12应用软件要求,包括工具软件的选择准则

GB/T.1-的第12章并不对SIL3和较低SIL的应用软件设计方法加以区别,因为经验表明当使用以下工具时,两种方法之间的差别不大:

——FPL或LVL;

——符合GB/T.1的逻辑解算器;

——相应的安全手册。

对不同SIL的测试和验证可能会有差异。这方面的指南可参见本部分的12.7.2.3。

12.1应用软件安全生命周期要求

12.1.1目的

12.1.1.1见GB/T.1。

12.1.2要求

12.1.2.1见GB/T.1。

12.1.2.2注1和注2:当应用软件的设计、实现、验证和确认使用有限可变语言,比如GB/T.3中的梯形图或者功能块图时,则只需应用图3中所示标准软件“V”模型的两层。在这种情况下,假定使用的功能块符合GB/T.3-,则:

——在某种程度上，每个SIF的软件使用“应用软件结构设计”可保证软件设计同硬件结构相一致;

——“应用软件开发”被解释为使用符合GB/T.3-和GB/T.4-的有限可变语言的安全逻辑的设计和实现;

——“应用软件测试”被解释为应用软件的验证和测试;

——“应用软件同SIS子系统的集成”被解释为使用有限可变语言实现的每个过程安全功能的集成和验证。

在附录D中给出了使用符合GB/T-SIL3的一个PLC的应用软件开发生命周期的例子。

在使用符合GB/T-的有限可变语言元素来实现一个新的“功能”或者“功能块”的情况下(例如通用燃烧器联锁序列或者泵联锁序列),则:

——“V”模型中的“应用程序模块开发”被解释成新功能的设计和实现;

——“应用程序模块测试”被解释成新功能的验证和测试。

在用全可变语言编写一个新功能,并因此需要开发软件代码的情况下,正如“V”模型(图3)指出的那样,开发者应遵守GB/T.3-所定义的所有生命周期阶段和规程。

注:除非另有说明，本图中的条文号指的是GB/T.1中的条文号。

图3软件开发生命周期(V模型)

12.1.2.3见GB/T.1。

12.1.2.4选择方法、技术和工具的一些考虑：

为了选择有助于软件达到所要求的质量的方法、技术和工具,应考虑应用软件的下列关键质量参数:

——简明性;

——合适的注释和自然语言的支持;

——用于反映应用的分类法;

——测试覆盖率;

——在支持过程中所涉及到的人员的易理解性;

——与其他相关应用软件风格的通用性。识别重要参数的方法包括:

——同风险承担者进行讨论,包括操作和维护;

——复审当前作法和工业标准;

——复审厂商的建议;

——分析早先的经验;

——与同行进行讨论。

为使重要的质量参数最佳,在选择方法、技术和工具时应考虑以下问题。

在开发过程中,所选择的方法、技术和工具应使在应用软件中引人故障的风险降到最低。应考虑的内容包括:

——定义明确的语法和语义;

——应用程序的适用性;

——对应用程序开发人员的易理解性;

——对SIF有重大影响的属性(例如最坏情况执行时间)的保证;

——在类似应用中成功使用的证据:

——针对限制使用该方法的“非安全”特性的规则和约束。

应选择一些用于实现这些方法和技术的工具,以便在这些方法和技术的实际应用中减少人为误差。应考虑的内容包括:

——这些工具应被开发团队的相关成员所熟悉;

——在类似应用中成功使用这些工具的证据;

——针对限制使用这些工具的“非安全”特性的规则和约束;

——所有工具和SIS的准确版本的文档化清单;

——不同工具之间以及不同工具和SIS之间的可兼容性;

——可生成应用软件文档的能力。

在生命周期阶段使用的工具的典型例子包括:

——应用程序代码生成器;

——配置管理;

——静态分析器(例如工位名检查程序、扫描时间检查程序);

——仿真器;

——测试装置,包括软件测试程序;

——工程师站。

还应考虑到的其他方法、技术和工具包括尺度测量(例如测试覆盖率)和为了增强功能的验证而使用的不同的工具(例如背对背工具)。

为了发现并消除软件中已有的故障,建议在整个开发生命周期各阶段都进行验证。典型的方法在12.7.2.3中描述。

为了确保软件中残留的故障不会导致不可接受的后果,需考虑:

——在线检查技术和异常处理;

——供方场外数据库和全局故障报告的使用;

——SIS故障报告和过程问题及它们对SIS的影响的监视；

——在其他系统中对SIS关键功能性的镜像;

——在培训过程中SIS应用软件副本的使用。

为了保证能在整个SIS生存期进行软件维护,需考虑以下几项:

——更改管理的程序(见GB/T.1-的第17章);

——进行中的管理支持和维护培训;

——在整个SIS生存期中支持工具和开发平台的可用性;

——促进足够的人力资源和技术贯穿SIS整个生命周期的方法，这些方法是成文并适宜被广泛使用的;

——针对便于理解和限制软件更改的影响的开发和文档编制规则的使用;

——“初建的”和最新的文档集;

——开发能力和离线测试能力。

12.1.2.5见GB/T.1。

12.1.2.6见GB/T.1。

12.1.2.7见GB/T.1。

12.1.2.8见GB/T.1。