GB-T 28808-2021 軌道交通 通信、信號(hào)和處理系統(tǒng) 控制和防護(hù)系統(tǒng)軟件

國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)I Ⅲ V 12規(guī)范性引用文件 1 23.1術(shù)語(yǔ)和定義 2 6 7 8 85.2人員能力 5.3生命周期和文檔 6軟件保證 6.1軟件測(cè)試 6.2軟件驗(yàn)證 6.3軟件確認(rèn) 6.4軟件評(píng)估 6.5軟件質(zhì)量保證 6.6修改和變更控制 216.7支持工具和語(yǔ)言 7.1通用軟件的生命周期和文檔 7.2軟件需求 7.3架構(gòu)和設(shè)計(jì) 7.4組件設(shè)計(jì) 7.5組件實(shí)現(xiàn)及測(cè)試 7.7整體軟件測(cè)試/最終確認(rèn) 8應(yīng)用數(shù)據(jù)或算法的開(kāi)發(fā) 8.2輸入文檔 8.3輸出文檔 9軟件部署和維護(hù) 9.1軟件部署 41ⅡGB/T28808—20219.2軟件維護(hù) 附錄A(規(guī)范性)技術(shù)和措施的選擇準(zhǔn)則 45附錄B(資料性)技術(shù)的目標(biāo)和描述 附錄C(規(guī)范性)軟件角色的職責(zé)和關(guān)鍵能力 附錄D(資料性)文檔控制概要 Ⅲ62279:2015的附錄B;62279:2015的附錄C?！び玫韧捎脟?guó)際標(biāo)準(zhǔn)的GB/T·用等同采用國(guó)際標(biāo)準(zhǔn)的GB/T表A.9和表C.11):·用修改采用國(guó)際標(biāo)準(zhǔn)的GB/TV ●表A.12中，第2個(gè)序號(hào)9和序號(hào)10,改為序號(hào)10和序號(hào)11。 V本文件與GB/T21562和GB/T28809配套使用。V周期，設(shè)計(jì)、開(kāi)發(fā)、驗(yàn)證/測(cè)試軟件11.1本文件規(guī)定了軌道交通控制和防護(hù)應(yīng)用中使用的可編程電子系統(tǒng)軟件開(kāi)發(fā)所需的過(guò)程和技術(shù)要1.3本文件與被認(rèn)定為對(duì)安全沒(méi)有任何影響的軟件無(wú)關(guān)，即軟件失效不會(huì)影響任何已識(shí)別的安全功能。由于在風(fēng)險(xiǎn)評(píng)估甚至危害識(shí)別時(shí)存在不確定性，因此引入了SIL?的概念。對(duì)于安全性影響低于應(yīng)用程序設(shè)計(jì)包括高級(jí)程序設(shè)計(jì)，低級(jí)程序設(shè)計(jì)和專用程序設(shè)計(jì)(如：可編程邏輯控制器的梯形1.5本文件也涉及了既有軟件和工具的使用。如果要使用該類軟件，則要滿足7.3.4.7和6.5.4.16中軟件通過(guò)數(shù)據(jù)、算法或二者同時(shí)配置后，為應(yīng)用生成可執(zhí)行的軟件。第1章～第6章和第9章既適用于通用軟件也適用于應(yīng)用數(shù)據(jù)或算法。第7章僅適用于通用軟件，第8章僅適用于應(yīng)用數(shù)據(jù)或算法。下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不GB/T19000質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ)(GB/T19000—2016,ISO9000:2015,IDT)GB/T19001質(zhì)量管理體系要求(GB/T19001—2016,ISO9001:2015,IDT)GB/T25000.10系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE)第10部分：系統(tǒng)與軟件質(zhì)量模型(GB/T25000.10—2016,ISO/IEC2ISO/IEC90003:2014軟件工程ISO9001:2008應(yīng)用于計(jì)算機(jī)軟件的指南(Softwareengineer-ing—GuidelinesfortheapplicationofISO9001:2008tocomputersoftwa評(píng)估人員assessor設(shè)計(jì)人員designer3失效failure觀察到的行為與要求的行為之間出現(xiàn)的不可故障容忍faulttolerance以功能獨(dú)立于應(yīng)用軟件的形式存儲(chǔ)在只讀存儲(chǔ)器或半永久性存儲(chǔ)器(例如flash存儲(chǔ)器)中的將特定設(shè)計(jì)轉(zhuǎn)換為具體物理實(shí)現(xiàn)的實(shí)體。具備用于存儲(chǔ)指令的用戶可編程存儲(chǔ)器并能實(shí)現(xiàn)規(guī)定功能的固4風(fēng)險(xiǎn)risk5軟件可維護(hù)性softwaremaintainability軟件能被修改以糾正故障，改善性能或其他特性，或適應(yīng)不同環(huán)境的能力。軟件維護(hù)softwaremaintenance軟件部署后針對(duì)軟件采取的活動(dòng)或活動(dòng)集合，其目的是增強(qiáng)或糾正軟件的功能性。軟件安全完整性等級(jí)softwaresafetyintegritylevel一組分級(jí)數(shù)字，它決定了應(yīng)運(yùn)用于軟件的技術(shù)和措施。供應(yīng)商supplier設(shè)計(jì)和建造軌道交通控制和防護(hù)系統(tǒng)(包括軟件或軟件只作為其一部分)的實(shí)體。系統(tǒng)安全完整性等級(jí)systemsafetyintegritylevel表示包含硬件和軟件的集成系統(tǒng)滿足其指定安全要求所需置信度的分級(jí)數(shù)字。測(cè)試人員tester執(zhí)行測(cè)試活動(dòng)的實(shí)體。在受控條件下運(yùn)行軟件，對(duì)照相應(yīng)的需求規(guī)格說(shuō)明以確定其行為和性能的過(guò)程。T1類工具toolclassT1不產(chǎn)生直接或間接貢獻(xiàn)于軟件可執(zhí)行代碼(包括數(shù)據(jù))輸出的工具。支持對(duì)設(shè)計(jì)或可執(zhí)行代碼的測(cè)試或驗(yàn)證，其錯(cuò)誤可能不會(huì)暴露缺陷，但也不會(huì)直接在可執(zhí)行軟件中產(chǎn)生錯(cuò)誤的工具。T3類工具toolclassT3產(chǎn)生直接或間接貢獻(xiàn)于軟件可執(zhí)行代碼(包括數(shù)據(jù))輸出的工具。[來(lái)源：GB/T20438.4可追蹤性traceability開(kāi)發(fā)過(guò)程中的兩個(gè)或多個(gè)產(chǎn)品之間可建立關(guān)系的程度，特別是那些構(gòu)成前代/后代或者主要/次要6COTS:商用現(xiàn)貨(Commercialoff-the-shelf)M:強(qiáng)制(Mandatory)PM:項(xiàng)目經(jīng)理(ProjectManager)RQM:需求經(jīng)理(Requirements7SOM:面向服務(wù)的建模(ServicSSADM:結(jié)構(gòu)化系統(tǒng)分析和設(shè)計(jì)方法(StructuredSystemsAnalysis&DesignMethodology)V&V:驗(yàn)證和確認(rèn)(VerificationandValidation)4.1安全相關(guān)系統(tǒng)的功能到軟件和軟件接口的分配應(yīng)在系統(tǒng)文檔中標(biāo)識(shí)。嵌入軟件的系統(tǒng)應(yīng)就下列b)應(yīng)用條件；f)需求的分配以及安全完整性等級(jí)到軟件和硬件的分配；4.4對(duì)于安全性影響不確定但通常低于SIL1的功能軟件部分應(yīng)滿足SILO的要求。4.5為符合本文件規(guī)定，應(yīng)表明各子條款中規(guī)定的有關(guān)軟件安全完整性等級(jí)的要求以及附錄A中規(guī)4.7在4.6適用的地方，應(yīng)使用附錄A中的表格來(lái)幫助選擇與軟件安全完整性等級(jí)相適應(yīng)的技術(shù)和措施。這種選擇應(yīng)記錄在軟件質(zhì)量保證計(jì)劃中或軟件質(zhì)量保證計(jì)劃引用的其他文件參見(jiàn)附錄B。保證計(jì)劃引用的其他文件中詳細(xì)說(shuō)明并記錄使用其他替代技術(shù)的理由。如果面的有效性和適合性作論證，并在軟件質(zhì)量保證計(jì)劃中或軟件質(zhì)量保證計(jì)劃85.1.2.2職責(zé)應(yīng)符合附錄C的規(guī)定。9ASRRQM,DES,IMPINT,TSTVER,QAMASRRQM,DES,IMPINT,TSTVER,QAM,VALASRRQM,DES,IMPINT,TST,VER,QAM,VAL可是同一個(gè)組織應(yīng)向PM報(bào)告5.1.2.10針對(duì)SIL3和SIL4,首選的組織結(jié)構(gòu)如下：d)軟件組件的集成人員和測(cè)試人員可向項(xiàng)目經(jīng)理或確認(rèn)人員報(bào)告。e)驗(yàn)證人員或質(zhì)量保證經(jīng)理可向項(xiàng)目經(jīng)理或確認(rèn)人員報(bào)告。f)確認(rèn)人員不應(yīng)向項(xiàng)目經(jīng)理報(bào)告。也就是說(shuō)項(xiàng)目經(jīng)理不能影響確認(rèn)人員的決策，但確認(rèn)人員應(yīng)h)某個(gè)軟件組件的集成人員或測(cè)試人員不應(yīng)是同一個(gè)軟件組件的需求經(jīng)理、設(shè)計(jì)人員和實(shí)現(xiàn)件應(yīng)由另一個(gè)與確認(rèn)人員有相同獨(dú)立性級(jí)別的能勝任的人員審查。該組5.1.2.11針對(duì)SIL1和SIL2,首選的證人員或質(zhì)量保證經(jīng)理的輸出文檔應(yīng)由另一與確認(rèn)人員相同獨(dú)立級(jí)別的能勝任的人員審查。階段軟件架構(gòu)系統(tǒng)開(kāi)發(fā)階段(外部的)軟件架構(gòu)和設(shè)計(jì)階段(7.3)軟件部署階段(9.1)軟件部署指南軟件集成階段(7.6)軟件組件設(shè)計(jì)階段(7.4)軟件組件設(shè)計(jì)規(guī)格說(shuō)明軟件組件測(cè)試規(guī)格說(shuō)明e)安全性和魯棒性需求的評(píng)價(jià)；6.2.4.10驗(yàn)證人員應(yīng)確信軟件驗(yàn)證計(jì)劃的驗(yàn)證由能勝任的人員來(lái)執(zhí)行。為了符合良好的實(shí)踐和本文6.3.1.2主要的確認(rèn)活動(dòng)是通過(guò)分析和/或測(cè)試證明所有的軟件需求已按照適用的安全完整性等級(jí)要6.4.4.9評(píng)估人員應(yīng)根據(jù)所要求的安全完整性等級(jí)，評(píng)估是否從附錄A中選擇并應(yīng)用了適用于預(yù)期開(kāi)發(fā)的技術(shù)集合。評(píng)估人員應(yīng)評(píng)估來(lái)自附錄A的每項(xiàng)技術(shù)被應(yīng)用的程度，即它是否適用于所有或僅適用6.4.4.11評(píng)估人員應(yīng)根據(jù)附錄C對(duì)項(xiàng)目成員能力的證據(jù)進(jìn)行審查，并根據(jù)5.1的要求對(duì)軟件開(kāi)發(fā)的組b)軟件配置管理計(jì)劃(如果系統(tǒng)級(jí)配置管理計(jì)劃未涵蓋相關(guān)內(nèi)容);2)每個(gè)活動(dòng)的進(jìn)入和退出準(zhǔn)則；3)每個(gè)活動(dòng)的輸入和輸出；4)主要質(zhì)量活動(dòng)；5)每個(gè)活動(dòng)的責(zé)任實(shí)體。2)分發(fā)范圍；f)對(duì)正在開(kāi)發(fā)或已經(jīng)交付的軟件組件的變更的影響分析；T2和T3(見(jiàn)3.1)。當(dāng)工具被用于替代人工操作時(shí)，工具輸出的所選擇的工具能協(xié)同工作。如果一個(gè)工具的輸出具備合適的內(nèi)容和格式作為后續(xù)工具的自動(dòng)輸6.7.4.2應(yīng)證明T2和T3類工具的選擇是合理的，見(jiàn)7.3.4.12。理由應(yīng)包括識(shí)別能注入到工具輸出中6.7.4.3所有的T2和T3類工具應(yīng)有清晰定義了工具行為、所有命令或使用約束的規(guī)格說(shuō)明或產(chǎn)品a)組織內(nèi)或其他組織在類似的環(huán)境中和對(duì)類似的應(yīng)用成功使用的經(jīng)歷的適當(dāng)組合；e)可避免或檢測(cè)和控制工具引入的失效的其他適當(dāng)方法。f)測(cè)試用例及其后續(xù)分析的結(jié)果；g)預(yù)期結(jié)果和實(shí)際結(jié)果之間的差異。a)有一個(gè)對(duì)其適用性進(jìn)行過(guò)評(píng)價(jià)的翻譯器，包括在適當(dāng)情況下，根據(jù)國(guó)際或國(guó)家標(biāo)準(zhǔn)進(jìn)行的編程語(yǔ)言是軟件或設(shè)計(jì)表示法中的一種。翻譯器將軟件或設(shè)計(jì)表示(如文可為某個(gè)特定的應(yīng)用項(xiàng)目或一類應(yīng)用項(xiàng)目對(duì)翻譯器進(jìn)行評(píng)價(jià)。針對(duì)后一應(yīng)可獲得有關(guān)工具預(yù)期使用和合理使用的所有必要信息。對(duì)于特定項(xiàng)目的工具6.7.4.12表1定義了工具類型和適用的條款之間的關(guān)系。6.7.4.1、6.7.4.2、6.7.4.3、6.7.4.10工具類型正在開(kāi)發(fā)產(chǎn)品的安全完整性等級(jí)1.在類似環(huán)境下成功使用的證據(jù)；或1.工具的開(kāi)發(fā)或獲取，遵循本文件中與特定應(yīng)用的安全完整性等級(jí)2.運(yùn)行一個(gè)廣泛認(rèn)可的、具有確定性結(jié)果3.對(duì)系統(tǒng)使用各種不同的工具，比較工作產(chǎn)品的性能，檢查其差異c)系統(tǒng)架構(gòu)描述1)既有軟件旨在實(shí)現(xiàn)的需求；2)既有軟件關(guān)于環(huán)境的假設(shè)；3)與軟件其他部分的接口。7.3.4.14軟件架構(gòu)規(guī)格說(shuō)明應(yīng)選擇表A.3中c)超出邊界值時(shí)的行為。1)時(shí)間約束和正確操作的要求；2)對(duì)異常的管理。f)如果適用的話，為接口緩沖區(qū)分配的內(nèi)存，以及內(nèi)存不能被分配或所有緩沖區(qū)溢出的檢測(cè)g)功能之間存在的同步機(jī)制[見(jiàn)e]]。來(lái)自和去往接口的所有數(shù)據(jù)應(yīng)根據(jù)數(shù)據(jù)類型在整個(gè)數(shù)值的范圍內(nèi)定義，h)所有指定數(shù)據(jù)的等價(jià)類以及使用這些數(shù)據(jù)的每個(gè)軟件功能的定義和說(shuō)明。f)主要算法和排序g)錯(cuò)誤報(bào)告機(jī)制。7.3.4.24軟件設(shè)計(jì)規(guī)格說(shuō)明應(yīng)選擇表A.4中的技術(shù)和措施，所選組合應(yīng)被證明是滿足4.8和4.9的b)語(yǔ)言應(yīng)用過(guò)程中可能會(huì)產(chǎn)生的、而在驗(yàn)證過(guò)程中不可檢知的錯(cuò)誤的避免措施或檢測(cè)措施(見(jiàn)7.5和7.6)。這類失效是通過(guò)對(duì)語(yǔ)言的所有特征的分析得出的。2)組件間的信息流；3)順序和時(shí)間相關(guān)信息；1)所要求性能的可行性；2)進(jìn)一步驗(yàn)證時(shí)的可測(cè)試性；3)允許作進(jìn)一步改進(jìn)時(shí)的可維護(hù)性。用數(shù)據(jù)和/或應(yīng)用算法配置的系統(tǒng)允許根據(jù)每個(gè)特定應(yīng)用的個(gè)性化需求對(duì)已經(jīng)過(guò)批準(zhǔn)的通用軟件進(jìn)行開(kāi)發(fā)應(yīng)用數(shù)據(jù)的目標(biāo)是從給定的安裝活動(dòng)正確地獲取數(shù)據(jù)以及對(duì)預(yù)期行為的檢查，隨后對(duì)該應(yīng)用應(yīng)用算法的開(kāi)發(fā)要求與第1章～第7章和第9章所描述的通用軟件的開(kāi)發(fā)要求相同。后將應(yīng)用算法的實(shí)例和互連及一組配置數(shù)據(jù)配置到每個(gè)特定的安裝活動(dòng)。例c)通用軟件和應(yīng)用工具的應(yīng)用條件；b)應(yīng)用需求規(guī)格說(shuō)明；c)應(yīng)用架構(gòu)和設(shè)計(jì)；d)應(yīng)用測(cè)試規(guī)格說(shuō)明；g)應(yīng)用數(shù)據(jù)/算法源代碼；8.4.1.1應(yīng)用準(zhǔn)備計(jì)劃應(yīng)由需求經(jīng)理或設(shè)計(jì)人員根據(jù)8.2的輸8.4.7.5應(yīng)根據(jù)6.5和6.7中指定的要求對(duì)所有應(yīng)用數(shù)據(jù)/算法和相關(guān)的文檔進(jìn)行配置管理。應(yīng)用數(shù)格說(shuō)明中進(jìn)行標(biāo)識(shí)。分配給功能的安全完整性等級(jí)將決定系統(tǒng)所有安裝活動(dòng)中用到的應(yīng)用數(shù)據(jù)/算法8.4.8.4應(yīng)實(shí)行通用軟件和應(yīng)用數(shù)據(jù)/算法之間的嚴(yán)格分離，即可重新編譯和更新通用軟件或應(yīng)用數(shù)據(jù)/算法中的一個(gè)而無(wú)需更新另一個(gè)，除非通用軟件和應(yīng)用數(shù)據(jù)/算法之間定義的用工具的軟件發(fā)布單。這些文檔的內(nèi)容應(yīng)經(jīng)過(guò)V&V活動(dòng)。b)對(duì)應(yīng)用數(shù)據(jù)/算法的任何約束條件，例如強(qiáng)制的架構(gòu)或編碼規(guī)則，以符合安全完整性等級(jí)的9.2.4.4可維護(hù)性應(yīng)作為軟件的固有屬性，特別是遵循7.3、7.4和7.5的要求進(jìn)行設(shè)計(jì)。應(yīng)采用(規(guī)范性)表A.1～表A.11與本文件的正文條款相關(guān)聯(lián)，用以說(shuō)明符合性的實(shí)現(xiàn)方法。其中較低級(jí)別的表對(duì)每項(xiàng)技術(shù)或措施的要求是相同的。類似地，軟件SIL3和SIL4對(duì)每項(xiàng)技術(shù)或措施的要求也是相同——“HR”表示該項(xiàng)技術(shù)或措施在該安全完整性等級(jí)下是強(qiáng)烈推薦的。如果不使用該項(xiàng)技術(shù)或措 —“NR”表示該技術(shù)或措施在當(dāng)前安全完整性等級(jí)下是肯定不推薦的。如果該技術(shù)或措施被使當(dāng)一個(gè)或多個(gè)技術(shù)或措施被選擇時(shí)，技術(shù)或證計(jì)劃引用的另一個(gè)文檔中說(shuō)明，除非表格的附注有其他的要求。這些附注可階段文檔1.軟件質(zhì)量保證計(jì)劃2.軟件質(zhì)量保證驗(yàn)證報(bào)告3.軟件配置管理計(jì)劃5.軟件確認(rèn)計(jì)劃6.軟件需求規(guī)格說(shuō)明7.整體軟件測(cè)試規(guī)格說(shuō)明表A.1生命周期和文檔(5.3)(續(xù))階段文檔9.軟件架構(gòu)規(guī)格說(shuō)明10.軟件設(shè)計(jì)規(guī)格說(shuō)明11.軟件接口規(guī)格說(shuō)明12.軟件集成測(cè)試規(guī)格說(shuō)明13.軟件/硬件集成測(cè)試規(guī)格說(shuō)明14.軟件架構(gòu)和設(shè)計(jì)驗(yàn)證報(bào)告15.軟件組件設(shè)計(jì)規(guī)格說(shuō)明R16.軟件組件測(cè)試規(guī)格說(shuō)明R17.軟件組件設(shè)計(jì)驗(yàn)證報(bào)告R18.軟件源代碼和支持文檔19.軟件組件測(cè)試報(bào)告R20.軟件源代碼驗(yàn)證報(bào)告21.軟件集成測(cè)試報(bào)告22.軟件/硬件集成測(cè)試報(bào)告23.軟件集成驗(yàn)證報(bào)告整體軟件測(cè)24.整體軟件測(cè)試報(bào)告25.整體軟件測(cè)試驗(yàn)證報(bào)告26.軟件確認(rèn)報(bào)告27.工具確認(rèn)報(bào)告R29.應(yīng)用需求規(guī)格說(shuō)明30.應(yīng)用準(zhǔn)備計(jì)劃(見(jiàn)注2)31.應(yīng)用測(cè)試規(guī)格說(shuō)明(見(jiàn)注2)32.應(yīng)用架構(gòu)和設(shè)計(jì)(見(jiàn)注2)33.應(yīng)用準(zhǔn)備驗(yàn)證報(bào)告34.應(yīng)用測(cè)試報(bào)告36.應(yīng)用數(shù)據(jù)/算法驗(yàn)證報(bào)告37.軟件發(fā)布和部署計(jì)劃RRRR表A.1生命周期和文檔(5.3)(續(xù))階段文檔軟件維護(hù)RRRRR注1:根據(jù)5.3.2.11和5.3.2.12,可對(duì)不同的文檔進(jìn)行合并。注2:文檔30、31、32的推薦程度是HR還是R,取決于它們?cè)谶^(guò)程中定義的重要性和驗(yàn)證發(fā)生的時(shí)機(jī)。如在系統(tǒng)范疇，數(shù)據(jù)僅需要驗(yàn)證而不用測(cè)試，而更多功能性屬性則需要測(cè)試和驗(yàn)證。這種情況下，雖然標(biāo)注的是注3:對(duì)于軟件評(píng)估計(jì)劃和軟件評(píng)估報(bào)告，見(jiàn)6.4.1.2。注4:軟件質(zhì)量保證報(bào)告包含在GB/T28809—2012所規(guī)定的質(zhì)量管理報(bào)告中。表A.2軟件需求規(guī)格說(shuō)明(7.2)參考條目1.形式化方法(基于數(shù)學(xué)方法)RRRRRRRRRRR軟件需求規(guī)格說(shuō)明應(yīng)包括采用自然語(yǔ)言和任何必要的形式化或半形式化符號(hào)對(duì)問(wèn)題進(jìn)行描本表列出了為清晰和精確定義規(guī)格說(shuō)明所需的附加要求。應(yīng)選擇其中一種或多種技術(shù)以滿參考條目1.防御性編程 RRRRRR RRRRRRRRRR表A.3軟件架構(gòu)(7.3)(續(xù))參考條目10.向前恢復(fù)11.故障恢復(fù)重試機(jī)制RRRR12.存儲(chǔ)執(zhí)行實(shí)例RR13.人工智能故障糾正 14.軟件動(dòng)態(tài)重構(gòu)15.軟件錯(cuò)誤影響分析RR16.功能弱化RR17.信息隱藏18.信息封裝R19.完全定義的接口MMRRRRRR23.由計(jì)算機(jī)輔助設(shè)計(jì)和規(guī)格說(shuō)明RRR對(duì)于軟件SIL3和SIL4,認(rèn)可的技術(shù)組合如下所——1、7、19、22,以及4、5、12、21中之一；——1、4、19、22,以及2、5、12、15、21中之一。對(duì)于軟件SIL1和SIL2,認(rèn)可的技術(shù)組合如下：1、19、22,以及2、4、5、7、12、15、21中之一。其中一些項(xiàng)點(diǎn)可在系統(tǒng)級(jí)進(jìn)行規(guī)定。檢錯(cuò)碼可根據(jù)GB/T24339(所有部分)的要求使用。參考條目1.形式化方法RRRRMMMMMM7.可分析程序RR表A.4軟件設(shè)計(jì)和實(shí)施(7.4)(續(xù))參考條目10.編程語(yǔ)言R11.語(yǔ)言子集12.面向?qū)ο缶幊蘎RRRR13.面向過(guò)程編程R14.元編程RRRRR對(duì)于軟件SIL3和SIL4,認(rèn)可的技術(shù)組合是4、5、6、8,以及1、2中之一。對(duì)于軟件SIL1和SIL2,認(rèn)可的技術(shù)組合是3、4、5、6,以及8、9、10中之一。參考條目1.形式化證明 RRRRRRRMMRR表A.21RMM10.接口測(cè)試對(duì)于軟件SIL3和SIL4,認(rèn)可的技術(shù)組合是3、5、7、8,以及1、2、6中之一。對(duì)于軟件SIL1和SIL2,認(rèn)可的技術(shù)組合是5,以及2、3、8中之一。注1:1、2、4、5、6和7適用于驗(yàn)證活動(dòng)。注2:3、8、9和10適用于測(cè)試活動(dòng)。參考條目1.功能/黑盒測(cè)試RR表A.7整體軟件測(cè)試(6.2和7.7)參考條目1.性能測(cè)試MMMMRRRR對(duì)于軟件SIL1和SIL2,認(rèn)可的技術(shù)組合是1和2。參考條目1.靜態(tài)軟件分析RRR3.因果圖RRRRRRRRRRR應(yīng)選擇表中一個(gè)或多個(gè)技術(shù)來(lái)滿足選用的軟件安全完整性等參考條目RMMMMM3.符合ISO/IEC90003RRRRR4.公司質(zhì)量體系MMMMMMMMMMRRMMMM該表適用于不同角色和所有階段。參考條目1.影響分析RMMMM表A.11數(shù)據(jù)準(zhǔn)備技術(shù)(8.4)參考條目1.表格化的規(guī)格說(shuō)明方法RRRRR2.應(yīng)用專用語(yǔ)言RRRRRRMMMMMRMMRRRR7.正式設(shè)計(jì)評(píng)審R8.(數(shù)據(jù))正確性的形式化證明RRR對(duì)于軟件SIL1和SIL2,認(rèn)可的技術(shù)組合是1和4。對(duì)于軟件SIL3和SIL4,認(rèn)可的技術(shù)組合是1、4、5、7或2、3、注：B.29的描述是針對(duì)程序的，而此處第8項(xiàng)技術(shù)/措施應(yīng)用于數(shù)據(jù)正確性的形式化證表A.12編碼規(guī)范(7.3,表A.4)參考條目1.編碼標(biāo)準(zhǔn)MMRRRRRRRR6.有限制使用遞歸RRR10.限制子程序參數(shù)數(shù)量RRRRR11.限制使用全局變量MM技術(shù)3、4和5可作為經(jīng)過(guò)確認(rèn)的編譯器或翻譯器的一部分而得到認(rèn)可。參考條目1.基于邊界值分析的測(cè)試用例RRRRRRRRRRRRRRRR測(cè)試用例分析是在子系統(tǒng)級(jí)并基于規(guī)格說(shuō)明和/或規(guī)格說(shuō)明和代碼進(jìn)行的。表A.14功能/黑盒測(cè)試(表A.5～表A.8,表A.21)參考條目1.基于因果圖的測(cè)試用例執(zhí)行RR2.原型設(shè)計(jì)/動(dòng)畫RRRRRRRRR仿真的完整性取決于軟件安全完整性等級(jí)、復(fù)雜度和應(yīng)用情表A.15文本化編程語(yǔ)言(表A.4,表A.21)參考條目RRRRRRRRRRRR7.匯編語(yǔ)言RRRRRRRRRRRRRRR參考條目10.語(yǔ)句列表RRRRR語(yǔ)言的選擇應(yīng)基于6.7和7.3中規(guī)定的要求。不需要為排除特定編程語(yǔ)言做出的決定進(jìn)行合理的解注1:評(píng)估編程語(yǔ)言適用性的有關(guān)信息，參見(jiàn)B.54“合適的編程語(yǔ)言”。注2:如果某特定語(yǔ)言不在表中，不意味著被自動(dòng)排除在外，遵守B.54。注3:與選定語(yǔ)言相關(guān)的運(yùn)行時(shí)系統(tǒng)(run-timesystems)是運(yùn)行應(yīng)用程序所必需的，根據(jù)軟明其使用是合理的。參考條目1.功能塊圖RRRRR2.順序功能圖3.梯形圖RRRRR4.狀態(tài)圖R表A.17建模(表A.2～表A.4,表A.7)參考條目1.數(shù)據(jù)建模RRR2.數(shù)據(jù)流圖RR3.控制流圖RRR4.有限狀態(tài)機(jī)或狀態(tài)轉(zhuǎn)換圖5.時(shí)間Petri網(wǎng)RRRRR RRRR9.原型設(shè)計(jì)/動(dòng)畫RRRR10.結(jié)構(gòu)圖RR11.順序圖R應(yīng)至少選擇一項(xiàng)HR技術(shù)。參考條目1.雪崩/壓力測(cè)試RR參考條目1.邊界值分析RRRRRR5.錯(cuò)誤推測(cè)RRRR6.走查/設(shè)計(jì)評(píng)審參考條目1.信息隱藏R3.參數(shù)個(gè)數(shù)限制RRRRR4.完全定義的接口RMM只有在沒(méi)有數(shù)據(jù)訪問(wèn)的通用策略時(shí)，宜使用信息隱藏和信息封表A.21代碼測(cè)試覆蓋率(7.5,表A.5)參考條目1.語(yǔ)句RRRRRRRRR對(duì)于每個(gè)安全完整性等級(jí)，都應(yīng)為進(jìn)行的測(cè)試開(kāi)發(fā)一種覆蓋率的量化方法。用以支持對(duì)測(cè)試所外技術(shù)的必要性進(jìn)行判斷。對(duì)于軟件SIL3和SIL4,組件級(jí)別的測(cè)試覆蓋率應(yīng)根據(jù)2、3,或2級(jí)別的測(cè)試覆蓋率應(yīng)根據(jù)2、3、4、5中的一可使用其他合理的測(cè)試覆蓋率標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)依賴于軟件架構(gòu)(見(jiàn)表A.3)和編程語(yǔ)言(見(jiàn)表A.15和表A.16任何不可測(cè)試的代碼都應(yīng)使用適當(dāng)?shù)募夹g(shù)證明其正確性，如表A.19中的靜態(tài)分析。注1:第2～5項(xiàng)技術(shù)/措施可自動(dòng)實(shí)現(xiàn)語(yǔ)句覆蓋。注2:該表中的測(cè)試覆蓋準(zhǔn)則用于基于結(jié)構(gòu)的(基于代碼的，白盒)測(cè)試。功能(基于規(guī)格說(shuō)明，措施見(jiàn)表A.14。注3:高覆蓋率百分比通常難以達(dá)到。通過(guò)執(zhí)行邊界值(B.4)、等價(jià)類和輸入劃分測(cè)試(B.18)用較少的測(cè)試實(shí)現(xiàn)充分的覆蓋率。注4:2和3的區(qū)別取決于實(shí)踐中編程語(yǔ)言的級(jí)別和組合條件的使用。比如按照編譯后的結(jié)表A.22面向?qū)ο蟮能浖軜?gòu)(表A.4)參考條目1.應(yīng)用領(lǐng)域概念到架構(gòu)類的可RRRRRRRRR當(dāng)使用已有的框架和設(shè)計(jì)模式時(shí)，既有軟件的需求需適合于這些框架和模注1:面向?qū)ο蟮姆椒ǔ尸F(xiàn)的信息和過(guò)程式的方法不同，下面的列表包含需——了解類層次結(jié)構(gòu)，以及在調(diào)用給定的方法(包括使用現(xiàn)有的類庫(kù))時(shí)需要執(zhí)行的軟件函數(shù)的標(biāo)識(shí)；——基于結(jié)構(gòu)的測(cè)試(表A.13)。注2:對(duì)部分即將開(kāi)發(fā)的軟件，其框架可能存在于已成功解決了類似任務(wù)且為開(kāi)發(fā)人員所熟么該框架的使用被認(rèn)為是良好實(shí)踐行為。表A.23面向?qū)ο蟮脑敿?xì)設(shè)計(jì)(表A.22)參考條目1.類應(yīng)只有一個(gè)對(duì)象 RRR2.僅當(dāng)派生類是其基本類的細(xì)R3.通過(guò)編碼標(biāo)準(zhǔn)限制繼承深度RRRRRRR一個(gè)類只負(fù)責(zé)一項(xiàng)職責(zé)，即關(guān)注密切關(guān)聯(lián)的數(shù)據(jù)和對(duì)這些數(shù)據(jù)的操作。避免對(duì)象之間的循環(huán)依賴。(資料性)借助引入方法和過(guò)程模型的組合以及某種在線安全性和可靠性分析，以便尤其是在以功能性或者描述性的方式運(yùn)用模型和方法的組合時(shí)，本方法可有e)輸入和輸出參量之間的關(guān)系宜盡可能簡(jiǎn)單；f)不宜將復(fù)雜計(jì)算作為分支和循環(huán)的判定依據(jù)；d)受影響的裝置各自調(diào)到它們的最大速度或最低速度；程序的輸入域被劃分成若干輸入類別。測(cè)試宜包括每個(gè)類別的邊界值和極限的輸入域的邊界與程序的邊界是否一致。在直接和間接轉(zhuǎn)換中，0值的使用通常容易出錯(cuò)，應(yīng)特別a)除數(shù)為0;輸入(參數(shù))的邊界通常直接對(duì)應(yīng)于輸出范圍的邊界。宜編寫測(cè)試用例使得輸含元素，只有1個(gè)或2個(gè)元素的鏈表。法意味著要在所謂良好定義的檢查點(diǎn)頻繁保存內(nèi)部的狀態(tài)。可以完整方式(對(duì)如果使用的檢查表中存在與正在處理的系統(tǒng)無(wú)關(guān)的問(wèn)題，那么該問(wèn)題宜控制流分析識(shí)別代碼中沒(méi)有遵循良好編程實(shí)踐的可疑區(qū)域。對(duì)程序進(jìn)行分析b)打結(jié)代碼。具有良好結(jié)構(gòu)的代碼，其控制圖可通過(guò)連續(xù)的圖形縮減簡(jiǎn)化到單個(gè)節(jié)點(diǎn)。而結(jié)構(gòu)為了識(shí)別冗余系統(tǒng)或冗余子系統(tǒng)中，由于冗余部件同一時(shí)間出現(xiàn)相同B.9.2描述為了維護(hù)設(shè)備的安全，計(jì)算機(jī)系統(tǒng)經(jīng)常在硬件和多數(shù)表決中使用冗余通過(guò)記錄、確認(rèn)和分析各個(gè)項(xiàng)目和人員的相關(guān)數(shù)據(jù)來(lái)促進(jìn)軟件過(guò)程的改進(jìn)織的戰(zhàn)略目標(biāo)決定的。這些目標(biāo)可能是針對(duì)某一特定的軟件開(kāi)發(fā)方法的數(shù)據(jù)記錄和分析是軟件過(guò)程改進(jìn)的重要組成部分。有效數(shù)據(jù)的記錄是了c)決策及其理由；為了達(dá)到預(yù)期的準(zhǔn)確性，數(shù)據(jù)記錄和確認(rèn)過(guò)程應(yīng)與開(kāi)發(fā)同時(shí)進(jìn)行，比如作為配置控制過(guò)程的一2)盡可能檢查數(shù)據(jù)值的合理性；3)在程序入口處檢查程序入口參數(shù)的類型、維數(shù)和取值范圍。從程序功能方面和變量的物理意義兩方面看，這三條建議有助于保證程序操作的數(shù)據(jù)是應(yīng)區(qū)分只讀和可讀/寫的參數(shù)，并檢查對(duì)它們的訪問(wèn)。函數(shù)應(yīng)以只讀方式訪問(wèn)所有參數(shù)。1)檢查具有物理意義的輸入變量和中間變量的合理性；2)檢查輸出變量的作用效果，最好直接觀察相關(guān)系統(tǒng)狀態(tài)的變化；3)軟件應(yīng)檢查其配置，這包括檢查預(yù)期硬件是否存在及其可訪問(wèn)性，也包括檢查軟件自身的a)語(yǔ)言的合理性；b)適用時(shí)的范圍和基礎(chǔ)標(biāo)準(zhǔn)；e)對(duì)避免錯(cuò)誤的限制；N個(gè)版本可在不同的計(jì)算機(jī)上面并行運(yùn)行，也可在一臺(tái)計(jì)算機(jī)上實(shí)驗(yàn)和分析研究表明，N版本編程并不總是如期望的那樣有N版本編程的兩個(gè)選擇是設(shè)計(jì)多樣性和功能多樣性。設(shè)計(jì)多樣系統(tǒng)的邏輯架構(gòu)應(yīng)能映射到系統(tǒng)可用資源的子集。體系架構(gòu)需要將邏輯體系架構(gòu)重新映射到剩下仍在工作的受限資源上。盡管這種想法傳統(tǒng)上僅限B.18.2描述b)可根據(jù)程序內(nèi)部結(jié)構(gòu)來(lái)定義等價(jià)類。在這種情況下，等價(jià)類的結(jié)果是由程序的靜態(tài)分析確定對(duì)于一個(gè)n比特信息片段，生成一個(gè)k比特的編碼塊使得錯(cuò)誤能被檢測(cè)、糾正。不同的編碼類型d)哈希碼慮系統(tǒng)是否足夠健壯。面板上的按鈕是否可過(guò)快或過(guò)頻繁地按動(dòng)?如果兩個(gè)按鈕同時(shí)按壓，會(huì)發(fā)生什么?B.21.2描述將一些已知的錯(cuò)誤類型插入到程序中，而后在測(cè)試條件下使用測(cè)試用例執(zhí)行程部分播下的錯(cuò)誤，那么測(cè)試用例集就不夠充分。已發(fā)現(xiàn)的播種錯(cuò)誤數(shù)與播對(duì)所有播種錯(cuò)誤的檢測(cè)可能表明測(cè)試集是否充分，或者播種錯(cuò)誤是否太容易為了以圖形方式建立模型對(duì)系統(tǒng)中初始事件后可能發(fā)展的事件序列進(jìn)B.23菲根(Fagan)審查法B.24.2描述斷言編程方法遵循檢查前置條件(在執(zhí)行語(yǔ)句序列之前，檢查初始條件的有效性)和一個(gè)后置條assert<前置條件>;assert<后置條件>;a)重要軟件組件識(shí)別是根據(jù)組件規(guī)格說(shuō)明，確定每個(gè)軟件組件需要的分析深度(在單個(gè)指令行、1)組件名稱；2)考慮到的錯(cuò)誤；3)模塊級(jí)錯(cuò)誤的后果；4)系統(tǒng)級(jí)的后果；6)錯(cuò)誤危害程度；7)建議的錯(cuò)誤檢測(cè)方法；8)如果檢測(cè)方法被執(zhí)行，仍會(huì)違反的準(zhǔn)則；c)綜合。綜合識(shí)別剩余的不安全場(chǎng)景和給出每個(gè)模塊的危害程度所需的確認(rèn)工作量。故障檢測(cè)是基于冗余(主要用于檢測(cè)硬件故障)和多樣性(軟件故障)復(fù)雜系統(tǒng)是由子系統(tǒng)組成的。故障檢測(cè)、診斷和補(bǔ)償?shù)男嗜∵@些是關(guān)鍵系統(tǒng)的重要屬性，可對(duì)它們進(jìn)行檢查。支持這些檢查的工具為了改進(jìn)復(fù)雜系統(tǒng)行為的描述，對(duì)基本FSM進(jìn)行了一些擴(kuò)展。所謂的狀邏輯上是嚴(yán)格推理的(每個(gè)步驟都遵循推理規(guī)則，因此可通過(guò)機(jī)械過(guò)程進(jìn)行檢驗(yàn))a)將形式化方法應(yīng)用于大部分細(xì)節(jié)都被抽象掉的需求和高層設(shè)計(jì)；c)分析變量是離散的且范圍急劇減少的軟件和硬件模型；在本附錄中，給出了幾個(gè)形式化方法的例子。這些例子并不詳盡。所描述的序進(jìn)程(CSP)、通信系統(tǒng)演算(CCS)、高階邏輯(HOL)、時(shí)序規(guī)格說(shuō)明語(yǔ)言(LOTOS)、代數(shù)規(guī)格說(shuō)明語(yǔ)CSP為進(jìn)程系統(tǒng)的規(guī)格說(shuō)明提供一種語(yǔ)言，并為驗(yàn)證進(jìn)程的實(shí)現(xiàn)滿足其規(guī)格說(shuō)明提供證據(jù)(這些過(guò)順序或并行地組合進(jìn)程來(lái)建模的。進(jìn)程可通過(guò)通道進(jìn)行通信(同步或交換數(shù)據(jù)),并且只有當(dāng)兩個(gè)進(jìn)CSP理論被直接應(yīng)用于InmosTransputer體系架構(gòu)中，并且通過(guò)occam語(yǔ)言)可直接在Trans-puter的網(wǎng)絡(luò)上實(shí)現(xiàn)一個(gè)基于CSP方法描述的系統(tǒng)。B.28.3通信系統(tǒng)演算(CCS)順序運(yùn)行或并行運(yùn)行的獨(dú)立進(jìn)程構(gòu)成的網(wǎng)絡(luò)?；蛘呤遣⑿行问浇?。進(jìn)程可通過(guò)端口進(jìn)行通信(類似的高級(jí)抽象描述(稱為痕跡)開(kāi)始，可對(duì)系統(tǒng)進(jìn)行逐步求精細(xì)化成其整體行為是整個(gè)系HOL是指一種特殊的邏輯符號(hào)及其機(jī)器支持系統(tǒng)，這二者都是由劍橋大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室開(kāi)發(fā)的。LOTOS基于CCS,附加了一些源自相關(guān)的代數(shù)學(xué)如CSP和電路微積分(CIRCAL)的特征。它通OBJ是一種代數(shù)規(guī)格說(shuō)明語(yǔ)言。用戶以代數(shù)方程的形式指定需求。系統(tǒng)的行為、構(gòu)造或特征是根認(rèn)。執(zhí)行本質(zhì)上就是通過(guò)等式替換(重寫)進(jìn)行的功能評(píng)估，等式替換一直持續(xù)到獲得特定的輸出值。階謂詞邏輯進(jìn)行了擴(kuò)展。這些操作符可用來(lái)限定有關(guān)系統(tǒng)的一些斷言。例如：安全屬性可能需要包含一個(gè)計(jì)算機(jī)程序。在時(shí)態(tài)邏輯中并不明確處理量化的時(shí)間間隔和約束，絕對(duì)定時(shí)應(yīng)通過(guò)創(chuàng)建額外的時(shí)間狀態(tài)作為狀態(tài)定義的一部分來(lái)處理。VDM是一種基于數(shù)學(xué)的規(guī)格說(shuō)明技術(shù)和一種用于對(duì)實(shí)現(xiàn)進(jìn)行細(xì)化的技術(shù)，這種技術(shù)允許對(duì)規(guī)格集合理論結(jié)構(gòu)上定義了不變量(謂詞),而在該狀態(tài)上的操作是根據(jù)系統(tǒng)狀態(tài)通過(guò)指定它們的前置和后規(guī)格說(shuō)明的實(shí)現(xiàn)是借助目標(biāo)語(yǔ)言的數(shù)據(jù)結(jié)構(gòu)對(duì)系統(tǒng)狀態(tài)進(jìn)行具體化和借進(jìn)行細(xì)化來(lái)完成的。具體化和細(xì)化的步驟將產(chǎn)生驗(yàn)證它們的正確性的義務(wù)。是否履VDM主要是用于規(guī)格說(shuō)明階段，但也可用于設(shè)計(jì)和實(shí)現(xiàn)階段生成源程序。它只能被用于順序程Z方法是一種用于順序系統(tǒng)的規(guī)格說(shuō)明語(yǔ)言符號(hào)和設(shè)計(jì)技術(shù)，該技術(shù)在將一個(gè)Z方法規(guī)格說(shuō)明開(kāi)構(gòu)來(lái)建模的，在該狀態(tài)下的操作是根據(jù)系統(tǒng)狀態(tài)通過(guò)指定它們的前置和后為B方法),可和Z方法聯(lián)合使用。如同VDM,B方法的目的是對(duì)一個(gè)系統(tǒng)或軟件進(jìn)行形式化建模，并證明系統(tǒng)或軟件的行為符合在序。該模型由抽象機(jī)(不一定是確定性的)和這些機(jī)器的逐步細(xì)化組成，導(dǎo)致用稱為“B0”的偽自動(dòng)生成一套證明義務(wù)(從B方法模型提取的假設(shè)中要正式證明的邏輯斷言)。這些證明義務(wù)c)數(shù)據(jù)和操作的細(xì)化(如必要的話可和B0偽代碼一起)不能違背用抽象機(jī)器編寫的規(guī)格說(shuō)明；模型檢查是檢查一個(gè)給定的結(jié)構(gòu)是否為給定邏輯公式的模型的過(guò)程。該概念某一重要類型的模型檢查方法已經(jīng)發(fā)展為形式化系統(tǒng)的算法驗(yàn)證。這是通過(guò)驗(yàn)證結(jié)構(gòu)(通常來(lái)自硬件或軟件設(shè)計(jì))是否滿足形式化規(guī)格說(shuō)明(通常是時(shí)態(tài)邏輯公式)來(lái)實(shí)現(xiàn)的。這種結(jié)構(gòu)通常用工業(yè)硬件描述語(yǔ)言或?qū)Ｓ谜Z(yǔ)言作為源代碼描述。這樣的一個(gè)。節(jié)點(diǎn)表示系統(tǒng)的狀態(tài)，邊表示可能改變狀態(tài)的轉(zhuǎn)換，而基本命題形式上該問(wèn)題可表述如下：給定一個(gè)期望的性質(zhì)，表示為時(shí)態(tài)邏輯公式P,以及B.29形式化證明B.29.2描述在程序的不同位置聲明了許多斷言，它們被用作程序中各條路徑的前置條件法。這些方法的描述可在B.28中找到。其適合于具有小型數(shù)據(jù)庫(kù)和內(nèi)部狀態(tài)快速變化的實(shí)時(shí)系統(tǒng)。假定，系統(tǒng)狀態(tài)這種技術(shù)給出將被系統(tǒng)執(zhí)行的各種功能的優(yōu)先級(jí)。設(shè)計(jì)保證了在執(zhí)行所有系統(tǒng)功能的資源不足的行進(jìn)方向設(shè)置可用的進(jìn)路。這是一種故障弱化，因?yàn)樵趦?yōu)先進(jìn)路上的列車能通過(guò)因與控制中心失去b)對(duì)所有識(shí)別出的受影響的組件進(jìn)行再驗(yàn)證；所有軟件組件都可以全局訪問(wèn)的數(shù)據(jù)可能被其中的任何組件意外地或錯(cuò)誤程序進(jìn)行操作。這種方法允許修改內(nèi)部結(jié)構(gòu)或者增加另外的程序而不影響其余軟件的功能行為。例很多編程語(yǔ)言都直接支持抽象數(shù)據(jù)類型的概念，但是無(wú)論使用哪種編程語(yǔ)言，基本原則都是適為了證明子程序的接口不包含任何錯(cuò)誤或任何可能導(dǎo)致軟件在特定應(yīng)a)所有接口變量處于其極限值；b)所有接口變量分別處于其極限值而其他變量處于正常值；c)每個(gè)接口變量處于值域中的所有值而其d)所有變量的所有值的組合(這可能只是小的接口才可行);如果接口不包含檢測(cè)錯(cuò)誤參數(shù)值的斷言，這些測(cè)試就特別重要。在B.35.2描述可采用不同的方法存儲(chǔ)執(zhí)行路徑。Hash編碼方法可用于將執(zhí)行序列映射成單個(gè)大數(shù)或數(shù)字序B.37度量這些模型評(píng)價(jià)軟件的一些結(jié)構(gòu)性質(zhì)并將它們與一些期望的屬性(如復(fù)雜度c)Halstead復(fù)雜性測(cè)度：這種測(cè)度通過(guò)計(jì)算操作符和操作數(shù)的數(shù)量來(lái)計(jì)算程序長(zhǎng)度。它提供了d)每個(gè)組件的入口和出口數(shù)量：使入/出口的數(shù)量最小化是結(jié)構(gòu)化設(shè)計(jì)和編程技術(shù)的一個(gè)關(guān)鍵模塊化方法或者模塊化包含軟件工程設(shè)計(jì)、編碼和維護(hù)階段的若干規(guī)則。這d)子程序只應(yīng)有一個(gè)入口和一個(gè)出口；g)任何模塊/組件接口應(yīng)包含模塊/組件功能所需的最小參數(shù)數(shù)量；h)應(yīng)指定適當(dāng)?shù)膮?shù)限制的數(shù)量，通常為5個(gè)。需求規(guī)格說(shuō)明包括吞吐量和特定功能的響應(yīng)要求而導(dǎo)致的過(guò)度延時(shí)或過(guò)長(zhǎng)的響應(yīng)時(shí)間。為避免這種情況，工程師通常設(shè)計(jì)系分(如50%),從而降低資源匱乏的可能性。a)要獲得的成功準(zhǔn)則；c)識(shí)別基本的和可選的性能需求和成功準(zhǔn)則；d)平均故障間隔時(shí)間(MTBF)或失為了便于測(cè)試，通常采用自動(dòng)幫助。它們關(guān)注測(cè)試數(shù)據(jù)提供和測(cè)試輸各個(gè)測(cè)試工具、測(cè)試執(zhí)行和測(cè)試監(jiān)督是由上面描述的詳細(xì)測(cè)試目標(biāo)決關(guān)于任何測(cè)試對(duì)象行為的概率數(shù)據(jù)也可是源自操作經(jīng)驗(yàn)。只要滿足為了根據(jù)給定的約束條件檢查實(shí)現(xiàn)系統(tǒng)的可行性。將規(guī)格說(shuō)明人員對(duì)B.44恢復(fù)塊執(zhí)行第二個(gè)段，稱之第一替補(bǔ)項(xiàng)。它之后也緊隨一個(gè)驗(yàn)收測(cè)試，并和第一段的情況同樣處理。如果需系統(tǒng)和軟件的需求規(guī)格，包含特定功能的內(nèi)存和響應(yīng)需求，也許制。需要執(zhí)行分析以確定在平均和最壞情況下的分布要求。該分析要求估計(jì)B.46.2描述在檢測(cè)到故障或錯(cuò)誤條件時(shí)，嘗試通過(guò)重新執(zhí)行相同的代碼來(lái)恢復(fù)情況。在完備。重試技術(shù)通常用于通信故障或錯(cuò)誤恢復(fù)，重試條件可從通信協(xié)議錯(cuò)誤(安全袋是一個(gè)外部監(jiān)視器，根據(jù)不同的規(guī)格說(shuō)明在一臺(tái)獨(dú)立計(jì)算計(jì)算機(jī)執(zhí)行安全的、但未必正確的操作。安全袋持續(xù)地監(jiān)控主計(jì)算機(jī)，防止系軟件配置管理的目的是確保當(dāng)那些可交付項(xiàng)發(fā)生變化時(shí)，成組的開(kāi)發(fā)付項(xiàng)的每個(gè)版本，和不同可交付項(xiàng)的不同版本之間的每一個(gè)關(guān)系。這種結(jié)果記個(gè)可交付項(xiàng)的變更對(duì)其他可交付項(xiàng)的影響。特別是，可從一致的組件版本中可這樣的語(yǔ)言通常允許從基本的語(yǔ)言數(shù)據(jù)類型(如INTEGER、REAL)來(lái)定義用戶自定義數(shù)據(jù)類型，這些用戶自定義類型可和基本類型完全相同的方式使用，但是要進(jìn)行嚴(yán)格檢類型。即使它是由另外的編譯單元建立起來(lái)的，這些檢測(cè)也要求強(qiáng)加到整個(gè)程強(qiáng)類型語(yǔ)言也支持良好的軟件工程實(shí)踐的其他方面，如易分析的控制結(jié)構(gòu)(如IF…THEN…在程序分析的基礎(chǔ)上，選擇一組輸人數(shù)據(jù)，以便測(cè)試所選程序元素的大部分d)線形代碼序列和跳轉(zhuǎn)[LCSAJ(LinearCodeSequenceAndJump)]是代碼語(yǔ)句的任意線性序B.51結(jié)構(gòu)圖樹(shù)形圖的形式顯示。它們描述了怎樣按程序單元的層次結(jié)構(gòu)來(lái)實(shí)現(xiàn)數(shù)據(jù)結(jié)構(gòu)圖顯示了程序單元之間的關(guān)系，而不包括這些單元激活順序的任何信息。畫這些圖時(shí)使用以從數(shù)據(jù)流圖派生的結(jié)構(gòu)圖表示系統(tǒng)的一級(jí)結(jié)構(gòu)，結(jié)構(gòu)圖上的每個(gè)框代表了數(shù)據(jù)流圖中的一個(gè)泡。結(jié)構(gòu)化方法的主要目的是通過(guò)關(guān)注生命周期的初期階段來(lái)提高功能，而另一些方法(如MASCOT、JSD、實(shí)時(shí)Yourdon)更適于c)所需系統(tǒng)中數(shù)據(jù)和功能的分解；標(biāo)識(shí)問(wèn)題和系統(tǒng)實(shí)體(如過(guò)程和數(shù)據(jù)流)的支持符號(hào)往往是精確的，但這些實(shí)體執(zhí)行的處理功能傾向于使用非正式的符號(hào)來(lái)表達(dá)。但是有些方法部分使用(數(shù)學(xué)上的)形式化符號(hào)(如JSD使用正則表達(dá)結(jié)構(gòu)化表示法的另一個(gè)好處是其可見(jiàn)性，允許用戶根據(jù)其強(qiáng)大以一種對(duì)軟件組件進(jìn)行實(shí)用分析的方式設(shè)計(jì)與實(shí)現(xiàn)軟件組件。該分析宜能發(fā)現(xiàn)所有重要的組件軟件組件的結(jié)構(gòu)復(fù)雜度宜最小化，宜避免復(fù)雜的分支。循環(huán)約束和分支數(shù)簡(jiǎn)單相關(guān)。宜將軟件組件劃分成適當(dāng)?shù)男∧K，這些模塊之間的交互宜是b)翻譯期間的檢查d)參數(shù)檢查面向?qū)ο缶幊淌腔诂F(xiàn)實(shí)世界中的抽象而不是基于計(jì)算抽象來(lái)思考軟件的一種全新的基本方法。面向?qū)ο缶幊虒④浖M織成一個(gè)對(duì)象集合，該集合包含有的。不允許其他軟件組件直接讀取或修改對(duì)象的私有數(shù)據(jù)。其他軟件組件區(qū)和方法，并允許增加一些私有數(shù)據(jù)和一些對(duì)需求的可追蹤性是系統(tǒng)確認(rèn)時(shí)的一個(gè)重要考慮因素，并提供手段允許它在b)從設(shè)計(jì)對(duì)象到對(duì)其進(jìn)行實(shí)例化的實(shí)現(xiàn)對(duì)象的可追蹤性；c)從需求和設(shè)計(jì)對(duì)象到為了保證系統(tǒng)正確和安全運(yùn)行的運(yùn)行維護(hù)對(duì)元編程是指某類計(jì)算機(jī)程序的編寫，這類計(jì)算機(jī)程序?qū)懟蛘卟倏v其他程序(或者自身)作為它們的反射是促進(jìn)元編程的一種很有價(jià)值的語(yǔ)言特性。把編程語(yǔ)言自身作為一級(jí)數(shù)據(jù)類型(如在Lisp元編程通常通過(guò)兩種方式之一工作。第一種方法是通過(guò)應(yīng)用程序接口(API)來(lái)將運(yùn)行時(shí)引擎的內(nèi)SFC元素允許將應(yīng)用算法單元?jiǎng)澐譃橐唤M由有向連線連接的步和轉(zhuǎn)換。每個(gè)步與一組動(dòng)作相關(guān)見(jiàn)GB/T15969.3—2017的8.2。B.64狀態(tài)圖狀態(tài)圖表或狀態(tài)圖用于描述系統(tǒng)的行為。狀態(tài)圖可描述事件發(fā)生時(shí)某個(gè)對(duì)計(jì)算機(jī)科學(xué)技術(shù)中數(shù)據(jù)建模是使用數(shù)據(jù)建模技術(shù)，通過(guò)形式化的數(shù)據(jù)模型軟件工程中的數(shù)據(jù)模型是一個(gè)描述如何表示和訪問(wèn)數(shù)據(jù)的抽象模型。域的數(shù)據(jù)對(duì)象，以及數(shù)據(jù)對(duì)象之間的關(guān)系。數(shù)據(jù)庫(kù)模型的一些典型應(yīng)用包括在計(jì)算機(jī)科學(xué)中，控制流圖(ControlFlowDiagram或Control任何執(zhí)行過(guò)程中該塊是不可達(dá)的，因此是不可達(dá)代碼，可被安全地刪除。如果從如果從進(jìn)入點(diǎn)的每個(gè)路徑通過(guò)M塊到達(dá)了N塊，就說(shuō)M塊支配N塊。輸入塊支配所有塊。如果從塊N到出口的每條路徑都應(yīng)經(jīng)過(guò)塊M,則稱塊M后置支配塊N。出口塊后置支配所有如果塊M直接支配塊N,且沒(méi)有諸如M支配P,P再支配N這樣的中間塊P,則稱塊M直接支配Mpre,并插入一個(gè)從Mpre到Mloop的新邊(因此Mpre是Mloop的直接支配者)。在開(kāi)始的時(shí)候，以一種允許通過(guò)抽象降低復(fù)雜性的方式來(lái)表示軟件程序和相關(guān)的軟件價(jià)。UML經(jīng)常用于所謂的模型驅(qū)動(dòng)開(kāi)發(fā)，并得到商業(yè)產(chǎn)品的支持。這種開(kāi)發(fā)風(fēng)格旨在通過(guò)使用高級(jí)UML是一種標(biāo)準(zhǔn)化的通用建模語(yǔ)言，起源于面向圖形的軟件規(guī)格說(shuō)明語(yǔ)言和面向?qū)ο蟮木幊陶Z(yǔ)言的使用。以傳統(tǒng)為基礎(chǔ)，UML重用了許多其前身的概念和方法。依據(jù)一個(gè)或多個(gè)圖表類型編寫模雖然UML是一種通用建模語(yǔ)言，但通過(guò)外廓(profile)可實(shí)現(xiàn)對(duì)特定領(lǐng)域的解釋。通過(guò)細(xì)化標(biāo)準(zhǔn)的UML概念，外廓使得通過(guò)使用外廓中定義的擴(kuò)展來(lái)作出這樣的解釋成為可能。通過(guò)這種方式，領(lǐng)域?qū)Ｓ谜Z(yǔ)言(DSL)是一種編程、規(guī)格說(shuō)明或建模語(yǔ)言，它是為解決特定應(yīng)用領(lǐng)域題，或采用某種特殊技術(shù)而特別創(chuàng)建的語(yǔ)言。本語(yǔ)言基于與該領(lǐng)域相關(guān)的概念序員的生產(chǎn)率和最終產(chǎn)品的質(zhì)量。代碼生成典型的實(shí)現(xiàn)方式為使用DSL作為輸入的應(yīng)用生成器。(規(guī)范性)軟件角色的職責(zé)和關(guān)鍵能力應(yīng)符合表C.1～表C.12的規(guī)定。2.應(yīng)負(fù)責(zé)軟件需求規(guī)格說(shuō)明。3.應(yīng)建立和維護(hù)與系統(tǒng)級(jí)需求之間的追蹤性。4.應(yīng)確保需求規(guī)格說(shuō)明和軟件需求處于變更和配置管理之下，包括狀態(tài)、版本和授權(quán)狀態(tài)。5.應(yīng)確保軟件需求規(guī)格說(shuō)明(針對(duì)用戶需求和應(yīng)用的最終環(huán)境)的一致性和完整性。7.應(yīng)理解本文件的要求。1.應(yīng)將指定的軟件需求轉(zhuǎn)換成可接受的解決方案。3.應(yīng)定義或選擇設(shè)計(jì)方法和支持工具。4.應(yīng)應(yīng)用合適的設(shè)計(jì)原則和標(biāo)準(zhǔn)。8.應(yīng)確保設(shè)計(jì)文檔處于變更和配置管理的控制下。1.應(yīng)具備應(yīng)用領(lǐng)域的工程化能力。2.應(yīng)掌握安全設(shè)計(jì)原則。3.應(yīng)具備設(shè)計(jì)分析和設(shè)計(jì)測(cè)試方法的能力。4.應(yīng)有能力在給定環(huán)境中根據(jù)設(shè)計(jì)約束進(jìn)行工作。6.應(yīng)理解硬件平臺(tái)、操作系統(tǒng)和接口系統(tǒng)的約束。1.應(yīng)將設(shè)計(jì)解決方案轉(zhuǎn)換為數(shù)據(jù)/源代碼/其他設(shè)計(jì)表2.應(yīng)將源代碼轉(zhuǎn)換為可執(zhí)行代碼/其他設(shè)計(jì)表3.應(yīng)運(yùn)用安全設(shè)計(jì)原則。7.應(yīng)開(kāi)發(fā)和維護(hù)實(shí)現(xiàn)文檔，包括應(yīng)用方法、數(shù)據(jù)類型和清9.應(yīng)保持所生成或修改的數(shù)據(jù)/代碼處于變更和配置管理的控制之下。2.應(yīng)具備實(shí)現(xiàn)語(yǔ)言和支持工具方面的能力。3.應(yīng)能運(yùn)用指定的編碼標(biāo)準(zhǔn)和編程風(fēng)格。4.應(yīng)理解硬件平臺(tái)、操作系統(tǒng)和接口系統(tǒng)施加的所有約5.應(yīng)理解本文件的相關(guān)條款/子條款。1.應(yīng)規(guī)劃測(cè)試活動(dòng)。2.應(yīng)開(kāi)發(fā)測(cè)試規(guī)格說(shuō)明(目標(biāo)和用例)。3.應(yīng)確保測(cè)試對(duì)象與指定軟件需求之間的追蹤性，以及測(cè)試用例與指定測(cè)試對(duì)象之間的追蹤性。4.應(yīng)確保規(guī)劃的測(cè)試被實(shí)施，指定的測(cè)試被執(zhí)行。5.應(yīng)識(shí)別對(duì)預(yù)期結(jié)果的偏離，并將其記錄在測(cè)試報(bào)告7.應(yīng)在報(bào)告中記錄結(jié)果。8.應(yīng)選擇軟件測(cè)試設(shè)備。1.在需要開(kāi)展測(cè)試的領(lǐng)域應(yīng)具備相應(yīng)的能力，如軟件需求、數(shù)據(jù)、代碼等方2.應(yīng)掌握各種測(cè)試和驗(yàn)證方法/理論，并能在給定的周境中確定最合適的方3.應(yīng)能從給定的規(guī)格說(shuō)明中導(dǎo)出測(cè)試用例。4.應(yīng)具備分析思維能力和良好的觀察技能。5.應(yīng)理解本文件的相關(guān)條款/子條款。1.應(yīng)制定軟件驗(yàn)證計(jì)劃(可能包含質(zhì)量事宜),說(shuō)明需要驗(yàn)證的內(nèi)容和什么類型的過(guò)程(如評(píng)審、分析等)和測(cè)試需要作為證據(jù)。核對(duì)。3.應(yīng)識(shí)別異常，在風(fēng)險(xiǎn)(影響)項(xiàng)中評(píng)價(jià)這些異常，將其進(jìn)行記錄并傳達(dá)給相關(guān)的變更管理機(jī)構(gòu)進(jìn)行評(píng)估和決策。4.應(yīng)對(duì)驗(yàn)證過(guò)程(評(píng)審、集成和測(cè)試)進(jìn)行管理，按要求確保活動(dòng)的獨(dú)立性。6.應(yīng)編制驗(yàn)證報(bào)告，說(shuō)明驗(yàn)證活動(dòng)的結(jié)果。1.應(yīng)具備驗(yàn)證實(shí)施(例如軟件需求、數(shù)據(jù)、代碼)的能2.應(yīng)掌握各種驗(yàn)證方法/理論，并能在給定的周境中確定最合適的方法或方法組合。3.應(yīng)能從給定的規(guī)格說(shuō)明中推導(dǎo)出驗(yàn)證的類型。4.應(yīng)具備分析思維能力和良好的觀察能力。5.應(yīng)理解本文件的相關(guān)條款/子條款。1.應(yīng)使用軟件基線管理集成過(guò)程。2.應(yīng)基于設(shè)計(jì)人員編寫的組件規(guī)格說(shuō)明和架構(gòu)來(lái)開(kāi)發(fā)軟件集成測(cè)試規(guī)格說(shuō)明和軟件/硬件集成測(cè)試規(guī)格說(shuō)明，說(shuō)明必要的輸入組件、集成活動(dòng)的順序以及由此產(chǎn)生的集成組3.應(yīng)開(kāi)發(fā)和維護(hù)有關(guān)集成活動(dòng)的記錄。4.應(yīng)識(shí)別集成異常，記錄并將其傳達(dá)給相關(guān)變更管理機(jī)構(gòu)進(jìn)行評(píng)估和決5.應(yīng)編寫開(kāi)發(fā)組件和整體系統(tǒng)集成報(bào)告，說(shuō)明集成的結(jié)果。1.應(yīng)具備組件集成領(lǐng)域的能力，如相關(guān)的編程語(yǔ)言、軟件接口、操作系統(tǒng)、數(shù)據(jù)、平臺(tái)、代碼2.應(yīng)具備各種集成方法論，并能在給定的周境中確定最合適的方法或方法組3.應(yīng)能理解各個(gè)中間層所需的設(shè)計(jì)和功能。4.應(yīng)能從一組集成的功能推導(dǎo)出集成測(cè)試的類型。5.應(yīng)具有較強(qiáng)的分析思維能力和良好的系統(tǒng)層次的觀察能6.應(yīng)理解本文件的相關(guān)條款/子條款。1.應(yīng)在預(yù)期應(yīng)用環(huán)境中建立對(duì)軟件的系統(tǒng)理解。2.應(yīng)制定確認(rèn)計(jì)劃，指定軟件確認(rèn)的基本任務(wù)和活動(dòng)并與評(píng)估人員達(dá)成一致。3.