GJB/Z102-97 5.1.4安全性内核 在安全关键的计算机系统中,应当设计一个称为安全性内核的独立计算机程序,用来监视 系统并防止系统进入不安全状态。当出现潜在不安全的系统状态或者有可能转移到这种状态 时,它将系统转移到规定的安全状态。 5.1.5自动记录系统故障 必须采取措施自动记录检测出的所有系统故障及系统运行情况。 5.1.6禁止回避检测出的不安全状态 在系统设计时考虑故障的自动检测,一旦检测出不安全状态,系统应作出正确响应,不得 回避。 5.1.7保密性设计 系统设计应能防止越权或意外地存取或修改软件。 5.1.8容错设计 对可靠性要求很高的系统应同时考虑硬件和软件的容错设计,而不能只考虑硬件容错设 计 5.1.9安全关键软件的标识原则 通常应将在附录B(参考件)中所述的A级和B级软件定为安全关键软件。例如,下述软 件应定为安全关键软件 a.故障检测的优先级结构及安全性控制或校正逻辑、处理和响应故障的模块; b.中断处理程序、中断优先级模式及允许或禁止中断的例行程序; c.产生对硬件进行自主控制信号的软件; d.产生直接影响硬件部件运动或启动安全关键功能的信号的软件; 其输出是显示安全关键硬件的状态的软件。 5.2硬件设计 嵌入式软件的运行过程与相关系统硬件的运行过程相互交错,密不可分,设计因素相互影 响。进行软件可靠性和安全性设计时必须考虑与硬件设计有关的要求。有关硬件的某些设计 要求见附录C(参考件)。 5.3软件需求分析 A.软件需求分析必须遵守GJB1091的规定,确保软件需求规格说明的无歧义性、完整 性、可验证性、一致性、可修改性、可追踪性和易使用性 b.对安全关键软件,必须列出可能的不期望事件,分析导致这些不期望事件的可能原因, 提出相应的软件处理要求 c.对有可靠性指标的软件,在确定了软件的功能性需求之后,应考虑该软件的可靠性指 标是否能够达到以及是否能够验证还应与用户密切配合,确定软件使用的功能剖面,并制定 软件可靠性测试计划。 54软件危险分析 对安全关键软件,应按照GB900的要求,在软件开发的各个阶段进行有关的软件危险分 析