EN50128基础培训

2015-10-26EN50128铁路应用-通信、信号和处理系统——铁路控制和防护系统软件报告人：周夏芳2015-10-261内容安排一、范围二、软件安全完整性等级三、组织结构、角色和资质四、生命周期和文档五、软件保障六、通用软件开发七、已有软件八、根据应用数据/算法配置的系统九、软件部署和软件维护2015-10-262一、范围主要内容本标准规定了在铁路控制和防护设备中使用的可编程电子系统软件开发时的过程要求和技术要求。适用对象本标准适用于铁路控制和防护系统中的所有安全相关软件，包括：——应用软件——操作系统——支持工具——固件——已有软件2015-10-263二、软件安全完整性等级什么是软件安全完整性等级？软件安全完整性等级是一组分级数字，它确定了软件必须采用的技术和措施。软件安全完整性等级分为SIL0~SIL4共5个等级。软件失效导致的风险越高，软件安全完整性等级越高。2015-10-264二、软件安全完整性等级如何确定软件安全完整性等级？通常来说，软件安全完整性等级至少应等于系统安全完整性等级。如果软件是由不同软件安全完整性等级的组件组成，那么该软件的所有组件都应按最高软件安全完整性等级的要求处理。2015-10-265二、软件安全完整性等级如何达到软件安全完整性等级的要求？1.标准正文2015-10-266目标要求二、软件安全完整性等级如何达到软件安全完整性等级的要求？2.标准附录Normative：AnnexA、AnnexB——规范性附录，必须满足Informative：AnnexC、AnnexD——信息性附录，供参考2015-10-267二、软件安全完整性等级如何达到软件安全完整性等级的要求？AnnexA：对于技术措施的要求M：强制HR：强力推荐R：推荐-：不推荐也不反对NR：不推荐（不应使用）2015-10-268二、软件安全完整性等级如何达到软件安全完整性等级的要求？AnnexB：对关键软件角色和职责的要求需求经理（REQ）设计人员（DES）实现人员（IMP）测试人员（TST）验证人员（VER）集成人员（INT）确认人员（VAL）评估人员（ASR）项目经理（PM）配置经理（CM）2015-10-269三、组织结构、角色和资质目标确保所有参与软件开发过程的人员都是在组织结构的管理下，是已授权并且有能力胜任其角色职责的。角色资质要求AnnexB（TableB.1~B.10）2015-10-2610三、组织、角色和资质组织结构独立性要求2015-10-2611四、生命周期和文档目标将软件开发构造成规定的阶段和活动。记录贯穿整个软件生命周期的所有相关信息。生命周期模型标准对生命周期模型无强制要求，但要求各阶段的活动和内容均能满足本标准的要求。2015-10-2612四、生命周期和文档2015-10-2613四、生命周期和文档文档要求AnnexA.1各阶段文档要求2015-10-2614四、生命周期和文档文档要求每一个文档都应有一个唯一的文档编号、以及定义好的与其它文档之间的关系。每一个文档都应包含并实现其上级（输入）文档的所有相关要求。每一个文档的内容都不应与其上级（输入）文档相矛盾。2015-10-2615——追溯前提——追溯完整性——追溯一致性内容安排一、范围二、软件安全完整性等级三、组织结构、角色和资质四、生命周期和文档五、软件保障六、通用软件开发七、已有软件八、根据应用数据/算法配置的系统九、软件部署和软件维护2015-10-2616五、软件保障软件测试软件验证软件确认软件评估软件质量保障变更控制工具安全保障2015-10-2617五、软件保障——软件测试目标通过测试案例的输入、输出来检查软件的行为，并且测试应达到指定覆盖率的要求。测试分类——软件组件测试——软件集成测试——软硬件集成测试——软件确认测试2015-10-2618五、软件保障——软件测试测试规范要求测试规范应描述以下内容：测试目标测试案例、测试数据、预期结果测试类型测试环境、工具、配置和程序测试通过标准测试覆盖率要求测试人员的角色职责对输入文档的追溯关系实际选择的测试设备2015-10-2619五、软件保障——软件测试测试报告要求测试报告应描述以下内容：测试结论测试覆盖率及测试完成程度缺陷记录每一个测试案例的测试结果记录测试应可重复，如果可行，最好可以自动执行测试脚本应被验证所有测试涉及的项都应被记录（如被测对象、软硬件配置、测试环境、对应的测试规范版本等）测试人员姓名2015-10-2620五、软件保障——验证和确认验证和确认验证是用于判定生命周期各阶段的输出符合该阶段输入要求的行为（完整性、正确性、一致性）。确认是用于判定最终软件满足其安全完整性要求、满足软件需求及预期应用要求的行为。2015-10-2621需求确认实现设计测试验证五、软件保障——软件质量保障目标确定、监控能使软件达到要求的质量所必须采取的所有技术和管理活动。要求计划基本质量保障系统软件质量保障计划软件质量保障验证报告配置管理外部供应商管理2015-10-2622五、软件保障——软件质量保障要求可追溯性要求。需求-设计-实现需求-确认测试/分析验证结构设计-集成测试/分析验证模块设计-模块测试/分析验证2015-10-2623五、软件保障——变更控制目标确保软件在变更时仍能满足安全完整性和可靠性的要求。要求变更管理过程的相关要求：问题报告和改正措施相关文档；原因分析；报告、追踪、解决问题的相关步骤；变更影响分析；再验证、再确认、再评估；……2015-10-2624第五部分：软件保障——变更控制要求所有变更都应发起一个到达适当生命周期阶段的回退。该阶段之后的所有阶段都应根据本标准的要求重新执行其指定的程序。2015-10-2625第五部分：软件保障——变更控制变更实施的关键根据变更的原因找到回退点。进行变更影响分析后确定后续各阶段的工作范围。包括需求、设计实现、测试、验证、确认等。判断变更是否对用户输出文件产生影响，有影响时应更新输出文件如SRAC、数据配置、安装手册、应用手册、操作说明书、维护说明书、工艺文件、测试工装等。2015-10-2626五、软件保障——工具安全保障目标确保工具的潜在失效不会对软件产生不能通过技术和/或管理手段检测出的安全相关影响。工具分类2015-10-2627分类定义举例T1输出不会对软件可执行代码（含数据）产生直接或间接影响的工具文本编辑器、配置管理工具T2支持对设计或可执行代码进行测试或验证的工具，工具的错误会导致不能发现缺陷，但不会使可执行代码产生直接的错误动态测试工具、静态分析工具T3输出会对软件可执行代码（含数据）产生直接或间接影响的工具编译器、链接器、数据准备工具五、软件保障——工具安全保障要求对于T2、T3类工具，应具有使用说明书，能清晰定义工具的行为及使用限制；确认选择的工具适合于应用；识别工具潜在的失效，并提出避免或控制方法。2015-10-2628内容安排一、范围二、软件安全完整性等级三、组织结构、角色和资质四、生命周期和文档五、软件保障六、通用软件开发七、已有软件八、根据应用数据/算法配置的系统九、软件部署和软件维护2015-10-2629六、通用软件开发软件需求阶段结构设计阶段组件设计阶段组件实现和测试阶段集成阶段确认测试/最终确认阶段2015-10-2630六、通用软件开发——软件需求目标为了使软件能满足所有系统需求和安全需求而对其要求进行完整描述，并为后续各阶段参考提供的综合性文档。输入文档——系统需求规范——系统安全需求规范——系统结构设计——外部接口规范（如软/软件接口规范、软/硬件接口规范）——外部限制条件（SRAC）2015-10-2631六、通用软件开发——软件需求六、通用软件开发——软件需求要求软件需求规范应对如下软件属性进行描述：功能性包括容量和响应时间健壮性容错能力、恢复能力可维护性如软件调试接口、诊断信息输出安全性包括安全功能和安全完整性等级效率时间占用、空间占用可用性人机界面如操作系统移植、平台移植可移植性2015-10-2632六、通用软件开发——软件需求要求对软件需求规范如何描述的要求。软件需求规范的描述应：完整清晰准确无二义可验证可测试可维护可行性对输入文档可追溯2015-10-2633六、通用软件开发——软件需求要求软件需求规范应使用让整个生命周期所涉及的责任人员都易理解的表达方法；软件需求规范应明确受控设备与其他系统的所有接口，包括与操作员的接口；软件需求规范应明确所有相关的操作方式；2015-10-2634六、通用软件开发——软件需求要求软件需求规范中应明确或引用可编程电子器件所有相关的行为模式，尤其是失效行为；软件需求规范中应明确或引用软硬件之间的约束关系；软件需求规范中应指出软件自检的程度及软件检测硬件的程度；2015-10-2635六、通用软件开发——软件需求要求软件需求规范中应根据系统安全需求规范的要求包括周期性功能检测需求；软件需求规范应根据系统安全需求规范的要求包括使所有安全功能在整个系统运行期内可测试的需求；2015-10-2636六、通用软件开发——软件需求要求所有分配由软件完成的功能，特别是那些与实现系统安全完整性等级有关的功能，软件需求规范应对其加以清楚说明；（明确安全功能）当要求软件来完成非安全功能时，软件需求规范应对其加以清楚说明；（明确非安全功能）2015-10-2637六、通用软件开发——软件需求要求软件需求规范相关的技术和措施要求参见AnnexA.22015-10-2638七、已有软件的使用已有软件在使用时应遵循以下限制：应清晰识别并文档化以下内容：已有软件的功能及预期满足的需求已有软件的使用限制已有软件的接口说明已有软件必须包含在整体软件确认范围内；2015-10-2639七、已有软件的使用已有软件在使用时应遵循以下限制：对于SIL3/SIL4级的软件：应对已有软件进行失效影响分析；应针对分析出的失效制定检测策略及防护措施；验证和确认过程应确保：-已有软件能满足被分配的需求；-已有软件的失效能被检测及有效防护；-已有软件的使用限制被满足。2015-10-2640内容安排一、范围二、软件安全完整性等级三、组织结构、角色和资质四、生命周期和文档五、软件保障六、通用软件开发七、已有软件八、根据应用数据/算法配置的系统九、软件部署和软件维护2015-10-2641八、应用数据/算法配置的系统目标铁路系统的一个显著特征是需要为满足各特定应用的需求设计装置。由应用数据/算法配置的系统允许使用认证过的通用软件，每个装置的特定需求应被定义成数据/算法。本节描述对应用数据/算法开发的要求，以及相关通用软件开发的要求。2015-10-2642八、应用数据/算法配置的系统应用数据/算法开发的要求应用需求阶段要对应用的需求加以定义，包括具体装置的特定需求（如站场图、信号位置、速度限制）和应用必须遵守的标准（如信号原则）。应用数据和算法都在本阶段指定。应用设计阶段应对通用软硬件部件的数量和类型进行定义，并各部件的位置、应用数据和算法的位置。完成应用数据和算法设计。2015-10-2643八、应用数据/算法配置的系统应用数据/算法开发的要求应用实现阶段应对通用软件源码和应用数据/算法进行实现和编译，并完成相关的验证测试活动。应用集成和测试验收阶段对于有些系统，应用数据/算法可以和通用软硬件一起在工厂进行集成和测试。随后应进行设备的现场安装，并对新设备进行集成测试。最后系统作为整体运行系统交付使用，并对整个装置进行最后的验收。2015-10-2644八、应用数据/算法配置的系统应用数据/算法开发的要求数据/算法准备工具对于应用数据/算法配置的各种新型系统，应开发特定的数据准备程序和工具，并符合本标准对工具的要求。2015-10-2645八、应用数据/算法配置的系统通用软件开发要求通用软件的开发应符合本标准通用软件开发章节的要求。此外还应满足以下附加要求：软件需求阶段应确定每个系统和子系统哪些功能将使用应用