内容简介
指导性文件 GUIDANCE NOTES
GD13-2017
中 国 船 级 社
船用软件安全及可靠性评估指南
Guide for Safety and Reliability Assessment
for Shipboard Software
2017
目录
1
范围及说明 ....................................................................................................................... 1
2
规范性引用文件 ............................................................................................................... 1
3
术语及缩略语 ................................................................................................................... 2
4
计算机系统分类 ............................................................................................................... 5
5
质量体系的要求 ............................................................................................................... 6
6
系统生命周期 ................................................................................................................... 8
7
软件开发生命周期 ......................................................................................................... 18
8
试验和验证 ..................................................................................................................... 38
附录 1 测试和检验的验证表 ...................................................................................................... 41
附录 2 小型低复杂度计算机系统的评估 .................................................................................. 58
附录 3 计算机系统设计和实现阶段的技术建议 ...................................................................... 60
1 范围及说明
1.1 本指南是对船用计算机系统(以下简称计算机系统,包括可编程电子
系统)中软件的可靠性及安全性评估指南,对船用计算机系统中软件的开发、测
试、认证、生产、维护提出了安全及可靠性的技术要求。本指南也对与软件相关
的硬件制定了一些要求,这些要求需与产品的技术要求结合使用。本指南适用安
装于入级船舶上,提供符合入级要求的控制、报警、监测、安全或内部通信功能
的计算机系统,包括可编程电子系统。本指南不适用于装载仪以及国际海事组织
已有具体性能标准的无线电通信设备和航行设备。
1.2 本指南主要关注在软件开发生命周期,对整体安全生命周期中的一些
环节也有所采用。本指南软件开发模型采用 V 模型,相关模型的演化并未包含在
本指南中。
1.3 考虑到小型简单的计算机系统的直接应用和在复杂系统中对部分功能
实现的应用,本指南定义了小型低复杂度计算机系统,并在附录 2 给出了简化的
评估方法。
1.4 在应用本指南时,可根据利益相关方内部文件管理系统编制本指南中
提到的文档,但内容应符合指南中提及的相关内容。
1.5 附加标志
1.5.1 对于建立了系统生命周期的计算机系统,依照钢规等要求通过了系
统和硬件的认证,并满足了本指南对软件的技术要求,根据其不同的系统等级(分
类见 4.1 条),可授予下列附加标志:
(1)对于 I 类系统,SLC1;
(2)对于 II 类系统,SLC2;
(1)对于 III 类系统,SLC3。
1.6 本指南包括三个附录。其中:
1.6.1 附录 1 是现场验船师进行船用计算机系统中软件的安全及可靠性评
估时使用的测试和检验的验证表。
1.6.2 附录 2 是小型低复杂度计算机系统的评估方法。
1.6.3 附录 3 是计算机系统设计和实现阶段的技术建议。
2 规范性引用文件
2.1 下列参考文件对于指南的应用是不可缺少的。凡是注日期的引用文件,
仅引用版本适用。凡是不注日期的引用文件,其最新版本适用于本指南。
1
引用文件 表 2.1
1. 中国船级社《钢质海船入级规范》(2015)及其修改通 报
2. SOLAS 公约第 II-1 章第 55 条
3. GD22-2015 中国船级社 电气电子产品型式认可试验指南
4. IACS UR E22 可编程电子系统船上使用和应用
5. IEC 61508 电气/电子/可编程电子安全相关系统的功能安全
6. IEC 61511 功能安全 安全仪表系统在过程工业中的应用
7. IEC 60092-504 船舶电气设备 第 504 部分:专辑 控制和测量仪表
8. IEC 60812 系统可靠性分析技术-故障模式影响分析
9. IEC 61025 故障树分析
10. 10. IEEE 730 软件质量保证计划
11. 11. ISO 9001 质量管理体系要求
12. 12. ISO/IEC 90003 软件工程-计算机软件 ISO9001:2008 应用导则
13. 13. ISO/IEC 12207 系统和软件工程 软件生命周期过程
14. 14. ISO/IEC 15288 系统和软件工程 系统生命周期过程
15. 15. ISO 17894 船舶和海上技术 计算机应用 海上用可编程电子系统的 开发和使用总则
16. 16. ISO/IEC 25000 系统和软件工程 系统和软件质量要求和评估(SQuaRE) SQuaRE 导则
17. 17. ISO/IEC 25041 系统和软件工程 系统和软件质量要求和评估(SQuaRE) 开发者、受让人和独立评价者用评价指南
3 术语及缩略语
3.1 术语
3.1.1 软件(software)
包括程序、规程、数据、规则以及相关的数据处理系统操作文档在内的智能
创作。
3.1.2 计算机系统(computer system)
以计算机技术为基础,可以由硬件、软件及其输入和(或)输出单元构成的。
注:这个术语包括以一个或多个中央处理器(CPU)及相关的存储器等为基础的微电
子装置。
3.1.3 系统(system)
根据设计相互作用的一组元素,可能包括相互作用的硬件、软件和人等。
3.1.4 子系统(Subsystem)
2
子系统是一种模型元素,它具有包(其中可包含其他模型元素)和类(其具
有行为)的语义。子系统的行为由它所包含的类或其他子系统提供。子系统实现
一个或多个接口,这些接口定义子系统可以执行的行为。
3.1.5 模块(Module)
程序、分立部件、封装程序的一个功能集、或一组归并在一起的分立部件。
3.1.6 软件模块(Software module)
由规程和(或)数据说明组成的构造,并能与其它这样的构造相互作用。
3.1.7 安全功能(Safety function)
针对特定的危险事件,为达到或保持 EUC 的安全状态,由计算机系统、其
它技术安全相关系统或外部风险降低设施实现的功能
3.1.8 受控设备(Equipment under control(EUC))
用于制造、加工、运输或其它活动的设备、机器、器械和(或)成套装置。
3.1.9 小型低复杂度计算机系统(Small low complexity computer system)
一种计算机系统,其中:已很好确定了每个部件的失效模式;能完全确定在
故障情况下的系统行为。
注:在故障状态下系统行为可用试验和(或)分析的方法确定。
3.1.10 动态测试(Dynamic testing)
用系统的和受控的方式执行软件和(或)操作硬件以证明所要求的行为的存
在以及非要求行为的不存在。
3.1.11 质量计划(Quality plan)
针对特定的软件产品、软件项目所规定的质量措施、资源和活动顺序的文件。
描述相关质量标准并且说明如何满足相应标准的一系列文件。
3.1.12 系统生命周期(System lifecycle)
系统实现过程中所必需的生命活动,这些活动发生在从一项工程的概念阶段
开始,直至所有的计算机系统及其相关停止使用为止的一段时间内。
3.1.13 软件生命周期(Software lifecycle)
从软件开始构思到软件永久停用期间的活动。
注:一个典型的软件生命周期包括需求、开发、测试、集成、安装和修改等阶段。
3
3.1.14 软件配置管理(Software Configuration Management,SCM)
是一种标识、组织和控制修改的技术。软件配置管理应用于整个软件工程过
程。
3.1.15 可编程设备(Programmable device)
安装有软件的物理单元。
3.1.16 船舶(Vessel)
安装计算机系统的船舶或近海装置。
3.1.17 利益相关方(Stakeholders)
能够影响、受到影响或认为自己受到决策或者活动影响的人或组织。
3.1.18 业主(Owner)
业主根据规格书与系统集成商和/或提供软硬件系统的供应商签订合同。在
建造期,业主可以是船舶建造方(建造者或船厂)。船舶交付后,业主可为船舶
运营公司。
3.1.19 系统集成商(System integrator)
系统集成商负责将供应商提供的系统和产品集成为一个指定要求的完整系
统。系统集成商也可能对船舶的系统集成负责。船厂应担当系统集成商的角色,
除非有另一个组织专门承包或被分配承担这责任。如果在任何时候有多个团队完
成系统集成,则必须由一个团队负责整体系统集成和协调集成活动。如果不同的
系统集成商负责多个集成阶段中的特定阶段,则必须由一个团队负责确定和协调
集成的所有阶段。
3.1.20 供应商(Supplier)
供应商是在系统集成商或船厂协调下的系统元件或软件承包商或分包商。供
应商向系统集成商提供可编程设备、子系统或系统。供应商应提供软件功能说明,
以证明符合船东的要求、适用的国际和国家标准和本节的适用要求。
3.2 缩略语
3.2.1 ISO:International Organization for Standardization,国际标
准化组织。
3.2.2 IEC:International Electrotechnical Commission,国际电工委
员会。
4
3.2.3 IEEE:Institute of Electrical and Electronics Engineers,电
气电子工程师学会。
3.2.4 FMEA:Failure Mode and Effects Analysis,故障模式影响分析。
3.2.5 FMECA:Failure Mode, Effects and Criticality Analysis,故障
模式及影响分析和危害性分析。
3.2.6 FAT:Factory Acceptance Test,工厂验收试验。
3.2.7 PE:Programmable Electronic,可编程电子。
4 计算机系统分类
4.1 基于系统功能的影响将计算机系统分成如表 4.1 所示类别。
计算机系统分类 表 4.1
类别 影响 典型系统功能
I 这些系统的故障不会对人员的安全、船舶的安 全以及环境产生危害 ——监视功能和日常管理功能
II 这些系统的故障最终会对人员的安全、船舶的 安全以及环境产生危害 ——监视和报警功能 ——对保持船舶处于正常运营和起居状况 所必要的控制功能
III 这些系统的故障即刻会对人员的安全、船舶的 安全以及环境产生危害 ——保持船舶推进和操舵的控制功能 ——船舶安全功能
4.2 在表 4.2 中,举例说明了一些计算机系统的分类供参考。示例未详尽,
且应根据对所有操作工况的风险评估确定系统准确分类。
系统分类举例 表 4.2
系统类别 举例
II (1)液货装卸控制系统; (2)舱底水探测和舱底泵相关控制; (3)燃油处理系统; (4)压载水阀门遥控系统; (5)稳定和浮态控制系统,例如减摇鳍控制 系统; (6)推进系统的报警和监测。
III (1)船舶推进系统,即产生和控制机械推力 以移动船舶(不包含仅在操纵工况使用的设 备,例如艏侧推); (2)操舵控制系统;
5
(3)船舶电站系统(包括功率管理系统); (4)船舶安全系统,包括探火和灭火、进水 探测和排水、涉及撤离的内部通信系统、涉 及救生设备操作的船舶系统; (5)附加标志 DP2 和 DP3 的动力定位系统; (6)钻井系统。
4.3 对象
4.3.1 计算机系统的典型层级结构和关系如图 4.1 所示。
图 4.1 计算机系统层次结构图示
5 质量体系的要求
5.1 质量保证体系
5.1.1 应通过质量保证体系证明系统集成商和供应商具有一定的产品质量
保证能力和质量管理水平,以及系统集成商和供应商制定了能确保产品符合本社
规范及相关公约的管理制度。
5.1.2 系统集成商和供应商应建立并实施 ISO9001 或等效标准的质量管理
体系并持有有效证书。系统集成商和供应商在管理软件编制、试验和相关硬件的
质量体系时应考虑到 ISO9001 和 ISO90003 的规定。质量体系应包括:
(1) 与责任、系统文件、配置管理和人员资格相关的程序。
(2) 软件和相关硬件生命周期的程序,包括:
① 从供应商处采购相关硬件和软件的机构设置;
6
② 软件代码编写和验证的机构设置;
③ 船上系统集成之前验证的机构设置。
(3) 质量体系认可应至少满足以下要求:
① II 类和 III 类计算机系统应在系统、子系统以及可编程设备和模块
层级具有验证程序,以验证软件代码;
② II 类和 III 类计算机系统应具有检查点,检查点可以是一份要求提
交的文件、一次测试、一次技术设计审查会或者专家评审会;
③ 告知业主软件修改和船上安装的流程。
(4)应制定质量计划文档,以记录质量管理系统如何适用于特定计算机
系统,和至少包括上述(1)至(3)要求的所有内容。
5.2 软件质量计划
5.2.1 系统集成商和供应商应制定针对软件开发生命周期的质量计划。
5.2.2 软件质量计划应规范该软件整个生命周期的活动,明确相关程序、
职责和系统文件,包括配置管理。所制定的质量计划可参照 IEEE 730 的要求。
5.2.3 对于 II、III 类系统的软件,质量计划中应包含安全功能要求部分,
应设计具体保证方法,以验证和确认安全功能要求是否得以满足。
5.2.4 在软件开发生命周期阶段中,应制定船用计算机系统的配置管理,
详见 5.6 条。
5.3 生产中质量控制
5.3.1 通过切实可行的质量保证措施、计划和组织,确保产品的质量。
5.3.2 系统集成商和供应商应具有针对产品的质量控制文件,该质量控制
文件应准确描述产品的生产工艺流程,并用文字以及图表清晰描述各工艺流程的
质量控制要求;还应包含明确的控制对象、控制标准、控制方法及检验方法和生
产质量保证措施落实的证明文件。对于安全相关功能的产品,还要求提供通过“试
验和模拟”的证明文件。
5.4 最终的试验报告
5.4.1 系统集成商应对产品进行最终测试并提供报告。最终的试验报告是
根据成品试验和试验结果记录生成的报告。
5.5 软件可追溯性
7
5.5.1 软件可追溯性要求:必须按程序对编程内容和数据的修改以及版本
的变化进行标识并文档化。确保在需要时对软件产品质量形成过程实行可追溯。
通过软件配置管理及软件版本说明等质量保证文件,明确编程内容、数据的修改
以及版本的变化所必须遵循的流程(特别是告知业主软件修改和船上安装的流
程),并确定在文件中记录这些修改或变化。
5.5.2 这些文件至少应保存至软件开发生命周期结束后一年。系统集成商
应有明确证据证明该软件确实退役。
5.6 配置管理
5.6.1 配置管理的目的是为了保证当某些可交付项有改变时,几种开发的
可交付项的一致性。一般来讲,配置管理包括硬件配置管理和软件配置管理。
5.6.2 要求:
(1) 在软件开发生命周期阶段中应使用行政和技术控制,以管理软件变
化和保证有关软件安全的规定要求始终能得到满足。
(2) 应确保所有必需的操作已被执行以说明获得了所要求的软件需求。
(3) 应保持精确的和维护计算机系统完整所必需的所有配置项的唯一
识别。配置项至少包括:安全分析和要求;软件规范和设计文档;
软件源代码模块;应用于计算机系统软件组件和软件包的测试计划
和测试结果;所有用于创建、测试或执行计算机系统软件的工具和
开发环境。
(4) 应采用变更控制规程来防止非授权的修改,修改请求应文档化;分
析建议修改的影响以批准或拒绝请求;对所有准许修改的细节和授
权应文档化;确保所有软件基线的构成(包括早期基线的重建)。
(5) 应对配置状态、发布状态、所有修改的判断和通过、修改的细节等
信息文档化以便接受审核。
(6) 软件的发布应正式文档化。软件的主要备份和所有有关文档在已发
布软件开发生命周期内应被保存以维护和修改。
6 系统生命周期
6.1 系统生命周期的划分
6.1.1 系统生命周期划分为五个阶段,分别为概念、需求、实现、验证、
运行。每个阶段根据目的范围的不同又做了划分,其关系和要求见下表和图:
8
A1 概念
B1 需求分析
B2 风险分析
C1 计划编制
C2 软件实现 (软件开发生命周期)
C3 硬件实现
C4 整体安装 和试运行
D1 型式试验
D2 工厂验收试验
D3 最终集成前模拟
测试
D4 船上试验
E1 操作、 维护、修理
E3 停用或处理
图 6.1.1 系统生命周期
系统生命周期概述 表 6.1.1
系统生命周期阶 段 目的 要求 输入 输出
图 6.1.1 的方 框号 标题
A 概念
A1 概念 提高对受控设备及其 环境(实际的、法律的 等)的理解水平,以满 足执行其生命周期活 动的需要。 对受控设备及其要 求的控制功能和实 际环境进行全面的 了解;确定可能的 危险源;获取确定 危险的有关信息; 获取当前的安全法 规;考虑相邻近的 受控设备之间相互 作用所产生的危 满足该条要 求所必需的 所有有关信 息 从概念至 整体范围 获取的信 息
9
险;以上所要求的 信息和结果应文档 化。
B 需求
B1 需求分 析 在新建或修改计算机 系统时描写新系统的 目的、范围、定义和功 能时所要做的所有的 工作。包括: 确定计算机系统的边 界; 规定风险分析的范围。 从概念至整 体范围获取 的信息 计算机系 统要求规 范
B2 风险分 析 (仅针 对安全 相关功 能) 为了保证计算机系统 的安全可靠性,证明对 于单一故障,系统进入 故障安全状态,并且运 行中的系统不会丢失 或降低到不能满足船 级社规定的可接受性 能标准。 见 6.3.1 条。 计算机系统 要求规范 安全相关 功能要求 规范(含安 全要求分 配的信息 和记录)
C 实现
C1 计划编 制。 在规定规程上和技术 上步骤,证明计算机系 统满足安装、操作和维 护要求。 拟定计算机系统的 安装、操作和维护 计划,以确保在操 作和维护过程中保 持所要求的功能安 全。 拟定 FAT 试验大纲 和船上试验大纲, 大纲中需包括安全 相关功能试验。 计算机系统 要求规范; 安全相关功 能要求规 范。 软件质量 计划; 计算机系 统安装、操 作和维护 计划; 型式试验 大纲; FAT 试验大 纲; 最终集成 前模拟测 试大纲; 船上试验 大纲; 船上集成 测试大纲。
C2 软件实 现 建立符合计算机系统 要求规范和安全相关 功能要求规范的计算 机系统软件。 详见第 7 章软件开 发生命周期。 计算机系统 要求规范 每个计算 机系统满 足计算机 系统要求
10
规范的证 实。详见第 7 章软件开 发生命周 期。
C3 硬件实 现 建立符合计算机系统 要求规范和安全相关 功能要求规范的计算 机系统硬件。 见 6.3.2、6.4 条。 计算机系统 要求规范。 每个计算 机系统满 足计算机 系统要求 规范的证 实。
C4 整体安 装和试 运行 安装计算机系统; 试运行计算机系统。 计算机系统 安装、操作 和维护计划 已安装就 绪的计算 机系统; 经充分试 运行过的 计算机系 统。
D 验收
D1 型式试 验 确认计算机系统满足 计算机系统要求规范 (包含安全相关功 能); 确认系统满足 GD22-2015 的要求。 II、III 类系统按 GD22-2015 进行环 境试验,I 类系统 可参照 GD22-2015 进行环境试验。 另见 6.5、6.7 条 计算机系统 要求规范; 安全相关功 能要求规 范; 型式试验大 纲。 确认计算 机系统满 足安全相 关功能要 求的证实。 型式试验 报告。
D2 工厂验 收试验 对计算机系统在工厂 进行测试 FAT 报告应记录① 使用的工具和设 备;②FAT 活动的 记录;③实际结果 和预期结果的差异 及处理。 当预期结果和实际 结果出现差异时, 应经分析和评估确 定是继续测试还是 提出变更请求。 计算机系统 要求规范; FAT 试验大 纲。 FAT 试验报 告。
D3 最终集 成前模 拟测试 见 6.3.3、6.6 条。 软件功能描 述; 系统安装的 软件列表和 版本号; 测试报告
11
软件维护和 使用手册; 系统和船舶 其他系统之 间接口的列 表; 数据传输标 准的列表。
D4 船上试 验 通过船上试验,验证所 有系统互连后,系统执 行预定功能的能力。船 上试验 ,包括完全系统试验和 集成试验。 完全系统试验应验 证在实际硬件部件 及最终应用软件的 条件下,功能可以 正常实现。 集成试验应验证所 有系统集成状态下 的功能可以正常实 现。 另见 6.6 条。 计算机系统 要求规范; 船上试验大 纲。 船上试验 报告。
E 运行
E1 操作、维 护、修理 为保持要求的功能安 全,操作、维护和修理 计算机系统。 见 6.2 条 计算机系统 安装、操作 和维护计划 可持续满 足计算机 系统所需 的功能; 按时间排 序的计算 机系统的 操作修理 和维护文 档。
E2 变更 在变更阶段中及阶段 后保证计算机系统受 控。 变更应返回生命周 期合适阶段,并加 以验证。记录应文 档化。 利益相关方应对 修改进行记录。 对II、III系统的软 件和硬件进行的 后续重大修改应 提交给船级社进 行批准。 应提前告知对已 批准系统的修改 计算机系统 要求规范 软件质量计 划 相应阶段的 试验大纲 在变更阶 段中及阶 段后,均可 达到计算 机系统要 求的功能 安全; 按时间排 序的计算 机系统的 操作、修理 和维护文 档。
12
和变更方案,并 进行影响分析, 同时修改应获得 船级社批准。 修改后的软件应 进行变更验证以 证明满足相关计 算机系统要求。 注:重大修改指影 响船舶安全行驶和 /或安全的修改。 另见 6.3.4~6.3.6 条。
E3 停用或 处理 在受控设备的停用及 处理活动中及活动后, 保证计算机系统的功 能安全适应这种情况。 在进行停用或处理 活动之前应进行影 响分析,并制定一 个计划,包括系统 的关闭、系统的拆 除。在计算机系统 使用说明书中提示 对敏感信息的销毁 和处理。 根据功能安 全管理规程 对停用或处 理的请求
6.1.2 在应用本指南时,可根据利益相关方内部文件管理系统编制本指南
中提到的文档,但内容应符合指南中提及的相关内容。
6.1.3 下面将对系统生命周期中上表中需补充的内容单独列出。
6.1.4 软件开发生命周期将在第 7 章详述。
6.2 维护阶段的软件安全
6.2.1 目的
在维护阶段达到软件安全的要求。
6.2.2 要求
(1) 程序和数据的修改,以及版本的改变,要被记录并提交我社批准。
(2) 保证软件开发生命周期活动的相应责任部门的规程能胜任其活动,
尤其应满足以下要求:
① 对工作人员进行针对诊断和修复故障以及系统测试的培训;
13
② 操作人员的培训;
③ 对工作人员进行定期再培训。
(3) 与软件开发生命周期的任何活动有关的人员的培训、经验和资格都
应文档化。
(4) 保证危险事故(或产生危险的潜在事故)分析,以及提出使其重复
发生的概率降到最低的建议的规程。
(5) 对操作和维护性能进行分析的规程,尤其是:
① 识别危及功能安全的系统故障的规程,包括用于检测重复性故
障的日常维护所使用的规程;
② 评估需求率和在操作和维护期间的失效率是否和系统设计期间
的假设一致。
(6) 启动对安全相关系统进行修改的规程。
(7) 进行修改所需要的批准规程和主管部门。
(8) 保持潜在危险和安全相关系统信息准确的规程。
(9) 在软件开发生命周期中,计算机系统的配置管理,尤其要对以下各
项进行规定:
① 实现配置控制的规程;
② 用于对一个配置管理项(硬件和软件)的全部要素进行唯一标
识的规程;
③ 防止未授权项进入服务的规程。
(10) 在适当场合的培训条款和应急服务信息
(11) 操作者应建立接收,记录,解决,跟踪问题和修改请求的程序。
问题应按问题处理程序处理。应建立和保持系统操作计划,包括识
别配置项,操作规程和预期的维护活动。计划应包括软件迁移和退
休问题。
(12) 系统和/或组件版本的每一个新的升级、发布或修改,操作者应进
行测试。并且,发布操作使用的组件应满足指定的标准。如果发布
部件的接口已被修改,测试应包括集成测试。
(13) 应定期进行配置审核,来验证操作配置的完整性。
14
6.2.3 输入
(1) 计算机系统使用说明书
(2) 软件质量计划
(3) 风险分析及预防规程
(4) 在适当场合的培训条款和应急服务信息
6.2.4 输出
程序和数据的修改及版本变更的记录
6.3 软件和支持硬件的要求
6.3.1 风险分析
系统风险评估,通过识别和评估系统每项功能的危险以确定整个生命周期的
系统风险。应采用 IEC/ISO31010《风险管理 风险评估技术》确定风险评估的方
法。应通过风险评估的结果验证系统分类。II 类和 III 类系统的风险评估报告
应提交给 CCS。如 CCS 需要时,也可能要求 I 类系统提交风险评估报告。一般由
系统集成商或供应商提交风险评估报告,包括从其他供应商处获得的数据。若基
于风险评估修正系统类别可能需要获得 CCS 和系统供应商的同意。当计算机系统
的风险显而易见时,允许免除提交风险评估,但系统集成商或供应商应提交证明
文件以说明免除的理由。证明文件应包括已知的风险、当前的计算机系统和用于
确定风险的初期计算机系统的使用环境的等效性以及现有的控制措施适合在当
前使用环境下采用。
6.3.2 硬件实现
“相关硬件描述”应至少包括以下图纸资料:
(1)系统说明书,应包括硬件配置的详细说明、系统功能说明、系统自
检说明;
(2)硬件和外部设备配置框图,应标明系统主要单元/模块的内部连接
及与其他系统的接口;
(3)系统接线图;
(4)硬件和外部设备技术规格明细表。
6.3.3 上船安装前的集成测试
在上船集成之前,应在系统、子系统和软件模块之间完成系统间集成测试。
目的是为了检查软件功能的正确执行、软件和其控制的硬件的正常交互和功能执
15
行以及在故障时软件系统正常响应。应尽可能真实地模拟故障,以证明具有适当
的系统故障检测和系统响应。应能检测到任何要求的失效分析后果。可通过模拟
测试(模拟测试是指在测试控制系统时受控设备部分或完全由模拟工具取代,或
者通信网络和线路由模拟工具取代。)来验证功能和故障测试。对于 II 类和 III
类系统,应满足以下要求:
(1) 应向 CCS 提交功能测试和故障测试流程。CCS 可能会要求进行
FMEA 分析以支持故障测试流程;
(2) 工厂验收试验应由 CCS 验船师现场见证,包括功能测试和故障测
试;
(3) 应提交以下文件资料:
① 软件功能描述;
② 系统安装的软件列表和版本号;
③ 软件维护和使用手册;
④ 系统和船舶其他系统之间接口的列表;
⑤ 数据传输标准的列表;
⑥ CCS 可能要求提交的其他文件,包括证明具有足够的故障测试应
用的 FMEA 分析或类似文件。
6.3.4 业主应指定符合 5.1 和 5.2 条要求的系统集成商作为软件变更的负责
方,并告知 CCS。在初期认可时已考虑和接受的软件修改可视作有限的生命周期
步骤。软件修改影响分析记录和试验报告应提交给 CCS 备查。业主应负责管理修
改的追溯,可通过系统集成商更新软件注册表完成修改记录。软件注册表应包含
本节第 6.3.3 中要求的系统软件列表和版本号以及本节第 6.3.6 所述的安全扫描
结果。
6.3.5 业主应确保在船上存有软件和硬件变更管理的必要程序,以及确保根
据程序进行任何软件修改/升级。操作阶段的所有计算机系统的变更应被记录和
可追溯。
6.3.6 业主、系统集成商和供应商应在质量体系和程序中采取安保策略。除
非经授权,否则应不可能修改软件。无论是物理系统或远程控制系统,都应采取
物理和逻辑安保措施以防止未经授权的或无意的修改。所有上船安装的工件、软
件代码、可执行程序和物理媒介应在安装前进行病毒和恶意软件扫描。扫描结果
应记录和保存在软件注册表内。
16
6.4 II 类和 III 类系统数据链路要求
6.4.1 风险评估分析中应明确数据链路失效的状况。数据链路硬件的单一故
障应能被自动处理以恢复系统正常运行。数据链路的特性应能防止系统在任何操
作工况下过载。数据链路应具有自检功能,检测自身链路故障和与链路连接的节
点的通信故障。故障发生时应发出报警。
6.4.2 计算机系统采用无线数据链路时应满足以下要求。III 类系统不应采
用无线数据链路,除非经 CCS 特别考虑:
(1)应使用认可的国际无线通信系统协议,并应满足以下要求:
① 信息完整性:故障预防、检查、诊断和修正,以便收到的信息(与
发送的信息相比较)不被破坏或更改;
② 配置和设备验证:应仅允许与系统设计中包含的设备连接;
③ 信息加密:保护机密和/或关键数据内容;
④ 安保管理:保护网络资产,防止非法存取网络资产。
(2)船舶内部无线系统应满足国际电信联盟和船旗国主管机关对无线频
率和功率水平的要求。系统操作应考虑到港口和当地法规在射频传
输方面的规定,因频率和功率的限制而禁止使用无线数据通信链路。
(3)无线数据通信设备应在系泊试验和航行试验期间进行测试,证明在
预期的操作条件下,射频传输不会因电磁干扰引起自身和任何其他
设备的故障。
6.5 II 类和 III 类系统可编程设备的认可。系统集成商或供应商应完成系
统内集成可编程设备的认可。本指南 5.1、5.2、6.3 条提及的文件获得认可并且
CCS 验船师见证所要求的测试(参见表 6.1.1-D1)后,可编程设备的认可可以采
取单件检验方式或作为型式认可的组成部分完成。认可文件应描述可编程设备在
船舶应用中的兼容性、船舶集成期间船上测试的必要性和明确系统元器件为认可
的可编程设备。
6.6 最终集成和船上试验。安装之前应进行模拟测试,以检查前述步骤中无
法测试的和其他计算机系统以及功能之间的安全互连。II 类和 III 类系统应向
CCS 提交最终集成和船上试验报告,船上试验应由 CCS 验船师见证。计算机系统
的最终使用环境下和与互连的其他系统连接完成的情况下进行,应验证:
(1)设计功能;
(2)内部故障或外部系统设备故障引发的安全响应;
17
(3)和船舶上其他系统间的安全互连。
6.7 如果子系统和可编程设备无法确定在船舶系统中的集成状况时,CCS 可
认可其在限制使用下的有限应用。为完成认可,本指南 5.1、5.2 条的要求可能
需要满足,CCS 也可能要求其他必要的图纸、详细资料、测试报告和与供应商声
明标准相关的检验。子系统和可编程设备在完成要求的检查和测试后可授予有限
认可。
7 软件开发生命周期
7.1 系统集成商和供应商应制定针对软件开发生命周期的质量计划。应在
软件的生命周期中使用行政和技术手段加以控制,以便于管理软件变化和保证有
关软件安全方面的要求得到满足,证明系统集成商和供应商存在有效的、能够满
足软件开发生命周期的各阶段的质量控制程序。
7.2 软件质量计划应包含以下内容:
7.2.1 软件开发生命周期应满足第 5.2 条的要求。
7.2.2 在软件开发生命周期阶段中,船用计算机系统的配置管理,特别是
在:
(1) 对于特定的阶段,即将执行正式的配置控制节点;
(2) 用来唯一识别某项(硬件和软件)所有构成部分的规程;
(3) 阻止非授权项进入服务的规程。
7.2.3 软件开发生命周期的划分及关系请见下图和表。
18
软件开发生命周期 计算机系 软件要求规范 软件质量计划
软件配置管理
统的需求 软件的设计和开发 软件确认计划 计算机系统的集成 (软件和硬件) 维护阶段的 软件安全
软件验证 质量保证体系 验证
图 7.2.3-1 软件开发生命周期
计算机系统需求
软件需求
软件设计及开发 PE系统集成 (软件和硬件)
计算机系统结构
硬件需求
硬件设计及开发
PE系统
软件
开发
生命
周期
范围
图 7.2.3-2 软件开发生命周期的范围及外部关系
19
计算机系统 要求规范
计算机系统 结构
输出 软件要求 规范
确认测试
软件结构
计算机系统 集成测试
软件系统 设计 集成测试
模型设计 模型测试
验证
编码
图 7.2.3-3 软件开发生命周期模型(V 模型)