GD008-2025船用軟件安全及可靠性評估指南

中國船級社

45附錄1測試和驗證 附錄2小型低復(fù)雜度計算機系統(tǒng)的評 附錄3計算機系統(tǒng)設(shè)計和實現(xiàn)階段的技術(shù)建 附錄4開發(fā)階段的軟件測試要 南第10章的要求進行測試、驗證和批準：擬取得SLC1、SLC2、SLC3以及SOLAS公約第IV章和第V章規(guī)定的無線電通信設(shè)備和航行設(shè)備。2 IACSURIECIEC504IECIECIEEEISOISO/IECISO/IECISOSQuaREISOISO軟件安全性（Software軟件安全性是指船用軟件在面對潛在威脅和攻擊時的保護能力，主要關(guān)注保護軟件的機密性、完整性和可用性，以防止未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露、惡意篡改或服務(wù)中斷。軟件可靠性（Software軟件可靠性是指船用軟件在規(guī)定的條件和規(guī)定的時間區(qū)間內(nèi)完成規(guī)定功能的能力。計算機系統(tǒng)（Computer-basedITOT集成系統(tǒng)（Systemof軟件模塊（Software軟件組件（Software軟件主文件（Softwaremaster軟件結(jié)構(gòu)（Software軟件注冊表（Software安全功能（Safety受控設(shè)備（Equipmentunder動態(tài)測試（Dynamic質(zhì)量計劃（Quality系統(tǒng)生命周期（System軟件生命周期（Softwarelifecycle）軟件配置管理（SoftwareConfigurationManagement，SCM）可編程設(shè)備（Programmabledevice）系統(tǒng)集成商（System系統(tǒng)供應(yīng)商（System服務(wù)供應(yīng)商（ServiceIACS黑盒描述（Black-box黑盒測試方法（Black-boxtest這不需要任何系統(tǒng)內(nèi)部工作的知識，只需關(guān)注被測系統(tǒng)/組件的可觀察行為，以達故障模式描述（Failuremode模擬測試（SimulationISO：InternationalOrganizationforStandardization，國際標(biāo)準IEC：InternationalElectrotechnicalCommission，國際電工委員IEEEInstituteofElectricalandElectronicsEngineersFMEA：FailureModeandEffectsAnalysis，F(xiàn)MECAFailureMode,EffectsandCriticalityAnalysisFAT：FactoryAcceptanceTestSAT：SystemAcceptanceTestSOST：SystemOfSystemsTestPMS：PlannedMaintenanceSystemSSLS：ShipSoftwareLoggingSystem-對保持船舶處于正常運營和起居狀I(lǐng)類系統(tǒng)通常不需要中國船級社（簡稱：CCS）的驗證，因為這些系統(tǒng)I統(tǒng)分類的正確性，或確保I類系統(tǒng)不會影響II類和III類系統(tǒng)的運行。系統(tǒng)類別應(yīng)始終結(jié)合具體船舶進行評估，因此計算機系統(tǒng)的分類會因船而異，表4.2根據(jù)CCS接受的標(biāo)準制定，并由CCS進行驗證。合CCS規(guī)范及相關(guān)公約的管理制度。系統(tǒng)供應(yīng)商和系統(tǒng)集成商應(yīng)建立并實施ISO9001或等效標(biāo)準的質(zhì)量CCSISO9001和IEC/ISO90003的規(guī)定。質(zhì)量管理體系應(yīng)至少包括以下內(nèi)容：職責(zé)和文件，包括配置管理。所制定的質(zhì)量計劃可參照IEEE730的要求。IIIII應(yīng)制定計算機系統(tǒng)的配置管理，詳見5.7在軟件開發(fā)生命周期階段，應(yīng)使用行政和技術(shù)手段管理軟件變更，并（）應(yīng)保持精確的和維護計算機系統(tǒng)完整性所必需的所有配置項的唯一識軟件源代碼模塊；應(yīng)用于計算機系統(tǒng)軟件組件和軟件包的測試計劃和測試結(jié)果；所有用于創(chuàng)建、測試或執(zhí)行計算機系統(tǒng)軟件的工具和開發(fā)環(huán)境。應(yīng)對配置狀態(tài)、發(fā)布狀態(tài)、所有變更的判斷和通過、變更的細節(jié)等信軟件的發(fā)布應(yīng)文檔化。軟件的主要備份和所有相關(guān)文檔在已發(fā)布軟件提供識別計算機系統(tǒng)名稱、版本、標(biāo)識和制造商的方法和應(yīng)用。建議計算機系統(tǒng)按照國際標(biāo)準IS2060的規(guī)定，自動向船舶軟件記錄系統(tǒng)（SSS）報告其風(fēng)險評估分析/FMEAIIIIIIII類系統(tǒng)數(shù)據(jù)鏈路的單一故障不應(yīng)導(dǎo)致船舶功能的喪失。此類故障對于II類和III類系統(tǒng)，遠程控制系統(tǒng)的任何功能損失應(yīng)能通過本IIICCSCCS系統(tǒng)設(shè)計文檔應(yīng)說明計算機系統(tǒng)針對技術(shù)要求的符合程度。CCS將會把技術(shù)CCSIIIIII?提交CCS批準；?CCSIIIIII?提交CCS批準；?CCS系統(tǒng)生命周期劃分為五個階段，分別為概念、需求、實現(xiàn)、驗證、運行。每個階段根據(jù)目的和范圍的不同又做了劃分，其關(guān)系和要求見下表和圖。A提高對計算機系統(tǒng)從概念至整體及其環(huán)境（范圍獲取的信、法律的等）解水平，以更好地執(zhí)行其生命周期活B在新建或修改計算機系統(tǒng)時，描寫系統(tǒng)的目的、范圍、定義和功能時所要做的全部工作，包系統(tǒng)需求規(guī)格(1)確定計算機系(2)規(guī)定安全分析功能安全為了保證計算機系安全相關(guān)功能統(tǒng)的安全可靠性，要求文檔（證明對于單一故障含安全要求分，系統(tǒng)應(yīng)進入故障配的信息和記安全狀態(tài)，并且運行中的系統(tǒng)功能不會丟失或降低到不能滿足CCS規(guī)定的C明確在規(guī)定規(guī)程和技術(shù)方面的工作步驟，證明計算機系統(tǒng)滿足安裝、操作擬定計算機系統(tǒng)的安裝、操作和維護計劃，以確保在操作和維護過程中保持所要求的功能安擬定工廠驗收測試程序和船上測試程序（包括系統(tǒng)驗收測試程序和集成系統(tǒng)測試程序），測試程序中需包括安系統(tǒng)安裝、操工廠驗收測試系統(tǒng)驗收測試集成系統(tǒng)測試開發(fā)符合計算機系統(tǒng)需求規(guī)格說明和安全相關(guān)功能要求文檔的計算機系統(tǒng)詳見第9章軟件每個計算機系統(tǒng)軟件滿足計算機系統(tǒng)需求規(guī)格說明的證據(jù)，其中包括軟件測試報告9件開發(fā)生命周開發(fā)符合計算機系統(tǒng)需求規(guī)格說明和安全相關(guān)功能要求文檔的計算機系統(tǒng)每個計算機系統(tǒng)硬件滿足計算機系統(tǒng)需求規(guī)格說明的證安裝計算機系統(tǒng)的軟件和硬件，形成一個完整的計算機已安裝就緒的系統(tǒng)測試的主要目的是讓系統(tǒng)供應(yīng)商在內(nèi)部驗證整個計算機系統(tǒng)符合規(guī)范、批準的文件以及參見D確認計算機系統(tǒng)滿足系統(tǒng)需求規(guī)格說明（包含安全相關(guān)確認系統(tǒng)滿足GD019-2024的要求II類和III類系統(tǒng)按GD019-I類系統(tǒng)必要時可GD019-確認計算機系統(tǒng)滿足安全相關(guān)功能要求的提供型式試驗報告，如環(huán)境符合性測試報工廠驗收在工廠對計算機系工廠驗收測試報告應(yīng)記錄：①使用的工具和設(shè)備；②工③實際結(jié)果和預(yù)期結(jié)果的差異以及處當(dāng)預(yù)期結(jié)果和實際結(jié)果出現(xiàn)差異時，應(yīng)分析和評估確定是繼續(xù)測試，還是工廠驗收測試其他工廠驗收通過船上測試，驗證所有系統(tǒng)互連后，系統(tǒng)執(zhí)行預(yù)定功能的能力。船上系統(tǒng)驗收測試應(yīng)驗證在實際硬件環(huán)境及最終應(yīng)用軟件的條件下，功能可以集成系統(tǒng)測試應(yīng)驗證所有系統(tǒng)集成狀態(tài)下的功能可以正系統(tǒng)驗收測試集成系統(tǒng)測試E操作、維為保持要求的功能安全，操作、維護和修理計算機系統(tǒng)參見8.3可持續(xù)保持計算機系統(tǒng)所擁按時間排序的計算機系統(tǒng)的操作、維護和在變更階段中及階段后，保證計算機提前告知利益相關(guān)方對已批準系統(tǒng)的變更和變更方案，變更時應(yīng)返回生命變更后的軟件應(yīng)進行變更驗證，以證明滿足相關(guān)計算機利益相關(guān)方應(yīng)對變II類、III系統(tǒng)的軟件和硬件進行的后續(xù)重大變更應(yīng)提交給CCS注：重大變更指影響在變更階段中及階段后，均可達到計算機系統(tǒng)要求的功按時間排序的計算機系統(tǒng)的操作、維護和測試報告或總停用或退在計算機系統(tǒng)的停用或退役活動中及活動后，保證計算機系統(tǒng)的功能安全在進行停用或退役活動之前，應(yīng)進行影響分析，并制定一個計劃，包括系統(tǒng)的關(guān)閉、系統(tǒng)的在計算機系統(tǒng)使用說明書中應(yīng)提示對敏感信息的銷毀和計算機系統(tǒng)安全停用或退役軟件開發(fā)生命周期將在第9章詳述。供應(yīng)商應(yīng)制定質(zhì)量計劃，并執(zhí)行質(zhì)量管理體系。應(yīng)證明系統(tǒng)供應(yīng)商執(zhí)行了5.1.3表中與其相關(guān)的所有要求。對于II類和III類系統(tǒng)，質(zhì)量計劃應(yīng)在工廠驗收試期間提交給CCS備查。應(yīng)采用能夠唯一標(biāo)識計算機系統(tǒng)、不同軟件組件、同一軟件組件不同版本的方法。該方法應(yīng)用于系統(tǒng)和軟件的整個生命周期，是質(zhì)量管理體系的部分。應(yīng)在系統(tǒng)說明中明確系統(tǒng)的設(shè)計規(guī)格。除了作為設(shè)計和實現(xiàn)的要之外，系統(tǒng)說明的目的是確保整個系統(tǒng)交付符合適用的規(guī)范和條款。系統(tǒng)說明包含以下信息：符合的技術(shù)要求和CCS系統(tǒng)所有接口和硬件節(jié)點的內(nèi)部結(jié)構(gòu)（例如操作站、顯示器、計算機、可編程設(shè)備、傳感器、執(zhí)行器、I/O模塊等）；I/O分配（將現(xiàn)場設(shè)備映射到信道、通信鏈路、硬件單元、邏輯對于II類和III類系統(tǒng)，系統(tǒng)說明應(yīng)提交給CCS批準；對于I類系統(tǒng)，系統(tǒng)說明在必要時提交給CCS備查。應(yīng)按照CCS《電氣電子產(chǎn)品型式認可試驗指南》對系統(tǒng)和子系統(tǒng)的硬件進行環(huán)境測試。對于II類和III類系統(tǒng)，環(huán)境符合性測試報告或型式認證書，應(yīng)提交給CCS備查；對于I類系統(tǒng)，環(huán)境符合性測試報告或型式認可證書在必要時提交給CCS備查。為交付項目而創(chuàng)建、變更或配置的軟件，應(yīng)根據(jù)質(zhì)量計劃中所選定的標(biāo)準進行開發(fā)，并對其質(zhì)量保證活動進行評估。質(zhì)量保證活動可以在軟件結(jié)（）。在軟件質(zhì)量保證活動中，通常會使用諸如“軟件單元測試”或“開發(fā)人員測試”等測試方法，并且還會使用諸如“代碼審查”、“靜態(tài)代碼分析”等驗證方法。對于I類、II類和III類系統(tǒng)中的軟件，所有已進行的審查、分析、測試和其他驗證活動的范圍、目的和結(jié)果，都應(yīng)記錄在測試報告中。測試報告在必時提交給CCS備查。在工廠驗收測試之前，應(yīng)盡可能地進行內(nèi)部的系統(tǒng)測試。系統(tǒng)測的主要目的是讓系統(tǒng)供應(yīng)商驗證整個系統(tǒng)交付符合規(guī)范、批準的文件和適用的法規(guī)。應(yīng)在系統(tǒng)、子系統(tǒng)、軟件模塊之間完成系統(tǒng)的集成測試，目的是檢查軟件功能的正確執(zhí)行，以及軟件與其控制的硬件之間的正常交互和功能執(zhí)行。應(yīng)盡可真實地模擬故障，以驗證系統(tǒng)擁有恰當(dāng)?shù)墓收蠙z測和故障響應(yīng)能力。有一些測試可以利用模擬工具和同型硬件來執(zhí)行。測試環(huán)境應(yīng)被記錄下來包括對任何模擬器、仿真器、測試存根、測試管理工具、或其他影響測試環(huán)境的工具及其限制條件的描述。測試用例和測試結(jié)果應(yīng)分別記錄在測試程序和測試告中。故障和故障影響（包括診斷功能、檢測、報警響應(yīng)對于I類、II類、III類系統(tǒng)，系統(tǒng)測試報告在必要時提交給CCS在系統(tǒng)安裝到船上之前，應(yīng)安排系統(tǒng)的工廠驗收測試（FAT）。CCSCCS。，包括正常的系統(tǒng)功能測試和故障響應(yīng)測試。所有計劃上船安裝的軟件及其物媒介在安裝之前應(yīng)進行漏洞、病毒、惡意軟件等方面的安全掃描。對于II類III類系統(tǒng)，還應(yīng)進行網(wǎng)絡(luò)測試，以驗證其符合網(wǎng)絡(luò)韌性要求。如果各方同意通常，工廠驗收測試應(yīng)使用專用軟件在船上實際安裝的硬件上執(zhí)行，并具備必要的用于功能模擬和故障響應(yīng)的工具或手段。對于其他測試方案，如采用同硬件或模擬工具（仿真器），需征得CCS同意。CCS，CCSFMEA以支持故障響應(yīng)測試流程。對于II類和III類系統(tǒng)，CCS對于每個測試用例，應(yīng)注明測試通過或不通過，并將測試結(jié)果記錄在測試報告中。測試報告還應(yīng)包含在執(zhí)行測試時已安裝在系統(tǒng)中的軟件（包括軟件版本的列表。對于復(fù)雜系統(tǒng)，工廠驗收測試之前的內(nèi)部系統(tǒng)測試和工廠驗收測試之間的測試范圍可能存在很大差異；而對于某些系統(tǒng)，測試范圍可能是相同的。對于II類和III類系統(tǒng)，工廠驗收測試程序應(yīng)事先獲得CCS批準；工廠驗收測試應(yīng)由CCS應(yīng)提交給CCS備查，其他工廠驗收測試文件（如用戶手冊、系統(tǒng)測試報告等）在必要時提交給CCS備查。和系統(tǒng)集成商約定的變更管理程序進行。變更管理程序應(yīng)符合8.4中的相關(guān)要求對于II類和III類系統(tǒng)，變更管理程序和相關(guān)記錄應(yīng)提交給CCS備查，參見8.4.12。定質(zhì)量計劃，并執(zhí)行質(zhì)量管理體系。應(yīng)證明系統(tǒng)集成商執(zhí)行了5.1.3表中與其關(guān)的所有要求。對于II類和III類系統(tǒng)，質(zhì)量計劃應(yīng)在系統(tǒng)驗收測試/集成統(tǒng)測試期間提交給CCS備查。系統(tǒng)屬于哪個類別。系統(tǒng)類別確定后，應(yīng)告知相關(guān)系統(tǒng)供應(yīng)商。對于I類如果CCS提出要求，系統(tǒng)集成商應(yīng)對船舶的特定系統(tǒng)進行風(fēng)險分析，形成風(fēng)險評估報告，以確定系統(tǒng)的適用類別?？筛鶕?jù)IEC/ISO31010《風(fēng)險I類、II類和II類系統(tǒng)的風(fēng)險評估報告在必要時提交給CCS批準。若于風(fēng)險評估修正系統(tǒng)類別，可能需要獲得CCS和系統(tǒng)供應(yīng)商的同意。當(dāng)計算機統(tǒng)的風(fēng)險顯而易見時，允許免除提交風(fēng)險評估報告，但系統(tǒng)集成商應(yīng)提交證明文。Sytmofsstm）結(jié)構(gòu)說明。該系統(tǒng)結(jié)構(gòu)說明，通過將功能分配給不同的系統(tǒng)，以及定義系統(tǒng)之的主要接口，為系統(tǒng)類別的確定和不同集成系統(tǒng)的開發(fā)奠定了基礎(chǔ)。同時，它（8...）。整個系統(tǒng)結(jié)構(gòu)的概述（集成系統(tǒng)對于I類、IIIIICCSSA）在計算機系統(tǒng)安裝之后，并與船上相關(guān)機械/電氣/過程系統(tǒng)，包括與其他控制和監(jiān)測系統(tǒng)之間可能存在的接口集成之后，驗證計算機系統(tǒng)的功能運行情況。IIIII，CS每個測試用例應(yīng)注明測試通過或不通過，并將測試結(jié)果記錄在測試報告中測試報告還應(yīng)包含在執(zhí)行測試時已安裝在系統(tǒng)中的軟件（包括軟件版本）的列表對于II類和III類系統(tǒng)，系統(tǒng)驗收測試程序應(yīng)事先獲得CCS批準；系統(tǒng)驗收測試應(yīng)由CCS現(xiàn)場見證；系統(tǒng)驗收測試報告應(yīng)提交給CCS備查。不同系統(tǒng)在船上最終環(huán)境中安裝和集成之后，應(yīng)進行整船的集成測試（即集成系統(tǒng)測試，SST）。集成系統(tǒng)測試的目的是：驗證不同系統(tǒng)在完整裝之后的功能，包括所有接口和相互依賴關(guān)系是否符合要求和規(guī)定。測試應(yīng)至對于復(fù)雜系統(tǒng)，船上的系統(tǒng)驗收測試和集成系統(tǒng)測試的測試范圍可能存在很大差異，而對于某些系統(tǒng)，測試范圍可能重疊或相同。當(dāng)測試范圍相似時，可將這兩項測試合并為一項。對于II類和III類系統(tǒng)，集成系統(tǒng)測試程序應(yīng)事先獲得CCS批準；集成系統(tǒng)測試應(yīng)由CCS現(xiàn)場見證；集成系統(tǒng)測試報告應(yīng)提交給CCS備查。系統(tǒng)集成商應(yīng)遵循8.4所述的變更管理程序?qū)ο到y(tǒng)進行變更?；騻€人。CCS。系統(tǒng)的任何變更應(yīng)由系統(tǒng)集成商應(yīng)確保船上存放必要的軟件和硬件的變更管理程序，并確保任何軟件修改/升級均按該程序執(zhí)行。變更管理的具體要求，參見8.4。集成商應(yīng)記錄計算機系統(tǒng)在運行階段的變化。記錄內(nèi)容應(yīng)包含相關(guān)軟件版本信息以及8.10所述的其他相關(guān)信息。系統(tǒng)供應(yīng)商應(yīng)遵循計算機系統(tǒng)的維護程序，包括8.4所述的變更管理程序。對船上計算機系統(tǒng)進行變更之前，系統(tǒng)供應(yīng)商應(yīng)確保計劃中的系統(tǒng)更已經(jīng)通過了相關(guān)內(nèi)部測試。對維護人員進行必要的故障診斷、故障修復(fù)、以及系統(tǒng)測試方面的培針對操作人員，應(yīng)建立接收、記錄、解決、問題跟蹤和變更申請的程序。應(yīng)建立和保持計算機系統(tǒng)操作計劃，包括識別配置項、操作規(guī)程和預(yù)期。。發(fā)布操作使用的組件應(yīng)滿足指定的標(biāo)準。。軟件和數(shù)據(jù)的重大修改，以及版本的改變，要被記錄并提交給CCS批準。工廠驗收測試之前的開發(fā)和內(nèi)部驗證階段，涉及系統(tǒng)供應(yīng)商和分包供應(yīng)商；運行階段，涉及系統(tǒng)供應(yīng)商、服務(wù)供應(yīng)商、業(yè)主和CCS統(tǒng)集成商和CCS）批準之后需要對其進行變更，則應(yīng)遵循已制定的變更管理程序利益相關(guān)方應(yīng)制定文檔化的、涵蓋計算機系統(tǒng)軟件和硬件的變更管理程序。在工廠驗收測試之后，系統(tǒng)供應(yīng)商應(yīng)按照程序?qū)ο到y(tǒng)的所有變更進行管理，這些變更包括購買的新版本軟件、新的硬件、修改的控制邏輯、更改的配置參數(shù)等。變更管理程序應(yīng)至少包含8.4.4至8.4.11的內(nèi)容。見。應(yīng)建立機制，用于對構(gòu)成軟件主文件的文件進行處理。應(yīng)明確人員限，以及保證主文件完整性的工具和機制。在對計算機系統(tǒng)進行變更之前，應(yīng)進行影響分析。影響分析結(jié)果將定變更活動的執(zhí)行程度。變更之前影響分析的目的是：確定變更前是否需要獲得其他利益相關(guān)方（CCS）的當(dāng)維護過程包括在系統(tǒng)中安裝新版本軟件時，應(yīng)能將軟件回滾到以前安裝的版本，以使系統(tǒng)恢復(fù)到已知的穩(wěn)定狀態(tài)。應(yīng)對回滾操作進行記錄和分析以便發(fā)現(xiàn)和消除導(dǎo)致變更失敗的根源。系統(tǒng)和軟件的變更應(yīng)形成記錄，以保證變更的可見性和可追溯性變更記錄應(yīng)至少包含以下內(nèi)容:變更影響分析的主要結(jié)論（參見所有新系統(tǒng)或軟件的標(biāo)識和版本（參見測試報告或測試總結(jié)（參見8.4.9）CCS船舶營運階段，CCS通常在船舶年度檢驗時對變更管理進行驗證檢驗時，應(yīng)向CCS提供變更管理程序和相關(guān)變更記錄。如果變更需要事先獲船舶建造階段，CCS變更管理程序作為質(zhì)量管理體系（參見5.1.3）針對每個需要實現(xiàn)一定安全功能的計算機系統(tǒng)，規(guī)定其軟件安全功能軟件開發(fā)人員應(yīng)復(fù)審9.3.1中的信息以確保全面規(guī)定軟件需求，應(yīng)特①安全功能；③硬件需求；④軟件需求；⑥設(shè)備和操作人員界面。①軟件自監(jiān)視；完成軟件確認的通過/①軟件結(jié)構(gòu)：②工具集：①對于使用有限可變語言的應(yīng)用程序編程，在一個低安全完整性等②在較高等級的系統(tǒng)上，需限制編程語言的子集，驗證和確認諸如代碼分析器和仿真器等工具。該環(huán)境下的責(zé)任由供方和用戶共。③即便是在低等級的系統(tǒng)上，也可廣泛使用完全可變語言來開發(fā)嵌④根據(jù)軟件開發(fā)的固有特性，確保以下(a)-(e)符合性要求的責(zé)任 系統(tǒng)整個生命周期中提供相應(yīng)服務(wù)的合適開發(fā)工具（不一定。 當(dāng)不能完全滿足(b)時，軟件結(jié)構(gòu)設(shè)計規(guī)格說明中應(yīng)給出另 ①②①②③④⑤①詳細設(shè)計首先指軟件系統(tǒng)設(shè)計，包括把軟件結(jié)構(gòu)中的主要組件劃②軟件的詳細設(shè)計需要對每一個軟件組件提供邏輯設(shè)計，并產(chǎn)生詳③④對于軟件結(jié)構(gòu)設(shè)計中的每一個主要組件/子系統(tǒng)，設(shè)計的進一步細化應(yīng)基于軟件模塊的劃分。應(yīng)規(guī)定每個軟件模塊的設(shè)計以及。⑤⑥ ①②③①②③①②①每一個軟件模塊都應(yīng)根據(jù)在軟件設(shè)計階段確定的測試規(guī)格說明進行測試。這些測試應(yīng)表明每一個軟件模塊執(zhí)行預(yù)定功能，且不。②軟件模塊測試應(yīng)實現(xiàn)文檔化。II類、III類系統(tǒng)的軟件模塊試文檔應(yīng)包括但不限于軟件模塊設(shè)計規(guī)格說明、軟件模塊測試計。④⑤可采用白盒測試的方法執(zhí)行模塊測試，根據(jù)邊界值分析、錯誤推①②③①②②③④。這些⑤軟件集成測試應(yīng)文檔化，并說明測試結(jié)果是否滿足測試目的和測⑥在軟件集成過程中，應(yīng)對軟件的任何修改或變更進行影響分析，①建議采用黑盒測試方法來執(zhí)行子系統(tǒng)測試?？墒褂脛討B(tài)測試、價類劃分、邊界值分析等方法設(shè)計測試用例。可根據(jù)軟件的等。②對于II類、III類系統(tǒng)，應(yīng)執(zhí)行子系統(tǒng)測試，并分析測試結(jié)①對于II類、III③④II類、III類系統(tǒng)的軟件系統(tǒng)測試，應(yīng)驗證單一故障條件下軟⑤應(yīng)采用黑盒測試方法執(zhí)行軟件系統(tǒng)測試，采用等價類或過程仿真方法設(shè)計測試用例。可根據(jù)安全等級要求和船用可編程設(shè)備要。⑥當(dāng)預(yù)期結(jié)果和實際結(jié)果出現(xiàn)差異時，應(yīng)進行分析和評估，確定是繼續(xù)測試，還是提出變更請求。若提出變更請求，則應(yīng)返回軟開發(fā)生命周期較早階段。這些決定應(yīng)作為軟件系統(tǒng)測試的確認。①②①②③④計算機系統(tǒng)（軟件和硬件）①③計算機系統(tǒng)和EUC（其他系統(tǒng)）故障模擬測試，也可以稱為故障響應(yīng)測試。根據(jù)計算機系統(tǒng)設(shè)計規(guī)說明，制訂系統(tǒng)的故障模擬測試規(guī)格說明。應(yīng)盡可能真實地進行故模擬，以證明系統(tǒng)具有適當(dāng)?shù)墓收享憫?yīng)能力。①②③④要求的故障響應(yīng)（輸出記錄）故障模擬測試的測試用例及其預(yù)期結(jié)果應(yīng)文檔化。應(yīng)說明故障模擬試的測試結(jié)果以及是否滿足測試目的和測試準則。如果出現(xiàn)失敗，分析和記錄失敗原因。計算機系統(tǒng)集成測試規(guī)格說明（含故障模擬測試①②③①②③根據(jù)軟件確認計劃，被確認（通過測試或分析）④⑤ 當(dāng)實際結(jié)果和預(yù)期結(jié)果出現(xiàn)差異時，應(yīng)進行必要的分析，以便決定是繼續(xù)確認，還是提出變更請求，并返回軟件開發(fā)生命周期的較早階段①軟件確認測試應(yīng)是軟件確認的主要方法，分析、動畫和建模可作②③①軟件確認測試應(yīng)證明所有軟件規(guī)定的要求都得到了滿足,并且軟②③文檔化的軟件確認測試結(jié)果應(yīng)表明：(a)軟件已通過確認，或(b)析，同時應(yīng)向CCSIIIII類系統(tǒng)進行的軟件重大變更，應(yīng)提交給CCS進行批準。IIIII類系統(tǒng)，CCS應(yīng)30%①②③驗證工具（測試工具、專用測試軟件、輸入/輸出仿真器等）的④①②③不符合項（如軟件模塊、數(shù)據(jù)結(jié)構(gòu)和不適用的算法）NN+1階段正確執(zhí)行所需的信息都應(yīng)可獲得并被驗證，N階段的輸出包括：①N②針對N階段的設(shè)計要求和設(shè)計表述，N階段規(guī)定的確認計劃和/③II類和III①考慮規(guī)定的軟件需求是否已充分滿足計算機系統(tǒng)規(guī)定的功能、②③①②③④①②③④①②③④ ①②③④所有設(shè)備接口和相關(guān)軟件（即傳感器、執(zhí)行器和離線接口）應(yīng)進⑤ 了具體的要求。小型低復(fù)雜度計算機系統(tǒng)的評估應(yīng)按照本指南附錄2的要求要①質(zhì)量計劃②安保策略相關(guān)的實施ISO9001或等效標(biāo)準①對計算機系統(tǒng)、組件、及其版IIIII鏈①系統(tǒng)說明（可分解成相關(guān)文檔）②計算機系統(tǒng)需求規(guī)格說明③計算機系統(tǒng)硬件說明④軟件需求規(guī)格說明⑤軟件結(jié)構(gòu)設(shè)計規(guī)格說⑦軟件模塊設(shè)計規(guī)格說明⑧軟件模塊測試規(guī)格說明⑨軟件系統(tǒng)設(shè)計規(guī)格說明⑩軟件系統(tǒng)測試規(guī)格說明?軟件集成測試規(guī)格說明?計算機系統(tǒng)集成測試規(guī)格說明?支持工具和編碼標(biāo)準?開發(fā)工①①軟件模塊測試規(guī)格說明②軟①軟件集成測試規(guī)格說明②軟件集成測試記錄③軟件系統(tǒng)測試規(guī)格說明④軟件系統(tǒng)測試記⑤軟件結(jié)構(gòu)集成測試規(guī)格說明⑥軟件結(jié)構(gòu)集成測試記錄⑦①計算機系統(tǒng)集成測試規(guī)格說明②計算機系統(tǒng)集成測試記錄③計④計算機系統(tǒng)故障模擬測試記錄⑤工廠驗收測試(FAT)，包括①系統(tǒng)說明②FAT程序③FAT報告④用戶手冊⑤系統(tǒng)測試報告FATFATFAT①環(huán)境符合性測試報告或型式認①系統(tǒng)說明②系統(tǒng)類別清單風(fēng)險評估報告④系統(tǒng)結(jié)構(gòu)說明⑤FAT⑥①SAT程序②SAT報告③SOST程序④SOST報告①變更管理程序②變更請求或變更說明③變更影響分析結(jié)果④變更記錄⑤相應(yīng)測試報告?? ?提交CCS備 ?需CCS見關(guān)國際（SOLASII-155。）或國內(nèi)標(biāo)準進行的工程分析，并獲得認可。CCSIIIIII?提交CCS批準；?CCS備查；?需CCSCCS《船舶網(wǎng)絡(luò)安全指南》中的要求，向CCS申請進行網(wǎng)絡(luò)安全方面的檢驗或評估。按照CCS《船舶設(shè)備與系統(tǒng)可靠性驗證指南》中的要求，向CCS申請可靠性驗系統(tǒng)供應(yīng)商或系統(tǒng)集成商可按照CCS《電氣電子產(chǎn)品型式認可試驗指南》完成II類和III類系統(tǒng)內(nèi)集成的可編程設(shè)備的認可。CCS測試后，可編程設(shè)備的認可可以采取單件檢驗方式或作為型式認可的組成部分完成。認可文件應(yīng)描述可編程設(shè)備在船舶應(yīng)用中的兼容性，以及船上測試的必要性CCS對型式認可文件進行評估，包括7.1所列文件以及申請CCS型式認附錄4）。對于建立了系統(tǒng)生命周期的計算機系統(tǒng)，依照CCS《鋼質(zhì)海船入級規(guī)范》等統(tǒng)類別（分類見4.1），授予下列附加標(biāo)志：III對于III類系統(tǒng)，SLC3實現(xiàn)船舶功能所必需的II類或III類計算機系統(tǒng)應(yīng)持有產(chǎn)品證書。產(chǎn)品7.1施（參見附錄4）。 要①安保策略相關(guān)的程序ISO9001(必要時(必要時(必要時要制定在FAT(必要時制定在FAT(必要時確定組織對自身遵守質(zhì)量管理體系的跟蹤檢查點。檢查點可以是一份要求提交文件、一次測試、一次技術(shù)審查會或者專家評審會。(必要時所有的相關(guān)方（如開發(fā)人員、項目負責(zé)人等）使用的標(biāo)準、實踐和質(zhì)量要求已被識別（IEC、ISO、IEEE）描述了如何監(jiān)測和保證計算機系統(tǒng)及過程的符合性（如追溯、報告和趨勢）要描述了哪些工具和技術(shù)被用于支持軟件質(zhì)量保證活動（如檢查清單、計劃和報告模板、用于追溯的數(shù)據(jù)庫）。討論了通過內(nèi)外部監(jiān)督確保供應(yīng)商的控制能滿足客戶的要求（、月度狀態(tài)報告）軟件的設(shè)計和開發(fā)能確保其滿足特殊的設(shè)計和開發(fā)要求，即對潛在的失效條件進行預(yù)防和響應(yīng)。(必要時明確了編程內(nèi)容、數(shù)據(jù)的修改以及版本的變化所必須遵循的流程，并確定在文件中記錄這些修改或變化。CCS軟件變更影響分析結(jié)果和測試報告應(yīng)提交給CCS(必要時除非經(jīng)授權(quán)，否則應(yīng)不能修改軟件。無論是物理系統(tǒng)或遠程控制系統(tǒng)，都應(yīng)采物理和邏輯安保措施以防止未經(jīng)授權(quán)的或無意的修改。所有計劃上船安裝的固件、軟件代碼、可執(zhí)行程序和物理媒介應(yīng)在安裝前進行漏洞、病毒、惡意軟件等方面的安全掃描。掃描結(jié)果保存在軟件注冊表或等效文中。要①對計算機系統(tǒng)、組提供識別系統(tǒng)（包括軟件和硬件）IIIIIIIICCS信息完整性：通過故障預(yù)防、檢測、診斷和糾正，使接收的消息與發(fā)送的消息相比，不會被破壞或更改。船舶內(nèi)部無線系統(tǒng)應(yīng)滿足國際電信聯(lián)盟和船旗國主管機關(guān)對無線電頻率和功率水平的要求。系統(tǒng)操作應(yīng)考慮到港口和當(dāng)?shù)胤ㄒ?guī)在射頻傳輸方面的規(guī)定，因頻率和功率的限制而禁止使用無線數(shù)據(jù)通信鏈路。無線數(shù)據(jù)通信設(shè)備應(yīng)在系泊試驗和航行試驗期間進行測試，證明在預(yù)期的操作條件下，射頻傳輸不會因電磁干擾引起自身和任何其他設(shè)備的故障。要(必要時①系統(tǒng)說明（可分解成②計算機系統(tǒng)需求規(guī)格③④⑤軟件結(jié)構(gòu)設(shè)計規(guī)格說⑥軟件結(jié)構(gòu)集成測試規(guī)⑦軟件模塊設(shè)計規(guī)格說⑧軟件模塊測試規(guī)格說⑨軟件系統(tǒng)設(shè)計規(guī)格說⑩軟件系統(tǒng)測試規(guī)格說?軟件集成測試規(guī)格說?計算機系統(tǒng)集成測試??軟件結(jié)構(gòu)設(shè)計的描述包括：在所需的軟件開發(fā)生命周期中，按不同等級的系統(tǒng)，選擇和判斷滿足軟件需求規(guī)格說明的集成技術(shù)。軟件需求文檔的技術(shù)和措施包括：故障允許偏差（與硬件一致），故障避免的軟件設(shè)計策略，（適用時）冗余和多樣性。軟件結(jié)構(gòu)設(shè)計的描述包括：規(guī)定適當(dāng)?shù)能浖Y(jié)構(gòu)集成測試來保證軟件結(jié)構(gòu)滿足規(guī)定系統(tǒng)等級上的軟件安全要求。軟件系統(tǒng)設(shè)計和模塊設(shè)計文檔說明了功能、性能、模塊和其他部件之間的相互約束和依賴關(guān)系。軟件系統(tǒng)設(shè)計和模塊設(shè)計文檔說明了軟件自我監(jiān)控（例如：應(yīng)用驅(qū)動的看門狗和數(shù)據(jù)范圍驗證）。軟件系統(tǒng)設(shè)計和模塊設(shè)計文檔要求進行驗證測試和外部設(shè)備診斷測試（例如：傳感器和終端元件）。軟件系統(tǒng)設(shè)計和模塊設(shè)計文檔對壞的過程變量，如傳感器值超出范圍、開路、短路，采取了措施。要包括系統(tǒng)所有接口和硬件節(jié)點的內(nèi)部結(jié)構(gòu)（例如操作站、顯示器、計算機、可編程設(shè)備、傳感器、執(zhí)行器、IO模塊等）。包括I/O分配（將現(xiàn)場設(shè)備映射到信道、通信鏈路、硬件單元、邏輯功能）對于II類和III類系統(tǒng)，系統(tǒng)技術(shù)要求的實施情況作為系統(tǒng)說明的一部分進行①①軟件模塊測試規(guī)格②II類、II類系統(tǒng)的軟件模塊測試文檔包括軟件模塊測試規(guī)格說明、軟件模塊測試計劃、軟件模塊測試用例、軟件模塊測試記錄、測試記錄分析報告、軟件模塊測試問題報告和測試總結(jié)報告。在規(guī)定每一個軟件模塊設(shè)計后，驗證：考慮規(guī)定的軟件模塊設(shè)計是否已充分滿足規(guī)定的軟件系統(tǒng)設(shè)計。在規(guī)定每一個軟件模塊設(shè)計后，驗證：考慮每一個軟件模塊的規(guī)定測試是否已充分滿足規(guī)定的軟件模塊設(shè)計。要在規(guī)定每一個軟件模塊設(shè)計后，檢查以下內(nèi)容之間的不一致性：①軟件模塊設(shè)計和軟件系統(tǒng)設(shè)計；②（對于每一個軟件模塊）軟件模塊設(shè)計和軟件模塊測試；③軟件模塊測試和軟件系統(tǒng)集成測試。(必要時①軟件集成測試規(guī)格②③軟件系統(tǒng)測試規(guī)格④⑤軟件結(jié)構(gòu)集成測試⑥軟件結(jié)構(gòu)集成測試記⑦軟件集成測試應(yīng)規(guī)定以下內(nèi)容：①將軟件劃分為可管理的集成集；②測試用例和測試數(shù)據(jù)；③執(zhí)行測試的類型；④測試環(huán)境、工具、配置和程序；⑤判定測試完成的準則；⑥測試失敗的校正措施。軟件集成測試是否表明所有軟件模塊、組件和子系統(tǒng)能相互正確作用以執(zhí)行其預(yù)定功能，而不執(zhí)行非預(yù)定功能。軟件集成測試應(yīng)文檔化，并說明測試結(jié)果是否滿足測試目的和測試準則。如果現(xiàn)失敗，記錄失敗原因。在軟件集成過程中，應(yīng)對軟件的任何修改或變更進行影響分析，以確定所有受影響的軟件模塊和所需要的再驗證、再設(shè)計活動。對于II類、III類系統(tǒng)，執(zhí)行軟件子系統(tǒng)測試，并分析測試結(jié)果，以驗證軟件模要對于II類、III類系統(tǒng)，執(zhí)行軟件系統(tǒng)測試，驗證單一故障條件下軟件系統(tǒng)符(必要時①計算機系統(tǒng)集成測試②計算機系統(tǒng)集成測試③計算機系統(tǒng)故障模擬④計算機系統(tǒng)故障模擬⑤計算機系統(tǒng)集成測試應(yīng)規(guī)定：①將系統(tǒng)拆分為各個集成集；②測試用例和測試數(shù)據(jù)；③執(zhí)行測試的類型；④測試環(huán)境，包括工具、支持軟件和配置描述；⑤判定測試完成的準則。在進行計算機系統(tǒng)集成測試時，應(yīng)區(qū)別開發(fā)人員按自己意圖所執(zhí)行的活動和從用戶立場出發(fā)所進行的活動。在計算機系統(tǒng)集成測試中，對計算機系統(tǒng)的任何修改或變更進行了影響分析，以確定所有受影響的軟件組件/模塊，以及所需要的再驗證、再設(shè)計活動。計算機系統(tǒng)集成測試應(yīng)文檔化，測試結(jié)果是否滿足測試目的和測試準則。如果現(xiàn)失敗，應(yīng)記錄失敗原因。對于II類、III類系統(tǒng)，應(yīng)保留并按要求向CCS提交計算機系統(tǒng)集成測試的證通過故障分析證明對于單一故障，系統(tǒng)能夠進入故障安全狀態(tài)，并且運行中的系統(tǒng)不會降低到不能滿足CS規(guī)定的可接受性能標(biāo)準。要應(yīng)盡可能真實地進行故障模擬。故障模擬測試規(guī)格說明包括以下內(nèi)容：①故障件或元器件名稱；②故障類型；③故障注入方式；④要求的故障響應(yīng)（輸出記錄）故障模擬的測試用例及其預(yù)期結(jié)果應(yīng)文檔化。應(yīng)說明故障模擬測試結(jié)果以及是滿足測試目的和測試準則。如果出現(xiàn)失敗，應(yīng)記錄和分析失敗原因。①②FAT③FAT④⑤FAT（試驗大綱FT程序應(yīng)從系統(tǒng)測試中選出具有代表性的測試項目，包括正常的功能測試和故障模擬測試（即故障響應(yīng)測試）。選擇測試項目的原則是：①針對軟件需求規(guī)說明，F(xiàn)T內(nèi)容的完整性；②針對軟件需求規(guī)格說明，F(xiàn)T內(nèi)容的正確性；③可重復(fù)性；④精確定義的測試配置。在實際硬件上執(zhí)行FT，并具備必要的用于模擬功能和故障響應(yīng)的工具或手段對于其他測試方案，如采用同型硬件或模擬硬件（仿真器），應(yīng)征得CS同意對于II類和III類系統(tǒng)，應(yīng)進行了網(wǎng)絡(luò)測試，以驗證其符合網(wǎng)絡(luò)韌性要求。CCS。對于II類和III類系統(tǒng)，系統(tǒng)技術(shù)要求的實施情況作為FAT的一部分進行驗對于IIIII附錄4:FATFAT報告等測試結(jié)果應(yīng)進行文檔化，并包括以下內(nèi)容：①FAT過程按時間順序記錄，以便追溯FAT活動的順序；②FAT程序的版本；③被FAT；④使用的工具、設(shè)備及其校準數(shù)據(jù)；⑤FAT時安裝在系統(tǒng)中的軟件（包括軟件當(dāng)實際結(jié)果和預(yù)期結(jié)果出現(xiàn)差異時，應(yīng)進行分析和評估，確定是繼續(xù)測試，還是提出變更請求，并返回軟件開發(fā)生命周期的較早階段。要FAT。FAT報告還應(yīng)還表明：(a)軟件已通過測試；或(b)FATFATCCS(必要時①環(huán)境符合性測試報告符合CCS《電氣電子產(chǎn)品型式認可試驗指南》要求的環(huán)境符合性測試報告或型式①②③④⑤FAT⑥(必要時如果CCS提出要求，系統(tǒng)集成商應(yīng)對船舶的特定系統(tǒng)進行風(fēng)險分析，形成風(fēng)險評若基于風(fēng)險評估分析修正了系統(tǒng)類別，可能需要獲得CCS當(dāng)計算機系統(tǒng)的風(fēng)險顯而易見時，允許免除提交風(fēng)險評估報告，但應(yīng)提交證明文件以說明免除的理由。此時、e條不適用。采用了適當(dāng)?shù)姆治龇椒?，如故障樹分析、風(fēng)險分析、FMEA或FMECA分析；（c通過故障分析證明：對于單一故障，系統(tǒng)能夠進入故障安全狀態(tài)，并且運行中的系統(tǒng)不會降低到不能滿足CS規(guī)定的可接受性能標(biāo)準。（c條生效時，本條不用）風(fēng)險評估分析中應(yīng)明確II類和III類系統(tǒng)數(shù)據(jù)鏈路失效的狀況。（適用時要應(yīng)規(guī)定船舶的計算機集成系統(tǒng)（Systemofsystems），系統(tǒng)結(jié)構(gòu)說明應(yīng)至少包含以下內(nèi)容：①整個系統(tǒng)結(jié)構(gòu)的概述（集成系統(tǒng)）；②每個系統(tǒng)的用途和主要功能；③不同系統(tǒng)之間的通信和接口。①SAT②SAT③SOST④SOST船上測試程序包括系統(tǒng)驗收測試程序和集成系統(tǒng)測