路径: 主页 > GB/T > 第116页 > GB/T 28808-2012 | 标准编号 | GB/T 28808-2012 (GB/T28808-2012) | | 中文名称 | 轨道交通 通信、信号和处理系统 控制和防护系统软件 | | 英文名称 | Railway applications -- Communication, signaling and processing systems -- Software for railway control and protection systems | | 行业 | 国家标准 (推荐) | | 中标分类 | S04 | | 国际标准分类 | 45.060 | | 字数估计 | 89,888 | | 引用标准 | GB/T 28809-2012; IEC 60050-191; IEC 62278; IEC 62280-1; IEC 62280-2; ISO/IEC 2382-1; ISO/IEC 9126.1; ISO 9000-20001; ISO 9000-3-19971; ISO 9001-19941; IEEE 610.12; ISO/IEC 2382-13; ISO/IEC 2382-14; ISO/IEC 2382-15; ISO/IEC 2382-16; ISO/IEC 2382-17; ISO/IE | | 采用标准 | IEC 62279-2002, IDT | | 标准依据 | 国家标准公告2012年第28号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了轨道交通控制和防护设备应用中可编程电子系统开发所需的规程和技术要求, 适用于任何有隐含安全性的领域。这些应用系统的范围涵盖了从安全苛求系统(如安全信号系统)到非安全苛求系统(如管理信息系统)。这些系统可能通过采用专用微处理器, 可编程逻辑控制器, 分布式多处理器系统, 大规模集中处理器系统或者其他结构来实现。本标准只适用于软件以及软件和系统之间的交互作用。0级以上的软件安全完整性等级用于失效可导致人员死亡后果的系统。然而, 从经济或环境因素方面考虑也能采用高级别的安全完整性等级。本标准适用于轨道交通控制 | GB/T 28808-2012
ICS 45.060
S04
中华人民共和国国家标准
轨道交通 通信、信号和处理系统
控制和防护系统软件
(IEC 62279:2002,IDT)
2012-11-05发布
2013-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 目标和一致性 5
5 软件安全完整性等级 5
5.1 目标 5
5.2 要求 5
6 人员和职责 6
6.1 目标 6
6.2 要求 6
7 生命周期和文档 7
7.1 目标 7
7.2 要求 7
8 软件需求规范 9
8.1 目标 9
8.2 输入文档 9
8.3 输出文档 9
8.4 要求 10
9 软件结构 11
9.1 目标 11
9.2 输入文档 11
9.3 输出文档 11
9.4 要求 11
10 软件设计和实现 12
10.1 目标 12
10.2 输入文档 12
10.3 输出文档 12
10.4 要求 12
11 软件验证和测试 14
11.1 目标 14
11.2 输入文档 14
11.3 输出文档 14
11.4 要求 15
12 软件/硬件集成 16
12.1 目标 16
12.2 输入文档 16
12.3 输出文档 17
12.4 要求 17
13 软件确认 17
13.1 目标 17
13.2 输入文档 18
13.3 输出文档 18
13.4 要求 18
14 软件评估 19
14.1 目标 19
14.2 输入文档 19
14.3 输出文档 19
14.4 要求 19
15 软件质量保证 20
15.1 目标 20
15.2 输入文档 20
15.3 输出文档 20
15.4 要求 20
16 软件维护 21
16.1 目标 21
16.2 输入文档 21
16.3 输出文档 21
16.4 要求 22
17 基于应用数据配置的系统 22
17.1 目标 22
17.2 输入文档 23
17.3 输出文档 23
17.4 要求 23
附录A(规范性附录) 技术和措施的选择准则 31
附录B(资料性附录) 技术参考资料 42
附录NA(资料性附录) 与规范性引用国际文件有关的我国文件 81
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准采用翻译法等同采用IEC 62279:2002《轨道交通 通信、信号和处理系统 控制和防护系
统软件》。
与本标准中规范性引用文件有一致性对应关系的我国文件见附录NA。
本标准做了下列编辑性修改:
---将第3章中引用的IEC 60050-191、ISO/IEC 2382、ISO/IEC 9126、IEEE610.12文件补充到
第2章规范性引用文件中;
---修改了IEC 62279:2002中第2章的脚注1,因为IEC 62278已发布;脚注1改为对ISO 9000、
ISO 9000-3、ISO 9001提醒存在新版文件;
---采用等同采用IEC 62425:2007的GB/T 28809-2012代替ENV50129;
---修订正文中引用的ISO 9000、ISO 9000-3、ISO 9001的版本号,与第2章声明的版本号一致;
---IEC 62279:2002的一级子列项编号采用的是i)、i)、或1)、2)、,本标准中统一修改为字母
编号形式:a)、b)、;
---附录B中,对每章内的单列一行的黑体字符“目标”、“描述”和“参考文献”进行编号,以符合中
文习惯。
本标准由中华人民共和国铁道部提出。
本标准由全国牵引电气设备与系统标准化技术委员会(SAC/TC278)归口。
本标准主要起草单位:同济大学、铁道部标准计量研究所。
本标准参加起草单位:株洲南车时代电气股份有限公司、北京全路通信信号研究设计院。
本标准主要起草人:徐中伟、赵天时、王奇。
本标准参加起草人:范祚成、孙超、严云升、陈邦兴、黄银霞、呼爱蝉、牛道恒。
引 言
本标准与 GB/T 21562(IEC 62278)和 GB/T 28809-2012(IEC 62425:2007,IDT)配套使用。
GB/T 21562(IEC 62278)适用于大范围的系统问题,而GB/T 28809-2012(IEC 62425:2007,IDT)适
用于整个轨道交通控制和防护系统中某单个系统的批准过程。为提供满足安全完整性要求的软件,本
标准关注于通过更全面考虑后提出软件安全完整性要求所要采用的方法。
本标准从IEC/TC65第九工作组(WG9)早期工作中得到很多指导。
同时,对铁路信号工程师协会(IRSE)的工作也加以了考虑,特别是关注相同主题的1号技术报告。
本标准的关键思想是其对软件安全完整性等级的考虑。软件失效的后果越严重,软件安全完整性
等级也就越高。
本标准确定了从最低0级到最高4级的5个软件安全完整性等级的技术和措施。其中1级~4级
指的是安全相关软件,0级指的是非安全相关软件。将0级包括进本标准是为了让非安全相关系统软
件开发向安全相关系统软件开发实现顺利过渡。附表给出了各个软件安全完整性等级和非安全相关等
级要求的技术和措施。在本版本中,1级和2级的技术要求相同,3级和4级的要求相同。本标准没有
给出某一风险应适用于哪个软件安全完整性等级的具体指导意见。这一结论需要考虑诸多因素,包括
应用的特性、其他系统承担的安全功能范围以及社会和经济因素。
软件安全功能的分配由 GB/T 21562(IEC 62278)和 GB/T 28809-2012(IEC 62425:2007,
IDT)规定。
本标准规定了满足这些需求的必要措施。该过程见图1。
GB/T 21562(IEC 62278)和GB/T 28809-2012(IEC 62425:2007,IDT)需采用系统性的方法,以:
a) 确定危害、风险和风险准则;
b) 为满足风险准则,确定必要的风险降低(措施);
c) 为实现所需的风险降低,为必要的安全防护措施定义一个全面的系统安全需求规范;
d) 选择一个合适的系统结构;
e) 规划、监督和控制那些把系统安全需求规范变成安全性能(或安全完整性)已确认的安全相关
系统。
在将该规范分解到由安全相关系统和组件组成的设计当中时,对安全完整性等级的进一步分配就
完成了,并最终形成所需的软件安全完整性等级。
目前,无论是质量保证法(即避错措施)还是软件容错法的应用,都无法保证系统的绝对安全。尚未
发现可证明一个较复杂的安全相关软件中不存在错误的方法,特别是规范和设计的错误。
在开发高度完整性软件时采取但不仅限于以下原则:
a) 自顶向下的设计方法;
b) 模块化;
c) 开发生命周期每个阶段的验证;
d) 经验证的模块和模块库;
e) 清晰的文档;
f) 可审核的文档;
g) 确认测试。
这些原则以及相关的其他原则应正确应用。本标准规定了在每个软件安全完整性等级下证明其
(保证能处于该安全完整性等级)所需的保证等级。
在得到或形成了系统安全需求规范后,分配给软件的安全功能和系统安全完整性等级就确定了,图
2给出了应用本标准的功能步骤,并如下所示:
a) 定义软件需求规范,同时考虑软件结构。软件结构是为软件和软件安全完整性等级开发基本
安全策略的架构 (第5章、第8章和第9章)。
b) 根据软件质量保证计划、软件安全完整性等级和软件生命周期来设计、开发和测试软件 (第10
章)。
c) 在目标硬件上集成软件 (第12章)。
d) 确认软件 (第13章)。
e) 如果在运行过程中需要软件维护,那么可再适当运用本标准进行处理 (第16章)。
许多活动都是在软件开发过程中交叉进行的,这其中包括验证(第11章)、评估(第14章)和质量保
证(第15章)。
给出了由应用数据所配置的系统的需求(第17章)。
给出了从事软件开发人员能力的需求 (第6章)。
本标准没有强制要求使用特定的软件开发生命周期,但是给出了推荐的生命周期和文档集 (第7
章,图3和图4)。
针对5个软件安全完整性等级明确制定了各种技术和措施表格。表格见附录A。对表格交叉引用
的是对每个技术或措施做了简要描述的、同时附带更多信息源做参考的文献目录。附录B列出了文献
目录。
轨道交通 通信、信号和处理系统
控制和防护系统软件
1 范围
1.1 本标准规定了轨道交通控制和防护设备应用中可编程电子系统开发所需的规程和技术要求,适用
于任何有隐含安全性的领域。这些应用系统的范围涵盖了从安全苛求系统(如安全信号系统)到非安全
苛求系统(如管理信息系统)。这些系统可能通过采用专用微处理器,可编程逻辑控制器,分布式多处理
器系统,大规模集中处理器系统或者其他结构来实现。
1.2 本标准只适用于软件以及软件和系统之间的交互作用。
1.3 0级以上的软件安全完整性等级用于失效可导致人员死亡后果的系统。然而,从经济或环境因素
方面考虑也能采用高级别的安全完整性等级。
1.4 本标准适用于轨道交通控制和防护系统开发和实现中的所有软件,包括:
---应用程序设计;
---操作系统;
---支持工具;
---固件。
应用程序设计包括高级程序设计,低级程序设计和专用程序设计(如可编程逻辑控制器梯形逻辑)。
1.5 本标准还涉及了标准、商用软件和工具的使用。
1.6 本标准还对由应用数据配置的系统提出了要求。
1.7 本标准并不涉及商务问题,这些问题宜作为合同的基本部分提出。但本标准中的所有条款在任何
商务活动中都需被仔......
|