張衛(wèi)民 賈山剛

（北京航天飛行控制中心）

1 引言

能力成熟度模型（Capability Maturity Model Integration for Development，以下簡稱為 CMMI）是一種用于產(chǎn)品和服務(wù)開發(fā)與維護(hù)的過程改進(jìn)成熟度模型[1]，已經(jīng)被廣泛應(yīng)用于產(chǎn)品開發(fā)企業(yè)的能力成熟度評價和過程改進(jìn)。在國內(nèi)，特別是在軟件開發(fā)行業(yè)，該模型的應(yīng)用也越來越普遍。國軍標(biāo)《軍用軟件研制能力成熟度模型》（GJB5000A-2008）也等效采用了該模型。在很多大型工程項目中，通過能力成熟度評價，獲得一定的能力成熟度等級資質(zhì)，已經(jīng)成為軟件研制單位承擔(dān)軟件開發(fā)任務(wù)必須具備的資質(zhì)條件。但是，由于CMMI模型中并沒有包括安全性能力相關(guān)的目標(biāo)和實踐，一個研制單位即使通過了高等級的CMMI能力成熟度評估，也不一定具有開發(fā)安全關(guān)鍵產(chǎn)品的過程能力。而目前在很多領(lǐng)域，比如航空、航天等領(lǐng)域，存在大量的安全關(guān)鍵產(chǎn)品開發(fā)任務(wù)，如何改進(jìn)和提高安全關(guān)鍵產(chǎn)品開發(fā)企業(yè)的安全性過程能力，以及如何選擇安全關(guān)鍵產(chǎn)品供應(yīng)商，是保證產(chǎn)品具有高安全性需要解決的一個非常重要的問題。

產(chǎn)品開發(fā)安全性能力成熟度模型（+SAFE）是由澳大利亞國防部和美國卡內(nèi)基梅隆大學(xué)共同開發(fā)的[2]，是對CMMI模型的一種擴(kuò)展，其主要目的是識別安全關(guān)鍵產(chǎn)品供應(yīng)商的安全性強(qiáng)項和弱項，并且在產(chǎn)品獲取過程的早期關(guān)注識別出的弱項。該模型特別關(guān)注安全性，給出了改進(jìn)組織開發(fā)安全關(guān)鍵產(chǎn)品能力的安全性特定實踐，為評價和改進(jìn)組織提供安全關(guān)鍵產(chǎn)品的能力提供了清晰的、需要特別關(guān)注的內(nèi)容。

下面的第2節(jié)介紹了安全性能力成熟度模型的組成；第3節(jié)討論了安全性能力成熟度模型與CMMI，以及與安全性標(biāo)準(zhǔn)之間的關(guān)系；第4節(jié)給出了使用安全性能力成熟度模型需要注意的事項。

2 安全性能力成熟度模型

安全性能力成熟度模型+SAFE共有兩個過程域，一個是屬于項目管理類的安全性管理過程域，另一個是屬于工程類的安全性工程過程域。其中每個過程域除了具有各自的專用目標(biāo)（SG）外，還具有與CMMI其它過程域類似的共用目標(biāo)（GG）。該模型的結(jié)構(gòu)如表1所示。

2.1 安全性管理過程域

安全性管理是一個項目管理類過程域。安全性管理的目的是確保對安全性活動進(jìn)行計劃、根據(jù)計劃對安全性活動的績效和結(jié)果進(jìn)行監(jiān)控，并對偏離計劃的偏差進(jìn)行修正。

表1 安全性能力成熟度模型+SAFE的結(jié)構(gòu)

安全性管理過程域包括如下內(nèi)容：

（1）利用安全性原理、準(zhǔn)則和目標(biāo)為實現(xiàn)安全性需求的安全性活動建立計劃；

（2）執(zhí)行計劃，監(jiān)控安全性事件，并根據(jù)計劃對這些事件進(jìn)行管理；

（3）為獲取安全性相關(guān)產(chǎn)品和服務(wù)，開發(fā)并執(zhí)行與供應(yīng)商間的協(xié)議。

安全性管理過程域關(guān)注于項目有效地考慮安全性的需要，以及如何通過管理活動和技術(shù)方法來滿足安全需求。當(dāng)項目外部的供應(yīng)商被用來提供產(chǎn)品、部件和服務(wù)時，安全性管理可以確保相關(guān)的需求被合并到供應(yīng)商協(xié)議中，并且使這些協(xié)議得到履行。

安全性管理是一個持續(xù)的過程，它跨越項目的整個生存周期，并且采用如下的管理原理：

（1）安全性事項應(yīng)在項目生存周期的早期得到關(guān)注，并在整個生存周期過程中得到追蹤；

（2）安全性保證要求對產(chǎn)品和過程的獨立的可見性；

（3）安全性保證必須可以傳遞到項目外部的團(tuán)體（包括供應(yīng)商）；

（4）必須采用一種迭代的、持續(xù)的和不斷演化的過程。

安全性管理過程域共有3個專用目標(biāo)和5個共用目標(biāo)。實現(xiàn)5個共用目標(biāo)的共用實踐與CMMI其它過程域的共用實踐類似，這里不再敘述。實現(xiàn)3個專用目標(biāo)的專用實踐如下。

2.1.1 開發(fā)安全性計劃

安全性管理過程域的第一個目標(biāo)是開發(fā)安全性計劃。該計劃是在整個項目生存周期內(nèi)管理安全性的基礎(chǔ)，是基于安全性需求、安全性準(zhǔn)則和安全性管理原理來建立和維護(hù)的。實現(xiàn)該目標(biāo)的專用實踐為：

·確定規(guī)定需求、法定需求和標(biāo)準(zhǔn)；

·建立安全性準(zhǔn)則；

·建立項目的安全性組織結(jié)構(gòu)；

·建立一個安全性計劃。

2.1.2 監(jiān)控安全性事件

通過實現(xiàn)該目標(biāo)，使得安全性事件得到監(jiān)控、報告、分析和解決。實現(xiàn)該目標(biāo)的專用實踐為：

·監(jiān)控和解決安全性事件。

2.1.3 管理安全相關(guān)供應(yīng)商

該目標(biāo)要求根據(jù)包含安全性需求的正式協(xié)議管理、從項目外部供應(yīng)商獲得安全相關(guān)產(chǎn)品和服務(wù)的獲取過程。實現(xiàn)該目標(biāo)的專用實踐為：

·建立包括安全性需求的供應(yīng)商協(xié)議；

·履行包括安全性需求的供應(yīng)商協(xié)議。

2.2 安全性工程過程域

安全性工程是一個工程類過程域。安全性工程的目的是確保在工程過程的所有階段，安全性得到了充分的關(guān)注。

安全性工程過程域包括如下內(nèi)容：

（1）識別危險、事故和危險源，分析識別的結(jié)果以評估安全性相關(guān)的風(fēng)險；

（2）開發(fā)關(guān)注安全相關(guān)風(fēng)險的安全性需求；

（3）在整個項目生存周期應(yīng)用安全性原理，確保安全性需求得到滿足；

（4）開發(fā)能夠支持安全性驗收，并提供確認(rèn)安全性策略、安全性計劃和計劃實施所需信息的審核索引。

安全性工程過程域關(guān)注安全性需求的技術(shù)分析和技術(shù)工程，以及技術(shù)解決方案開發(fā)中安全性工程原理的應(yīng)用。綜合考慮安全性工程和其它工程過程（包括需求開發(fā)、技術(shù)解決方案、集成和驗證等），可以確保需求和技術(shù)方案的安全性方面在項目生存周期的適當(dāng)時間點得到策劃和設(shè)計，確保安全性方面相對于其它需求或解決方案特性的優(yōu)先權(quán)被明確地描述。

安全性工程過程域的專用實踐使用如下技術(shù)上的安全性原理：

（1）安全性最好是利用已應(yīng)用過并且可信的技術(shù)來實現(xiàn)；

（2）必須有一個迭代、持續(xù)和演化的開發(fā)過程；

（3）關(guān)鍵功能應(yīng)該盡可能簡單，并且與產(chǎn)品的其他部分隔離；

（4）對于最關(guān)鍵的情況，可以采用正式的數(shù)學(xué)證明方法證明其正確性。

安全性工程過程域共有5個專用目標(biāo)和5個共用目標(biāo)。實現(xiàn)5個共用目標(biāo)的共用實踐與CMMI其它過程域的共用實踐類似，這里不再敘述。實現(xiàn)5個專用目標(biāo)的專用實踐如下。

2.2.1 識別危險、事故和危險源

危險識別、危險分析和風(fēng)險評估是在項目生存周期中多次執(zhí)行的迭代過程的幾個步驟。實現(xiàn)該目標(biāo)的專用實踐為：

·識別可能的事故和危險源；

·識別可能的危險。

2.2.2 分析危險，執(zhí)行風(fēng)險評估

該目標(biāo)要求對于每個危險，分析可能的原因、概率和結(jié)果，評估該危險所呈現(xiàn)風(fēng)險的嚴(yán)重性。實現(xiàn)該目標(biāo)的專用實踐為：

·分析危險，評估風(fēng)險。

2.2.3 定義和維護(hù)安全性需求

該目標(biāo)要求開發(fā)描述危險、風(fēng)險和安全性準(zhǔn)則的安全性需求，為每個安全性需求確定安全性目標(biāo)，并在整個項目生存周期中維護(hù)這些需求。實現(xiàn)該目標(biāo)的專用實踐為：

·定義安全性需求；

·定義為每項安全性需求的安全性目標(biāo)；

·將安全性需求分配到部件。

2.2.4 安全性設(shè)計

該目標(biāo)要求在項目生存周期全過程應(yīng)用安全性原理，實現(xiàn)安全性需求。實現(xiàn)該目標(biāo)的專用實踐為：

·應(yīng)用安全性原理；

·收集安全性保證證據(jù)；

·進(jìn)行變更安全性影響分析。

2.2.5 支持安全性驗收

該目標(biāo)要求通過獨立的安全性評估和獨立的安全性活動假設(shè)確認(rèn)，建立和維護(hù)危險日志及安全性案例，以支持安全性驗收過程。實現(xiàn)該目標(biāo)的專用實踐為：

·建立危險日志；

·開發(fā)安全性案例論據(jù)；

·確認(rèn)產(chǎn)品在計劃運行任務(wù)中的安全性；

·進(jìn)行獨立的評價。

3 安全性能力成熟度模型與CMMI和安全性標(biāo)準(zhǔn)間的關(guān)系

建立安全性能力成熟度模型的目的是對CMMI進(jìn)行擴(kuò)展，以提供一種清晰、明確的開發(fā)復(fù)雜安全關(guān)鍵產(chǎn)品的功能安全性的框架，它以一種獨立使用的方式表示，可由具有CMMI經(jīng)驗的用戶使用，而不需要太多來自安全性領(lǐng)域?qū)＜业闹С帧?/p>

由于安全性能力成熟度模型+SAFE是CMMI的一種擴(kuò)展，所以它采用了與CMMI相同的假設(shè)、模型結(jié)構(gòu)、習(xí)慣表示法和術(shù)語，并且受到普通的CMMI固有的過程域和能力水平相互作用的影響。

安全性能力成熟度模型+SAFE框架并不限定于任何一種特定的安全性標(biāo)準(zhǔn)。定義安全性原理、方法、技術(shù)、工作產(chǎn)品和產(chǎn)品評估的任何適用標(biāo)準(zhǔn)，都可以用來實現(xiàn)框架的目標(biāo)。

安全性能力成熟度模型+SAFE的背景及其與CMMI部件、安全性標(biāo)準(zhǔn)和評估與評價方法之間的關(guān)系如圖1所示。

圖1 安全性能力成熟度模型+SAFE與CMMI、安全性標(biāo)準(zhǔn)間的關(guān)系

3.1 安全性能力成熟度模型+SAFE與CMMI間的關(guān)系

安全性能力成熟度模型+SAFE可以看作是CMMI的一個附加的過程域集合。如果去掉+SAFE的獨立使用要求，除了下述幾點之外，+SAFE的過程域可以無縫地集成到CMMI的項目管理過程域類和工程過程域類。

（1）+SAFE過程域的資料性材料要比CMMI過程域中典型描述的更多、更詳細(xì)（例如，實踐描述中的例子、典型工作產(chǎn)品、子實踐、注釋、學(xué)科擴(kuò)充、共用實踐詳細(xì)描述和參考資料等）。這樣做的目的是為了減少對學(xué)科專門知識的依賴。

（2）+SAFE過程域與其他過程域的交叉引用要比CMMI過程域中典型描述的要多。這是因為有些CMMI過程域?qū)踩悦枋鰹楫a(chǎn)品的非功能屬性，因此+SAFE的過程域與這些過程域中的實踐之間就會存在重疊或冗余。

（3）CMMI中通用的習(xí)慣表示方法，即“必須的”成分（專用和共用目標(biāo)）、“期望的”成分（專用和共用實踐）和“資料性”成分（其他的所有內(nèi)容）等在+SAFE中被進(jìn)一步加強(qiáng)，以確保資料性的內(nèi)容不被當(dāng)作規(guī)定性的要求使用。術(shù)語“例如”、“樣本”、“指標(biāo)可包括”，以及對外部標(biāo)準(zhǔn)的參考等明確地將“資料性”內(nèi)容與“必須的”或“期望的”內(nèi)容區(qū)分開來。

為了支持其獨立使用，安全性能力成熟度模型+SAFE還包含一些與CMMI完全冗余的材料。其中包括為不熟悉CMMI并且要為+SAFE應(yīng)用提供支持的安全性從業(yè)人員提供了一些CMMI概念方面的材料，以及一些可能與CMMI冗余的資料性內(nèi)容（例如，典型工作產(chǎn)品、子實踐、注釋、學(xué)科擴(kuò)充、共用實踐詳細(xì)描述和參考資料等）。

3.2 安全性能力成熟度模型+SAFE與安全性標(biāo)準(zhǔn)間的關(guān)系

安全性能力成熟度模型+SAFE不要求采用任何特定的安全性標(biāo)準(zhǔn)。作為對CMMI的一種擴(kuò)展，安全性能力成熟度模型主要是用于定義目標(biāo)，以及提高績效能力水平。該擴(kuò)展的資料性部件只是如何能夠?qū)崿F(xiàn)目標(biāo)的指示器，這些部件并不是強(qiáng)制的，一個組織可以選擇它希望采用的方法來實現(xiàn)這些目標(biāo)，這其中也包括對特定標(biāo)準(zhǔn)的選擇。

安全性能力成熟度模型+SAFE試圖與澳大利亞國防標(biāo)準(zhǔn)“國防系統(tǒng)獲取中的安全性工程”保持一致，也試圖與當(dāng)代其他安全性標(biāo)準(zhǔn)（例如，IEC的“機(jī)器安全性—安全相關(guān)電器、電子與可編程電子控制系統(tǒng)的功能安全性”，美國軍用標(biāo)準(zhǔn)“系統(tǒng)安全性項目需求”，英國國防標(biāo)準(zhǔn)“國防系統(tǒng)的安全性管理要求，第1部分第2和第3期”，以及任何可行的領(lǐng)域特定安全性標(biāo)準(zhǔn)）的原理保持一致。

安全性能力成熟度模型+SAFE不打算用于評估產(chǎn)品本身的安全性（即，基于這一擴(kuò)展的評價并不類似于定義于IEC的“機(jī)器安全性—安全相關(guān)電器、電子與可編程電子控制系統(tǒng)的功能安全性”中的“功能安全性評估”）。

4 安全性能力成熟度模型使用指南

安全性能力成熟度模型+SAFE的用法與CMMI相同。作為一個用于評價安全關(guān)鍵產(chǎn)品供應(yīng)商或潛在供應(yīng)商能力的結(jié)構(gòu)框架，該模型可以由經(jīng)過培訓(xùn)具有資格的CMMI評估師使用，根據(jù)SCAMPI或其它適當(dāng)?shù)脑u價方法來進(jìn)行安全性能力評價，而不需要特定的安全性專業(yè)知識。作為一個用于改進(jìn)一個組織開發(fā)、支持、維護(hù)和管理安全關(guān)鍵產(chǎn)品能力的結(jié)構(gòu)框架，該模型可以由具有CMMI和IDEAL專門知識的組織使用，來改進(jìn)其安全性能力。

一個安全性能力成熟度評價或改進(jìn)活動可以與一個CMMI評價或改進(jìn)活動集成在一起，也可以作為獨立的安全性評估或改進(jìn)活動。當(dāng)采用連續(xù)表示法時，在評價或改進(jìn)活動中安全性能力成熟度模型的應(yīng)用方法與CMMI的其他過程域完全一樣。

4.1 過程評價需要考慮的事項

任何一種適用于CMMI的評價方法都可以應(yīng)用于安全性能力成熟度模型。該模型是基于以下假設(shè)編寫的，即評估師已經(jīng)過正常的CMMI培訓(xùn)，并經(jīng)過附加的+SAFE模塊培訓(xùn)。+SAFE并不假設(shè)評估師具有很高水平的安全性知識，但是與任一CMMI過程域的評價一樣，評價組必須評估它所具有的專門知識水平，如果需要還要補(bǔ)充主題專門知識。

盡管+SAFE過程擴(kuò)展是采用與CMMI-DEV過程模型相分離的方式給出的，這種方法僅僅是為了鼓勵在評價中將關(guān)注焦點集中在安全性方面。+SAFE過程域可以作為更廣泛的CMMI評價的一部分來進(jìn)行評價，也可以與其它CMMI過程域一樣，獨立地進(jìn)行評價。

與標(biāo)準(zhǔn)的CMMI部件一樣，一個組織的過程描述以及這些描述的組織方式反映了組織運行中的過程，而不是+SAFE中描述的通用的過程。為了簡化和縮短評價，在評價之前應(yīng)當(dāng)建立組織的安全性過程及術(shù)語與該擴(kuò)展中的過程及術(shù)語間的映射關(guān)系。這一映射關(guān)系也有可能識別出對于特定評價可以剪裁的部分+SAFE過程域。

如果對一次評價進(jìn)行了剪裁，則經(jīng)過剪裁后的評價結(jié)果具有特定的用途，在其它環(huán)境下不能重用。例如，一次評價剪裁掉了與外部供應(yīng)商管理相關(guān)的專用實踐，則如果被評價組織要使用外部供應(yīng)商，則該次評價結(jié)果就不太適用于組織的內(nèi)部過程改進(jìn)和獲取風(fēng)險管理。

在項目中常見的關(guān)于安全性的三種基本情況是：

（1）產(chǎn)品是安全關(guān)鍵的，并且嘗試了安全性活動；

（2）產(chǎn)品是安全關(guān)鍵的或者其安全特性是未知的，并且沒有嘗試開展安全性活動；

（3）產(chǎn)品不是安全關(guān)鍵的，并且沒有嘗試開展安全性活動

一次理想的安全性能力成熟度評價應(yīng)當(dāng)包括各種情況的樣本，這是因為，安全關(guān)鍵項目和非安全關(guān)鍵項目都影響一個組織實施安全性活動的方式。

因此，是否將某個項目當(dāng)作+SAFE評價的一個樣本的決策依賴于對該項目是否為安全關(guān)鍵項目所作的安全性評價。安全關(guān)鍵性的決定不是對產(chǎn)品性質(zhì)僅有簡要了解的+SAFE評價組的任務(wù)。然而，+SAFE評價組應(yīng)當(dāng)決定是否評價一個或多個沒有嘗試進(jìn)行安全性活動的項目，這一決定應(yīng)基于納入這些項目將對組織實施安全性活動的全面評價所產(chǎn)生的影響做出。

在確定安全性能力成熟度模型的哪些部分應(yīng)用于評價項目時，可以應(yīng)用下面的指南。在評價過程中，應(yīng)當(dāng)實施一定的剪裁。

（1）如果一個項目有可能是安全相關(guān)的，則應(yīng)該對照安全性管理過程域的專用實踐和安全性工程過程域中的“SG1識別危險、事故和危險源”及“SG5支持安全性驗收”對其進(jìn)行評價。

（2）如果一個項目達(dá)到了安全性工程過程域的SG1和SG5，并且因此確定該項目是安全相關(guān)的，則應(yīng)對照安全性工程過程域中的“SG2分析危險，進(jìn)行風(fēng)險評估”對其進(jìn)行評價。

（3）如果一個項目達(dá)到了安全性工程過程域的SG2，并且因此確定該項目存在安全性需求，則應(yīng)對照安全性工程過程域中的“SG3定義和維護(hù)安全性需求”和“SG4安全性設(shè)計”對其進(jìn)行評價。

表2說明了可以選擇的安全性能力成熟度模型過程域和目標(biāo)。

表2 過程域選擇示例

對項目決策正確性的評估，包括對安全關(guān)鍵或非安全關(guān)鍵分類正確性的評估，不是對照安全性能力成熟度模型進(jìn)行評價的組成部分。

4.2 過程改進(jìn)需要考慮的事項

對于一個組織如何獲得安全性活動的能力，安全性能力成熟度模型+SAFE提供了指南。與其它CMMI過程域一樣，指南也包括如下三部分。第一，組織實施其安全性活動必須達(dá)到什么目標(biāo)，即過程域的專用和共用目標(biāo)，這些目標(biāo)是“必需的”部分；第二，組織如何能夠達(dá)到這些目標(biāo)，即“期望的”和“資料性的”部分，包括專用實踐、共用實踐詳細(xì)說明、學(xué)科擴(kuò)充和子實踐等部件；第三，使用能力水平表示的過程域結(jié)構(gòu)，即改進(jìn)優(yōu)先級和依賴關(guān)系的指南。

另外，安全性能力成熟度模型還提供了下述使用安全性過程域的專用指南。

（1）安全性能力成熟度模型不要求使用特定的安全性標(biāo)準(zhǔn)。如果組織已經(jīng)選擇了特定的標(biāo)準(zhǔn)，或者是合同要求了特定的標(biāo)準(zhǔn)，安全性能力成熟度模型框架是為適應(yīng)這些標(biāo)準(zhǔn)的方法和技術(shù)開發(fā)的，適用時，包括+SAFE專用和共用實踐的可替代實踐。

（2）安全性過程高度依賴于支持類過程域，特別是配置管理、過程和產(chǎn)品質(zhì)量保證，以及決策分析和決定過程域。在較低程度上，安全性過程域還依賴于測量和分析，以及原因分析和決定過程域。這些過程域的有效實施對于安全能力的持續(xù)改進(jìn)是至關(guān)重要的。

（3）安全性過程特別強(qiáng)調(diào)驗證和確認(rèn)資源的獨立性，以及向安全性管理人員和參與人員通報的渠道，特別是問題上報渠道的獨立性。

5 結(jié)束語

安全性能力成熟度模型作為CMMI在安全性方面的擴(kuò)展，為改進(jìn)產(chǎn)品開發(fā)企業(yè)的安全性過程能力，以及評估一個企業(yè)的安全性過程能力水平和等級提供了一個模型框架。通過該模型的應(yīng)用，可以有效地提高安全關(guān)鍵產(chǎn)品開發(fā)企業(yè)的安全性過程能力，并且為選擇安全關(guān)鍵產(chǎn)品開發(fā)企業(yè)提供了手段。因此，在國內(nèi)安全相關(guān)領(lǐng)域應(yīng)盡早開展安全性能力成熟度模型的應(yīng)用和推廣工作，將安全性能力成熟度模型和產(chǎn)品開發(fā)能力成熟度模型結(jié)合起來，全面提高和改進(jìn)安全關(guān)鍵產(chǎn)品開發(fā)企業(yè)的開發(fā)過程能力和安全性過程能力，并將兩個模型綜合起來作為評價和選擇安全關(guān)鍵產(chǎn)品開發(fā)企業(yè)的基礎(chǔ)和標(biāo)準(zhǔn)。 ◇

［1］CMMI Product Development Team.CMMI for Development，Version 1.2.Pittsburgh， PA:Software Engineering Institute， Carnegie Mellon University，August 2006.

［2］Australian Department of Defence.+SAFE，V1.2-A Safety Extension to CMMI-DEV，V1.2.Pittsburgh，PA:Software Engineering Institute，Carnegie Mellon University，March 2007