EN 50128鐵路應(yīng)用-通信、信號(hào)和處理系統(tǒng)-鐵路控制和防護(hù)系統(tǒng)軟件

EN50128：2001PAGEIEN50128:2001鐵路應(yīng)用——通信、信號(hào)和處理系統(tǒng)——鐵路控制和防護(hù)系統(tǒng)軟件2007.6序言本歐洲標(biāo)準(zhǔn)是SC9XA,即通信，信號(hào)傳輸和處理系統(tǒng)技術(shù)委員會(huì)（CENELECTC9X）制訂，鐵路電氣和電子應(yīng)用的標(biāo)準(zhǔn)。草案文本作為EN50128正式提交投票并于2000-11-01獲得CENELEC批準(zhǔn)。修改了下列日期--歐盟各國(guó)必須通過(guò)認(rèn)可或發(fā)布相同的國(guó)家標(biāo)準(zhǔn)來(lái)執(zhí)行本歐洲標(biāo)準(zhǔn)的截止日期2001-11-01--與本歐洲標(biāo)準(zhǔn)沖突的國(guó)家標(biāo)準(zhǔn)必須被廢止的截止日期2003-11-01本歐洲標(biāo)準(zhǔn)必須與EN50126鐵路應(yīng)用——可靠性，可用性，可維護(hù)性和安全性（RAMS）；EN50129鐵路應(yīng)用——信號(hào)領(lǐng)域的安全相關(guān)電子系統(tǒng)同時(shí)閱讀。附件中指定的“規(guī)范性的”是本項(xiàng)標(biāo)準(zhǔn)主體的一部分。附件中指定的“參考性的”只用于獲得的信息。本項(xiàng)標(biāo)準(zhǔn)中，附件A是規(guī)范性的而附件B是參考性的。

目錄引言范圍參考文獻(xiàn)定義目標(biāo)和符合軟件安全完整性等級(jí)5．1目標(biāo)5．2需求人員及職責(zé)6．1目標(biāo)6．2需求生命周期和文檔7．1目標(biāo)7．2需求軟件需求規(guī)格說(shuō)明8．1目標(biāo)8．2輸入文檔8．3輸出文檔8．4需求軟件體系結(jié)構(gòu)9．1目標(biāo)9．2輸入文檔9．3輸出文檔9．4需求軟件設(shè)計(jì)和實(shí)現(xiàn)10．1目標(biāo)10．2輸入文檔10．3輸出文檔10．4需求軟件驗(yàn)證和測(cè)試11．1目標(biāo)11．2輸入文檔11．3輸出文檔11．4需求軟件/硬件集成12．1目標(biāo)12．2輸入文檔12．3輸出文檔12．4需求軟件確認(rèn)13．1目標(biāo)13．2輸入文檔13．3輸出文檔13．4需求軟件評(píng)估14．1目標(biāo)14．2輸入文檔14．3輸出文檔14．4需求軟件質(zhì)量保障15．1目標(biāo)15．2輸入文檔15．3輸出文檔15．4需求軟件維護(hù)16．1目標(biāo)16．2輸入文檔16．3輸出文檔16．4需求根據(jù)應(yīng)用數(shù)據(jù)配置的系統(tǒng)17．1目標(biāo)17．2輸入文檔17．3輸出文檔17．4需求17．4．1數(shù)據(jù)準(zhǔn)備生命周期17．4．2數(shù)據(jù)準(zhǔn)備程序和工具17．4．3軟件開(kāi)發(fā)附件A：技術(shù)和措施的選擇準(zhǔn)則附件B：技術(shù)參考書目附圖圖1——安全相關(guān)系統(tǒng)的完整性等級(jí)圖2——軟件安全性路徑圖圖3——開(kāi)發(fā)生命周期1圖4——開(kāi)發(fā)生命周期2圖5——獨(dú)立性與軟件完整性等級(jí)圖6——通用系統(tǒng)開(kāi)發(fā)和應(yīng)用開(kāi)發(fā)之間的關(guān)系引言本標(biāo)準(zhǔn)是相關(guān)標(biāo)準(zhǔn)系列中的一部分。其他標(biāo)準(zhǔn)有EN50126鐵路應(yīng)用——可靠性，可用性，可維護(hù)性和安全性（RAMS）；EN50129鐵路應(yīng)用——信號(hào)領(lǐng)域的安全相關(guān)電子系統(tǒng)。EN50126適用于大范圍的系統(tǒng)問(wèn)題，而EN50129適用于整個(gè)鐵路控制和防護(hù)系統(tǒng)中某單個(gè)系統(tǒng)的批準(zhǔn)過(guò)程。本標(biāo)準(zhǔn)關(guān)注于需要使用的方法，以使軟件能滿足經(jīng)全面考慮后所分配到的安全完整性要求。本標(biāo)準(zhǔn)從IEC/TC65第九工作組（WG9）早期工作中得到很多指導(dǎo)。WG9的工作形成了一個(gè)安全系統(tǒng)軟件通用標(biāo)準(zhǔn)，現(xiàn)在該標(biāo)準(zhǔn)是IEC61508的一部分。WG9工作的特別之處是包含了適用于非安全軟件的軟件安全完整性0級(jí)，以及適用于安全相關(guān)和安全苛求軟件的軟件安全完整性1~4級(jí)。本標(biāo)準(zhǔn)也覆蓋了所有五個(gè)軟件安全完整性等級(jí)。國(guó)際鐵路信號(hào)工程師協(xié)會(huì)（IRSE）的工作也被考慮進(jìn)來(lái)，特別是它關(guān)注相同課題的1號(hào)技術(shù)報(bào)告。本歐洲標(biāo)準(zhǔn)的一個(gè)關(guān)鍵概念是軟件安全完整性等級(jí)。軟件失效后果的危險(xiǎn)性的越大，軟件安全完整性等級(jí)也就越高。本歐洲標(biāo)準(zhǔn)確定了從最低0級(jí)到最高4級(jí)的5個(gè)軟件安全完整性等級(jí)的技術(shù)和措施。其中1~4這四個(gè)級(jí)別涉及安全相關(guān)軟件，0級(jí)涉及非安全相關(guān)軟件。對(duì)0級(jí)進(jìn)行標(biāo)準(zhǔn)化是為了讓非安全相關(guān)系統(tǒng)軟件向安全相關(guān)系統(tǒng)軟件進(jìn)行平滑轉(zhuǎn)變。附表給出了各個(gè)軟件安全完整性等級(jí)和非安全相關(guān)等級(jí)要求的技術(shù)和措施。在這個(gè)版本中，1級(jí)和2級(jí)的技術(shù)要求相同，3級(jí)和4級(jí)的要求相同。本歐洲標(biāo)準(zhǔn)沒(méi)有給出某一風(fēng)險(xiǎn)應(yīng)適用于哪個(gè)軟件安全完整性等級(jí)的具體指導(dǎo)意見(jiàn)。這個(gè)結(jié)論需要考慮許多因素包括應(yīng)用的特性、其他系統(tǒng)承擔(dān)的安全性功能范圍和社會(huì)以及經(jīng)濟(jì)因素。EN50126和EN50129規(guī)定了分配給軟件的安全性功能。本歐洲標(biāo)準(zhǔn)規(guī)定了滿足這些需求的必要措施。這個(gè)過(guò)程在圖1作了說(shuō)明。EN50126和EN50129需采用系統(tǒng)性的方法，以：確定危險(xiǎn)、風(fēng)險(xiǎn)和風(fēng)險(xiǎn)準(zhǔn)則；為滿足風(fēng)險(xiǎn)準(zhǔn)則，確定必要的風(fēng)險(xiǎn)降低；為實(shí)現(xiàn)必要的風(fēng)險(xiǎn)降低，定義一個(gè)全面的系統(tǒng)安全性需求規(guī)格說(shuō)明；選擇一個(gè)合適的系統(tǒng)體系結(jié)構(gòu)；規(guī)劃、監(jiān)督和控制那些把系統(tǒng)安全性需求規(guī)格說(shuō)明變成安全性能(或安全完整性)已確認(rèn)的安全相關(guān)系統(tǒng)所必需的技術(shù)和管理活動(dòng)。在分解需求規(guī)格說(shuō)明形成由安全相關(guān)系統(tǒng)和組件組成的設(shè)計(jì)說(shuō)明時(shí)，需要進(jìn)一步分配安全完整性等級(jí)，并最終形成所需的軟件安全完整性等級(jí)。目前，無(wú)論是質(zhì)量保證法(即避錯(cuò)措施)還是軟件容錯(cuò)法的應(yīng)用，都無(wú)法保證系統(tǒng)的絕對(duì)安全。尚未發(fā)現(xiàn)可以證明一個(gè)較復(fù)雜的安全相關(guān)軟件中不存在錯(cuò)誤的方法，特別是規(guī)格說(shuō)明和設(shè)計(jì)的錯(cuò)誤。以下規(guī)則應(yīng)用于開(kāi)發(fā)高安全完整性等級(jí)軟件，但也不僅限于開(kāi)發(fā)高安全完整性等級(jí)軟件：自頂向下的設(shè)計(jì)方法；模塊化；開(kāi)發(fā)生命周期每一階段的驗(yàn)證；驗(yàn)證后的模塊和模塊庫(kù)；清晰的文檔；可審計(jì)的文檔；確認(rèn)測(cè)試。這些規(guī)則以及相關(guān)的其他規(guī)則必須正確應(yīng)用。對(duì)于各個(gè)軟件安全完整性等級(jí)，本標(biāo)準(zhǔn)均規(guī)定了說(shuō)明這一點(diǎn)所需的保證等級(jí)。在得到或形成了系統(tǒng)安全性需求規(guī)格說(shuō)明后，分配給軟件的安全性功能和系統(tǒng)安全完整性等級(jí)就確定了，圖2給出了應(yīng)用本歐標(biāo)的功能步驟，如下所示：定義軟件需求規(guī)格說(shuō)明，同時(shí)考慮軟件體系結(jié)構(gòu)。軟件體系結(jié)構(gòu)是為軟件和軟件安全完整性等級(jí)開(kāi)發(fā)基本安全策略的架構(gòu)。(條款5、8和9)根據(jù)軟件質(zhì)量保障計(jì)劃、軟件安全完整性等級(jí)和軟件生命周期來(lái)設(shè)計(jì)、開(kāi)發(fā)和測(cè)試軟件。(條款10)在目標(biāo)硬件上集成軟件。(條款12)確認(rèn)軟件。(條款13)如果在運(yùn)行過(guò)程中需要軟件維護(hù)，那么可再適當(dāng)運(yùn)用本歐洲標(biāo)準(zhǔn)進(jìn)行處理。(條款16)許多活動(dòng)都是在軟件開(kāi)發(fā)過(guò)程中交叉進(jìn)行的，這其中包括驗(yàn)證(條款11)，評(píng)估(條款14)和質(zhì)量保障(條款15)。給出了應(yīng)用數(shù)據(jù)配置的系統(tǒng)的需求(條款17)。給出了從事軟件開(kāi)發(fā)人員能力的需求。(條款7)本標(biāo)準(zhǔn)沒(méi)有硬性要求使用特定的軟件開(kāi)發(fā)生命周期，但是給出了一個(gè)推薦的生命周期及文檔集。(條款7，圖3和圖4)表格針對(duì)5個(gè)軟件安全完整性等級(jí)明確羅列了各種技術(shù)和措施。表格在附件A中給出。與表格對(duì)照的參考書目提供了更多的信息，給出了每項(xiàng)技術(shù)和措施的簡(jiǎn)明描述。參考書目在附件B中給出。

1范圍1.1本歐洲標(biāo)準(zhǔn)詳細(xì)規(guī)定了鐵路控制和防護(hù)設(shè)備用的可編程電子系統(tǒng)開(kāi)發(fā)所需的程序和技術(shù)要求。它適用于任何有隱含安全性的領(lǐng)域。這些應(yīng)用系統(tǒng)的范圍涵蓋了安全苛求系統(tǒng),如安全信號(hào)，非安全苛求系統(tǒng),如管理信息系統(tǒng)。這些系統(tǒng)可能通過(guò)采用專用多處理器，可編程邏輯控制器，分布式多處理器系統(tǒng)，大規(guī)模集中處理器系統(tǒng)或者其它架構(gòu)來(lái)實(shí)現(xiàn)。1.2本歐洲標(biāo)準(zhǔn)專門應(yīng)用于軟件以及軟件和系統(tǒng)之間的相互作用。1.30級(jí)以上的軟件安全完整性等級(jí)用于失效可引起失去生命的后果的系統(tǒng)。然而，從經(jīng)濟(jì)或環(huán)境因素方面考慮也能采用高級(jí)別的安全完整性等級(jí)。1.4本歐洲標(biāo)準(zhǔn)適用于鐵路控制和防護(hù)系統(tǒng)開(kāi)發(fā)和實(shí)現(xiàn)的所有軟件，包括：應(yīng)用程序設(shè)計(jì)；操作系統(tǒng)；支持工具；固件。應(yīng)用程序設(shè)計(jì)包括高級(jí)程序設(shè)計(jì)，低級(jí)程序設(shè)計(jì)和專用程序設(shè)計(jì)（如：可編程邏輯控制器梯形邏輯）。1.5本歐洲標(biāo)準(zhǔn)還涉及了本標(biāo)準(zhǔn)的使用、商用軟件和工具。1.6本歐洲標(biāo)準(zhǔn)還對(duì)應(yīng)用數(shù)據(jù)配置的系統(tǒng)提出了要求。1.7本歐洲標(biāo)準(zhǔn)并不涉及商務(wù)問(wèn)題，這些問(wèn)題應(yīng)為合同的基本部分被提出。但本歐洲標(biāo)準(zhǔn)中的所有條款在任何商務(wù)活動(dòng)中都需被仔細(xì)考慮。1.8本歐洲標(biāo)準(zhǔn)為避免追溯，主要應(yīng)用于新的開(kāi)發(fā)。對(duì)于現(xiàn)有系統(tǒng)，僅當(dāng)進(jìn)行主要修改時(shí)才進(jìn)行全面應(yīng)用，對(duì)于次要修改，只要應(yīng)用條款16。2\o"/TR/2004/REC-rdf-primer-20040210/#normative-references"規(guī)范性參考文獻(xiàn)本歐洲標(biāo)準(zhǔn)需與標(biāo)注日期或未標(biāo)注日期的參考文獻(xiàn)以及其他出版物中條款相結(jié)合。這些規(guī)范性參考文獻(xiàn)將在文中合適的位置被引用，相應(yīng)的出版物將在下面列出。對(duì)于標(biāo)注日期文獻(xiàn)的后續(xù)修改或修訂，本歐洲標(biāo)準(zhǔn)需通過(guò)修改或修訂進(jìn)行結(jié)合來(lái)應(yīng)用。對(duì)于未標(biāo)注日期的文獻(xiàn),則應(yīng)用最新版本(包括修改)。EN50126，鐵路應(yīng)用——可靠性，可用性，可維持性和安全性（RAMS）的規(guī)格和說(shuō)明；EN50129*，鐵路應(yīng)用——信號(hào)領(lǐng)域的安全相關(guān)電子系統(tǒng)；EN50159-1,鐵路應(yīng)用——通信，信號(hào)和處理系統(tǒng)第一部分：封閉傳輸系統(tǒng)中的安全通信；

EN50129-1,鐵路應(yīng)用——通信，信號(hào)和處理系統(tǒng)第二部分：開(kāi)放傳輸系統(tǒng)中的安全通信；ENISO9001,質(zhì)量體系——設(shè)計(jì)/開(kāi)發(fā)，生產(chǎn)，安裝和維護(hù)的質(zhì)量保證模型；ENISO9001-3,質(zhì)量管理和質(zhì)量保證標(biāo)準(zhǔn)——第三部分：ISO9001:1994在計(jì)算機(jī)軟件的開(kāi)發(fā)，供應(yīng)，安裝和維護(hù)應(yīng)用的指導(dǎo)。3定義以下定義適用于此歐洲標(biāo)準(zhǔn).對(duì)于未定義的術(shù)語(yǔ),按照優(yōu)先順序查閱以下參考文獻(xiàn)。ENISO8402，質(zhì)量管理和質(zhì)量保證——詞匯表；IEC60050-191,國(guó)際電工詞匯第191章：服務(wù)可信性和質(zhì)量；IEEE610.12,IEEE標(biāo)準(zhǔn)軟件工程術(shù)語(yǔ)詞匯表；ISOIIEC2382,信息技術(shù)詞匯表；ISOIIEC9126,信息技術(shù)－軟件產(chǎn)品評(píng)估－質(zhì)量特性以及其使用指導(dǎo)；3.1評(píng)估（assessment）用于確定設(shè)計(jì)主管機(jī)構(gòu)和確認(rèn)員所完成的產(chǎn)品是否符合規(guī)定的要求和判定產(chǎn)品是否達(dá)到預(yù)期目的的分析過(guò)程。3.2評(píng)估員（assessor）受委托執(zhí)行評(píng)估的人員或者代理。3.3可用性（availability）假定所需外部資源均能滿足的條件下，產(chǎn)品在規(guī)定的條件下，在規(guī)定的時(shí)刻或在給定的時(shí)間間隔內(nèi)完成要求功能的能力。3.4商用軟件（COTSsoftware）市場(chǎng)需求所定義、市場(chǎng)已存在且其目標(biāo)滿足性已得到廣大商業(yè)用戶證明的軟件。3.5設(shè)計(jì)主管機(jī)構(gòu)（designauthority）負(fù)責(zé)提出實(shí)現(xiàn)特定需求的設(shè)計(jì)方案，并監(jiān)控后期的開(kāi)發(fā)和系統(tǒng)在特定環(huán)境下工作的實(shí)體。3.6設(shè)計(jì)者（designer）一個(gè)或多個(gè)由設(shè)計(jì)主管機(jī)構(gòu)指派的人員，他們承擔(dān)需求分析并將特定需求轉(zhuǎn)化成可接受且有相應(yīng)安全完整性的設(shè)計(jì)方案。3.7元素（element）被確認(rèn)為基本單元和基本部件的某產(chǎn)品的一部分。一個(gè)元素可以是簡(jiǎn)單或者復(fù)雜的。3.8錯(cuò)誤（error）

與期望的設(shè)計(jì)相背離，并有可能導(dǎo)致未預(yù)料到的系統(tǒng)行為或失效。3.9失效（failure）與規(guī)定的系統(tǒng)行為相背離。失效是系統(tǒng)錯(cuò)誤或故障的結(jié)果。3.10故障（fault）一種能導(dǎo)致系統(tǒng)錯(cuò)誤或失效的不正常情形，故障可以是系統(tǒng)性或隨機(jī)性的。3.11避錯(cuò)（faultavoidance）在系統(tǒng)設(shè)計(jì)和構(gòu)造的過(guò)程中使用避免引入故障的設(shè)計(jì)技術(shù)。3.12容錯(cuò)（faulttolerance）在出現(xiàn)有限數(shù)量的軟硬件故障的情況下，系統(tǒng)能繼續(xù)提供正確的規(guī)定服務(wù)的內(nèi)嵌能力3.13固件（firmware）指令和存儲(chǔ)在一個(gè)功能獨(dú)立主存儲(chǔ)器（通常是ROM）中的相關(guān)數(shù)據(jù)的有序集合3.14通用軟件（genericsoftware）通用軟件是只要提供應(yīng)用相關(guān)的數(shù)據(jù)就可以應(yīng)用于多種系統(tǒng)裝置的軟件。3.15實(shí)現(xiàn)人員（implementer）由設(shè)計(jì)主管機(jī)構(gòu)委派、具體實(shí)現(xiàn)特定設(shè)計(jì)的一個(gè)或更多人員3.16產(chǎn)品（product）為滿足特定需求，收集元素并進(jìn)行互連以形成一個(gè)系統(tǒng)，子系統(tǒng)或者設(shè)備。本歐洲標(biāo)準(zhǔn)中，產(chǎn)品可被視為完全由軟件或者文檔元素構(gòu)成。3.17可編程邏輯控制器(PLC)具備面向指令存儲(chǔ)的用戶可編程存儲(chǔ)器、能實(shí)現(xiàn)軌定功能的固態(tài)控制系統(tǒng)。3.18可靠性(reliability)設(shè)備在規(guī)定的條件下，在規(guī)定的時(shí)間內(nèi)執(zhí)行要求功能的能力。3.19需求可追溯性（requirementtraceability）需求可追溯性的目標(biāo)是確保所有的需求能被證明已得到滿足3.20風(fēng)險(xiǎn)（risk）某特定危險(xiǎn)事件的頻率或概率和后果的組合。3.21安全性（safety）無(wú)不可接受的風(fēng)險(xiǎn)等級(jí)。3.22安全主管機(jī)構(gòu)（safetyauthority）

負(fù)責(zé)證實(shí)安全相關(guān)系統(tǒng)適于工作并符合法令、規(guī)章規(guī)定的安全性需求的實(shí)體。3.23安全相關(guān)軟件（safety-relatedsoftware）負(fù)有安全責(zé)任的軟件。3.24軟件（software）由程序、過(guò)程、規(guī)則和系統(tǒng)運(yùn)行相關(guān)的文檔組成的智力創(chuàng)造。3.25軟件生命周期（softwarelifecycle）從軟件構(gòu)思開(kāi)始到軟件不再可用結(jié)束的時(shí)期內(nèi)發(fā)生的活動(dòng)。典型的軟件生命周期包括一個(gè)需求階段，開(kāi)發(fā)階段，測(cè)試階段，集成階段，安裝階段和一個(gè)維護(hù)階段。3.26軟件可維性（softwaremaintainability）系統(tǒng)能被修改以糾正故障、改進(jìn)性能或其它特性，或適應(yīng)不同環(huán)境的能力。3.27軟件維護(hù)（softwaremaintenance）它是指在軟件被最終用戶接收后所進(jìn)行的活動(dòng)或活動(dòng)集合,它的目的在于改善,增加或糾正軟件的功能。。3.28軟件安全完整性等級(jí)（softwaresafetyintegritylevel）一組分級(jí)數(shù)字，它確定了為將殘留軟件故障降低到一個(gè)適當(dāng)水平所必須采用的技術(shù)和措施。3.29系統(tǒng)安全完整性等級(jí)（systemsafetyintegritylevel）表示系統(tǒng)能滿足規(guī)定安全特性的置信度的數(shù)字。3.30可追溯性（traceability）能在開(kāi)發(fā)過(guò)程中確定兩個(gè)或者多個(gè)產(chǎn)品之間關(guān)系的程度，尤其是那些與其它產(chǎn)品構(gòu)成前/后代或上/下級(jí)關(guān)系的。3.31確認(rèn)（validation）通過(guò)測(cè)試和分析，表明產(chǎn)品在各個(gè)方面符合規(guī)定需求的證實(shí)行為。3.32確認(rèn)員（validator）被委派來(lái)做確認(rèn)工作的人或者代理。3.33驗(yàn)證（verification）通過(guò)測(cè)試和分析，表明系統(tǒng)生命周期的各階段的輸出符合前一階段的需求的一種決定性行為。3.34驗(yàn)證員（verifier）被委派來(lái)做驗(yàn)證工作的人或代理。4目標(biāo)和符合4.1在以下每個(gè)條款中，將詳細(xì)地描述其目標(biāo)和要求。4.2為遵從本歐洲標(biāo)準(zhǔn)，應(yīng)表明依據(jù)規(guī)定的軟件安全完整性等級(jí)每一項(xiàng)需求都已得到滿足，因而也滿足條款的目標(biāo)。

4.3如果一個(gè)需求附有“在軟件安全完整性等級(jí)要求的范圍內(nèi)”的詞句，則表示可用一定范圍內(nèi)的技術(shù)和措施來(lái)滿足該需求。4.4在上述條款適用的地方，應(yīng)使用本歐洲標(biāo)準(zhǔn)詳細(xì)給出的表格來(lái)幫助選擇與軟件安全完整性等級(jí)相適應(yīng)的技術(shù)和措施。4.5如果某一技術(shù)或措施在表格中被列為強(qiáng)力推薦，那么不使用該技術(shù)的理由應(yīng)在軟件質(zhì)量保證計(jì)劃中或軟件質(zhì)量保證計(jì)劃參考的其他文件中作詳細(xì)說(shuō)明并作相應(yīng)的記錄。如果使用了相應(yīng)表格中被認(rèn)可的技術(shù)，這就不一定要作記錄了。4.6如果一項(xiàng)不包括在表格中的技術(shù)或措施被建議使用，那么應(yīng)對(duì)其有效性及能滿足特殊要求和條款整個(gè)目標(biāo)的適用性作論證，并在軟件質(zhì)量保證計(jì)劃中或軟件質(zhì)量保證計(jì)劃參考的其他文件中作相應(yīng)的記錄。4.7應(yīng)通過(guò)檢查本標(biāo)準(zhǔn)所要求的文檔、其他客觀證據(jù)、審計(jì)和見(jiàn)證測(cè)試來(lái)評(píng)估是否符合特殊條款的要求和表格中詳細(xì)列出的各自的技術(shù)和措施。4.8本歐洲標(biāo)準(zhǔn)需要使用一組技術(shù)及它們的正確應(yīng)用。這些技術(shù)是表格中所要求的，并在參考書目中詳細(xì)列出。5軟件安全完整性級(jí)別5.1目標(biāo)給軟件指定軟件安全完整性等級(jí)。5.2要求5.2.1依據(jù)EN50126和EN50129，應(yīng)形成-系統(tǒng)需求規(guī)格說(shuō)明書-系統(tǒng)安全性需求規(guī)格說(shuō)明書；-系統(tǒng)結(jié)構(gòu)描述；-系統(tǒng)安全性計(jì)劃；其中包括：·安全性功能；·系統(tǒng)配置或體系結(jié)構(gòu)；·硬件可靠性需求；·安全完整性需求；軟件安全完整性等級(jí)應(yīng)通過(guò)獲得EN50126確定的安全完整性等級(jí)的一般過(guò)程來(lái)確定。5.2.2應(yīng)在系統(tǒng)中軟件應(yīng)用的風(fēng)險(xiǎn)水平和系統(tǒng)安全完整性等級(jí)的基礎(chǔ)上決定需要的軟件安全完整性等級(jí)。5.2.3如沒(méi)有進(jìn)一步防范措施，軟件安全完整性等級(jí)至少等于系統(tǒng)安全完整性等級(jí)。然而，如果存在能預(yù)防軟件模塊失效導(dǎo)致系統(tǒng)進(jìn)入不安全狀態(tài)的機(jī)制，則可以減低模塊的軟件安全完整性等級(jí)。

5.2.4應(yīng)考慮的風(fēng)險(xiǎn)與下列危險(xiǎn)后果有關(guān)：·失去生命；·使人受傷或生??；·環(huán)境的污染；·財(cái)產(chǎn)損失或損壞。5.2.5風(fēng)險(xiǎn)可被定量化，但不能以同樣方式規(guī)定軟件安全完整性。因此，對(duì)于本歐洲標(biāo)準(zhǔn)，軟件安全完整性等級(jí)被指定為下列五個(gè)等級(jí)之一：軟件安全完整性等級(jí)軟件安全完整性等級(jí)描述4非常高3高2中等1低0非安全性

5.2.6在軟件需求規(guī)格說(shuō)明書中應(yīng)指定軟件安全完整性等級(jí)(條款8)。如果不同的軟件組件有不同的軟件安全完整性等級(jí)，應(yīng)在軟件架構(gòu)規(guī)格說(shuō)明書中加以規(guī)定(條款9)。6人員和職責(zé)6.1目標(biāo)保證所有對(duì)軟件負(fù)有責(zé)任的人員有能力履行那些職責(zé)。6.2要求6.2.1供應(yīng)者和/或開(kāi)發(fā)者以及客戶最低限度都應(yīng)執(zhí)行ENISO9001的相關(guān)部分，以保持和ENISO9000—3一致。6.2.2除軟件安全完整性等級(jí)0以外，安全性過(guò)程應(yīng)在一個(gè)適當(dāng)?shù)陌踩越M織的控制下完成。該組織遵從EN50129“安全性管理的證據(jù)”條款中“安全性機(jī)構(gòu)”子條款要求。6.2.3軟件生命周期各階段（包括管理活動(dòng)）涉及的所有人員應(yīng)具有適當(dāng)?shù)呐嘤?xùn)、經(jīng)驗(yàn)和資格。6.2.4除軟件安全完整性等級(jí)0以外，對(duì)于特定應(yīng)用，強(qiáng)力推薦對(duì)軟件生命周期各階段（包括管理活動(dòng)）涉及的所有人員的培訓(xùn)、經(jīng)驗(yàn)、資格進(jìn)行證實(shí)。6.2.5應(yīng)在軟件質(zhì)量保證計(jì)劃中記錄上述子條款要求的論證，適當(dāng)?shù)陌軇偃蜗铝蓄I(lǐng)域工作的證據(jù)：·適合應(yīng)用領(lǐng)域的工程；·軟件工程；·計(jì)算機(jī)系統(tǒng)工程；

·安全工程；·法規(guī)框架。6.2.6指定獨(dú)立的軟件評(píng)估員。也可參看6.2.10和14.4.1。6.2.7應(yīng)賦予評(píng)估人員足夠的權(quán)威來(lái)實(shí)現(xiàn)對(duì)軟件的評(píng)估。6.2.8軟件整個(gè)生命周期各個(gè)階段所涉及的各方的獨(dú)立性要根據(jù)軟件安全完整性等級(jí)調(diào)整，保持和圖5一致，解釋如下：在各個(gè)軟件安全完整性等級(jí)，評(píng)估員應(yīng)由安全主管機(jī)構(gòu)認(rèn)可，除6.2.10規(guī)定的情況外，都應(yīng)獨(dú)立于供應(yīng)商。設(shè)計(jì)者生產(chǎn)者、驗(yàn)證員和確認(rèn)員可以同屬一個(gè)公司，但至少要滿足以下獨(dú)立性：在軟件安全完整性等級(jí)0：沒(méi)有限制；設(shè)計(jì)者/生產(chǎn)者、驗(yàn)證員和確認(rèn)員可以是同一人。在軟件安全完整性等級(jí)1和2：驗(yàn)證員和確認(rèn)員可以是同一人，但他們不應(yīng)又是設(shè)計(jì)者/生產(chǎn)者。設(shè)計(jì)者/生產(chǎn)者、驗(yàn)證者和確認(rèn)者能向項(xiàng)目經(jīng)理報(bào)告。在軟件安全完整性等級(jí)3和4：有兩種允許的安排：驗(yàn)證員和確認(rèn)員可以是同一人，但他們不應(yīng)又是設(shè)計(jì)者/生產(chǎn)者。而且他們不應(yīng)象設(shè)計(jì)者/生產(chǎn)者一樣向項(xiàng)目經(jīng)理報(bào)告，他們有權(quán)力阻止產(chǎn)品的提交。設(shè)計(jì)者/生產(chǎn)者、驗(yàn)證員和確認(rèn)員必須是各不相同的人。設(shè)計(jì)者/生成者和驗(yàn)證員可以向項(xiàng)目經(jīng)理報(bào)告，而確認(rèn)員則不向項(xiàng)目經(jīng)理報(bào)告。確認(rèn)員有權(quán)力阻止產(chǎn)品的提交。6.2.9負(fù)責(zé)各個(gè)條款的有關(guān)人員如下：軟件需求規(guī)格說(shuō)明書（條款8）設(shè)計(jì)者軟件需求測(cè)試規(guī)格說(shuō)明書（條款8）確認(rèn)員軟件體系結(jié)構(gòu)（條款9）設(shè)計(jì)者軟件設(shè)計(jì)和開(kāi)發(fā)（條款10）設(shè)計(jì)者軟件驗(yàn)證和測(cè)試（條款11）驗(yàn)證員軟件/硬件集成（條款12）設(shè)計(jì)者軟件確認(rèn)（條款13）確認(rèn)員軟件評(píng)估（條款14）評(píng)估員6.2.10根據(jù)安全主管機(jī)構(gòu)的意見(jiàn)，評(píng)估員可以是供應(yīng)商組織或客戶組織的一員，在這種情況下，評(píng)估員應(yīng)：由安全主管機(jī)構(gòu)授權(quán)；完全獨(dú)立于項(xiàng)目梯隊(duì)；直接向安全主管機(jī)構(gòu)報(bào)告

7生命周期和文檔7.1目標(biāo)7.1.1將軟件開(kāi)發(fā)構(gòu)造成規(guī)定的階段和活動(dòng)。7.1.2記錄貫穿整個(gè)軟件生命周期的軟件所有相關(guān)信息。7.2要求7.2.1選擇軟件開(kāi)發(fā)的生命周期模型，根據(jù)本歐洲標(biāo)準(zhǔn)條款15，它將在軟件質(zhì)量保證計(jì)劃中加以詳細(xì)說(shuō)明。圖3和圖4給出了生命周期模型的例子。7.2.2質(zhì)量保證程序應(yīng)與生命周期活動(dòng)一起運(yùn)行，并且使用相同的術(shù)語(yǔ)。7.2.3某階段所有要進(jìn)行的活動(dòng)應(yīng)在該階段開(kāi)始之前就被定義好。軟件生命周期的每階段都應(yīng)劃分成帶有良好定義的輸入、輸出及其活動(dòng)的基本任務(wù)。7.2.4軟件質(zhì)量保證計(jì)劃應(yīng)當(dāng)描述需要哪些驗(yàn)證步驟和報(bào)告。7.2.5所有文檔應(yīng)結(jié)構(gòu)化，以便能隨著設(shè)計(jì)過(guò)程不斷擴(kuò)展。7.2.6各個(gè)文檔應(yīng)有唯一的參考號(hào)，與其他文檔應(yīng)有確定的、記錄在案的文檔關(guān)系，以便進(jìn)行文檔追溯。每個(gè)文檔對(duì)術(shù)語(yǔ)、縮寫詞和簡(jiǎn)寫詞應(yīng)有相同的解釋。如果由于歷史的原因，這一點(diǎn)達(dá)不到，就應(yīng)給出不同的釋義和參考資料。此外，除商用軟件或早期開(kāi)發(fā)的軟件外的文檔外，各文檔應(yīng)按下列規(guī)則書寫：應(yīng)包括或執(zhí)行所有前期文檔的適用條件和需求，使文檔具有層次關(guān)系；不應(yīng)與前期文檔有抵觸；在各個(gè)文檔中，每個(gè)術(shù)語(yǔ)，首字母縮略詞或縮寫應(yīng)具有相同的意義；在各個(gè)文檔中，每一條目或概念應(yīng)用相同的名稱或描述來(lái)參考。7.2.7所有文檔內(nèi)容應(yīng)以適合于操作、處理和存儲(chǔ)的形式來(lái)記錄。7.2.8根據(jù)軟件安全完整性等級(jí)的要求，應(yīng)形成文檔交叉參考表。7.2.9根據(jù)開(kāi)發(fā)軟件的規(guī)模，復(fù)雜性和生命周期，需要產(chǎn)生的各類文件數(shù)目有所不同。對(duì)于規(guī)模較小的項(xiàng)目，一些文件可以組合在一起（在這過(guò)程中不應(yīng)丟失需要的細(xì)節(jié)），而對(duì)于大規(guī)模項(xiàng)目，必須將所列文檔（以層次方式）分成一些更便于管理的子文檔。由獨(dú)立團(tuán)隊(duì)或?qū)嶓w形成的文檔不能組合成單一文檔。7.2.10條款7確定的各種文參考文獻(xiàn)文檔之間的關(guān)系可以用文檔交叉參考表來(lái)定義。對(duì)于表中文檔列的各文檔，通過(guò)從包含符號(hào)“”的單元格開(kāi)始水平和垂直地閱讀可以發(fā)現(xiàn)與創(chuàng)建文檔有關(guān)的階段和條款。通過(guò)從標(biāo)記為符號(hào)“◆”的單元格開(kāi)始垂直地閱讀可以發(fā)現(xiàn)應(yīng)用文檔階段。條款或文檔定義參考的其他參考文獻(xiàn)可以在“定義的地方”列中找到。如給出條款，后繼條款應(yīng)被檢查，因?yàn)樗鼈兛赡馨M(jìn)一步信息。還要注意的是：因軟件配置管理計(jì)劃需要的參考文獻(xiàn)列在括號(hào)內(nèi)，因?yàn)樵摋l款只不過(guò)參考ENISO9001。

文檔對(duì)照表?xiàng)l款標(biāo)題8910111213141516SRSSASDDSVerS/HISValAssQMa階段（*）=和其他階段平行定義出處文檔定義出處文檔系統(tǒng)輸入系統(tǒng)需求規(guī)格說(shuō)明書EN50129附件B.2.3系統(tǒng)安全需求規(guī)格說(shuō)明書EN50129附件B.2.4系統(tǒng)結(jié)構(gòu)描述EN50129附件B.2.1系統(tǒng)安全性計(jì)劃EN50129、EN50126軟件計(jì)劃(*)軟件質(zhì)量保證計(jì)劃15.4.3軟件配置管理計(jì)劃(15.4.2)軟件驗(yàn)證計(jì)劃11.4.1軟件集成測(cè)試計(jì)劃11.4.5軟件/硬件集成測(cè)試計(jì)劃12.4.1軟件確認(rèn)計(jì)劃13.4.3軟件維護(hù)計(jì)劃16.4.3數(shù)據(jù)準(zhǔn)備計(jì)劃數(shù)據(jù)測(cè)試計(jì)劃軟件需求軟件需求規(guī)格說(shuō)明書8.4.1應(yīng)用需求規(guī)格說(shuō)明書軟件測(cè)試規(guī)格說(shuō)明書8.4.13軟件需求驗(yàn)證報(bào)告11.4.11軟件設(shè)計(jì)軟件結(jié)構(gòu)規(guī)格說(shuō)明書9.4.1軟件設(shè)計(jì)規(guī)格說(shuō)明書10.4.3軟件結(jié)構(gòu)和設(shè)計(jì)驗(yàn)證報(bào)告11.4.12軟件模塊設(shè)計(jì)軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書10.4.3軟件模塊測(cè)試規(guī)格說(shuō)明書10.4..14軟件模塊驗(yàn)證報(bào)告11.4..13編碼軟件源代碼軟件源代碼驗(yàn)證報(bào)告11.4.14模塊測(cè)試軟件模塊測(cè)試報(bào)告10.4.14軟件集成軟件集成測(cè)試報(bào)告11.4.15數(shù)據(jù)測(cè)試報(bào)告軟件/硬件集成軟件/硬件集成測(cè)試報(bào)告12.4.8確認(rèn)(*)軟件確認(rèn)報(bào)告13.4.10評(píng)估(*)軟件評(píng)估報(bào)告14.4.9維護(hù)軟件修改記錄16.4.9軟件維護(hù)記錄16.4.8

8軟件需求規(guī)格說(shuō)明8.1目標(biāo)8.1.1描述一個(gè)文檔，為滿足所有系統(tǒng)需求，該文檔根據(jù)軟件安全完整性等級(jí)規(guī)定了完整的軟件需求。它是對(duì)每個(gè)軟件工程師均適用的綜合性文檔，因此他們不必再?gòu)钠渌臋n中了解需求。8.1.2用于描述軟件需求測(cè)試說(shuō)明書。8.2輸入文檔系統(tǒng)需求規(guī)格說(shuō)明書。系統(tǒng)安全性需求規(guī)格說(shuō)明書。系統(tǒng)體系結(jié)構(gòu)描述。軟件質(zhì)量保證計(jì)劃。8.3輸出文檔軟件需求規(guī)格說(shuō)明書。軟件需求測(cè)試規(guī)格說(shuō)明書。8.4要求8.4.1軟件需求規(guī)格說(shuō)明書應(yīng)描述待開(kāi)發(fā)軟件的需求特性，而不是開(kāi)發(fā)軟件的程序。這些特性應(yīng)包括（除安全性外均在ISO/IEC9126中定義）：功能性（包括能力和響應(yīng)時(shí)間性能）；可靠性和可維護(hù)性；安全性（包括安全功能及其相關(guān)的軟件安全完整性等級(jí)）；效率；可用性；可移植性。軟件安全完整性等級(jí)源至于條款5，并記錄在軟件需求規(guī)格說(shuō)明書中。8.4.2根據(jù)軟件安全完整性等級(jí)的要求，軟件需求規(guī)格說(shuō)明書應(yīng)以如下方式來(lái)描述和夠造：完整、清楚準(zhǔn)確、無(wú)二義性、可驗(yàn)證、可測(cè)試，可維護(hù)和可行的；可以追溯到8.2涉及的所有文檔。8.4.3軟件需求規(guī)格說(shuō)明書應(yīng)使用讓系統(tǒng)整個(gè)生命周期所涉及、負(fù)有責(zé)任的人員都能理解的表達(dá)和描述方法。

8.4.4無(wú)論那里存在或規(guī)劃一個(gè)直接互聯(lián)，軟件需求規(guī)格說(shuō)明書都應(yīng)明確并用文件證實(shí)受控設(shè)備內(nèi)部或外部的與任何其他系統(tǒng)的所有接口，包括和操作員的接口。8.4.5軟件需求規(guī)格說(shuō)明書應(yīng)詳細(xì)描述所有相關(guān)的操作方式。8.4.6軟件需求規(guī)格說(shuō)明書中應(yīng)詳述可編程電子器所有相關(guān)的行為方式，尤其是失效行為。8.4.7軟件需求規(guī)格說(shuō)明書中應(yīng)明確并用文件證實(shí)軟硬件之間的任何約束。8.4.8軟件需求規(guī)格說(shuō)明書應(yīng)指出軟件自檢的程度以及軟件檢測(cè)硬件的規(guī)定程度。軟件自檢包括軟件自身失效和錯(cuò)誤的檢測(cè)和報(bào)告。8.4.9軟件需求規(guī)格說(shuō)明書應(yīng)根據(jù)系統(tǒng)安全性需求規(guī)格說(shuō)明書的要求包括周期性功能檢測(cè)需求。8.4.10軟件需求規(guī)格說(shuō)明書應(yīng)根據(jù)系統(tǒng)安全性需求規(guī)格說(shuō)明書的要求包括使所有安全功能在整個(gè)系統(tǒng)運(yùn)行期內(nèi)可測(cè)試的需求8.4.11當(dāng)要求軟件來(lái)完成一些功能，特別是完成那些與實(shí)現(xiàn)選定系統(tǒng)安全完整性等級(jí)有關(guān)的功能時(shí)，軟件需求規(guī)格說(shuō)明書應(yīng)對(duì)其加以清楚的說(shuō)明。8.4.12當(dāng)要求軟件完成非安全功能時(shí)，軟件需求規(guī)格說(shuō)明書應(yīng)對(duì)其加以清楚的說(shuō)明。8.4.13軟件需求測(cè)試規(guī)格說(shuō)明書應(yīng)從軟件需求規(guī)格說(shuō)明書開(kāi)發(fā)而來(lái)，軟件需求測(cè)試規(guī)格說(shuō)明書用來(lái)驗(yàn)證軟件需求規(guī)格說(shuō)明書中所述的功能要求，同時(shí)也作為對(duì)已完成軟件進(jìn)行測(cè)試的描述。8.4.14軟件需求測(cè)試規(guī)格說(shuō)明書應(yīng)為每個(gè)所需功能確定測(cè)試用例，包括：所需的輸入信號(hào)及其序列和值；預(yù)期的輸出信號(hào)及其序列和值；接受準(zhǔn)則，包括性能和各個(gè)質(zhì)量方面。8.4.15在安全系統(tǒng)的確認(rèn)過(guò)程中，對(duì)需求的可追溯性應(yīng)作為一個(gè)重要內(nèi)容加以考慮。應(yīng)提供方法允許在生命周期所有階段均能證實(shí)這一點(diǎn)。8.4.16對(duì)于任何不可追溯材料，應(yīng)表明其對(duì)系統(tǒng)的安全性或完整性是沒(méi)有影響的。9軟件體系結(jié)構(gòu)9.1目標(biāo)9.1.1開(kāi)發(fā)一個(gè)軟件體系結(jié)構(gòu)，該結(jié)構(gòu)按照選定軟件安全完整性等級(jí)的要求實(shí)現(xiàn)軟件需求規(guī)格說(shuō)明書的需求。9.1.2評(píng)審系統(tǒng)結(jié)構(gòu)對(duì)軟件的需求。9.1.3確定和評(píng)估硬件/軟件交互作用對(duì)安全性的重要性。9.1.4如果早先沒(méi)有定義設(shè)計(jì)方法，那么選擇一種設(shè)計(jì)方法。9.2輸入文檔

1)軟件需求規(guī)格說(shuō)明書。系統(tǒng)安全性需求規(guī)格說(shuō)明書。系統(tǒng)體系結(jié)構(gòu)描述。軟件質(zhì)量保證計(jì)劃。9.3輸出文檔軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書。9.4要求9.4.1應(yīng)由軟件提供者和/或開(kāi)發(fā)者來(lái)建立建議性的軟件體系結(jié)構(gòu)，并在軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書中作詳述。9.4.2軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書應(yīng)考慮依據(jù)選定軟件安全完整性等級(jí)的要求實(shí)現(xiàn)軟件需求規(guī)格說(shuō)明書的可行性。9.4.3軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書應(yīng)明確、評(píng)估和詳述所有硬件/軟件交互的重要性。就象EN50126和EN50129所要求的，應(yīng)在系統(tǒng)安全性需求規(guī)格說(shuō)明書中記錄硬件和軟件交互作用的基礎(chǔ)研究。9.4.4軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書應(yīng)明確所有軟件組件，并為它們明確：這些組件是否是新的，現(xiàn)存的或私有的；這些組件以前是否已被確認(rèn)。如果是，它們的確認(rèn)條件是什么；各組件的軟件安全完整性等級(jí)。9.4.5使用商用軟件應(yīng)滿足以下限制條件：對(duì)于軟件安全完整性等級(jí)0，不需進(jìn)一步防范措施即可使用商用軟件；如果商用軟件使用于軟件完整性等級(jí)1或2，則它應(yīng)被包含在軟件確認(rèn)過(guò)程中；如果商用軟件使用于軟件完整性等級(jí)3或4，則應(yīng)采取以下防范措施：商用軟件應(yīng)進(jìn)行確認(rèn)測(cè)試;應(yīng)進(jìn)行可能失效的分析；應(yīng)確定一個(gè)策略來(lái)檢測(cè)商用軟件的失效并防護(hù)系統(tǒng)免受這些失效影響；防保護(hù)策略應(yīng)是確認(rèn)測(cè)試的主題；應(yīng)有錯(cuò)誤日志并對(duì)其進(jìn)行評(píng)估；就實(shí)用性而言，應(yīng)僅使用上商用軟件的最簡(jiǎn)單功能。9.4.6如果要將以前開(kāi)發(fā)的軟件作為設(shè)計(jì)的一部分使用，那么應(yīng)有清楚的標(biāo)識(shí)。并用文件證實(shí)。軟件結(jié)構(gòu)規(guī)格說(shuō)明書應(yīng)論證軟件在滿足軟件需求規(guī)格說(shuō)明書和軟件安全完整性等級(jí)方面的適宜性。必須仔細(xì)考慮任何軟件的修改對(duì)系統(tǒng)剩余部分的影響，以決定是否需要再審查和再評(píng)估。應(yīng)有證據(jù)表明沒(méi)有進(jìn)行再檢驗(yàn)，再確認(rèn)和再評(píng)估的和其他模塊的接口規(guī)格說(shuō)明書得到遵循。

9.4.7在設(shè)計(jì)過(guò)程中盡可能使用已有的、驗(yàn)證過(guò)的，按本標(biāo)準(zhǔn)開(kāi)發(fā)的軟件模塊；9.4.8軟件體系結(jié)構(gòu)應(yīng)減少應(yīng)用的安全性部分；9.4.9如果軟件由不同軟件安全完整性等級(jí)的組件構(gòu)成，那么該軟件的所有組件都應(yīng)按最高軟件安全完整性等級(jí)的要求處理，除非有表明較高軟件安全完整性等級(jí)組件和較低軟件安全完整性等級(jí)組件相互獨(dú)立的證據(jù)。這個(gè)證據(jù)應(yīng)記錄在軟件結(jié)構(gòu)規(guī)格說(shuō)明書中。9.4.10軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書應(yīng)明確按軟件安全完整性等級(jí)要求進(jìn)行軟件開(kāi)發(fā)的策略。軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書應(yīng)按下列方式來(lái)表達(dá)和構(gòu)造：完整、清楚、精確、無(wú)二義，可驗(yàn)證、可測(cè)試、可維護(hù)以及可行；可追溯到軟件需求規(guī)格說(shuō)明書。9.4.11軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書應(yīng)證實(shí)在避錯(cuò)和容錯(cuò)軟件設(shè)計(jì)策略的選擇中所采取的平衡措施是正確的。9.4.12軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書應(yīng)證實(shí)所選的技術(shù)和措施形成了一個(gè)集合，該集合滿足了基于選定軟件安全完整性等級(jí)要求的軟件需求規(guī)格說(shuō)明書。10軟件設(shè)計(jì)和實(shí)現(xiàn)10.1目標(biāo)10.1.1設(shè)計(jì)和實(shí)現(xiàn)軟件需求規(guī)格說(shuō)明書和軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書所確定的軟件安全完整性的軟件。10.1.2獲得可分析、可測(cè)試、可驗(yàn)證和可維護(hù)的軟件。此階段還包括模塊測(cè)試。由于驗(yàn)證和測(cè)試在確認(rèn)過(guò)程中起關(guān)鍵作用，所以在設(shè)計(jì)和開(kāi)發(fā)的整個(gè)過(guò)程中應(yīng)特殊考慮驗(yàn)證和測(cè)試要求，以確保從一開(kāi)始就使結(jié)果系統(tǒng)及其軟件易于測(cè)試。10.1.3為選定的軟件安全完整性等級(jí)選擇一套覆蓋整個(gè)軟件生命周期的包括語(yǔ)言和編譯器的合適工具，它有助于驗(yàn)證、確認(rèn)、評(píng)估和維護(hù)。10.1.4實(shí)施軟件集成。10.2輸入文檔軟件需求規(guī)格說(shuō)明書。軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書。軟件質(zhì)量保證計(jì)劃。10.3輸出文檔軟件設(shè)計(jì)規(guī)格說(shuō)明書。軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書。軟件模塊測(cè)試規(guī)格說(shuō)明書。

軟件源代碼和支持文檔。軟件模塊測(cè)試報(bào)告。10.4要求10.4.1在設(shè)計(jì)過(guò)程開(kāi)始之前，應(yīng)能得到軟件需求規(guī)格說(shuō)明和軟件體系結(jié)構(gòu)規(guī)格說(shuō)明，但不必已最終定稿。10.4.2應(yīng)使待開(kāi)發(fā)軟件的規(guī)模和復(fù)雜性最小。10.4.3軟件設(shè)計(jì)規(guī)格說(shuō)明書應(yīng)描述基于模塊分解的軟件設(shè)計(jì)，每一模塊都有軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書和軟件模塊測(cè)試規(guī)格說(shuō)明書。10.4.4軟件設(shè)計(jì)規(guī)格說(shuō)明書應(yīng)說(shuō)明：追溯到軟件體系結(jié)構(gòu)的軟件組件和它們的安全完整性等級(jí)；軟件組件和環(huán)境的接口；軟件組件間的接口；數(shù)據(jù)結(jié)構(gòu)；劃分組件需求；主要算法和順序；圖表。10.4.5軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書應(yīng)說(shuō)明（每個(gè)模塊一個(gè)軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書）確定追溯到上一層次的所有最底層的組件（現(xiàn)有標(biāo)準(zhǔn)稱之為模塊）；它們和環(huán)境以及其它帶有詳細(xì)輸入和輸出要求的模塊的細(xì)化接口；它們的安全完整性等級(jí)；細(xì)化的算法和數(shù)據(jù)結(jié)構(gòu)。每個(gè)軟件模塊規(guī)格說(shuō)明書應(yīng)是自相容的，允許進(jìn)行相應(yīng)模塊的編碼。10.4.6每一軟件模塊都應(yīng)是可讀的、可理解的和可測(cè)試的。10.4.7為選定的軟件安全完整性等級(jí)選擇一套包括設(shè)計(jì)方法、語(yǔ)言和編譯器的覆蓋整個(gè)軟件生存周期的合適工具。10.4.8只要適用，就應(yīng)使用自動(dòng)測(cè)試工具和集成開(kāi)發(fā)工具。這里應(yīng)考慮驗(yàn)證和確認(rèn)的需求。10.4.9根據(jù)選定的軟件安全完整性等級(jí)的要求，所選程序設(shè)計(jì)語(yǔ)言應(yīng)具有翻譯器/編譯器，該翻譯器/編譯器應(yīng)具備下述條件之一：某公認(rèn)國(guó)家/國(guó)際標(biāo)準(zhǔn)的確認(rèn)證書；一個(gè)詳述其適合用途的評(píng)估報(bào)告；一個(gè)進(jìn)行翻譯錯(cuò)誤檢測(cè)的基于冗余簽名控制的過(guò)程。

10.4.10所選語(yǔ)言應(yīng)滿足如下要求：所選語(yǔ)言應(yīng)具有便于識(shí)別編程出錯(cuò)的特性；所選語(yǔ)言應(yīng)支持與設(shè)計(jì)方法相適應(yīng)的特性。10.4.11如果不能滿足上述條款，那么在軟件體系結(jié)構(gòu)規(guī)格說(shuō)明或軟件質(zhì)量保證計(jì)劃中應(yīng)記錄對(duì)更替語(yǔ)言的論證并詳述其適合用途。10.4.12開(kāi)發(fā)編碼標(biāo)準(zhǔn)，并將其應(yīng)用于所有軟件的開(kāi)發(fā)。編碼標(biāo)準(zhǔn)應(yīng)在軟件質(zhì)量保證計(jì)劃中予以參考。10.4.13編碼標(biāo)準(zhǔn)應(yīng)明確好的編程習(xí)慣，禁止非安全語(yǔ)言特性并描述編寫源代碼文檔的程序。每個(gè)程序模塊至少應(yīng)在源代碼中包括如下指定的信息（非窮舉的）：作者； 配置歷史；簡(jiǎn)要描述。推薦用這些信息的標(biāo)準(zhǔn)形式。該標(biāo)準(zhǔn)形式應(yīng)對(duì)所有模塊相同的。10.4.14軟件模塊測(cè)試：每個(gè)模塊應(yīng)有作為模塊測(cè)試依據(jù)的軟件模塊測(cè)試規(guī)格說(shuō)明書。這些測(cè)試應(yīng)表明每個(gè)模塊實(shí)現(xiàn)了預(yù)定的功能，軟件模塊測(cè)試規(guī)格說(shuō)明書應(yīng)定義需要的測(cè)試覆蓋率。應(yīng)形成軟件模塊測(cè)試報(bào)告，其中應(yīng)包括以下特性：描述測(cè)試結(jié)果以及每個(gè)模塊是否滿足它的軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書的需求；描述每個(gè)模塊的測(cè)試覆蓋率，以表明所有源代碼指令至少執(zhí)行一次；應(yīng)以可審計(jì)的形式；測(cè)試用例和它們的結(jié)果應(yīng)以機(jī)器可讀的形式記錄下來(lái)，以利后繼分析。測(cè)試應(yīng)是可重復(fù)的，而且如果可行的話，應(yīng)自動(dòng)進(jìn)行。檢查模塊已正確地滿足了其測(cè)試規(guī)格說(shuō)明書是一個(gè)驗(yàn)證活動(dòng)，參見(jiàn)下一條款。10.4.15為符合所需軟件安全完整性等級(jí)的要求，選定的設(shè)計(jì)方法應(yīng)具有能方便以下活動(dòng)的特性：摘要、模塊化和其他控制復(fù)雜度的特性；清楚且精確地表達(dá)：功能；組件間的信息流；順序和時(shí)延信息；并發(fā)；數(shù)據(jù)結(jié)構(gòu)和特性；

人的理解；驗(yàn)證和確認(rèn)。10.4.16選定的設(shè)計(jì)方法應(yīng)具有方便軟件維護(hù)的特性。這類特性應(yīng)包括模塊化、信息隱藏和封裝。10.4.17軟件模塊集成應(yīng)是逐漸將個(gè)體的且以前測(cè)試過(guò)的軟件模塊組合成一個(gè)合成整體(或一些合成子系統(tǒng))的過(guò)程。其目的是在系統(tǒng)集成和測(cè)試之前能充分地證明模塊接口和裝配的軟件。10.4.18在本標(biāo)準(zhǔn)的上下文中，為與規(guī)定的軟件安全完整性等級(jí)相適應(yīng)，應(yīng)特別強(qiáng)調(diào)可追溯性：需求到設(shè)計(jì)或其他實(shí)現(xiàn)需求的對(duì)象的可追溯性；設(shè)計(jì)對(duì)象到實(shí)現(xiàn)對(duì)象的可追溯性?？勺匪菪赃^(guò)程的輸出應(yīng)是形式化配置管理的主題。11軟件驗(yàn)證和測(cè)試11.1目標(biāo)按照選定的軟件安全完整性等級(jí)的要求，測(cè)試并評(píng)價(jià)某一給定階段的產(chǎn)品，以確保產(chǎn)品和作為該階段輸入的標(biāo)準(zhǔn)的正確性和一致性。11.2輸入文檔 系統(tǒng)需求規(guī)格說(shuō)明書。系統(tǒng)安全性需求規(guī)格說(shuō)明書。軟件需求規(guī)格說(shuō)明書。軟件需求測(cè)試規(guī)格說(shuō)明書。軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書。軟件設(shè)計(jì)規(guī)格說(shuō)明書。軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書。軟件模塊測(cè)試規(guī)格說(shuō)明書。軟件源代碼和支持文檔。軟件質(zhì)量保證計(jì)劃。軟件模塊測(cè)試報(bào)告。11.3輸出文檔軟件驗(yàn)證計(jì)劃。軟件需求驗(yàn)證報(bào)告。

軟件體系結(jié)構(gòu)和設(shè)計(jì)驗(yàn)證報(bào)告。軟件模塊驗(yàn)證報(bào)告。軟件源代碼驗(yàn)證報(bào)告。軟件集成計(jì)劃。軟件集成測(cè)試報(bào)告。11.4要求11.4.1為了對(duì)驗(yàn)證活動(dòng)作正確的指導(dǎo)并提供適當(dāng)?shù)奶厥庠O(shè)計(jì)和其它驗(yàn)證需要，應(yīng)建立軟件驗(yàn)證計(jì)劃。在開(kāi)發(fā)階段(根據(jù)系統(tǒng)的規(guī)模)，計(jì)劃可被分成一系列子文件，而且隨著細(xì)化的驗(yàn)證需求變得更清晰，可作自然增加。11.4.2軟件驗(yàn)證計(jì)劃應(yīng)用文件說(shuō)明所有將在階段驗(yàn)證過(guò)程中用的準(zhǔn)則、技術(shù)和工具。11.4.3軟件驗(yàn)證計(jì)劃應(yīng)描述為確保作為階段輸入的產(chǎn)品和標(biāo)準(zhǔn)的正確性和一致性所要進(jìn)行的活動(dòng)。11.4.4軟件驗(yàn)證計(jì)劃應(yīng)致力于：選擇驗(yàn)證策略和技術(shù)。為避免對(duì)驗(yàn)證和測(cè)試活動(dòng)的評(píng)估過(guò)分復(fù)雜化，應(yīng)優(yōu)先考慮選擇自身可分析的測(cè)試用例和方法等；軟件測(cè)試設(shè)備的選擇和使用；驗(yàn)證活動(dòng)的選擇和文檔；對(duì)獲得的驗(yàn)證結(jié)果的評(píng)估；可靠性需求的評(píng)估；測(cè)試過(guò)程所涉及人員的職責(zé)和角色；要求達(dá)到的測(cè)試覆蓋率。11.4.5軟件集成測(cè)試計(jì)劃應(yīng)用文件說(shuō)明：測(cè)試用例和測(cè)試數(shù)據(jù)；實(shí)施的測(cè)試類型；測(cè)試環(huán)境、工具、配置和程序；測(cè)試完整性判定的測(cè)試準(zhǔn)則。11.4.6每一開(kāi)發(fā)階段都應(yīng)表明功能、可靠性、性能和安全性需求得以滿足。11.4.7驗(yàn)證應(yīng)根據(jù)選定軟件安全完整性等級(jí)的要求由獨(dú)立方來(lái)執(zhí)行。11.4.8驗(yàn)證之前由設(shè)計(jì)者進(jìn)行的、未在文件中予以說(shuō)明的驗(yàn)證活動(dòng)不應(yīng)作為驗(yàn)證的一部分。11.4.9每次驗(yàn)證結(jié)果應(yīng)以軟件驗(yàn)證計(jì)劃中規(guī)定的或建議的形式來(lái)保存，以便審計(jì)。

11.4.10在每次驗(yàn)證活動(dòng)之后應(yīng)產(chǎn)生一份說(shuō)明軟件已通過(guò)驗(yàn)證或失敗原因的驗(yàn)證報(bào)告。驗(yàn)證報(bào)告應(yīng)指出：不符合軟件需求規(guī)格說(shuō)明書、軟件設(shè)計(jì)規(guī)格說(shuō)明書或軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書的部分；不符合軟件質(zhì)量保證計(jì)劃的部分；不適合問(wèn)題解決的模塊、數(shù)據(jù)、結(jié)構(gòu)和算法；檢測(cè)到的錯(cuò)誤或缺陷；已驗(yàn)證部分的特性和配置。11.4.11軟件需求驗(yàn)證：一旦形成了軟件需求規(guī)格說(shuō)明書，驗(yàn)證應(yīng)包括：軟件需求規(guī)格說(shuō)明書在滿足系統(tǒng)需求規(guī)格說(shuō)明書、系統(tǒng)安全性需求規(guī)格說(shuō)明書和軟件質(zhì)量保障計(jì)劃中所規(guī)定需求方面的充分性；軟件需求測(cè)試規(guī)格說(shuō)明書作為對(duì)軟件需求規(guī)格說(shuō)明書的測(cè)試的充分性；軟件需求規(guī)格說(shuō)明書內(nèi)在一致性；結(jié)果記錄在軟件需求驗(yàn)證報(bào)告中。11.4.12軟件體系結(jié)構(gòu)和設(shè)計(jì)驗(yàn)證：在形成軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書和軟件設(shè)計(jì)規(guī)格說(shuō)明書之后，驗(yàn)證應(yīng)包括：軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書和軟件設(shè)計(jì)規(guī)格說(shuō)明書滿足軟件需求規(guī)格說(shuō)明書的充分性；軟件設(shè)計(jì)規(guī)格說(shuō)明書與軟件需求規(guī)格說(shuō)明書的一致性和完整性的充分性；作為測(cè)試用例集，軟件集成測(cè)試計(jì)劃對(duì)軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書和軟件設(shè)計(jì)規(guī)格說(shuō)明書的充分性；軟件體系結(jié)構(gòu)和設(shè)計(jì)規(guī)格說(shuō)明書的內(nèi)在一致性；結(jié)果應(yīng)記錄在軟件體系結(jié)構(gòu)和設(shè)計(jì)驗(yàn)證報(bào)告中。11.4.13軟件模塊驗(yàn)證：在形成各軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書后，驗(yàn)證應(yīng)包括：軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書滿足軟件設(shè)計(jì)規(guī)格說(shuō)明書的充分性；作為測(cè)試用例集，軟件模塊測(cè)試規(guī)格說(shuō)明書對(duì)軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書的充分性；將軟件設(shè)計(jì)規(guī)格說(shuō)明分解到軟件模塊和軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書，其中涉及：—要求性能的可行性；—進(jìn)一步驗(yàn)證的可測(cè)試性；—對(duì)于開(kāi)發(fā)和驗(yàn)證團(tuán)隊(duì)的可讀性；—允許進(jìn)一步改進(jìn)的可維護(hù)性。軟件模塊測(cè)試報(bào)告作為已完成測(cè)試的記錄在滿足軟件模塊測(cè)試規(guī)格說(shuō)明書的充分性。結(jié)果記錄在軟件模塊驗(yàn)證報(bào)告中。

11.4.14軟件源代碼驗(yàn)證：按照選定軟件安全完整性等級(jí)的要求應(yīng)驗(yàn)證軟件源代碼以確保滿足軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書和軟件質(zhì)量保證計(jì)劃。應(yīng)進(jìn)行判定編碼標(biāo)準(zhǔn)是否正確應(yīng)用的檢查。結(jié)果記錄在軟件源代碼驗(yàn)證報(bào)告中。11.4.15應(yīng)按照下列各項(xiàng)形成軟件集成測(cè)試報(bào)告：軟件集成測(cè)試報(bào)告應(yīng)表明測(cè)試結(jié)果以及軟件集成測(cè)試計(jì)劃的目標(biāo)和準(zhǔn)則是否被滿足，如果有失效，則應(yīng)記錄失效的原因；軟件集成測(cè)試報(bào)告的形式應(yīng)易于審計(jì)；應(yīng)記錄測(cè)試用例及其結(jié)果，為便于后繼分析其形式最好是機(jī)器可讀的；測(cè)試應(yīng)是可重復(fù)的，而且如果可行應(yīng)自動(dòng)進(jìn)行；已驗(yàn)證部分的特性和配置。11.4.16對(duì)于軟件/硬件集成，參見(jiàn)下一條款。12軟件/硬件集成12.1目標(biāo)12.1.1證明軟件和硬件間相互作用，正確地完成它們預(yù)定功能

12.1.2組合軟件與硬件并確保它們的相容性，以滿足系統(tǒng)安全性需求規(guī)格說(shuō)明書和預(yù)期軟件安全完整性等級(jí)的需求。12.2輸入文檔系統(tǒng)需求規(guī)格說(shuō)明書。系統(tǒng)安全性需求規(guī)格說(shuō)明書。系統(tǒng)體系結(jié)構(gòu)描述。軟件需求規(guī)格說(shuō)明書。軟件需求測(cè)試規(guī)格說(shuō)明書。軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書。軟件設(shè)計(jì)規(guī)格說(shuō)明書。軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書。軟件模塊測(cè)試規(guī)格說(shuō)明書。軟件源代碼和支持文檔。硬件文檔。12.3輸出文檔

軟件/硬件集成測(cè)試計(jì)劃。軟件/硬件集成測(cè)試報(bào)告。12.4要求12.4.1對(duì)于大于零的軟件安全完整性等級(jí)，應(yīng)在開(kāi)發(fā)生命周期早期形成軟件/硬件集成測(cè)試計(jì)劃，以使集成活動(dòng)能受到適當(dāng)?shù)闹笇?dǎo)，并適當(dāng)提供特殊的設(shè)計(jì)或其他集成需求。在開(kāi)發(fā)階段（依賴于系統(tǒng)規(guī)模），計(jì)劃可以劃分成許多子文檔，而且隨著硬件和軟件設(shè)計(jì)的不斷改進(jìn)以及細(xì)化的集成需求越發(fā)清晰，計(jì)劃內(nèi)容也自然增加。12.4.2軟件/硬件集成計(jì)劃應(yīng)對(duì)如下內(nèi)容作文字說(shuō)明:測(cè)試用例和測(cè)試數(shù)據(jù)；實(shí)施的測(cè)試類型；測(cè)試環(huán)境，包括工具、支持軟件和配置描述；測(cè)試準(zhǔn)則，依此來(lái)判定測(cè)試的完整性。12.4.3軟件/硬件集成計(jì)劃應(yīng)區(qū)分可在開(kāi)發(fā)者自己場(chǎng)地進(jìn)行的活動(dòng)和需要在用戶場(chǎng)地進(jìn)行的活動(dòng)。12.4.4軟件/硬件集成計(jì)劃應(yīng)區(qū)分以下活動(dòng):將軟件融入目標(biāo)硬件；系統(tǒng)集成。12.4.5應(yīng)能在計(jì)劃可行的第一時(shí)間取得軟件/硬件集成計(jì)劃確定的工具和設(shè)施。12.4.6在軟件/硬件集成過(guò)程中，對(duì)已集成系統(tǒng)的任何修改或變更均應(yīng)研究影響范圍，該研究應(yīng)確定所有受影響的模塊和必要的重驗(yàn)證活動(dòng)。12.4.7記錄測(cè)試用例及其結(jié)果，為了后續(xù)分析，最好用機(jī)器可讀形式記錄。12.4.8軟件/硬件集成測(cè)試報(bào)告應(yīng)按以下要求形成：軟件/硬件集成測(cè)試報(bào)告應(yīng)表明測(cè)試結(jié)果以及是否滿足軟件/硬件集成測(cè)試計(jì)劃的目標(biāo)和準(zhǔn)則。如果存在失效，則應(yīng)記錄失效原因；軟件/硬件集成測(cè)試報(bào)告應(yīng)以能審計(jì)的形式編寫；記錄測(cè)試用例及其結(jié)果，為了后續(xù)分析，最好用機(jī)器可讀形式記錄；軟件/硬件集成測(cè)試報(bào)告應(yīng)有驗(yàn)證者滿意于軟件/硬件集成測(cè)試報(bào)告為符合軟件/硬件集成測(cè)試計(jì)劃的要求而作為已完成測(cè)試記錄的充分性的證據(jù)；軟件/硬件集成測(cè)試報(bào)告應(yīng)用文件來(lái)表明所有涉及部分的特性和配置。

13軟件確認(rèn)13.1目標(biāo)13.1.1分析和測(cè)試已集成系統(tǒng)，以確保其符合軟件需求規(guī)格說(shuō)明書依據(jù)安全完整性等級(jí)對(duì)功能和安全性的特定要求。13.2輸入文檔系統(tǒng)需求規(guī)格說(shuō)明書。所有硬件和軟件文檔。系統(tǒng)安全性需求規(guī)格說(shuō)明書。13.3輸出文檔軟件確認(rèn)計(jì)劃。軟件確認(rèn)報(bào)告。13.4要求13.4.1分析和測(cè)試是主要的確認(rèn)活動(dòng)。13.4.2可用仿真和建模來(lái)補(bǔ)充確認(rèn)過(guò)程。13.4.3在適當(dāng)?shù)奈募行纬刹⒃斒鲕浖_認(rèn)計(jì)劃。13.4.4根據(jù)軟件安全完整性等級(jí)的要求，應(yīng)有獨(dú)立部門來(lái)開(kāi)發(fā)、執(zhí)行和結(jié)果評(píng)估軟件確認(rèn)計(jì)劃。13.4.5如果軟件安全完整性等級(jí)有要求，軟件確認(rèn)計(jì)劃的范圍和內(nèi)容可與評(píng)估人員協(xié)商一致。其中應(yīng)聲明測(cè)試過(guò)程中評(píng)估人員應(yīng)在場(chǎng)。13.4.6軟件確認(rèn)計(jì)劃應(yīng)概要說(shuō)明所選確認(rèn)策略的合理性。根據(jù)選定軟件安全完整性等級(jí)的要求，其中應(yīng)考慮以下方面：手工或自動(dòng)化技術(shù)；靜態(tài)或動(dòng)態(tài)技術(shù)；解析或統(tǒng)計(jì)技術(shù)。13.4.7軟件確認(rèn)計(jì)劃應(yīng)確定證明以下規(guī)格說(shuō)明書對(duì)于實(shí)現(xiàn)系統(tǒng)安全性需求規(guī)格說(shuō)明書設(shè)定的安全性需求的充分性的必要步驟：軟件需求規(guī)格說(shuō)明書；軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書；軟件設(shè)計(jì)規(guī)格說(shuō)明書；

軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書。確認(rèn)者應(yīng)檢查驗(yàn)證過(guò)程的完整性。13.4.8用于確認(rèn)的度量設(shè)備應(yīng)被適時(shí)地校準(zhǔn)，用于確認(rèn)的任何工具、硬件或軟件都應(yīng)表明適合于確認(rèn)。13.4.9應(yīng)通過(guò)模擬正常運(yùn)行時(shí)出現(xiàn)的輸入信號(hào)、預(yù)期事件和需要系統(tǒng)動(dòng)作的意外條件來(lái)執(zhí)行。13.4.10用便于審計(jì)的形式，將確認(rèn)結(jié)果記錄在軟件確認(rèn)報(bào)告中。13.4.11硬件/軟件集成完成后，應(yīng)按以下要求形成軟件確認(rèn)報(bào)告：應(yīng)陳述軟件確認(rèn)計(jì)劃的目標(biāo)和準(zhǔn)則是否得以滿足。如果存在失效，應(yīng)予以記錄；應(yīng)陳述測(cè)試結(jié)果以及在目標(biāo)機(jī)器上的整個(gè)軟件是否實(shí)現(xiàn)了軟件需求規(guī)格說(shuō)明書規(guī)定的需求；應(yīng)對(duì)軟件需求規(guī)格說(shuō)明書所列需求的測(cè)試覆蓋率作出評(píng)價(jià)；軟件確認(rèn)報(bào)告的形式應(yīng)能用于審計(jì)；為便于后續(xù)分析，應(yīng)以機(jī)器可讀的形式記錄測(cè)試用例及其結(jié)果；如果可行，測(cè)試應(yīng)是可重復(fù)的，而且應(yīng)是自動(dòng)進(jìn)行的。13.4.12軟件確認(rèn)報(bào)告應(yīng)用文件說(shuō)明以下各部分的特性和配置：使用的硬件和軟件;使用的設(shè)備；設(shè)備的校準(zhǔn)；使用的仿真模型；發(fā)現(xiàn)的差異；執(zhí)行的糾正操作。13.4.13應(yīng)在軟件確認(rèn)報(bào)告的某單獨(dú)一節(jié)中清楚地標(biāo)識(shí)已發(fā)現(xiàn)的任何差異，包括檢測(cè)出的錯(cuò)誤，并將其附注在交付使用的軟件的交付注解中。13.4.14應(yīng)基于軟件需求測(cè)試規(guī)格說(shuō)明書測(cè)試軟件，這些測(cè)試應(yīng)表明軟件需求規(guī)格說(shuō)明書中的所有需求都被正確地實(shí)施。結(jié)果記錄在軟件確認(rèn)報(bào)告中。14軟件評(píng)估14.1目標(biāo)評(píng)估生存周期過(guò)程和其結(jié)果使得軟件具有規(guī)定的軟件安全完整性等級(jí)并適用于預(yù)期應(yīng)用。14.2輸入文檔系統(tǒng)安全性需求規(guī)格說(shuō)明書。

所有的軟件和硬件文檔。14.3輸出文檔軟件評(píng)估報(bào)告。14.4要求14.4.1對(duì)軟件安全完整性等級(jí)0：評(píng)估員只需要證實(shí)此軟件安全完整性等級(jí)是合適的；供應(yīng)商和用戶可能在投標(biāo)時(shí)同意此軟件安全完整性等級(jí)。14.4.2不必對(duì)已有出自另一評(píng)估員的軟件評(píng)估報(bào)告的軟件作新的評(píng)估。但第二位評(píng)估員要檢查軟件具有要求的軟件安全完整性等級(jí)并且在預(yù)期的目標(biāo)機(jī)器上適合預(yù)期的應(yīng)用。14.4.3評(píng)估員應(yīng)有權(quán)利接觸設(shè)計(jì)和開(kāi)發(fā)過(guò)程以及所有與項(xiàng)目有關(guān)的文檔。14.4.4軟件評(píng)估應(yīng)由獨(dú)立于設(shè)計(jì)團(tuán)隊(duì)的評(píng)估員來(lái)完成。14.4.5評(píng)估員應(yīng)評(píng)估系統(tǒng)軟件符合預(yù)期的目的，并對(duì)系統(tǒng)安全性需求規(guī)格說(shuō)明書的安全性要求作出正確的響應(yīng)。14.4.6按照選定的軟件安全完整性等級(jí)的要求，評(píng)估員應(yīng)判定是否選擇了合適的方法并將其運(yùn)用于軟件生存周期的各個(gè)階段。14.4.7如果軟件安全完整性等級(jí)有要求，評(píng)估員應(yīng)同意軟件確認(rèn)計(jì)劃的范圍和內(nèi)容。但協(xié)議中應(yīng)聲明測(cè)試過(guò)程中評(píng)估員應(yīng)在場(chǎng)。14.4.8評(píng)估員可以要求進(jìn)行附加的驗(yàn)證和確認(rèn)工作。14.4.9評(píng)估員將為每個(gè)評(píng)審形成一份報(bào)告，該報(bào)告應(yīng)細(xì)述他的評(píng)估結(jié)果。14.4.10如果按評(píng)估員的觀點(diǎn)，軟件能適合預(yù)期的應(yīng)用，則最終的軟件評(píng)估報(bào)告應(yīng)聲明軟件達(dá)到了軟件安全完整性等級(jí)。14.4.11若軟件不適合預(yù)期或未達(dá)到要求的軟件安全完整性等級(jí)，那么評(píng)估員應(yīng)在軟件評(píng)估報(bào)告中僅報(bào)告不符合項(xiàng)，不應(yīng)給出技術(shù)解決方案。15軟件質(zhì)量保證15.1目標(biāo)15.1.1確定、監(jiān)控所有保證軟件達(dá)到要求的質(zhì)量所必須采取的技術(shù)和管理活動(dòng)。為了提供針對(duì)系統(tǒng)故障所需的定性防護(hù)并確保形成一個(gè)審計(jì)蹤跡以使驗(yàn)證和確認(rèn)活動(dòng)能有效地開(kāi)展，這一點(diǎn)是必須做的。15.1.2提供證據(jù)來(lái)證明以上活動(dòng)已被完成。15.2輸入文檔生存周期的每個(gè)階段使用的所有文檔。

15.3輸出文檔1)軟件質(zhì)量保證計(jì)劃。2)軟件配置管理計(jì)劃。所有上述計(jì)劃均在項(xiàng)目開(kāi)始時(shí)制定，并在生存周期過(guò)程中修改。15.4要求15.4.1供應(yīng)商和/或開(kāi)發(fā)商至少應(yīng)擁有和使用一個(gè)符合ENISO9000系列的質(zhì)量保障系統(tǒng)，以支持本歐洲標(biāo)準(zhǔn)的要求，強(qiáng)力推薦ENISO9001認(rèn)證。15.4.2按照ENISO9000—3的指導(dǎo)方針，供應(yīng)商和/或開(kāi)發(fā)商以及客戶對(duì)于軟件開(kāi)發(fā)至少應(yīng)執(zhí)行ENISO9001的相關(guān)部分。15.4.3供應(yīng)商和/或開(kāi)發(fā)商應(yīng)一個(gè)項(xiàng)目接一個(gè)項(xiàng)目地準(zhǔn)備并用文檔說(shuō)明軟件質(zhì)量保證計(jì)劃以完成本歐洲標(biāo)準(zhǔn)條款上兩條要求，并盡可能以可度量形式表達(dá)出來(lái)。15.4.4軟件質(zhì)量保證計(jì)劃應(yīng)有一段文字來(lái)規(guī)定在整個(gè)項(xiàng)目過(guò)程中其自身更新的細(xì)節(jié)：頻度、責(zé)任、方法。15.4.5ENISO9000—3和本歐洲標(biāo)準(zhǔn)(包括附件A)的所有章節(jié)中要求的活動(dòng)，操作和文件等均應(yīng)在軟件質(zhì)量保證計(jì)劃中規(guī)定或參考，并適應(yīng)特定的開(kāi)發(fā)。ENISO9000—3中沒(méi)有一張列表被認(rèn)為是徹底的。除軟件安全完整性等級(jí)0外，在軟件質(zhì)量保證計(jì)劃中至少應(yīng)說(shuō)明或參考以下條款。這是為了確保覆蓋軟件中和選定軟件安全完整性等級(jí)有關(guān)的所有安全性方面。當(dāng)前列表不是徹底的：生存周期模型定義和每個(gè)階段定義，包括：-活動(dòng)和基本任務(wù)；-進(jìn)入和退出準(zhǔn)則；—各階段的輸入和輸出；-各階段的主要質(zhì)量活動(dòng)；-對(duì)每一活動(dòng)和基本任務(wù)負(fù)責(zé)的組織部門；需求追蹤能力；文檔結(jié)構(gòu)追蹤能力；與軟件開(kāi)發(fā)、驗(yàn)證、確認(rèn)、運(yùn)行和維護(hù)有關(guān)的文檔；系統(tǒng)集成程序；使用的編碼標(biāo)準(zhǔn)；對(duì)早期確認(rèn)測(cè)試的評(píng)估；

產(chǎn)品和過(guò)程度量(定量測(cè)量)的定義。為了實(shí)現(xiàn)軟件產(chǎn)品度量，應(yīng)參照ISO/IEC912定義的質(zhì)量特征和評(píng)估方針。15.4.6按照ENISO9000—3，至少應(yīng)實(shí)行配置管理。每個(gè)軟件在發(fā)布首個(gè)認(rèn)可版本之前，其文檔應(yīng)受配置管理的控制。在備有證明文件的模塊開(kāi)始測(cè)試之前，軟件源代碼應(yīng)受配置管理的控制。配置管理控制不允許對(duì)任何部分進(jìn)行任何未經(jīng)認(rèn)可的修改。在儲(chǔ)存、轉(zhuǎn)移、傳輸或復(fù)制過(guò)程中，應(yīng)采取預(yù)防措施以防止或檢測(cè)機(jī)器可讀的代碼中出現(xiàn)的錯(cuò)誤。配置管理不應(yīng)局限于嚴(yán)格的產(chǎn)品開(kāi)發(fā)和維護(hù)，它還應(yīng)覆蓋整個(gè)生存周期中使用的環(huán)境。這一對(duì)再現(xiàn)開(kāi)發(fā)和維護(hù)活動(dòng)所必須的擴(kuò)充應(yīng)包括匯編、編譯、調(diào)試器以及所有其它用到的工具。15.4.7應(yīng)檢查軟件驗(yàn)證計(jì)劃的充分性和結(jié)果。15.4.8供應(yīng)商和/或開(kāi)發(fā)者應(yīng)建立、用文件描述和維護(hù)外部供應(yīng)商控制的程序，其中包括：-確保外部供應(yīng)商提供的軟件滿足已有需求的方法。應(yīng)保證前期開(kāi)發(fā)的軟件符合軟件安全完整性等級(jí)和可信性。新軟件應(yīng)按供應(yīng)商的軟件質(zhì)量保證計(jì)劃或與供應(yīng)商的軟件質(zhì)量保證計(jì)劃協(xié)調(diào)一致的外部供應(yīng)商的特定軟件質(zhì)量保證計(jì)劃來(lái)進(jìn)行開(kāi)發(fā)和維護(hù)。-確保提供給軟件外部供應(yīng)商的需求是充分的而完備的。15.4.9供應(yīng)商和或開(kāi)發(fā)者應(yīng)建立、用文件描述并維護(hù)問(wèn)題報(bào)告和糾正行為的程序。這些程序作為質(zhì)量保障系統(tǒng)的一部分，應(yīng)實(shí)施ENISO9001的相關(guān)部分，特別至少應(yīng)覆蓋以下幾個(gè)方面：-為了反饋給負(fù)責(zé)的管理部分，規(guī)定問(wèn)題報(bào)告和或糾正行為所需的文檔。-規(guī)定在問(wèn)題報(bào)告中收集到的信息的分析方法，以判斷出其原因。-規(guī)定在開(kāi)發(fā)階段和軟件維護(hù)過(guò)程中報(bào)告、追蹤和問(wèn)題解決應(yīng)遵循的措施。-規(guī)定根據(jù)與所要求的軟件安全完整性等級(jí)相對(duì)應(yīng)的等級(jí)處理問(wèn)題的預(yù)防行為。-規(guī)定有關(guān)開(kāi)發(fā)和軟件維護(hù)的特定組織的職責(zé)。-規(guī)定如何實(shí)施控制，以確報(bào)糾正行為已被采取并有效。-規(guī)定再測(cè)試、再驗(yàn)證、再確認(rèn)和再評(píng)估的需求。在緊接軟件集成之后、正式的軟件確認(rèn)開(kāi)始之前的軟件生存周期中，至少應(yīng)實(shí)施問(wèn)題報(bào)告和糾正行為管理，而且要覆蓋軟件維護(hù)整個(gè)階段。16軟件維護(hù)16.1目標(biāo)確保軟件按要求執(zhí)行，并在對(duì)軟件自身作糾正、功能增強(qiáng)和修改時(shí)保持軟件安全性完善性等級(jí)和可信性。

16.2輸入文檔所有文檔。16.3輸出文檔軟件維護(hù)計(jì)劃。軟件修改記錄。軟件維護(hù)記錄。16.4要求16.4.1維護(hù)至少應(yīng)根據(jù)ENISO9000－3的指導(dǎo)方針進(jìn)行。此外，還應(yīng)該滿足以下軟件維護(hù)的需求。16.4.2軟件系統(tǒng)中應(yīng)設(shè)計(jì)有可維護(hù)性，特別是應(yīng)遵循本歐洲標(biāo)準(zhǔn)的條款10。還應(yīng)使用ISO/IEC9126，以要求和驗(yàn)證最低水平的可維護(hù)性。16.4.3應(yīng)建立軟件維護(hù)程序，并記錄在軟件維護(hù)計(jì)劃中。這些程序應(yīng)包括：對(duì)錯(cuò)誤報(bào)告、錯(cuò)誤日志、維護(hù)日志、更改授權(quán)和軟件/系統(tǒng)配置的控制；驗(yàn)證、確認(rèn)和評(píng)估；規(guī)定認(rèn)可軟件更改的權(quán)威機(jī)構(gòu)。16.4.4維護(hù)活動(dòng)應(yīng)根據(jù)軟件維護(hù)計(jì)劃，以軟件質(zhì)量保障計(jì)劃中規(guī)定的周期進(jìn)行審計(jì)。16.4.5維護(hù)階段的技術(shù)水平、工具、文檔、計(jì)劃和管理應(yīng)和系統(tǒng)的初始開(kāi)發(fā)階段相同。配置管理、更改控制、文檔控制和相關(guān)組織的獨(dú)立性也同樣如此。16.4.6本歐洲標(biāo)準(zhǔn)并不打算進(jìn)行追溯。所以它主要應(yīng)用于新的開(kāi)發(fā)，僅當(dāng)已有系統(tǒng)要進(jìn)行主要修改時(shí)，本標(biāo)準(zhǔn)才能完全應(yīng)用于已有系統(tǒng)。對(duì)于軟件安全完整性等級(jí)3或4，合同發(fā)包方應(yīng)在開(kāi)始任何修改工作前，判斷維護(hù)工作是主要的還是次要以及系統(tǒng)維護(hù)方法是否充分的。而對(duì)于軟件安全完整性等級(jí)0、1或2，同樣的判斷應(yīng)由供應(yīng)商來(lái)作。16.4.7應(yīng)用“軟件質(zhì)量保障”條款中相關(guān)段落規(guī)定的類似準(zhǔn)則來(lái)管理外部供應(yīng)商控制、問(wèn)題報(bào)告和糾正工作。16.4.8每個(gè)軟件在首次發(fā)布前，應(yīng)建立軟件維護(hù)記錄，并對(duì)其進(jìn)行維護(hù)。除了ENISO9000-3對(duì)于“維護(hù)記錄和報(bào)告”的需求之外，該記錄還應(yīng)包括：對(duì)該軟件所有軟件修改記錄的參照；修改結(jié)果信息；部件的測(cè)試用例，包括再確認(rèn)和回歸測(cè)試數(shù)據(jù)；軟件配置歷史。16.4.9每個(gè)維護(hù)活動(dòng)應(yīng)建立軟件修改記錄。這個(gè)記錄應(yīng)包括：

變更或修改請(qǐng)求；維護(hù)活動(dòng)對(duì)整個(gè)系統(tǒng)影響的分析。包括軟件，硬件，人機(jī)交互以及環(huán)境和可能的交互；修改或變更的詳細(xì)規(guī)格說(shuō)明；按選定的軟件安全完整性等級(jí)要求對(duì)修改或變更的再確認(rèn)、回歸測(cè)試和再評(píng)估。再確認(rèn)的責(zé)職可根據(jù)軟件安全完整性等級(jí)，隨項(xiàng)目的不同而不同。修改或變更對(duì)再確認(rèn)過(guò)程的影響也可限制在不同的系統(tǒng)等級(jí)（僅僅是已變更的模塊、所有標(biāo)識(shí)出受影響的模塊、整個(gè)系統(tǒng)）。因此，軟件確認(rèn)計(jì)劃應(yīng)根據(jù)軟件安全完整性等級(jí)說(shuō)明這兩個(gè)方面的問(wèn)題。再確認(rèn)的獨(dú)立性程度應(yīng)與確認(rèn)時(shí)的獨(dú)立性程度一樣。17根據(jù)應(yīng)用數(shù)據(jù)配置的系統(tǒng)17.1目標(biāo)17.1.1鐵路控制和防護(hù)系統(tǒng)的一個(gè)顯著特征是需要為滿足各特定應(yīng)用的需求設(shè)計(jì)裝置。由應(yīng)用數(shù)據(jù)配置的系統(tǒng)允許使用“類型認(rèn)證”過(guò)的通用軟件，每個(gè)裝置的特定需求應(yīng)被定義成數(shù)據(jù)（特定應(yīng)用的數(shù)據(jù)）。這數(shù)據(jù)一般采取列表信息形式或采用由通用軟件解釋的特定應(yīng)用的語(yǔ)言。17.1.2對(duì)于安全性關(guān)鍵系統(tǒng)，開(kāi)發(fā)軟件以使系統(tǒng)能實(shí)現(xiàn)所要求的系統(tǒng)安全完整性等級(jí)所需資源的昂貴程度使得采用應(yīng)用數(shù)據(jù)配置的系統(tǒng)非常誘人，原因是它允許通用軟件的復(fù)用。然而由于系統(tǒng)的安全運(yùn)行可能依賴于數(shù)據(jù)的正確性，數(shù)據(jù)開(kāi)發(fā)的程序也必須達(dá)到適當(dāng)?shù)南到y(tǒng)安全完整性等級(jí)。17.1.3以下部分描述了本歐洲標(biāo)準(zhǔn)關(guān)于應(yīng)用數(shù)據(jù)配置的系統(tǒng)中通用軟件的初始開(kāi)發(fā)和各套具體裝置數(shù)據(jù)的后續(xù)開(kāi)發(fā)的需求。17.2輸入文檔軟件需求規(guī)格說(shuō)明書。軟件體系結(jié)構(gòu)規(guī)格說(shuō)明書。17.3輸出文檔應(yīng)用需求規(guī)格說(shuō)明書。數(shù)據(jù)準(zhǔn)備計(jì)劃。數(shù)據(jù)測(cè)試計(jì)劃。數(shù)據(jù)測(cè)試報(bào)告。17.4要求17.4.1數(shù)據(jù)準(zhǔn)備生存周期圖6描述了使用硬件、通用軟件和具體應(yīng)用數(shù)據(jù)的應(yīng)用生存周期。生存周期的各階段如下所述。

應(yīng)用需求規(guī)格說(shuō)明書對(duì)應(yīng)用的需求加以定義。需求應(yīng)包括具體裝置的特定需求(如站場(chǎng)圖、信號(hào)位置、速度限制)和應(yīng)用必須遵守的標(biāo)準(zhǔn)(如信號(hào)原則、系統(tǒng)安全完整性等級(jí))。裝置整體設(shè)計(jì)應(yīng)對(duì)系統(tǒng)體系結(jié)構(gòu)加以定義，計(jì)劃使用的通用部件的數(shù)量和類型也要加以說(shuō)明。這些包括軟件的部件的開(kāi)發(fā)應(yīng)符合本歐洲標(biāo)準(zhǔn)。需求中指定的功能應(yīng)分配到各部件，并對(duì)各部件的物理位置加以規(guī)定。數(shù)據(jù)準(zhǔn)備數(shù)據(jù)準(zhǔn)備過(guò)程應(yīng)包括形成特定信息(如控制表)、形成數(shù)據(jù)源代碼及其編譯、檢查、其它驗(yàn)證活動(dòng)以及應(yīng)用數(shù)據(jù)的測(cè)試。集成和驗(yàn)收對(duì)有些系統(tǒng)，在現(xiàn)場(chǎng)安裝之前應(yīng)用數(shù)據(jù)將同通用硬件、軟件集成在一起在廠內(nèi)進(jìn)行測(cè)試。若通過(guò)其它方法可獲得足夠的可信度，可不進(jìn)行該項(xiàng)測(cè)試。隨后應(yīng)進(jìn)行設(shè)備的現(xiàn)場(chǎng)安裝，并對(duì)新設(shè)備進(jìn)行集成測(cè)試。最后系統(tǒng)作為整體運(yùn)行系統(tǒng)交付使用，并對(duì)整個(gè)裝置進(jìn)行最后的驗(yàn)收。確認(rèn)和評(píng)估確認(rèn)和評(píng)估活動(dòng)應(yīng)對(duì)生存周期各階段的執(zhí)行情況進(jìn)行審計(jì)。17.4.2數(shù)據(jù)準(zhǔn)備程序和工具對(duì)于應(yīng)用數(shù)據(jù)配置的各種新型系統(tǒng)，應(yīng)開(kāi)發(fā)特定的數(shù)據(jù)準(zhǔn)備程序和工具，以使新系統(tǒng)的裝置中應(yīng)用上一條款中規(guī)定的數(shù)據(jù)準(zhǔn)備生存周期。這些程序和工具的開(kāi)發(fā)應(yīng)和系統(tǒng)的通用軟件和硬件一起符合本歐洲標(biāo)準(zhǔn)。驗(yàn)證、確認(rèn)和評(píng)估活動(dòng)應(yīng)確保數(shù)據(jù)準(zhǔn)備工具和通用軟件相兼容。在應(yīng)用數(shù)據(jù)配置的系統(tǒng)的軟件設(shè)計(jì)階段，應(yīng)形成一個(gè)數(shù)據(jù)準(zhǔn)備計(jì)劃，以便為數(shù)據(jù)準(zhǔn)備過(guò)程定義一個(gè)文檔結(jié)構(gòu)。這些文檔應(yīng)與上一條款中描述的數(shù)據(jù)準(zhǔn)備生存周期模型有關(guān)。計(jì)劃中應(yīng)規(guī)定為滿足要求的系統(tǒng)安全完整性等級(jí)而使用的數(shù)據(jù)準(zhǔn)備程序和工具。計(jì)劃中還應(yīng)規(guī)定進(jìn)行驗(yàn)證、確認(rèn)和設(shè)計(jì)任務(wù)的人員之間的獨(dú)立性的需求。數(shù)據(jù)準(zhǔn)備計(jì)劃應(yīng)給數(shù)據(jù)準(zhǔn)備生存周期中使用的硬件或軟件工具分配安全完整性等級(jí)。該安全完整性等級(jí)應(yīng)來(lái)源于要求的系統(tǒng)安全完整性等級(jí)和其他人工或自動(dòng)化的程序檢查每個(gè)工具輸出的程度。數(shù)據(jù)準(zhǔn)備計(jì)劃應(yīng)盡可能用應(yīng)用工程師們熟悉的符號(hào)來(lái)規(guī)定需求和設(shè)計(jì)，如標(biāo)準(zhǔn)信號(hào)計(jì)劃和控制表。在引入新符號(hào)的地方，必須提供必要的用戶文檔并進(jìn)行適當(dāng)?shù)呐嘤?xùn)。證明數(shù)據(jù)準(zhǔn)備已按計(jì)劃實(shí)施所需的驗(yàn)證、測(cè)試、確認(rèn)和評(píng)估報(bào)告可標(biāo)準(zhǔn)化成檢查表的形式,以便減少為各裝置產(chǎn)生文檔的工作量。這些信息應(yīng)包含在數(shù)據(jù)測(cè)試計(jì)劃中，結(jié)果應(yīng)被記錄在數(shù)據(jù)測(cè)試報(bào)告中。

所有數(shù)據(jù)和有關(guān)文檔應(yīng)符合本標(biāo)準(zhǔn)第15節(jié)中的配置管理需求。配置管理記錄要列出用于產(chǎn)生數(shù)據(jù)以運(yùn)行的通用軟件的版本和數(shù)據(jù)準(zhǔn)備過(guò)程中使用的工具的版本。17.4.3軟件開(kāi)發(fā)開(kāi)發(fā)應(yīng)用數(shù)據(jù)配置的系統(tǒng)中的通用軟件應(yīng)遵循本標(biāo)準(zhǔn)1—16條款的需求。同時(shí)還應(yīng)遵守以下附加的要求。在軟件需求規(guī)格說(shuō)明書階段，應(yīng)確定每個(gè)系統(tǒng)和子系統(tǒng)中哪些功能將使用應(yīng)用數(shù)據(jù)。分配給每個(gè)子系統(tǒng)的系統(tǒng)安全完整性等級(jí)將決定系統(tǒng)所有裝置的數(shù)據(jù)后續(xù)開(kāi)發(fā)的應(yīng)用標(biāo)準(zhǔn)。在軟件設(shè)計(jì)階段，應(yīng)確定通用軟件和應(yīng)用數(shù)據(jù)之間的詳細(xì)接口，除非這已在生存周期的早期階段中得以規(guī)定，例如，是要求使用現(xiàn)存的面向應(yīng)用的語(yǔ)言的結(jié)果。在軟件模塊設(shè)計(jì)階段，程序源代碼和數(shù)據(jù)之間必須實(shí)行嚴(yán)格的分離，即除非對(duì)軟件和數(shù)據(jù)之間的已規(guī)定接口作了變動(dòng)，否則可以在不修改另一部分（數(shù)據(jù)或軟件）時(shí)就對(duì)通用軟件或數(shù)據(jù)進(jìn)行重新編譯和修改。類似地，特定應(yīng)用數(shù)據(jù)應(yīng)和其他數(shù)據(jù)分開(kāi)。在軟件維護(hù)階段，變更控制程序必須確保只有在確定被修改的軟件與原數(shù)據(jù)相兼容或?qū)?shù)據(jù)已作必要的修訂后，才能安裝修改后的通用軟件。在軟件驗(yàn)證過(guò)程和軟件確認(rèn)階段，要留意以確?？紤]了數(shù)據(jù)所有的相關(guān)組合。如果可行，通用軟件應(yīng)被設(shè)計(jì)成能檢測(cè)出損壞的配置數(shù)據(jù)。

受控設(shè)備受控設(shè)備4321043210軟件安全完整性等級(jí)系統(tǒng)安全完整性等級(jí)安全完整性等級(jí)4-非常高3-高2-中等1-低0-無(wú)安全要求需要的風(fēng)險(xiǎn)降低風(fēng)險(xiǎn)水平：無(wú)防護(hù)措施危險(xiǎn)事件頻率危險(xiǎn)事件后果頻率增加后果增加圖1–安全相關(guān)系統(tǒng)的完整性等級(jí)

獲得系統(tǒng)需求規(guī)定，獲得系統(tǒng)需求規(guī)定，系統(tǒng)安全性要求規(guī)定，系統(tǒng)結(jié)構(gòu)描述和系統(tǒng)安全性方案明確所有分配給軟件的安全性功能評(píng)審所有分配給軟件的安全性功能并決定軟件安全完整性度等級(jí)按照軟件質(zhì)量保障計(jì)劃，軟件安全完整性等級(jí)和軟件生命周期來(lái)設(shè)計(jì)，開(kāi)發(fā)和驗(yàn)證/確認(rèn)軟件形成軟件需求規(guī)格說(shuō)明書和軟件結(jié)構(gòu)規(guī)格說(shuō)明系統(tǒng)運(yùn)行生命階段實(shí)施軟件確認(rèn)并移交給系統(tǒng)工程師軟件維護(hù)圖2–軟件安全路線圖

設(shè)計(jì)文檔設(shè)計(jì)文檔系統(tǒng)需求規(guī)格說(shuō)明書、系統(tǒng)安全性需求規(guī)格說(shuō)明書、系統(tǒng)結(jié)構(gòu)描述、系統(tǒng)安全性計(jì)劃軟件需求測(cè)試規(guī)格說(shuō)明書軟件需求規(guī)格說(shuō)明書軟件結(jié)構(gòu)規(guī)格說(shuō)明軟件集成計(jì)劃軟件設(shè)計(jì)規(guī)格說(shuō)明軟件模塊測(cè)試規(guī)格說(shuō)明軟件模塊設(shè)計(jì)規(guī)格說(shuō)明軟件源代碼和支持文件軟件模塊測(cè)試報(bào)告軟件集成測(cè)試報(bào)告軟件/硬件集成測(cè)試報(bào)告系統(tǒng)集成和測(cè)試文檔系統(tǒng)維護(hù)文檔驗(yàn)證階段系統(tǒng)安裝文檔系統(tǒng)驗(yàn)證軟件需求驗(yàn)證軟件結(jié)構(gòu)驗(yàn)證軟件設(shè)計(jì)驗(yàn)證軟件模塊驗(yàn)證代碼驗(yàn)證軟件確認(rèn)系統(tǒng)確認(rèn)系統(tǒng)開(kāi)發(fā)軟件需求軟件設(shè)計(jì)軟件模塊設(shè)計(jì)編碼軟件測(cè)試軟件/硬件集成軟件確認(rèn)系統(tǒng)集成現(xiàn)場(chǎng)支持系統(tǒng)確認(rèn)階段圖3–開(kāi)發(fā)生命周期1

系統(tǒng)開(kāi)發(fā)階段系統(tǒng)需求規(guī)格說(shuō)明書系統(tǒng)開(kāi)發(fā)階段系統(tǒng)需求規(guī)格說(shuō)明書系統(tǒng)安全性要求規(guī)格說(shuō)明書系統(tǒng)結(jié)構(gòu)描述系統(tǒng)安全性計(jì)劃軟件需求規(guī)格說(shuō)明書階段系統(tǒng)需求規(guī)格說(shuō)明書系統(tǒng)需求測(cè)試規(guī)格說(shuō)明書系統(tǒng)需求驗(yàn)證報(bào)告軟件結(jié)構(gòu)和設(shè)計(jì)階段軟件結(jié)構(gòu)規(guī)格說(shuō)明書軟件設(shè)計(jì)規(guī)格說(shuō)明書軟件結(jié)構(gòu)和設(shè)計(jì)驗(yàn)證報(bào)告軟件模塊設(shè)計(jì)階段軟件模塊設(shè)計(jì)規(guī)格說(shuō)明書軟件模塊測(cè)試規(guī)格說(shuō)明書軟件模塊驗(yàn)證報(bào)告編碼階段軟件源代碼和支持文檔軟件源代碼驗(yàn)證報(bào)告軟件計(jì)劃階段軟件開(kāi)發(fā)計(jì)劃軟件質(zhì)量保障計(jì)劃軟件配置管理計(jì)劃軟件驗(yàn)證計(jì)劃軟件集成測(cè)試計(jì)劃軟件/硬件集成測(cè)試計(jì)劃軟件確認(rèn)計(jì)劃軟件維護(hù)計(jì)劃軟件維護(hù)階段軟件維護(hù)記錄軟件修改記錄軟件評(píng)估階段軟件評(píng)估報(bào)告軟件確認(rèn)階段軟件確認(rèn)報(bào)告軟件/硬件集成階段軟件/硬件集成測(cè)試報(bào)告軟件集成階段軟件集成測(cè)試報(bào)告軟件模塊測(cè)試階段軟件模塊測(cè)試報(bào)告圖4–開(kāi)發(fā)生命周期2

注：注：＝可以是同一個(gè)人＝可以是同一個(gè)公司DI=設(shè)計(jì)者/實(shí)現(xiàn)者VER=驗(yàn)證員VAL＝確認(rèn)員ASS’R＝評(píng)估員PRJMGR=項(xiàng)目經(jīng)理圖5–軟件安全完整性等級(jí)和獨(dú)立性比較

系統(tǒng)需求規(guī)格系統(tǒng)需求規(guī)格說(shuō)明系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)系統(tǒng)集成系統(tǒng)認(rèn)證驗(yàn)證驗(yàn)證驗(yàn)證驗(yàn)證系統(tǒng)確認(rèn)和證明計(jì)劃制定裝置設(shè)計(jì)生產(chǎn)裝置測(cè)試驗(yàn)收和交付使用驗(yàn)證驗(yàn)證驗(yàn)證工廠確認(rèn)和證明工廠應(yīng)用工程通用系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)驗(yàn)證圖6–通用系統(tǒng)開(kāi)發(fā)和應(yīng)用開(kāi)發(fā)之間的關(guān)系

附件A（規(guī)范性）技術(shù)和措施的選擇標(biāo)準(zhǔn)本歐洲標(biāo)準(zhǔn)中從7到16的每一條款都有一個(gè)相關(guān)的條款表格來(lái)說(shuō)明實(shí)現(xiàn)符合的方法。其中有低等級(jí)表格和擴(kuò)充條款表格中某個(gè)條目的細(xì)化表格。例如，條款8表格(表格A.2)中的半形式化方法在細(xì)化表格D.7（表格A.18）中得到擴(kuò)充。本附件的條款表格還參考了參考性的附件B。每個(gè)軟件安全完整性等級(jí)（SWSIL）（1—4級(jí)和非安全相關(guān)的0級(jí)）都對(duì)表格中每項(xiàng)技術(shù)或措施有要求。在本版本中，軟件安全完整性等級(jí)1和2對(duì)于每項(xiàng)技術(shù)的要求都是一樣的。類似的，安全完整性等級(jí)3和4對(duì)于每項(xiàng)技術(shù)的要求也是一樣的。這些要求是：“M”表示某個(gè)技術(shù)須強(qiáng)制使用；“HR”表示該技術(shù)或方法在該安全完整性等級(jí)下是強(qiáng)力推薦。如果該技術(shù)或方法沒(méi)有使用，那么沒(méi)有使用的理由需要在“安全質(zhì)量保障計(jì)劃”或“安全質(zhì)量保障計(jì)劃”參考的其他文檔中給出；“R”表示該技術(shù)或方法在該安全完整性等級(jí)下是推薦使用。其低于“HR”的推薦度，并且這些技術(shù)可以組合使用。“-”表示該技術(shù)或方法既不推薦使用或也不反對(duì)使用；“NR”表示該技術(shù)或方法在當(dāng)前安全完整性等級(jí)下是肯定不推薦的。如果該技術(shù)或方法被使用，那么使用的理由需要在“安全質(zhì)量保障計(jì)劃”或“安全質(zhì)量保障計(jì)劃”參考的其他文檔中給出。除非表格的附注有其他要求，一個(gè)或多個(gè)選定的技術(shù)或措施及其組合需在“安全質(zhì)量保障計(jì)劃”或“安全質(zhì)量保障計(jì)劃”參考的其他文檔中加以說(shuō)明。這些附注包括參照的經(jīng)核準(zhǔn)的技術(shù)或技術(shù)組合。如果這些技術(shù)或技術(shù)組合被使用，那么評(píng)估者需認(rèn)為它們是有效的并僅需要關(guān)心它們是否得到正確應(yīng)用。如果不同的技術(shù)得到使用并被證明合理，則評(píng)估者可以認(rèn)為這是可接受的。

條款表格表格A.1–生命周期（條款7）文檔軟件安全完整性等級(jí)0軟件安全完整性等級(jí)1軟件安全完整性等級(jí)2軟件安全完整性等級(jí)3軟件安全完整性等級(jí)41.軟件計(jì)劃文檔推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦2.軟件需求文檔推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦3.軟件設(shè)計(jì)文檔-強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦4.軟件模塊文檔-強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦5.源代碼和文檔推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦6.軟件測(cè)試報(bào)告-強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦7.軟件和硬件集成測(cè)試報(bào)告-強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦8.軟件確認(rèn)報(bào)告推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦9.軟件評(píng)估報(bào)告-強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦10.軟件維護(hù)記錄推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦需求：符合ENISO9000-3蘊(yùn)涵了對(duì)于各種軟件安全完整性等級(jí)都要形成充足的文檔。對(duì)于軟件安全完整性等級(jí)0，設(shè)計(jì)者應(yīng)選擇適當(dāng)?shù)奈臋n類型。表格A.2–軟件需求規(guī)格說(shuō)明書（條款8）技術(shù)/方法參考條目軟件安全完整性等級(jí)0軟件安全完整性等級(jí)1軟件安全完整性等級(jí)2軟件安全完整性等級(jí)3軟件安全完整性等級(jí)41.形式化方法,包括如CCS,CSP,HOL,LOTOS,OBJ,時(shí)序邏輯VDM,Z和BB.30-推薦推薦強(qiáng)力推薦強(qiáng)力推薦2.半形式化方法D.7推薦推薦推薦強(qiáng)力推薦強(qiáng)力推薦3.結(jié)構(gòu)化方法,包括如JDS,MASCOT,SADT,SDL,SSADM和YourdonB.60推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦強(qiáng)力推薦需求：1.軟件需求規(guī)格說(shuō)明書要求用自然語(yǔ)言和能表示應(yīng)用的必要的數(shù)學(xué)符號(hào)來(lái)描述問(wèn)題。2.本表描述了清楚而精確地定義規(guī)格說(shuō)明書的附加需求。應(yīng)選擇表中一些技術(shù)來(lái)滿足使用的軟件安全完整性等級(jí)。表格A.3–軟件體系結(jié)構(gòu)（條款9）技術(shù)/方法參考條目軟件安全完整性等級(jí)0軟件安全完整性等級(jí)1軟件安全