《核能行业网络安全等级保护实施指引 第3部分：移动互联安全扩展要求》（征求意见稿）

1核电厂风险监测与管理软件测评规范本文件规定了核电厂风险监测与管理软件产品的测评要求，包括功能测试、性能测试、界面友好本文件适用于核电厂风险监测与管理软件的用户进行该软件的验收测试和评价测试。也可以为软下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文GB/T20158-2006信息技术软件生存周期过程配置管理GB/T8566-2007信息技术软件生存GB/T9386-2008计算机软件测试文档GB/T33447-2016地理信息系统软件测试NB/T20272-2014核电厂软件评审和审核核电厂风险监测与管理软件nuclearpowerplantriskmonito能够实现核电厂全范围、全工况风险建模、风险监测、风险评估、管理优化等功能的集成式软件。通过对软件功能、性能、界面友好性和工程适用性指标的测量，对核电厂风险监测与管理软件产2软件实现和提供给用户的功能指标是完整或完全的，符合风险评价技术和软测试系统在它的规格说明设计和实现中无故障的程度，也表示结果数据的精度和准确为测试目标而编制的一组输入执行条件以及预期结果，以便测试某个实施路径或核实是否满足某4测评要求4.1测评目的核电厂风险监测与管理软件的测评目的是通过功能测试、性能测试、界面友好性测试和工程适用a)判定软件是否能够通过本规范规定的测评要求。4.2测评内容核电厂风险监测与管理软件的测评内容包括功能、性能、界面友好性和工程适用性四个方面的测工程适用性测评主要是对核电厂风险监测与管理软件与核电工程的匹配性进4.3测评过程4.3.1测评策划测评策划主要是根据测评需求分析确定测评的内容及其要求、提出测评的基本方法、确定测评的资源和技术需求、进行风险分析与评估，制定测评计划（含进度计划）。测评计划应通过评4.3.2测评设计测评设计主要是根据测评需求设计测评用例，获取并验证验证测试数据；根据测评资源、风险等通过测试就绪评审确定其测试用例的正确性、有效性和覆盖充4.3.3测试执行3执行测试计划，采用选取的测试用例获取测试结果，分析并判定测试结果。同时，定结果采取相应的措施，对测试过程的正常或异常情景进行核对。并根据核对结果，对未达4.3.4测试评价评价测试效果和被测软件项，给出被测软件与需求的差异、软件特长和不足等评价结论。评价结4.4测评方法核电厂风险监测与管理软件的测评宜采用自动化测评和人工测评相集合的方式。自动化测评采用针对核电厂风险监测与管理软件的专业测评工具。人工测评包括用户试验法、直接观测法等。4.5测试环境e)应保证测试环境的安全性；4.6测试数据应对测试数据提出数据构建要求，并纳入测试用例库进行管理。测试时应优先采用测试用例库中4.7测试用例应制定测试用例作为软件测试的标准，以指导测试人员能够按照测试用例的测试项目和测试步骤测试用例设计应满足测评内容要求。测试用例应能够根据实施测试或变更处理中存在的问题进行4.8测评管理4.8.1过程管理有关过程管理的管理要求应符合GB/T854.8.2配置管理4软件测试过程中所使用的各类测试数据、被测试对象以及产生的各种软件工作产品应纳入配置管4.8.3评审4.8.3.1就绪评审在测评执行前，应对测评计划和测评设计进行评审。评审测评计划的合格性、测试用例的正确性、完整性和覆盖充分性，以及测试组织、测试环境和设备工具是否齐全并符合技术要a)评审测评文档内容的完整性、正确性和规范性；b)评审测评环境要求是否符合测试要求；d)评审测评用例的可行性、正确性和充分性。4.8.3.2测评评审b)评审测评活动的独立性和有效性；c)评审测评环境是否符合测评要求；g)评审测评结果的真实性和正确性；4.9测评文档4.10测评工具宜采用测评工具对核电厂风险监测与管理软件进行测试和评价。可通过测评工具实现测试过程自动控制、测试过程跟踪以及测试结果统计、检查与评价5.1测评内容55.1.1必备功能核电厂风险监测与管理软件应满足核电厂风险监测和配置风险管理的基本使用需求，这些基本使a)软件设计包含所有必备功能，也即b)所有必备功能均能够成功执行，也5.1.2专用功能核电厂风险监测与管理软件可根据核电厂用户需求在必备功能的基础上设置专用功能。专用功能即被测软件的设计文档、用户手册和技术手册中关于软件功能项指标的说明中除必备功能之外的功能点。根据测试方式、测试环境和测试工具，确定软件专用功能点的执行率，即通过测评判定除必备功5.2测试用例功能测评内容中的每个指标都应有对应的测试用例。测试用例应覆盖测评内容中描述的所有功能，并且考虑有代表性的工作任务的组合功能。针对核电厂风险监测与管理软件不同功能的特点，可使用测评工具指导测试用例的自动生成。各类测试用例应纳入测评管理，包括制定测试文档，将测试用例5.3功能测试评价功能完备性测评是确定被测软件中所有相关功能与该类软件必备功能的契合度，衡量被测软件是否满足了当前阶段风险监测与评价技术在核电厂的应用需求。功能完备性评价依据必备功能点覆盖率。功能正确性测评是对软件各项功能的执行情况进行测试和评定，其目的是为了确定被测功能项的实现结果是否与评测标准达成一致（也包括准确度和精度内容）的程度，以“通过”和“不通核电厂风险监测与管理软件的风险监测功能应保证监测结果的准确性。准确性测试可在相同条件测软件的监测结果进行对比，判定其监测准确性。设置性能测评指标为风险监测准确性，与经过测试响应时间指用户从客户端发起一个功能请求开始，到客户端接收到软件返回的响应结束，整个过程所耗费的时间，单位一般为秒或毫秒。响应时间指标值应根据不同的功能分别设定，设置核电厂风险监测与管理软件风险监测功能的响应时间测评指标为风险状态更新（即风险模型的单次变更）的响6处理能力是指软件利用硬件平台进行信息分析处理的能力。设置核电厂风险监测与管理软件处理并发用户数指在同一时刻内，登录软件并进行操作的用户数量。最大并发用户数即是软件并发接入能力。为满足核电厂风险监测与管理软件对于用户的响应能力，设置最小并发用户数的测评指标a)登录软件的并发用户数不小于20；b)进行操作的并发用户数不小于20。核电厂风险监测与管理软件应对不同类型的数据设计不同的容量要求。设置数据容量测评指标可用度指软件正常运行时间的百分比。设置核电厂风险监测与管理软件可用度测评指标为可用度每个性能测评指标都应设置至少一组测试用例。性能测评可以借用其他测评内容的用例，即在其功能、界面友好性、工程适用性测评时，视情开展性能测评的工作。一组测试用例可用于多可以依据核电厂风险监测与管理软件的设计文档、用户手册和技术手册中关于软件性能的说明，结合所使用的性能测试环境和测评工具，制定与性能测试测试指标相关的测试用例。可使用测评工具指导测试用例的自动生成。各类测试用例应纳入测评管理，包括制定测试文档，将测试用性能测试评价是在核电厂风险监测与管理软件性能测试完成后，对软件的测定软件的性能指标是否达到设计要求，还存在哪些问题以及提出改进建议等。性能测试应至少开展准核电厂风险监测与管理软件应该满足完成核电厂用户对风险监测与管理任务的需求。为此应制定a)应在主界面显示风险监测信息及风险管理入口；b)其他常用功能应在软件一级或二级菜单中显示。7核电厂风险监测与管理软件应便于用户使用，降低用户使用出错率。为此应制定用户易用性指标，c)用户能够手动调节风险监测的时间范围和风险监测结果的显示时段，并能够显核电厂风险监测与管理软件应对用户的误操作具有识别和包容能力。为此应核电厂风险监测与管理软件应通过美观性设计降低用户的使用压力。为此应制定界面美观性指b)各级菜单的显示规则应协调统一；界面友好性测试用例应能够覆盖测评内容中规定的测试指标，并满足测试结果评价的需求。界面友好性测评需要对软件与用户的交互功能进行测评，因此测试用例由不同类型的用户和软件面向用户的不同操作界面和文档共同组成。用户类型一般包括主控室操纵员、核电厂维修人员、核电厂计划人员、核安全工程师等。软件面向用户的不同操作界面和文档需要根据核电厂风险监测与管理软件的界可使用测评工具指导测试用例的自动生成。各类测试用例应纳入测评管理，包括制定测试文档，界面友好性测试评价是在核电厂风险监测与管理软件界面友好性测试完的适用性、易用性、容错性和美观性的测试结果进行分析，其目的是为了确定软件的界可根据适用性、易用性、容错性和美观性的测试结果对软件的界面友好性进行综合评价，综合评核电厂风险监测与管理软件应能够更大限度地与核电厂已有的应用软件进行接口，以获取核电厂风险信息。在以上要求的基础上，需要考虑核电厂风险监测与管理软件在系统、操作系统和浏览器的兼容性，以实现软件之间的正确交互和共享信息。为此应制定软件兼容性的指标，可设置的8软件安全性通常有两种定义。按照国标GJB5236-靠，避免造成人员、财务等损失，是质量属性的一种，本质是失效安全性。随着信息技术的高速发击能力，确保在受到攻击时能正确完成功能，避免秘密泄露等。软件安全性测试是保障软件失效性和保密安全性的重要手段。为此应制定核电厂风险监测与管理软件安全性指标，可设置的测评指标a)失效安全性指标：应具备用户身份识别和用户权限控制功能，应提出账户管理策略（密码复b)保密安全性指标：2)应设置安全审计日志、用户操作日志。核电厂风险监测与管理软件应配备核电厂开展风险管理与决策所需的其他相关功能，如机组安全功能显示、机组运行建议与风险报告输出等。应用性测评指标根据核电厂特定需求制定，不作为通用核电厂风险监测与管理软件工程适用性测试用例应依据测试内容，结合软件工作的外部环境要素（如数据库、物理设备、操作系统、数据交互软件等）和用户使用需求综合进行编制。测试用例可在可使用测评工具指导测试用例的自动生成。各类测试用例应纳入测评管理，包括制定测试文档，安全性、应用性测试结果进行分析，确定软件的工程适用性指标是否达到设计要以及改进建议等。可根据各特性指标的测试结果对工程适用性测试进行综合评价，综合评价方法可参9测评总结a)可重复性：由同一测试者按照同一测试计划对同一测试内容进行重复测试，应产生同一种可9b)可再现性：由不同测试者按同一测试计划对同一测试内容进行测试，d)客观性：测试结果应为客观事核电厂风险监测与管理软件的测试活动和测试结果应汇总到测试报告中。测试报告可包括以下内b)测试活动描述：测试时间、测试内容、测试用例、预期结果、实际结果、测试记录、异常现c)测试评价：以测试结果与测评指标的符合性为依据，对软件的功能、性能、界理支持全范围风险模型置可实时查看风险模型中所涉及的系统、设备或可设置系统、设备或部件的状态与其起止时间。设备的状态至少应包含可用与不可用两大类，也可细分为运行、故障、实验、纠算可计算系统、设备或部件的重要度（如RAW设备处于不可用状态能够区分并正确计算预防性维修和随机失效对共因失效的影响。两事件共因组和多事件共因组采用的处理方式可以是不同的，但可显示风险分析对象（堆芯、乏燃料池），运行工况，模型分析可实时显示核电厂当前配置对应的风险值与其最近一段时间内的划应建立维修计划模块与电厂生产管理系统接口，应能够读取或导入维修计划，可通过自动或手动添加文件（如Excel、CSV、应能够定量计算维修计划风险，得到维修计划区间的瞬时风险曲线和累积风险曲线。为了更好支持维修计划人员做出判断决策，应能够在既定维修计划中增加或删除后撤设备，修改设备后撤的起止时间，从而能够提供不同维修计划的风险及其他重要信息的置风险模型的输入参数应能够修改模型的环境因子、始发事件频率、基准风险、风险阈值（包括瞬时风险阈值CDF、LERF和累积风险