軌道交通行業的嵌入式軟件測試|  CENELEC

確保軌道交通行業的嵌入式軟件始終符合CENELEC  標準

若要符合軌道交通行業嚴苛的標準，就必須進行可預見的和可重復的軟件操作。軌道交通業的要求是歐洲電工標準化委員會（CENELEC）規定的。滿足由CENELEC出臺的三個標準：EN  50126，  EN  50128，  EN  50129的要求，是證明軌道系統安全的支柱流程。

EN  50128概括了出現危險失效的最大可能性及降低綜合風險的相關方法。它提供了5個不同的軟件完整性等級（SIL），這些等級應用在各種鐵路系統，包括從SIL  0的系統（如：不影響安全性的管理信息的系統），到SIL4的系統（如：控制開關和信號傳遞的系統）。

EN  50126可以確保嵌入式軟件適合在高安全性的設置下使用。EN  50129與EN  50128有相似的指導方針，主要適用于進行信號傳遞的電子系統。

TüV  SüD認證的工具用以進行基于ISO  26262標準的與安全相關的開發

EN  50128

針對軌道控制和防護系統的軟件標準EN  50128和與安全相關的控制信號傳遞的電子系統標準EN  50129，代表了鐵路應用對于國際標準的特定解釋——IEC  61508（與安全相關的電氣/電子/可編程電子系統的功能安全）。

EN  50128標準描述了軟件安全完整性等級，并規定了對于人員及其職責、生命周期、文件材料方面的要求。內容還對目標、輸入文件、輸出文件進行了詳細描述，并對軟件需求規范、體系結構、設計和執行、驗證和測試，以及軟件/硬件集成、軟件確認、質量保證和維護提出了要求。

EN51028將5個軟件安全完整性等級（SIL）均考慮在內，即從安全完整性非常高的SIL-4（如安全信號）到安全完整性不高的SIL-0（如管理信息系統）。

安全完整性等級

危險失效概率

風險降低系數

SIL  4

≥  10-5  to  <   10-4

100，000  to  10，000

SIL  3

≥  10-4  to  <   10-3

10，000  to  1，000

SIL  2

≥  10-3  to  <   10-2

1，000  to  100

SIL  1

≥  10-2  to  <   10-1

100  to  100

EN  50128  安全完整性等級的定義

基于IEC  61508的其他標準可能會執行關于安全完整性等級的兩個定義中的任何一個。IEC  61508的要求模式定義適用于一些經常進行間歇性操作的系統（如EN  51028所涉及的系統），而持續模式定義則適用于那些在一段時間內會進行持續操作的系統。下表體現了兩個定義之間的不同之處，并說明了在不同安全完整性等級下出現系統故障可能引發的后果

安全完整性等級

要求模式

持續模式

出現故障造成的結果

等級

有效性

要求失效概率

每小時的危險失效概率

-

SIL  4

> 99.99%

≥  10-5  to  <   10-4

≥  10-9  to  <   10-8

可能導致大面積傷亡

SIL  3

99.99%

≥  10-4  to  <   10-3

≥  10-8  to  <   10-7

可能導致多例傷亡

SIL  2

99%-99.9%

≥  10-3  to  <   10-2

≥  10-7  to  <   10-6

可能導致重傷甚至一人死亡

SIL  1

90-99%

≥  10-2  to  <   10-1

≥  10-6  to  <   10-5

可能導致輕傷

SIL  0

無要求

N/td>

合規A

保證嵌入式軟件測試的完整性