Требования к программному обеспечению бортовой аппаратуры и систем КТ-178B, страница 4
Описание файла
PDF-файл из архива "Требования к программному обеспечению бортовой аппаратуры и систем КТ-178B", который расположен в категории "". Всё это находится в предмете "технология разработки программного обеспечения радиолокационных систем" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МАИ. Не смотря на прямую связь этого архива с МАИ, его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "технология разработки программного обеспечения радиолокационных систем" в общих файлах.
Просмотр PDF-файла онлайн
Текст 4 страницы из PDF
При проектировании защиты по методу обособления для оценки потенциальнойвозможности нарушения обособления следует учесть следующие характеристики системы:(1) ресурсы аппаратного обеспечения: процессоры, память, устройства ввода/вывода,прерывания и таймеры,(2) связь по управлению: уязвимость к доступу извне,(3) связь по данным: общие или перекрывающиеся данные, включая стеки и регистрыпроцессора,(4) отказные режимы работы аппаратного обеспечения, связанные с действиеммеханизмов защиты.b.
Процессы жизненного цикла ПО должны учитывать проектные решения, связанные сприменением метода обособления, включая степень и область взаимодействия, которыеразрешены для обособленных компонент, а также способ реализации такой защиты: с помощьюаппаратных средств или с помощью сочетания аппаратных и программных средств.с. Если защита по методу обособления связана с использованием ПО, то такомупрограммному обеспечению следует назначать уровень ПО, соответствующий наивысшему изуровней обособленных компонент ПО.© НИИАО 2002.Формат А416КТ-178В________________________________________________________________________________2.3.2.
Многоверсионное разнородное ПОМноговерсионное разнородное ПО - это метод проектирования системы, связанный ссозданием двух или более его компонент, обеспечивающих выполнение одной и той же функциитаким образом, чтобы избежать источников общих ошибок для компонент.Этот метод называют также многоверсионным программным обеспечением, разнороднымпрограммным обеспечением, N-версионным кодированием или вариантным программнымобеспечением.Процессы жизненного цикла ПО, выполненные или начатые до применения методаразнородности, остаются потенциальными источниками ошибок.В требованиях к системе может оговариваться конфигурация аппаратных средств,обеспечивающая реализацию многоверсионного разнородного ПО.Степень разнородности и, следовательно, степень защиты, обычно не поддаетсяизмерению.Вероятность потери функции системы возрастает до величины, которая зависит отвероятности обнаружения с помощью непрерывного контроля разнородных версий ПОдействительных ошибок или переходных процессов, выходящих за пороги срабатыванияустройств сравнения.Поэтому разнородные версии ПО обычно используются в качестве средствадополнительной защиты, применяемой после того, как цели процесса верификации длярассматриваемого уровня ПО, описанные в разделе 6, удовлетворены.Если в процессе оценки безопасности системы можно в итоге показать приемлемостьпотенциальной утраты функции системы, то методы верификации многоверсионногоразнородного ПО могут быть сведены к методам верификации одноверсионного ПО.Верификация многоверсионного разнородного ПО рассмотрена в п.
12.3.3.2.3.3. Обеспечение безопасности с помощью непрерывного контроляНепрерывный контроль для обеспечения безопасности - это метод защиты от конкретныхотказных состояний с помощью непосредственного непрерывного контроля правильностивыполнения функции для отказов, которые могут способствовать возникновению отказногосостояния.Функции контроля могут быть реализованы с использованием аппаратных средств илисочетания аппаратных и программных средств.С помощью применения методов непрерывного контроля, уровень ПО контролируемойфункции может быть понижен до уровня, соответствующего утрате данной функции системы.Чтобы такое понижение стало допустимым, следует установить, что средство контроляобладает следующими тремя отличительными особенностями:а.
Уровень ПО. Программному обеспечению, осуществляющему контроль, назначенуровень ПО, соответствующий наиболее опасной категории отказного состояния из числа тех,которые связаны с выполнением контролируемой функции.b. Полнота контроля неисправностей системы. Оценка полноты контролянеисправностей системы контролирующим устройством гарантирует, что схема этого устройства иеё реализация таковы, что неисправности, подлежащие обнаружению, будут обнаружены при всехнеобходимых условиях.с. Независимость средств контроля и средств, обеспечивающих выполнениефункции.
Устройство контроля и защищаемая схема не теряют работоспособность в результатевозникновения одного и того же отказа, который вызывает опасную ситуацию.© НИИАО 2002.Формат А417КТ-178В________________________________________________________________________________2.4. Учет влияния системных аспектов на ПО, модифицируемоепользователем, опционное ПО и готовое коммерческое ПОВлияние модификаций, вносимых пользователями, устанавливается в процессе оценкибезопасности системы и используется для разработки требований к ПО, а затем и при разработкемероприятий процесса верификации.Проектирование ПО, модифицируемого пользователем, рассматривается далее в п.
5.2.3.Изменение, которое влияет на не модифицируемое программное обеспечение, егозащиту или на границы модифицируемого программного обеспечения, является модификациейПО и рассматривается в п. 12.1.1.В данном документе модифицируемой компонентой считается такая часть ПО, длякоторой предусмотрена возможность изменения пользователем, а не модифицируемой компонента, для которой такая возможность не предусмотрена.Некоторые бортовые системы могут выполнять опционные функции, выбор которыхосуществляется не с помощью программирующих контактов на штепсельных разъёмахаппаратуры, а с помощью специального ПО.Для выбора конкретной конфигурации ПО в целевом вычислителе используютсяспециальные функции программного обеспечения.Инструктивный материал по вопросу отключенного кода изложен в п.
5.4.3.Ниже приведены инструкции, относящиеся к ПО, модифицируемому пользователем,опционному ПО, и к готовому коммерческому ПО.а. ПО, модифицируемое пользователем. Если в требованиях к системе предусмотренавозможность модификации ПО пользователем, то он может в пределах установленныхограничений вносить изменения в программы без их повторного рассмотрения сертифицирующиморганом.b. В требованиях к системе следует четко оговорить меры, предотвращающиевозможность влияния внесенных пользователем изменений на безопасность, вне зависимости оттого, правильно или нет реализуются такие изменения.Программам, которые обеспечивают защиту от ошибок при внесении измененийпользователем, следует назначать тот же уровень ПО, что и программам в модифицируемойкомпоненте, которые они защищают.с. Если в требованиях к системе не предусмотрена её модификация пользователем, то онне должен вносить изменения в ПО без демонстрации их соответствия данному документу.d. На период времени, в течение которого пользователь вносит изменения, ему следуетвзять на себя ответственность за всё, что связано с модифицируемым ПО, например,ответственность за верификацию, управление конфигурацией и гарантию качества программногообеспечения.е.
Опционное ПО. В тех случаях, когда в состав ПО включены дополнительные функции,выбираемые программным способом, следует предусмотреть меры предосторожности,гарантирующие невозможность случайного выбора конфигурации ПО, не утверждённой дляданного целевого вычислителя и данных условий его установки.f. Готовое коммерческое ПО. Если такое программное обеспечение используется вбортовых системах, то оно должно удовлетворять требованиям данного документа.g. Если документов, составленных в течение жизненного цикла готового коммерческогоПО, недостаточно, то их состав должен быть дополнен таким образом, чтобы удовлетворялисьтребования к безопасности, изложенные в данном документе.В подобных случаях могут быть полезны указания, изложенные в п. 12.1.4 Доработкабазовой версии и в п. 12.3.5 Заархивированный период эксплуатации.© НИИАО 2002.Формат А418КТ-178В________________________________________________________________________________2.5.
Учет влияния схемы построения системы на ПО,загружаемое на месте эксплуатацииК программному обеспечению, загружаемому на месте эксплуатации, относятся такиепрограммы или таблицы данных, которые могут быть загружены без демонтажа системы илиоборудования с места установки.Требования, связанные с обеспечением безопасности при загрузке такого ПО, являютсячастью требований к системе.Если случайное включение загрузки данных, относящихся к такому ПО, может привести квозникновению в системе отказного состояния, то требования к безопасности загрузкиоговариваются в требованиях к системе.При использовании ПО, загружаемого на месте эксплуатации, следует учитыватьследующие факторы, связанные с безопасностью применения системы:• наличие средств обнаружения неправильной или неполной загрузки,• наличие средств обнаружения последствий загрузки несанкционированного ПО,• аппаратно-программная совместимость,• программно-программная совместимость,• совместимость ПО с воздушным судном,• возможность непреднамеренного включения загрузки на месте эксплуатации,• возможность потери или неправильной индикации идентификатора конфигурации ПО.Ниже приведены инструкции, относящиеся к ПО, загружаемому на местеэксплуатации:а.
Если в ходе работ, выполняемых для оценки безопасности системы, не обоснованавозможность отступления от изложенного ниже правила, то программу, обнаруживающуюнеполную или неправильную загрузку ПО, следует относить к источникам отказных состоянийнаиболее опасной категории или назначать ей наиболее высокий уровень ПО из тех, которыесвязаны с функцией, для выполнения которой загружается данное программное обеспечение.b.
