邱兆陽(yáng)

(北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070）

1 概述

承擔(dān)安全關(guān)鍵功能的信號(hào)控制系統(tǒng)，隨著近年來(lái)歐洲安全標(biāo)準(zhǔn)的引入、國(guó)標(biāo)轉(zhuǎn)化和安全評(píng)估的普及，其開發(fā)過程的規(guī)范性越來(lái)越好，聯(lián)鎖和列控系統(tǒng)的開發(fā)廠商以及業(yè)主，對(duì)安全軟件以及承擔(dān)安全功能硬件的開發(fā)已經(jīng)有了普遍的重視。

對(duì)于承擔(dān)安全關(guān)鍵功能的信號(hào)控制系統(tǒng)所使用的工具，由于對(duì)工具的安全認(rèn)知不足、之前缺少相應(yīng)的標(biāo)準(zhǔn)規(guī)范、工具帶來(lái)的問題不突出等因素，并未如同安全軟件、安全硬件一樣，引起開發(fā)廠家和業(yè)主的足夠重視，投入足夠的精力來(lái)規(guī)范工具的使用，以降低工具使用帶來(lái)的風(fēng)險(xiǎn)。

使用合適的軟件工具能夠降低在軟件開發(fā)過程中引入缺陷的風(fēng)險(xiǎn)，增加軟件開發(fā)過程的完整性，從而增強(qiáng)軟件產(chǎn)品的可靠性。由于使用軟件工具能夠減少軟件生產(chǎn)需要的時(shí)間和工作量，因而也具有良好的經(jīng)濟(jì)效益。從另一個(gè)角度，為安全相關(guān)系統(tǒng)服務(wù)的工具，作為安全系統(tǒng)安全生命周期內(nèi)影響安全的一個(gè)重要因素，也應(yīng)該引起足夠的重視，以提升安全效益。

2 標(biāo)準(zhǔn)要求

2.1 相關(guān)標(biāo)準(zhǔn)

對(duì)于工具安全性的要求，EN50128-2001 以及EN50129-2003 中并沒有系統(tǒng)性的提出對(duì)工具安全性的要求，在EN50128-2011 中，采用IEC61508-2010 中對(duì)工具的分類原則，并在一個(gè)單獨(dú)的章節(jié)中，對(duì)于各類工具提出要求，新發(fā)布的EN50129-2018中也增加了對(duì)工具的要求。

關(guān)于工具的定義，在IEC61508 中定義軟件在線支持工具和軟件離線支持工具兩類。

軟件在線支持工具：能直接影響運(yùn)行中安全相關(guān)系統(tǒng)的軟件工具。

軟件離線支持工具：支持軟件開發(fā)生命周期某個(gè)階段并且不能直接影響運(yùn)行中安全相關(guān)系統(tǒng)的軟件工具。軟件離線支持工具分為T1/T2/T3 3 類，EN50128-2011 借鑒了這一分類和定義。

在EN50129-2018 中提到的安全相關(guān)工具，定義為執(zhí)行或支持各生命周期階段活動(dòng)，可能直接或間接影響安全的工具，本文將其稱為系統(tǒng)設(shè)計(jì)支持工具。

軟件的分類關(guān)系如圖1 所示，虛線內(nèi)為本文所討論的工具。

圖1 工具分類關(guān)系Fig.1 Tool classification relationships

2.2 IEC61508

IEC61508-2010 中，對(duì)于軟件開發(fā)生命周期中可離線使用，并且不會(huì)直接在運(yùn)行過程中對(duì)安全相關(guān)系統(tǒng)構(gòu)成影響的軟件工具進(jìn)行分類，如表1 所示（為保持含義準(zhǔn)確性，保留了英文原文）。

需要說(shuō)明一點(diǎn)，此處軟件工具的分類都指的是離線工具，即不與系統(tǒng)可執(zhí)行代碼一起參與運(yùn)行的軟件工具，與目標(biāo)代碼一起參與即時(shí)運(yùn)行的工具，不能劃分到這3 類工具中。因?yàn)楦鶕?jù)IEC61508-2010，在線支持工具應(yīng)作為安全相關(guān)系統(tǒng)軟件的一部分（A software on-line support tool shall be considered to be a software element of the safety related system） ；離線支持工具則作為軟件開發(fā)活動(dòng)的一部分（Software off-line support tools shall be selected as a coherent part of the softwaredevelopment activities）。

表1 工具分類定義Tab.1 Tool classification definition

對(duì) 于T1，T2，T3 類 工 具 的 具 體 要 求，在IEC61508-2010-3 的7.4.4 節(jié)中規(guī)定。

2.3 EN50128

在EN50128-2001 中，并未包括系統(tǒng)性的工具要求。隨著IEC61508-2010 的發(fā)布，EN50128 作為以IEC61508 為基礎(chǔ)標(biāo)準(zhǔn)的鐵路行業(yè)標(biāo)準(zhǔn)，直接采用IEC61508 對(duì)于軟件工具的分類定義，參見EN50128-2011 的3.1.42-3.1.44。

EN50128-2011 相比2001 版，專門增加了6.7節(jié)對(duì)工具和語(yǔ)言的要求，并且分別對(duì)T1、T2、T3類工具給出對(duì)應(yīng)的要求，對(duì)T1 類工具的要求最少，對(duì)T3 類工具要求最嚴(yán)格。為方便理解，對(duì)3 類工具分別摘錄其中的一些要求，如表2 所示。

EN50128-2011 對(duì)于工具的要求條款與IEC61508-2010 中7.4.4 節(jié)的內(nèi)容基本一致，相比IEC61508-2010，EN50128-2011 給出更具可操作性的要求，如提出工具替代人的原則，T3 類工具符合要求的證據(jù)給出方式。

需要注意一點(diǎn)，對(duì)工具的分類并不一定是直接對(duì)工具本身提出安全要求，不應(yīng)用軟件SIL 的概念與工具的Tx 分類來(lái)做映射，同樣作為T3 類的兩個(gè)工具，會(huì)因?yàn)檩敵龉收蠙z測(cè)手段的不同，而對(duì)工具本身產(chǎn)生差異較大的要求。

表2 T3類工具要求摘錄Tab.2 Extract from T3 tools requirements

2.4 EN50129

EN50129-2003 中并沒有系統(tǒng)性地對(duì)軟件工具提出要求，只是在B.5 技術(shù)安全報(bào)告的安全相關(guān)應(yīng)用條件章節(jié)中，要求考慮輔助設(shè)備和工具的安全性證明。但并沒有就如何分析進(jìn)行分析，以及接受標(biāo)準(zhǔn)等提出要求。

在新發(fā)布的EN50129-2018 中增加了一個(gè)新章節(jié)，內(nèi)容包括既有系統(tǒng)的復(fù)用、安全相關(guān)工具，以及物理安全和IT 信息安全。

其中在安全相關(guān)工具小節(jié)，工作組參考了IEC61508-2010-3 中工具相關(guān)章節(jié)的內(nèi)容，認(rèn)為并沒有必要強(qiáng)調(diào)T1/T2/T3 類工具的劃分。并且只對(duì)直接可能影響安全的工具給出要求（等價(jià)于IEC61508-2010-3 中的T3 類工具）。

EN50129-2018 中提到的安全相關(guān)工具，定義為執(zhí)行或支持各生命周期階段活動(dòng)，可能直接或間接影響安全的工具，如表3 所示。

與EN50128-2011 相比，EN50129-2018 中提到的工具范圍更大，包括產(chǎn)品生命周期中用到的所有可能對(duì)安全有直接或間接影響的工具，而且EN50129-2018 中提到對(duì)安全的影響，不再局限于對(duì)執(zhí)行代碼（數(shù)據(jù)）的影響，而是從安全相關(guān)功能的設(shè)計(jì)或?qū)崿F(xiàn)角度出發(fā)，涉及的范圍更廣。從另外一個(gè)角度，EN50129-2018 對(duì)工具的要求，填補(bǔ)了歷史版本對(duì)工具管理的空白。

表3 EN50129工具分類Tab.3 EN50129 tool classification

EN50129-2018 對(duì)工具的分類，不考慮工具的范圍，可以與EN50128-2011 的分類進(jìn)行映射，如表4 所示。除分類外，EN50129-2018 同樣要求工具應(yīng)作為開發(fā)活動(dòng)的一部分統(tǒng)一考慮，一個(gè)工具到另一個(gè)工具的接口應(yīng)盡量實(shí)現(xiàn)自動(dòng)化，以減少中間的人為錯(cuò)誤。

表4 工具分類映射Tab.4 Tool classification mapping

對(duì)于直接影響安全的工具，EN50129-2018 提出要求，如表5 所示。

需要注意的是，EN50129-2018 特別提到，軟件開發(fā)的支持工具并不在EN50129-2018 的范圍內(nèi)，而是由EN50128 來(lái)規(guī)定。

從EN50129-2018 對(duì)工具的要求來(lái)看，分類簡(jiǎn)潔，對(duì)于直接影響安全的工具所出的要求容易實(shí)施，更多考慮了工程實(shí)踐，以及當(dāng)前能達(dá)到的最佳實(shí)踐技術(shù)。從工具的實(shí)際運(yùn)用情況來(lái)看，EN50129-2018 提到的5 項(xiàng)可選技術(shù)要求，與EN50128-2011 的有所接近，提出的要求更加簡(jiǎn)明扼要，但EN50128-2011提出的要求更為具體。

表5 直接影響安全的工具要求Tab.5 Requirements for tools that directly affect safety

但是對(duì)于間接影響安全的工具，EN50129-2018的要求并不明確，只是籠統(tǒng)地提出了幾條要求，可能造成標(biāo)準(zhǔn)執(zhí)行的困惑。

2.5 IEC62279

IEC62279-2015 是以EN50128-2011 為基礎(chǔ)，經(jīng)部分少量修改形成的IEC 標(biāo)準(zhǔn)，國(guó)內(nèi)的GB/T 28808 一般會(huì)等同采用IEC62279 標(biāo)準(zhǔn)。

從上面幾小節(jié)的介紹可以發(fā)現(xiàn)，無(wú)論是IEC61508,還是EN50128 或EN50129，在對(duì)工具提出規(guī)范和約束時(shí)，都與產(chǎn)品的SIL 無(wú)關(guān)，這在執(zhí)行時(shí)會(huì)造成一定的困惑。比如某工具UNITOOL 為安全相關(guān)產(chǎn)品T3 類工具，該工具用于SIL2 產(chǎn)品時(shí)應(yīng)進(jìn)行的安全活動(dòng)與該工具用于SIL4 產(chǎn)品時(shí)應(yīng)進(jìn)行的安全活動(dòng)，沒有明顯的差異。

雖然在EN50128-2011 及EN50129-2018 中都提到了需要確認(rèn)所有工具和相關(guān)過程與安全完整性要求相適應(yīng)，但并未給出其他可以指導(dǎo)實(shí)施，與安全完整性相關(guān)的技術(shù)要求。

IEC62279-2015 在對(duì)EN50128-2011 為數(shù)不多的幾條修訂中，就包括增加工具類別和產(chǎn)品安全完整性之間關(guān)系的說(shuō)明，這樣從實(shí)踐的角度，可以更好的指導(dǎo)工具的確認(rèn)過程。

IEC62279-2015 增加的內(nèi)容，如表6 所示。

表6 工具類型和產(chǎn)品SIL安全完整性等級(jí)之間關(guān)系Tab.6 Illustrative relation between tool type and product SIL

根據(jù)表6 所示，再以上面提到的UNITOOL 工具為例，該工具用于SIL2 產(chǎn)品時(shí)，可以選擇“在類似環(huán)境下成功使用的證據(jù)”作為確認(rèn)方法 ；該工具用于SIL4 產(chǎn)品時(shí)，則選擇“運(yùn)行一個(gè)廣泛認(rèn)可的、具有確定性結(jié)果的測(cè)試用例/測(cè)試套件庫(kù)，用于確定功能完整性”來(lái)作為確認(rèn)方法 。

3 對(duì)比和結(jié)論

根據(jù)上面幾個(gè)標(biāo)準(zhǔn)規(guī)范對(duì)工具要求的分析，對(duì)比如表7 所示。

IEC61508 作為整個(gè)電子/電氣/可編程系統(tǒng)的基礎(chǔ)標(biāo)準(zhǔn)，對(duì)工具的分類根據(jù)對(duì)安全性影響，提出基礎(chǔ)分類要求，EN50128-2011 直接采用IEC61508 對(duì)工具的分類定義；相比EN50128-2011，EN50129-2018 對(duì)工具的分類更為簡(jiǎn)化，容易理解，避免了對(duì)工具分類的混淆；同時(shí)EN50129-2018 從系統(tǒng)的角度對(duì)工具使用提出要求，覆蓋更廣泛；IEC62279-2015相對(duì)EN50128-2011，增加了工具分類與產(chǎn)品SIL 的對(duì)應(yīng)關(guān)系，更有利于解決工具確認(rèn)實(shí)施的不確定性。

以上4 個(gè)標(biāo)準(zhǔn)中，對(duì)于工具與產(chǎn)品SIL 間的關(guān)系均涉及較少，也未明確如何評(píng)估軟件工具的可置信度水平，從而根據(jù)其可置信度水平對(duì)軟件進(jìn)行后續(xù)的安全管理。

表7 標(biāo)準(zhǔn)要求對(duì)比Tab.7 Standard requirements comparison

目前信號(hào)關(guān)鍵安全產(chǎn)品的設(shè)計(jì)開發(fā)普遍都經(jīng)過安全認(rèn)證，從目前項(xiàng)目的實(shí)際執(zhí)行情況來(lái)看，對(duì)工具的規(guī)范管理沒有引起足夠的重視，隨著IEC62279-2015 對(duì)應(yīng)國(guó)標(biāo)版的即將發(fā)布，以及EN50129-2018的發(fā)布，工具開發(fā)使用將更加規(guī)范。