(gè)配置管理項(xiàng)（硬件和軟件）的全部要素進(jìn)行唯一標(biāo)識(shí)的規(guī)程；防止未項(xiàng)進(jìn)入服務(wù)的規(guī)程。(10)在適當(dāng)場(chǎng)合的培訓(xùn)條款和應(yīng)急服務(wù)信息(11)操作者應(yīng)建立接收，解決，跟蹤問題和修改請(qǐng)求的程序。問題應(yīng)按問題處理程序處理。應(yīng)建立和保持系統(tǒng)操作計(jì)劃，包括識(shí)13別配置項(xiàng)，操作規(guī)程和預(yù)期的維護(hù)活動(dòng)。計(jì)劃應(yīng)包括軟件遷移和退休問題。(12)系統(tǒng)和/或組件版本的每一個(gè)新的升級(jí)、發(fā)布或修改，操作者應(yīng)進(jìn)試。并且，發(fā)布操作使用的組件應(yīng)滿足指定的標(biāo)準(zhǔn)。如果發(fā)布部件的接口已被修改，測(cè)試應(yīng)包括集成測(cè)試。(13)應(yīng)定期進(jìn)行配置審核，來驗(yàn)證操作配置的完整性。6.2.3輸入(1)計(jì)

27、算機(jī)系統(tǒng)使用說明書(2)軟件質(zhì)量計(jì)劃(3)風(fēng)險(xiǎn)分析及預(yù)防規(guī)程(4)在適當(dāng)場(chǎng)合的培訓(xùn)條款和應(yīng)急服務(wù)信息6.2.4輸出程序和數(shù)據(jù)的修改及版本變更的7軟件開發(fā)生命周期7.1制造廠應(yīng)制定軟件開發(fā)生命周期的質(zhì)量計(jì)劃。應(yīng)在軟件的生命周期中使用行政和技術(shù)加以，以便于管理軟件變化和保證有關(guān)軟件安全方面的要求得到滿足，證明制造廠存在有效的、能夠滿足軟件開發(fā)生命周期的各階段的質(zhì)量程序。7.2軟件質(zhì)量計(jì)劃應(yīng)包含以下內(nèi)容：7.2.1軟件開發(fā)生命周期應(yīng)滿足第 5.2 條的要求。7.2.2在：在軟件開發(fā)生命周期階段中，船用計(jì)算機(jī)系統(tǒng)的配置管理，特別是(1)對(duì)于特定的階段，即將執(zhí)行正式的配置節(jié)點(diǎn)；14(2)用來唯一識(shí)別某項(xiàng)

28、（硬件和軟件）所有部分的規(guī)程；(3)非項(xiàng)進(jìn)入服務(wù)的規(guī)程。7.2.3軟件開發(fā)生命周期的劃分及關(guān)系請(qǐng)見下圖和表。圖 7.2.3-1軟件開發(fā)生命周期15軟件開發(fā)生命周期軟件質(zhì)量計(jì)劃軟件配置管理軟件的設(shè)計(jì)和開發(fā)軟件確認(rèn)計(jì)劃計(jì)算機(jī)系統(tǒng)的集成維護(hù)階段的（軟件和硬件）軟件安全軟件驗(yàn)證質(zhì)量保證體系驗(yàn)證計(jì)算機(jī)系統(tǒng)的需求軟件要求規(guī)范計(jì)算機(jī)系統(tǒng)需求計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)軟件開發(fā)生命周期范圍軟件需求硬件需求硬件設(shè)計(jì)及開發(fā)PE系統(tǒng)集成（軟件和硬件）圖 7.2.3-2 軟件開發(fā)生命周期的范圍及外部關(guān)系軟件結(jié)構(gòu)軟件系統(tǒng)設(shè)計(jì)模型設(shè)計(jì)輸出驗(yàn)證圖 7.2.3-3 軟件開發(fā)生命周期模型（V 模型）注：除 V 模型外，本指南亦接受其他經(jīng)本社

29、同意的軟件開發(fā)生命周期模型。7.3軟件要求規(guī)范7.3.1目的16編碼模型測(cè)試集成測(cè)試計(jì)算機(jī)系統(tǒng)集成測(cè)試計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)確認(rèn)測(cè)試軟件要求規(guī)范計(jì)算機(jī)系統(tǒng)要求規(guī)范PE系統(tǒng)軟件設(shè)計(jì)及開發(fā)(1)根據(jù)系統(tǒng)功能要求規(guī)定軟件要求規(guī)范；(2)對(duì)每個(gè)需實(shí)現(xiàn)一定安全功能的計(jì)算機(jī)系統(tǒng)規(guī)定軟件安全功能的要求；(3)規(guī)定每一個(gè)計(jì)算機(jī)系統(tǒng)對(duì)于軟件集成的要求。7.3.2要求(1)軟件的開發(fā)應(yīng)復(fù)審 7.3.1 中的信息以確保對(duì)要求全面規(guī)定，應(yīng)特別考慮以下環(huán)節(jié)：安全功能；系統(tǒng)配置或；硬件要求；軟件要求；能力和響應(yīng)時(shí)間性能；設(shè)備和操作界面。(2)在要求的系統(tǒng)類別等級(jí)范圍內(nèi)，軟件安全的規(guī)定要求應(yīng)得到表達(dá)和組織，以使其：清楚、準(zhǔn)確、不含

30、糊、可驗(yàn)證、可測(cè)量、可維護(hù)、可行；可回溯到計(jì)算機(jī)系統(tǒng)的安全要求的規(guī)定；不使用不明確的或在軟件開發(fā)生命周期任一階段使用這些文檔的人所不能理解的術(shù)語和描述。(3)如果沒有詳細(xì)定義計(jì)算機(jī)系統(tǒng)的特殊安全要求，所有 EUC 的有關(guān)操作模式應(yīng)在軟件安全的特殊要求中詳細(xì)說明。(4)軟件要求規(guī)范應(yīng)對(duì)軟件和硬件間的任何與安全有關(guān)的或相應(yīng)的約束進(jìn)行規(guī)范并文檔化。17(5)在計(jì)算機(jī)系統(tǒng)硬件結(jié)構(gòu)設(shè)計(jì)規(guī)范的范圍內(nèi)，軟件要求規(guī)范應(yīng)考慮如下內(nèi)容：軟件自監(jiān)視；可編程電子硬件、傳感器和執(zhí)行器的監(jiān)視；在系統(tǒng)運(yùn)行時(shí)對(duì)安全功能進(jìn)行的周期測(cè)試；EUC 可操作時(shí)，能夠?qū)Π踩δ苓M(jìn)試。(6)軟件要求規(guī)范應(yīng)將計(jì)算機(jī)系統(tǒng)的非安全功能和安全功能

31、清晰區(qū)分。(7)軟件要求規(guī)范將表示出全屬性。要求的安全屬性，但不是工程項(xiàng)目的安7.3.3輸入計(jì)算機(jī)系統(tǒng)要求規(guī)范7.3.4輸出軟件要求規(guī)范7.4軟件確認(rèn)計(jì)劃7.4.1目的根據(jù)軟件要求規(guī)范編制軟件確認(rèn)計(jì)劃。7.4.2編制要求(1)軟件確認(rèn)計(jì)劃應(yīng)考慮：確認(rèn)時(shí)的細(xì)節(jié)問題。執(zhí)行確認(rèn)的的細(xì)節(jié)問題。EUC 操作的有關(guān)模式的識(shí)別應(yīng)包括：18使用的準(zhǔn)備，包括設(shè)置和調(diào)整；啟動(dòng)、教學(xué)、自動(dòng)化、手動(dòng)、半自動(dòng)化、操作的穩(wěn)定狀態(tài)；重置、關(guān)機(jī)、維護(hù)；合理的可預(yù)見異常條件。在開始試運(yùn)行前，需要確認(rèn) EUC 操作的每一模式軟件的識(shí)別。確認(rèn)的技術(shù)路線（如分析方法、統(tǒng)計(jì)測(cè)試等） 。用于確定符合軟件功能規(guī)定要求的每能的措施和規(guī)程。軟

32、件要求規(guī)范要求的特殊參考。確認(rèn)活動(dòng)所需要的環(huán)境（如測(cè)試將包括調(diào)校工具和設(shè)備）。通過/失敗準(zhǔn)則。評(píng)價(jià)確認(rèn)，特別是評(píng)價(jià)失效的方針和規(guī)程。(2)確認(rèn)軟件的技術(shù)戰(zhàn)略應(yīng)包括下列信息：手動(dòng)或自動(dòng)技術(shù)選一或選二；動(dòng)態(tài)或靜態(tài)技術(shù)選一或選二；分析或統(tǒng)計(jì)技術(shù)選一或選二。(3)完成軟件確認(rèn)的通過/失敗準(zhǔn)則應(yīng)包指：要求的輸入信號(hào)及其次序和值；預(yù)期的輸出信號(hào)及其次序和值；其他可接受的準(zhǔn)則，如內(nèi)存使用、定時(shí)、值的偏差。7.4.3輸入19軟件要求規(guī)范7.4.4輸出軟件確認(rèn)計(jì)劃。7.5軟件的設(shè)計(jì)與開發(fā)這部分應(yīng)描述軟件開發(fā)生命周期中軟件設(shè)計(jì)與開發(fā)活動(dòng)。7.5.1軟件結(jié)構(gòu)和編碼語言要求(1)目的 軟件結(jié)構(gòu)：創(chuàng)建軟件結(jié)構(gòu)以滿足不同

33、系統(tǒng)等級(jí)對(duì)軟件安全規(guī)定要求。復(fù)審和評(píng)價(jià)計(jì)算機(jī)系統(tǒng)硬件對(duì)軟件的要求，包括計(jì)算機(jī)系統(tǒng)中軟件和硬件相互作用對(duì) EUC 安全性的影響。 編碼語言要求：在用于輔助驗(yàn)證、確認(rèn)、評(píng)價(jià)和修改軟件的整個(gè)生命周期中，根據(jù)要求的系統(tǒng)等級(jí)選擇合適的集成工具，包括語言和編譯器。(2)軟件結(jié)構(gòu)的要求軟件結(jié)構(gòu)是定義軟件主要組件和子系統(tǒng)，包括它們?nèi)绾螌?shí)現(xiàn)內(nèi)部連接，如何獲得所要求的屬性，特別是安全完整性。主要軟件組件包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、大型設(shè)備輸入/輸出子系統(tǒng)、通信子系統(tǒng)、應(yīng)用程序、編程和診斷工具等。計(jì)劃的軟件結(jié)構(gòu)設(shè)計(jì)將由軟件供方和/或開發(fā)設(shè)計(jì)的描述應(yīng)詳細(xì)，描述將包括：來建立，軟件結(jié)構(gòu) 在所需的軟件開發(fā)生命周期中，按不同等級(jí)

34、的系統(tǒng)，選擇和判斷滿足軟件要求規(guī)范的集成技術(shù)和措施集。這些技術(shù)和措施包20括故障偏差（與硬件一致）和故障避免的軟件設(shè)計(jì)策略，（適用時(shí)）冗余和多樣性。根據(jù)組件/子系統(tǒng)的劃分，對(duì)每一部分應(yīng)提供以下信息：它們是否是新的、已存在的或?qū)＠?；它們是否已被?yàn)證，如果是，它們的驗(yàn)證條件；每一個(gè)組件/子系統(tǒng)是否與安全有關(guān)；確定所有軟件/硬件相互作用和評(píng)價(jià)及細(xì)化它們的重要性。使用符號(hào)表示法表示清楚定義的或限制清楚定義特性的結(jié)構(gòu)。選擇用于保持所有數(shù)據(jù)安全完整性的設(shè)計(jì)特征。這種數(shù)據(jù)可包含大型設(shè)備輸入/輸出數(shù)據(jù)、通信數(shù)據(jù)、操作界面數(shù)據(jù)、維護(hù)數(shù)據(jù)和內(nèi)部數(shù)據(jù)庫(kù)數(shù)據(jù)。規(guī)定適當(dāng)?shù)能浖Y(jié)構(gòu)集成測(cè)試來保證軟件結(jié)構(gòu)滿足規(guī)定系統(tǒng)等級(jí)

35、上的軟件安全要求。(3)支持工具和編程語言的要求對(duì)于使用有限可變語言的用戶應(yīng)用程序編程，在一個(gè)低安全完整性等級(jí)下，要求的工具和編程語言可被限定為標(biāo)準(zhǔn) PLC 語言、編輯器、加載器。其符合性的責(zé)任主要由供方承擔(dān)。在較高等級(jí)的系統(tǒng)上，需限制 PLC 語言的子集，驗(yàn)證和確認(rèn)工具如代碼分析器和共同承擔(dān)。器等。在這些環(huán)境下責(zé)任由供方和用戶即便是在級(jí)的系統(tǒng)上，也成廣泛使用完全可變性語言的嵌入應(yīng)用工具，符合性的責(zé)任主要由軟件開發(fā)來承擔(dān)。這包括使用完全可變語言為用戶應(yīng)用程序編程提供低可變語言的PLC 供方。21根據(jù)軟件開發(fā)的固有特性，確保以下(a)(d)要求的符合性要求的責(zé)任由供方或用戶單獨(dú)承擔(dān)，或由兩者共同

36、承擔(dān)，責(zé)任的劃分應(yīng)在安全技術(shù)編制中文檔化。(a)一套合適的集成工具，包括語言、編譯器、配置管理工具、應(yīng)用時(shí)的自動(dòng)測(cè)試工具，應(yīng)根據(jù)要求的系統(tǒng)等級(jí)選擇。應(yīng)考慮在計(jì)算機(jī)系統(tǒng)整個(gè)生命周期中提供相應(yīng)服務(wù)的合適的開 發(fā)工具（不是那些在系統(tǒng)開發(fā)的初始階段期間使用的）的可用性。在安全完整性等級(jí)要求的范圍內(nèi)，程序編程語言選擇應(yīng)：具備有標(biāo)準(zhǔn)或國(guó)際標(biāo)準(zhǔn)認(rèn)可的確認(rèn)的翻譯器/編譯器，或?qū)ζ淠康牡倪m宜性建立評(píng)估；完全并清楚地定義或限制清楚定義特性；與應(yīng)用的特征匹配；包括方便探測(cè)程序錯(cuò)誤的特性；支持與設(shè)計(jì)方法匹配的特性。(b)當(dāng)不能滿足時(shí)，軟件結(jié)構(gòu)設(shè)計(jì)規(guī)范中應(yīng)另一種可選擇語言的理由，理由應(yīng)足夠詳細(xì)說明語言目的的適宜性和任何

37、說明語言缺點(diǎn)的附加措施。(c)編碼標(biāo)準(zhǔn)應(yīng)：由評(píng)估方復(fù)審其與使用目的是否合適；用于開發(fā)所有安全軟件。(d)編碼標(biāo)準(zhǔn)應(yīng)規(guī)定好的編程習(xí)慣，描述非安全語言特性（如未定義的語言特性、非結(jié)構(gòu)化設(shè)計(jì)等）和規(guī)定源代碼文檔規(guī)程。源代碼文檔中至少應(yīng)包括下列信息：法律實(shí)體（如公司、作者等）；22描述；輸入和輸出；配置管理歷史。(4)輸入軟件要求規(guī)范計(jì)算機(jī)系統(tǒng)硬件結(jié)構(gòu)設(shè)計(jì)(5)輸出軟件結(jié)構(gòu)設(shè)計(jì)規(guī)范開發(fā)工具和編碼標(biāo)準(zhǔn)開發(fā)工具的選擇軟件結(jié)構(gòu)集成測(cè)試規(guī)范計(jì)算機(jī)系統(tǒng)集成測(cè)試規(guī)范7.5.2詳細(xì)設(shè)計(jì)與開發(fā)(1)目的設(shè)計(jì)軟件，以滿足不同的系統(tǒng)等級(jí)對(duì)軟件的要求，這種軟件可分析、驗(yàn)證并能被安全地修改。詳細(xì)設(shè)計(jì)與開發(fā)包括軟件系統(tǒng)設(shè)計(jì)和單

38、個(gè)軟件模塊設(shè)計(jì)。(2)要求詳細(xì)設(shè)計(jì)是指軟件系統(tǒng)設(shè)計(jì)結(jié)構(gòu)中的主要組件劃分在軟件模塊、單獨(dú)的軟件模塊設(shè)計(jì)和編碼系統(tǒng)（如裝在每個(gè)硬件單元的基本軟件、安裝在網(wǎng)絡(luò)節(jié)點(diǎn)中的通信軟件、應(yīng)用軟件）中。23軟件的詳細(xì)設(shè)計(jì)與開發(fā)需對(duì)每一軟件組成提供邏輯語言，并產(chǎn)生詳細(xì)設(shè)計(jì)文件以定義內(nèi)部結(jié)構(gòu)和組成部分的界面，包括每一組成部分單元的測(cè)試部分。軟件的開發(fā)應(yīng)具有模塊化、可測(cè)試性、安全修改能力。對(duì)于軟件結(jié)構(gòu)設(shè)計(jì)規(guī)范中的每一個(gè)主要組件/子系統(tǒng)，設(shè)計(jì)的進(jìn)一步優(yōu)化應(yīng)根據(jù)軟件模塊的劃分。每一軟件模塊的設(shè)計(jì)和測(cè)試應(yīng)適用于規(guī)定的每一軟件模塊。需提供軟件系統(tǒng)設(shè)計(jì)規(guī)范和單個(gè)模塊設(shè)計(jì)規(guī)范。描述文檔中應(yīng)包括的內(nèi)容如：(a)裝在每個(gè)硬件單元的基

39、本軟件的描述；(b)安裝在網(wǎng)絡(luò)節(jié)點(diǎn)中的通信軟件的描述；(c)應(yīng)用軟件（不是程序）的描述；(d)用于系統(tǒng)設(shè)置和設(shè)備配置的工具；(e)說明功能、性能、模塊和其他部件之間的相互約束和依賴關(guān)系。對(duì)應(yīng)用軟件的描述，應(yīng)滿足以下要求：(a)系統(tǒng)的模塊（必須工作以維持功能）的信息，包括對(duì)其他系統(tǒng)的依賴關(guān)系；(b)每個(gè)模塊的細(xì)節(jié)應(yīng)達(dá)到足以了解其功能的水平；(c)軟件模塊（必須執(zhí)行以保持各個(gè)功能）之間的關(guān)系；(d)軟件模塊之間的數(shù)據(jù)流和流；(e)軟件的配置，其中包括優(yōu)先級(jí)策略；(f)冗余系統(tǒng)的切換機(jī)制（若有）；24(g)軟件自我驗(yàn)證）；（例如，包括應(yīng)用驅(qū)動(dòng)的看門狗和數(shù)據(jù)范圍(h)驗(yàn)證測(cè)試和外部設(shè)備診斷測(cè)試（例如，

40、傳感器和終端元件）；(i)對(duì)非預(yù)期的過程變量，如傳感器值超出范圍、檢測(cè)開路、檢測(cè)短路，應(yīng)采取措施。(3)輸入 軟件結(jié)構(gòu)設(shè)計(jì)規(guī)范 支持工具和編碼標(biāo)準(zhǔn)(4)輸出軟件系統(tǒng)設(shè)計(jì)規(guī)范軟件系統(tǒng)集成測(cè)試描述軟件模塊設(shè)計(jì)規(guī)范軟件模塊測(cè)試規(guī)范7.5.3代碼實(shí)現(xiàn)(1)目的編制單個(gè)軟件模塊，在驗(yàn)證、確認(rèn)、評(píng)價(jià)和修改軟件的整個(gè)生命周期中，利用合適的工具集包括語言和編譯器來設(shè)計(jì)和實(shí)現(xiàn)軟件。(2)要求源代碼應(yīng)是： 可讀、可理解和可測(cè)試的； 滿足軟件模塊設(shè)計(jì)的規(guī)定要求；25 滿足編碼標(biāo)準(zhǔn)的規(guī)定要求； 滿足安全計(jì)劃中規(guī)定的相關(guān)要求。每一軟件代碼應(yīng)復(fù)審，以檢查代碼編寫和它的文件的描述。是符合詳細(xì)設(shè)計(jì)(3)輸入 軟件模塊設(shè)計(jì)規(guī)范

41、 支持工具和編碼標(biāo)準(zhǔn)(4)輸出 源代碼 代碼復(fù)審7.5.4軟件模塊測(cè)試(1)目的測(cè)試軟件模塊是一種驗(yàn)證活動(dòng)，是代碼復(fù)審和軟件模塊測(cè)試的結(jié)合，用以證明軟件模塊滿足它的相關(guān)要求，即已驗(yàn)證。(2)要求每一軟件模塊在軟件設(shè)計(jì)中都應(yīng)根據(jù)規(guī)定進(jìn)試。這些測(cè)試表明每一軟件模塊執(zhí)行其預(yù)定功能且不執(zhí)行其非預(yù)定功能。軟件模塊測(cè)試的應(yīng)文檔化。II 類、III 類船用設(shè)備的軟件模塊的內(nèi)容應(yīng)包括但不限于軟件模塊測(cè)試計(jì)劃、測(cè)試的文檔軟件模塊測(cè)試用例、軟件模塊測(cè)試、測(cè)試分析報(bào)告、軟件模塊測(cè)試問題報(bào)告單和測(cè)試總結(jié)報(bào)告。應(yīng)規(guī)定測(cè)試失效的糾正措施規(guī)程。26制造廠應(yīng)采用測(cè)試方法對(duì)軟件模塊的邏輯及需求進(jìn)行全面的模塊測(cè)試。制造廠應(yīng)對(duì) I

42、I 類、III 類系統(tǒng)的每一軟件模塊均根據(jù)軟件模塊測(cè)試規(guī)范的要求進(jìn)行驗(yàn)證，該測(cè)試規(guī)范是在軟件系統(tǒng)設(shè)計(jì)階段制定的。制造廠可采用白盒測(cè)試的方法執(zhí)行模塊測(cè)試，根據(jù)邊界值分析、錯(cuò)誤推測(cè)、等價(jià)類或輸入劃分等方法設(shè)計(jì)測(cè)試用例?？筛鶕?jù)軟 件的安全等級(jí)要求及船用可編程設(shè)備的特性要求選擇上述方法。(3)輸入軟件模塊測(cè)試規(guī)范源代碼代碼復(fù)審(4)輸出 軟件模塊測(cè)試 驗(yàn)證和測(cè)試軟件模塊7.5.5軟件集成測(cè)試(1)目的軟件集成測(cè)試是軟件組件到軟件單元的集成，目的是逐步收集軟件組件，檢查與初步和詳細(xì)設(shè)計(jì)的整合。證明所有軟件模塊、組件和子系統(tǒng)相互正確作用來實(shí)現(xiàn)其預(yù)定的功能，不實(shí)現(xiàn)非預(yù)定的功能。(2)要求 軟件集成測(cè)試應(yīng)在設(shè)

43、計(jì)和開發(fā)階段正確規(guī)定。 軟件集成測(cè)試一般包括：軟件子系統(tǒng)測(cè)試和軟件系統(tǒng)測(cè)試。27軟件集成測(cè)試應(yīng)規(guī)定以下內(nèi)容：(a)管理集成集中的軟件劃分；(b)測(cè)試用例和測(cè)試數(shù)據(jù)(c)執(zhí)試的種類(d)測(cè)試環(huán)境、工具、配置和程序；(e)測(cè)試完成的準(zhǔn)則應(yīng)；并且(f)測(cè)試失效校正動(dòng)作的規(guī)模。軟件集成根據(jù)規(guī)定的軟件集成測(cè)試要求進(jìn)試。這些測(cè)試應(yīng)表明所有軟件模塊和軟件組件/子系統(tǒng)內(nèi)部正確作用以執(zhí)行其預(yù)定的功能而不執(zhí)行非預(yù)定的功能。軟件集成測(cè)試的應(yīng)文檔化，說明測(cè)試結(jié)果是否滿足目的和測(cè)試準(zhǔn)則。如果出現(xiàn)失效，失效。在軟件集成過程中，應(yīng)對(duì)軟件的任何修改或改變進(jìn)行影響分析以確定對(duì)所有軟件模塊的影響和所需要的再驗(yàn)正和再設(shè)計(jì)活動(dòng)。(3

44、)軟件子系統(tǒng)測(cè)試附加要求： 建議采用黑盒測(cè)試執(zhí)行子系統(tǒng)測(cè)試，采用動(dòng)態(tài)測(cè)試、等價(jià)類和輸入劃分測(cè)試，包括邊界值分析等方法設(shè)計(jì)黑盒測(cè)試用例?？筛鶕?jù)軟件的等級(jí)要求及船用可編程設(shè)備的特性選擇上述方法。 對(duì) II 類、III 類系統(tǒng)，應(yīng)執(zhí)行子系統(tǒng)測(cè)試，并分析測(cè)試結(jié)果以驗(yàn)證軟件模塊是否正確地集成。確認(rèn)測(cè)試結(jié)果可追溯到測(cè)試計(jì)劃文檔中由測(cè)試可追溯性建立的測(cè)試準(zhǔn)則。(4)軟件系統(tǒng)測(cè)試附加要求： 應(yīng)保證子系統(tǒng)滿足 II、III 類上的要求。28應(yīng)根據(jù)船用可編程設(shè)備的軟件方面系統(tǒng)測(cè)試計(jì)劃的規(guī)定進(jìn)行系統(tǒng)測(cè)試活動(dòng)。在系統(tǒng)測(cè)試中應(yīng)考慮下列屬性：有關(guān)軟件設(shè)計(jì)規(guī)范的確認(rèn)的完整性；有關(guān)軟件設(shè)計(jì)規(guī)范（完成）的確認(rèn)的正確性；可重復(fù)性

45、；精確定義的確認(rèn)配置。II、III 類系統(tǒng)的系統(tǒng)測(cè)試，應(yīng)驗(yàn)證防修改保護(hù)功能：(a)防止用戶修改程序；(b)防止用戶修改程序的運(yùn)行參數(shù)。II、III 類系統(tǒng)的系統(tǒng)測(cè)試，應(yīng)驗(yàn)證單一故障條件下系統(tǒng)會(huì)安全失效的功能。應(yīng)采用黑盒測(cè)試執(zhí)行系統(tǒng)測(cè)試，采用等價(jià)類或過程方法設(shè)計(jì)黑盒測(cè)試用例?？筛鶕?jù)安全等級(jí)要求和船用可編程設(shè)備要求選擇上述方法。當(dāng)預(yù)期結(jié)果和實(shí)際結(jié)果出現(xiàn)差異時(shí)，應(yīng)經(jīng)分析和評(píng)估確定是繼續(xù)測(cè)試還是提出變更請(qǐng)求，若提出變更請(qǐng)求，則應(yīng)返回開發(fā)生命周期較早階段。這些決定都應(yīng)作為系統(tǒng)試驗(yàn)的確認(rèn)結(jié)果文檔化。(5)輸入軟件系統(tǒng)集成測(cè)試規(guī)范（軟件子系統(tǒng)/系統(tǒng)測(cè)試）(6)輸出 軟件系統(tǒng)集成測(cè)試29 驗(yàn)證和測(cè)試軟件系統(tǒng)7

46、.6計(jì)算機(jī)系統(tǒng)集成（硬件和軟件）7.6.1目的(1)在目標(biāo)計(jì)算機(jī)系統(tǒng)硬件上集成軟件。(2)將軟件和硬件結(jié)合到計(jì)算機(jī)系統(tǒng)上以保證其兼容性和滿足預(yù)定的要求。7.6.2集成測(cè)試要求(1)應(yīng)在設(shè)計(jì)和開發(fā)階段中規(guī)定集成測(cè)試.以保證計(jì)算機(jī)系統(tǒng)中硬件和軟件的兼容性。(2)計(jì)算機(jī)系統(tǒng)（硬件和軟件）的集成測(cè)試應(yīng)規(guī)定：根據(jù)集成水平拆分系統(tǒng)；測(cè)試用例和測(cè)試數(shù)據(jù)；執(zhí)試的種類；測(cè)試環(huán)境包括工具、支持軟件和配置描述；判定測(cè)試完成的準(zhǔn)則。(3)在進(jìn)行計(jì)算機(jī)系統(tǒng)（硬件和軟件）規(guī)定的集成測(cè)試時(shí)，應(yīng)區(qū)別開發(fā)按的意圖所執(zhí)行的活動(dòng)和從用戶立場(chǎng)出發(fā)所進(jìn)行的活動(dòng)。(4)對(duì)計(jì)算機(jī)系統(tǒng)（硬件和軟件）規(guī)定的集成測(cè)試應(yīng)在下列行為中進(jìn)行區(qū)分： 將

47、軟件系統(tǒng)納入目標(biāo)可編程電子硬件； 計(jì)算機(jī)系統(tǒng)集成，即增加接口如傳感器和執(zhí)行器；30 EUC 和計(jì)算機(jī)系統(tǒng)的全部集成。(5)軟件根據(jù)可編程電子（硬件和軟件）規(guī)定的集成測(cè)試和與安全有關(guān)的可編程電子硬件進(jìn)行集成。(6)在安全有關(guān)可編程電子（硬件和軟件）集成測(cè)試中，應(yīng)對(duì)集成系統(tǒng)的任何修改或改變進(jìn)行影響分析，以確定對(duì)所有軟件模塊的影響和所需要的再驗(yàn)證活動(dòng)。(7)測(cè)試用例及其結(jié)果應(yīng)用于隨后的分析。(8)安全有關(guān)可編程電子（硬件和軟件）的集成測(cè)試應(yīng)文檔化，說明測(cè)試結(jié)果是否滿足測(cè)試目的和測(cè)試準(zhǔn)則。如果出現(xiàn)失效應(yīng)失效原因。軟件的任何修改或改變應(yīng)進(jìn)行影響分析以確定對(duì)所有軟件組件/模型的影響和所需要的再驗(yàn)證和再設(shè)計(jì)活動(dòng)。(9)對(duì)于 II 類系統(tǒng)，制造廠應(yīng)保留并按需求提交集成測(cè)試的證明文件，文件包括測(cè)試計(jì)劃和測(cè)試報(bào)告。對(duì)于 III 類系統(tǒng)，船級(jí)社應(yīng)測(cè)試。集成7.6.3故障模擬測(cè)試要求(1)制造廠應(yīng)根據(jù)系統(tǒng)設(shè)計(jì)規(guī)范制訂系統(tǒng)故障模擬測(cè)試規(guī)范。應(yīng)盡可能真實(shí)地進(jìn)行故障模擬，以證明有適當(dāng)?shù)南到y(tǒng)故障檢測(cè)和系統(tǒng)響應(yīng)。對(duì)任何所需的故障分析應(yīng)進(jìn)行觀察。(2)故障模擬測(cè)試規(guī)范包括以下內(nèi)容：故障組件或元器件名稱；故障類型；故障方式；要求的系統(tǒng)