列车网络控制软件开发平台建立及实施

列车网络控制软件开发平台建立及实施

李玲

中车青岛四方机车车辆股份有限公司 

摘  要：针对轨道交通行业对网络控制系统软件安全性和质量的需求，研究形成了列车网络控制系统软件开发流程，建立了符合国内外要求的软件设计开发及安全管理体系平台，并在城轨、动车列车网络控制系统软件自主开发中进行了广泛应用。

关键词：网络控制系统；软件开发平台；安全评估；

1 概述

随着网络控制系统在城轨和动车组列车中广泛应用，软件安全性越来越多的被开发人员所关注，轨道交通行业的用户对列车所有系统的安全性能越来越重视，满足国际标准的安全分析是以保护人身财产安全为目的与安全相关的保护系统，车载设备控制器故障在产品的生命周期各个阶段都有出现的可能性，只是概率有所不同，而SIL认证正是从产品设计之初，即利用标准和规范中的成熟方法对产品整个生命周期的各个阶段进行管理和控制，使故障在各个阶段出现的可能性降到最小，从而达到控制风险的目的。

本文研究了列车网络控制系统软件开发流程，建立了符合国际标准的设计开发及安全管理体系平台并在城轨、动车列车网络控制系统软件自主开发中进行了广泛应用，极大降低了产品安全风险。

2 软件开发平台简介

列车网络控制系统软件开发平台是以国际标准体系中软件设计开发要求为基础，进行了安全体系的建立及设计开发流程的改进，优化了自主开发的设计流程，形成了独立安全评估的方法。

3 软件开发平台建立

软件开发安全管理体系结构如下图所示：

图 1 安全管理体系的结构

以上图安全管理体系的结构为基础，结合网络控制系统产品及软件的属性，建立了对应的文件列表，在软件开发、测试、确认验证环节进行了规范化管控，作为网络控制系统软件设计的规范性文件。

根据建立安全管理体系的要求，结合网络控制系统软件产品生命周期模型的定义，在每个过程中定义对应的输出文档，帮助所有项目的复用，并对所有项目的文档及结构提出了明确要求，做到规范化管理。体系的建立，有助于将过程文件规范化，做到可追溯性，有据可依、有据可查。

3.1 V模型

采用EN50128规定的软件开发生命周期V模型实施软件开发体系的建立，建立软件开发管理流程，建立符合相应SIL等级的组织架构和人员分工。该模型对软件开发全过程各阶段进行了定义，形成包括系统需求分析、软件需求分析定义阶段、软件系统级设计阶段、模块详细设计阶段、编码和单元测试阶段、软件集成测试、验收测试阶段的软件开发生命周期模型。

如下图所示：

图 2 软件生命周期V模型

3.2 安全评估

明确了与评估方一起进行独立安全评估概念、原理及实施，掌握了使用方法，评估内容如图3所示。

图 3 独立安全评估的技术/工作形式

规范了独立安全评估工作基本的流程如下图所示：

图 4 独立安全评估流程

安全论据提供质量管理证据、安全管理证据、技术和功能证据、在特定/外部影响执行特定的操作的证明、其他相关安全论据的索引、以及安全相关应用条件。安全论据文件自身将依据 CENELEC 铁路应用标准被分析其完整性、有效性、无歧义性、易理解性和一致性。 该安全论据将会参考外部设备的安全文件或安全批准文件作为相关的安全证据和基础。

建立了各项目安全论据范例，掌握了通用技术分析方法，更深层次的理解了有关安全的概念。安全论据的来源、过程与相关证据，和独立安全评估的关系，参考下图：

图 5 安全论据与安全评估

4、实施效果

在选定的项目中利用此平台进行了网络控制系统软件开发并通过了独立安全评估及认证，项目实施过程历时18个月，与的人员达到40人，多人取得了独立安全评估资质，有效提升了管理水平及人员能力。

软件开发体系平台运行后，基于独立安全评估的方法，越来越多的项目，如氢能源车辆、北京新机场线等，也广泛采用独立安全评估的方法对整车产品进行安全分析，通过不断优化，提升了公司产品的安全性，降低使用风险。同时也满足了项目实施背景中客户对产品的需求。

5 结束语

本文对列车网络控制软件设计开发流程进行研究，进行了软件开发和安全体系的建立及改进，优化了网络控制系统软件开发的设计流程，建立了国内外认可的软件安全及设计开发流程管理体系，提升了综合竞争力。为产品走出国门、一带一路战略提供了重要保障。

参考文献

[1] EN50128 铁路设施.通信、信号和处理系统.铁路控制和防护系统用软件