机载系统和设备合格审定中的软件考虑
b. 定义保存的资料及记录和报告这些资料的状态的方法。
7.2.7 归档、检索和发放
归档和检索活动的目标是确保与软件产品有关的软件生存周期资料在需要复制、再生、重新测试或更改软件产品的情况下能够检索。发放活动的目标是确保归档、可检索和只能使用认可的软件,特别是对软件制造来说。指南包括:
a. 与软件产品有关的软件生存周期资料将能从批准源(如开发组织或公司)处检索。
b. 要确定通过下列方法保证贮存资料完整性的规程(不考虑贮存介质): (1) 保证不进行未批准的更改;
(2) 选择可使再生错误或缺陷降至最低的贮存介质;
(3) 以与介质的贮存寿命相符的频率使用和 / 或更新归档资料; (4) 贮存复制的副本要在物理上分别归档,以把由灾难事件引起的丢失的风险减至最小。 c. 要验证复制过程以产生正确的副本,且要有规程保证可执行目标代码无错误地进行复制。
d. 在软件制造使用前,要对配置项加以标识和发放,并且对它们发放的权限要加以规定。作为一个最低要求,加载到机载系统或设备中的软件产品部件(包括可执行目标码,也可能包括用于软件加载的有关介质)将被发放。
注:为加载到机载系统或设备中的批准软件定义的资料一般也要求发放。那些资料的确定超出了本文件
的范围,但可包括软件配置索引。
e. 要规定资料保存规程,以满足适航要求且使软件能够更改。
注:其它资料保存的考虑可包括诸如商业性需要和进一步合格审定批准的评审所需的项目,但它超出了本文件的范围。
7.2.8 软件加载控制
软件加载控制的目标是用合适的保安措施保证可执行目标代码被加载到机载系统或设备中。软件加载控制是指把已编程的指令和数据从主机存储器传输到机载系统或设备中的过程。例如,方法(经合格审定机构批准)可包括工厂编程前的存储设备的安装或在原处使用外场加载设备的机载系统或设备的再编程。无论使用什么方法,软件加载控制将包括:
a. 标明为加载到机载系统或设备中而打算批准的软件配置的部件编号和介质标识的规程。
b. 无论软件作为最终项目交付还是安装机载系统或设备中交付,要保存证实软件与机载系统或设备硬件兼容的记录。
注:对软件加载控制的其它指南在2.5条中提供。
7.2.9 软件生存周期环境控制
软件生存周期环境控制的目标是确定产生软件被标识、控制和检索所用到的工具。软件生存周期环境工具有软件计划过程定义并在软件生存周期环境配置索引(11.15条)中标明。指南包括:
a. 要对用于开发、控制、制作、检查和加载软件所用工具的可执行目标代码(或等效代码)确定配置标识。
b. 用于控制鉴定工具的SCM过程要符合12.2.3b中规定的与控制类1或2资料(7.3条)有关的目标。
c. 除7.2.9b适用外,对制作和加载软件(如编译程序、汇编程序、连接编辑器)所用工具的可执行目标代码(或等效代码)的控制,SCM过程最低要符合与控制类2资料有关的目标。
36
机载系统和设备合格审定中的软件考虑
7.3 资料控制类
软件生存周期资料可定义为以下两类:控制类1(CC1)和控制类2(CC2)。这些分类关系到资料的配置管理控制。表7-1定义了与每一个控制类有关的SCM过程目标。其中·表示这个目标使用于那一类的软件生存周期资料。
附件A中的表格通过软件等级为每一个软件生存周期资料项目规定了控制类别。对资料控制类的指南包括:
a. 对划分为CC1类的软件生存周期资料,SCM过程的目标要按表7-1实行; b. 对划分为CC2类的软件生存周期资料,SCM 过程的目标要按表7-1作为最低要求实行。
表7-1
与CC1和CC2资料有关的SCM过程目标
SCM过程目标 参考 CC1 CC2 配置标识 基线 可追踪性 问题报告 更改控制—完整性和标识 更改控制—追踪 更改评审 配置状态纪实 检索 防止未认可的更改 介质选择、更新、复制 发放 资料保存 7.2.1 7.2.2a、b、c、d、e 7.2.2f、g 7.2.3 7.2.4a、b 7.2.4c、d、e 7.2.5 7.2.6 7.2.7a 7.2.5b(1) 7.2.7b(2) 、(3) 、(4)、c 7.2.7d 7.2.7e · · · · · · · · · · · · · · · · · · · 8.0 软件质量保证过程
这一章讨论软件质量保证(SQA)过程的目标和活动。SQA过程在软件过程(第4章)和软件质量保证计划(11.5条)中定义。 SQA过程活动的输出是软件质量保证记录(11.19条)或其他软件生存周期资料中的记录。
SQA过程评估软件生存周期过程及其输出,以保证目标得以满足,故障得以检测、评估、追踪和解决,并保证软件产品和软件生存周期资料符合合格审定要求。 8.1 软件质量保证过程目标
SQA过程的目标是为软件生存周期过程产生的软件符合其需求提供置信度。这可通过保证完成这些过程符合批准的软件计划及标准来完成。
SQA过程的目标是保证:
a.软件开发过程和综合过程符合批准的软件计划和标准; b.满足软件生存周期过程的转换规则; c.进行软件产品的符合性评审。
依据软件等级,目标的适用性在附件A 的表A-9中规定。
37
机载系统和设备合格审定中的软件考虑
8.2 软件质量保证过程活动
为满足SQA过程目标:
a. SQA过程将在软件生存周期过程中主动进行,要使完成SQA过程的那些活动具有一定的权限、职责和独立性,以保证满足SQA过程的目标;
b. SQA过程将为开发和评审软件计划和标准的一致性提供保证;
c. SQA过程将为软件生存周期过程符合批准的软件计划和标准提供保证; d. SQA过程将包括在软件生存周期期间软件开发和综合过程的审核,以获得下列保证:
(1) 可采用4.2条*规定的软件计划;
*原文可能有误,译者认为应是4.3条。
(2) 对软件计划和标准的偏离得以检测、记录、评估、追踪和解决;
注:过程偏离的早期检测有助于软件生存周期过程目标的有效改进。
(3) 批准的偏离得以记录;
(4) 软件开发环境已在软件计划中规定;
(5) 问题报告、追踪和纠正活动过程符合软件配置管理计划;
(6) 通过进展中的系统安全性评估过程表明提供给软件生存周期过程的输入。
注:可完成对软件生存周期过程活动的检测,以提供活动在控制之下的保证。
e. SQA过程将依据批准的软件计划提供的软件生存周期过程的转换规则得以满足的保证。
f. SQA过程将依据7.3条定义的控制类别及附件A的表格提供控制软件生存周期资料的保证。
g. 在作为合格审定申请的一部分提交的软件产品交付之前,将进行软件符合性评审。
h. SQA过程将产生SQA过程活动的记录(11.19条)。对每一个作为合格审定申请一部分提交的软件产品,包括审核结果和完成软件符合性评审的证据。
8.3 软件符合性评审
软件符合性评审的目标是为作为合格审定申请一部分提交的软件产品获得软件生存周期过程得以完成、软件生存周期资料得以完成且可执行目标代码得以控制并能再生的保证。
这一评审要确定:
a. 为了合格审定的置信度,已经完成了预定的软件生存周期过程活动,包括软件生存周期资料的产生。完成它们的记录得以保存。
b. 从具体的系统需求、与安全性有关的需求或软件需求开发的软件生存周期资料能追踪到那些需求。
c. 软件生存周期资料符合软件计划和标准,并按照SCM计划进行控制。 d. 符合SCM计划的问题报告已经评估并且记录了它们的状态。 e. 软件需求偏离被记录和批准。
f. 可执行目标代码能从归档的源代码中重新产生。 g. 通过使用发布指令,成功地加载了批准的软件。
h. 来自以前软件符合性评审的问题报告被重新评估以确定它们的状态。 i. 如果合格审定的置信度用于以前开发的软件,那么目前的软件产品基线可追踪到以前的基线和对那个基线批准的更改。
注:对合格审定后的软件更改,可能要求完成一系列的软件符合性评审活动,这取决于更改的重要性。
38
机载系统和设备合格审定中的软件考虑
9.0 合格审定联络过程
合格审定联络过程的目标是在整个软件生存周期中在申请人和合格审定机构之间建立通信和相互了解,以有助于合格审定过程。
合格审定联络过程在软件计划过程(第4章)和软件合格审定计划(11.1条)中定义。附件A 的表A-10是这一过程的目标和输出的总结。
9.1 符合性方法和计划
申请人要建议确定机载系统或设备的开发怎样满足合格审定基础的符合性方法。软件合格审定计划(11.1条)定义了在建议的符合性方法内对机载系统或设备软件方面的内容。这个计划也规定了由系统安全性评估过程确定的软件等级。申请人要:
a. 提交软件合格审定计划或其它要求的资料到合格审定机构,以便在更改影响最小,即能在项目限制内预以控制的那一点及时评审。
b. 解决涉及计划软件合格审定的由合格审定机构指明的有争议的问题。 c. 得到合格审定机构对软件合格审定计划的认可。
9.2 符合性证明
申请人要提供软件生存周期过程满足软件计划的证据。合格审定机构的评审可发生在申请人的工厂或申请人的供应商工厂。这可能涉及到与申请人或其供应商讨论。申请人安排软件生存周期过程活动的这些评审并编制必要的有效的软件生存周期资料。申请人要:
a. 解决由合格审定机构评审结果引起的有争议的问题。 b. 向合格审定机构提交软件实施概要(11.20条)和软件配置索引(11.16条)。
c. 提交或编制合格审定机构要求的有效的其它资料或符合性证据。
9.3 提交给合格审定机构的最少软件生存周期资料
提交给合格审定机构的最少软件生存周期资料是: ·软件合格审定计划 ·软件配置索引 ·软件实施概要
9.4 与型号设计有关的软件生存周期资料
除非合格审定机构同意,否则关系到与型号设计有关的软件生存周期资料的检索和批准的条例适用于:
·软件需求资料 ·设计说明 ·源代码
·可执行目标代码 ·软件配置索引 ·软件实施概要
10.0 航空器或发动机合格审定综述
这一章是关系到机载系统和设备软件方面的航空器和发动机合格审定过程的
39
机载系统和设备合格审定中的软件考虑
综述,并仅提供信息。合格审定机构考虑到软件是安装在航空器和发动机上的机载系统或设备的一部分,即合格审定机构不把软件作为唯一的独立的产品加以批准。
10.1 合格审定基础
合格审定机构与申请人协商确定航空器或发动机的合格审定基础。合格审定基础要定义专用条例和可用来补充已出版条例的任何专用条件。
对已更改的航空器或发动机,合格审定机构考虑更改对航空器或发动机原始合格审定基础的影响。在某些场合,更改可能不改变原始的合格审定基础,然而,原始的符合性方法不再适用于表明更改是否符合合格审定基础。所以可能要求更改原始的符合性方法。
10.2 合格审定的软件方面
合格审定机构借助认可的满足合格审定基础的符合性方法来评定软件合格审定计划的完整性和一致性。合格审定机构要查明由申请人建议的软件等级是否符合系统安全性评估过程的输出及其它系统生存周期资料。合格审定机构通知申请人在合格审定机构同意前满足建议的软件计划中的争议性问题。
10.3 符合性确定
在合格审定之前,合格审定机构要确定航空器或发动机(包括其系统或设备的软件方面)满足的合格审定基础。对软件,可通过评审软件实施概要和符合性证据来完成。合格审定机构使用软件实施概要作为对软件方面进行合格审定的一个综述。
合格审定机构可在9.2条讨论的软件生存周期期间自行决定评审的软件生存周期过程及其输出。
11.0 软件生存周期资料
软件生存周期期间产生一些资料用于计划、指导、解释、定义、记录或提供活动的证据。这些资料能使软件产品的软件生存周期过程、系统或设备合格审定和合格审定后的更改得以进行。这一章讨论软件生存周期资料的特性、形式、配置管理控制及其内容。
软件生存周期资料的特性是:
a. 不含糊的 如果措词仅有唯一的解释,必要时借助于定义,那么信息是不含糊的。
b. 完整的 当它包括了必要的、相关的要求和 / 或说明材料;为有效输入资料的范围定义了响应;已标识了所用的图;定义了计量的术语和单位时,信息是完整的。
c. 可验证的 如果它可以由人或工具检查正确性,那么信息就是可验证的。 d. 一致的 如果在其中没有冲突,那么信息就是一致的。
e. 可更改的 如果它已是结构化的、有风格的,以致当保持这个结构时,能完整地、正确地完成更改,那么信息是可更改的。
f. 可追踪的 如果能够确定部件的原始情况,那么信息是可追踪的。 另外,指南适用于:
g. 形式 在机载系统或设备的整个使用期限内,为了有效地检索和评审软
40