GB/T 28808-2012轨道交通通信、信号和处理系统控制和防护系统软件

ICS45060

S04.

中华人民共和国国家标准

GB/T28808—2012/IEC622792002

:

轨道交通通信信号和处理系统

、

控制和防护系统软件

Railwaalications—Communicationsinalinandrocessinsstems—

ypp,ggpgy

Softwareforrailwaycontrolandprotectionsystems

(IEC62279:2002,IDT)

2012-11-05发布2013-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T28808—2012/IEC622792002

:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

32

目标和一致性……………

45

软件安全完整性等级……………………

55

目标…………………

5.15

要求…………………

5.25

人员和职责………………

66

目标…………………

6.16

要求…………………

6.26

生命周期和文档…………………………

77

目标…………………

7.17

要求…………………

7.27

软件需求规范……………

89

目标…………………

8.19

输入文档……………

8.29

输出文档……………

8.39

要求…………………

8.410

软件结构…………………

911

目标…………………

9.111

输入文档……………

9.211

输出文档……………

9.311

要求…………………

9.411

软件设计和实现………………………

1012

目标………………

10.112

输入文档…………………………

10.212

输出文档…………………………

10.312

要求………………

10.412

软件验证和测试………………………

1114

目标………………

11.114

输入文档…………………………

11.214

输出文档…………………………

11.314

要求………………

11.415

Ⅰ

GB/T28808—2012/IEC622792002

:

软件硬件集成…………………………

12/16

目标………………

12.116

输入文档…………………………

12.216

输出文档…………………………

12.317

要求………………

12.417

软件确认………………

1317

目标………………

13.117

输入文档…………………………

13.218

输出文档…………………………

13.318

要求………………

13.418

软件评估………………

1419

目标………………

14.119

输入文档…………………………

14.219

输出文档…………………………

14.319

要求………………

14.419

软件质量保证…………………………

1520

目标………………

15.120

输入文档…………………………

15.220

输出文档…………………………

15.320

要求………………

15.420

软件维护………………

1621

目标………………

16.121

输入文档…………………………

16.221

输出文档…………………………

16.321

要求………………

16.422

基于应用数据配置的系统……………

1722

目标………………

17.122

输入文档…………………………

17.223

输出文档…………………………

17.323

要求………………

17.423

附录规范性附录技术和措施的选择准则…………

A()31

附录资料性附录技术参考资料……………………

B()42

附录资料性附录与规范性引用国际文件有关的我国文件……

NA()81

Ⅱ

GB/T28808—2012/IEC622792002

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准采用翻译法等同采用轨道交通通信信号和处理系统控制和防护系

IEC62279:2002《、

统软件

》。

与本标准中规范性引用文件有一致性对应关系的我国文件见附录

NA。

本标准做了下列编辑性修改

:

将第章中引用的文件补充到

———3IEC60050-191、ISO/IEC2382、ISO/IEC9126、IEEE610.12

第章规范性引用文件中

2;

修改了中第章的脚注因为已发布脚注改为对

———IEC62279:200221,IEC62278;1ISO9000、

提醒存在新版文件

ISO9000-3、ISO9001;

采用等同采用的代替

———IEC62425:2007GB/T28809—2012ENV50129;

修订正文中引用的的版本号与第章声明的版本号一致

———ISO9000、ISO9000-3、ISO9001,2;

的一级子列项编号采用的是或本标准中统一修改为字母

———IEC62279:2002i)、ii)、…1)、2)、…,

编号形式

:a)、b)、…;

附录中对每章内的单列一行的黑体字符目标描述和参考文献进行编号以符合中

———B,“”、“”“”,

文习惯

。

本标准由中华人民共和国铁道部提出

。

本标准由全国牵引电气设备与系统标准化技术委员会归口

(SAC/TC278)。

本标准主要起草单位同济大学铁道部标准计量研究所

:、。

本标准参加起草单位株洲南车时代电气股份有限公司北京全路通信信号研究设计院

:、。

本标准主要起草人徐中伟赵天时王奇

:、、。

本标准参加起草人范祚成孙超严云升陈邦兴黄银霞呼爱蝉牛道恒

:、、、、、、。

Ⅲ

GB/T28808—2012/IEC622792002

:

引言

本标准与和配套使用

GB/T21562(IEC62278)GB/T28809—2012(IEC62425:2007,IDT)。

适用于大范围的系统问题而适

GB/T21562(IEC62278),GB/T28809—2012(IEC62425:2007,IDT)

用于整个轨道交通控制和防护系统中某单个系统的批准过程为提供满足安全完整性要求的软件本

。,

标准关注于通过更全面考虑后提出软件安全完整性要求所要采用的方法

。

本标准从第九工作组早期工作中得到很多指导

IEC/TC65(WG9)。

同时对铁路信号工程师协会的工作也加以了考虑特别是关注相同主题的号技术报告

,(IRSE),1。

本标准的关键思想是其对软件安全完整性等级的考虑软件失效的后果越严重软件安全完整性

。,

等级也就越高

。

本标准确定了从最低级到最高级的个软件安全完整性等级的技术和措施其中级级

045。1~4

指的是安全相关软件级指的是非安全相关软件将级包括进本标准是为了让非安全相关系统软

,0。0

件开发向安全相关系统软件开发实现顺利过渡附表给出了各个软件安全完整性等级和非安全相关等

。

级要求的技术和措施在本版本中级和级的技术要求相同级和级的要求相同本标准没有

。,12,34。

给出某一风险应适用于哪个软件安全完整性等级的具体指导意见这一结论需要考虑诸多因素包括

。,

应用的特性其他系统承担的安全功能范围以及社会和经济因素

、。

软件安全功能的分配由和

GB/T21562(IEC62278)GB/T28809—2012(IEC62425:2007,

规定

IDT)。

本标准规定了满足这些需求的必要措施该过程见图

。1。

和需采用系统性的方法以

GB/T21562(IEC62278)GB/T28809—2012(IEC62425:2007,IDT),:

确定危害风险和风险准则

a)、;

为满足风险准则确定必要的风险降低措施

b),();

为实现所需的风险降低为必要的安全防护措施定义一个全面的系统安全需求规范

c),;

选择一个合适的系统结构

d);

规划监督和控制那些把系统安全需求规范变成安全性能或安全完整性已确认的安全相关

e)、()

系统

。

在将该规范分解到由安全相关系统和组件组成的设计当中时对安全完整性等级的进一步分配就

,

完成了并最终形成所需的软件安全完整性等级

,。

目前无论是质量保证法即避错措施还是软件容错法的应用都无法保证系统的绝对安全尚未

,(),。

发现可证明一个较复杂的安全相关软件中不存在错误的方法特别是规范和设计的错误

,。

在开发高度完整性软件时采取但不仅限于以下原则

:

自顶向下的设计方法

a);

模块化

b);

开发生命周期每个阶段的验证

c);

经验证的模块和模块库

d);

清晰的文档

e);

可审核的文档

f);

确认测试

g)。

这些原则以及相关的其他原则应正确应用本标准规定了在每个软件安全完整性等级下证明其

。

保证能处于该安全完整性等级所需的保证等级

()。

Ⅳ

GB/T28808—2012/IEC622792002

:

在得到或形成了系统安全需求规范后分配给软件的安全功能和系统安全完整性等级就确定了图

,,

给出了应用本标准的功能步骤并如下所示

2,:

定义软件需求规范同时考虑软件结构软件结构是为软件和软件安全完整性等级开发基本

a),。

安全策略的架构第章第章和第章

(5、89)。

根据软件质量保证计划软件安全完整性等级和软件生命周期来设计开发和测试软件第

b)、、(10

章

)。

在目标硬件上集成软件第章

c)(12)。

确认软件第章

d)(13)。

如果在运行过程中需要软件维护那么可再适当运用本标准进行处理第章

e),(16)。

许多活动都是在软件开发过程中交叉进行的这其中包括验证第章评估第章和质量保

,(11)、(14)

证第章

(15)。

给出了由应用数据所配置的系统的需求第章

(17)。

给出了从事软件开发人员能力的需求第章

(6)。

本标准没有强制要求使用特定的软件开发生命周期但是给出了推荐的生命周期和文档集第

,(7

章图和图

,34)。

针对个软件安全完整性等级明确制定了各种技术和措施表格表格见附录对表格交叉引用

5。A。

的是对每个技术或措施做了简要描述的同时附带更多信息源做参考的文献目录附录列出了文献

、。B

目录

。

Ⅴ

GB/T28808—2012/IEC622792002

:

轨道交通通信信号和处理系统

、

控制和防护系统软件

1范围

11本标准规定了轨道交通控制和防护设备应用中可编程电子系统开发所需的规程和技术要求适用

.,

于任何有隐含安全性的领域这些应用系统的范围涵盖了从安全苛求系统如安全信号系统到非安全

。()

苛求系统如管理信息系统这些系统可能通过采用专用微处理器可编程逻辑控制器分布式多处理

()。,,

器系统大规模集中处理器系统或者其他结构来实现

,。

12本标准只适用于软件以及软件和系统之间的交互作用

.。

13级以上的软件安全完整性等级用于失效可导致人员死亡后果的系统然而从经济或环境因素

.0。,

方面考虑也能采用高级别的安全完整性等级

。

14本标准适用于轨道交通控制和防护系统开发和实现中的所有软件包括

.