EN50128 铁路应用——通信、信号和处理系统——铁路控制和防护系统软件

合集下载

欧洲安全标准

欧洲安全标准
欧洲的安全标准有很多，以下是一些常见的标准和准则：
1. ITSEC：Information Technology Security Evaluation Criteria，即欧洲的安全评价标准，是英国、法国、德国和荷兰制定的IT安全评估准则。

2. EN 50128：铁路应用：通信、信号和处理系统：铁路控制和防护系统的软件。

3. EN 50129：铁路应用：通信、信号和处理系统：铁路控制和防护系统的电磁兼容性。

4. EN 61508：电气/电子/可编程电子安全相关系统的功能安全。

5. EN 62305：闪电防护。

6. EN 62279：过程工业领域安全仪表系统的功能安全。

7. EN 61439：有轨电车和无轨电车系统，以及安装在车辆上的设备。

8. EN 62040：电动汽车传导充电用充电站。

9. EN 60204：机械安全 - 机器的机械传动部件。

10. EN 60945：船舶和海洋结构物上的电气设备。

以上内容仅供参考，如果需要更详细的信息，建议咨询相关领域的专家或查阅相关文献资料。

关于50128的理解(2008)

及安全（ＲＡＭＳ）的规约和论证，关注整个铁路控制和保护系统中单一系统的经认可的过程．注:demonstration This term refer to an analysis leading to a conclusion , which is less rigorous than a “proof”. 是指一个可得出结论的分析，不如“证明”那样严格．
需求(requirement)与需求规约(requirement specification) -- 需求(requirement)定义 A requirement is a statement that has been constructed to describe a necessary functional capability ,performance parameter, or other property of the intended product (or item). 一个需求是一个“将要予以构造”的陈述，描述了待开发产品（或项）在功能方面必要的能力、性能参数或其它特性。
EN5012８－关注为提供满足安全完整性要求的软件而需要使用的一些方法．注:software safety integrity level classification number which determines the techniques and measures that have to be applied in order to reduce residual software faults to an appropriate level．确定要应用的技术和措施的分类数,其目的是减少残存软件故障,使其保持在一个适当的水平. 这些标准均是对其相应的’关注’，提出了一些需求！

欧洲标准在计算机联锁产品验证与确认的研究与应用

• 117•城市轨道交通迅猛发展，对计算机联锁技术的安全性和可靠性提出了更高的要求。

开发出符合欧洲铁路信号标准EN5012X系列的计算机联锁产品，并通过第三方独立认证成为大势所趋。

本文对EN50126，EN50128和EN50159对测试验证方面的要求进行深入研究，并结合公司的计算机联锁产品，对EN5012X系列标准在计算机联锁产品开发过程中的应用做了深入的探讨和说明。

信号系统在控制列车高速运行上起着越来越重要的作用，城市轨道交通的安全和可靠的运行在一定程度上取决于信号系统的安全性和可靠性的高低。

众多乘客的安全出行和信号系统的安全可靠性紧密的连接在一起。

计算机联锁产品作为行车指挥控制自动化系统的主要组成部分，将领先的通信技术和计算机技术相结合，以提高运输效率和保障行车安全。

国内城市轨道交通的快速发展，对计算机联锁系统提出更高的要求。

为满足严苛的安全和可靠性要求，需要对欧洲电气标准化委员会（CENELEC）针对信号系统的行业标准，即EN5012X标准进行研究，并进一步的结合公司的计算机联锁系统的特点，研究和开发出一套符合欧标的联锁产品开发流程。

其中在开发流程中，测试与验证阶段的应用将是本文介绍的重点部分。

本文将从人员独立性、验证、测试确认等方面进行介绍，如何确保计算机联锁产品的测试验证和确认过程符合标准中对SIL4级产品的要求并顺利通过第三方安全认证。

1 CENELEC标准介绍上世纪90年代，以IEC61508《电气/电子/可编程电子安全系统的功能安全》为基础，附加列车安全控制系统的技术条件，欧洲电气标准化委员会（CENELEC）下属的SC9XA委员会制定了一系列以计算机控制的信号系统作为对象的铁路信号标准EN5012X。

主要由以下几个有关铁路信号的安全标准，相应的标准关系如图1所示。

EN50126铁路应用-可靠性、可用度、可维修性和安全性(RAMS)技术条件和证明EN50129铁路应用-通信、信号和处理系统-安全相关的铁路电子系统EN50128铁路应用-通信、信号和处理系统-铁路控制和防护电子系统的软件EN50159铁路应用-通信、信号和处理系统-安全相关的通信。

列控重点总结

⏹中国铁路列控系统的发展原则：⏹列控系统技术平台的确立遵循全路统一规划的原则，实现互联互通。

⏹按照“先进、成熟、经济、适用、可靠”的要求，我国300km/h及以上高速客运专线确定CTCS3列控系统作为全路统一技术平台体系，并兼容CTCS2列控系统实现动车组上下线运行。

⏹CTCS3系统采用GSM-R无线通信传输列控信息，主要由车载ATP、无线闭塞中心RBC、微机联锁、调度集中CTC、应答器、ZPW2000轨道电路构成，在引进消化吸收关键技术的基础上，通过系统集成创新，我们将建立符合中国国情路情的、世界一流水平的高速铁路CTCS3列控技术体系。

⏹中国铁路列控系统CTCS2：⏹CTCS2列控系统主要用于200～250km/h客货混运客运专线,主要设备包括：车载A TP、列控中心、微机联锁、调度集中CTC、应答器、ZPW2000轨道电路，并已基本实现国产化。

⏹CTCS2列控系统采用轨道电路加点式应答器作为信息传输手段，实现列车运行的安全控制。

⏹经过改造的既有线也采用CTCS2列控系统，并在时速200公里提速线路上应用。

⏹通过在时速300公里和200公里跨线列车上装备CTCS2和CTCS3车载系统，实现高速列车的跨线运行。

⏹城市轨道交通的发展方向：⏹由轨道电路向基于通信的方向发展。

⏹系统化。

⏹通信信号一体化。

⏹标准化和开放化。

⏹列车运行控制技术的发展经过⏹地面人工信号⏹地面自动信号⏹出现机车信号⏹发明自动停车⏹列控系统ATC⏹综合自动化系统⏹固定闭塞（Fixed Block）：线路被划分为固定位置、某一长度的闭塞分区，一个分区只能被一列车占用，闭塞分区的长度按最长列车、满负载、最高速、最不利制动率等最不利条件设计，列车间隔为若干闭塞分区，而与列车在分区内的实际位置无关，列车位置的分辨率为一个闭塞分区（一般为几百米），制动的起点和终点总是某一分区的边界，对列车的控制一般采用速度码台阶式制动曲线方式，该系统要求运行间隔越短，闭塞分区(设备)数也越多。

CXGKA型站间安全信息传输设备说明书

CXG-KA型站间安全信息传输设备说明书深圳科安达电子科技股份有限公司2011年6月修订记录目录1 概述11.1 设备用途11.2 设计遵循的标准及原则21.3 主要功能与特点31.4 主要技术指标42 系统组成及工作原理62.1 系统组成62.2 工作原理62.3 中继站方式73 设备硬件结构73.1 主控单元结构73.2 输入输出单元结构93.3 通信单元结构103.4 监测单元结构114 软件114.1 软件设计遵循标准124.2 软件总体结构124.3 主控单元软件134.4 通信单元软件134.4.1 RSSP-I铁路信号安全通信协议（V1.0）概述134.4.2 通信单元软件的主要功能174.5 监测单元软件175 可靠性保障措施175.1 硬件可靠性设计185.2.1 采用工业级微控制器185.2.2 电子电路采取降额设计185.2.3 硬件的其它抗干扰措施185.2 软件可靠性设计185.2.1 功能循环设置195.2.2 对程序执行过程进行监督195.2.3 指令冗余195.2.4 软件陷阱195.2.5 程序运行软件监视195.2.6 程序运行硬件监视205.3 双系冗余设计206 安全性保障措施206.1 硬件安全性设计206.1.1 总体设计遵循闭环工作原理206.1.2 主控单元采用二取二结构206.1.3 动态驱动安全型输出电路以驱动执行继电器21 6.1.4 动态采集安全型输入电路的输入条件216.2 软件安全性设计216.2.1 采用冗余方式实现对重要信息的校验216.2.2 确定关键性软件的安全侧216.2.3 建立程序运行进程标识226.2.4 设备多微控制器之间的信息传输采用编码、校验等技术22 6.2.5 利用软件实现对设备硬件的故障检测226.3 故障检测及导向安全设计226.3.1 微控制器自检226.3.2 外围芯片检测226.3.3 传输通道检测226.3.4 继电器检测227 传输通道与接口237.1 专用光纤与接口237.2 光通道与接口237.3 与信号微机监测系统接口248 结合电路248.1 与64D半自动闭塞结合设计248.1.1 技术要求248.1.2 结合设计方案248.1.3 电路说明258.2 与计轴自动站间闭塞结合设计268.2.1 技术要求268.2.2 结合设计方案278.2.3 电路说明278.3 与自动闭塞改变运行方向结合设计278.3.1 结合设计方案278.3.2 方案设计说明279 结构及安装329.1 设备结构及尺寸329.2 半自动应用型主控机箱布置及安装329.3 综合机箱结构349.4 自动闭塞改变运行方向应用型主控机箱结构35 9.5 自动闭塞改变运行方向应用型扩展机箱结构37 9.6 自动闭塞改变运行方向应用型整机结构381 概述CXG-KA型站间安全信息传输设备是深圳科安达电子科技股份有限公司与德国提芬巴赫（Tiefenbach）公司共同研制和生产的一种应用于中国铁路的信号设备。

EN50128基础培训.pdf

14
2015-10-26
四、生命周期和文档
文档要求
每一个文档都应有一个唯一的文档编号、以及定义好的与其它文档之间的关系。 ——追溯前提
每一个文档都应包含并实现其上级（输入）文档的所有相关要求。 ——追溯完整性
每一个文档的内容都不应与其上级（输入）文档相矛盾。 ——追溯一致性
15
2015-10-26
19
2015-10-26
五、软件保障——软件测试
测试报告要求
测试报告应描述以下内容：测试结论测试覆盖率及测试完成程度缺陷记录每一个测试案例的测试结果记录测试应可重复，如果可行，最好可以自动执行测试脚本应被验证所有测试涉及的项都应被记录（如被测对象、软硬件配置、测试环境、对应的测试规范版本等）测试人员姓名
8
2015-10-26
二、软件安全完整性等级
如何达到软件安全完整性等级的要求？
Annex B：对关键软件角色和职责的要求
需求经理（REQ）设计人员（DES）实现人员（IMP）测试人员（TST）验证人员（VER）集成人员（INT）确认人员（VAL）评估人员（ASR）项目经理（PM）配置经理（CM）
如果软件是由不同软件安全完整性等级的组件组成，那么该软件的所有组件都应按最高软件安全完整性等级的要求处理。
5
2015-10-26
二、软件安全完整性等级
如何达到软件安全完整性等级的要求？
1.标准正文
目标要求
6
2015-10-26
二、软件安全完整性等级
如何达到软件安全完整性等级的要求？
2.标准附录
什么是软件安全完整性等级？
软件安全完整性等级是一组分级数字，它确定了软件必须采用的技术和措施。

EN50128铁路应用——通信、信号和处理系统——铁路控制和防护系统软件

附件中指定的“规范性的”是本项标准主体的一部分。
附件中指定的“参考性的”只用于获得的信息。
本项标准中，附件A是规范性的而附件B是参考性的。
引言
1.范围
2.参考文献
3.定义4.目标ຫໍສະໝຸດ 符合5.软件安全完整性等级
5．1目标
5．2需求
6.人员及职责
6．1目标
6．2需求
7.生命周期和文档
7．1目标
7．2需求
8.软件需求规格说明
负责提出实现特定需求的设计方案，并监控后期的开发和系统在特定环境下工作的实体。
设计者（designer）
一个或多个由设计主管机构指派的人员，他们承担需求分析并将特定需求转化成可接受且有相应安全完整性的设计方案。
元素（element）
被确认为基本单元和基本部件的某产品的一部分。一个元素可以是简单或者复杂的。
本欧洲标准专门应用于软件以及软件和系统之间的相互作用。
0级以上的软件安全完整性等级用于失效可引起失去生命的后果的系统。然而，从经济或环境因素方面考虑也能采用高级别的安全完整性等级。
本欧洲标准适用于铁路控制和防护系统开发和实现的所有软件，包括：
应用程序设计；
操作系统；
支持工具；
固件。
应用程序设计包括高级程序设计，低级程序设计和专用程序设计（如：可编程逻辑控制器梯形逻辑）。
本欧洲标准还涉及了本标准的使用、商用软件和工具。
本欧洲标准还对应用数据配置的系统提出了要求。
本欧洲标准并不涉及商务问题，这些问题应为合同的基本部分被提出。但本欧洲标准中的所有条款在任何商务活动中都需被仔细考虑。
本欧洲标准为避免追溯，主要应用于新的开发。对于现有系统，仅当进行主要修改时才进行全面应用，对于次要修改，只要应用条款16。

IRIS管理体系的管理职能要点

IRIS 管理体系的要点IRIS 经营管理体系IRIS 标准采用了ISO9001 ：2008 （GB/T19001 －2008 ）标准的全部要求，并且针对铁路行业增加了适应行业特点的要求，确定了用于铁路整车和信号相关产品的整个供应链的经营管理体系要求，适用于各种类型、不同规模和不同产品的进行设计和开发、制造、维修（包括快速维修、翻新维修和大修）的企业。

IRIS 的目标是在供应链中建立持续改进、强调缺陷预防和减少缺陷的经营管理体系；由于铁路行业项目业务的特性，IRIS 特别引入了项目管理的要求，只要可行，企业所有的产品都应该应用项目管理。

二、ISO9000 管理体系中管理原则在IRIS 中的体现：ISO9000 标准确定的质量管理8 项原则是对管理职能在IRIS 企业经营管理体系中的理论和实践的体现。

以顾客为关注焦点企业依存于顾客，企业要充分理解了顾客当前和将来的需求，满足顾客当前要求并超越顾客期望的要求；系统地管理和处理好与顾客的关系，提高顾客对企业的忠诚度。

收集顾客的需求信息（包括产品使用情况反馈），结合产业发展，通过数据统计和分析，确定企业的正确经营目标，包括设计和开发战略、产品生产制造战略和顾客服务战略，企业才能满足顾客要求，稳定已有的顾客，发展新顾客。

领导作用最高管理者的决策影响企业的生存和发展，应统一宗旨和方向，规划远景，确定各重要时期的经营目标；企业领导者（各阶层）应确保企业目的和方向一致，建立协调一致的组织原则和信任、协作、沟通的内部软硬环境。

重点是建立企业的经营方针，通过制定企业的长期经营目标，确定企业的近期经验目标和计划，并逐步实施。

通过有效的沟通，在企业内部建立有效的组织模式，提供足够的经营资源，包括人力资源、制度、硬件等，保证企业方针和目标的实现。

全员参与企业的成功既需要最高管理者的正确决策和领导，还必须依靠全员的参与和努力；要明确各级岗位的能力要求，创造员工提高知识、意识、技能和经验的途径，使全员正确履行职责，才能使企业受益。

EN50128基础培训.

什么是软件安全完整性等级？
软件安全完整性等级是一组分级数字，它确定了软件必须采用的技术和措施。软件安全完整性等级分为SIL0~SIL4共5个等级。软件失效导致的风险越高，软件安全完整性等级越高。
4
2015-10-26
二、软件安全完整性等级
如何确定软件安全完整性等级？
通常来说，软件安全完整性等级至少应等于系统安全完整性等级。
23
2015-10-26
五、软件保障——变更控制
目标
确保软件在变更时仍能满足安全完整性和可靠性的要求。
要求

变更管理过程的相关要求：问题报告和改正措施相关文档；原因分析；报告、追踪、解决问题的相关步骤；变更影响分析；再验证、再确认、再评估； ……
2015-10-26
24
第五部分，但要求各阶段的活动和内容均能满足本标准的要求。
12
2015-10-26
四、生命周期和文档
13
2015-10-26
四、生命周期和文档
文档要求
Annex A.1
各阶段文档要求
14
2015-10-26
四、生命周期和文档
文档要求
每一个文档都应有一个唯一的文档编号、以及定义好的与其它文档之间的关系。 ——追溯前提每一个文档都应包含并实现其上级（输入）文档的所有相关要求。 ——追溯完整性每一个文档的内容都不应与其上级（输入）文档相矛盾。 ——追溯一致性
EN 50128 铁路应用-通信、信号和处理系统 ——铁路控制和防护系统软件
报告人：周夏芳
2015-10-26
2015-10-26 1
内容安排
一、范围二、软件安全完整性等级

...中文版 )铁路应用_通信、信号和过程控制系统_信号的安全相关电子...

CENELEC 欧洲电工标准协会
3
EN 50129:2003
前言本欧洲标准由 SC9XA 准备, 属于技术委员会 CENECEC TC 9X 铁路电子和电子设备的通信,信号和处理系统. 属于正式文件文本的草稿在 2002-11-01 作为 EN50128 由 CENECEC 提出. 这个欧洲标准取代了 ENV50129:1998 这个欧洲标准是在 CENELEC 的授权下通过欧洲委员会和欧洲自由贸易组织, 96/48/EC 指示的本质要求来准备的. 下面是确定的日期, -通过国际标准的出版或批注,这个标准作为国际标准来实施的最近日期 2003-12-01 -与这个标准冲突的国际标准排斥在外的最近日期 2005-11-01 标注"标准化"的附件是标准的一部分标注"非标准"的附件仅供参考. 该标准中,附件 A,B,C 是标准化的,附件 D,E 是非标准化的
5
EN 50129:2003
参考书目………………………………………………………………94 1 CENELEC 铁路应用标准的主要范围…………………………..8 2 EN50129 的结构…………………………………………………..15 3 安全事例结构……………………………………………………..17 4 系统生命周期举例………………………………………………..19 5 设计和系统生命周期有效部分举例………………………………21 6 独立性排列…………………………………………………………22 7 技术安全报告结构…………………………………………………26 8 安全性承诺和安全性批准过程]………………………………………28 9 安全性事例/安全性批准间独立性举例……………………………29 A1 安全要求和安全完整性…………………………………………….30 A 2 全部过程回顾………………………………………………………32 A 3 风险分析过程举例…………………………………………………33 A 4 有关系统界限危险的定义…………………………………………34 A5 危险控制过程举例………………………………………………….36 A 6 解释故障和补救次数………………………………………………37 A 7 由 FTA 处理的功能独立性……………………………………………38 A 8 安全完整性水准和技巧间的关系…………………………………40 B.1 影响项目独立性的因素……………………………………………46 B.2 检测和否定单个错误………………………………………………49 D.1 错误分析方法举例…………………………………………………81 A1 安全完整性水准表………………………………………………….41 表 C.1 电阻器………………………………………………………………61 表 C.2 电容器……………………………………………………………….62 表 C.3 电磁组件…………………………………………………………….63 表 C.4 二极管……………………………………………………………….66 表 C.5 晶体管……………………………………………………………….67 表 C.6 控制整流器………………………………………………………….69 表 C.7 过负荷干扰抑制器………………………………………………….71 表 C.8 光电子组件………………………………………………………….72 表 C.9 过滤器……………………………………………………………….73 表 C.10 内部组件…………………………………………………………..74 表 C.11-保险………………………………………………………………75 表 C.12-开关和按钮………………………………………………………75 表 C.13-电灯………………………………………………………………75 表 C.14-电池………………………………………………………………75 表 C.15-变送器/传感器(不包括内部电路)……………………………76 表 C.16-集成电路…………………………………………………………76 表 D.1-在大规模集成电路通过周期性在线测试的手段来检测故障的措施的例子…………………………………………………………………82 表 E.1-安全计划和主动的质量保证…………………………………….86 表 E.2-系统要求的技术规格………………………………………………87 表 E.3-安全组织……………………………………………………………87 表 E.4-系统/子系统/设备的建构…………………………………………88

EN50128在铁路信号安全软件测试中的应用研究

徐登科王
摘
鲲
朱艳军
刘
隽
要：随着列车的不断提速，铁路信号系统作为保障机车车辆安全有序作业的重要安全设备，
其软件的可靠性和安全性直接影响列车的运行安全，对铁路信号安全软件的测试就显得至关重要。通过借鉴欧洲铁路的安全相关技术，以铁路控制和防护系统软件标准Ｅ５１８为指导，重Ｎ０２点论述了标准中软件测试各阶段的活动情况及独立性的体现，并对此标准在铁路信号安全软件测试过程中的应用进行了分析和研究。关键词：铁路信号；安全完整性等级；软件测试
测试前应先明确软件安全完整性等级，才能采取相应的安全措施。在Ｅ５１８中，将软件安全完整Ｎ０２
性等级从０级到４级划分为５个等级。软件安全完整性等级越高，软件失效后的危险性影响也就越大，软件开发时所应采取的安全保障技术和措施也
ｔｒｓｃｕｄｄｒｃｌｆｅｔｔｅｏｅａｉｎｓｆｔｆｌｃｍｏｉｅｎｒｉｓＩｉｓｅｔａｏｔｓａｅｙｃｉ — ｅｏｌｉｅｔａｆｃｈｐｒｔｏａｅｙｏｏｏｔｖｓａｄｔａｎ．ｔｓｅｓｎｉｌｔｅｔｓｆｔ —ｒｔｎｙｉ
就越复杂。因此，软件安全完整性等级的高低，直接影响系统的安全性和资源的合理应用。Ｅ５１８Ｎ０２中并没有给出哪些风险应选取哪一级别的软件安全

城市轨道交通基于通信的列车运行控制系统(CBTC)互联互通测试规范第2部分：点式部分测试及验证技术规范

2002idt?gbt288082012轨道交通通信信号和处理系统控制和防护系统软件?gbt288092012轨道交通通信信号和处理系统信号用安全相关电子系统?gbt222392008信息安全技术信息系统安全等级保护基本要求?gb501572013地铁设计规范?cjt4072012城市轨道交通基于通信的列车自动控制系统技术要求?en50128铁路应用通信信号和处理系统铁路控制和防护系统软件?en50129铁路应用通信信号和处理系统信号的安全相关的电子系统?ieeestd147412004ieee基于通信的列车控制cbtc系统的性能和功能要Байду номын сангаас?ieeestd147442011ieee基于通信的列车控制cbtc系统的系统功能测试推荐实践3术语定义和缩略语31术语和定义311基于通信的列车控制communicationbasedtraincontrolcbtc基于大容量连续的车地信息双向通信及列车定位与控制技术实现列车的速度控制
第2页
前言
城市轨道交通基于通信的列车运行控制系统（CBTC）互联互通技术的系列规范，包括T/CAMETXXXX 《城市轨道交通基于通信的列车运行控制系统（CBTC）互联互通系统规范》、T/CAMETXXXX 《城市轨道交通基于通信的列车运行控制系统（CBTC）互联互通接口规范》、T/CAMETXXXX《城市轨道交通基于通信的列车运行控制系统（CBTC）互联互通测试规范》、T/CAMETXXXX 《城市轨道交通基于通信的列车运行控制系统（CBTC）互联互通工程规范》四部分。本规范为《城市轨道交通基于通信的列车运行控制系统（CBTC）互联互通测试规范》的第2部分，测试规范由以下2部分组成：第1部分：CBTC部分测试及验证技术规范第2部分：点式部分测试及验证技术规范本部分按照GB/T1.1-2009给出的规则起草。请注意本部分的某些内容可能涉及专利，本部分的发布机构不承担识别这些专利的责任。本部分由中国城市轨道交通协会技术装备专业委员会提出。本部分由中国城市轨道交通协会归口。本部分主编单位：中国铁道科学研究院通信信号研究所。本部分参编单位：交控科技股份有限公司、北京全路通信信号研究设计院集团有限公司、、浙江众合科技股份有限公司本部分主要起草人：【编写组】黄康、郜洪民、尹逊政、李亮、朗红霞、刘键、侯磊、刘鲁鹏、耿鹏、刘帅、朱炳强、黄友能、王伟、王奇、周炜、李晓刚、吴松【审查组】李中浩、朱翔、赵炜、郑生全、张艳兵、张良、张琼燕、段晨宁、李德堂、文成祥、任敬、朱东飞、刘新平、王道敏

EN50128标准新版与旧版的差异研究

Ｎ５０１２８标准中，简略地提到了标准的改进方向。本文以此为基础，通过比较新、旧版
ＥＬＥＣ）在总结ＩＥＣ有关标准、其他国家以及行业标准的基础上，制定了针对信号系统的行业标准，
即ＥＮ５０１２Ｘ。ＥＮ５０１２Ｘ主要包含：标准ＥＮ５０１２６：
间的差异，更好地了解新版ＥＮ５０１２８的精髓，掌
ＥＮ５０１２８标准的核心概念是安全完整性等级，它覆盖了从ＳＩＬ０到ＳＩＩＡ的５个安全完整性等级。新版标准在旧版标准的基础上，对其内容进行了扩
用一通信、信号和处理系统一铁路控制和防护系统软件，以及标准ＥＮ５０１２９：铁路应用一通信、信号和处理系统一安全相关铁路信号电子系统。其中，
产品的开发，完善我国信号系统的安全评估体系，保证开发产品的安全性。
关键词：２００１版ＥＮ５０１２８标准；２０１１版ＥＮ５０１２８标准；差异；安全
Ａｂｓｔｒａｃｔ：ＣｏｎｓｉｄｅｒｉｎｇｔｈｅｃｏｎｔｉｎｕｏｕｓｉｍｐｒｏｖｅｍｅｎｔａｎｄｕｐｄａｔｉｎｇｏｆＥｕｒｏｐｅａｎｓｔａｎｄａｒｄｓ，ｗｅｓｔｕｄｉｅｄＥＮ
展和归纳，概述了安全完整性等级与安全保证体
系、质量保证体系、相关技术措施、安全生命周期

EN50128_中文版

2001 -1 1-01
2003-1 1-01
本欧洲标准必须与 EN50126 铁路应用——可靠性，可用性，可维护性和安全性（RAMS）；EN50129 铁路应用——信号领域的安全相关电子系统同时阅读。附件中指定的“规范性的”是本项标准主体的一部分。附件中指定的“参考性的”只用于获得的信息。本项标准中，附件 A 是规范性的而附件 B 是参考性的。
I
同济大学、铁道科学研究院标准所
EN50128：2001
目录
引言 1. 2. 3. 4. 5. 范围参考文献定义目标和符合软件安全完整性等级
5．1 目标 5．2 需求 6. 人员及职责
6．1 目标 6．2 需求 7. 生命周期和文档
7．1 目标 7．2 需求 8. 软件需求规格说明
8．1 目标 8．2 输入文档 8．3 输出文档 8．4所
EN50129-1,铁路应用——通信，信号和处理系统第二部分：开放传输系统中的安全通信； EN ISO 9001,质量体系——设计/开发，生产，安装和维护的质量保证模型；
EN50128：2001
EN ISO 9001-3,质量管理和质量保证标准——第三部分：ISO9001:1994在计算机软件的开发，供应，安装和维护应用的指导。 3 定义
以下定义适用于此欧洲标准.对于未定义的术语,按照优先顺序查阅以下参考文献。 EN ISO 8402，质量管理和质量保证——词汇表； IEC 60050-191,国际电工词汇第 191 章：服务可信性和质量； IEEE 610.12, IEEE标准软件工程术语词汇表； ISOIIEC 2382,信息技术词汇表； ISOIIEC 9126,信息技术－软件产品评估－质量特性以及其使用指导； 3.1 评估（assessment）用于确定设计主管机构和确认员所完成的产品是否符合规定的要求和判定产品是否达到预期目的的分析过程。 3.2 评估员（assessor）受委托执行评估的人员或者代理。 3.3 可用性（availability）假定所需外部资源均能满足的条件下，产品在规定的条件下，在规定的时刻或在给定的时间间隔内完成要求功能的能力。 3.4 商用软件（COTS software）市场需求所定义、市场已存在且其目标满足性已得到广大商业用户证明的软件。 3.5 设计主管机构（design authority）负责提出实现特定需求的设计方案，并监控后期的开发和系统在特定环境下工作的实体。 3.6 设计者（designer）一个或多个由设计主管机构指派的人员，他们承担需求分析并将特定需求转化成可接受且有相应安全完整性的设计方案。 3.7 元素（element）被确认为基本单元和基本部件的某产品的一部分。一个元素可以是简单或者复杂的。 3.8 错误（error）

en50128标准

en50128标准EN50128标准是针对软件在铁路应用中的开发与验证而制定的国际标准。

该标准主要定义了软件开发过程中需要遵循的步骤、方法和技术，以确保软件在铁路系统中的安全性和可靠性。

本文将对EN50128标准的主要内容进行详细介绍。

1.概述EN50128标准是由欧洲标准委员会制定的，用于规范铁路系统中的软件开发过程。

该标准的目的是确保软件在铁路系统中的安全性、可靠性和合规性。

EN50128标准覆盖了软件开发的整个生命周期，包括需求分析、软件设计、编码、测试和验证、配置管理等环节。

2.要求EN50128标准对软件开发过程中的各个环节都提出了具体的要求。

首先是需求分析阶段，要求开发团队与相关利益相关方明确系统需求，并将其转化为软件需求。

其次是软件设计阶段，要求开发团队设计合理的软件架构和模块。

在编码过程中，要求采用符合标准的编程规范，以确保代码的可读性和可维护性。

测试和验证阶段需要全面检查软件的功能和性能，以验证其符合预期要求。

此外，EN50128标准还要求开发团队进行配置管理，记录软件开发过程中的变更和版本信息。

3.安全性和可靠性EN50128标准对软件在铁路系统中的安全性和可靠性提出了严格要求。

它要求开发团队进行全面的风险分析和安全评估，确保软件在运行过程中不会对铁路系统的安全产生影响。

标准还要求对软件进行可靠性评估，以确保其在各种异常情况下的稳定性和可用性。

4.合规性和认证EN50128标准要求软件开发团队在开发过程中进行严格的文档记录，包括需求规格、设计规格、测试报告等。

这些文档需要符合标准规定的格式和内容要求。

同时，EN50128还要求软件开发团队建立合理的配置管理体系，对软件开发过程中的变更进行追踪和管理。

只有符合标准要求的软件才能通过相关的认证审查，获得应用于铁路系统的资格。

5.相关标准除了EN50128标准外，铁路系统中的软件开发还需要遵循其他相关的标准。

例如，EN50126标准定义了对软件的安全性和可靠性进行评估的方法。

浅析铁路通信信号系统安全评估方法

浅析铁路通信信号系统安全评估方法信号系统担任着指挥列车安全运行的任务，关系到成千上万乘客的生命和财产安全。

当今，客运专线、城际铁路及城市轨道交通飞速发展，客运专线的速度不断提高，对信号系统的安全性提出了更高的要求。

安全是发展永恒的主题，而安全评估是铁路信号系统安全的保障。

标签：铁路；通信信号系统；安全评估一、铁路信号系统安全评估的基础在上个世纪的末期，国际电工委员会制定了一系列与之相关系统的设计评估标准，这个标准的也提出了安全相关系统的安全完整性等级的概念，同时也对系统的安全进行了综合评估。

在这之后，欧洲电工标准委员会在这个基础之上也制定了与铁路信号系统设计评估标准以及安全认证体系。

这些标准一般包括了一下几个方面，EN50126铁路应用具有着可靠性、可用性、可维护性以及安全性等等规范以及说明。

EN50129铁路应用主要为信号领域的安全相关电子系统。

EN50128铁路应用：铁路控制以及防护系统的软件。

EN50159-1铁路应用：在封闭传输系统中的安全通信。

EN50159-2铁路应用：在开放传输系统之中的安全通信。

当前，我国已经完成对于IEC61508标准等等相同的采标工作，EN50126/8/9的等同采标工作而正在进行之中。

二、铁路信号系统评价体系2.1 系统安全完整性。

安全完整性是指在所有规定的条件下，系统在规定时间内实现所需安全功能的可能性。

该指标是信号系统的根本评价指标。

2.2 系统使用。

系统满足安全的前提下应能最大化满足用户的使用需求。

针对不同的用户需求，重点关注的评价指标如下：自动化程度：指面向运营人员及司机提供高度智能化、自动化的运营功能。

如列车自动驾驶等；乘客舒适度：指面向乘客实现列车快速、平稳运行，减少换乘等待时间等；2.3 系统性能。

系统性能是在满足系统使用的条件下优先评价的指标。

该指标与技术先进性、成本投入及可持续性发展密切相关。

系统性能重点关注的评价指标如下：运用环境：可适应不同外部环境的系统需求，如温度、湿度、海拔、无线干扰、供电条件、施工条件、维护条件等；系统适应能力：指系统适应铁路各种运营场景的能力，如跨线运行、跨制式运行、枢纽多列车同时密集高效运行等；最小追踪间隔时间：指同一方向追踪运行的两列车间的最小间隔时间。

中文版 )铁路应用_通信、信号和过程控制系统_信号的安全相关电子

中文版）铁路应用_通信、信号和过程控制系统_信号的安全相关电子。

txt27信念的力量在于即使身处逆境,亦能帮助你鼓起前进的船帆；信念的魅力在于即使遇到险运，亦能召唤你鼓起生活的勇气；信念的伟大在于即使遭遇不幸，亦能促使你保持崇高的心灵. 本文由lizf0710贡献doc文档可能在WAP端浏览体验不佳。

建议您优先选择TXT，或下载源文件到本机查看。

EN 50129:2003英国标准BS EN 50129:2003铁路应用—铁路应用—通信，信号和过程控制系统—通信，信号和过程控制系统—信号的安全相关电子系统信号的安全相关电子系统1EN 50129：2003国家前言该英国标准是 EN50129 ： 2003 的官方英文标准。

它代替了被撤回的 DD ENV50129：1999 标准. GEL/9 技术委员会委托英国参与了它的准备,铁路电子技术应用组织即 GEL/9/1 子委员会，信号和通信,职责是：—帮助调查人理解文章；—提出可靠的欧洲委员会的要求来分析或者提出改进意见,并保证英国的利益; -关注相关的国际和欧洲发展,并在英国发布它们; 一系列的组织给子委员会提出的意见可在它的秘书处获得。

交叉的参考本英国标准应用国际的或者欧洲的关于本文件的出版物,它可能在”国际标准相应的索引”部分的 BSI 目录中找到, 或者是使用 BSI 电子目录的或者英国标准在线的 "查找”工具. 它的出版并不意味着包括一个合同所有必要条款, 英国标准的使用者有责任正确使用该标准. 依从一个欧洲标准并不是指本人免除法律责任。

依从一个欧洲标准并不是指本人免除法律责任.总共的页数该文档包括前封面，内前封面，EN 名称页，2 到 94 页和内后封面和后封页。

在文档最终出版后，BSI 的版权日期在文档中指出.出版后的修订修订次数日期内容2EN 50129:2003英文版本铁路应用- 铁路应用- 通信，信号和过程控制系统—通信，信号和过程控制系统- 信号的安全相关电子系统信号的安全相关电子系统这个欧洲标准在 2000-11-01 被 CENELEC 提出，CENELEC 的成员应该遵守 CEN/CENELEC 国际标准，它规定了该欧洲标准在无修改的情况下作为国际标准的一些情况。

【冶金业标准】欧洲铁路标准前言(中文版EN50128)

绪论该欧洲标准应和EN50126——2：“铁路应用——引导运输系统可信性——第二部分：安全性”，以及EN50129：“铁路应用——安全电子铁路控制和防护系统”一起阅读。

欧洲标准的关键概念是软件完善度等级。

软件完善度等级越高，由软件规格说明或由设计缺陷所引起的系统危险失效和可能性就越小。

欧洲标准建立了为软件完善度的5个相应的技术和措施，其中0等级最低，4等级最高。

等级1到4标征安全软件，而等级0标征非安全软件。

将0等级也包括在其中的目的是为了实现非安全性软件开发和安全软件开发之间的平稳过渡，表中列出了完善度等级所要求的技术和措施。

在这一版中，等级1和等级2相同，等级3和等级4所要求的技术相同，对于某一给定的危险哪一软件完善度用于它，欧洲标准没有加以指明。

这将取决于多种原因，包括应用特征、其它系统实现安全性功能的限度、以及社会和经济因素。

EN50126——2：“铁路应用——引导运输系统可信性——第二部分：安全性”，以及EN50129：“铁路应用——安全电子铁路控制和防护系统”的作用就是详细说明分配给软件的安全性功能以及软件所要求的完善度等级。

欧洲标准详细解释了要达到这些要求所必需的措施。

EN50126——2：“铁路应用——引导运输系统可信性——第二部分：安全性”和EN50129：“铁路应用——安全电子铁路控制和防护系统”要求将系统化的方法用于：i)确定危险、风险和风险准则；ii)确定为满足风险准则所必须进行的风险缩减；iii)为满足风险准则必需的安全监护定义整个系统的安全性需求规格说明；iv)选择一个合适的系统结构；v)规划、监督和控制那些把系统安全性要求规格说明转换为具有确认的安全性（或安全性完善度）的安全系统所需的技术方面和管理方面的活动。

在EN50126——2：“铁路应用——安全电子电路控制和防护系统”中，为满足所要求的风险准则必须进行的风险缩减将被指定为上述五个软件完善度等级之一，并示于图1中。

城市轨道交通信号系统安全保障流程及实践

城市轨道交通信号系统安全保障流程及实践发表时间：2020-12-29T14:26:12.563Z 来源：《基层建设》2020年第24期作者：郝瑞琴[导读] 摘要：介绍了城市轨道交通信号系统的安全保障理论、标准及城市轨道交通信号系统项目的安全保障流程，并描述了轨道交通信号系统项目应用的实践及经验积累，对后续开展系统集成工程项目开展提供很大的帮助。

通号城市轨道交通技术有限公司北京 100073摘要：介绍了城市轨道交通信号系统的安全保障理论、标准及城市轨道交通信号系统项目的安全保障流程，并描述了轨道交通信号系统项目应用的实践及经验积累，对后续开展系统集成工程项目开展提供很大的帮助。

关键词：系统安全保障、轨道交通1.引言城市轨道交通信号系统的安全保障工作主要遵循CENELE标准（EN50126、EN50128、EN50129等），并对应国内也颁布相应的国标（GB/T 21562-2008、GB/T28808-2012、GB/T28809-2012）。

需根据公司内部组织结构及工作安排依据标准制订相应的安全保障流程。

2.相关标准介绍2.1 EN50126EN50126：2017 -铁路应用-可靠性、可用性、可维护性和安全性（RAMS）规范，该标准定义了系统的RAMS（reliability、availability、maintainability 和safety），即可靠性、可用性、可维护性和安全性，并且规定了安全生命周期内各个阶段对 RAMS的管理和要求。

要求在整个安全生命周期进行RAMS管理，针对每个阶段给出应需要完成的 RAMS任务，同时给出相关的具体文档和要求。

2.2.EN50128EN50128：2011-铁路应用：通信、信号和处理系统—铁路控制和防护系统的软件，是针对软件的安全保证提出的规范和设计标准。

针对不同的安全要求制订相应的标准，包括对软件需求规格书、测试规格书、软件结构、软件设计开发、软件检验和测试、软硬件集成、软件确认评估、质量保证、生命周期、文档等提出相应的程序与规范要求。

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

EN 50128 : 2001铁路应用——通信、信号和处理系统——铁路控制和防护系统软件2007.6序言本欧洲标准是SC 9XA,即通信，信号传输和处理系统技术委员会（CENELEC TC 9X）制订，铁路电气和电子应用的标准。

草案文本作为EN 50128正式提交投票并于2000-11-01获得CENELEC批准。

修改了下列日期--欧盟各国必须通过认可或发布相同的国家标准来执行本欧洲标准的截止日期2001 -1 1-01--与本欧洲标准冲突的国家标准必须被废止的截止日期2003-1 1-01本欧洲标准必须与EN50126铁路应用——可靠性，可用性，可维护性和安全性（RAMS）；EN50129铁路应用——信号领域的安全相关电子系统同时阅读。

附件中指定的“规范性的”是本项标准主体的一部分。

附件中指定的“参考性的”只用于获得的信息。

本项标准中，附件A是规范性的而附件B是参考性的。

目录引言1.范围2.参考文献3.定义4.目标和符合5.软件安全完整性等级5．1目标5．2需求6.人员及职责6．1目标6．2需求7.生命周期和文档7．1目标7．2需求8.软件需求规格说明8．1目标8．2输入文档8．3输出文档8．4需求9.软件体系结构9．1目标9．2输入文档9．3输出文档9．4需求10.软件设计和实现10．1目标10．2输入文档10．4需求11.软件验证和测试11．1目标11．2输入文档11．3输出文档11．4需求12.软件/硬件集成12．1目标12．2输入文档12．3输出文档12．4需求13.软件确认13．1目标13．2输入文档13．3输出文档13．4需求14.软件评估14．1目标14．2输入文档14．3输出文档14．4需求15.软件质量保障15．1目标15．2输入文档15．3输出文档15．4需求16.软件维护16．1目标16．2输入文档16．4需求17.根据应用数据配置的系统17．1目标17．2输入文档17．3输出文档17．4需求17．4．1数据准备生命周期17．4．2数据准备程序和工具17．4．3软件开发附件A：技术和措施的选择准则附件B：技术参考书目附图图1——安全相关系统的完整性等级图2——软件安全性路径图图3——开发生命周期1图4——开发生命周期2图5——独立性与软件完整性等级图6——通用系统开发和应用开发之间的关系引言本标准是相关标准系列中的一部分。

其他标准有EN50126铁路应用——可靠性，可用性，可维护性和安全性（RAMS）；EN50129铁路应用——信号领域的安全相关电子系统。

EN50126适用于大范围的系统问题，而EN50129适用于整个铁路控制和防护系统中某单个系统的批准过程。

本标准关注于需要使用的方法，以使软件能满足经全面考虑后所分配到的安全完整性要求。

本标准从IEC/TC65第九工作组（WG9）早期工作中得到很多指导。

WG9的工作形成了一个安全系统软件通用标准，现在该标准是IEC61508的一部分。

WG9工作的特别之处是包含了适用于非安全软件的软件安全完整性0级，以及适用于安全相关和安全苛求软件的软件安全完整性1~4级。

本标准也覆盖了所有五个软件安全完整性等级。

国际铁路信号工程师协会（IRSE）的工作也被考虑进来，特别是它关注相同课题的1号技术报告。

本欧洲标准的一个关键概念是软件安全完整性等级。

软件失效后果的危险性的越大，软件安全完整性等级也就越高。

本欧洲标准确定了从最低0级到最高4级的5个软件安全完整性等级的技术和措施。

其中1~4这四个级别涉及安全相关软件，0级涉及非安全相关软件。

对0级进行标准化是为了让非安全相关系统软件向安全相关系统软件进行平滑转变。

附表给出了各个软件安全完整性等级和非安全相关等级要求的技术和措施。

在这个版本中，1级和2级的技术要求相同，3级和4级的要求相同。

本欧洲标准没有给出某一风险应适用于哪个软件安全完整性等级的具体指导意见。

这个结论需要考虑许多因素包括应用的特性、其他系统承担的安全性功能范围和社会以及经济因素。

EN 50126 和EN 50129规定了分配给软件的安全性功能。

本欧洲标准规定了满足这些需求的必要措施。

这个过程在图1作了说明。

EN50126和EN50129需采用系统性的方法，以：1）确定危险、风险和风险准则；2）为满足风险准则，确定必要的风险降低；3）为实现必要的风险降低，定义一个全面的系统安全性需求规格说明；4）选择一个合适的系统体系结构；5）规划、监督和控制那些把系统安全性需求规格说明变成安全性能(或安全完整性)已确认的安全相关系统所必需的技术和管理活动。

在分解需求规格说明形成由安全相关系统和组件组成的设计说明时，需要进一步分配安全完整性等级，并最终形成所需的软件安全完整性等级。

目前，无论是质量保证法(即避错措施)还是软件容错法的应用，都无法保证系统的绝对安全。

尚未发现可以证明一个较复杂的安全相关软件中不存在错误的方法，特别是规格说明和设计的错误。

以下规则应用于开发高安全完整性等级软件，但也不仅限于开发高安全完整性等级软件：1）自顶向下的设计方法；2）模块化；3）开发生命周期每一阶段的验证；4）验证后的模块和模块库；5）清晰的文档；6）可审计的文档；7）确认测试。

这些规则以及相关的其他规则必须正确应用。

对于各个软件安全完整性等级，本标准均规定了说明这一点所需的保证等级。

在得到或形成了系统安全性需求规格说明后，分配给软件的安全性功能和系统安全完整性等级就确定了，图2给出了应用本欧标的功能步骤，如下所示：1）定义软件需求规格说明，同时考虑软件体系结构。

软件体系结构是为软件和软件安全完整性等级开发基本安全策略的架构。

(条款5、8和9)2）根据软件质量保障计划、软件安全完整性等级和软件生命周期来设计、开发和测试软件。

(条款10) 3）在目标硬件上集成软件。

(条款12)4）确认软件。

(条款13)5）如果在运行过程中需要软件维护，那么可再适当运用本欧洲标准进行处理。

(条款16)许多活动都是在软件开发过程中交叉进行的，这其中包括验证(条款11)，评估(条款14)和质量保障(条款15)。

给出了应用数据配置的系统的需求(条款17)。

给出了从事软件开发人员能力的需求。

(条款7)本标准没有硬性要求使用特定的软件开发生命周期，但是给出了一个推荐的生命周期及文档集。

(条款7，图3和图4)表格针对5个软件安全完整性等级明确罗列了各种技术和措施。

表格在附件A中给出。

与表格对照的参考书目提供了更多的信息，给出了每项技术和措施的简明描述。

参考书目在附件B中给出。

1 范围1.1 本欧洲标准详细规定了铁路控制和防护设备用的可编程电子系统开发所需的程序和技术要求。

它适用于任何有隐含安全性的领域。

这些应用系统的范围涵盖了安全苛求系统,如安全信号，非安全苛求系统,如管理信息系统。

这些系统可能通过采用专用多处理器，可编程逻辑控制器，分布式多处理器系统，大规模集中处理器系统或者其它架构来实现。

1.2本欧洲标准专门应用于软件以及软件和系统之间的相互作用。

1.3 0级以上的软件安全完整性等级用于失效可引起失去生命的后果的系统。

然而，从经济或环境因素方面考虑也能采用高级别的安全完整性等级。

1.4 本欧洲标准适用于铁路控制和防护系统开发和实现的所有软件，包括：应用程序设计；操作系统；支持工具；固件。

应用程序设计包括高级程序设计，低级程序设计和专用程序设计（如：可编程逻辑控制器梯形逻辑）。

1.5 本欧洲标准还涉及了本标准的使用、商用软件和工具。

1.6 本欧洲标准还对应用数据配置的系统提出了要求。

1.7本欧洲标准并不涉及商务问题，这些问题应为合同的基本部分被提出。

但本欧洲标准中的所有条款在任何商务活动中都需被仔细考虑。

1.8本欧洲标准为避免追溯，主要应用于新的开发。

对于现有系统，仅当进行主要修改时才进行全面应用，对于次要修改，只要应用条款16。

2 规范性参考文献本欧洲标准需与标注日期或未标注日期的参考文献以及其他出版物中条款相结合。

这些规范性参考文献将在文中合适的位置被引用，相应的出版物将在下面列出。

对于标注日期文献的后续修改或修订，本欧洲标准需通过修改或修订进行结合来应用。

对于未标注日期的文献,则应用最新版本(包括修改)。

EN50126，铁路应用——可靠性，可用性，可维持性和安全性（RAMS）的规格和说明；EN50129*，铁路应用——信号领域的安全相关电子系统；EN50159-1,铁路应用——通信，信号和处理系统第一部分：封闭传输系统中的安全通信；EN50129-1,铁路应用——通信，信号和处理系统第二部分：开放传输系统中的安全通信；EN ISO 9001,质量体系——设计/开发，生产，安装和维护的质量保证模型；EN ISO 9001-3,质量管理和质量保证标准——第三部分：ISO9001:1994在计算机软件的开发，供应，安装和维护应用的指导。

3 定义以下定义适用于此欧洲标准.对于未定义的术语,按照优先顺序查阅以下参考文献。

EN ISO 8402，质量管理和质量保证——词汇表；IEC 60050-191,国际电工词汇第191章：服务可信性和质量；IEEE 610.12, IEEE标准软件工程术语词汇表；ISOIIEC 2382,信息技术词汇表；ISOIIEC 9126,信息技术－软件产品评估－质量特性以及其使用指导；3.1 评估（assessment）用于确定设计主管机构和确认员所完成的产品是否符合规定的要求和判定产品是否达到预期目的的分析过程。

3.2评估员（assessor）受委托执行评估的人员或者代理。

3.3可用性（availability）假定所需外部资源均能满足的条件下，产品在规定的条件下，在规定的时刻或在给定的时间间隔内完成要求功能的能力。

3.4 商用软件（COTS software）市场需求所定义、市场已存在且其目标满足性已得到广大商业用户证明的软件。

3.5 设计主管机构（design authority）负责提出实现特定需求的设计方案，并监控后期的开发和系统在特定环境下工作的实体。

3.6设计者（designer）一个或多个由设计主管机构指派的人员，他们承担需求分析并将特定需求转化成可接受且有相应安全完整性的设计方案。

3.7元素（element）被确认为基本单元和基本部件的某产品的一部分。

一个元素可以是简单或者复杂的。

3.8错误（error）与期望的设计相背离，并有可能导致未预料到的系统行为或失效。

3.9失效（failure）与规定的系统行为相背离。

失效是系统错误或故障的结果。

3.10故障（fault）一种能导致系统错误或失效的不正常情形，故障可以是系统性或随机性的。

3.11避错（fault avoidance）在系统设计和构造的过程中使用避免引入故障的设计技术。