NASA軟件標(biāo)準(zhǔn)和體系研究

薛恩 劉金燕 沈嶺

（中國(guó)航天標(biāo)準(zhǔn)化研究所，北京，100071）

鑒于軟件在項(xiàng)目中的重要性，近年來(lái)NASA陸續(xù)修訂并發(fā)布了新的軟件標(biāo)準(zhǔn)，主要包括：2019年8月NASA總工程師辦公室（OCE）負(fù)責(zé)的《NASA軟件工程要求》 （NPR7150.2C），2020年6月NASA安全和任務(wù)保證辦公室（OSMA）制定的NASA-STD-8739.8A《軟件保證和軟件安全》等技術(shù)標(biāo)準(zhǔn)，2020年4月NASA發(fā)布了修訂的NASA-HDBK-2203《NASA軟件工程與保證手冊(cè)》（以下簡(jiǎn)稱《手冊(cè)》），該手冊(cè)為軟件要求的實(shí)現(xiàn)提供了指導(dǎo)。以上軟件標(biāo)準(zhǔn)的結(jié)構(gòu)和內(nèi)容互相關(guān)聯(lián)、保持一致，形成了科學(xué)有效的NASA軟件標(biāo)準(zhǔn)體系。

新發(fā)布的NASA軟件標(biāo)準(zhǔn)與相關(guān)NASA政策指令（NPD）保持一致，并支持相應(yīng)NPD的實(shí)施。NASA軟件標(biāo)準(zhǔn)的修訂在解決已知問(wèn)題的同時(shí)，對(duì)一些標(biāo)準(zhǔn)進(jìn)行了整合。例如NASA新版軟件保證和軟件安全標(biāo)準(zhǔn)NASA-STD-8739.8A合并了NASA軟件安全標(biāo)準(zhǔn)NASA-STD-8719.13，并與NPR7150.2的更新保持一致。

與以往的標(biāo)準(zhǔn)發(fā)布不同， 《手冊(cè)》采用了基于wiki的電子格式。這種形式便于隨時(shí)發(fā)布最新資料和內(nèi)容搜索，簡(jiǎn)化了更新方式。為促進(jìn)軟件相關(guān)人員參與，以wiki形式存在的《手冊(cè)》提供了共享最佳實(shí)踐案例和分享項(xiàng)目開(kāi)發(fā)經(jīng)驗(yàn)教訓(xùn)的訪問(wèn)方式， 《手冊(cè)》內(nèi)容處于動(dòng)態(tài)更新?tīng)顟B(tài)中。

可見(jiàn)近年來(lái)NASA對(duì)軟件工作非常重視，已經(jīng)形成從政策指令、程序要求到工程實(shí)施的規(guī)范軟件標(biāo)準(zhǔn)體系，并持續(xù)更新。對(duì)于NASA的軟件管理和工程實(shí)施人員，有助于持續(xù)地改進(jìn)軟件工程和軟件保證過(guò)程，研制安全可靠的軟件產(chǎn)品。

對(duì)比NASA，我國(guó)航天軟件標(biāo)準(zhǔn)和標(biāo)準(zhǔn)的系列化有一定差距，為更好地學(xué)習(xí)借鑒NASA最新軟件經(jīng)驗(yàn)，獲得啟示以支撐我國(guó)航天軟件能力提升，有必要對(duì)近兩年最新發(fā)布的NASA軟件標(biāo)準(zhǔn)和標(biāo)準(zhǔn)體系進(jìn)行系統(tǒng)深入研究。

1 NASA軟件分類

1.1 NASA范圍內(nèi)軟件分類

NASA范圍內(nèi)軟件分為6類：A～F，詳見(jiàn)表1。其中，A至E類涵蓋與工程相關(guān)的軟件，F(xiàn)類涵蓋商業(yè)和信息技術(shù)（IT）基礎(chǔ)架構(gòu)軟件。

表1 NASA軟件分類

NASA對(duì)每個(gè)軟件類別的定義給出了詳細(xì)描述，例如針對(duì)發(fā)射、在軌飛行、地面等階段，或針對(duì)測(cè)試、試驗(yàn)、演示等用途，或針對(duì)推進(jìn)系統(tǒng)、電力系統(tǒng)、制導(dǎo)導(dǎo)航和控制、熱系統(tǒng)等各組成系統(tǒng)等的軟件都給出了詳盡的定義說(shuō)明。另外詳細(xì)說(shuō)明了每個(gè)類別的軟件示例和排除項(xiàng)。對(duì)軟件分類的工程可操作性非常強(qiáng)，值得我們借鑒。

1.2 安全關(guān)鍵軟件

為保證系統(tǒng)和軟件安全，NASA對(duì)安全關(guān)鍵軟件的實(shí)施規(guī)定了特定的活動(dòng)和要求，可通過(guò)軟件危害分析確定是否是安全關(guān)鍵軟件，其確定標(biāo)準(zhǔn)如下：①引起系統(tǒng)危險(xiǎn)情況/事件；②為系統(tǒng)危險(xiǎn)情況/事件提供控制或緩解措施；③控制安全關(guān)鍵功能；④如果發(fā)生危險(xiǎn)情況/事件，可減輕損害；⑤如果系統(tǒng)達(dá)到潛在的危險(xiǎn)狀態(tài)，則檢測(cè)、報(bào)告并采取糾正措施。目前安全關(guān)鍵特性合并在軟件分類中。

1.3 軟件分類和安全關(guān)鍵軟件對(duì)應(yīng)關(guān)系

NASA在軟件工程與保證指導(dǎo)實(shí)施工作中，將軟件分類和安全關(guān)鍵程度對(duì)應(yīng)，討論了每項(xiàng)要求對(duì)各類軟件的適用性，對(duì)應(yīng)關(guān)系如下：A、B類軟件始終為安全關(guān)鍵軟件；C、D類軟件有時(shí)為安全關(guān)鍵軟件；E、F類軟件永遠(yuǎn)不是安全關(guān)鍵軟件，詳見(jiàn)表1。

NASA規(guī)定每個(gè)軟件的類別唯一，NASA工程部門(mén)和安全保證部門(mén)（SMA）使用雙重授權(quán)確定軟件的類別，當(dāng)軟件分類存在爭(zhēng)議時(shí)由NASA首席工程師裁決。完成軟件分類后，可以針對(duì)不同類別的軟件制定相應(yīng)的軟件工程要求。

2 軟件工程要求

NASA軟件工程要求是通過(guò)不斷總結(jié)經(jīng)驗(yàn)教訓(xùn)制定的，適用于完整的軟件開(kāi)發(fā)生命周期，包括軟件計(jì)劃、開(kāi)發(fā)、測(cè)試、維護(hù)、淘汰、運(yùn)營(yíng)、管理、購(gòu)買(mǎi)和保證活動(dòng)?？晒㎞ASA和其承包商使用，并建立了通用要求框架，使工程師能夠在NASA各個(gè)中心之間進(jìn)行有效地溝通。

2.1 定制相關(guān)角色、職責(zé)和原則

為維護(hù)和提高軟件工程實(shí)踐中的組織能力，NASA規(guī)定了角色、職責(zé)與制度要求。明確了軟件工程管理、軟件開(kāi)發(fā)和管理過(guò)程和軟件生命周期管理過(guò)程中主要人員的角色和職責(zé)，詳見(jiàn)表2。

表2 定制軟件要求相關(guān)角色和職責(zé)

為了更好地適應(yīng)各種軟件系統(tǒng)和特定軟件的開(kāi)發(fā)，NASA建立了技術(shù)授權(quán)管理機(jī)構(gòu)，對(duì)軟件要求 “量身定制”。工程主管、首席信息官和SMA主管部門(mén)根據(jù)需求映射矩陣授予的權(quán)限，審查批準(zhǔn)軟件工程要求的裁剪。當(dāng)軟件等級(jí)變更時(shí)，軟件需求裁剪也隨之更新以滿足修改后的要求。

2.2 項(xiàng)目軟件要求

為減少NASA項(xiàng)目和計(jì)劃上的軟件工程風(fēng)險(xiǎn)，NASA編制了項(xiàng)目軟件基本要求，包括以下3方面內(nèi)容：軟件管理要求、軟件工程生命周期要求和支持軟件生命周期要求，具體框架結(jié)構(gòu)見(jiàn)表3。

表3 NASA項(xiàng)目軟件要求框架結(jié)構(gòu)表

2.3 軟件需求映射矩陣

對(duì)照NASA項(xiàng)目軟件要求，可以用需求映射矩陣簡(jiǎn)明表示特定軟件在實(shí)施時(shí)需要開(kāi)展工作的要求集，需求映射矩陣根據(jù)軟件分類制定，其內(nèi)容和結(jié)構(gòu)示例見(jiàn)表4。特定軟件的要求集可以基于軟件工程工作的關(guān)鍵特征（例如規(guī)模和復(fù)雜性等） “量身定制”， 詳細(xì)說(shuō)明和指導(dǎo)見(jiàn)文獻(xiàn)。對(duì)于特定軟件的項(xiàng)目軟件要求，還需為其制定軟件保證和軟件安全任務(wù)要求。

3 軟件保證和軟件安全

為實(shí)現(xiàn)軟件保證（SA）、軟件安全和獨(dú)立驗(yàn)證與確認(rèn)（IV&V），NASA標(biāo)準(zhǔn)定義了軟件保證和軟件安全要求，確保軟件過(guò)程、程序和產(chǎn)品符合要求和標(biāo)準(zhǔn)，確保遵守安全關(guān)鍵軟件要求和過(guò)程，確保系統(tǒng)和軟件安全。以項(xiàng)目經(jīng)理為例，他需按表4所示執(zhí)行相關(guān)軟件保證和軟件安全活動(dòng)，具體內(nèi)容見(jiàn)表5。

表4 軟件需求映射矩陣示例

表5 軟件保證和軟件安全要求映射矩陣示例

NASA獨(dú)立驗(yàn)證和確認(rèn)的要求涵蓋軟件概念開(kāi)發(fā)、需求、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、運(yùn)維期間的IV&V工作。具體軟件保證和軟件安全任務(wù)要求參見(jiàn)文獻(xiàn)。

特定軟件定制裁減軟件保證、軟件安全和IV&V要求的原則是：①根據(jù)軟件分類；②依據(jù)項(xiàng)目的“軟件需求映射矩陣”；③與項(xiàng)目的“軟件需求映射矩陣”相對(duì)應(yīng)的軟件保證和軟件安全要求。

值得一提的是新標(biāo)準(zhǔn)對(duì)安全關(guān)鍵軟件有2個(gè)新要求：①測(cè)試安全關(guān)鍵軟件時(shí)，實(shí)現(xiàn)100%的代碼覆蓋率（如果無(wú)法實(shí)現(xiàn)，則必須提供為什么無(wú)法實(shí)現(xiàn)的理由）；②安全關(guān)鍵軟件的環(huán)復(fù)雜度必須為15或更低。

4 軟件工程與保證手冊(cè)

NASA-HDBK-2203《NASA軟件工程與保證手冊(cè)》是一份信息性文件，旨在為NASA項(xiàng)目中實(shí)現(xiàn)安全可靠的軟件提供“最佳實(shí)踐”指導(dǎo)。作為指導(dǎo)性文件，其內(nèi)容包含工程信息、經(jīng)驗(yàn)教訓(xùn)、技術(shù)問(wèn)題的可能方案、相關(guān)材料或過(guò)程的分類；解釋性方向和技術(shù)；以及在系統(tǒng)、產(chǎn)品、流程或服務(wù)的設(shè)計(jì)、建造、選擇、管理、支持或操作方面可能有助于政府或其承包商的任何其他類型的指導(dǎo)信息。

《手冊(cè)》中每個(gè)典型軟件需求包含7部分內(nèi)容。①需求：軟件工程要求相關(guān)內(nèi)容，包括相關(guān)注釋等內(nèi)容，還提供了各個(gè)軟件等級(jí)是否適用于該需求的示意表格。②依據(jù)：軟件需求的理由和依據(jù)，有時(shí)還包括該需求的歷史信息和參考文獻(xiàn)。③指南：提供有助于理解需求、范圍、與其他軟件需求的關(guān)系、最佳實(shí)踐等參考資料。④小項(xiàng)目：提供小項(xiàng)目的實(shí)施幫助。⑤資源：參考文獻(xiàn)和腳注文本列表，通常還包括附加閱讀資料、工具列表。⑥經(jīng)驗(yàn)教訓(xùn)：NASA以及其他工業(yè)和政府機(jī)構(gòu)在軟件開(kāi)發(fā)方面的經(jīng)驗(yàn)教訓(xùn)。⑦軟件保證：包含保證每個(gè)工程需求所需的軟件保證和軟件安全步驟及要求，軟件保證和軟件安全產(chǎn)品，軟件保證和軟件安全度量，以及與每個(gè)軟件保證和軟件安全步驟和要求相關(guān)的軟件保證和軟件安全指南。

另外， 《手冊(cè)》中還包含軟件工程、保證和安全、軟件設(shè)計(jì)原理方面的主題討論，以方法指南和教程的形式編撰，為軟件開(kāi)發(fā)和采購(gòu)提供額外的指導(dǎo)。

《手冊(cè)》中的軟件工具列表，列出了《手冊(cè)》中鏈接的所有工具，其中包含NASA各中心在軟件開(kāi)發(fā)和保證中使用的工具列表，示例見(jiàn)表6。

表6 NASA軟件工具表示例

需要說(shuō)明的是： 《手冊(cè)》中特有的NASA跨軟件過(guò)程（SPAN）鏈接指向SPAN資源庫(kù)，它是與《手冊(cè)》一起使用的在線指南和資產(chǎn)庫(kù)，僅供具有NASA訪問(wèn)權(quán)限的人使用。以上可見(jiàn)NASA的軟件標(biāo)準(zhǔn)并不是獨(dú)立存在的。

5 NASA軟件標(biāo)準(zhǔn)體系研究

通過(guò)以上軟件標(biāo)準(zhǔn)內(nèi)容的研究和分析發(fā)現(xiàn)NASA軟件標(biāo)準(zhǔn)間有著密切的關(guān)聯(lián)，結(jié)合NASA項(xiàng)目工程技術(shù)文件體系，分析相關(guān)軟件標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系，如圖1所示。NASA程序要求（NPR）支撐NASA政策指令（NPD），以貫徹執(zhí)行在相關(guān)的NPD中描述的NASA政策。如果把NPR 7150.2C看當(dāng)做軟件工程和保證的頂層文件，則NASA-STD-8739.8A和NASA-HDBK-2203共同支撐并指導(dǎo)了NPR7150.2C文件的實(shí)施，分別回答了NASA軟件工作“做什么”和“怎么做”的問(wèn)題。以上標(biāo)準(zhǔn)共同構(gòu)成了NASA軟件工程和軟件保證的標(biāo)準(zhǔn)體系。

圖1 NASA相關(guān)軟件標(biāo)準(zhǔn)關(guān)聯(lián)關(guān)系

NASA軟件標(biāo)準(zhǔn)中，如果NPR和NPD標(biāo)準(zhǔn)之間發(fā)生沖突，則以NPD中提供的信息為準(zhǔn)。如果NPR7150.2C與NASA的中心級(jí)指令之間發(fā)生沖突，則以NPR中提供的信息優(yōu)先。

6 結(jié)論

研究和分析NASA軟件標(biāo)準(zhǔn)和標(biāo)準(zhǔn)體系發(fā)現(xiàn)，NASA已建立了一套科學(xué)、規(guī)范、有效的軟件工程和保證標(biāo)準(zhǔn)體系，具有很強(qiáng)的可操作性，為NASA項(xiàng)目中實(shí)現(xiàn)安全可靠的軟件提供“最佳實(shí)踐”指導(dǎo)，促進(jìn)實(shí)現(xiàn)軟件工程和軟件保證過(guò)程的持續(xù)改進(jìn)。

相比NASA，我國(guó)航天軟件標(biāo)準(zhǔn)體系尚不健全，對(duì)我國(guó)航天軟件研制的系統(tǒng)性指導(dǎo)力度不足，甚至一些軟件標(biāo)準(zhǔn)面臨過(guò)時(shí)的風(fēng)險(xiǎn)。NASA軟件手冊(cè)體量巨大，值得相關(guān)人員在軟件工程實(shí)踐中進(jìn)一步深入研究，學(xué)習(xí)借鑒NASA軟件的研究成果。我們提出以下建議：整合修訂我國(guó)航天軟件標(biāo)準(zhǔn)，配套編制工程可操作的手冊(cè)或?qū)嵤┲改?，將自頂向下的軟件要求和自底向上的工程?shí)施經(jīng)驗(yàn)結(jié)合，系統(tǒng)性建立統(tǒng)一共享和科學(xué)規(guī)范的航天通用軟件標(biāo)準(zhǔn)體系。另外建議建立航天軟件工具范圍細(xì)目，供航天工程師參考選用。