[CAPESE标准浅谈] GJB 900A-2012《装备安全性工作通用要求》（四）

标准在工作项目304系统危险分析中指出，系统危险分析在装备设计己足够详细或方案阶段后期开展，并随设计的深入而不断修改和完善。系统危险分析还可以评价设计更改是否影响装备的安全性。还指出，在评价软件对装备安全性的影响时，承制方应监控和应用软件开发过程各阶段的输出结果，并向订购方报告需采取措施的软件问题，以便及时处理。

GJB 900A-2012关于软件安全性工作特别规定了工作项目600系列。其中包括：

a) 一般考虑

1) 在软件密集且安全性要求高的系统中，危险往往由于硬件、软件及人为差错所导致。应分析这些复杂的潜在事故路径，确定为消除危险或降低其风险，对硬件和软件设计、测试的要求和限制条件；

2) 软件安全性工作是安全性工作和软件开发工作的一个重要组成部分，应将其集成到整个系统相关的安全性工作中，更好解决软硬件接口问题，并通过《接口需求规格说明》（见GJB 438A规定）明确安全性需求。

b) 外购与重用软件的分析与测试（工作项目601）

1) 分析安全关键软件与外购或重用软件的交互方式；

2) 分析外购或重用软件可能引起安全关键软件失效的故障模式；

3) 分析外购或重用软件没有使用的功能和代码…对安全关键功能的影响；

4) 通过测试和分析的方法，对外购或重用软件的接口和能力进行测试；

5) 组织有关专家，依据分析和测试结果对选择的外购或重用软件进行评审，给出评审结论。

c) 软件安全性需求与分析（工作项目602）

1) 软件安全性需求分析，应当与系统危险分析结合进行。系统危险分析为软件安全性需求分析提供输入信息，而软件分析的结果，应反馈给系统危险分析人员，用于在系统层次进行更全面细致的分析；

2) 从装备安全性要求、系统或设备要求、接口要求、系统危险报告以及系统危险分析中获取软件“必须工作”的功能和“禁止工作”的功能，以及相关的时间性能需求；

3) 从环境要求、系统或设备要求、接口要求中获取软件与硬件、软件与软件、软件与操作者等之间的安全性相关的全部约束；

4) 依据标准、项目规范、软件可靠性安全性设计准则等，归纳软件安全性通用需求；

5) 参照相关标准，使用规范的方式描述软件安全性需求；

6) 依据系统需求、软件标准、通用软件安全性需求、危险报告等审查软件需求，补充遗漏的安全性需求；

7) 选择使用软件失效模式及影响分析、软件运行模式分析、数据流分析、控制流分析、基于功能路径的软件潜在分析等方法，对软件需求进行安全性分析，并在《软件需求规格说明》中以独立条款，明确记录分析结果；

8) 标识所有与软件相关的危险和要求软件实现的危险控制；

9) 通过危险跟踪闭环系统，向相关主管人员报告找到的全部问题和新发现的危险。

未完待续…

轻松一刻

拍卖暂时中止，拍卖师：“有位先生丢了钱包，里面有一千块钱。谁能找回，他愿意付200块。”突然，一个声音从后面传来：“我出220块！”