EN50128基础培训.pdf-得力文库

资源描述

《EN50128基础培训.pdf》由会员分享，可在线阅读，更多相关《EN50128基础培训.pdf（52页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、2015-10-26 EN 50128 铁路应用-通信、信号和处理系统铁路控制和防护系统软件报告人：周夏芳 2015-10-26 1 内容安排一、范围二、软件安全完整性等级三、组织结构、角色和资质四、生命周期和文档五、软件保障六、通用软件开发七、已有软件八、根据应用数据/算法配置的系统九、软件部署和软件维护 2015-10-26 2 一、范围主要内容本标准规定了在铁路控制和防护设备中使用的可编程电子系统软件开发时的过程要求和技术要求。适用对象本标准适用于铁路控制和防护系统中的所有安全相关软件，包括：应用软件操作系统支持工具固件已有软件 2015-10-26

2、3 二、软件安全完整性等级什么是软件安全完整性等级？软件安全完整性等级是一组分级数字，它确定了软件必须采用的技术和措施。软件安全完整性等级分为SIL0SIL4共5个等级。软件失效导致的风险越高，软件安全完整性等级越高。2015-10-26 4 二、软件安全完整性等级如何确定软件安全完整性等级？通常来说，软件安全完整性等级至少应等于系统安全完整性等级。如果软件是由不同软件安全完整性等级的组件组成，那么该软件的所有组件都应按最高软件安全完整性等级的要求处理。2015-10-26 5 二、软件安全完整性等级如何达到软件安全完整性等级的要求？1.标准正文 2015-10-26 6 目标目标要求

3、要求二、软件安全完整性等级如何达到软件安全完整性等级的要求？2.标准附录 Normative：Annex A、Annex B 规范性附录，必须满足 Informative：Annex C、Annex D 信息性附录，供参考 2015-10-26 7 二、软件安全完整性等级如何达到软件安全完整性等级的要求？Annex A：对于技术措施的要求对于技术措施的要求 M：强制 HR：强力推荐 R：推荐 -：不推荐也不反对 NR：不推荐（不应使用）2015-10-26 8 二、软件安全完整性等级如何达到软件安全完整性等级的要求？Annex B：对关键软件角色和职责的要求对关键软件角色和职责的要求

4、需求经理（REQ）设计人员（DES）实现人员（IMP）测试人员（TST）验证人员（VER）集成人员（INT）确认人员（VAL）评估人员（ASR）项目经理（PM）配置经理（CM）2015-10-26 9 三、组织结构、角色和资质目标确保所有参与软件开发过程的人员都是在组织结构的管理下，是已授权并且有能力胜任其角色职责的。角色资质要求 Annex B（TableB.1B.10）2015-10-26 10 三、组织、角色和资质组织结构独立性要求 2015-10-26 11 四、生命周期和文档目标将软件开发构造成规定的阶段和活动。记录贯穿整个软件生命周期的所有相关信息。生命周期模型标准对生

5、命周期模型无强制要求，但要求各阶段的活动和内容均能满足本标准的要求。2015-10-26 12 四、生命周期和文档 2015-10-26 13 四、生命周期和文档文档要求 Annex A.1 各阶段文档要求 2015-10-26 14 四、生命周期和文档文档要求每一个文档都应有一个唯一的文档编号、以及定义好的与其它文档之间的关系。每一个文档都应包含并实现其上级（输入）文档的所有相关要求。每一个文档的内容都不应与其上级（输入）文档相矛盾。2015-10-26 15 追溯前提追溯前提追溯完整性追溯完整性追溯一致性追溯一致性内容安排一、范围二、软件安全完整性等级三、组织结构、角色

6、和资质四、生命周期和文档五、软件保障六、通用软件开发七、已有软件八、根据应用数据/算法配置的系统九、软件部署和软件维护 2015-10-26 16 五、软件保障软件测试软件验证软件确认软件评估软件质量保障变更控制工具安全保障 2015-10-26 17 五、软件保障软件测试目标通过测试案例的输入、输出来检查软件的行为，并且测试应达到指定覆盖率的要求。测试分类软件组件测试软件集成测试软硬件集成测试软件确认测试 2015-10-26 18 五、软件保障软件测试测试规范要求测试规范应描述以下内容：测试目标测试案例、测试数据、预期结果测试类型测试环境、工

7、具、配置和程序测试通过标准测试覆盖率要求测试人员的角色职责对输入文档的追溯关系实际选择的测试设备 2015-10-26 19 五、软件保障软件测试测试报告要求测试报告应描述以下内容：测试结论测试覆盖率及测试完成程度缺陷记录每一个测试案例的测试结果记录测试应可重复，如果可行，最好可以自动执行测试脚本应被验证所有测试涉及的项都应被记录（如被测对象、软硬件配置、测试环境、对应的测试规范版本等）测试人员姓名 2015-10-26 20 五、软件保障验证和确认验证和确认验证是用于判定生命周期各阶段的输出符合该阶段输入要求的行为（完整性、正确性、一致性）。确认是用于判定最终软

8、件满足其安全完整性要求、满足软件需求及预期应用要求的行为。2015-10-26 21 需求确认实现设设计计测测试试验证验证五、软件保障软件质量保障目标确定、监控能使软件达到要求的质量所必须采取的所有技术和管理活动。要求计划基本质量保障系统软件质量保障计划软件质量保障验证报告配置管理外部供应商管理 2015-10-26 22 五、软件保障软件质量保障要求可追溯性要求。需求-设计-实现需求-确认测试/分析验证结构设计-集成测试/分析验证模块设计-模块测试/分析验证 2015-10-26 23 五、软件保障变更控制目标确保软件在变更时仍能满足安全完整性和

9、可靠性的要求。要求变更管理过程的相关要求：问题报告和改正措施相关文档；原因分析；报告、追踪、解决问题的相关步骤；变更影响分析；再验证、再确认、再评估；2015-10-26 24 第五部分：软件保障变更控制要求所有变更都应发起一个到达适当生命周期阶段的回退。该阶段之后的所有阶段都应根据本标准的要求重新执行其指定的程序。2015-10-26 25 第五部分：软件保障变更控制变更实施的关键根据变更的原因找到回退点。进行变更影响分析后确定后续各阶段的工作范围。包括需求、设计实现、测试、验证、确认等。判断变更是否对用户输出文件产生影响，有影响时应更新输出文件如SRAC、数据配置、安装手册、应

10、用手册、操作说明书、维护说明书、工艺文件、测试工装等。2015-10-26 26 五、软件保障工具安全保障目标确保工具的潜在失效不会对软件产生不能通过技术和/或管理手段检测出的安全相关影响。工具分类 2015-10-26 27 分类分类定义定义举例举例 T1 输出不会对软件可执行代码（含数据）产生直接或间接影响的工具文本编辑器、配置管理工具 T2 支持对设计或可执行代码进行测试或验证的工具，工具的错误会导致不能发现缺陷，但不会使可执行代码产生直接的错误动态测试工具、静态分析工具 T3 输出会对软件可执行代码（含数据）产生直接或间接影响的工具编译器、链接器、数据准备工具五、软件保

11、障工具安全保障要求对于T2、T3类工具，应具有使用说明书，能清晰定义工具的行为及使用限制；确认选择的工具适合于应用；识别工具潜在的失效，并提出避免或控制方法。2015-10-26 28 内容安排一、范围二、软件安全完整性等级三、组织结构、角色和资质四、生命周期和文档五、软件保障六、通用软件开发七、已有软件八、根据应用数据/算法配置的系统九、软件部署和软件维护 2015-10-26 29 六、通用软件开发软件需求阶段结构设计阶段组件设计阶段组件实现和测试阶段集成阶段确认测试/最终确认阶段 2015-10-26 30 六、通用软件开发软件需求目标为了使软件能

12、满足所有系统需求和安全需求而对其要求进行完整描述，并为后续各阶段参考提供的综合性文档。输入文档系统需求规范系统安全需求规范系统结构设计外部接口规范（如软/软件接口规范、软/硬件接口规范）外部限制条件（SRAC）2015-10-26 31 六、通用软件开发软件需求六、通用软件开发软件需求要求软件需求规范应对如下软件属性软件属性进行描述：功能性功能性包括容量和响应时间健壮性健壮性容错能力、恢复能力可维护性可维护性如软件调试接口、诊断信息输出安全性安全性包括安全功能和安全完整性等级效率效率时间占用、空间占用可用性可用性人机界面如操作系统移植、平台移植可移植性可移

13、植性 2015-10-26 32 六、通用软件开发软件需求要求对软件需求规范如何描述的要求。软件需求规范的描述应：完整完整清晰清晰准确准确无二义无二义可验证可验证可测试可测试可维护可维护可行性可行性对输入文档可追溯对输入文档可追溯 2015-10-26 33 六、通用软件开发软件需求要求软件需求规范应使用让整个生命周期所涉及的责任人员都易理解的表达方法；软件需求规范应明确受控设备与其他系统的所有接口，包括与操作员的接口；软件需求规范应明确所有相关的操作方式；2015-10-26 34 六、通用软件开发软件需求要求软件需求规范中应明确或引用可编程电子器件所有相关的行为

14、模式，尤其是失效行为；软件需求规范中应明确或引用软硬件之间的约束关系；软件需求规范中应指出软件自检的程度及软件检测硬件的程度；2015-10-26 35 六、通用软件开发软件需求要求软件需求规范中应根据系统安全需求规范的要求包括周期性功能检测需求；软件需求规范应根据系统安全需求规范的要求包括使所有安全功能在整个系统运行期内可测试的需求；2015-10-26 36 六、通用软件开发软件需求要求所有分配由软件完成的功能，特别是那些与实现系统安全完整性等级有关的功能，软件需求规范应对其加以清楚说明；（明确安全功能）当要求软件来完成非安全功能时，软件需求规范应对其加以清楚说明；（明确非安全功能

15、）2015-10-26 37 六、通用软件开发软件需求要求软件需求规范相关的技术和措施要求参见Annex A.2 2015-10-26 38 七、已有软件的使用已有软件在使用时应遵循以下限制：应清晰识别并文档化以下内容：已有软件的功能及预期满足的需求已有软件的使用限制已有软件的接口说明已有软件必须包含在整体软件确认范围内；2015-10-26 39 七、已有软件的使用已有软件在使用时应遵循以下限制：对于SIL3/SIL4级的软件：应对已有软件进行失效影响分析；应针对分析出的失效制定检测策略及防护措施；验证和确认过程应确保：-已有软件能满足被分配的需求；-已有软件的失效能被检测及有

16、效防护；-已有软件的使用限制被满足。2015-10-26 40 内容安排一、范围二、软件安全完整性等级三、组织结构、角色和资质四、生命周期和文档五、软件保障六、通用软件开发七、已有软件八、根据应用数据/算法配置的系统九、软件部署和软件维护 2015-10-26 41 八、应用数据/算法配置的系统目标铁路系统的一个显著特征是需要为满足各特定应用的需求设计装置。由应用数据/算法配置的系统允许使用认证过的通用软件，每个装置的特定需求应被定义成数据/算法。本节描述对应用数据/算法开发的要求，以及相关通用软件开发的要求。2015-10-26 42 八、应用数据/算法配置的系统应用

17、数据/算法开发的要求应用需求阶段要对应用的需求加以定义，包括具体装置的特定需求（如站场图、信号位置、速度限制）和应用必须遵守的标准（如信号原则）。应用数据和算法都在本阶段指定。应用设计阶段应对通用软硬件部件的数量和类型进行定义，并各部件的位置、应用数据和算法的位置。完成应用数据和算法设计。2015-10-26 43 八、应用数据/算法配置的系统应用数据/算法开发的要求应用实现阶段应对通用软件源码和应用数据/算法进行实现和编译，并完成相关的验证测试活动。应用集成和测试验收阶段对于有些系统，应用数据/算法可以和通用软硬件一起在工厂进行集成和测试。随后应进行设备的现场安装，并对新设备进

18、行集成测试。最后系统作为整体运行系统交付使用，并对整个装置进行最后的验收。2015-10-26 44 八、应用数据/算法配置的系统应用数据/算法开发的要求数据/算法准备工具对于应用数据/算法配置的各种新型系统，应开发特定的数据准备程序和工具，并符合本标准对工具的要求。2015-10-26 45 八、应用数据/算法配置的系统通用软件开发要求通用软件的开发应符合本标准通用软件开发章节的要求。此外还应满足以下附加要求：软件需求阶段应确定每个系统和子系统哪些功能将使用应用数据/算法。软件设计阶段应确定通用软件和应用数据之间的详细接口。2015-10-26 46 八、应用数据/算法配置的系

19、统通用软件开发要求软件组件设计阶段程序源代码和应用数据/算法之间必须实行严格的分离。软件维护阶段变更控制程序必须确保只有在确定被修改的软件与原数据/算法兼容或对数据/算法已进行了必要修订后，才能安装修改后的通用软件。2015-10-26 47 八、应用数据/算法配置的系统通用软件开发要求如果可行，通用软件应被设计成能检测出损坏的配置数据/算法。2015-10-26 48 九、软件部署和软件维护软件部署目标确保软件在部署到最终的应用环境后，能按要求、保证其软件安全完整性等级和可靠性地运行。软件部署要求软件在交付之前应先确定基线，并纳入配置库进行管理。已有软件也要纳入配置库进行管

20、理。应编制发布清单。发布清单中应定义软件的应用条件，对软件之间、软硬件之间的兼容性进行说明，定义软件的使用限制。2015-10-26 49 九、软件部署和软件维护软件部署要求应编制软件部署手册，定义软件的部署流程。增量部署时要注意软件版本一致性的问题。新软件部署时的回退机制。应有软件部署记录。应对部署到现场装置的软件进行追踪管理。2015-10-26 50 九、软件部署和软件维护软件维护目标确保软件按要求执行，并在对软件自身作纠正、功能增强和修改时保持软件安全完整性等级和可信性。软件维护要求软件维护计划变更发起原因、变更等级的识别、变更影响分析、验证确认评估计划、变更发起的批准、变更完成后的批准软件维护记录变更相关引用文档、变更影响分析、变更实施记录、测试记录、验证确认评估记录、配置管理等 2015-10-26 51

展开阅读全文