EN50128:2001铁路应用-通信、信号和处理系统-铁路控制和防护系统软件——学习解读笔记

一、引言

1.1EN80128

EN80128(本文以下简称128）标准是相关标准系列的一部分，其他标准有

EN50126铁路应用-可靠性、可用性、可维护性和安全性（RAMS）

EN50129铁路应用-信号领域的安全相关电子系统等。

126适用于大范围的系统问题，129适用整个铁路控制和防护系统中的某单个系统的批准过程

128标准关注于需要适用的方法，以使软件能满足经全面考虑后所分配到的安全完整性要求

这里注意一下，128本质是一种方法，它是起指导意义，并不是具体实现方式，也不具备项目过程中的问题解决参考功能，在刚开始解读128标准的时候建立起这个概念还是很重要的

126、128和129在行业内比较出名，铁路信号行业打交道最多标准规范文件就是这三个。

以下就是标准的内容了，它的目录还是很有意思的，每条都是由4部分组成：目标、输入文档、输出文档、要求。极大方便了我们的解读（可能这也是制定标准的初衷之一吧）

1.2应用于高SIL等级的规则

无论质量保证法（避错措施）还是软件容错法的应用，都无法保证系统的绝对安全。尚未发现可以证明一个较复杂的安全相关软件中不存在错误的方法，特别是规格说明和设计错误。

以下规则应用于开发高SIL等级软件，但也不限于开发高SIL等级软件：

• 自定向下的设计方法
• 模块化
• 开发生命周期每一阶段的验证
• 验证后的模块和模块库
• 清晰的文档
• 可审计的文档(这里本人理解的是，受到管控且有评审流程等可溯源的清晰文档）
• 确认测试

这些规则以及相关的其他规则必须正确应用。对于各个软件SIL等级，本标准均规定了说明这一点所需的SIL等级

在得到或形成了系统安全性需求规格说明后，分配给软件的安全性功能和系统SIL等级也得到确定

（先系统后软件，在实际开发项目中，先有系统需求，确定整个系统的基调，也就是SIL等级，然后将整个系统分解成若干个子系统，各个子系统再根据子系统的各自系统需求定好SIL等级，然后输出软件需求，确定软件的安全性功能和SIL等级）

这里有个经验理解：所有环节应该是一环压一环，如果你的所有文档都是一环压一环且符合标准所规范的它就是个比较好的规范化开发活动

二、正文

1、软件安全完整性等级（SIL等级）

1.1目标

给软件指定软件SIL等级。

1.2要求

1.2.1依据EN50126和EN50129，应形成

- 系统需求规格说明书

- 系统安全性需求规格说明书

- 系统结构描述

- 系统安全性计划

其中包括：

• 安全性功能
• 系统配置或体系结构
• 硬件可靠性需求
• SIL需求

软件SIL等级应通过获得EN50126确定的SIL等级的一般过程来确定。

1.2.2应在系统中软件应用的风险水平和系统SIL等级的基础上决定需要的软件SIL等级。

1.2.3如没有进一步防范措施，软件SIL等级至少等于系统SIL等级。如果存在能预防软件模块失效导致系统进入不安全状态的机制，则可以降低模块的SIL等级。

1.2.4应考虑的风险与下列危险后果有关：

• 失去生命
• 使人受伤
• 环境污染
• 财产损失或损坏

1.2.5风险可被定量化，但不能以同样方式规定软件安全完整性（SIL）。因此，对于本标准（欧洲标准EN50128），软件安全完整性（SIL）等级被指定为下列五个等级之一

软件安全完整性（SIL）等级	软件安全完整性（SIL）等级描述
4	非常高
3	高
2	中等
1	低
0	非安全性

1.2.6在软件需求规格说明书中应指定软件安全完整性（SIL）等级（条款8：软件需求规格说明）。如果不同的软件组件有不同的软件安全完整性（SIL）等级，应在软件架构规格说明书中加以规定（条款9：软件体系结构）

2、人员及职责

2.1目标

2.2输入文档

2.3输出文档

2.4要求

3、生命周期和文档

3.1目标

3.2输入文档

3.3输出文档

3.4要求

4、软件需求规格说明

4.1目标

4.2输入文档

4.3输出文档

4.4要求

5、软件体系结构

5.1目标

5.2输入文档

5.3输出文档

5.4要求

6、软件设计和实现

6.1目标

6.2输入文档

6.3输出文档

6.4要求

7、软件验证和测试

7.1目标

7.2输入文档

7.3输出文档

7.4要求

8、软件/硬件集成

8.1目标

8.2输入文档

8.3输出文档

8.4要求

9、软件确认

9.1目标

9.2输入文档

9.3输出文档

9.4要求

10、软件评估

10.1目标

10.2输入文档

10.3输出文档

10.4要求

11、软件质量保障

11.1目标

11.2输入文档

11.3输出文档

11.4要求

12、软件维护

12.1目标

12.2输入文档

12.3输出文档

12.4要求

13、根据应用数据配置的系统

13.1目标

13.2输入文档

13.3输出文档

13.4要求

15、软件质量保证

15.1目标

15.1.1 

确定、监控所有保证软件达到要求的质量所必须采取的技术和管理的活动。为了提供针对系统故障所需的定性防护并确保形成一个审计踪迹以使验证和确认活动能有效地开展，这一点是必须做到的。

15.1.2

提供证据来证明以上活动已被完成

15.2输入文档

生命周期的每个极端使用的所有文档

15.3输出文档

1）软件质量保证计划

2）软件配置管理计划

所有上述计划均在项目开始时指定，并在生命周期过程中修改

15.4要求

15.4.1

供应商或开发上至少拥有和使用一个符合EN ISO 9000系列的质量保证系统，以支持本欧洲标准要求，强烈推荐EN ISO 9001认证

15.4.2

按照EN ISO 9000-3的知道方针，供应商和/或开发商以及客户对于软件开发至少执行EN ISO 9001的相关部分

15.4.3

供应商和/或开发商一个项目接一个项目地准备并用文档说明软件质量保证计划以完成本欧洲标准条款上两条要求，并尽可能以可度量形式表达出来

15.4.4

软件质量保证计划应有一段文字来规定在整个项目过程中其自身更新的细节：频度、责任、方法。

15.4.5

EN ISO 9000-3和本欧洲标准（包括附件 A）的所有章节中要求的活动，操作和文件等均应在软件质量保证计划中规定和草靠，并适应特定的开发。EN ISO 9000-3中没有一张列表被认为时彻底的。

除软件SIL0外，在软件质量保证计划中至少应说明或参考以下条款

这是为了确保覆盖软件中和选定软件SIL有关安全性方面

当前列表不是彻底的：

1）生命周期模型定义和每个极端定义，包括：

-活动和基本任务

-进入和退出准则：

-各阶段的输入和输出

-各阶段的主要质量活动

-对每一活动和基本任务负责的组织部门

2）需求追踪能力

3）文档结构追踪能力

4）与软件开发、验证、确认、运行和维护有关的文档

5）系统集成程序

6）使用的编码标准

7）对早期确认测试的评估

8）产品和过程度量（定量测量）的定义。为了实现软件产品度量，应参照ISO/IEC912的质量特征和评估方阵

15.4.6