安全關(guān)鍵軟件開(kāi)發(fā)與審定：DO-

第一部分 引言
第1章　引言和概覽 2
1．1　安全關(guān)鍵軟件的定義 2
1．2　安全性問(wèn)題的重要性 2
1．3　本書(shū)目的和重要提示 4
1．4　本書(shū)概覽 5
第二部分 安全關(guān)鍵軟件開(kāi)發(fā)的語(yǔ)境
第2章 系統(tǒng)語(yǔ)境中的軟件 8
2．1　系統(tǒng)開(kāi)發(fā)概覽 8
2．2　系統(tǒng)需求 10
2．2．1　系統(tǒng)需求的重要性 10
2．2．2　系統(tǒng)需求的類(lèi)型 10
2．2．3　良好需求的特性 10
2．2．4　系統(tǒng)需求考慮 11
2．2．5　需求假設(shè) 14
2．2．6　分配到軟硬件項(xiàng) 14
2．3　系統(tǒng)需求確認(rèn)與驗(yàn)證 14
2．3．1　需求確認(rèn) 14
2．3．2　實(shí)現(xiàn)驗(yàn)證 15
2．3．3　確認(rèn)與驗(yàn)證建議 15
2．4　系統(tǒng)工程師最佳實(shí)踐 16
2．5　軟件與系統(tǒng)的關(guān)系 18
第3章 系統(tǒng)安全性評(píng)估語(yǔ)境中的軟件 20
3．1　航空器與系統(tǒng)安全性評(píng)估過(guò)程概覽 20
3．1．1　安全性工作計(jì)劃 20
3．1．2　功能危險(xiǎn)評(píng)估 21
3．1．3　系統(tǒng)功能危險(xiǎn)評(píng)估 22
3．1．4　初步航空器安全性評(píng)估 22
3．1．5　初步系統(tǒng)安全性評(píng)估 22
3．1．6　共同原因分析 23
3．1．7　航空器安全性評(píng)估和系統(tǒng)安全性評(píng)估 23
3．2　開(kāi)發(fā)保證 24
3．2．1　開(kāi)發(fā)保證級(jí)別 25
3．3　軟件如何置入安全性過(guò)程 25
3．3．1　軟件的獨(dú)特性 25
3．3．2　軟件開(kāi)發(fā)保證 26
3．3．3　其他視點(diǎn) 27
3．3．4　在系統(tǒng)安全性過(guò)程關(guān)注軟件的建議 28
第三部分 使用DO-178C開(kāi)發(fā)安全關(guān)鍵軟件
第4章 DO-178C及支持文件概覽 31
4．1　DO-178歷史 31
4．2　DO-178C和DO-278A核心文件 33
4．2．1　DO-278A與DO-178C的不同 37
4．2．2　DO-178C附件A目標(biāo)表概覽 38
4．3　DO-330：軟件工具鑒定考慮 41
4．4　DO-178C技術(shù)補(bǔ)充 41
4．4．1　DO-331：基于模型的開(kāi)發(fā)補(bǔ)充 42
4．4．2　DO-332：面向?qū)ο蠹夹g(shù)補(bǔ)充 42
4．4．3　DO-333：形式化方法補(bǔ)充 42
4．5　DO-248C：支持材料 43
第5章 軟件策劃 44
5．1　引言 44
5．2　一般策劃建議 44
5．3　5個(gè)軟件計(jì)劃 46
5．3．1　軟件合格審定計(jì)劃 46
5．3．2　軟件開(kāi)發(fā)計(jì)劃 48
5．3．3　軟件驗(yàn)證計(jì)劃 49
5．3．4　軟件配置管理計(jì)劃 51
5．3．5　軟件質(zhì)量保證計(jì)劃 53
5．4　3個(gè)開(kāi)發(fā)標(biāo)準(zhǔn) 54
5．4．1　軟件需求標(biāo)準(zhǔn) 55
5．4．2　軟件設(shè)計(jì)標(biāo)準(zhǔn) 55
5．4．3　軟件編碼標(biāo)準(zhǔn) 56
5．5　工具鑒定計(jì)劃 57
5．6　其他計(jì)劃 57
5．6．1　項(xiàng)目管理計(jì)劃 57
5．6．2　需求管理計(jì)劃 57
5．6．3　測(cè)試計(jì)劃 57
第6章 軟件需求 58
6．1　引言 58
6．2　定義需求 58
6．3　良好軟件需求的重要性 59
6．3．1　原因1：需求是軟件開(kāi)發(fā)的基礎(chǔ) 59
6．3．2　原因2：好的需求節(jié)省時(shí)間和金錢(qián) 60
6．3．3　原因3：好的需求對(duì)安全性至關(guān)重要 60
6．3．4　原因4：好的需求對(duì)滿(mǎn)足客戶(hù)需要是必需的 61
6．3．5　原因5：好的需求對(duì)測(cè)試很重要 61
6．4　軟件需求工程師 61
6．5　軟件需求開(kāi)發(fā)概覽 62
6．6　收集和分析軟件需求的輸入 63
6．6．1　需求收集活動(dòng) 64
6．6．2　需求分析活動(dòng) 64
6．7　編寫(xiě)軟件需求 65
6．7．1　任務(wù)1：確定方法 65
6．7．2　任務(wù)2：確定軟件需求文檔版式 66
6．7．3　任務(wù)3：將軟件需求劃分為子系統(tǒng)和/或特征 66
6．7．4　任務(wù)4：確定需求優(yōu)先級(jí) 67
6．7．5　一個(gè)簡(jiǎn)單迂回（不是一個(gè)任務(wù)）：要避免的斜坡 67
6．7．6　任務(wù)5：編檔需求 68
6．7．7　任務(wù)6：提供系統(tǒng)需求的反饋 72
6．8　驗(yàn)證（評(píng)審）需求 73
6．8．1　同行評(píng)審?fù)扑]實(shí)踐 74
6．9　管理需求 76
6．9．1　需求管理基礎(chǔ) 76
6．9．2　需求管理工具 77
6．10 需求原型 78
6．11 可追蹤性 79
6．11．1　可追蹤性的重要性和好處 79
6．11．2　雙向可追蹤性 79
6．11．3　DO-178C和可追蹤性 80
6．11．4　可追蹤性挑戰(zhàn) 81
第7章 軟件設(shè)計(jì) 83
7．1　軟件設(shè)計(jì)概覽 83
7．1．1　軟件體系結(jié)構(gòu) 83
7．1．2　軟件低層需求 83
7．1．3　設(shè)計(jì)打包 85
7．2　設(shè)計(jì)方法 85
7．2．1　基于結(jié)構(gòu)的設(shè)計(jì)（傳統(tǒng)） 85
7．2．2　面向?qū)ο蟮脑O(shè)計(jì) 86
7．3　良好設(shè)計(jì)的特性 86
7．4　設(shè)計(jì)驗(yàn)證 89
第8章 軟件實(shí)現(xiàn)：編碼與集成 91
8．1　引言 91
8．2　編碼 91
8．2．1　DO-178C編碼指南概覽 91
8．2．2　安全關(guān)鍵軟件中使用的語(yǔ)言 92
8．2．3　選擇一種語(yǔ)言和編譯器 94
8．2．4　編程的一般建議 95
8．2．5　代碼相關(guān)的特別話(huà)題 102
8．3　驗(yàn)證源代碼 103
8．4　開(kāi)發(fā)集成 104
8．4．1　構(gòu)建過(guò)程 104
8．4．2　加載過(guò)程 105
8．5　驗(yàn)證開(kāi)發(fā)集成 105
第9章 軟件驗(yàn)證 106
9．1　引言 106
9．2　驗(yàn)證的重要性 106
9．3　獨(dú)立性與驗(yàn)證 107
9．4　評(píng)審 108
9．4．1　軟件計(jì)劃評(píng)審 108
9．4．2　軟件需求、設(shè)計(jì)和代碼評(píng)審 108
9．4．3　測(cè)試資料評(píng)審 108
9．4．4　其他資料項(xiàng)評(píng)審 108
9．5　分析 109
9．5．1　最壞情況執(zhí)行時(shí)間分析 109
9．5．2　內(nèi)存余量分析 110
9．5．3　鏈接和內(nèi)存映像分析 110
9．5．4　加載分析 111
9．5．5　中斷分析 111
9．5．6　數(shù)學(xué)分析 111
9．5．7　錯(cuò)誤和警告分析 112
9．5．8　分區(qū)分析 112
9．6　軟件測(cè)試 112
9．6．1　軟件測(cè)試的目的 112
9．6．2　DO-178C軟件測(cè)試指南概覽 114
9．6．3　測(cè)試策略綜述 115
9．6．4　測(cè)試策劃 119
9．6．5　測(cè)試開(kāi)發(fā) 120
9．6．6　測(cè)試執(zhí)行 122
9．6．7　測(cè)試報(bào)告 124
9．6．8　測(cè)試可追蹤性 124
9．6．9　回歸測(cè)試 124
9．6．10易測(cè)試性 125
9．6．11驗(yàn)證過(guò)程中的自動(dòng)化 125
9．7　驗(yàn)證的驗(yàn)證 126
9．7．1　測(cè)試規(guī)程評(píng)審 127
9．7．2　測(cè)試結(jié)果的評(píng)審 127
9．7．3　需求覆蓋分析 127
9．7．4　結(jié)構(gòu)覆蓋分析 128
9．8　問(wèn)題報(bào)告 134
9．9　驗(yàn)證過(guò)程建議 136
第10章 軟件配置管理 140
10．1　引言 140
10．1．1　什么是軟件配置管理 140
10．1．2　為何需要軟件配置管理 140
10．1．3　誰(shuí)負(fù)責(zé)實(shí)現(xiàn)軟件配置管理 141
10．1．4　軟件配置管理涉及什么 142
10．2　SCM活動(dòng) 142
10．2．1　配置標(biāo)識(shí) 142
10．2．2　基線(xiàn) 143
10．2．3　可追蹤性 143
10．2．4　問(wèn)題報(bào)告 143
10．2．5　變更控制和評(píng)審 146
10．2．6　配置狀態(tài)記錄 147
10．2．7　發(fā)布 147
10．2．8　歸檔和提取 148
10．2．9　資料控制類(lèi) 148
10．2．10加載控制 149
10．2．11軟件生命周期環(huán)境控制 150
10．3　特別SCM技能 150
10．4　SCM資料 151
10．4．1　SCM計(jì)劃 151
10．4．2　問(wèn)題報(bào)告 151
10．4．3　軟件生命周期環(huán)境配置索引 151
10．4．4　軟件配置索引 151
10．4．5　SCM記錄 152
10．5　SCM陷阱 152
10．6　變更影響分析 154
第11章 軟件質(zhì)量保證 157
11．1　引言：軟件質(zhì)量和軟件質(zhì)量保證 157
11．1．1　定義軟件質(zhì)量 157
11．1．2　高質(zhì)量軟件的特性 157
11．1．3　軟件質(zhì)量保證 158
11．1．4　常見(jiàn)質(zhì)量過(guò)程和產(chǎn)品問(wèn)題的例子 159
11．2　有效和效SQA的特征 159
11．2．1　有效的SQA 159
11．2．2　效的SQA 160
11．3　SQA活動(dòng) 161
第12章 合格審定聯(lián)絡(luò) 164
12．1　什么是合格審定聯(lián)絡(luò) 164
12．2　與合格審定機(jī)構(gòu)的溝通 164
12．2．1　與合格審定機(jī)構(gòu)協(xié)調(diào)的最佳實(shí)踐 165
12．3　軟件完成總結(jié) 167
12．4　介入階段審核 168
12．4．1　SOI審核概覽 168
12．4．2　軟件作業(yè)輔助概覽 169
12．4．3　使用軟件作業(yè)輔助 171
12．4．4　對(duì)審核者的一般建議 171
12．4．5　對(duì)被審核者的一般建議 176
12．4．6　SOI評(píng)審細(xì)節(jié) 177
12．5　合格審定飛行測(cè)試之前的軟件成熟度 184
第四部分 工具鑒定和DO-178C補(bǔ)充
第13章 DO-330和軟件工具鑒定 186
13．1　引言 186
13．2　確定工具鑒定需要和級(jí)別（DO-178C的12．2節(jié)） 187
13．3　鑒定一個(gè)工具（DO-330概覽） 190
13．3．1　DO-330的需要 190
13．3．2　DO-330工具鑒定過(guò)程 190
13．4　工具鑒定特別話(huà)題 197
13．4．1　FAA規(guī)定8110．49 197
13．4．2　工具確定性 197
13．4．3　額外的工具鑒定考慮 198
13．4．4　工具鑒定陷阱 199
13．4．5　DO-330和DO-178C補(bǔ)充 200
13．4．6　DO-330用于其他領(lǐng)域 200
第14章 DO-331和基于模型的開(kāi)發(fā)與驗(yàn)證 201
14．1　引言 201
14．2　基于模型開(kāi)發(fā)的潛在好處 202
14．3　基于模型開(kāi)發(fā)的潛在風(fēng)險(xiǎn) 204
14．4　DO-331概覽 206
14．5　合格審定機(jī)構(gòu)對(duì)DO-331的認(rèn)識(shí) 210
第15章 DO-332和面向?qū)ο蠹夹g(shù)及相關(guān)技術(shù) 211
15．1　面向?qū)ο蠹夹g(shù)介紹 211
15．2　OOT在航空中的使用 211
15．3　航空手冊(cè)中的OOT 212
15．4　FAA資助的OOT和結(jié)構(gòu)覆蓋研究 212
15．5　DO-332概覽 213
15．5．1　策劃 213
15．5．2　開(kāi)發(fā) 213
15．5．3　驗(yàn)證 213
15．5．4　脆弱性 214
15．5．5　類(lèi)型安全 214
15．5．6　相關(guān)技術(shù) 214
15．5．7　常見(jiàn)問(wèn)題 214
15．6　OOT建議 215
15．7　結(jié)論 215
第16章 DO-333和形式化方法 216
16．1　形式化方法介紹 216
16．2　什么是形式化方法 217
16．3　形式化方法的潛在好處 218
16．4　形式化方法的挑戰(zhàn) 219
16．5　DO-333概覽 220
16．5．1　DO-333的目的 220
16．5．2　DO-333與DO-178C的比較 220
16．6　其他資源 222
第五部分 特別專(zhuān)題
第17章 未覆蓋代碼（關(guān)、效和非激活代碼） 224
17．1　引言 224
17．2　關(guān)和效代碼 224
17．2．1　避免關(guān)和效代碼的晚發(fā)現(xiàn) 225
17．2．2　評(píng)價(jià)關(guān)或效代碼 225
17．3　非激活代碼 227
17．3．1　策劃 229
17．3．2　開(kāi)發(fā) 229
17．3．3　驗(yàn)證 230
第18章 現(xiàn)場(chǎng)可加載軟件 231
18．1　引言 231
18．2　什么是現(xiàn)場(chǎng)可加載軟件 231
18．3　現(xiàn)場(chǎng)可加載軟件的好處 231
18．4　現(xiàn)場(chǎng)可加載軟件的挑戰(zhàn) 232
18．5　開(kāi)發(fā)和加載現(xiàn)場(chǎng)可加載軟件 232
18．5．1　開(kāi)發(fā)系統(tǒng)成為現(xiàn)場(chǎng)可加載的 232
18．5．2　開(kāi)發(fā)現(xiàn)場(chǎng)可加載軟件 233
18．5．3　加載現(xiàn)場(chǎng)可加載軟件 233
18．5．4　修改現(xiàn)場(chǎng)可加載軟件 234
18．6　總結(jié) 234
第19章 用戶(hù)可修改軟件 235
19．1　引言 235
19．2　什么是用戶(hù)可修改軟件 235
19．3　UMS例子 236
19．4　為UMS設(shè)計(jì)系統(tǒng) 236
19．5　修改和維護(hù)UMS 238
第20章 實(shí)時(shí)操作系統(tǒng) 240
20．1　引言 240
20．2　什么是RTOS 240
20．3　為什么使用RTOS 241
20．4　RTOS內(nèi)核及其支持軟件 241
20．4．1　RTOS內(nèi)核 242
20．4．2　應(yīng)用編程接口 242
20．4．3　主板支持包 243
20．4．4　設(shè)備驅(qū)動(dòng) 243
20．4．5　支持庫(kù) 244
20．5　安全關(guān)鍵系統(tǒng)中使用的RTOS的特性 244
20．5．1　確定性 244
20．5．2　可靠的性能 244
20．5．3　硬件兼容 244
20．5．4　環(huán)境兼容 244
20．5．5　容錯(cuò) 244
20．5．6　健康監(jiān)控 245
20．5．7　可審定 245
20．5．8　可維護(hù) 245
20．5．9　可復(fù)用 246
20．6　安全關(guān)鍵系統(tǒng)中使用的RTOS的特征 246
20．6．1　多任務(wù) 246
20．6．2　有保證和確定性的可調(diào)度性 246
20．6．3　確定性的任務(wù)間通信 248
20．6．4　可靠的內(nèi)存管理 248
20．6．5　中斷處理 248
20．6．6　鉤子函數(shù) 249
20．6．7　健壯性檢查 249
20．6．8　文件系統(tǒng) 249
20．6．9　健壯分區(qū) 249
20．7　需考慮的RTOS問(wèn)題 250
20．7．1　要考慮的技術(shù)問(wèn)題 250
20．7．2　要考慮的合格審定問(wèn)題 252
20．8　其他的RTOS相關(guān)話(huà)題 254
20．8．1　ARINC 653概覽 254
20．8．2　工具支持 256
20．8．3　開(kāi)源RTOS 256
20．8．4　多核處理器、虛擬化和虛擬機(jī)管理器 257
20．8．5　保密性 257
20．8．6　RTOS選擇問(wèn)題 257
第21章 軟件分區(qū) 258
21．1　引言 258
21．1．1　分區(qū)：保護(hù)的一個(gè)子集 258
21．1．2　DO-178C和分區(qū) 258
21．1．3　健壯分區(qū) 259
21．2　共享內(nèi)存（空間分區(qū)） 260
21．3　共享中央處理器（時(shí)間分區(qū)） 261
21．4　共享輸入/輸出 262
21．5　一些與分區(qū)相關(guān)的挑戰(zhàn) 262
21．5．1　直接內(nèi)存訪(fǎng)問(wèn) 262
21．5．2　高速緩存 263
21．5．3　中斷 263
21．5．4　分區(qū)之間通信 263
21．6　分區(qū)的建議 264
第22章 配置數(shù)據(jù) 268
22．1　引言 268
22．2　術(shù)語(yǔ)和例子 268
22．3　DO-178C關(guān)于參數(shù)數(shù)據(jù)的指南總結(jié) 269
22．4　建議 270
第23章 航空數(shù)據(jù) 274
23．1　引言 274
23．2　DO-200A：航空數(shù)據(jù)處理標(biāo)準(zhǔn) 274
23．3　FAA咨詢(xún)通告AC 20-153A 277
23．4　用于處理航空數(shù)據(jù)的工具 278
23．5　與航空數(shù)據(jù)相關(guān)的其他工業(yè)文件 278
23．5．1　DO-201A：航空信息標(biāo)準(zhǔn) 279
23．5．2　DO-236B：航空系統(tǒng)性能最低標(biāo)準(zhǔn)：區(qū)域?qū)Ш揭蟮膶?dǎo)航性能 279
23．5．3　DO-272C：機(jī)場(chǎng)地圖信息的用戶(hù)需求 279
23．5．4　DO-276A：地形和障礙數(shù)據(jù)的用戶(hù)需求 279
23．5．5　DO-291B：地形、障礙和機(jī)場(chǎng)地圖數(shù)據(jù)互換標(biāo)準(zhǔn) 279
23．5．6　ARINC 424：導(dǎo)航系統(tǒng)數(shù)據(jù)庫(kù)標(biāo)準(zhǔn) 279
23．5．7　ARINC 816-1：機(jī)場(chǎng)地圖數(shù)據(jù)庫(kù)的嵌入式互換格式 280
第24章 軟件復(fù)用 281
24．1　引言 281
24．2　設(shè)計(jì)可復(fù)用構(gòu)件 282
24．3　復(fù)用先前開(kāi)發(fā)的軟件 285
24．3．1　為在民用航空產(chǎn)品中使用而評(píng)價(jià)PDS 285
24．3．2　復(fù)用未使用DO-178[ ]開(kāi)發(fā)的PDS 289
24．3．3　COTS軟件的額外考慮 290
24．4　產(chǎn)品服役歷史 292
24．4．1　產(chǎn)品服役歷史的定義 292
24．4．2　使用產(chǎn)品服役歷史尋求置信度的困難 292
24．4．3　使用產(chǎn)品服役歷史聲明置信度時(shí)考慮的因素 292
第25章 逆向工程 294
25．1　引言 294
25．2　什么是逆向工程 294
25．3　逆向工程的例子 295
25．4　逆向工程時(shí)要考慮的問(wèn)題 295
25．5　逆向工程的建議 296
第26章 外包和離岸外包軟件生命周期活動(dòng) 301
26．1　引言 301
26．2　外包的原因 302
26．3　外包的挑戰(zhàn)和風(fēng)險(xiǎn) 302
26．4　克服挑戰(zhàn)和風(fēng)險(xiǎn)的建議 305
26．5　總結(jié) 311
附錄A 轉(zhuǎn)換準(zhǔn)則舉例 312
附錄B 實(shí)時(shí)操作系統(tǒng)關(guān)注點(diǎn) 318
附錄C 為安全關(guān)鍵系統(tǒng)選擇實(shí)時(shí)操作系統(tǒng)時(shí)考慮的問(wèn)題 321
附錄D 軟件服役歷史問(wèn)題 324
縮略語(yǔ) 327
參考文獻(xiàn) 332