5.2.1 总则
SQA 人员应依据 SQA 计划,对照 GJB 2786A-2009 和其他适用的标准和规程等定期或事件驱动地进行软件过程审核,以保证:
a) 所采用的软件生存周期过程符合合同和标准等要求,并按照软件开发计划执行;
b) 软件工程环境(包括测试环境)符合合同要求;
c) 适用的合同要求传达到分承制方,并且分承制方的软件产品满足合同的要求;
d) 需方和利益相关方得到合同和计划所要求的支持和合作;
e) 软件产品和过程的测量符合所规定的标准和规程等;
f) 软件项目组成员具有满足项目所需要的知识和技能。
5.2.2 项目策划和监控
5.2.2.1 项目策划
SQA 人员应对照合同、项目策划适用的标准和规程等,通常在项目策划活动发生时或发生后,通过检查策划活动的记录及工作产品(如软件开发计划)等方式,对项目策划活动进行审核。SQA 人员应重点关注:
a) 项目估计活动的规范性;
b) 项目策划活动的规范性;
c) 项目策划内容的完备性;
d) 项目的生存周期模型、里程碑、工作产品等与合同及相关标准的符合性;
e) 软件开发计划是否经过需方和利益相关方的评审或认可。项目策划活动检查项参见附录 B 的表 B.1。
5.2.2.2 项目监控
SQA 人员应对照软件开发计划、项目监控适用的标准和规程等,在项目生存周期内通过检查项目监控活动记录或直接参与活动等方式,对项目监控活动进行审核。SQA 人员应重点关注:
a) 软件开发计划中各项内容按规定的时机和方式进行监控的情况;
b) 定期跟踪项目进展活动的规范性;
c) 里程碑跟踪活动的规范性;
d) 计划执行偏差的识别、分析及应对措施的规范性和正确性;
e) 对利益相关方参与情况的跟踪;
f) 相关计划变更的及时性和规范性。
SQA 人员对项目监控活动的审核可以事件驱动或定期进行。对周期性的项目监控活动,可采取抽样的方式进行审核。项目监控活动检查项参见附录 B 的表 B.2。
5.2.3 软件开发环境建立
SQA 人员应对照软件开发计划、软件开发环境建立适用的标准和规程等,在项目生存周期内,通过对软件实际开发活动及软件配置管理活动等的审核,对软件开发环境建立活动进行审核。其中软件开发环境包括 GJB 2786A-2009 规定的软件工程环境(包括测试环境等)、软件开发资料库和软件开发文件 (SDF)等。
注:软件开发资料库用于管理软件、文档、其他中间的和最终的软件产品,以及相关的用以促进软件的有序开发和
后续保障的工具和方法,可以是软件工程环境的组成部分。软件开发资料库包括软件配置管理的对象。
SQA 人员应重点关注:
a) 软件工程环境策划、设计、安装的规范性;
b) 软件工程环境变更过程的规范性;
c) 软件工程环境的验证和确认情况;
d) 实际使用的软件工程环境与软件开发计划要求的一致性;
e) 软件工程环境的配置管理情况;
f) 项目所需非交付软件的准备等。
在项目策划活动期间,SQA 人员应通过对软件开发计划的审核,对项目选用的软件工程环境(包括测试环境)进行审核,确保项目选用的软件工程环境符合合同要求;应通过对软件配置管理计划的审核,确保项目已明确了软件工程环境的受控方式和时机。
在项目生存周期内,SQA 人员应通过对技术文档的审核和实际工程活动的审核,确保项目实际使用的软件工程环境与软件开发计划中选用的软件工程环境一致,确保软件开发资料库和软件开发文件得以建立、控制和维护;通过对软件配置管理活动的审核,确保项目选用的软件工程环境,按照软件配置管理计划中的规定,受到了及时的管理和控制。
5.2.4 系统需求分析
SQA 人员应对照合同、系统需求分析适用的标准和规程等,在系统需求分析期间,通过检查软件开发人员参与系统需求分析活动的记录及系统需求分析活动的工作产品等方式,对系统需求分析活动进行审核。SQA 人员应重点关注:
a) 需方、用户及其他利益相关方原始需求的收集和整理的情况;
b) 软件开发人员参与用户要求分析、运行方案定义以及系统需求定义的情况;
c) 软件开发人员参与运行方案说明(OCD)和系统/子系统规格说明(适用时包括接口需求规格说明)评审的情况;
d) 运行方案说明(OCD)和系统/子系统规格说明等受控情况。系统需求分析活动检查项参见附录 B 的表 B.3 中的相关内容。
5.2.5 系统设计
SQA 人员应对照系统/子系统规格说明、系统设计适用的标准和规程等,在系统设计期间,通过检查软件开发人员参与系统设计活动的记录及系统设计活动的工作产品等方式,对系统设计活动进行审核。SQA 人员应重点关注:
a) 软件开发人员参与系统级设计决策及系统体系结构设计的情况;
b) 系统设计是否明确了分配给软件的需求;
c) 软件开发人员参与系统/子系统设计说明(适用时包括接口设计说明和数据库设计说明)评审的情况;
d) 系统/子系统设计说明等受控的情况;
e) CSCI 功能基线建立的及时性和规范性。
合同或软件研制任务书(根据系统/子系统设计说明中分配给软件的需求等确定),宜经软件开发人员、用户、需方以及其他利益相关方评审或认可,通过后应受控,并建立 CSCI 功能基线。系统设计活动检查项参见附录 B 的表 B.4 中的相关内容。
5.2.6 软件需求分析
SQA 人员应对照合同、软件开发计划、软件需求分析适用的标准和规程等,在软件需求分析活动期间,通过检查软件需求分析活动的记录及工作产品等方式,对软件需求分析活动进行审核。SQA 人员应重点关注:
a) 软件需求分析活动与软件开发计划的一致性;
b) 是否定义和记录了CSCI要满足的需求;
c) 是否定义和记录了每项需求得以满足所使用的方法;
d) 是否定义和记录了CSCI需求与合同之间的可追踪性;
e) 软件需求规格说明(适用时包括接口需求规格说明)是否经过了利益相关方评审,并得到用户或需方认可;
f) 软件需求规格说明等受控的情况;
g) CSCI 分配基线建立的及时性和规范性。软件需求规格说明通过评审或认可后,应受控并建立 CSCI 分配基线。软件需求分析活动检查项参见附录 B 的表 B.5 中的相关内容。
5.2.7 软件设计
SQA 人员应对照软件需求规格说明、软件开发计划、软件设计适用的标准和规程等,在软件设计活动期间,通过检查软件设计活动的记录及工作产品等方式,对软件设计活动进行审核。SQA 人员应重点关注:
a) 软件设计活动与软件开发计划的一致性;
b) CSCI 级设计决策过程的规范性;
c) 是否定义和记录了CSCI级设计决策和CSCI的体系结构设计;
d) 是否编写和记录了每个软件单元的说明;
e) 软件设计说明(适用时包括接口设计说明和数据库设计说明)是否经过了利益相关方评审;
f) 软件设计说明等受控的情况。软件设计活动检查项参见附录 B 的表 B.6 中相关内容。
5.2.8 软件实现和单元测试
SQA 人员应对照软件设计说明(详细设计部分)、软件开发计划、软件实现和单元测试适用的标准和规程等,在软件实现和单元测试活动期间,通过检查软件实现和单元测试活动的记录及工作产品等方式,对软件实现和单元测试活动进行审核。SQA 人员应重点关注:
a) 软件实现和单元测试活动与软件开发计划的一致性;
b) 是否开发和记录了与CSCI设计中每个软件单元相对应的程序;
c) 软件实现是否遵循相应的标准和准则;
d) 是否按计划进行单元测试;
e) 是否对测试发现的问题进行了回归测试并对相应软件开发文件等进行了修改;
f) 是否记录了单元测试活动;
g) 是否分析和记录了单元测试结果;
h) 单元测试活动与相关标准的符合性;
i) 软件代码、单元测试计划、单元测试说明、单元测试报告及单元测试记录等的受控情况。对于规模较大的软件,可以使用抽样方法对软件代码进行审查,抽样准则应在 SQA 计划中明确。软件实现和单元测试活动检查项参见附录 B 的表 B.7 中相关内容。
5.2.9 单元集成和测试
SQA 人员应对照软件开发计划、软件设计说明(概要设计部分)、单元集成和测试适用的标准和规程等,在单元集成和测试活动期间,通过检查单元集成和测试活动的记录及工作产品等方式,对单元集成和测试活动进行审核。SQA 人员应重点关注:
a) 单元集成和测试活动与软件开发计划的一致性; b) 单元集成和测试策划活动的规范性;
c) 是否按计划进行了单元集成和测试;
d) 被集成单元是否经过验证;
e) 重用单元是否经过评价或验证;
f) 是否记录了单元集成和测试活动;
g) 是否记录和分析了单元集成和测试的结果;
h) 是否对测试发现的问题进行了回归测试并对相应软件开发文件等进行了修改;
i) 单元集成和测试活动与相关标准的符合性;
j) 软件代码、单元集成和测试计划、单元集成和测试说明、单元集成和测试报告及单元集成和测试记录等的受控情况。单元集成和测试活动检查项参见附录 B 的表 B.8。
5.2.10 CSCI 合格性测试
SQA 人员应对照软件开发计划、软件需求规格说明和 CSCI 合格性测试适用的标准和规程等,在CSCI 合格性测试过程中,通过检查 CSCI 合格性测试活动的记录及其工作产品等方式,对 CSCI 合格性测试活动进行审核。SQA 人员应重点关注:
a) CSCI 合格性测试活动与软件开发计划的一致性;
b) CSCI 合格性测试策划活动的规范性;
c) CSCI 合格性测试人员的独立性;
d) CSCI 合格性测试的测试环境与合同或计划要求的一致性;
e) 是否按计划进行了CSCI合格性测试;
f) CSCI 合格性测试过程与相关标准的符合性;
g) 是否记录了CSCI合格性测试活动;
h) 是否分析和记录了CSCI合格性测试的结果;
i) 是否对测试发现的问题进行了回归测试并对相应软件开发文件等进行了修改;
j) 软件代码、CSCI合格性测试计划、CSCI合格性测试说明、CSCI合格性测试报告及CSCI合格性测试活动记录等的受控情况。
CSCI 合格性测试或系统合格性测试后,一般宜建立 CSCI 产品基线。软件交付前,产品基线应已建立。
CSCI 合格性测试活动的检查项参见附录 B 的表 B.9。
5.2.11 CSCI/HWCI 集成和测试
SQA 人员应对照软件开发计划、系统/子系统设计说明和 CSCI/HWCI 集成和测试适用的标准和规程等,在 CSCI/HWCI 集成和测试过程中,通过检查 CSCI/HWCI 集成和测试活动的记录及工作产品等方式,对 CSCI/HWCI 集成和测试活动进行审核。SQA 人员应重点关注:
a) 软件开发人员参与CSCI/HWCI集成和测试策划的情况;
b) 软件开发人员参与CSCI/HWCI集成和测试活动的情况;
c) 被集成的CSCI是否经过合格性测试;
d) 外购或重用的CSCI是否经过评价或验证;
e) CSCI/HWCI 集成和测试过程与相关标准的符合性;
f) 软件开发人员参与CSCI/HWCI集成和测试结果分析的情况;
g) 软件开发人员是否参与了回归测试并对相应软件开发文件等进行了修改; h) 软件开发人员是否将CSCI/HWCI集成和测试活动中与软件有关的信息记录在相应的软件开发文件(SDF)中;
i)软件代码、CSCI/HWCI集成和测试计划、CSCI/HWCI集成和测试说明、CSCI/HWCI集成和测试报告及 CSCI/HWCI 测试记录等的受控情况。 CSCI/HWCI 集成和测试活动的检查项参见附录 B 的表 B.10。
5.2.12 系统合格性测试
SQA 人员应对照软件开发计划、系统/子系统规格说明、系统合格性测试适用的标准和规程等,在系统合格性测试过程中,通过检查系统合格性测试活动的记录及工作产品等方式,对系统合格性测试活动进行审核。SQA 人员应重点关注:
a) 软件开发人员参与系统合格性测试策划的情况;
b) 软件开发人员参与系统合格性测试活动的情况;
c) 系统合格性测试是否在目标机上进行;
d) 系统合格性测试人员的独立性;
e) 系统合格性测试过程与相关标准的符合性;
f) 软件开发人员参与系统合格性测试结果分析的情况;
g) 软件开发人员是否参与回归测试并对相应软件开发文件等进行了修改;
h) 软件开发人员是否将系统合格性测试活动中与软件有关的信息记录在相应的软件开发文件(SDF)中;
i) 软件代码、系统合格性测试计划、系统合格性测试说明、系统合格性测试报告及系统合格性测试记录等的受控情况。系统合格性测试活动的检查项参见附录 B 的表 B.11。
5.2.13 软件使用准备
SQA 人员应对照合同、软件开发计划和软件使用准备适用的标准和规程等,在软件使用准备过程中,通过检查软件使用准备活动的记录及工作产品等方式,对软件使用准备活动进行审核。SQA 人员应重点关注:
a) 可执行软件与软件产品规格说明(SPS)的一致性;
b) 可执行软件版本的正确性;
c) 提供的用户手册种类的齐全性和规范性;
d) 安装和检测可执行软件的环境与合同要求的一致性;
e) 为用户提供培训和其他服务与合同的符合性。
5.2.14 软件移交准备
SQA 人员应对照软件开发计划或软件移交计划,以及软件移交准备适用的标准和规程等,在软件移交准备过程中,通过检查软件移交准备活动的记录及工作产品等方式,对软件移交准备活动进行审核。 SQA 人员应重点关注:
a) 移交的可执行软件和源文件的齐全性;
b) 可执行软件和源文件与软件产品规格说明(SPS)的一致性;
c) 可执行软件版本的正确性;
d) 可执行软件与软件设计说明的一致性;
e) 可执行软件与系统/子系统设计说明的可追踪性;
f) 提供的文档与移交软件的一致性;
g) 系统/子系统设计说明与“已建成”的系统一致性;
h) 交付的软件在合同指定的条件下重新生成(即编译/连接/装载成一个可执行的产品)和维护的演示情况;
i) 保障手册的种类和内容与合同要求的符合性;
j) 为保障机构提供培训和其他服务与合同的符合性。
5.2.15 软件验收支持
SQA 人员应对照合同、软件开发计划以及软件验收支持适用的标准和规程等,在软件验收支持过程中,通过检查软件验收支持活动的记录及工作产品等方式,对软件验收支持活动进行审核。SQA 人员应重点关注:
a) 软件验收支持活动与软件开发计划或软件验收计划的一致性;
b) 申请软件验收手续的规范性;
c) 是否按合同要求为需方进行软件验收测试、评审和审核提供了支持;
d) 是否按软件验收测试、评审和审核的结果对软件产品进行了修改;
e) 是否将软件验收测试、评审和审核的结果记录在软件开发文件(SDF)中;
f) 是否按合同要求为软件产品定型提供有关文档;
g) 是否按合同要求为需方和软件用户提供必要的培训。
5.2.16 软件配置管理
SQA 人员应对照软件开发计划或软件配置管理计划,以及软件配置管理适用的标准和规程等,在项目生存周期内,通过检查软件配置管理活动的记录及工作产品,或直接参与软件配置管理活动等方式,对软件配置管理活动进行审核。SQA 人员应重点关注:
a) 配置管理活动与软件开发计划或软件配置管理计划的一致性;
b) 配置标识的规范性和完备性;
c) 配置控制活动(含变更控制、出入库控制、版本控制、存取控制等)对适用标准和规程的符合性;
d) 配置状态记录的完整性;
e) 配置项状态和更改申请状态等报告的及时性;
f) 基线发布的及时性;
g) 基线审核的规范性;
h) 可交付软件产品的包装、存储、处理和交付活动对适用标准和规程的的符合性。软件配置管理活动的检查项参见附录 B 的表 B.12。
5.2.17 软件产品评价
SQA 人员应对照软件开发计划和软件产品评价适用的标准和规程等,在项目生存周期内,通过检查软件产品评价活动的记录以及工作产品,或直接参与软件产品评价活动等方式,对软件产品评价活动进行审核。SQA 人员应重点关注:
a) 软件产品评价活动与软件开发计划的一致性;
b) 软件产品评价准则的适宜性;
c) 软件产品评价过程对适用标准和规程的符合性;
d) 评价过程中所发现问题处理的规范性;
e) 评价人员的独立性(一般不应是被评价产品的开发人员);
f) 在交付前,交付的所有软件工作产品是否进行了软件产品评价;
g) 评价记录的完整性和受控情况。软件产品评价活动的检查项参见附录 B 的表 B.13。
5.2.18 软件质量保证
负责审核 SQA 过程的人员应对照 SQA 计划和软件质量保证适用的标准和规程等,在项目生存周期内,定期或事件驱动地审核软件质量保证活动,建立并维护相关活动记录。负责审核 SQA 过程的人员应重点关注:
a) 软件质量保证活动与软件质量保证计划的一致性;
b) 软件质量保证过程对适用的标准和规程等的符合性;
c) 不符合项(问题)处理的规范性;
d) 软件质量保证活动记录的完整性和受控情况;
e) 软件质量保证人员在资源、职责和权限方面的独立性。软件质量保证活动的检查项参见附录 B 的表 B.14。
5.2.19 纠正措施
SQA 人员应对照合同或软件开发计划以及纠正措施活动适用的标准和规程等,在项目生存周期内,通过检查纠正措施活动的记录及其工作产品,或直接参与纠正措施活动等方式,对纠正措施活动进行审核。SQA 人员应重点关注:
a) 纠正措施活动对适用的标准和规程的符合性;
b) 问题/更改报告记录的完整性;
c) 问题分析及趋势预测情况;
d) 问题的关闭情况;
e) 纠正措施活动记录的完整性和受控情况。
纠正措施活动的检查项参见附录 B 的表 B.15。
5.2.20 联合评审
SQA 人员应对照软件开发计划和评审活动适用的标准和规程等,在项目生存周期内,通过检查联合评审活动的记录及其工作产品,或直接参与联合评审活动等方式,对联合评审(含联合技术评审和联合管理评审)活动进行审核。SQA 人员应重点关注:
a) 评审活动与软件开发计划的一致性;
b) 评审人员的适宜性;
c) 评审准备的充分性;
d) 评审方式的合理性;
e) 评审活动对适用的标准和规程的符合性;
f) 评审发现问题的关闭情况;
g) 评审记录的完整性和受控情况。联合评审活动的检查项参见附录 B 的表 B.16。
5.2.21 测量和分析
SQA 人员应对照软件开发计划以及测量和分析活动适用的标准和规程等,在项目生存周期内,通过检查测量和分析活动的记录及工作产品,或直接参与测量和分析活动等方式,对测量和分析活动进行审核。SQA 人员应重点关注:
a) 测量和分析活动与软件开发计划的一致性;
b) 测量和分析活动对适用的标准和规程的符合性;
c) 测量数据采集的及时性和正确性;
d) 测量数据与原始记录的一致性;
e) 测量数据分析的规范性;
f) 测量分析结果的通报和应用情况;
g) 测量数据的受控情况。
测量和分析活动检查项参见附录 B 的表 B.17。
5.2.22 风险管理
SQA 人员应对照软件开发计划以及风险管理活动适用的标准和规程等,在软件生存周期内,通过检查风险管理活动的记录及工作产品,或直接参与风险管理活动等方式,定期审核项目的风险管理活动。 SQA 人员应重点关注:
a) 风险管理活动与软件开发计划的一致性;
b) 风险管理过程对适用的标准和规程的符合性;
c) 风险管理策略的合理性;
d) 风险识别和分析情况;
e) 制定和实施风险缓解措施和应急措施的情况;
f) 风险监控的规范性和及时性;
g) 风险管理记录的完整性和受控情况。
风险管理活动检查项参见附录 B 的表 B.18。
5.2.23 保密性有关活动
SQA 人员应对照合同要求、保密条例以及保密性有关活动适用的标准和规程等,在项目生存周期内,通过检查保密性有关活动的记录及其工作产品等方式,对保密性有关活动进行审核。SQA 人员应重点关注:
a) 对合同中保密性要求的符合性;
b) 文档的降密或脱密处理与有关规定的符合性;
c) 涉密资料管理的规范性。
5.2.24 分承制方管理
SQA 人员应对照软件开发计划、合同管理规定以及分承制方管理活动适用的标准和规程等,在签订子合同、对分承制方开发过程监控和子合同验收时,通过检查分承制方管理活动的记录及其工作产品等方式,对分承制方管理活动进行审核。SQA 人员应重点关注:
a) 分承制方选择和合同签订活动的规范性;
b) 是否将所有相关的主合同要求纳入子合同;
c) 是否按照子合同要求对分承制方进行监督;
d) 子合同验收活动的规范性;
e) 分承制方管理活动记录的完整性和受控情况。
5.2.25 与软件独立验证和确认机构的联系
SQA 人员应依据合同规定和软件开发计划,在项目的整个生存周期内,通过检查与软件独立验证和确认机构的联系活动的记录及工作产品等方式,对与软件独立验证和确认机构的联系活动进行审核, SQA 人员应重点关注:
a) 独立验证和确认机构是否按照软件开发计划参与相关活动;
b) 是否按合同规定对独立验证和确认机构提供支持;
c) 与软件独立验证和确认机构的联系记录的完整性和受控情况。
5.2.26 与相关开发方的协调
SQA 人员应依据合同有关规定和软件开发计划,在项目的整个生存周期内,通过检查与相关开发方的协调活动的记录及工作产品等方式,对与相关开发方的协调活动进行审核,SQA 人员应重点关注:
a) 与相关开发方的协调活动与软件开发计划的一致性;
b) 相关开发方标识的完备性;
c) 与相关开发方协调时机的适宜性;
d) 与相关开发方协调结果的有效性;
e) 与相关开发方的协调活动记录的完整性和受控情况。
注:相关开发方指的是在同一个或有关的系统中承担与本软件相关的其他开发工作的组织,不包括本软件分承制方。
5.2.27 项目过程的改进
SQA 人员应依据软件开发计划和项目过程改进活动适用的标准和规程等,通过检查项目过程的改进活动的记录及工作产品,或直接参与项目过程的改进活动等方式,对项目过程的改进活动进行审核, SQA 人员应重点关注:
a) 是否定期评估项目所使用的过程;
b) 是否提出和实施了项目过程改进;
c) 项目过程改进活动记录的完整性和受控情况。
