欧洲铁路标准前言(中文版en50128).docVIP

PAGE PAGE 56 绪论 该欧洲标准应和EN50126——2：“铁路应用——引导运输系统可信性——第二部分：安全性”，以及EN50129：“铁路应用——安全电子铁路控制和防护系统”一起阅读。 欧洲标准的关键概念是软件完善度等级。软件完善度等级越高，由软件规格说明或由设计缺陷所引起的系统危险失效和可能性就越小。 欧洲标准建立了为软件完善度的5个相应的技术和措施，其中0等级最低，4等级最高。等级1到4标征安全软件，而等级0标征非安全软件。将0等级也包括在其中的目的是为了实现非安全性软件开发和安全软件开发之间的平稳过渡，表中列出了完善度等级所要求的技术和措施。在这一版中，等级1和等级2相同，等级3和等级4所要求的技术相同，对于某一给定的危险哪一软件完善度用于它，欧洲标准没有加以指明。这将取决于多种原因，包括应用特征、其它系统实现安全性功能的限度、以及社会和经济因素。 EN50126——2：“铁路应用——引导运输系统可信性——第二部分：安全性”，以及EN50129：“铁路应用——安全电子铁路控制和防护系统”的作用就是详细说明分配给软件的安全性功能以及软件所要求的完善度等级。欧洲标准详细解释了要达到这些要求所必需的措施。 EN50126——2：“铁路应用——引导运输系统可信性——第二部分：安全性”和EN50129：“铁路应用——安全电子铁路控制和防护系统”要求将系统化的方法用于： 确定危险、风险和风险准则； 确定为满足风险准则所必须进行的风险缩减； 为满足风险准则必需的安全监护定义整个系统的安全性需求规格说明； 选择一个合适的系统结构； 规划、监督和控制那些把系统安全性要求规格说明转换为具有确认的安全性（或安全性完善度）的安全系统所需的技术方面和管理方面的活动。 在EN50126——2：“铁路应用——安全电子电路控制和防护系统”中，为满足所要求的风险准则必须进行的风险缩减将被指定为上述五个软件完善度等级之一，并示于图1中。风险率是在对危害事件的后果（或严重程度）和频率进行评估的基础上而获得的。图1也指明了如何将规格说明分解为一个构造安全系统的设计，以及元器件如何实现安全性完善度等级的进一步分配。最后就导出了所要求的软件完善度等级，它同功能要求一起作为本标准所述活动的出发点。 从表面上看，一个运行的可靠系统可以被自动地假定为是一个安全系统，但详细分析后表明，必要的时候，仅仅有高可靠性还不足保证安全性。 可靠性是面向系统目标、预期作用（服务），以及系统所希望执行的特定任务范围的。可靠性要求研究服务的连续提供能力。 安全性研究可能事件的起因、后果，以及导致产生非所希望输出的顺序关系。安全性要求研究如何制作一个不会引发事故的系统。安全性要求将确保系统不会进入危险或不安全的状态，而在该状态，某一事件可能会引发事故。 从安全性角度看，系统是否按要求去工作不是十分紧要的，只要它不违背安全性要求就行。从另一方面讲，非常可靠的系统也有可能是不安全的。 考虑一个用两台计算机按动态冗余方式构成的故障安全系统。两台计算机的输出相互比较以检测其中之一可能出现的失效。这一失效出现之后……。 如果要求高安全性，两台计算机都需停机，并且进程也要求被导入一个安全的停止返回状态。由于没有什么办法能确定是哪台计算机出错，所以系统不能提供进一步的服务。即使有很高的概率识别出出错的计算机，但要检测进一步的错误输出没有冗余是不可能做到的。 如果要达到很高的可靠性，那么就有可能在出错计算机被识别出来后，让（可能）无故障的计算机在没有任何冗余的情况下连续工作。 上例表明在安全性和可能性之间可能进行权衡。实际上，在设计过程中还要考虑其它的一些权衡，同时还要考虑成本对其它系统性能的影响，如可用性、可维护性及保险性。本欧洲标准的范围不包括对这些权衡的指导。 注意：IEC TC56 WGI中已建议将这一系统性能集合：可靠性、可用性、可维护性、安全性和保险性统一用一个术语来概括“可信性”。 软件本身有可靠性，即在给定输入后得到预期结果的能力。而对软件安全性，则有必要统观整个系统，必须要注意软件在特殊运用中的上下联系。如果对一个错误的排序算法不存在引起危险的可能性，那么谈论排序用安全软件是毫无意义的。 在现行技术条件下，无论是质量保证方法（所谓预防措施）的应用还是软件冗错方法的应用均不能保证系统的绝对安全性。现有方法无法证明在适当复杂的安全性软件中不存在错误，尤其是规格说明和设计中的错误。 开发高完善度软件等级软件的原则包括，但并不局限于以下几点： ——自上而下的设计方式； ——模块化； ——开发生命周期的每一阶段的验证； ——验证模块和模块库。 …… 本标准中不同的软件完善度等级要求有不同的保证等