(高清版)GB∕T 38293-2019 船舶和海上技术 计算机应用 船用可编程电子系统开发及使用总则

GB/T38293—2019/ISO17894:20船舶和海上技术计算机应用船用可编程电子系统开发及使用总则国家市场监督管理总局国家标准化管理委员会 I 1 4术语和定义 2 4 4 5附录A(资料性附录)本标准使用的术语和概念 附录B(资料性附录)船用PES原则使用指南 附录C(资料性附录)船用PES全生命周期指南 附录D(资料性附录)船用PES生命周期输出清单 附录E(资料性附录)原则在生命周期中的应用 46附录F(资料性附录)船用PES原则 本标准使用翻译法等同采用ISO17894:2005《船舶和海上技术计算机应用船用可编程电子系统开发及使用总则》——第6章的段落增加了编号。——GB/T19000—2016质量管理体系基础和术语(ISO9000:2015,IDT)。工1船舶和海上技术计算机应用ISO9000:2000质量管理体系基础和术语(Qualitymanagementsystem—FundamentalsandISO9241-2使用视觉显示终端(VDTs)办公的人机工程要求第2部分：任务要求指南[Ergo-nomicrequirementsforofficeworkwirequirementsforofficeworkwithvisualdisISO9241-11使用视觉显示终端(VDTs)办公的人机工程要求第11部分：可用性指南[Ergo-ISO10007质量管理体系认证管理指南(Qualitymanagementsystems—Guidelinesforconfig-ISO13407以人为中心的交互系统设计过程(Human-centreddesignprocessesforinteractiveISO/IEC2382-1信息技术词汇第1部分：基本术语(Informationtechnology—Vocabulary—ISO/IEC9126-1软件工程产品质量第1部分：质量模型(Softwareengineering—Product2ISO/IEC12207信息技术软件生命周期过程(Informationtechnology—SoftwarelifecycleISO/IEC12207:1995/Amd.1:2002信息技术软件生命周期过程修正版1(Informationtech-nology—SoftwarelifecycleprocessesISO/IEC12207:1995/Amd.2:2004信息技术软件生命周期过程修正版2(Informationtech-nology—Softwarelifecycleprocesses—Amendment2)IEC61069-1工业过程测量和控制系统评估中系统特性的评定第1部分：术语和基本概念(Industrial-processmeasurementandcontrol—Evaluationofsystempropertiesforthepurposeofsys-temassessment—Part1:GeneralconsidIEC61508-4电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语(Func-tionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems—Part4:DeBS4778-3.1质量词汇可用性、可靠性和可维护性术语概念与相关定义指南(Qualityvocabu-lary.Availability,reliabilityandmaintainabilityterms.GuidetoconceptsandrelateddBS4778-3.2质量词汇可用性、可靠性和可维护性术语国际术语词汇(Qualityvocabulary.Availability,reliabilityandmaintainabilityterms.Glossaryofinternationalterms)下列术语和定义适用于本标准。由于本标准中经常使用的定义与所列标准之间的某些不一致性，在此对下列参考的定义进行了说明。附录A详细阐述了本标准中的关键术语表达的概念。34为特定用户可行、有效和满意地完成特定的目标，产品在特定使用背景可以使用的程度。用户user与系统交互作用的个人[ISO9241-10和ISO9241-2]或使用软件完成某些任务的人员。通过提供客观证据，对已满足特定的预期用途和应用要求的认定。通过提供客观证据，对已满足详细要求的认定。5符号和缩略语下列符号和缩略语适用于本文件。COTS:商用成品构件(commercialofftheshelf)PE:可编程电子装置(programmableelectronicdevices)PES:可编程电子系统(programmableelectronicsystem)V&.V:验证和确认(verificationandvalidation)SIL:安全完整性等级(safetyintegritylevel)6本标准的应用6.1本标准为船用PES的研制和使用制定了一组顶层原则。这些原则的划分未超出产品和过程两个方面。为了避免使用者认为一项具体原则仅用于一个具体的情况，未对原则做进一步划分。6.2所使用的术语已有定义，但可被重新解释。解释的范围是有针对性的，并旨在加强该方法的有效性。允许在广义的PES范围内阐述原则及相关的评估准则(在每项原则下列出)。由于本标准将适用于所有PES,因此这一点很重要。船舶及其系统的业务要求范围是广泛的和多方面的，所有的系统是船舶全系统的组成部分。船用PES的评估人员、开发人员或用户能够根据PES使用背景注重特定的使用原则。6.3评估期间，作为第7章中每项原则的子项给定的准则，其所阐述的内容是PES完整性所必需的最6.4附录B给出的指南对低风险和高风险这两类PES原则的解释提供了建议。在各种风险情况下所期阶段都将是制定原则的解释和应用的要素。这些原6.6所有者需要考虑并记录他们希望为船用PES创建的使用背景。然后宜分配期望由PES实现的功6.7新建/改建船舶的建造方或其他PES集成方宜在各自的工作中遵循这些原则，并要求每个分承包6.8船用PES的购买方宜认识到其船舶运行的某些部分是借助于计算机软件的。为了使本项特殊技6.9实现本标准所述的PES的开发和运行方法的实施需要管理方面的支持。在多数情况下，组织内部宜具有PES开发和/或支持生命周期的岗位。这方面与附录C和附录D中描述的生命周期及其输出6.10附录B包含了关于每项原则的概要，并且的指南。附录E阐述了在系统生命周期中使用标准相关的问题、行为和责任。附录F列出了每项的部分宜从特定的PES要求逐渐达到评估人员要求的证据和V&V计划。结果将作为用于硬件、软A、B.1和B.2、附录C和附录E,从而提高对通用系统标准与设备标准或专用标准(例如，7船用PES原则应证明PES适用于用户和特定使用背景下给定的任务。应向其用户和其他系统交付正确、实时、a)由PES的固有(物理的)性质和功能特性两方面造成危害的风险宜降低到可接受的水平。引6GB/T38293—2019/ISO17894:a)对于所有定义的操作条件宜达到PES的功能要求。a)超出人的操作能力和限度的功能宜分配给PES;b)PES界面宜帮助用户避免输入差错，并且能够检测到输入时出现的差错，在出现差错的同时d)PES宜具有明确的特性用于检测并应对以下故障：2)环境的影响。a)对于每个特定操作和环境条件，PES宜按要求的等级保持所有输出的精确度、频率和持续a)宜防止未经授权操作或重新配置PES;7e)完工系统宜满足典型用户对可接受性所定义的要求。c)界面的特性及外观宜一致；b)可互换的PES组件宜使用以下组件直接更换：d)PES宜支持修复或修改后的检验和试验。7.3船用PES的生命周期原则为了成功地实现并使用可靠的船用PES,要求在PES全生命周期中采用系统的方法。对于为了符8GB/T38293—2019/ISb)生命周期阶段宜被组织并结构化为有规律的序列供迭代使用；b)宜估计和评定与每种危害有关的风险的可接受性；c)宜通过消除危害或通过执行指定的保护方法降低风f)宜在将要提供的安全功能和每个安全功能完整性要求方面规定PES的安全要求；1)来自所有利益团体的用户；3)系统的直接用户体验和样机。b)验证和确认活动的责任人员宜是独立的，与完成被验证和被确认的生命周期输出的责任人员c)宜依据相应的PES要求进行PES确认；e)宜通过可追溯至安全要求的试验案例对所有f)宜验证和确认所有PES的修改。9b)文档宜可追溯PES与指定要求的一致性；e)用户手册宜包括正常和非正常操作条件的程序。a)宜清晰标识PES配置组件方面的结构及分解关系。g)宜采用避免由环境影响导致文档失效的方式，系统的PE元素包括任何基于中央处理单元和相应存储器的微电子装置。这些装置包括：微处理最后需要强调的是文档也是PES的一部分，对于PES软件具有特殊的重要性。文档包括规范以给出的PES定义是最通用和易理解的情况。对于特定的情况，正在研制或评估的PES也许不包这些组成部分共同实现(见图A.2)PES的商业目标。在船舶生命周期内，在几个利益方中展开该全系PES的使用背景简便的划分为以下元素(以航迹和速度的经验和学习使用导航和发动机管理体系最新课程的STCW95船舶驾驶员);PES使用背景外部系统提供的COTS产品(例如，PLCs或操作系统)不可能完全确定其通用产品的使用背景。在这种情况下，可以定义每个元素一般使用背景的潜在差异的标识。对用于特种船舶或特定船用设备的专用PES,其设计和试验不可采用一般使用背景的PES。规定了使用背景的文件，在PES如何使用及何处使用方面为PES设计人员提供了使用指南。当(伴随有风险)功能(性能)标准软件组织环境A.3风险评估本标准最后所列标准提供的方法与技术详细说明了用于规定PES各个方面保证的特定等级。在在船舶、全体船员或环境方面高风险的PES。典型的高风险系统可能包括舱管理软件。专用PES引起的实际风险取决于其特定的使用背景和涉及的危害。若出现新的危害或GB/T38293—2019/ISO17894:学科趋向于思考研制工作是否最适合学科自身的哲学体系。系统工程设计提供了所有学科的工作框撞的项目管理。取决于参与项目研制的完全不同的各方和组织之间的沟通。不是专业组人员的任务，本附录将向本标准更广泛的使用者提供各项原则的进一步解释。第7章列出了实现每项原则的准应证明PES适用于用户和特定使用背景给定的任务。应向PES用户及其他系统交付正确、适时、本目的强调为PES提供适当特性的需求。包括与操作人员和其他系统的外部通信以及直接任务本标准的基本原理是所有的目的和全部所属原则适用于PES,以及在生命周期内运行的全系统。PES仍然宜符合每一项原则。这一点对于标准式COTS的供应考虑与任何特定PES操作风险有关的要求是正确GB/T38293—2019/ISO17894:二，使用PES自身的外部任务。当定义有关PES设计和试验方面的要求时，宜清楚的区别这两项活本原则是船用PES安全的总要求。经实际使用所确定的可接受的安全等级由IMO提出，确定为分析和评定风险只能够在具体的PES使用背景中完成。该使用背景宜有清晰的定义并被所有参本原则的关键是知道和了解与PES有关的危害。包括由PES的物理属性引起的固有危害和由其风险分析和评定宜包括PES的每一个元素。因为每一个元素用在PES结构中均有确定的和最小化的(或一起消除的)自身风险等级。对于P在所关注的安全方面宜考虑可预见到的PES误用。再次要求进行系统分析，可能包括PES的或原则指的是宜定义PES及其组件的安全要求(例如，SIL),并用于PES的V&V管理等级中。尤其是COTS产品的供应方需要确定一个目标SIL,适合于可能的应用或成套的应用。划分一个其他的体的SIL给出具体的指南。这类详细的指南见引用标准本要求涉及的失效为PES中止提供所要求单独的PES,在PES出现失效时，其他系统的状态按P1的要求。手动方式完成向安全状态的转移，但对于高风险的PES,在危害的临界状态方面宜有认真评估可靠性因此，能够确定其对PES特性的影响。使用的记载数据(例如用问题报告的形式)可提供类似的证据，B.4功能本文中的用户不仅是直接的操作人员，还包括在生命周期的任何阶段受PES影响的任何参与方GB/T38293—2019/ISO17894:目前已有定义基本专门技术的方法，诸如国家的认证资格方案。IMO首先发布的ISM规则和再分配。还可考虑用户培训以后的补缺和用户帮助工具的扩展。见原则十四和原则十九(B.8.3和的3.2。本原则并不是指PES在所有内部故障条件下或对所有非正常输入必须连续提供所有的功能。故障容许能力是在特定的故障情况下提供或保持(要求的)功能。包括用户失误或与PES连接的其他系GB/T38293—2019/ISO17894:通过试验所完成的证明包括认真处理试验实际使用的物理条件，以及这些实际条件的典型程度。P7——应防止未经授权对PES的访问。包括意外或恶意的针对PES的操作。对于软件还意味着考虑替代程序或数据的能力。这些威胁不仅虽然替换或重新配置硬件设备一般比软件更困难，但在适当的位置宜有相应的措施，以防止对B.5.3.3专用指南可用性的确信等级将取决于PES可信性要求的等级。对于低风险的PES,用户代表或可用性专家更大重要性的PES,建议主动询问关于系统使用特性。对于使用安全相关操作的PES,建议严格按使宜对照源于PES安全和用户要求所产生的目标进行可用性的测试。从主观和客观上要求有三个船员代表之间在培训和经验方面的差别。可采用从定义的评定环境得出清单的正式方法完成这项COTS代表了一个特殊的问题，因为进行的用户海上试验可能使用了非常不同用于海上环境的PES通常支持或执行与船舶管理或操作有关功能。对于使用PES的船员，船舶1)知道系统正在做什么;2)知道系统将要做什么;上述1)～3)项包括了对环境认知的不同方面。可针对每个不同方面的需要进行设计。在研制PES的早期阶段，重要的是定义和规定PES将呈现给用户的操作概念。基于用户所熟悉采取检测和校正故障的措施宜考虑要求的PES完整性。可用的技术范围随故障覆盖的变化程度当在新建造的船舶中集成PES,或对现有船舶引进新的系统时，宜避免PES之间的不一致性。这样可降低学习强度，并且避免由于对一个可能有不安全因素的系统信息或指令顺在PES操作使用期间，重要的是维持经过系统升级或其他更改后的特性与看见的和感觉的一致船用PES的用户有不同的PES背景、培训和一般能力。在PES设计中这些差别不允许有固有风“用户可控”的解释宜在要完成任务的环境下和分配给用户的功能内进行。允许用户降低PES的接控制之下。用户能管理与PES之间这类任务的相互作用。任何以这种方法修改安全相关指令或信各模块有明显的物理和功能特性。这一点对软件非常重要，该方法将有助于软件的成功集成和控制P12——应按系统的方法计划并构成PES全生命周期活动。性对有效执行生命周期也是很明显的。制定计划包括与PES相关的所有方面，包括安全和质量问题，在基于计算机的系统开发中广泛应用样机技术，其主要用途是作为一种工具，帮助调查和核实与具体验证程序才可能使PES达到符合规定的完整性(见B.8.2.3专用指南)。对于在高风险情形下应适当聘请外部第三方评估人员评定有新特点或技术的高风险PES。在其他情况下，独立评估人员可以来自同一个团队，但没有参与PES本身的开发或修改。对于应用于非安全相关功能的PES,这项原则在全生命周期内宜维护危害及风险管理说明。这是文档记载危害/风险问题解决方案进展情况的PES的实际运行和任何后续的修改都可能影响PES的风险等级，因此基于这些情况对PES的临GB/T38293—2019/ISO17894:船舶ISM认证资料可以提供一些PES运行安全控制方面的证据。基本途径宜考虑PES最终用户的需求。以用户为中心需要在系统全生命周期的早期并连续地关在收集输入和反馈信息时，重要的是确保信息尽可能地直接来源于PES的最终用户。理想情况开发人员在分析PES需求和PES开发的过程中宜考虑用户的观点。系统工程师在技术、操作原理和能胜任的船员方面设计完整的工作体系，以便安全有效地实现任务与变化的用户能力和需求相匹配，还是在初始设计中采用灵活性，都要使PES具有满足用户变更的船东可偶尔通过调查典型用户的意见/运行表现的方式监控PES的运行情况。这种调查特别适用PES软件的组件验证工作非常重要，并且可利用的技术范围很大。虽然普遍应用动态执行(即试的方法评估网络响应和解算时间。同样，可通过分析有限状态机或佩特里(Petri)网模型演示高风险要求验证人员的独立程度取决于PES应用的临界状态(与B.8.2所述的安全评估人员的独立情况类似)。可以适当从其他部门指定一个独立的V一旦做了重大改变就有必要对系统的可用性宜记录PES在生命周期的运行情况信息，并且由运营方和/或制造方进行分析。这些信息用于解决PES使用中的问题。例如，失效或者与其他PES或任务的冲突。来自用户代表的信息宜涵盖技术GB/T38293—2019/ISO17894:B.9.1.1一般要求质量体系是保证系统符合规定要求的重要手段。宜适当考虑质量体系组发的PES要求完整性的函数。计划宜明确规定质量体系将如何应用于具体的PES。根据生命周期初期阶段的统计数据所反馈的经验教训，质量体系经常被忽视的方面是预防活动。[IEC61069-1]的4.3.7,[IEC61508-1]的4.1、,[ISO90003]的4.1、第5章、第6章，现有规定的范围能够用于任何特定的船用PES。包括国际和国家法规背景方面更注重相关的法规(例如，SOLAS),尤其预计对PES运行将产生很大影响时更是如此。同与PES有关的现行认证证书或报告作为单独的保证能够形成对本项原则有用证据。可能包括型式认可目的的证书或质量管理体系的认可证书，以及一次性的分析或本原则由于软件的无形性而特别重要。软件通常仅被视为程序源代码或其等同产物。但ISO对附录D列出了PES生命周期的主要文档清单。B.9.4原则十九解SOLAS应用要求的人员。最主要的是确保没有人被要求从事超越自己能力和水平的工作。对于较高风险的PES,参与PES开发和运行人员的能力宜达到相当高的水平。宜包括对水平更加定设备或构造(技术状态识别)相关的特定版本提出明确的基本要求。这项规定也适用于COTS组件，[IMO/MSC/Circ.891]的3.3.3,[ISO90003]的7.3.7、7.5.1、7.5.3,[本附录给出的清单介绍了PES生命周期的主约增加10倍。生命周期后期的重复，即当PES已运行或被替换时，在图C.1中以虚线形式突出的生命周期以及附带的说明主要是基于PES生命周期的技术元素的要求，这些要求由IEGB/T38293—2019/ISO17894:2005过程次序可能的次序责任方阶段已知/包括目标主要输出识别需求需求分析需求。新技术；贯彻从现有系统获得的经验。重点关注与新的或替换的PES有关的公司策略船员、市场和技术预测替代的需求使用背景(预计的)系统策略(框架)定义定义概念，完成：——识别涉及PES的危害和有关风险；运行的物理环境；活动项目范围集和非功能要求集。定义项目范围使用背景(修订的)本过程充分考虑系统的每个有关的利护、培训、支持和其他程序。开发集成试验方法和产品法规和规章标准和惯例规则设计文档支持计划(COTS)选择用户定制或获取PES的组件。设计文档组件。该阶段包括首次展示软件的有关活动设计文档表C.1(续)阶段已知/包括目标主要输出安装和安装计划支持计划安装PES培训用户的证明。安装的PES确认和阶段获得的信息也可作为定义概念的一部分安装的PES支持计划注1:对于同类型船舶上等同的PES,本阶段获得的信息也可用于识别注2:一些PES的组件可以作为替代系统的重复使用部分。例如，通信电缆可以作为更快更大范围网络的一部分重新使用退役报告阶段已知/包括目标主要输出计划和计划和管理PES的研制系统的生命周期。确认计划项目计划确认计划其符合用户、任务和环境要求。意见。这些意见将来自最终用户和其确认计划项目计划用户GB/T38293—2019/IS表C.2(续)阶段已知/包括目标主要输出软件维护的可信性。有重大变化时，可能包括概念阶段改装替换替换报告有关PES生命周期的合同、法律和商业方面的输出不在此进行描述。这方面的具体文件可参见输出引用文件安装的PES确定受控设备，包括其要求的控制功能和物理环——描述可能的危害源和确定危害的信息；——有关现行安全规则的信息；——识别由于与其他受控设备互作用产生的危害；---—规范危害和风险分析期间所考虑的外部事件；人和组织影响评估。对全系统中不是PES部分的其他组成部分的描述。PES将运行其中的硬件和软件的基础构造。未来最终用户的特征(他们的技能、培训、体力、责任级别等最终用户将完成的任务(包括PES的维护[ISO13407的7.2]退役报告按时间顺序描述退役活动细节。制定退役计划的参考资料。表D.1(续)输出引用文件设计文档对于硬件和软件元素，在整体结构和元件详细要求方面，确定并证明根据要求规范进行设计，并且设计是可追溯的。设计规定在安全与非安全功能之间如何实现独功能。设计文档识别完成SIL所必要的技术和方法。设计文档证明选用的技术和方法，形成满足要求的SIL的总集结构符合故障允许误差、诊断覆盖和检验检查的要未来的组织和运行结构。用户系统互作用的规范。对于SIL4,通过对组件中的硬件进行具体的定量可靠性分析判定体系结构。设计规定的特性，以控制系统故障。对每一个分系统/组件，按设计和试验规范分解到分系统/组件层次的设计。清楚地标识分系统/组件，并且文件完备。设计表示何处使用了降低定额的组件。识别、评定和详述全部硬件和软件相互作用的意义。证明：———设计期间使用了适当的方法和技术，以有助于防止引入失效；——使用了适当的设计方法；——设计中将维护控制程序形式化；—-—若适用，使用了自动试验工具和集成开发工具；—-——软件设计期间，使用了有助于防止引入失效的软件工程程序和——采取了步骤，保证任何样机研制活动覆盖了主要要的惯例；第6章][ISO90003的7.3.3][ISO13407的7.4][IEC61508-3的7.4.2,确定每一个识别的危害事件和有危害作用的组件。确定事件次序的因果关系和可能性，事件次序关的。[IEC61505-1的管理说明确定采用的方法以降低或消除危害和风险。记录在风险分析期间所做的假设，包括估计的需效率。确定采用运行约束或人工干预的可信程度。表D.1(续)输出引用文件记录安装活动。记录交工试运行活动。失效报告的参考资料。编制失效和不兼容结果的文档[IEC61508-1的7.13]确定PES组件集成的步骤，并对证明集成的PES是否满足设计文档的试验进行识别。识别所完成的集成试验。试验证明PES与设计文档的一致性。试验显示所有模块正确地相互作用，实现其拟定的拟定功能。识别所遵循的程序。识别试验的技术状态。合并软件与已识别的硬件。报告所有层次(组件和整体)集成试验的状态和结果。陈述设计阶段决定的目标和准则是否已经达到。陈述失效的原因。报告是可审核的。规定所用的集成和试验规范的版本。规定所用的工具和设备，用标定的数据。规定每个试验的结果。识别期望与实际结果之间的任何差异。[ISO90003的8.2.4,[ISO13407的7.5.7]使用每个阶段的信息来源，提供与研制活动有关的时间顺序的记记录活动，提供按时间顺序发生事件的有关信——安全审核和试验的结果；——记录实际运行中与安全相关的PES要求的时间和原因；——记录服从这些要求时安全相关的PES性能；——记录例行维护期间发现的故障；—监控准则、程序、遵循的过程、报告的周期；——与陈述的过程的偏离，以及偏离的原因；——与法规要求的偏离和原因；——未来的研制项目信息。——记录所有的修改和改进；——修改要求的参考资料；——影响分析的参考资料；——PES重新验证和重新确认及其结果的参考资料；[IEC61508-1的表A.1、A.2和A.3,,[ISO13407的7.5.6]表D.1(续)输出引用文件记录PES的所有修改要求和监控调查，及其后续分析和进修改或更改的规范。组件的试验情况。PES技术状态管理的历史。[ISO13407的7.5.7]定义工作程序，以保证PES在运行和维护期间按要求执行。规定在不同操作情况下的活动和约束，以防止不安出现危险事件的可能。规定用户日常运行PES需要遵循的运行工作程序。规定用户适应或定制PES的运行而需要遵循的运行规定当发现故障或PES出现失效时采取的维护工作程序。操作指令和用户手册。规定要求的每类用户的能力(技能、培训和经验)。规定培训计划和培训材料。规定要求的监控活动，保证PES连续可靠的工作。监控计划：工作场地审核计划、范围和准则、程序、过程、工规定对系统失效和PES的需要程度的连续记录。依据失效报告和失效分析，对维护有效性规定监控工作程规定维护和试验所需要的工具的维护[ISO90003的7.5.1]项目计划制定的项目计划应显示PES工程将如何实现，设计到，以及项目将如何采取对策，以便在预算内按时交付项目技术计划详述将采用的策略，以保证PES实现可信性设计。策略宜考虑项目中的任何风险和不确定性，以及准备开发制造的系统不适用的可能性最小。技术计划[LRGDS]的第5章质量计划顾客关于如何实现系统设计方面的期望或要求以及由此得出的推管理计划项目成功完成的技术风险中的不确定因素。完成项目所有活动的组织和人员的责任。第6章]项目中团队的作用和目的，以及他们之间的联合和独立程表D.1(续)输出引用文件技术计划质量计划管理计划目标、研制、试验和维护环境。产品的可交付性及其性质。技术日志，提供将要遵循的合理技术途径符合技术计划的证据。开发期间将要参考采用的标准、程序、惯例和协议。项目要求的专用复合技能和经验。包括验证和确认所要求进行的内[LRGDS]的第5章第6章]质量计划质量计划确定组织的质量管理体系如何应用到项目上。质量计划品的可交付要求和将要进行检查的方法确定质量特性。同时还详细规定项目将要采用的控制和程序，以保证所有可交付产品达到质量要全员进行项目的质量控制和保障活动的组织，包对于每个项目，可交付确定：——形式和内容；——确定和验证质量特性的方法；——组织、验证、维护和控制中人员的责任；——可交付使用中识别和追溯要求的方法；——技术、验证、确认计划的参考资料；—-——将要生产的可交付使用的产品和用于这些项目的文件档案制度；——唯一标识项目、发行及其状态的方案；———项目状态的内涵；——标志和记录的项目如何更改的规范，以及更改保持的历史记录；——用于保护项目的方法和工具，使其不受非正式访问降级，包括使用中的项目、完成的或存储的现场和非现场项目和移交中的项目。规定工作程序，以保证购买或由分包商开发的软件符合要项目度量标准及其使用[LRGDS]的第6章表D.1(续)输出引用文件规范审查：———开发过程节点；———审查材料；——评估材料的准则；——参加人员的任务；——如何进行审查；———如何记录结果；技术状态管理：—---人员的责任；————识别技术状态项目和基线的程序；——定义将要识别的技术状态项目的不同版本；———定义技术状态控制的过程；————识别使用的技术状态管理工具；——定义如何能够从给定的基线确定技术状态项目的状态；——详述不同技术状态项目和基线的数据存档和恢复的存储机制；—-——详述建立PES基线的机制；——定义保留哪些交付记录或不同基线的设备记录。——人员的责任；——要求更改的工作程序；——评定更改及其影响的工作程序；—-—响应和执行更改要求的工作程序；——更改的试验操作和监控进程的工作程序；校正活动的工作程序：——人员的责任；——报告故障的工作程序；——故障评定的工作程序；———响应故障报告的工作程序；——故障定位的工作程序；—-——监控故障和定位的工作程序；——故障日志的格式和位置。在项目期间将要执行的审核细节，以检查质量计划中规定的质量措施的[LRGDS]的第6章管理计划管理计划是项目的顶层计划文档。详细规定了项目不断发展。对于未来近期内宜不断给出详细的项目的目的，为什么执行计划，将要完成什么工作和由谁完成。项目的组织及相关的责任。[LRGDS]的第4章表D.1(续)输出引用文件管理计划为了成功完成项目而采取的途径。将要进行的所有活动的时顺安排和持续时间，包括适用反馈到设计时间表中(包括早期阶段的反馈)。详述每个项目活动，包括责任和开始及结束日期。详述项目人员和设备。关于项目的财政信息，包括资源和潜在的成在项目寿命期期间练习控制，以保证贯彻质量计划和质量标测量项目进度的和辅助制定未来项目计划的准则和认定方项目管理良好并符合管理计划的证据[LRGDS]的第4章识别PES的功能要求。识别PES的非功能要求，包括性能、信任度、操作性和安全要求。定义可行性要求。定义可验证和可试验的要求。用术语描述不易理解的需要在规范中使用的概提供用户代表及有关情况的细节。由所有有关的最终所有者给出符合要求的证描述PES要求的功能，包括失效、启动和重启条件下的特定义培训需求。识别由软件/硬件相互作用形成的任何约束。识别在生命周期任何阶段可能遇到的极端的环境条依据电磁兼容性等级规定将遇到的电磁环境。规定PES硬件的验证试验的要求。[IEC61508-2的7.2.3][ISO90003的7.3.2]第5章][ISO13407的7.3]确认计划定义确认的技术策略。定义用于确认的方法和技术。定义工作程序以确认正确执行了每个安全功定义工作程序以确认每个安全功能达到安全完整识别要求的输入数据、期望的输出和其他验收准则。[ISO90003的7.3.6,[ISO13407的7.5.2]GB/T38293—2019/表D.1(续)输出确认计划定义试验程序和准则以确认电磁抗扰度水平。识别每一种操作模式的将要被确认的安全相关软件。———确定使用背景，作为评定的基础；[IEC61508-2的][ISO90003的7.3.6,[ISO13407的7.5.2]识别将要验证的组件(软件、硬件、数据、培训、文档等定义验证的技术策略。定义用于验证的方法和技术。识别要求的输入、期望的输出和其他验收准规定试验中(或分析)的安全功能。参考确认计划中具体的确认要求。记录执行评定的人员。记录使用的工具和设备。记录使用的校准数据。描述期望的和实际的结果之间的差异。描述在确认期间发现的任何差异所引起的分析和作依据标准的试验：——使用的标准清单和其使用的原理阐述；——系统绝大部分已经被评估的证据，对作为一个整体的结果；——所有主要和次要的不一致性和观察报告，以及全面的评估报告。偏离标准的正当理由，以符合特定的用户要求。[IACS的7.1][ISO90003的7.3.6,[ISO13407的7.5.7]输出引用文件报告与生命周期阶段有关的验证活动的结果。包含或参处理关于PES生命周期、设计标准和安全管理要求的非一致性。陈述PES是否通过验证活动或不通过的原因[IEC61508-2的][ISO90003的7.3.3,[ISO13407的7.5.7]GB/T38293—2019/ISO17894:本标准列出了一套可以为开发和使用PES提供保障的原则。所有原则适用于整个系统及其组成部分的全生命周期。各项原则是一套通用的PES可信性要求，并且各准则都是那些要求的重要属性。在任何特定应用和某一PES生命周期的任何时候，每条原则的意义和重要性都可能改变。使用标准E.2生命周期PES的生命周期从一项或多项任务需要完成开始，最后决定采用PES。当系统不再能满按过程的连续性循环返回到每个过程的上一个过程，并GB/T38293—2019/ISO17894:提供允许的技术。这种集成是在系统的组织和物质环境的使用背景下进行的。集成COTS产品所需E.5管理非他们有这个权利并且能保证全系统可以满足设计概念。供应方的角色主要是交付COTS产品。只在管理和技术方面，系统工程师的角色都是非常棘手的。要求工程师能很好地理解运营概念(上各原则提供了管理的工具。能够从一开始与相关过程的参考标准(例如，ISO/IEC15288、本问题。这些审查宜考虑在计划阶段标识的和在交付阶段也会显现的由合作者能力所带来的过程船用PES原则F.1船用PES的目的应证明PES适合于用户使用和某一特定使用背景下的给定任务。应向用户及其他系统交付正确、F.2船用PES产品原则船用PES应遵循下述原则：a)PES应避免危害人员或环境的不可接受的风d)应在用户和PES之间适当地分配功能；g)应防止未经授权对PES的访问；j)PES和用户之间的界面应由用户控制；成功实现和使用可信的船用PES要求有一套PES全生命周期的系统方法。以下是旨在满足7.3a)应按系统的方法计划并构成PES全生命周期活动；c)在全生命周期内应开展以人为本的活动；i)在全生命周期内应标识和控制PES的技术状态。[1]EN292-1Safetyofmachinery—Basicconcepts,generalprin[2]EN292-2Safetyofmachinery—Technicalprinciplesandspecificati[3]IEC61069-2:1993Industrial-processmeasurementandcontrolpropertiesforthepurposeofsystemassessment—A[4]IECEN61069-5:1994Industrial-processmeasurementandcontrol—Evaluationpropertiesforthepurposeofsystemassessment—Part5[5]ResearchInWaterborneTransportAreaFinalReport,D101.00.01.047.003,1997.04.21,DISCConsortium[6]GeneralisedAssessmentMethodPartDR