EJT 1058.2-2005核电厂安全系统计算机软件 第2部分：预防软件导致的共因故障、软件工具和预开发软件的使用.pdf

ICS 27. 120. 99 ;35. 080F 82EJ备案号：15840-2005中华人民共和国核行业标准EJ/T 1058. 2 --2005核电厂安全系统计算机软件第2部分：预防软件导致的共因故障、软件工具和预开发软件的使用Software for computers impotant to safety for nuclear power plants -Part2: Software aspects of defence against common cause failure, useof software tools and of pre-developed software(IEC 60880-2: 2000， M0D发布2005—0701实施国防科学技术工业委员会发布 EJ/T 1058. 2-2005目次前言1范围2规范性引用文件术语和定义要求和建议4.1防止软件导致的共因故障4.2用于软件开发的软件工具4.3预开发软件的鉴定附录A(资料性附录)共因故障应考虑的事项和多样性17附录B(资料性附录)EJ/T1058-1998对软件工具使用和鉴定的要求.20附录C(资料性附录)用于编制和检查技术规格书、设计文件和代码的工具21附录D(资料性附录）EJ/T1058-1998关于预开发软件的要求，23 EJ/T 1058. 2-20054.2.3.2工具的鉴定4.2.3.2.1应确定工具鉴定的策略方针并在对工具进行鉴定时遵照执行。该策略方针应考虑工具的可靠性要求和工具的类型。4.2.3.2.2确定工具的可靠性要求时应考虑如下因素：a）工具的缺陷会导致什么后果；b)工具引起或诱导执行安全功能软件中的缺陷的可能性；是否有其他工具或方法能减轻工具中缺陷的后果。注：采用级深防御原则和多样性原侧可以降低对工具可靠性的要求。4.2.3.2.3工具鉴定的策略方针应考虑：a）对工具开发过程和工具供货商历史的分析；(q足以保证对工具的输出进行验证和便于学习用的工具文件适宜性：对工具的测试或确认；(p使用一段时间后对工具的评价；e）工具使用经验反馈。注：4.3关于对预开发软件使用的鉴定要求也宜考虑作为工具鉴定策略方针。4.2.3.2.4如果最终的软件要包括工具的输出，宜系统地对工具的输出进行验证（例如通过测试、分析或与功能相似软件的输出进行比较）。4.2.3.2.5如果工具的输出会引入缺陷到最终软件而且没有系统地对工具的输出进行验证，以及如果没有（通过多样性方法或系统设计）对工具缺陷采取减缓措施，就应按4.3的要求对软件工具进行验证和评价或按EJ/T1058一1998的要求进行工具开发。对于那些先前为在相同类别（即有类似的故障4.2.3.3工具的配置管理4.2.3.3.1全部工具都应处于配置管理之下以保证完全地鉴别所选择的工具（包括名称、版本、修改和可能的配置）和用于生成基推软件的工真参数。注：这一一要求不只是对最终软件的一致性有用。它还有助于评价源代码、工具或工具参数中的缺陷的起源。可能还需要它来评价由软件工具导致的潜在共因故障。4.2.3.3.2对于那些其输出会把缺陷引入最终软件的工具，应在工具的整个生存周期内对关于其错误历史和局限性的文件记录进行维护。4.2.3.3.3对工具的任何修改都应进行验证和评价。4.2.3.4翻译程序/编译程序本条给出了与翻译程序/编译程序有关的特殊要求。许多编译程序的大小和复杂性使得非常难以论证该编译程序能正确地工作。然而大量的使用经验能增强对该编译程序正确工作的信任，4.2.3.4.1宜在本条说明的关于翻译程序/编译程序的指导准则的基础上选择翻译程序/编译程序（本条补充了EJ/附录D的要求）。4.2.3.4.2翻译程序/编译程序不应不给出警告提示就把程序设计者弓1进的防御程序或错误检查特性删除。4.2.3.4.3宜避免使用编译程序最优化。如果产生的目标代码非常难以理解、调试测试和确认测试就不应使用编译程序最优化。注：如由于受到硬件速度和存储容量的限制可采用代码最优化以满足性能要求。在一些例外的情况下，除了改变硬件平台外可以考患采用汇编代码作为替代。4.2.3.4.4如果采用了最优化，应对最优化的代码进行试、验证和/或确认。8 EJ/T 1058. 2-20054.2.3.4.5应把用于目标系统的库作为预开发软件组件的组成部分。对库中使用的组件应进行评价与鉴定并按与4.3对预开发软件鉴定相一致的要求来使用。4.2.3.4.6为保证由翻译程序引入的不能直接用源代码行语句（例如错误检查代码、错误和异常处理代码、初始化代码）描述的附加代码（汇编指令）是正确的，应进行测试、验证和确认。4.2.3.5应用数据工具基于计算机的安全系统通常需要应用数据来定义应用功