EN 50128鐵路應(yīng)用-通信、信號和處理系統(tǒng)-鐵路控制和防護系統(tǒng)軟件

EN50128：2001PAGEIEN50128:2001鐵路應(yīng)用——通信、信號和處理系統(tǒng)——鐵路控制和防護系統(tǒng)軟件2007.6序言本歐洲標準是SC9XA,即通信，信號傳輸和處理系統(tǒng)技術(shù)委員會（CENELECTC9X）制訂，鐵路電氣和電子應(yīng)用的標準。草案文本作為EN50128正式提交投票并于2000-11-01獲得CENELEC批準。修改了下列日期--歐盟各國必須通過認可或發(fā)布相同的國家標準來執(zhí)行本歐洲標準的截止日期2001-11-01--與本歐洲標準沖突的國家標準必須被廢止的截止日期2003-11-01本歐洲標準必須與EN50126鐵路應(yīng)用——可靠性，可用性，可維護性和安全性（RAMS）；EN50129鐵路應(yīng)用——信號領(lǐng)域的安全相關(guān)電子系統(tǒng)同時閱讀。附件中指定的“規(guī)范性的”是本項標準主體的一部分。附件中指定的“參考性的”只用于獲得的信息。本項標準中，附件A是規(guī)范性的而附件B是參考性的。

目錄引言范圍參考文獻定義目標和符合軟件安全完整性等級5．1目標5．2需求人員及職責(zé)6．1目標6．2需求生命周期和文檔7．1目標7．2需求軟件需求規(guī)格說明8．1目標8．2輸入文檔8．3輸出文檔8．4需求軟件體系結(jié)構(gòu)9．1目標9．2輸入文檔9．3輸出文檔9．4需求軟件設(shè)計和實現(xiàn)10．1目標10．2輸入文檔10．3輸出文檔10．4需求軟件驗證和測試11．1目標11．2輸入文檔11．3輸出文檔11．4需求軟件/硬件集成12．1目標12．2輸入文檔12．3輸出文檔12．4需求軟件確認13．1目標13．2輸入文檔13．3輸出文檔13．4需求軟件評估14．1目標14．2輸入文檔14．3輸出文檔14．4需求軟件質(zhì)量保障15．1目標15．2輸入文檔15．3輸出文檔15．4需求軟件維護16．1目標16．2輸入文檔16．3輸出文檔16．4需求根據(jù)應(yīng)用數(shù)據(jù)配置的系統(tǒng)17．1目標17．2輸入文檔17．3輸出文檔17．4需求17．4．1數(shù)據(jù)準備生命周期17．4．2數(shù)據(jù)準備程序和工具17．4．3軟件開發(fā)附件A：技術(shù)和措施的選擇準則附件B：技術(shù)參考書目附圖圖1——安全相關(guān)系統(tǒng)的完整性等級圖2——軟件安全性路徑圖圖3——開發(fā)生命周期1圖4——開發(fā)生命周期2圖5——獨立性與軟件完整性等級圖6——通用系統(tǒng)開發(fā)和應(yīng)用開發(fā)之間的關(guān)系引言本標準是相關(guān)標準系列中的一部分。其他標準有EN50126鐵路應(yīng)用——可靠性，可用性，可維護性和安全性（RAMS）；EN50129鐵路應(yīng)用——信號領(lǐng)域的安全相關(guān)電子系統(tǒng)。EN50126適用于大范圍的系統(tǒng)問題，而EN50129適用于整個鐵路控制和防護系統(tǒng)中某單個系統(tǒng)的批準過程。本標準關(guān)注于需要使用的方法，以使軟件能滿足經(jīng)全面考慮后所分配到的安全完整性要求。本標準從IEC/TC65第九工作組（WG9）早期工作中得到很多指導(dǎo)。WG9的工作形成了一個安全系統(tǒng)軟件通用標準，現(xiàn)在該標準是IEC61508的一部分。WG9工作的特別之處是包含了適用于非安全軟件的軟件安全完整性0級，以及適用于安全相關(guān)和安全苛求軟件的軟件安全完整性1~4級。本標準也覆蓋了所有五個軟件安全完整性等級。國際鐵路信號工程師協(xié)會（IRSE）的工作也被考慮進來，特別是它關(guān)注相同課題的1號技術(shù)報告。本歐洲標準的一個關(guān)鍵概念是軟件安全完整性等級。軟件失效后果的危險性的越大，軟件安全完整性等級也就越高。本歐洲標準確定了從最低0級到最高4級的5個軟件安全完整性等級的技術(shù)和措施。其中1~4這四個級別涉及安全相關(guān)軟件，0級涉及非安全相關(guān)軟件。對0級進行標準化是為了讓非安全相關(guān)系統(tǒng)軟件向安全相關(guān)系統(tǒng)軟件進行平滑轉(zhuǎn)變。附表給出了各個軟件安全完整性等級和非安全相關(guān)等級要求的技術(shù)和措施。在這個版本中，1級和2級的技術(shù)要求相同，3級和4級的要求相同。本歐洲標準沒有給出某一風(fēng)險應(yīng)適用于哪個軟件安全完整性等級的具體指導(dǎo)意見。這個結(jié)論需要考慮許多因素包括應(yīng)用的特性、其他系統(tǒng)承擔(dān)的安全性功能范圍和社會以及經(jīng)濟因素。EN50126和EN50129規(guī)定了分配給軟件的安全性功能。本歐洲標準規(guī)定了滿足這些需求的必要措施。這個過程在圖1作了說明。EN50126和EN50129需采用系統(tǒng)性的方法，以：確定危險、風(fēng)險和風(fēng)險準則；為滿足風(fēng)險準則，確定必要的風(fēng)險降低；為實現(xiàn)必要的風(fēng)險降低，定義一個全面的系統(tǒng)安全性需求規(guī)格說明；選擇一個合適的系統(tǒng)體系結(jié)構(gòu)；規(guī)劃、監(jiān)督和控制那些把系統(tǒng)安全性需求規(guī)格說明變成安全性能(或安全完整性)已確認的安全相關(guān)系統(tǒng)所必需的技術(shù)和管理活動。在分解需求規(guī)格說明形成由安全相關(guān)系統(tǒng)和組件組成的設(shè)計說明時，需要進一步分配安全完整性等級，并最終形成所需的軟件安全完整性等級。目前，無論是質(zhì)量保證法(即避錯措施)還是軟件容錯法的應(yīng)用，都無法保證系統(tǒng)的絕對安全。尚未發(fā)現(xiàn)可以證明一個較復(fù)雜的安全相關(guān)軟件中不存在錯誤的方法，特別是規(guī)格說明和設(shè)計的錯誤。以下規(guī)則應(yīng)用于開發(fā)高安全完整性等級軟件，但也不僅限于開發(fā)高安全完整性等級軟件：自頂向下的設(shè)計方法；模塊化；開發(fā)生命周期每一階段的驗證；驗證后的模塊和模塊庫；清晰的文檔；可審計的文檔；確認測試。這些規(guī)則以及相關(guān)的其他規(guī)則必須正確應(yīng)用。對于各個軟件安全完整性等級，本標準均規(guī)定了說明這一點所需的保證等級。在得到或形成了系統(tǒng)安全性需求規(guī)格說明后，分配給軟件的安全性功能和系統(tǒng)安全完整性等級就確定了，圖2給出了應(yīng)用本歐標的功能步驟，如下所示：定義軟件需求規(guī)格說明，同時考慮軟件體系結(jié)構(gòu)。軟件體系結(jié)構(gòu)是為軟件和軟件安全完整性等級開發(fā)基本安全策略的架構(gòu)。(條款5、8和9)根據(jù)軟件質(zhì)量保障計劃、軟件安全完整性等級和軟件生命周期來設(shè)計、開發(fā)和測試軟件。(條款10)在目標硬件上集成軟件。(條款12)確認軟件。(條款13)如果在運行過程中需要軟件維護，那么可再適當(dāng)運用本歐洲標準進行處理。(條款16)許多活動都是在軟件開發(fā)過程中交叉進行的，這其中包括驗證(條款11)，評估(條款14)和質(zhì)量保障(條款15)。給出了應(yīng)用數(shù)據(jù)配置的系統(tǒng)的需求(條款17)。給出了從事軟件開發(fā)人員能力的需求。(條款7)本標準沒有硬性要求使用特定的軟件開發(fā)生命周期，但是給出了一個推薦的生命周期及文檔集。(條款7，圖3和圖4)表格針對5個軟件安全完整性等級明確羅列了各種技術(shù)和措施。表格在附件A中給出。與表格對照的參考書目提供了更多的信息，給出了每項技術(shù)和措施的簡明描述。參考書目在附件B中給出。

1范圍1.1本歐洲標準詳細規(guī)定了鐵路控制和防護設(shè)備用的可編程電子系統(tǒng)開發(fā)所需的程序和技術(shù)要求。它適用于任何有隱含安全性的領(lǐng)域。這些應(yīng)用系統(tǒng)的范圍涵蓋了安全苛求系統(tǒng),如安全信號，非安全苛求系統(tǒng),如管理信息系統(tǒng)。這些系統(tǒng)可能通過采用專用多處理器，可編程邏輯控制器，分布式多處理器系統(tǒng)，大規(guī)模集中處理器系統(tǒng)或者其它架構(gòu)來實現(xiàn)。1.2本歐洲標準專門應(yīng)用于軟件以及軟件和系統(tǒng)之間的相互作用。1.30級以上的軟件安全完整性等級用于失效可引起失去生命的后果的系統(tǒng)。然而，從經(jīng)濟或環(huán)境因素方面考慮也能采用高級別的安全完整性等級。1.4本歐洲標準適用于鐵路控制和防護系統(tǒng)開發(fā)和實現(xiàn)的所有軟件，包括：應(yīng)用程序設(shè)計；操作系統(tǒng)；支持工具；固件。應(yīng)用程序設(shè)計包括高級程序設(shè)計，低級程序設(shè)計和專用程序設(shè)計（如：可編程邏輯控制器梯形邏輯）。1.5本歐洲標準還涉及了本標準的使用、商用軟件和工具。1.6本歐洲標準還對應(yīng)用數(shù)據(jù)配置的系統(tǒng)提出了要求。1.7本歐洲標準并不涉及商務(wù)問題，這些問題應(yīng)為合同的基本部分被提出。但本歐洲標準中的所有條款在任何商務(wù)活動中都需被仔細考慮。1.8本歐洲標準為避免追溯，主要應(yīng)用于新的開發(fā)。對于現(xiàn)有系統(tǒng)，僅當(dāng)進行主要修改時才進行全面應(yīng)用，對于次要修改，只要應(yīng)用條款16。2\o"/TR/2004/REC-rdf-primer-20040210/#normative-references"規(guī)范性參考文獻本歐洲標準需與標注日期或未標注日期的參考文獻以及其他出版物中條款相結(jié)合。這些規(guī)范性參考文獻將在文中合適的位置被引用，相應(yīng)的出版物將在下面列出。對于標注日期文獻的后續(xù)修改或修訂，本歐洲標準需通過修改或修訂進行結(jié)合來應(yīng)用。對于未標注日期的文獻,則應(yīng)用最新版本(包括修改)。EN50126，鐵路應(yīng)用——可靠性，可用性，可維持性和安全性（RAMS）的規(guī)格和說明；EN50129*，鐵路應(yīng)用——信號領(lǐng)域的安全相關(guān)電子系統(tǒng)；EN50159-1,鐵路應(yīng)用——通信，信號和處理系統(tǒng)第一部分：封閉傳輸系統(tǒng)中的安全通信；

EN50129-1,鐵路應(yīng)用——通信，信號和處理系統(tǒng)第二部分：開放傳輸系統(tǒng)中的安全通信；ENISO9001,質(zhì)量體系——設(shè)計/開發(fā)，生產(chǎn)，安裝和維護的質(zhì)量保證模型；ENISO9001-3,質(zhì)量管理和質(zhì)量保證標準——第三部分：ISO9001:1994在計算機軟件的開發(fā)，供應(yīng)，安裝和維護應(yīng)用的指導(dǎo)。3定義以下定義適用于此歐洲標準.對于未定義的術(shù)語,按照優(yōu)先順序查閱以下參考文獻。ENISO8402，質(zhì)量管理和質(zhì)量保證——詞匯表；IEC60050-191,國際電工詞匯第191章：服務(wù)可信性和質(zhì)量；IEEE610.12,IEEE標準軟件工程術(shù)語詞匯表；ISOIIEC2382,信息技術(shù)詞匯表；ISOIIEC9126,信息技術(shù)－軟件產(chǎn)品評估－質(zhì)量特性以及其使用指導(dǎo)；3.1評估（assessment）用于確定設(shè)計主管機構(gòu)和確認員所完成的產(chǎn)品是否符合規(guī)定的要求和判定產(chǎn)品是否達到預(yù)期目的的分析過程。3.2評估員（assessor）受委托執(zhí)行評估的人員或者代理。3.3可用性（availability）假定所需外部資源均能滿足的條件下，產(chǎn)品在規(guī)定的條件下，在規(guī)定的時刻或在給定的時間間隔內(nèi)完成要求功能的能力。3.4商用軟件（COTSsoftware）市場需求所定義、市場已存在且其目標滿足性已得到廣大商業(yè)用戶證明的軟件。3.5設(shè)計主管機構(gòu)（designauthority）負責(zé)提出實現(xiàn)特定需求的設(shè)計方案，并監(jiān)控后期的開發(fā)和系統(tǒng)在特定環(huán)境下工作的實體。3.6設(shè)計者（designer）一個或多個由設(shè)計主管機構(gòu)指派的人員，他們承擔(dān)需求分析并將特定需求轉(zhuǎn)化成可接受且有相應(yīng)安全完整性的設(shè)計方案。3.7元素（element）被確認為基本單元和基本部件的某產(chǎn)品的一部分。一個元素可以是簡單或者復(fù)雜的。3.8錯誤（error）

與期望的設(shè)計相背離，并有可能導(dǎo)致未預(yù)料到的系統(tǒng)行為或失效。3.9失效（failure）與規(guī)定的系統(tǒng)行為相背離。失效是系統(tǒng)錯誤或故障的結(jié)果。3.10故障（fault）一種能導(dǎo)致系統(tǒng)錯誤或失效的不正常情形，故障可以是系統(tǒng)性或隨機性的。3.11避錯（faultavoidance）在系統(tǒng)設(shè)計和構(gòu)造的過程中使用避免引入故障的設(shè)計技術(shù)。3.12容錯（faulttolerance）在出現(xiàn)有限數(shù)量的軟硬件故障的情況下，系統(tǒng)能繼續(xù)提供正確的規(guī)定服務(wù)的內(nèi)嵌能力3.13固件（firmware）指令和存儲在一個功能獨立主存儲器（通常是ROM）中的相關(guān)數(shù)據(jù)的有序集合3.14通用軟件（genericsoftware）通用軟件是只要提供應(yīng)用相關(guān)的數(shù)據(jù)就可以應(yīng)用于多種系統(tǒng)裝置的軟件。3.15實現(xiàn)人員（implementer）由設(shè)計主管機構(gòu)委派、具體實現(xiàn)特定設(shè)計的一個或更多人員3.16產(chǎn)品（product）為滿足特定需求，收集元素并進行互連以形成一個系統(tǒng)，子系統(tǒng)或者設(shè)備。本歐洲標準中，產(chǎn)品可被視為完全由軟件或者文檔元素構(gòu)成。3.17可編程邏輯控制器(PLC)具備面向指令存儲的用戶可編程存儲器、能實現(xiàn)軌定功能的固態(tài)控制系統(tǒng)。3.18可靠性(reliability)設(shè)備在規(guī)定的條件下，在規(guī)定的時間內(nèi)執(zhí)行要求功能的能力。3.19需求可追溯性（requirementtraceability）需求可追溯性的目標是確保所有的需求能被證明已得到滿足3.20風(fēng)險（risk）某特定危險事件的頻率或概率和后果的組合。3.21安全性（safety）無不可接受的風(fēng)險等級。3.22安全主管機構(gòu)（safetyauthority）

負責(zé)證實安全相關(guān)系統(tǒng)適于工作并符合法令、規(guī)章規(guī)定的安全性需求的實體。3.23安全相關(guān)軟件（safety-relatedsoftware）負有安全責(zé)任的軟件。3.24軟件（software）由程序、過程、規(guī)則和系統(tǒng)運行相關(guān)的文檔組成的智力創(chuàng)造。3.25軟件生命周期（softwarelifecycle）從軟件構(gòu)思開始到軟件不再可用結(jié)束的時期內(nèi)發(fā)生的活動。典型的軟件生命周期包括一個需求階段，開發(fā)階段，測試階段，集成階段，安裝階段和一個維護階段。3.26軟件可維性（softwaremaintainability）系統(tǒng)能被修改以糾正故障、改進性能或其它特性，或適應(yīng)不同環(huán)境的能力。3.27軟件維護（softwaremaintenance）它是指在軟件被最終用戶接收后所進行的活動或活動集合,它的目的在于改善,增加或糾正軟件的功能。。3.28軟件安全完整性等級（softwaresafetyintegritylevel）一組分級數(shù)字，它確定了為將殘留軟件故障降低到一個適當(dāng)水平所必須采用的技術(shù)和措施。3.29系統(tǒng)安全完整性等級（systemsafetyintegritylevel）表示系統(tǒng)能滿足規(guī)定安全特性的置信度的數(shù)字。3.30可追溯性（traceability）能在開發(fā)過程中確定兩個或者多個產(chǎn)品之間關(guān)系的程度，尤其是那些與其它產(chǎn)品構(gòu)成前/后代或上/下級關(guān)系的。3.31確認（validation）通過測試和分析，表明產(chǎn)品在各個方面符合規(guī)定需求的證實行為。3.32確認員（validator）被委派來做確認工作的人或者代理。3.33驗證（verification）通過測試和分析，表明系統(tǒng)生命周期的各階段的輸出符合前一階段的需求的一種決定性行為。3.34驗證員（verifier）被委派來做驗證工作的人或代理。4目標和符合4.1在以下每個條款中，將詳細地描述其目標和要求。4.2為遵從本歐洲標準，應(yīng)表明依據(jù)規(guī)定的軟件安全完整性等級每一項需求都已得到滿足，因而也滿足條款的目標。

4.3如果一個需求附有“在軟件安全完整性等級要求的范圍內(nèi)”的詞句，則表示可用一定范圍內(nèi)的技術(shù)和措施來滿足該需求。4.4在上述條款適用的地方，應(yīng)使用本歐洲標準詳細給出的表格來幫助選擇與軟件安全完整性等級相適應(yīng)的技術(shù)和措施。4.5如果某一技術(shù)或措施在表格中被列為強力推薦，那么不使用該技術(shù)的理由應(yīng)在軟件質(zhì)量保證計劃中或軟件質(zhì)量保證計劃參考的其他文件中作詳細說明并作相應(yīng)的記錄。如果使用了相應(yīng)表格中被認可的技術(shù)，這就不一定要作記錄了。4.6如果一項不包括在表格中的技術(shù)或措施被建議使用，那么應(yīng)對其有效性及能滿足特殊要求和條款整個目標的適用性作論證，并在軟件質(zhì)量保證計劃中或軟件質(zhì)量保證計劃參考的其他文件中作相應(yīng)的記錄。4.7應(yīng)通過檢查本標準所要求的文檔、其他客觀證據(jù)、審計和見證測試來評估是否符合特殊條款的要求和表格中詳細列出的各自的技術(shù)和措施。4.8本歐洲標準需要使用一組技術(shù)及它們的正確應(yīng)用。這些技術(shù)是表格中所要求的，并在參考書目中詳細列出。5軟件安全完整性級別5.1目標給軟件指定軟件安全完整性等級。5.2要求5.2.1依據(jù)EN50126和EN50129，應(yīng)形成-系統(tǒng)需求規(guī)格說明書-系統(tǒng)安全性需求規(guī)格說明書；-系統(tǒng)結(jié)構(gòu)描述；-系統(tǒng)安全性計劃；其中包括：·安全性功能；·系統(tǒng)配置或體系結(jié)構(gòu)；·硬件可靠性需求；·安全完整性需求；軟件安全完整性等級應(yīng)通過獲得EN50126確定的安全完整性等級的一般過程來確定。5.2.2應(yīng)在系統(tǒng)中軟件應(yīng)用的風(fēng)險水平和系統(tǒng)安全完整性等級的基礎(chǔ)上決定需要的軟件安全完整性等級。5.2.3如沒有進一步防范措施，軟件安全完整性等級至少等于系統(tǒng)安全完整性等級。然而，如果存在能預(yù)防軟件模塊失效導(dǎo)致系統(tǒng)進入不安全狀態(tài)的機制，則可以減低模塊的軟件安全完整性等級。

5.2.4應(yīng)考慮的風(fēng)險與下列危險后果有關(guān)：·失去生命；·使人受傷或生??；·環(huán)境的污染；·財產(chǎn)損失或損壞。5.2.5風(fēng)險可被定量化，但不能以同樣方式規(guī)定軟件安全完整性。因此，對于本歐洲標準，軟件安全完整性等級被指定為下列五個等級之一：軟件安全完整性等級軟件安全完整性等級描述4非常高3高2中等1低0非安全性

5.2.6在軟件需求規(guī)格說明書中應(yīng)指定軟件安全完整性等級(條款8)。如果不同的軟件組件有不同的軟件安全完整性等級，應(yīng)在軟件架構(gòu)規(guī)格說明書中加以規(guī)定(條款9)。6人員和職責(zé)6.1目標保證所有對軟件負有責(zé)任的人員有能力履行那些職責(zé)。6.2要求6.2.1供應(yīng)者和/或開發(fā)者以及客戶最低限度都應(yīng)執(zhí)行ENISO9001的相關(guān)部分，以保持和ENISO9000—3一致。6.2.2除軟件安全完整性等級0以外，安全性過程應(yīng)在一個適當(dāng)?shù)陌踩越M織的控制下完成。該組織遵從EN50129“安全性管理的證據(jù)”條款中“安全性機構(gòu)”子條款要求。6.2.3軟件生命周期各階段（包括管理活動）涉及的所有人員應(yīng)具有適當(dāng)?shù)呐嘤?xùn)、經(jīng)驗和資格。6.2.4除軟件安全完整性等級0以外，對于特定應(yīng)用，強力推薦對軟件生命周期各階段（包括管理活動）涉及的所有人員的培訓(xùn)、經(jīng)驗、資格進行證實。6.2.5應(yīng)在軟件質(zhì)量保證計劃中記錄上述子條款要求的論證，適當(dāng)?shù)陌軇偃蜗铝蓄I(lǐng)域工作的證據(jù)：·適合應(yīng)用領(lǐng)域的工程；·軟件工程；·計算機系統(tǒng)工程；

·安全工程；·法規(guī)框架。6.2.6指定獨立的軟件評估員。也可參看6.2.10和14.4.1。6.2.7應(yīng)賦予評估人員足夠的權(quán)威來實現(xiàn)對軟件的評估。6.2.8軟件整個生命周期各個階段所涉及的各方的獨立性要根據(jù)軟件安全完整性等級調(diào)整，保持和圖5一致，解釋如下：在各個軟件安全完整性等級，評估員應(yīng)由安全主管機構(gòu)認可，除6.2.10規(guī)定的情況外，都應(yīng)獨立于供應(yīng)商。設(shè)計者生產(chǎn)者、驗證員和確認員可以同屬一個公司，但至少要滿足以下獨立性：在軟件安全完整性等級0：沒有限制；設(shè)計者/生產(chǎn)者、驗證員和確認員可以是同一人。在軟件安全完整性等級1和2：驗證員和確認員可以是同一人，但他們不應(yīng)又是設(shè)計者/生產(chǎn)者。設(shè)計者/生產(chǎn)者、驗證者和確認者能向項目經(jīng)理報告。在軟件安全完整性等級3和4：有兩種允許的安排：驗證員和確認員可以是同一人，但他們不應(yīng)又是設(shè)計者/生產(chǎn)者。而且他們不應(yīng)象設(shè)計者/生產(chǎn)者一樣向項目經(jīng)理報告，他們有權(quán)力阻止產(chǎn)品的提交。設(shè)計者/生產(chǎn)者、驗證員和確認員必須是各不相同的人。設(shè)計者/生成者和驗證員可以向項目經(jīng)理報告，而確認員則不向項目經(jīng)理報告。確認員有權(quán)力阻止產(chǎn)品的提交。6.2.9負責(zé)各個條款的有關(guān)人員如下：軟件需求規(guī)格說明書（條款8）設(shè)計者軟件需求測試規(guī)格說明書（條款8）確認員軟件體系結(jié)構(gòu)（條款9）設(shè)計者軟件設(shè)計和開發(fā)（條款10）設(shè)計者軟件驗證和測試（條款11）驗證員軟件/硬件集成（條款12）設(shè)計者軟件確認（條款13）確認員軟件評估（條款14）評估員6.2.10根據(jù)安全主管機構(gòu)的意見，評估員可以是供應(yīng)商組織或客戶組織的一員，在這種情況下，評估員應(yīng)：由安全主管機構(gòu)授權(quán)；完全獨立于項目梯隊；直接向安全主管機構(gòu)報告

7生命周期和文檔7.1目標7.1.1將軟件開發(fā)構(gòu)造成規(guī)定的階段和活動。7.1.2記錄貫穿整個軟件生命周期的軟件所有相關(guān)信息。7.2要求7.2.1選擇軟件開發(fā)的生命周期模型，根據(jù)本歐洲標準條款15，它將在軟件質(zhì)量保證計劃中加以詳細說明。圖3和圖4給出了生命周期模型的例子。7.2.2質(zhì)量保證程序應(yīng)與生命周期活動一起運行，并且使用相同的術(shù)語。7.2.3某階段所有要進行的活動應(yīng)在該階段開始之前就被定義好。軟件生命周期的每階段都應(yīng)劃分成帶有良好定義的輸入、輸出及其活動的基本任務(wù)。7.2.4軟件質(zhì)量保證計劃應(yīng)當(dāng)描述需要哪些驗證步驟和報告。7.2.5所有文檔應(yīng)結(jié)構(gòu)化，以便能隨著設(shè)計過程不斷擴展。7.2.6各個文檔應(yīng)有唯一的參考號，與其他文檔應(yīng)有確定的、記錄在案的文檔關(guān)系，以便進行文檔追溯。每個文檔對術(shù)語、縮寫詞和簡寫詞應(yīng)有相同的解釋。如果由于歷史的原因，這一點達不到，就應(yīng)給出不同的釋義和參考資料。此外，除商用軟件或早期開發(fā)的軟件外的文檔外，各文檔應(yīng)按下列規(guī)則書寫：應(yīng)包括或執(zhí)行所有前期文檔的適用條件和需求，使文檔具有層次關(guān)系；不應(yīng)與前期文檔有抵觸；在各個文檔中，每個術(shù)語，首字母縮略詞或縮寫應(yīng)具有相同的意義；在各個文檔中，每一條目或概念應(yīng)用相同的名稱或描述來參考。7.2.7所有文檔內(nèi)容應(yīng)以適合于操作、處理和存儲的形式來記錄。7.2.8根據(jù)軟件安全完整性等級的要求，應(yīng)形成文檔交叉參考表。7.2.9根據(jù)開發(fā)軟件的規(guī)模，復(fù)雜性和生命周期，需要產(chǎn)生的各類文件數(shù)目有所不同。對于規(guī)模較小的項目，一些文件可以組合在一起（在這過程中不應(yīng)丟失需要的細節(jié)），而對于大規(guī)模項目，必須將所列文檔（以層次方式）分成一些更便于管理的子文檔。由獨立團隊或?qū)嶓w形成的文檔不能組合成單一文檔。7.2.10條款7確定的各種文參考文獻文檔之間的關(guān)系可以用文檔交叉參考表來定義。對于表中文檔列的各文檔，通過從包含符號“”的單元格開始水平和垂直地閱讀可以發(fā)現(xiàn)與創(chuàng)建文檔有關(guān)的階段和條款。通過從標記為符號“◆”的單元格開始垂直地閱讀可以發(fā)現(xiàn)應(yīng)用文檔階段。條款或文檔定義參考的其他參考文獻可以在“定義的地方”列中找到。如給出條款，后繼條款應(yīng)被檢查，因為它們可能包含進一步信息。還要注意的是：因軟件配置管理計劃需要的參考文獻列在括號內(nèi)，因為該條款只不過參考ENISO9001。

文檔對照表條款標題8910111213141516SRSSASDDSVerS/HISValAssQMa階段（*）=和其他階段平行定義出處文檔定義出處文檔系統(tǒng)輸入系統(tǒng)需求規(guī)格說明書EN50129附件B.2.3系統(tǒng)安全需求規(guī)格說明書EN50129附件B.2.4系統(tǒng)結(jié)構(gòu)描述EN50129附件B.2.1系統(tǒng)安全性計劃EN50129、EN50126軟件計劃(*)軟件質(zhì)量保證計劃15.4.3軟件配置管理計劃(15.4.2)軟件驗證計劃11.4.1軟件集成測試計劃11.4.5軟件/硬件集成測試計劃12.4.1軟件確認計劃13.4.3軟件維護計劃16.4.3數(shù)據(jù)準備計劃數(shù)據(jù)測試計劃軟件需求軟件需求規(guī)格說明書8.4.1應(yīng)用需求規(guī)格說明書軟件測試規(guī)格說明書8.4.13軟件需求驗證報告11.4.11軟件設(shè)計軟件結(jié)構(gòu)規(guī)格說明書9.4.1軟件設(shè)計規(guī)格說明書10.4.3軟件結(jié)構(gòu)和設(shè)計驗證報告11.4.12軟件模塊設(shè)計軟件模塊設(shè)計規(guī)格說明書10.4.3軟件模塊測試規(guī)格說明書10.4..14軟件模塊驗證報告11.4..13編碼軟件源代碼軟件源代碼驗證報告11.4.14模塊測試軟件模塊測試報告10.4.14軟件集成軟件集成測試報告11.4.15數(shù)據(jù)測試報告軟件/硬件集成軟件/硬件集成測試報告12.4.8確認(*)軟件確認報告13.4.10評估(*)軟件評估報告14.4.9維護軟件修改記錄16.4.9軟件維護記錄16.4.8

8軟件需求規(guī)格說明8.1目標8.1.1描述一個文檔，為滿足所有系統(tǒng)需求，該文檔根據(jù)軟件安全完整性等級規(guī)定了完整的軟件需求。它是對每個軟件工程師均適用的綜合性文檔，因此他們不必再從其他文檔中了解需求。8.1.2用于描述軟件需求測試說明書。8.2輸入文檔系統(tǒng)需求規(guī)格說明書。系統(tǒng)安全性需求規(guī)格說明書。系統(tǒng)體系結(jié)構(gòu)描述。軟件質(zhì)量保證計劃。8.3輸出文檔軟件需求規(guī)格說明書。軟件需求測試規(guī)格說明書。8.4要求8.4.1軟件需求規(guī)格說明書應(yīng)描述待開發(fā)軟件的需求特性，而不是開發(fā)軟件的程序。這些特性應(yīng)包括（除安全性外均在ISO/IEC9126中定義）：功能性（包括能力和響應(yīng)時間性能）；可靠性和可維護性；安全性（包括安全功能及其相關(guān)的軟件安全完整性等級）；效率；可用性；可移植性。軟件安全完整性等級源至于條款5，并記錄在軟件需求規(guī)格說明書中。8.4.2根據(jù)軟件安全完整性等級的要求，軟件需求規(guī)格說明書應(yīng)以如下方式來描述和夠造：完整、清楚準確、無二義性、可驗證、可測試，可維護和可行的；可以追溯到8.2涉及的所有文檔。8.4.3軟件需求規(guī)格說明書應(yīng)使用讓系統(tǒng)整個生命周期所涉及、負有責(zé)任的人員都能理解的表達和描述方法。

8.4.4無論那里存在或規(guī)劃一個直接互聯(lián)，軟件需求規(guī)格說明書都應(yīng)明確并用文件證實受控設(shè)備內(nèi)部或外部的與任何其他系統(tǒng)的所有接口，包括和操作員的接口。8.4.5軟件需求規(guī)格說明書應(yīng)詳細描述所有相關(guān)的操作方式。8.4.6軟件需求規(guī)格說明書中應(yīng)詳述可編程電子器所有相關(guān)的行為方式，尤其是失效行為。8.4.7軟件需求規(guī)格說明書中應(yīng)明確并用文件證實軟硬件之間的任何約束。8.4.8軟件需求規(guī)格說明書應(yīng)指出軟件自檢的程度以及軟件檢測硬件的規(guī)定程度。軟件自檢包括軟件自身失效和錯誤的檢測和報告。8.4.9軟件需求規(guī)格說明書應(yīng)根據(jù)系統(tǒng)安全性需求規(guī)格說明書的要求包括周期性功能檢測需求。8.4.10軟件需求規(guī)格說明書應(yīng)根據(jù)系統(tǒng)安全性需求規(guī)格說明書的要求包括使所有安全功能在整個系統(tǒng)運行期內(nèi)可測試的需求8.4.11當(dāng)要求軟件來完成一些功能，特別是完成那些與實現(xiàn)選定系統(tǒng)安全完整性等級有關(guān)的功能時，軟件需求規(guī)格說明書應(yīng)對其加以清楚的說明。8.4.12當(dāng)要求軟件完成非安全功能時，軟件需求規(guī)格說明書應(yīng)對其加以清楚的說明。8.4.13軟件需求測試規(guī)格說明書應(yīng)從軟件需求規(guī)格說明書開發(fā)而來，軟件需求測試規(guī)格說明書用來驗證軟件需求規(guī)格說明書中所述的功能要求，同時也作為對已完成軟件進行測試的描述。8.4.14軟件需求測試規(guī)格說明書應(yīng)為每個所需功能確定測試用例，包括：所需的輸入信號及其序列和值；預(yù)期的輸出信號及其序列和值；接受準則，包括性能和各個質(zhì)量方面。8.4.15在安全系統(tǒng)的確認過程中，對需求的可追溯性應(yīng)作為一個重要內(nèi)容加以考慮。應(yīng)提供方法允許在生命周期所有階段均能證實這一點。8.4.16對于任何不可追溯材料，應(yīng)表明其對系統(tǒng)的安全性或完整性是沒有影響的。9軟件體系結(jié)構(gòu)9.1目標9.1.1開發(fā)一個軟件體系結(jié)構(gòu)，該結(jié)構(gòu)按照選定軟件安全完整性等級的要求實現(xiàn)軟件需求規(guī)格說明書的需求。9.1.2評審系統(tǒng)結(jié)構(gòu)對軟件的需求。9.1.3確定和評估硬件/軟件交互作用對安全性的重要性。9.1.4如果早先沒有定義設(shè)計方法，那么選擇一種設(shè)計方法。9.2輸入文檔

1)軟件需求規(guī)格說明書。系統(tǒng)安全性需求規(guī)格說明書。系統(tǒng)體系結(jié)構(gòu)描述。軟件質(zhì)量保證計劃。9.3輸出文檔軟件體系結(jié)構(gòu)規(guī)格說明書。9.4要求9.4.1應(yīng)由軟件提供者和/或開發(fā)者來建立建議性的軟件體系結(jié)構(gòu)，并在軟件體系結(jié)構(gòu)規(guī)格說明書中作詳述。9.4.2軟件體系結(jié)構(gòu)規(guī)格說明書應(yīng)考慮依據(jù)選定軟件安全完整性等級的要求實現(xiàn)軟件需求規(guī)格說明書的可行性。9.4.3軟件體系結(jié)構(gòu)規(guī)格說明書應(yīng)明確、評估和詳述所有硬件/軟件交互的重要性。就象EN50126和EN50129所要求的，應(yīng)在系統(tǒng)安全性需求規(guī)格說明書中記錄硬件和軟件交互作用的基礎(chǔ)研究。9.4.4軟件體系結(jié)構(gòu)規(guī)格說明書應(yīng)明確所有軟件組件，并為它們明確：這些組件是否是新的，現(xiàn)存的或私有的；這些組件以前是否已被確認。如果是，它們的確認條件是什么；各組件的軟件安全完整性等級。9.4.5使用商用軟件應(yīng)滿足以下限制條件：對于軟件安全完整性等級0，不需進一步防范措施即可使用商用軟件；如果商用軟件使用于軟件完整性等級1或2，則它應(yīng)被包含在軟件確認過程中；如果商用軟件使用于軟件完整性等級3或4，則應(yīng)采取以下防范措施：商用軟件應(yīng)進行確認測試;應(yīng)進行可能失效的分析；應(yīng)確定一個策略來檢測商用軟件的失效并防護系統(tǒng)免受這些失效影響；防保護策略應(yīng)是確認測試的主題；應(yīng)有錯誤日志并對其進行評估；就實用性而言，應(yīng)僅使用上商用軟件的最簡單功能。9.4.6如果要將以前開發(fā)的軟件作為設(shè)計的一部分使用，那么應(yīng)有清楚的標識。并用文件證實。軟件結(jié)構(gòu)規(guī)格說明書應(yīng)論證軟件在滿足軟件需求規(guī)格說明書和軟件安全完整性等級方面的適宜性。必須仔細考慮任何軟件的修改對系統(tǒng)剩余部分的影響，以決定是否需要再審查和再評估。應(yīng)有證據(jù)表明沒有進行再檢驗，再確認和再評估的和其他模塊的接口規(guī)格說明書得到遵循。

9.4.7在設(shè)計過程中盡可能使用已有的、驗證過的，按本標準開發(fā)的軟件模塊；9.4.8軟件體系結(jié)構(gòu)應(yīng)減少應(yīng)用的安全性部分；9.4.9如果軟件由不同軟件安全完整性等級的組件構(gòu)成，那么該軟件的所有組件都應(yīng)按最高軟件安全完整性等級的要求處理，除非有表明較高軟件安全完整性等級組件和較低軟件安全完整性等級組件相互獨立的證據(jù)。這個證據(jù)應(yīng)記錄在軟件結(jié)構(gòu)規(guī)格說明書中。9.4.10軟件體系結(jié)構(gòu)規(guī)格說明書應(yīng)明確按軟件安全完整性等級要求進行軟件開發(fā)的策略。軟件體系結(jié)構(gòu)規(guī)格說明書應(yīng)按下列方式來表達和構(gòu)造：完整、清楚、精確、無二義，可驗證、可測試、可維護以及可行；可追溯到軟件需求規(guī)格說明書。9.4.11軟件體系結(jié)構(gòu)規(guī)格說明書應(yīng)證實在避錯和容錯軟件設(shè)計策略的選擇中所采取的平衡措施是正確的。9.4.12軟件體系結(jié)構(gòu)規(guī)格說明書應(yīng)證實所選的技術(shù)和措施形成了一個集合，該集合滿足了基于選定軟件安全完整性等級要求的軟件需求規(guī)格說明書。10軟件設(shè)計和實現(xiàn)10.1目標10.1.1設(shè)計和實現(xiàn)軟件需求規(guī)格說明書和軟件體系結(jié)構(gòu)規(guī)格說明書所確定的軟件安全完整性的軟件。10.1.2獲得可分析、可測試、可驗證和可維護的軟件。此階段還包括模塊測試。由于驗證和測試在確認過程中起關(guān)鍵作用，所以在設(shè)計和開發(fā)的整個過程中應(yīng)特殊考慮驗證和測試要求，以確保從一開始就使結(jié)果系統(tǒng)及其軟件易于測試。10.1.3為選定的軟件安全完整性等級選擇一套覆蓋整個軟件生命周期的包括語言和編譯器的合適工具，它有助于驗證、確認、評估和維護。10.1.4實施軟件集成。10.2輸入文檔軟件需求規(guī)格說明書。軟件體系結(jié)構(gòu)規(guī)格說明書。軟件質(zhì)量保證計劃。10.3輸出文檔軟件設(shè)計規(guī)格說明書。軟件模塊設(shè)計規(guī)格說明書。軟件模塊測試規(guī)格說明書。

軟件源代碼和支持文檔。軟件模塊測試報告。10.4要求10.4.1在設(shè)計過程開始之前，應(yīng)能得到軟件需求規(guī)格說明和軟件體系結(jié)構(gòu)規(guī)格說明，但不必已最終定稿。10.4.2應(yīng)使待開發(fā)軟件的規(guī)模和復(fù)雜性最小。10.4.3軟件設(shè)計規(guī)格說明書應(yīng)描述基于模塊分解的軟件設(shè)計，每一模塊都有軟件模塊設(shè)計規(guī)格說明書和軟件模塊測試規(guī)格說明書。10.4.4軟件設(shè)計規(guī)格說明書應(yīng)說明：追溯到軟件體系結(jié)構(gòu)的軟件組件和它們的安全完整性等級；軟件組件和環(huán)境的接口；軟件組件間的接口；數(shù)據(jù)結(jié)構(gòu)；劃分組件需求；主要算法和順序；圖表。10.4.5軟件模塊設(shè)計規(guī)格說明書應(yīng)說明（每個模塊一個軟件模塊設(shè)計規(guī)格說明書）確定追溯到上一層次的所有最底層的組件（現(xiàn)有標準稱之為模塊）；它們和環(huán)境以及其它帶有詳細輸入和輸出要求的模塊的細化接口；它們的安全完整性等級；細化的算法和數(shù)據(jù)結(jié)構(gòu)。每個軟件模塊規(guī)格說明書應(yīng)是自相容的，允許進行相應(yīng)模塊的編碼。10.4.6每一軟件模塊都應(yīng)是可讀的、可理解的和可測試的。10.4.7為選定的軟件安全完整性等級選擇一套包括設(shè)計方法、語言和編譯器的覆蓋整個軟件生存周期的合適工具。10.4.8只要適用，就應(yīng)使用自動測試工具和集成開發(fā)工具。這里應(yīng)考慮驗證和確認的需求。10.4.9根據(jù)選定的軟件安全完整性等級的要求，所選程序設(shè)計語言應(yīng)具有翻譯器/編譯器，該翻譯器/編譯器應(yīng)具備下述條件之一：某公認國家/國際標準的確認證書；一個詳述其適合用途的評估報告；一個進行翻譯錯誤檢測的基于冗余簽名控制的過程。

10.4.10所選語言應(yīng)滿足如下要求：所選語言應(yīng)具有便于識別編程出錯的特性；所選語言應(yīng)支持與設(shè)計方法相適應(yīng)的特性。10.4.11如果不能滿足上述條款，那么在軟件體系結(jié)構(gòu)規(guī)格說明或軟件質(zhì)量保證計劃中應(yīng)記錄對更替語言的論證并詳述其適合用途。10.4.12開發(fā)編碼標準，并將其應(yīng)用于所有軟件的開發(fā)。編碼標準應(yīng)在軟件質(zhì)量保證計劃中予以參考。10.4.13編碼標準應(yīng)明確好的編程習(xí)慣，禁止非安全語言特性并描述編寫源代碼文檔的程序。每個程序模塊至少應(yīng)在源代碼中包括如下指定的信息（非窮舉的）：作者； 配置歷史；簡要描述。推薦用這些信息的標準形式。該標準形式應(yīng)對所有模塊相同的。10.4.14軟件模塊測試：每個模塊應(yīng)有作為模塊測試依據(jù)的軟件模塊測試規(guī)格說明書。這些測試應(yīng)表明每個模塊實現(xiàn)了預(yù)定的功能，軟件模塊測試規(guī)格說明書應(yīng)定義需要的測試覆蓋率。應(yīng)形成軟件模塊測試報告，其中應(yīng)包括以下特性：描述測試結(jié)果以及每個模塊是否滿足它的軟件模塊設(shè)計規(guī)格說明書的需求；描述每個模塊的測試覆蓋率，以表明所有源代碼指令至少執(zhí)行一次；應(yīng)以可審計的形式；測試用例和它們的結(jié)果應(yīng)以機器可讀的形式記錄下來，以利后繼分析。測試應(yīng)是可重復(fù)的，而且如果可行的話，應(yīng)自動進行。檢查模塊已正確地滿足了其測試規(guī)格說明書是一個驗證活動，參見下一條款。10.4.15為符合所需軟件安全完整性等級的要求，選定的設(shè)計方法應(yīng)具有能方便以下活動的特性：摘要、模塊化和其他控制復(fù)雜度的特性；清楚且精確地表達：功能；組件間的信息流；順序和時延信息；并發(fā)；數(shù)據(jù)結(jié)構(gòu)和特性；

人的理解；驗證和確認。10.4.16選定的設(shè)計方法應(yīng)具有方便軟件維護的特性。這類特性應(yīng)包括模塊化、信息隱藏和封裝。10.4.17軟件模塊集成應(yīng)是逐漸將個體的且以前測試過的軟件模塊組合成一個合成整體(或一些合成子系統(tǒng))的過程。其目的是在系統(tǒng)集成和測試之前能充分地證明模塊接口和裝配的軟件。10.4.18在本標準的上下文中，為與規(guī)定的軟件安全完整性等級相適應(yīng)，應(yīng)特別強調(diào)可追溯性：需求到設(shè)計或其他實現(xiàn)需求的對象的可追溯性；設(shè)計對象到實現(xiàn)對象的可追溯性?？勺匪菪赃^程的輸出應(yīng)是形式化配置管理的主題。11軟件驗證和測試11.1目標按照選定的軟件安全完整性等級的要求，測試并評價某一給定階段的產(chǎn)品，以確保產(chǎn)品和作為該階段輸入的標準的正確性和一致性。11.2輸入文檔 系統(tǒng)需求規(guī)格說明書。系統(tǒng)安全性需求規(guī)格說明書。軟件需求規(guī)格說明書。軟件需求測試規(guī)格說明書。軟件體系結(jié)構(gòu)規(guī)格說明書。軟件設(shè)計規(guī)格說明書。軟件模塊設(shè)計規(guī)格說明書。軟件模塊測試規(guī)格說明書。軟件源代碼和支持文檔。軟件質(zhì)量保證計劃。軟件模塊測試報告。11.3輸出文檔軟件驗證計劃。軟件需求驗證報告。

軟件體系結(jié)構(gòu)和設(shè)計驗證報告。軟件模塊驗證報告。軟件源代碼驗證報告。軟件集成計劃。軟件集成測試報告。11.4要求11.4.1為了對驗證活動作正確的指導(dǎo)并提供適當(dāng)?shù)奶厥庠O(shè)計和其它驗證需要，應(yīng)建立軟件驗證計劃。在開發(fā)階段(根據(jù)系統(tǒng)的規(guī)模)，計劃可被分成一系列子文件，而且隨著細化的驗證需求變得更清晰，可作自然增加。11.4.2軟件驗證計劃應(yīng)用文件說明所有將在階段驗證過程中用的準則、技術(shù)和工具。11.4.3軟件驗證計劃應(yīng)描述為確保作為階段輸入的產(chǎn)品和標準的正確性和一致性所要進行的活動。11.4.4軟件驗證計劃應(yīng)致力于：選擇驗證策略和技術(shù)。為避免對驗證和測試活動的評估過分復(fù)雜化，應(yīng)優(yōu)先考慮選擇自身可分析的測試用例和方法等；軟件測試設(shè)備的選擇和使用；驗證活動的選擇和文檔；對獲得的驗證結(jié)果的評估；可靠性需求的評估；測試過程所涉及人員的職責(zé)和角色；要求達到的測試覆蓋率。11.4.5軟件集成測試計劃應(yīng)用文件說明：測試用例和測試數(shù)據(jù)；實施的測試類型；測試環(huán)境、工具、配置和程序；測試完整性判定的測試準則。11.4.6每一開發(fā)階段都應(yīng)表明功能、可靠性、性能和安全性需求得以滿足。11.4.7驗證應(yīng)根據(jù)選定軟件安全完整性等級的要求由獨立方來執(zhí)行。11.4.8驗證之前由設(shè)計者進行的、未在文件中予以說明的驗證活動不應(yīng)作為驗證的一部分。11.4.9每次驗證結(jié)果應(yīng)以軟件驗證計劃中規(guī)定的或建議的形式來保存，以便審計。

11.4.10在每次驗證活動之后應(yīng)產(chǎn)生一份說明軟件已通過驗證或失敗原因的驗證報告。驗證報告應(yīng)指出：不符合軟件需求規(guī)格說明書、軟件設(shè)計規(guī)格說明書或軟件模塊設(shè)計規(guī)格說明書的部分；不符合軟件質(zhì)量保證計劃的部分；不適合問題解決的模塊、數(shù)據(jù)、結(jié)構(gòu)和算法；檢測到的錯誤或缺陷；已驗證部分的特性和配置。11.4.11軟件需求驗證：一旦形成了軟件需求規(guī)格說明書，驗證應(yīng)包括：軟件需求規(guī)格說明書在滿足系統(tǒng)需求規(guī)格說明書、系統(tǒng)安全性需求規(guī)格說明書和軟件質(zhì)量保障計劃中所規(guī)定需求方面的充分性；軟件需求測試規(guī)格說明書作為對軟件需求規(guī)格說明書的測試的充分性；軟件需求規(guī)格說明書內(nèi)在一致性；結(jié)果記錄在軟件需求驗證報告中。11.4.12軟件體系結(jié)構(gòu)和設(shè)計驗證：在形成軟件體系結(jié)構(gòu)規(guī)格說明書和軟件設(shè)計規(guī)格說明書之后，驗證應(yīng)包括：軟件體系結(jié)構(gòu)規(guī)格說明書和軟件設(shè)計規(guī)格說明書滿足軟件需求規(guī)格說明書的充分性；軟件設(shè)計規(guī)格說明書與軟件需求規(guī)格說明書的一致性和完整性的充分性；作為測試用例集，軟件集成測試計劃對軟件體系結(jié)構(gòu)規(guī)格說明書和軟件設(shè)計規(guī)格說明書的充分性；軟件體系結(jié)構(gòu)和設(shè)計規(guī)格說明書的內(nèi)在一致性；結(jié)果應(yīng)記錄在軟件體系結(jié)構(gòu)和設(shè)計驗證報告中。11.4.13軟件模塊驗證：在形成各軟件模塊設(shè)計規(guī)格說明書后，驗證應(yīng)包括：軟件模塊設(shè)計規(guī)格說明書滿足軟件設(shè)計規(guī)格說明書的充分性；作為測試用例集，軟件模塊測試規(guī)格說明書對軟件模塊設(shè)計規(guī)格說明書的充分性；將軟件設(shè)計規(guī)格說明分解到軟件模塊和軟件模塊設(shè)計規(guī)格說明書，其中涉及：—要求性能的可行性；—進一步驗證的可測試性；—對于開發(fā)和驗證團隊的可讀性；—允許進一步改進的可維護性。軟件模塊測試報告作為已完成測試的記錄在滿足軟件模塊測試規(guī)格說明書的充分性。結(jié)果記錄在軟件模塊驗證報告中。

11.4.14軟件源代碼驗證：按照選定軟件安全完整性等級的要求應(yīng)驗證軟件源代碼以確保滿足軟件模塊設(shè)計規(guī)格說明書和軟件質(zhì)量保證計劃。應(yīng)進行判定編碼標準是否正確應(yīng)用的檢查。結(jié)果記錄在軟件源代碼驗證報告中。11.4.15應(yīng)按照下列各項形成軟件集成測試報告：軟件集成測試報告應(yīng)表明測試結(jié)果以及軟件集成測試計劃的目標和準則是否被滿足，如果有失效，則應(yīng)記錄失效的原因；軟件集成測試報告的形式應(yīng)易于審計；應(yīng)記錄測試用例及其結(jié)果，為便于后繼分析其形式最好是機器可讀的；測試應(yīng)是可重復(fù)的，而且如果可行應(yīng)自動進行；已驗證部分的特性和配置。11.4.16對于軟件/硬件集成，參見下一條款。12軟件/硬件集成12.1目標12.1.1證明軟件和硬件間相互作用，正確地完成它們預(yù)定功能

12.1.2組合軟件與硬件并確保它們的相容性，以滿足系統(tǒng)安全性需求規(guī)格說明書和預(yù)期軟件安全完整性等級的需求。12.2輸入文檔系統(tǒng)需求規(guī)格說明書。系統(tǒng)安全性需求規(guī)格說明書。系統(tǒng)體系結(jié)構(gòu)描述。軟件需求規(guī)格說明書。軟件需求測試規(guī)格說明書。軟件體系結(jié)構(gòu)規(guī)格說明書。軟件設(shè)計規(guī)格說明書。軟件模塊設(shè)計規(guī)格說明書。軟件模塊測試規(guī)格說明書。軟件源代碼和支持文檔。硬件文檔。12.3輸出文檔

軟件/硬件集成測試計劃。軟件/硬件集成測試報告。12.4要求12.4.1對于大于零的軟件安全完整性等級，應(yīng)在開發(fā)生命周期早期形成軟件/硬件集成測試計劃，以使集成活動能受到適當(dāng)?shù)闹笇?dǎo)，并適當(dāng)提供特殊的設(shè)計或其他集成需求。在開發(fā)階段（依賴于系統(tǒng)規(guī)模），計劃可以劃分成許多子文檔，而且隨著硬件和軟件設(shè)計的不斷改進以及細化的集成需求越發(fā)清晰，計劃內(nèi)容也自然增加。12.4.2軟件/硬件集成計劃應(yīng)對如下內(nèi)容作文字說明:測試用例和測試數(shù)據(jù)；實施的測試類型；測試環(huán)境，包括工具、支持軟件和配置描述；測試準則，依此來判定測試的完整性。12.4.3軟件/硬件集成計劃應(yīng)區(qū)分可在開發(fā)者自己場地進行的活動和需要在用戶場地進行的活動。12.4.4軟件/硬件集成計劃應(yīng)區(qū)分以下活動:將軟件融入目標硬件；系統(tǒng)集成。12.4.5應(yīng)能在計劃可行的第一時間取得軟件/硬件集成計劃確定的工具和設(shè)施。12.4.6在軟件/硬件集成過程中，對已集成系統(tǒng)的任何修改或變更均應(yīng)研究影響范圍，該研究應(yīng)確定所有受影響的模塊和必要的重驗證活動。12.4.7記錄測試用例及其結(jié)果，為了后續(xù)分析，最好用機器可讀形式記錄。12.4.8軟件/硬件集成測試報告應(yīng)按以下要求形成：軟件/硬件集成測試報告應(yīng)表明測試結(jié)果以及是否滿足軟件/硬件集成測試計劃的目標和準則。如果存在失效，則應(yīng)記錄失效原因；軟件/硬件集成測試報告應(yīng)以能審計的形式編寫；記錄測試用例及其結(jié)果，為了后續(xù)分析，最好用機器可讀形式記錄；軟件/硬件集成測試報告應(yīng)有驗證者滿意于軟件/硬件集成測試報告為符合軟件/硬件集成測試計劃的要求而作為已完成測試記錄的充分性的證據(jù)；軟件/硬件集成測試報告應(yīng)用文件來表明所有涉及部分的特性和配置。

13軟件確認13.1目標13.1.1分析和測試已集成系統(tǒng)，以確保其符合軟件需求規(guī)格說明書依據(jù)安全完整性等級對功能和安全性的特定要求。13.2輸入文檔系統(tǒng)需求規(guī)格說明書。所有硬件和軟件文檔。系統(tǒng)安全性需求規(guī)格說明書。13.3輸出文檔軟件確認計劃。軟件確認報告。13.4要求13.4.1分析和測試是主要的確認活動。13.4.2可用仿真和建模來補充確認過程。13.4.3在適當(dāng)?shù)奈募行纬刹⒃斒鲕浖_認計劃。13.4.4根據(jù)軟件安全完整性等級的要求，應(yīng)有獨立部門來開發(fā)、執(zhí)行和結(jié)果評估軟件確認計劃。13.4.5如果軟件安全完整性等級有要求，軟件確認計劃的范圍和內(nèi)容可與評估人員協(xié)商一致。其中應(yīng)聲明測試過程中評估人員應(yīng)在場。13.4.6軟件確認計劃應(yīng)概要說明所選確認策略的合理性。根據(jù)選定軟件安全完整性等級的要求，其中應(yīng)考慮以下方面：手工或自動化技術(shù)；靜態(tài)或動態(tài)技術(shù)；解析或統(tǒng)計技術(shù)。13.4.7軟件確認計劃應(yīng)確定證明以下規(guī)格說明書對于實現(xiàn)系統(tǒng)安全性需求規(guī)格說明書設(shè)定的安全性需求的充分性的必要步驟：軟件需求規(guī)格說明書；軟件體系結(jié)構(gòu)規(guī)格說明書；軟件設(shè)計規(guī)格說明書；

軟件模塊設(shè)計規(guī)格說明書。確認者應(yīng)檢查驗證過程的完整性。13.4.8用于確認的度量設(shè)備應(yīng)被適時地校準，用于確認的任何工具、硬件或軟件都應(yīng)表明適合于確認。13.4.9應(yīng)通過模擬正常運行時出現(xiàn)的輸入信號、預(yù)期事件和需要系統(tǒng)動作的意外條件來執(zhí)行。13.4.10用便于審計的形式，將確認結(jié)果記錄在軟件確認報告中。13.4.11硬件/軟件集成完成后，應(yīng)按以下要求形成軟件確認報告：應(yīng)陳述軟件確認計劃的目標和準則是否得以滿足。如果存在失效，應(yīng)予以記錄；應(yīng)陳述測試結(jié)果以及在目標機器上的整個軟件是否實現(xiàn)了軟件需求規(guī)格說明書規(guī)定的需求；應(yīng)對軟件需求規(guī)格說明書所列需求的測試覆蓋率作出評價；軟件確認報告的形式應(yīng)能用于審計；為便于后續(xù)分析，應(yīng)以機器可讀的形式記錄測試用例及其結(jié)果；如果可行，測試應(yīng)是可重復(fù)的，而且應(yīng)是自動進行的。13.4.12軟件確認報告應(yīng)用文件說明以下各部分的特性和配置：使用的硬件和軟件;使用的設(shè)備；設(shè)備的校準；使用的仿真模型；發(fā)現(xiàn)的差異；執(zhí)行的糾正操作。13.4.13應(yīng)在軟件確認報告的某單獨一節(jié)中清楚地標識已發(fā)現(xiàn)的任何差異，包括檢測出的錯誤，并將其附注在交付使用的軟件的交付注解中。13.4.14應(yīng)基于軟件需求測試規(guī)格說明書測試軟件，這些測試應(yīng)表明軟件需求規(guī)格說明書中的所有需求都被正確地實施。結(jié)果記錄在軟件確認報告中。14軟件評估14.1目標評估生存周期過程和其結(jié)果使得軟件具有規(guī)定的軟件安全完整性等級并適用于預(yù)期應(yīng)用。14.2輸入文檔系統(tǒng)安全性需求規(guī)格說明書。

所有的軟件和硬件文檔。14.3輸出文檔軟件評估報告。14.4要求14.4.1對軟件安全完整性等級0：評估員只需要證實此軟件安全完整性等級是合適的；供應(yīng)商和用戶可能在投標時同意此軟件安全完整性等級。14.4.2不必對已有出自另一評估員的軟件評估報告的軟件作新的評估。但第二位評估員要檢查軟件具有要求的軟件安全完整性等級并且在預(yù)期的目標機器上適合預(yù)期的應(yīng)用。14.4.3評估員應(yīng)有權(quán)利接觸設(shè)計和開發(fā)過程以及所有與項目有關(guān)的文檔。14.4.4軟件評估應(yīng)由獨立于設(shè)計團隊的評估員來完成。14.4.5評估員應(yīng)評估系統(tǒng)軟件符合預(yù)期的目的，并對系統(tǒng)安全性需求規(guī)格說明書的安全性要求作出正確的響應(yīng)。14.4.6按照選定的軟件安全完整性等級的要求，評估員應(yīng)判定是否選擇了合適的方法并將其運用于軟件生存周期的各個階段。14.4.7如果軟件安全完整性等級有要求，評估員應(yīng)同意軟件確認計劃的范圍和內(nèi)容。但協(xié)議中應(yīng)聲明測試過程中評估員應(yīng)在場。14.4.8評估員可以要求進行附加的驗證和確認工作。14.4.9評估員將為每個評審形成一份報告，該報告應(yīng)細述他的評估結(jié)果。14.4.10如果按評估員的觀點，軟件能適合預(yù)期的應(yīng)用，則最終的軟件評估報告應(yīng)聲明軟件達到了軟件安全完整性等級。14.4.11若軟件不適合預(yù)期或未達到要求的軟件安全完整性等級，那么評估員應(yīng)在軟件評估報告中僅報告不符合項，不應(yīng)給出技術(shù)解決方案。15軟件質(zhì)量保證15.1目標15.1.1確定、監(jiān)控所有保證軟件達到要求的質(zhì)量所必須采取的技術(shù)和管理活動。為了提供針對系統(tǒng)故障所需的定性防護并確保形成一個審計蹤跡以使驗證和確認活動能有效地開展，這一點是必須做的。15.1.2提供證據(jù)來證明以上活動已被完成。15.2輸入文檔生存周期的每個階段使用的所有文檔。

15.3輸出文檔1)軟件質(zhì)量保證計劃。2)軟件配置管理計劃。所有上述計劃均在項目開始時制定，并在生存周期過程中修改。15.4要求15.4.1供應(yīng)商和/或開發(fā)商至少應(yīng)擁有和使用一個符合ENISO9000系列的質(zhì)量保障系統(tǒng)，以支持本歐洲標準的要求，強力推薦ENISO9001認證。15.4.2按照ENISO9000—3的指導(dǎo)方針，供應(yīng)商和/或開發(fā)商以及客戶對于軟件開發(fā)至少應(yīng)執(zhí)行ENISO9001的相關(guān)部分。15.4.3供應(yīng)商和/或開發(fā)商應(yīng)一個項目接一個項目地準備并用文檔說明軟件質(zhì)量保證計劃以完成本歐洲標準條款上兩條要求，并盡可能以可度量形式表達出來。15.4.4軟件質(zhì)量保證計劃應(yīng)有一段文字來規(guī)定在整個項目過程中其自身更新的細節(jié)：頻度、責(zé)任、方法。15.4.5ENISO9000—3和本歐洲標準(包括附件A)的所有章節(jié)中要求的活動，操作和文件等均應(yīng)在軟件質(zhì)量保證計劃中規(guī)定或參考，并適應(yīng)特定的開發(fā)。ENISO9000—3中沒有一張列表被認為是徹底的。除軟件安全完整性等級0外，在軟件質(zhì)量保證計劃中至少應(yīng)說明或參考以下條款。這是為了確保覆蓋軟件中和選定軟件安全完整性等級有關(guān)的所有安全性方面。當(dāng)前列表不是徹底的：生存周期模型定義和每個階段定義，包括：-活動和基本任務(wù)；-進入和退出準則；—各階段的輸入和輸出；-各階段的主要質(zhì)量活動；-對每一活動和基本任務(wù)負責(zé)的組織部門；需求追蹤能力；文檔結(jié)構(gòu)追蹤能力；與軟件開發(fā)、驗證、確認、運行和維護有關(guān)的文檔；系統(tǒng)集成程序；使用的編碼標準；對早期確認測試的評估；

產(chǎn)品和過程度量(定量測量)的定義。為了實現(xiàn)軟件產(chǎn)品度量，應(yīng)參照ISO/IEC912定義的質(zhì)量特征和評估方針。15.4.6按照ENISO9000—3，至少應(yīng)實行配置管理。每個軟件在發(fā)布首個認可版本之前，其文檔應(yīng)受配置管理的控制。在備有證明文件的模塊開始測試之前，軟件源代碼應(yīng)受配置管理的控制。配置管理控制不允許對任何部分進行任何未經(jīng)認可的修改。在儲存、轉(zhuǎn)移、傳輸或復(fù)制過程中，應(yīng)采取預(yù)防措施以防止或檢測機器可讀的代碼中出現(xiàn)的錯誤。配置管理不應(yīng)局限于嚴格的產(chǎn)品開發(fā)和維護，它還應(yīng)覆蓋整個生存周期中使用的環(huán)境。這一對再現(xiàn)開發(fā)和維護活動所必須的擴充應(yīng)包括匯編、編譯、調(diào)試器以及所有其它用到的工具。15.4.7應(yīng)檢查軟件驗證計劃的充分性和結(jié)果。15.4.8供應(yīng)商和/或開發(fā)者應(yīng)建立、用文件描述和維護外部供應(yīng)商控制的程序，其中包括：-確保外部供應(yīng)商提供的軟件滿足已有需求的方法。應(yīng)保證前期開發(fā)的軟件符合軟件安全完整性等級和可信性。新軟件應(yīng)按供應(yīng)商的軟件質(zhì)量保證計劃或與供應(yīng)商的軟件質(zhì)量保證計劃協(xié)調(diào)一致的外部供應(yīng)商的特定軟件質(zhì)量保證計劃來進行開發(fā)和維護。-確保提供給軟件外部供應(yīng)商的需求是充分的而完備的。15.4.9供應(yīng)商和或開發(fā)者應(yīng)建立、用文件描述并維護問題報告和糾正行為的程序。這些程序作為質(zhì)量保障系統(tǒng)的一部分，應(yīng)實施ENISO9001的相關(guān)部分，特別至少應(yīng)覆蓋以下幾個方面：-為了反饋給負責(zé)的管理部分，規(guī)定問題報告和或糾正行為所需的文檔。-規(guī)定在問題報告中收集到的信息的分析方法，以判斷出其原因。-規(guī)定在開發(fā)階段和軟件維護過程中報告、追蹤和問題解決應(yīng)遵循的措施。-規(guī)定根據(jù)與所要求的軟件安全完整性等級相對應(yīng)的等級處理問題的預(yù)防行為。-規(guī)定有關(guān)開發(fā)和軟件維護的特定組織的職責(zé)。-規(guī)定如何實施控制，以確報糾正行為已被采取并有效。-規(guī)定再測試、再驗證、再確認和再評估的需求。在緊接軟件集成之后、正式的軟件確認開始之前的軟件生存周期中，至少應(yīng)實施問題報告和糾正行為管理，而且要覆蓋軟件維護整個階段。16軟件維護16.1目標確保軟件按要求執(zhí)行，并在對軟件自身作糾正、功能增強和修改時保持軟件安全性完善性等級和可信性。

16.2輸入文檔所有文檔。16.3輸出文檔軟件維護計劃。軟件修改記錄。軟件維護記錄。16.4要求16.4.1維護至少應(yīng)根據(jù)ENISO9000－3的指導(dǎo)方針進行。此外，還應(yīng)該滿足以下軟件維護的需求。16.4.2軟件系統(tǒng)中應(yīng)設(shè)計有可維護性，特別是應(yīng)遵循本歐洲標準的條款10。還應(yīng)使用ISO/IEC9126，以要求和驗證最低水平的可維護性。16.4.3應(yīng)建立軟件維護程序，并記錄在軟件維護計劃中。這些程序應(yīng)包括：對錯誤報告、錯誤日志、維護日志、更改授權(quán)和軟件/系統(tǒng)配置的控制；驗證、確認和評估；規(guī)定認可軟件更改的權(quán)威機構(gòu)。16.4.4維護活動應(yīng)根據(jù)軟件維護計劃，以軟件質(zhì)量保障計劃中規(guī)定的周期進行審計。16.4.5維護階段的技術(shù)水平、工具、文檔、計劃和管理應(yīng)和系統(tǒng)的初始開發(fā)階段相同。配置管理、更改控制、文檔控制和相關(guān)組織的獨立性也同樣如此。16.4.6本歐洲標準并不打算進行追溯。所以它主要應(yīng)用于新的開發(fā)，僅當(dāng)已有系統(tǒng)要進行主要修改時，本標準才能完全應(yīng)用于已有系統(tǒng)。對于軟件安全完整性等級3或4，合同發(fā)包方應(yīng)在開始任何修改工作前，判斷維護工作是主要的還是次要以及系統(tǒng)維護方法是否充分的。而對于軟件安全完整性等級0、1或2，同樣的判斷應(yīng)由供應(yīng)商來作。16.4.7應(yīng)用“軟件質(zhì)量保障”條款中相關(guān)段落規(guī)定的類似準則來管理外部供應(yīng)商控制、問題報告和糾正工作。16.4.8每個軟件在首次發(fā)布前，應(yīng)建立軟件維護記錄，并對其進行維護。除了ENISO9000-3對于“維護記錄和報告”的需求之外，該記錄還應(yīng)包括：對該軟件所有軟件修改記錄的參照；修改結(jié)果信息；部件的測試用例，包括再確認和回歸測試數(shù)據(jù)；軟件配置歷史。16.4.9每個維護活動應(yīng)建立軟件修改記錄。這個記錄應(yīng)包括：

變更或修改請求；維護活動對整個系統(tǒng)影響的分析。包括軟件，硬件，人機交互以及環(huán)境和可能的交互；修改或變更的詳細規(guī)格說明；按選定的軟件安全完整性等級要求對修改或變更的再確認、回歸測試和再評估。再確認的責(zé)職可根據(jù)軟件安全完整性等級，隨項目的不同而不同。修改或變更對再確認過程的影響也可限制在不同的系統(tǒng)等級（僅僅是已變更的模塊、所有標識出受影響的模塊、整個系統(tǒng)）。因此，軟件確認計劃應(yīng)根據(jù)軟件安全完整性等級說明這兩個方面的問題。再確認的獨立性程度應(yīng)與確認時的獨立性程度一樣。17根據(jù)應(yīng)用數(shù)據(jù)配置的系統(tǒng)17.1目標17.1.1鐵路控制和防護系統(tǒng)的一個顯著特征是需要為滿足各特定應(yīng)用的需求設(shè)計裝置。由應(yīng)用數(shù)據(jù)配置的系統(tǒng)允許使用“類型認證”過的通用軟件，每個裝置的特定需求應(yīng)被定義成數(shù)據(jù)（特定應(yīng)用的數(shù)據(jù)）。這數(shù)據(jù)一般采取列表信息形式或采用由通用軟件解釋的特定應(yīng)用的語言。17.1.2對于安全性關(guān)鍵系統(tǒng)，開發(fā)軟件以使系統(tǒng)能實現(xiàn)所要求的系統(tǒng)安全完整性等級所需資源的昂貴程度使得采用應(yīng)用數(shù)據(jù)配置的系統(tǒng)非常誘人，原因是它允許通用軟件的復(fù)用。然而由于系統(tǒng)的安全運行可能依賴于數(shù)據(jù)的正確性，數(shù)據(jù)開發(fā)的程序也必須達到適當(dāng)?shù)南到y(tǒng)安全完整性等級。17.1.3以下部分描述了本歐洲標準關(guān)于應(yīng)用數(shù)據(jù)配置的系統(tǒng)中通用軟件的初始開發(fā)和各套具體裝置數(shù)據(jù)的后續(xù)開發(fā)的需求。17.2輸入文檔軟件需求規(guī)格說明書。軟件體系結(jié)構(gòu)規(guī)格說明書。17.3輸出文檔應(yīng)用需求規(guī)格說明書。數(shù)據(jù)準備計劃。數(shù)據(jù)測試計劃。數(shù)據(jù)測試報告。17.4要求17.4.1數(shù)據(jù)準備生存周期圖6描述了使用硬件、通用軟件和具體應(yīng)用數(shù)據(jù)的應(yīng)用生存周期。生存周期的各階段如下所述。

應(yīng)用需求規(guī)格說明書對應(yīng)用的需求加以定義。需求應(yīng)包括具體裝置的特定需求(如站場圖、信號位置、速度限制)和應(yīng)用必須遵守的標準(如信號原則、系統(tǒng)安全完整性等級)。裝置整體設(shè)計應(yīng)對系統(tǒng)體系結(jié)構(gòu)加以定義，計劃使用的通用部件的數(shù)量和類型也要加以說明。這些包括軟件的部件的開發(fā)應(yīng)符合本歐洲標準。需求中指定的功能應(yīng)分配到各部件，并對各部件的物理位置加以規(guī)定。數(shù)據(jù)準備數(shù)據(jù)準備過程應(yīng)包括形成特定信息(如控制表)、形成數(shù)據(jù)源代碼及其編譯、檢查、其它驗證活動以及應(yīng)用數(shù)據(jù)的測試。集成和驗收對有些系統(tǒng)，在現(xiàn)場安裝之前應(yīng)用數(shù)據(jù)將同通用硬件、軟件集成在一起在廠內(nèi)進行測試。若通過其它方法可獲得足夠的可信度，可不進行該項測試。隨后應(yīng)進行設(shè)備的現(xiàn)場安裝，并對新設(shè)備進行集成測試。最后系統(tǒng)作為整體運行系統(tǒng)交付使用，并對整個裝置進行最后的驗收。確認和評估確認和評估活動應(yīng)對生存周期各階段的執(zhí)行情況進行審計。17.4.2數(shù)據(jù)準備程序和工具對于應(yīng)用數(shù)據(jù)配置的各種新型系統(tǒng)，應(yīng)開發(fā)特定的數(shù)據(jù)準備程序和工具，以使新系統(tǒng)的裝置中應(yīng)用上一條款中規(guī)定的數(shù)據(jù)準備生存周期。這些程序和工具的開發(fā)應(yīng)和系統(tǒng)的通用軟件和硬件一起符合本歐洲標準。驗證、確認和評估活動應(yīng)確保數(shù)據(jù)準備工具和通用軟件相兼容。在應(yīng)用數(shù)據(jù)配置的系統(tǒng)的軟件設(shè)計階段，應(yīng)形成一個數(shù)據(jù)準備計劃，以便為數(shù)據(jù)準備過程定義一個文檔結(jié)構(gòu)。這些文檔應(yīng)與上一條款中描述的數(shù)據(jù)準備生存周期模型有關(guān)。計劃中應(yīng)規(guī)定為滿足要求的系統(tǒng)安全完整性等級而使用的數(shù)據(jù)準備程序和工具。計劃中還應(yīng)規(guī)定進行驗證、確認和設(shè)計任務(wù)的人員之間的獨立性的需求。數(shù)據(jù)準備計劃應(yīng)給數(shù)據(jù)準備生存周期中使用的硬件或軟件工具分配安全完整性等級。該安全完整性等級應(yīng)來源于要求的系統(tǒng)安全完整性等級和其他人工或自動化的程序檢查每個工具輸出的程度。數(shù)據(jù)準備計劃應(yīng)盡可能用應(yīng)用工程師們熟悉的符號來規(guī)定需求和設(shè)計，如標準信號計劃和控制表。在引入新符號的地方，必須提供必要的用戶文檔并進行適當(dāng)?shù)呐嘤?xùn)。證明數(shù)據(jù)準備已按計劃實施所需的驗證、測試、確認和評估報告可標準化成檢查表的形式,以便減少為各裝置產(chǎn)生文檔的工作量。這些信息應(yīng)包含在數(shù)據(jù)測試計劃中，結(jié)果應(yīng)被記錄在數(shù)據(jù)測試報告中。

所有數(shù)據(jù)和有關(guān)文檔應(yīng)符合本標準第15節(jié)中的配置管理需求。配置管理記錄要列出用于產(chǎn)生數(shù)據(jù)以運行的通用軟件的版本和數(shù)據(jù)準備過程中使用的工具的版本。17.4.3軟件開發(fā)開發(fā)應(yīng)用數(shù)據(jù)配置的系統(tǒng)中的通用軟件應(yīng)遵循本標準1—16條款的需求。同時還應(yīng)遵守以下附加的要求。在軟件需求規(guī)格說明書階段，應(yīng)確定每個系統(tǒng)和子系統(tǒng)中哪些功能將使用應(yīng)用數(shù)據(jù)。分配給每個子系統(tǒng)的系統(tǒng)安全完整性等級將決定系統(tǒng)所有裝置的數(shù)據(jù)后續(xù)開發(fā)的應(yīng)用標準。在軟件設(shè)計階段，應(yīng)確定通用軟件和應(yīng)用數(shù)據(jù)之間的詳細接口，除非這已在生存周期的早期階段中得以規(guī)定，例如，是要求使用現(xiàn)存的面向應(yīng)用的語言的結(jié)果。在軟件模塊設(shè)計階段，程序源代碼和數(shù)據(jù)之間必須實行嚴格的分離，即除非對軟件和數(shù)據(jù)之間的已規(guī)定接口作了變動，否則可以在不修改另一部分（數(shù)據(jù)或軟件）時就對通用軟件或數(shù)據(jù)進行重新編譯和修改。類似地，特定應(yīng)用數(shù)據(jù)應(yīng)和其他數(shù)據(jù)分開。在軟件維護階段，變更控制程序必須確保只有在確定被修改的軟件與原數(shù)據(jù)相兼容或?qū)?shù)據(jù)已作必要的修訂后，才能安裝修改后的通用軟件。在軟件驗證過程和軟件確認階段，要留意以確?？紤]了數(shù)據(jù)所有的相關(guān)組合。如果可行，通用軟件應(yīng)被設(shè)計成能檢測出損壞的配置數(shù)據(jù)。

受控設(shè)備受控設(shè)備4321043210軟件安全完整性等級系統(tǒng)安全完整性等級安全完整性等級4-非常高3-高2-中等1-低0-無安全要求需要的風(fēng)險降低風(fēng)險水平：無防護措施危險事件頻率危險事件后果頻率增加后果增加圖1–安全相關(guān)系統(tǒng)的完整性等級

獲得系統(tǒng)需求規(guī)定，獲得系統(tǒng)需求規(guī)定，系統(tǒng)安全性要求規(guī)定，系統(tǒng)結(jié)構(gòu)描述和系統(tǒng)安全性方案明確所有分配給軟件的安全性功能評審所有分配給軟件的安全性功能并決定軟件安全完整性度等級按照軟件質(zhì)量保障計劃，軟件安全完整性等級和軟件生命周期來設(shè)計，開發(fā)和驗證/確認軟件形成軟件需求規(guī)格說明書和軟件結(jié)構(gòu)規(guī)格說明系統(tǒng)運行生命階段實施軟件確認并移交給系統(tǒng)工程師軟件維護圖2–軟件安全路線圖

設(shè)計文檔設(shè)計文檔系統(tǒng)需求規(guī)格說明書、系統(tǒng)安全性需求規(guī)格說明書、系統(tǒng)結(jié)構(gòu)描述、系統(tǒng)安全性計劃軟件需求測試規(guī)格說明書軟件需求規(guī)格說明書軟件結(jié)構(gòu)規(guī)格說明軟件集成計劃軟件設(shè)計規(guī)格說明軟件模塊測試規(guī)格說明軟件模塊設(shè)計規(guī)格說明軟件源代碼和支持文件軟件模塊測試報告軟件集成測試報告軟件/硬件集成測試報告系統(tǒng)集成和測試文檔系統(tǒng)維護文檔驗證階段系統(tǒng)安裝文檔系統(tǒng)驗證軟件需求驗證軟件結(jié)構(gòu)驗證軟件設(shè)計驗證軟件模塊驗證代碼驗證軟件確認系統(tǒng)確認系統(tǒng)開發(fā)軟件需求軟件設(shè)計軟件模塊設(shè)計編碼軟件測試軟件/硬件集成軟件確認系統(tǒng)集成現(xiàn)場支持系統(tǒng)確認階段圖3–開發(fā)生命周期1

系統(tǒng)開發(fā)階段系統(tǒng)需求規(guī)格說明書系統(tǒng)開發(fā)階段系統(tǒng)需求規(guī)格說明書系統(tǒng)安全性要求規(guī)格說明書系統(tǒng)結(jié)構(gòu)描述系統(tǒng)安全性計劃軟件需求規(guī)格說明書階段系統(tǒng)需求規(guī)格說明書系統(tǒng)需求測試規(guī)格說明書系統(tǒng)需求驗證報告軟件結(jié)構(gòu)和設(shè)計階段軟件結(jié)構(gòu)規(guī)格說明書軟件設(shè)計規(guī)格說明書軟件結(jié)構(gòu)和設(shè)計驗證報告軟件模塊設(shè)計階段軟件模塊設(shè)計規(guī)格說明書軟件模塊測試規(guī)格說明書軟件模塊驗證報告編碼階段軟件源代碼和支持文檔軟件源代碼驗證報告軟件計劃階段軟件開發(fā)計劃軟件質(zhì)量保障計劃軟件配置管理計劃軟件驗證計劃軟件集成測試計劃軟件/硬件集成測試計劃軟件確認計劃軟件維護計劃軟件維護階段軟件維護記錄軟件修改記錄軟件評估階段軟件評估報告軟件確認階段軟件確認報告軟件/硬件集成階段軟件/硬件集成測試報告軟件集成階段軟件集成測試報告軟件模塊測試階段軟件模塊測試報告圖4–開發(fā)生命周期2

注：注：＝可以是同一個人＝可以是同一個公司DI=設(shè)計者/實現(xiàn)者VER=驗證員VAL＝確認員ASS’R＝評估員PRJMGR=項目經(jīng)理圖5–軟件安全完整性等級和獨立性比較

系統(tǒng)需求規(guī)格系統(tǒng)需求規(guī)格說明系統(tǒng)設(shè)計實現(xiàn)系統(tǒng)集成系統(tǒng)認證驗證驗證驗證驗證系統(tǒng)確認和證明計劃制定裝置設(shè)計生產(chǎn)裝置測試驗收和交付使用驗證驗證驗證工廠確認和證明工廠應(yīng)用工程通用系統(tǒng)設(shè)計和開發(fā)驗證圖6–通用系統(tǒng)開發(fā)和應(yīng)用開發(fā)之間的關(guān)系

附件A（規(guī)范性）技術(shù)和措施的選擇標準本歐洲標準中從7到16的每一條款都有一個相關(guān)的條款表格來說明實現(xiàn)符合的方法。其中有低等級表格和擴充條款表格中某個條目的細化表格。例如，條款8表格(表格A.2)中的半形式化方法在細化表格D.7（表格A.18）中得到擴充。本附件的條款表格還參考了參考性的附件B。每個軟件安全完整性等級（SWSIL）（1—4級和非安全相關(guān)的0級）都對表格中每項技術(shù)或措施有要求。在本版本中，軟件安全完整性等級1和2對于每項技術(shù)的要求都是一樣的。類似的，安全完整性等級3和4對于每項技術(shù)的要求也是一樣的。這些要求是：“M”表示某個技術(shù)須強制使用；“HR”表示該技術(shù)或方法在該安全完整性等級下是強力推薦。如果該技術(shù)或方法沒有使用，那么沒有使用的理由需要在“安全質(zhì)量保障計劃”或“安全質(zhì)量保障計劃”參考的其他文檔中給出；“R”表示該技術(shù)或方法在該安全完整性等級下是推薦使用。其低于“HR”的推薦度，并且這些技術(shù)可以組合使用?！?”表示該技術(shù)或方法既不推薦使用或也不反對使用；“NR”表示該技術(shù)或方法在當(dāng)前安全完整性等級下是肯定不推薦的。如果該技術(shù)或方法被使用，那么使用的理由需要在“安全質(zhì)量保障計劃”或“安全質(zhì)量保障計劃”參考的其他文檔中給出。除非表格的附注有其他要求，一個或多個選定的技術(shù)或措施及其組合需在“安全質(zhì)量保障計劃”或“安全質(zhì)量保障計劃”參考的其他文檔中加以說明。這些附注包括參照的經(jīng)核準的技術(shù)或技術(shù)組合。如果這些技術(shù)或技術(shù)組合被使用，那么評估者需認為它們是有效的并僅需要關(guān)心它們是否得到正確應(yīng)用。如果不同的技術(shù)得到使用并被證明合理，則評估者可以認為這是可接受的。

條款表格表格A.1–生命周期（條款7）文檔軟件安全完整性等級0軟件安全完整性等級1軟件安全完整性等級2軟件安全完整性等級3軟件安全完整性等級41.軟件計劃文檔推薦強力推薦強力推薦強力推薦強力推薦2.軟件需求文檔推薦強力推薦強力推薦強力推薦強力推薦3.軟件設(shè)計文檔-強力推薦強力推薦強力推薦強力推薦4.軟件模塊文檔-強力推薦強力推薦強力推薦強力推薦5.源代碼和文檔推薦強力推薦強力推薦強力推薦強力推薦6.軟件測試報告-強力推薦強力推薦強力推薦強力推薦7.軟件和硬件集成測試報告-強力推薦強力推薦強力推薦強力推薦8.軟件確認報告推薦強力推薦強力推薦強力推薦強力推薦9.軟件評估報告-強力推薦強力推薦強力推薦強力推薦10.軟件維護記錄推薦強力推薦強力推薦強力推薦強力推薦需求：符合ENISO9000-3蘊涵了對于各種軟件安全完整性等級都要形成充足的文檔。對于軟件安全完整性等級0，設(shè)計者應(yīng)選擇適當(dāng)?shù)奈臋n類型。表格A.2–軟件需求規(guī)格說明書（條款8）技術(shù)/方法參考條目軟件安全完整性等級0軟件安全完整性等級1軟件安全完整性等級2軟件安全完整性等級3軟件安全完整性等級41.形式化方法,包括如CCS,CSP,HOL,LOTOS,OBJ,時序邏輯VDM,Z和BB.30-推薦推薦強力推薦強力推薦2.半形式化方法D.7推薦推薦推薦強力推薦強力推薦3.結(jié)構(gòu)化方法,包括如JDS,MASCOT,SADT,SDL,SSADM和YourdonB.60推薦強力推薦強力推薦強力推薦強力推薦需求：1.軟件需求規(guī)格說明書要求用自然語言和能表示應(yīng)用的必要的數(shù)學(xué)符號來描述問題。2.本表描述了清楚而精確地定義規(guī)格說明書的附加需求。應(yīng)選擇表中一些技術(shù)來滿足使用的軟件安全完整性等級。表格A.3–軟件體系結(jié)構(gòu)（條款9）技術(shù)/方法參考條目軟件安全完整性等級0軟件安全完整性等級1軟件安全