EN50128铁路应用——通信、信号和处理系统——铁路控制和防护系统软件.doc

EN 50128 : 2001 铁路应用——通信、信号和处理系统——铁路控制和防护系统软件 2007.6序言 本欧洲标准是SC 9XA,即通信，信号传输和处理系统技术委员会（CENELEC TC 9X）制订，铁路电气和电子应用的标准。草案文本作为EN 50128正式提交投票并于2000-11-01获得CENELEC批准。 修改了下列日期 --欧盟各国必须通过认可或发布相同的国家标准来执行本欧洲标准的截止日期 2001 -1 1-01 --与本欧洲标准冲突的国家标准必须被废止的截止日期 2003-1 1-01 本欧洲标准必须与EN50126铁路应用——可靠性，可用性，可维护性和安全性（RAMS）；EN50129铁路应用——信号领域的安全相关电子系统“规范性的”是本项标准主体的一部分。 附件中指定的“参考性的”只用于获得的信息。 本项标准中，附件A是规范性的而附件B是参考性的。 目录 引言 范围 参考文献 定义 目标和符合 软件安全完整性等级 5．1目标 5．2需求 人员及职责 6．1目标 6．2需求 生命周期和文档 7．1目标 7．2需求 软件需求规格说明 8．1目标 8．2输入文档 8．3输出文档 8．4需求 软件体系结构 9．1目标 9．2输入文档 9．3输出文档 9．4需求 软件设计和实现 10．1目标 10．2输入文档 10．3输出文档 10．4需求 软件验证和测试 11．1目标 11．2输入文档 11．3输出文档 11．4需求 软件/硬件集成 12．1目标 12．2输入文档 12．3输出文档 12．4需求 软件确认 13．1目标 13．2输入文档 13．3输出文档 13．4需求 软件评估 14．1目标 14．2输入文档 14．3输出文档 14．4需求 软件质量保障 15．1目标 15．2输入文档 15．3输出文档 15．4需求 软件维护 16．1目标 16．2输入文档 16．3输出文档 16．4需求 根据应用数据配置的系统 17．1目标 17．2输入文档 17．3输出文档 17．4需求 17．4．1数据准备生命周期 17．4．2数据准备程序和工具 17．4．3软件开发 附件A：技术和措施的选择准则 附件B：技术参考书目 附图 图1——安全相关系统的完整性等级 图2——软件安全性路径图 图3——开发生命周期1 图4——开发生命周期2 图5——独立性与软件完整性等级 图6——通用系统开发和应用开发之间的关系  引言 本标准是相关标准系列中的一部分。其他标准有EN50126铁路应用——可靠性，可用性，可维护性和安全性（RAMS）；EN50129铁路应用——信号领域的安全相关电子系统WG9的工作形成了一个安全系统软件通用标准，现在该标准是IEC61508的一部分。WG9工作的特别之处是包含了适用于非安全软件的软件安全完整性0级，以及适用于安全相关和安全苛求软件的软件安全完整性1~4级。本标准也覆盖了所有五个软件安全完整性等级。 国际铁路信号工程师协会EN 50126 和EN 50129规定了分配给软件的安全性功能。 本欧洲标准规定了满足这些需求的必要措施。这个过程在图1作了说明。 EN50126和EN50129需采用系统性的方法，以： 确定危险、风险和风险准则； 为满足风险准则，确定必要的风险降低； 为实现必要的风险降低，定义一个全面的系统安全性需求规格说明； 选择一个合适的系统体系结构； 规划、监督和控制那些把系统安全性需求规格说明变成安全性能(或安全完整性)已确认的安全相关系统 所必需的技术和管理活动。 在分解需求规格说明形成由安全相关系统和组件组成的设计说明时，需要进一步分配安全完整性等级，并最终形成所需的软件安全完整性等级。 目前，无论是质量保证法(即避错措施)还是软件容错法的应用，都无法保证系统的绝对安全。尚未发现可以证明一个较复杂的安全相关软件中不存在错误的方法，特别是规格说明和设计的错误。 以下规则应用于开发高安全完整性等级软件，但也不仅限于开发高安全完整性等级软件： 自顶向下的设计方法； 模块化； 开发生命周期每一阶段的验证； 验证后的模块和模块库； 清晰的文档； 可审计的文档； 确认测试。 这些规则以及相关的其他规则必须正确应用。对于各个软件安全完整性等级，本标准均规定了说明这一点所需的保证等级。 在得到或形成了系统安全性需求规格说明后，分配给软件的安全性功能和系统安全完整性等级就确定了，图2给出了应用本欧标的功能步骤，如下所示： 定义软件需求规格说明，同时考虑软件体系结构。软件体系结构是为软件和软件安全完整性等级开发基本安全策略的架构。(条款5、8和9) 根据软件质量保障计划、软件安全完整性等级和软件生命周期来设计、开发和测试软件。(条款10) 在目标硬件上集成软件。(条款12