ГОСТ Р 56569-2015. Национальный стандарт Российской Федерации. Системы менеджмента качества. Требования к организациям авиационной, космической и оборонной промышленности. Поставляемое программное обеспечение

7. Процессы жизненного цикла продукции

 

7.1. Планирование процессов жизненного цикла продукции

 

Организация должна планировать и разрабатывать процессы, необходимые для обеспечения жизненного цикла продукции. Планирование процессов жизненного цикла продукции должно быть согласовано с требованиями к другим процессам системы менеджмента качества (см. 4.1). При планировании процессов жизненного цикла продукции организация должна установить подходящим для нее образом: a) цели в области качества и требования к продукции. Примечание - Цели в области качества и требования к продукции включают в себя рассмотрение таких аспектов, как: - безопасность продукции и персонала; - надежность, доступность и ремонтопригодность; - технологичность и контролепригодность; - пригодность деталей и материалов, используемых в продукции; - выбор и совершенствование встроенного программного обеспечения; - переработка или утилизация продукции после окончания срока ее службы;   b) потребность в разработке процессов и документов, а также в обеспечении ресурсами для конкретной продукции; c) необходимую деятельность по верификации и валидации, мониторингу, измерению, контролю и испытаниям для конкретной продукции, а также критерии приемки продукции; d) записи, необходимые для обеспечения свидетельства того, что процессы жизненного цикла продукции и конечная продукция соответствуют требованиям (см. 4.2.4); e) управление конфигурацией, соответствующее продукции; f) ресурсы, необходимые при эксплуатации и техническом обслуживании продукции. Результат этого планирования должен быть представлен в форме, соответствующей практике организации. Примечание 1 - Документ, определяющий процессы системы менеджмента качества (включая процессы жизненного цикла продукции) и ресурсы, которые предстоит применять к конкретной продукции, проекту или контракту, можно рассматривать как план качества. Примечание 2 - При разработке процессов жизненного цикла продукции организация может также применять требования 7.3.   [SAE AS9100:2009, пункт 7.1]

Планирование процессов жизненного цикла программного обеспечения должно учитывать всю деятельность, связанную с программным обеспечением, от планирования проекта до поставки продукции и обслуживания, включая, где применимо:

a) цели в области качества и требования, выраженные в измеримых показателях, включая ключевые характеристики и критичные показатели;

b) жизненный цикл программного обеспечения;

c) идентификацию, квалификацию, выбор и управление поставщиками;

d) оценку, квалификацию, верификацию и утверждение неразрабатываемого программного обеспечения и программной поддержки;

e) необходимые средства инфраструктуры (см. 6.3);

f) мониторинг, оценку и аудит программного обеспечения и связанной с ним деятельности;

g) уровень критичности программного обеспечения, основанный на "вкладе" программного обеспечения в потенциальные состояния отказов;

h) требования к безопасности и защите продукции и данных;

i) стандарты (например, стандарты разработки и кодирования), правила, практики, соглашения, техники и методологии разработки и тестирования;

j) инструменты, шаблоны, вспомогательные средства;

k) распределение задач и ответственности между заинтересованными сторонами;

l) установку и поддержку продукта;

m) верификацию, валидацию, приемку и поставку продукции;

n) авторские права, лицензионные соглашения, права интеллектуальной собственности, экспортный контроль.

7.1.1 Управление проектом

 

Соответственно особенностям организации и продукции организация должна планировать и управлять созданием продукции четким и контролируемым способом, для того чтобы отвечать требованиям с приемлемым уровнем риска в рамках действующих ресурсных и временных ограничений. [SAE AS9100:2009, пункт 7.1.1]

Необходимо применять требования SAE AS9100 со следующими разъяснениями для программного обеспечения.

Помимо стандартных средств управления проектом проекты по разработке программного обеспечения должны учитывать другие индикаторы прогресса (например, требования, строки кода, выполнение теста), устаревание отчетов о проблемах или открытые отчеты о проблемах при приближении к завершению разработки программного обеспечения.

7.1.2 Управление рисками

 

Организация для выполнения применяемых к ней требований должна разработать, внедрить и поддерживать в рабочем состоянии процесс управления рисками, включающий в себя соответственно особенностям организации и продукции: a) распределение ответственности по управлению рисками; b) определение критерия риска (например, вероятность возникновения, тяжесть последствий, приемлемый уровень риска); c) идентификацию, оценку и передачу информации о рисках на всех этапах жизненного цикла продукции; d) идентификацию, осуществление и управление действиями по снижению рисков, которые превышают определенный критерий принятия риска; e) принятие рисков, оставшихся после осуществления действий по их снижению. [SAE AS9100:2009, пункт 7.1.2]

Необходимо применять требования SAE AS9100 со следующими разъяснениями для программного обеспечения.

Управление рисками должно отражать специальные требования (см. 3.19) к программному обеспечению.

Примечание - Меры по снижению рисков могут включать в себя дополнительное обучение применению новых инструментов или оборудования или моделирование интерфейса.

 

7.1.3 Управление конфигурацией

 

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процесс управления конфигурацией, включающий в себя применительно к продукции: a) планирование управления конфигурацией; b) идентификацию конфигурации; c) управление изменениями; d) учет статуса конфигурации; e) аудит конфигурации. Примечание - См. ИСО 10007 для руководства.   [SAE AS9100:2009, пункт 7.1.3]

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процесс управления конфигурацией для программного обеспечения, включающий в себя нижеописанные этапы.

7.1.3.1 Планирование управления конфигурацией

Планирование управления конфигурацией программного обеспечения должно включать в себя:

a) распределение задач и ответственности в управлении конфигурацией;

b) деятельность по управлению конфигурацией, графики и записи;

c) критерии и руководящие указания по верификации и валидации изменений;

d) инструменты управления конфигурацией, необходимые для применения методы и техники;

e) критерии, при которых элементы конфигурации попадают под управление изменениями;

f) где применимо, управление и контроль неразрабатываемого программного обеспечения и программной поддержки;

g) критерии, при которых неразрабатываемое программное обеспечение попадает под управление конфигурацией продукции;

h) процессы сохранения соответствия продукции согласно 7.5.5;

i) критерии и руководящие указания по внесению локальных изменений, носящих временный характер, и критерии тех случаев, в которых требуется новая разработка;

j) период сохранения, изъятия, устаревания и уничтожения программных продуктов.

Планирование также должно обеспечивать, чтобы следующие положения принимались во внимание при процессах репликации:

k) идентификация мастер-копии и копий, включая формат и версию;

l) тип носителя программного продукта и соответствующая ему маркировка;

m) управление условиями внешней среды, при которых осуществляется репликация для обеспечения повторяемости;

n) верификация того, что каждая созданная копия полностью соответствует оригиналу.

7.1.3.2 Идентификация конфигурации

Идентификация конфигурации должна обеспечить процесс уникальной идентификации элементов конфигурации программного обеспечения на протяжении всего жизненного цикла программного обеспечения. Данный процесс должен включать в себя тип выпуска и соответствующие требования к управлению конфигурацией.

Примечание - Экспериментальное программное обеспечение (или прототипы) должно быть уникально идентифицировано и отличаемо от используемого в производственных процессах программного обеспечения.

 

7.1.3.3 Управление изменениями

Организация должна разработать, внедрить и поддерживать в рабочем состоянии систему управления изменениями программных продуктов, обеспечивающую возможности:

a) уникальной идентификации версии каждого элемента конфигурации;

b) идентификации конфигурации программных продуктов в ходе разработки, а также после выпуска, поставки или установки;

c) управления доступом или изменениями контролируемых элементов;

d) в случае необходимости обеспечения координации при актуализации множественных продуктов в одном или нескольких месторасположениях;

e) идентификации и прослеживаемости выполнения всех действий и изменений, определенных в результате отчета о проблеме.

7.1.3.4 Учет статуса конфигурации

Организация должна разработать и поддерживать в рабочем состоянии процедуры учета статуса конфигурации для ведения записей, управления и отчетности:

a) по статусу программного обеспечения, вспомогательных программных средств, соответствующих аппаратных средств;

b) запросам на изменения и внедрению утвержденных изменений;

c) каждой формальной базовой версии программного обеспечения, включая:

- данные об источнике и загрузочном коде на основе версий;

- вспомогательное программное обеспечение;

- инструкции по установке;

- изменение или сводный отчет о проблеме;

- соответствующую программную документацию для конкретной версии;

- процедуры и результаты тестирования;

- соответствующие инструменты разработки и верификации;

- интерфейсы с другими программными продуктами и целевым компьютерным аппаратным обеспечением;

- разработку и целевые компьютерные средства (аппаратное и программное обеспечение);

d) версиям программного обеспечения и различиям между этими версиями.

7.1.3.5 Аудит конфигурации

Аудиты конфигурации проводят с целью оценки соответствия продукции своим эксплуатационным и функциональным требованиям, а также исполнительной технической документации. Аудит конфигурации программного обеспечения должен быть проведен в соответствии с планом для верификации того, что:

a) вся деятельность, данные и документы по проектированию и разработке имеются в наличии в полном объеме и соответствующие записи сохранены;

b) все отчеты о проблемах и запросы на изменения идентифицированы и управляются;

c) инструкции по установке позволяют регенерировать объектный код поставляемого программного обеспечения по исходному коду;

d) отклонения программного обеспечения от установленных требований задокументированы и одобрены;

e) программное обеспечение может быть загружено в целевой компьютер и инициализировано;

f) программное обеспечение было протестировано и принято в соответствии с требованиями;

g) существует прослеживаемость от программного продукта к установленным требованиям;

h) программное обеспечение и его носители должным образом идентифицированы;

i) программное обеспечение и его носители не повреждены;

j) программное обеспечение и его носители защищены от вредоносных программ (например, вирусов);

k) исходный код идентифицирован и находится под управлением конфигурацией.

Примечание 1 - Эти цели могут быть верифицированы посредством накопления данных в ходе жизненного цикла программного обеспечения.

Примечание 2 - Аудит процессов в системе управления конфигурацией может быть составной частью внутреннего аудита (8.2.2) и/или запланированной деятельности по аудиту, определенной в 7.1.

 

7.1.4 Управление передачей работ

 

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процесс планирования и управления временной или постоянной передачей работ (например, с одного объекта организации на другой, от организации к поставщику, от одного поставщика к другому поставщику) и проверять соответствие этих работ требованиям. [SAE AS9100:2009, пункт 7.1.4]

Необходимо применять требования SAE AS9100. Дополнительных требований к программному обеспечению нет.