ICS 45.060 CCS S 04
中华人民共和国国家标准
GB/T 28808—2021 代替GB/T 28808—2012
轨道交通 通信、信号和处理系统控制和防护系统软件
Railway applications—Communication,signaling and processing systems—Software for railway control and protection systems
(IEC 62279:2015,MOD)
2021-12-31发布
2022-07-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T 28808—2021
轨道交通 通信、信号和处理系统控制和防护系统软件
1 范围
1.1 本文件规定了轨道交通控制和防护应用中使用的可编程电子系统软件开发所需的过程和技术要求。它适用于任何有隐含安全性的领域。这些系统可能通过采用专用微处理器、可编程逻辑控制器、分布式多处理器系统、大规模集中处理器系统或者其他架构来实现。1.2 本文件只适用于软件以及软件与软件所在系统之间的交互。
1.3 本文件与被认定为对安全没有任何影响的软件无关，即软件失效不会影响任何已识别的安全功能。由于在风险评估甚至危害识别时存在不确定性，因此引人了SILO的概念。对于安全性影响低于SIL1功能的软件部分，至少要满足本文件SIL0的要求。
1.4 本文件适用于轨道交通控制和防护系统中使用的所有安全相关软件，包括：
a） 应用程序设计；b） 操作系统；c） 支持工具；d） 固件。
应用程序设计包括高级程序设计，低级程序设计和专用程序设计（如：可编程逻辑控制器的梯形逻辑）。
1.5 本文件也涉及了既有软件和工具的使用。如果要使用该类软件，则要满足7.3.4.7和6.5.4.16中对既有软件的特定要求，以及6.7中对工具的要求。
1.6 根据本文件的任何版本开发的软件，都被视为符合本文件规定，不受针对既有软件的要求约束。1.7 本文件考虑了目前流行的以适用多种应用场合的通用软件为基础进行应用设计的情况，这些通用软件通过数据、算法或二者同时配置后，为应用生成可执行的软件。第1章～第6章和第9章既适用于通用软件也适用于应用数据或算法。第7章仅适用于通用软件，第8章仅适用于应用数据或算法。1.8 本文件不涉及商务问题，商务问题宜作为合同的基本部分提出。但在任何商务活动中都需仔细考虑本文件的所有条款。
1.9 本文件不是追溯性的，主要应用于新的开发，对于既有系统，仅当进行大的修改时才进行全面应用，对于小的变更，仅需要应用9.2。评估人员需要分析软件文档中提供的证据，以便确认对软件变更范围和性质的认定是否充分。当对既有软件进行升级或维护时，宜应用本文件。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 19000 质量管理体系 基础和术语（GB/T 19000—2016，ISO 9000：2015，IDT）GB/T 19001 质量管理体系 要求（GB/T 19001—2016，ISO 9001：2015，IDT）
GB/T25000.10 系统与软件工程 系统与软件质量要求和评价（SQuaRE） 第10部分：系统与软件质量模型（GB/T 25000.10—2016，ISO/IEC 25010：2011，MOD）
GB/T 28808—2021
ISO/IEC 90003：2014 软件工程 ISO 9001：2008应用于计算机软件的指南（Software engineer-ing——Guidelines for the application ofISO 9001:2008 to computer software)
3 术语、定义和缩略语3.1 术语和定义
下列术语和定义适用于本文件。3.1.1
评估 assessment
确定软件是否满足规定的要求并就软件是否符合预期目的作出判断的分析过程。注1：该软件可能涉及过程、文档、系统、子系统硬件和/或软件组件。注2：安全评估关注但并不限于系统的安全性属性。3.1.2
评估人员 assessor 评估方开展评估活动的实体。3.1.3
商用现货软件 commercial off-the-shelf（COTS）software
由市场驱动的需求所定义、可商业获得且已被广大商业用户证明其用途合适的软件。3.1.4
组件 component
软件的组成部分，在软件架构和设计方面具有良好定义的接口和行为。注：软件组件遵循下列准则：
a）按照“组件”的要求（见附录A中表A.20）进行设计；b） 覆盖了一组特定的软件需求子集；
c） 在配置管理系统中被清晰地标识并具有独立的版本，或作为拥有独立版本的组件集合（例如子系统）的一
部分。3.1.5
配置管理员 configuration manager
实施并开展文档、软件和相关工具配置管理活动（包括变更管理）的实体。3.1.6
客户 customer
采购轨道交通控制和防护系统（包括软件）的实体。3.1.7
设计人员 designer
对特定需求进行分析并将其转化成可接受的且具有相应安全完整性等级的设计方案的实体。3.1.8
实体 entity
履行本文件所定义的某个角色的个人、团体或组织。3.1.9
错误 error
与预期设计的偏差，这种偏差可能导致非预期的系统行为或失效。
GB/T 28808-2021
3.1.10
失效 failure
观察到的行为与要求的行为之间出现的不可接受的偏差。3.1.11
故障 fault
可能导致系统出错的异常状态。注：故障可能是随机性的或者系统性的。3.1.12
故障容忍 fault tolerance
在存在有限数量的软件或硬件故障的情况下，系统仍能继续正确提供规定服务的内在能力。3.1.13
固件 firmware
以功能独立于应用软件的形式存储在只读存储器或半永久性存储器（例如 flash 存储器）中的软件。3.1.14
通用软件 generic software
只要提供与特定应用相关的数据和/或算法就完全可应用于多种安装环境的软件。3.1.15
实现人员 implementer
将特定设计转换为具体物理实现的实体。3.1.16
集成 integration
根据架构规格说明和设计规格说明组装软件和/或硬件部件，并对组装的单元进行测试的过程。3.1.17
集成人员 integrator 实施软件集成活动的实体。3.1.18
既有软件 pre-existing software
先于目前正在考虑的应用而开发出来的软件，包括商用现货（COTS）软件和开源软件。3.1.19
开源软件 open source software
对公众开放的、没有版权限制或版权限制宽松的源代码。3.1.20
可编程逻辑控制器 programmable logic controller；PLC
具备用于存储指令的用户可编程存储器并能实现规定功能的固态控制系统。3.1.21
项目管理 project management
项目的管理行为和/或技术行为，包括安全方面的。3.1.22
项目经理 project manager 实施项目管理的实体。