GB/T 28808-2021轨道交通通信、信号和处理系统控制和防护系统软件

ICS45060

CCSS0.4

中华人民共和国国家标准

GB/T28808—2021

代替GB/T28808—2012

轨道交通通信信号和处理系统

、

控制和防护系统软件

Railwaalications—Communicationsinalinandrocessinsstems—

ypp,ggpgy

Softwareforrailwaycontrolandprotectionsystems

IEC622792015MOD

(:,)

2021-12-31发布2022-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T28808—2021

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………2

术语和定义

3.1…………………………2

缩略语

3.2………………6

目标一致性和软件安全完整性等级

4、……………………7

软件管理和组织

5…………………………8

组织角色和职责

5.1、……………………8

人员能力

5.2……………11

生命周期和文档

5.3……………………11

软件保证

6…………………14

软件测试

6.1……………14

软件验证

6.2……………15

软件确认

6.3……………16

软件评估

6.4……………18

软件质量保证

6.5………………………19

修改和变更控制

6.6……………………21

支持工具和语言

6.7……………………22

通用软件开发

7……………25

通用软件的生命周期和文档

7.1………………………25

软件需求

7.2……………25

架构和设计

7.3…………………………27

组件设计

7.4……………31

组件实现及测试

7.5……………………33

集成

7.6…………………34

整体软件测试最终确认

7.7/…………35

应用数据或算法的开发

8…………………37

目标

8.1…………………37

输入文档

8.2……………37

输出文档

8.3……………37

要求

8.4…………………37

软件部署和维护

9…………………………41

软件部署

9.1……………41

Ⅰ

GB/T28808—2021

软件维护

9.2…………………………42

附录规范性技术和措施的选择准则

A()………………45

附录资料性技术的目标和描述

B()……………………56

附录规范性软件角色的职责和关键能力

C()…………87

附录资料性文档控制概要

D()…………93

参考文献

……………………95

Ⅱ

GB/T28808—2021

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替轨道交通通信信号和处理系统控制和防护系统软件与

GB/T28808—2012《、》,

相比除结构调整和编辑性改动外主要技术变化如下

GB/T28808—2012,,:

删除了下列术语和定义可用性设计机构元素避错产品可靠

a):3.3、3.5、3.7、3.11、3.16、3.18

性需求可追溯性目标见年版的第章

、3.19(20123);

增加了下列术语和定义组件配置管理员客户实体集成

b):3.1.4、3.1.5、3.1.6、3.1.8、3.1.16、

集成人员既有软件开源软件项目管理项目经理

3.1.17、3.1.18、3.1.19、3.1.21、3.1.22、3.1.23

可靠性鲁棒性需求经理需求管理安全功能软件基线

、3.1.24、3.1.25、3.1.26、3.1.30、3.1.33、

软件部署测试人员测试类工具类工具

3.1.34、3.1.41、3.1.42、3.1.43T1、3.1.44T2、3.1.45T3

类工具见

(3.1);

更改了软件管理和组织的独立性要求见第章年版的第章第章第章

c)(5,20125、6、7);

增加了软件部署和软件维护方面的要求见

d)(5.1);

增加了参与软件开发的角色的定义和个人能力的要求见

e)(5.2);

增加了有关工具的新条款见

f)(6.7);

增加了整体软件测试及相应要求见

g)(7.7);

更改了对软件开发输出成果物的要求见附录年版的附录

h)(A,2012A);

增加了附录进一步明确软件角色的关键能力及其职责见附录

i)C,(C)。

本文件使用重新起草法修改采用轨道交通通信信号和处理系统控制和防护

IEC62279:2015《、

系统软件

》。

本文件与相比做了下述结构调整

IEC62279:2015:

对应的

———3.1.9IEC62279:20153.1.10;

对应的

———3.1.10IEC62279:20153.1.11;

对应的

———3.1.11IEC62279:20153.1.9;

附录对应的附录并增加了每一个目标和描述的章条编号

———BIEC62279:2015D,;

附录对应的附录

———CIEC62279:2015B;

附录对应的附录

———DIEC62279:2015C。

本文件与的技术性差异及其原因如下

IEC62279:2015:

关于规范性引用文件本文件做了具有技术性差异的调整以适应我国的技术条件调整的情

———,,,

况集中反映在第章规范性引用文件中具体调整如下

2“”,:

用等同采用国际标准的代替了见

●GB/T19000ISO9000:2015(6.5.4.2);

用等同采用国际标准的代替了见

●GB/T19001ISO9001:2008(5.1.2.1、5.2.2.3、6.4.1.2、

表和表

A.9C.11);

用修改采用国际标准的代替了见表

●GB/T25000.10ISO/IEC25010(9.2.4.4、C.11)。

本文件做了下列编辑性改动

:

删除了第章规范性引用文件清单中的

———2IEC62278:2002;

增加了描述以指明附录见

———D(5.3.2.14);

增加了缩略语和

———“API”“CFG”“DSL”“LCF”;

Ⅲ

GB/T28808—2021

更改了参考文献

———;

更改了中的错误

———IEC62279:2015:

中见改为见

●6.6.3“(9.2.4.11)”“(9.2.4.10)”;

表中见注符号原标注在第号文档改为标注在第号文档

●A.1,“2”29、30、31,30、31、32;

表中软件分析技术改为软件分析技术

●A.8“(6.3)”“(6.2)”;

表中参考条目中的改为

●A.9,“7.1”“6.5”;

表中第个序号和序号改为序号和序号

●A.12,2910,1011。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由国家铁路局提出

。

本文件由全国牵引电气设备与系统标准化技术委员会归口

(SAC/TC278)。

本文件起草单位中车株洲电力机车研究所有限公司同济大学中国铁道科学研究院集团有限公

:、、

司标准计量研究所北京全路通信信号研究设计院集团有限公司中国铁道科学研究院集团有限公司通

、、

信信号研究所北京和利时系统工程有限公司

、。

本文件主要起草人周志飞刘布麒徐中伟赵天时邱兆阳张萍汪小亮李文波

:、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2012GB/T28808—2012;

本次为第一次修订

———。

Ⅳ

GB/T28808—2021

引言

本文件与和配套使用

GB/T21562GB/T28809。

适用于大范围的轨道交通系统而适用于整个轨道交通控制和防

GB/T21562—2008,GB/T28809

护系统中可能存在的单个系统的批准过程本文件关注于为提供满足安全完整性要求的软件而采用的

。

方法该安全完整性是通过更全面的考虑后赋予软件的

,。

本文件提供一系列有关开发部署和维护方面的要求任何用于轨道交通控制和防护应用的安全相

、,

关软件都应遵守这些要求本文件规定了有关组织结构组织之间的关系以及开发部署和维护活动中

。、、

涉及的职责分工等方面的要求同时本文件也提供了人员资质和专业知识的准则

,。

本文件的关键概念是软件安全完整性等级本文件标识了五个软件安全完整性等级

(SIL)。:SIL0~

其中为最低等级为最高等级软件失效带来的风险越高软件安全完整性等级就

SIL4,SIL0,SIL4。,

越高

。

本文件明确了五个软件安全完整性等级的技术和措施所需的技术和措施在附录

,SIL0~SIL4A

的规范性表格中列出本文件中和所需的技术要求相同和所需的技术要求相

。SIL1SIL2,SIL3SIL4

同对于某个给定的风险本文件并没有给出哪种软件安全完整性等级是合适的指导意见因为该决

。,。

策取决于多个因素包括应用的性质其他系统承担的安全功能的范围以及社会及经济因素

,、,。

将安全功能分配到软件的过程由和定义

GB/T21562GB/T28809。

本文件规定了满足这些要求的必要措施

。

和要求采用系统性的方法以

GB/T21562GB/T28809:

识别危害评估风险并基于风险准则作出决策

a)、;

确定必要的风险降低措施以满足风险接受准则

b);

为必要的安全防护措施定义一个全面的系统安全需求规格说明以实现所需的风险降低

c),;

选择一个合适的系统架构

d);

规划监督和控制所必需的技术和管理活动这些技术和管理活动把安全需求规格说明转化成

e)、,

安全完整性得到确认的安全相关系统

。

在将规格说明分解到由安全相关的系统和组件组成的设计当中时需要对安全完整性等级作进一

,

步分配并最终形成所需要的软件安全完整性等级

,。

以目前的技术发展水平无论是质量保证措施所谓的故障规避措施和故障检测措施的应用还是

,()

软件故障容忍方法的应用都无法保证软件的绝对安全尚无途径证明一个相对复杂的安全相关软件

,。

中不存在缺陷特别是规格说明的缺失和设计的缺陷

,。

应用于开发高完整性软件的原则包括但不限于

,:

自顶向下的设计方法

a);

模块化

b);

开发生命周期每个阶段的验证

c);

经过验证的组件和组件库

d);

清晰的文档与可追踪性

e);

可审核的文档

f);

确认

g);

评估

h);

配置管理和变更控制

i);

Ⅴ

GB/T28808—2021

组织和个人能力方面的相应考虑

j)。

系统安全需求规格说明识别了分配给软件的所有安全功能同时确定了这些安全功能的安全完整

,

性等级图给出了应用本文件时的一系列实用的步骤并说明如下

。1:

定义软件需求规格说明同时考虑软件架构软件架构是为软件和软件安全完整性等级制定安

a),;

全策略的地方见和

,7.27.3;

根据软件质量保证计划软件安全完整性等级和软件生命周期设计开发和测试软件见

b)、,、,7.4

和

7.5;

在目标硬件上进行软件集成和软硬件集成以及功能验证见

c),,7.6;

接受和部署软件见和

d),7.79.1;

在软件生命周期的运行阶段如果软件需要维护如适用重启本文件进行处理见

e),,,,9.2。

许多活动与软件开发交叉进行这些活动包括测试见验证见确认见评估见

,:(6.1)、(6.2)、(6.3)、(

质量保证见以及修改和变更控制见

6.4)、(6.5),(6.6)。

本文件对支持工具见和由应用数据或算法配置的系统见第章也作出了要求

(6.7)(8)。

本文件对软件开发过程中涉及的角色的独立性和个人能力见和附录也作出了要求

(5.1、5.2C)。

本文件不强制要求使用特定的软件开发生命周期在图图和给出了示范的生命周期

,5.3、3、47.1

和文档集

。

格式化表格针对软件安全完整性等级列出了各种技术措施符合附录的要求与该表格交叉引

/A。

用的是附录给出的技术词汇它对每项技术措施的目标和内容作了简要描述

B,/。

Ⅵ

GB/T28808—2021

图1软件路线图示例

Ⅶ

GB/T28808—2021

轨道交通通信信号和处理系统

、

控制和防护系统软件

1范围

11本文件规定了轨道交通控制和防护应用中使用的可编程电子系统软件开发所需的过程和技术要

.

求它适用于任何有隐含安全性的领域这些系统可能通过采用专用微处理器可编程逻辑控制器分

。。、、

布式多处理器系统大规模集中处理器系统或者其他架构来实现

、。

12本文件只适用于软件以及软件与软件所在系统之间的交互

.。

13本文件与被认定为对安全没有任何影响的软件无关即软件失效不会影响任何已识别的安全功

.,

能由于在风险评估甚至危害识别时存在不确定性因此引入了的概念对于安全性影响低于

。,SIL0。

功能的软件部分至少要满足本文件的要求

SIL1,SIL0。

14本文件适用于轨道交通控制和防护系统中使用的所有安全相关软件包括

.,:

应用程序设计

a);

操作系统

b);

支持工具

c);

固件

d)。

应用程序设计包括高级程序设计低级程序设计和专用程序设计如可编程逻辑控制器的梯形

,(:

逻辑

)。

15本文件也涉及了既有软件和工具的使用如果要使用该类软件则要满足和中

.。,7.3.4.76.5.4.16

对既有软件的特定要求以及中对工具的要求

,6.7