10.3.1 目的
分析软件设计,保证安全性需求的实现正确性和可测试性,以及安全关键软件部件和模块标识的正确性,并对软件设计是否维持系统处于安全状态,是否对潜在失效提供正确充分的响应进行复核。
10.3.2 工作项目要点
10.3.2.1 软件设计中,应将软件的安全性需求分配到软件的各个层次,并实现全部的软件安全性需求。
10.3.2.2 软件设计应标识用于实现软件安全性需求的安全性设计方法(例如:约束、失效检测与恢复、互锁、断言)。
10.3.2.3 软件设计应使软件安全性需求可以得到完全测试。
10.3.2.4 实现安全性关键需求的设计元素(部件、单元或数据),或是由于失效或其他机制能够对安全性关键元素造成影响的设计元素,应被设定为安全性关键的设计元素,并在软件设计文档中给出明确标识。
10.3.2.5 软件设计安全性分析至少应包括下述内容:
a) 验证软件设计满足 10.3.2.1~10.3.2.4 提出的全部要求;
b) 验证因设计附加的全部危险、危险原因或危险激励因素均被记录在文档中;
c) 验证在任何运行模式下,软件设计可将系统维持在一个安全的状态;
d) 设计分析至少应考虑时序约束、硬件失效、故障迁移、通讯、中断、并发、事件序列、容错、不利的外部环境、非法输入和信息流等因素;
e) 验证设计足以保证安全功能的完成;
f) 前期的安全性分析结果,如故障模式与影响及危害性分析、故障树分析等系统危险分析,应作为确定防止、减轻或控制失效和故障的设计特征,以及应考虑的失效/故障组合级别(如:某个软件和硬件都失效或多个硬件同时失效)的依据;
g) 验证在设计中使用的隔离方法足以保证安全性关键设计与非安全性关键设计的隔离;
h) 验证所有的安全性关键设计元素均可追溯软件安全性需求,反之亦然。
10.3.2.6 软件安全性设计与分析的结果应在《软件设计说明》(见 GJB 438B-2009 规定)中以独立条款明确,并通过正式项目评审,纳入配置管理。
10.3.3 注意事项
主要包括:
a) 应明确采用的分析技术;
b) 应包括全部新标识出的危险;
c) 必要时进行第三方独立分析。
