EN 50128铁路应用—通信、信号和处理系统—铁路控制和防护系统软件.doc
《EN 50128铁路应用—通信、信号和处理系统—铁路控制和防护系统软件.doc》由会员分享,可在线阅读,更多相关《EN 50128铁路应用—通信、信号和处理系统—铁路控制和防护系统软件.doc(207页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 EN50128:2001EN 50128 : 2001铁路应用通信、信号和处理系统铁路控制和防护系统软件2007.6200序言本欧洲标准是SC 9XA,即通信,信号传输和处理系统技术委员会(CENELEC TC 9X)制订,铁路电气和电子应用的标准。草案文本作为EN 50128正式提交投票并于2000-11-01获得CENELEC批准。修改了下列日期-欧盟各国必须通过认可或发布相同的国家标准来执行本欧洲标准的截止日期 2001 -1 1-01-与本欧洲标准冲突的国家标准必须被废止的截止日期 2003-1 1-01本欧洲标准必须与EN50126铁路应用可靠性,可用性,可维护性和安全性(RAMS
2、);EN50129铁路应用信号领域的安全相关电子系统同时阅读。附件中指定的“规范性的”是本项标准主体的一部分。附件中指定的“参考性的”只用于获得的信息。本项标准中,附件A是规范性的而附件B是参考性的。目录引言1. 范围2. 参考文献3. 定义4. 目标和符合5. 软件安全完整性等级51目标52需求6. 人员及职责61目标62需求7. 生命周期和文档71目标72需求8. 软件需求规格说明81目标82输入文档83输出文档84需求9. 软件体系结构91目标92输入文档93输出文档94需求10. 软件设计和实现101目标102输入文档103输出文档104需求11. 软件验证和测试111目标112输入文
3、档113输出文档114需求12. 软件/硬件集成121目标122输入文档123输出文档124需求13. 软件确认131目标132输入文档133输出文档134需求14. 软件评估141目标142输入文档143输出文档144需求15. 软件质量保障151目标152输入文档153输出文档154需求16. 软件维护161目标162输入文档163输出文档164需求17. 根据应用数据配置的系统171目标172输入文档173输出文档174需求1741数据准备生命周期1742数据准备程序和工具1743软件开发附件A:技术和措施的选择准则附件B:技术参考书目附图图1安全相关系统的完整性等级图2软件安全性路径图
4、图3开发生命周期1图4开发生命周期2图5独立性与软件完整性等级图6通用系统开发和应用开发之间的关系引言本标准是相关标准系列中的一部分。其他标准有EN50126铁路应用可靠性,可用性,可维护性和安全性(RAMS);EN50129铁路应用信号领域的安全相关电子系统。EN50126适用于大范围的系统问题,而EN50129适用于整个铁路控制和防护系统中某单个系统的批准过程。本标准关注于需要使用的方法,以使软件能满足经全面考虑后所分配到的安全完整性要求。本标准从IEC/TC65第九工作组(WG9)早期工作中得到很多指导。WG9的工作形成了一个安全系统软件通用标准,现在该标准是IEC61508的一部分。W
5、G9工作的特别之处是包含了适用于非安全软件的软件安全完整性0级,以及适用于安全相关和安全苛求软件的软件安全完整性14级。本标准也覆盖了所有五个软件安全完整性等级。国际铁路信号工程师协会(IRSE)的工作也被考虑进来,特别是它关注相同课题的1号技术报告。本欧洲标准的一个关键概念是软件安全完整性等级。软件失效后果的危险性的越大,软件安全完整性等级也就越高。本欧洲标准确定了从最低0级到最高4级的5个软件安全完整性等级的技术和措施。其中14这四个级别涉及安全相关软件,0级涉及非安全相关软件。对0级进行标准化是为了让非安全相关系统软件向安全相关系统软件进行平滑转变。附表给出了各个软件安全完整性等级和非安
6、全相关等级要求的技术和措施。在这个版本中,1级和2级的技术要求相同,3级和4级的要求相同。本欧洲标准没有给出某一风险应适用于哪个软件安全完整性等级的具体指导意见。这个结论需要考虑许多因素包括应用的特性、其他系统承担的安全性功能范围和社会以及经济因素。EN 50126 和EN 50129规定了分配给软件的安全性功能。本欧洲标准规定了满足这些需求的必要措施。这个过程在图1作了说明。EN50126和EN50129需采用系统性的方法,以:1) 确定危险、风险和风险准则;2) 为满足风险准则,确定必要的风险降低;3) 为实现必要的风险降低,定义一个全面的系统安全性需求规格说明;4) 选择一个合适的系统体
7、系结构;5) 规划、监督和控制那些把系统安全性需求规格说明变成安全性能(或安全完整性)已确认的安全相关系统 所必需的技术和管理活动。在分解需求规格说明形成由安全相关系统和组件组成的设计说明时,需要进一步分配安全完整性等级,并最终形成所需的软件安全完整性等级。目前,无论是质量保证法(即避错措施)还是软件容错法的应用,都无法保证系统的绝对安全。尚未发现可以证明一个较复杂的安全相关软件中不存在错误的方法,特别是规格说明和设计的错误。以下规则应用于开发高安全完整性等级软件,但也不仅限于开发高安全完整性等级软件:1) 自顶向下的设计方法;2) 模块化;3) 开发生命周期每一阶段的验证;4) 验证后的模块
8、和模块库;5) 清晰的文档;6) 可审计的文档;7) 确认测试。这些规则以及相关的其他规则必须正确应用。对于各个软件安全完整性等级,本标准均规定了说明这一点所需的保证等级。在得到或形成了系统安全性需求规格说明后,分配给软件的安全性功能和系统安全完整性等级就确定了,图2给出了应用本欧标的功能步骤,如下所示:1) 定义软件需求规格说明,同时考虑软件体系结构。软件体系结构是为软件和软件安全完整性等级开发基本安全策略的架构。(条款5、8和9)2) 根据软件质量保障计划、软件安全完整性等级和软件生命周期来设计、开发和测试软件。(条款10)3) 在目标硬件上集成软件。(条款12) 4) 确认软件。(条款1
9、3) 5) 如果在运行过程中需要软件维护,那么可再适当运用本欧洲标准进行处理。(条款16)许多活动都是在软件开发过程中交叉进行的,这其中包括验证(条款11),评估(条款14)和质量保障(条款15)。给出了应用数据配置的系统的需求(条款17)。给出了从事软件开发人员能力的需求。(条款7)本标准没有硬性要求使用特定的软件开发生命周期,但是给出了一个推荐的生命周期及文档集。(条款7,图3和图4)表格针对5个软件安全完整性等级明确罗列了各种技术和措施。表格在附件A中给出。与表格对照的参考书目提供了更多的信息,给出了每项技术和措施的简明描述。参考书目在附件B中给出。1 范围1.1 本欧洲标准详细规定了铁
10、路控制和防护设备用的可编程电子系统开发所需的程序和技术要求。它适用于任何有隐含安全性的领域。这些应用系统的范围涵盖了安全苛求系统,如安全信号,非安全苛求系统,如管理信息系统。这些系统可能通过采用专用多处理器,可编程逻辑控制器,分布式多处理器系统,大规模集中处理器系统或者其它架构来实现。1.2 本欧洲标准专门应用于软件以及软件和系统之间的相互作用。1.3 0级以上的软件安全完整性等级用于失效可引起失去生命的后果的系统。然而,从经济或环境因素方面考虑也能采用高级别的安全完整性等级。1.4 本欧洲标准适用于铁路控制和防护系统开发和实现的所有软件,包括:应用程序设计;操作系统;支持工具;固件。应用程序
11、设计包括高级程序设计,低级程序设计和专用程序设计(如:可编程逻辑控制器梯形逻辑)。1.5 本欧洲标准还涉及了本标准的使用、商用软件和工具。1.6 本欧洲标准还对应用数据配置的系统提出了要求。1.7 本欧洲标准并不涉及商务问题,这些问题应为合同的基本部分被提出。但本欧洲标准中的所有条款在任何商务活动中都需被仔细考虑。1.8 本欧洲标准为避免追溯,主要应用于新的开发。对于现有系统,仅当进行主要修改时才进行全面应用,对于次要修改,只要应用条款16。2 规范性参考文献本欧洲标准需与标注日期或未标注日期的参考文献以及其他出版物中条款相结合。这些规范性参考文献将在文中合适的位置被引用,相应的出版物将在下面
12、列出。对于标注日期文献的后续修改或修订,本欧洲标准需通过修改或修订进行结合来应用。对于未标注日期的文献,则应用最新版本(包括修改)。EN50126,铁路应用可靠性,可用性,可维持性和安全性(RAMS)的规格和说明;EN50129*,铁路应用信号领域的安全相关电子系统;EN50159-1,铁路应用通信,信号和处理系统第一部分:封闭传输系统中的安全通信;EN50129-1,铁路应用通信,信号和处理系统第二部分:开放传输系统中的安全通信;EN ISO 9001,质量体系设计/开发,生产,安装和维护的质量保证模型;EN ISO 9001-3,质量管理和质量保证标准第三部分:ISO9001:1994在计
13、算机软件的开发,供应,安装和维护应用的指导。3 定义以下定义适用于此欧洲标准.对于未定义的术语,按照优先顺序查阅以下参考文献。EN ISO 8402,质量管理和质量保证词汇表;IEC 60050-191,国际电工词汇第191章:服务可信性和质量;IEEE 610.12, IEEE标准软件工程术语词汇表;ISOIIEC 2382,信息技术词汇表;ISOIIEC 9126,信息技术软件产品评估质量特性以及其使用指导;3.1 评估(assessment)用于确定设计主管机构和确认员所完成的产品是否符合规定的要求和判定产品是否达到预期目的的分析过程。3.2 评估员(assessor)受委托执行评估的人
14、员或者代理。3.3 可用性(availability)假定所需外部资源均能满足的条件下,产品在规定的条件下,在规定的时刻或在给定的时间间隔内完成要求功能的能力。3.4 商用软件(COTS software)市场需求所定义、市场已存在且其目标满足性已得到广大商业用户证明的软件。3.5 设计主管机构(design authority)负责提出实现特定需求的设计方案,并监控后期的开发和系统在特定环境下工作的实体。3.6 设计者(designer)一个或多个由设计主管机构指派的人员,他们承担需求分析并将特定需求转化成可接受且有相应安全完整性的设计方案。3.7 元素(element)被确认为基本单元和基
15、本部件的某产品的一部分。一个元素可以是简单或者复杂的。3.8 错误(error)与期望的设计相背离,并有可能导致未预料到的系统行为或失效。3.9 失效(failure)与规定的系统行为相背离。失效是系统错误或故障的结果。3.10 故障(fault)一种能导致系统错误或失效的不正常情形,故障可以是系统性或随机性的。3.11 避错(fault avoidance)在系统设计和构造的过程中使用避免引入故障的设计技术。3.12 容错(fault tolerance)在出现有限数量的软硬件故障的情况下,系统能继续提供正确的规定服务的内嵌能力 3.13 固件(firmware)指令和存储在一个功能独立主存
16、储器(通常是ROM)中的相关数据的有序集合3.14 通用软件(generic software)通用软件是只要提供应用相关的数据就可以应用于多种系统装置的软件。3.15 实现人员(implementer)由设计主管机构委派、具体实现特定设计的一个或更多人员3.16 产品(product)为满足特定需求,收集元素并进行互连以形成一个系统,子系统或者设备。本欧洲标准中,产品可被视为完全由软件或者文档元素构成。3.17 可编程逻辑控制器(PLC)具备面向指令存储的用户可编程存储器、能实现轨定功能的固态控制系统。3.18 可靠性(reliability)设备在规定的条件下,在规定的时间内执行要求功能的
17、能力。3.19 需求可追溯性(requirement traceability)需求可追溯性的目标是确保所有的需求能被证明已得到满足3.20 风险(risk)某特定危险事件的频率或概率和后果的组合。3.21 安全性(safety)无不可接受的风险等级。3.22 安全主管机构(safety authority)负责证实安全相关系统适于工作并符合法令、规章规定的安全性需求的实体。3.23 安全相关软件(safety-related software)负有安全责任的软件。3.24 软件(software)由程序、过程、规则和系统运行相关的文档组成的智力创造。3.25 软件生命周期(software
18、life cycle)从软件构思开始到软件不再可用结束的时期内发生的活动。典型的软件生命周期包括一个需求阶段,开发阶段,测试阶段,集成阶段,安装阶段和一个维护阶段。3.26 软件可维性(software maintainability)系统能被修改以纠正故障、改进性能或其它特性,或适应不同环境的能力。3.27 软件维护(software maintenance)它是指在软件被最终用户接收后所进行的活动或活动集合,它的目的在于改善,增加或纠正软件的功能。3.28 软件安全完整性等级(software safety integrity level)一组分级数字,它确定了为将残留软件故障降低到一个适
19、当水平所必须采用的技术和措施。3.29 系统安全完整性等级(system safety integrity level)表示系统能满足规定安全特性的置信度的数字。3.30 可追溯性(traceability)能在开发过程中确定两个或者多个产品之间关系的程度,尤其是那些与其它产品构成前/后代或上/下级关系的。 3.31 确认(validation)通过测试和分析,表明产品在各个方面符合规定需求的证实行为。3.32 确认员(validator)被委派来做确认工作的人或者代理。3.33 验证(verification)通过测试和分析,表明系统生命周期的各阶段的输出符合前一阶段的需求的一种决定性行为。
20、3.34 验证员(verifier)被委派来做验证工作的人或代理。4 目标和符合4.1 在以下每个条款中,将详细地描述其目标和要求。4.2 为遵从本欧洲标准,应表明依据规定的软件安全完整性等级每一项需求都已得到满足,因而也满足条款的目标。4.3 如果一个需求附有“在软件安全完整性等级要求的范围内”的词句,则表示可用一定范围内的技术和措施来满足该需求。4.4 在上述条款适用的地方,应使用本欧洲标准详细给出的表格来帮助选择与软件安全完整性等级相适应的技术和措施。4.5 如果某一技术或措施在表格中被列为强力推荐,那么不使用该技术的理由应在软件质量保证计划中或软件质量保证计划参考的其他文件中作详细说明
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- EN 50128铁路应用通信、信号和处理系统铁路控制和防护系统软件 50128 铁路 应用 通信 信号 处理 系统 控制 防护 系统软件
限制150内