EN50128 铁路应用——通信、信号和处理系统——铁路控制和防护系统软件

合集下载

欧洲安全标准

欧洲安全标准
欧洲的安全标准有很多，以下是一些常见的标准和准则：
1. ITSEC：Information Technology Security Evaluation Criteria，即欧洲的安全评价标准，是英国、法国、德国和荷兰制定的IT安全评估准则。

2. EN 50128：铁路应用：通信、信号和处理系统：铁路控制和防护系统的软件。

3. EN 50129：铁路应用：通信、信号和处理系统：铁路控制和防护系统的电磁兼容性。

4. EN 61508：电气/电子/可编程电子安全相关系统的功能安全。

5. EN 62305：闪电防护。

6. EN 62279：过程工业领域安全仪表系统的功能安全。

7. EN 61439：有轨电车和无轨电车系统，以及安装在车辆上的设备。

8. EN 62040：电动汽车传导充电用充电站。

9. EN 60204：机械安全 - 机器的机械传动部件。

10. EN 60945：船舶和海洋结构物上的电气设备。

以上内容仅供参考，如果需要更详细的信息，建议咨询相关领域的专家或查阅相关文献资料。

关于50128的理解(2008)

及安全（ＲＡＭＳ）的规约和论证，关注整个铁路控制和保护系统中单一系统的经认可的过程．注:demonstration This term refer to an analysis leading to a conclusion , which is less rigorous than a “proof”. 是指一个可得出结论的分析，不如“证明”那样严格．
需求(requirement)与需求规约(requirement specification) -- 需求(requirement)定义 A requirement is a statement that has been constructed to describe a necessary functional capability ,performance parameter, or other property of the intended product (or item). 一个需求是一个“将要予以构造”的陈述，描述了待开发产品（或项）在功能方面必要的能力、性能参数或其它特性。
EN5012８－关注为提供满足安全完整性要求的软件而需要使用的一些方法．注:software safety integrity level classification number which determines the techniques and measures that have to be applied in order to reduce residual software faults to an appropriate level．确定要应用的技术和措施的分类数,其目的是减少残存软件故障,使其保持在一个适当的水平. 这些标准均是对其相应的’关注’，提出了一些需求！

欧洲标准在计算机联锁产品验证与确认的研究与应用

• 117•城市轨道交通迅猛发展，对计算机联锁技术的安全性和可靠性提出了更高的要求。

开发出符合欧洲铁路信号标准EN5012X系列的计算机联锁产品，并通过第三方独立认证成为大势所趋。

本文对EN50126，EN50128和EN50159对测试验证方面的要求进行深入研究，并结合公司的计算机联锁产品，对EN5012X系列标准在计算机联锁产品开发过程中的应用做了深入的探讨和说明。

信号系统在控制列车高速运行上起着越来越重要的作用，城市轨道交通的安全和可靠的运行在一定程度上取决于信号系统的安全性和可靠性的高低。

众多乘客的安全出行和信号系统的安全可靠性紧密的连接在一起。

计算机联锁产品作为行车指挥控制自动化系统的主要组成部分，将领先的通信技术和计算机技术相结合，以提高运输效率和保障行车安全。

国内城市轨道交通的快速发展，对计算机联锁系统提出更高的要求。

为满足严苛的安全和可靠性要求，需要对欧洲电气标准化委员会（CENELEC）针对信号系统的行业标准，即EN5012X标准进行研究，并进一步的结合公司的计算机联锁系统的特点，研究和开发出一套符合欧标的联锁产品开发流程。

其中在开发流程中，测试与验证阶段的应用将是本文介绍的重点部分。

本文将从人员独立性、验证、测试确认等方面进行介绍，如何确保计算机联锁产品的测试验证和确认过程符合标准中对SIL4级产品的要求并顺利通过第三方安全认证。

1 CENELEC标准介绍上世纪90年代，以IEC61508《电气/电子/可编程电子安全系统的功能安全》为基础，附加列车安全控制系统的技术条件，欧洲电气标准化委员会（CENELEC）下属的SC9XA委员会制定了一系列以计算机控制的信号系统作为对象的铁路信号标准EN5012X。

主要由以下几个有关铁路信号的安全标准，相应的标准关系如图1所示。

EN50126铁路应用-可靠性、可用度、可维修性和安全性(RAMS)技术条件和证明EN50129铁路应用-通信、信号和处理系统-安全相关的铁路电子系统EN50128铁路应用-通信、信号和处理系统-铁路控制和防护电子系统的软件EN50159铁路应用-通信、信号和处理系统-安全相关的通信。

列控重点总结

⏹中国铁路列控系统的发展原则：⏹列控系统技术平台的确立遵循全路统一规划的原则，实现互联互通。

⏹按照“先进、成熟、经济、适用、可靠”的要求，我国300km/h及以上高速客运专线确定CTCS3列控系统作为全路统一技术平台体系，并兼容CTCS2列控系统实现动车组上下线运行。

⏹CTCS3系统采用GSM-R无线通信传输列控信息，主要由车载ATP、无线闭塞中心RBC、微机联锁、调度集中CTC、应答器、ZPW2000轨道电路构成，在引进消化吸收关键技术的基础上，通过系统集成创新，我们将建立符合中国国情路情的、世界一流水平的高速铁路CTCS3列控技术体系。

⏹中国铁路列控系统CTCS2：⏹CTCS2列控系统主要用于200～250km/h客货混运客运专线,主要设备包括：车载A TP、列控中心、微机联锁、调度集中CTC、应答器、ZPW2000轨道电路，并已基本实现国产化。

⏹CTCS2列控系统采用轨道电路加点式应答器作为信息传输手段，实现列车运行的安全控制。

⏹经过改造的既有线也采用CTCS2列控系统，并在时速200公里提速线路上应用。

⏹通过在时速300公里和200公里跨线列车上装备CTCS2和CTCS3车载系统，实现高速列车的跨线运行。

⏹城市轨道交通的发展方向：⏹由轨道电路向基于通信的方向发展。

⏹系统化。

⏹通信信号一体化。

⏹标准化和开放化。

⏹列车运行控制技术的发展经过⏹地面人工信号⏹地面自动信号⏹出现机车信号⏹发明自动停车⏹列控系统ATC⏹综合自动化系统⏹固定闭塞（Fixed Block）：线路被划分为固定位置、某一长度的闭塞分区，一个分区只能被一列车占用，闭塞分区的长度按最长列车、满负载、最高速、最不利制动率等最不利条件设计，列车间隔为若干闭塞分区，而与列车在分区内的实际位置无关，列车位置的分辨率为一个闭塞分区（一般为几百米），制动的起点和终点总是某一分区的边界，对列车的控制一般采用速度码台阶式制动曲线方式，该系统要求运行间隔越短，闭塞分区(设备)数也越多。

CXGKA型站间安全信息传输设备说明书

CXG-KA型站间安全信息传输设备说明书深圳科安达电子科技股份有限公司2011年6月修订记录目录1 概述11.1 设备用途11.2 设计遵循的标准及原则21.3 主要功能与特点31.4 主要技术指标42 系统组成及工作原理62.1 系统组成62.2 工作原理62.3 中继站方式73 设备硬件结构73.1 主控单元结构73.2 输入输出单元结构93.3 通信单元结构103.4 监测单元结构114 软件114.1 软件设计遵循标准124.2 软件总体结构124.3 主控单元软件134.4 通信单元软件134.4.1 RSSP-I铁路信号安全通信协议（V1.0）概述134.4.2 通信单元软件的主要功能174.5 监测单元软件175 可靠性保障措施175.1 硬件可靠性设计185.2.1 采用工业级微控制器185.2.2 电子电路采取降额设计185.2.3 硬件的其它抗干扰措施185.2 软件可靠性设计185.2.1 功能循环设置195.2.2 对程序执行过程进行监督195.2.3 指令冗余195.2.4 软件陷阱195.2.5 程序运行软件监视195.2.6 程序运行硬件监视205.3 双系冗余设计206 安全性保障措施206.1 硬件安全性设计206.1.1 总体设计遵循闭环工作原理206.1.2 主控单元采用二取二结构206.1.3 动态驱动安全型输出电路以驱动执行继电器21 6.1.4 动态采集安全型输入电路的输入条件216.2 软件安全性设计216.2.1 采用冗余方式实现对重要信息的校验216.2.2 确定关键性软件的安全侧216.2.3 建立程序运行进程标识226.2.4 设备多微控制器之间的信息传输采用编码、校验等技术22 6.2.5 利用软件实现对设备硬件的故障检测226.3 故障检测及导向安全设计226.3.1 微控制器自检226.3.2 外围芯片检测226.3.3 传输通道检测226.3.4 继电器检测227 传输通道与接口237.1 专用光纤与接口237.2 光通道与接口237.3 与信号微机监测系统接口248 结合电路248.1 与64D半自动闭塞结合设计248.1.1 技术要求248.1.2 结合设计方案248.1.3 电路说明258.2 与计轴自动站间闭塞结合设计268.2.1 技术要求268.2.2 结合设计方案278.2.3 电路说明278.3 与自动闭塞改变运行方向结合设计278.3.1 结合设计方案278.3.2 方案设计说明279 结构及安装329.1 设备结构及尺寸329.2 半自动应用型主控机箱布置及安装329.3 综合机箱结构349.4 自动闭塞改变运行方向应用型主控机箱结构35 9.5 自动闭塞改变运行方向应用型扩展机箱结构37 9.6 自动闭塞改变运行方向应用型整机结构381 概述CXG-KA型站间安全信息传输设备是深圳科安达电子科技股份有限公司与德国提芬巴赫（Tiefenbach）公司共同研制和生产的一种应用于中国铁路的信号设备。

EN50128基础培训.pdf

14
2015-10-26
四、生命周期和文档
文档要求
每一个文档都应有一个唯一的文档编号、以及定义好的与其它文档之间的关系。 ——追溯前提
每一个文档都应包含并实现其上级（输入）文档的所有相关要求。 ——追溯完整性
每一个文档的内容都不应与其上级（输入）文档相矛盾。 ——追溯一致性
15
2015-10-26
19
2015-10-26
五、软件保障——软件测试
测试报告要求
测试报告应描述以下内容：测试结论测试覆盖率及测试完成程度缺陷记录每一个测试案例的测试结果记录测试应可重复，如果可行，最好可以自动执行测试脚本应被验证所有测试涉及的项都应被记录（如被测对象、软硬件配置、测试环境、对应的测试规范版本等）测试人员姓名
8
2015-10-26
二、软件安全完整性等级
如何达到软件安全完整性等级的要求？
Annex B：对关键软件角色和职责的要求
需求经理（REQ）设计人员（DES）实现人员（IMP）测试人员（TST）验证人员（VER）集成人员（INT）确认人员（VAL）评估人员（ASR）项目经理（PM）配置经理（CM）
如果软件是由不同软件安全完整性等级的组件组成，那么该软件的所有组件都应按最高软件安全完整性等级的要求处理。
5
2015-10-26
二、软件安全完整性等级
如何达到软件安全完整性等级的要求？
1.标准正文
目标要求
6
2015-10-26
二、软件安全完整性等级
如何达到软件安全完整性等级的要求？
2.标准附录
什么是软件安全完整性等级？
软件安全完整性等级是一组分级数字，它确定了软件必须采用的技术和措施。

EN50128铁路应用——通信、信号和处理系统——铁路控制和防护系统软件

附件中指定的“规范性的”是本项标准主体的一部分。
附件中指定的“参考性的”只用于获得的信息。
本项标准中，附件A是规范性的而附件B是参考性的。
引言
1.范围
2.参考文献
3.定义4.目标ຫໍສະໝຸດ 符合5.软件安全完整性等级
5．1目标
5．2需求
6.人员及职责
6．1目标
6．2需求
7.生命周期和文档
7．1目标
7．2需求
8.软件需求规格说明
负责提出实现特定需求的设计方案，并监控后期的开发和系统在特定环境下工作的实体。
设计者（designer）
一个或多个由设计主管机构指派的人员，他们承担需求分析并将特定需求转化成可接受且有相应安全完整性的设计方案。
元素（element）
被确认为基本单元和基本部件的某产品的一部分。一个元素可以是简单或者复杂的。
本欧洲标准专门应用于软件以及软件和系统之间的相互作用。
0级以上的软件安全完整性等级用于失效可引起失去生命的后果的系统。然而，从经济或环境因素方面考虑也能采用高级别的安全完整性等级。
本欧洲标准适用于铁路控制和防护系统开发和实现的所有软件，包括：
应用程序设计；
操作系统；
支持工具；
固件。
应用程序设计包括高级程序设计，低级程序设计和专用程序设计（如：可编程逻辑控制器梯形逻辑）。
本欧洲标准还涉及了本标准的使用、商用软件和工具。
本欧洲标准还对应用数据配置的系统提出了要求。
本欧洲标准并不涉及商务问题，这些问题应为合同的基本部分被提出。但本欧洲标准中的所有条款在任何商务活动中都需被仔细考虑。
本欧洲标准为避免追溯，主要应用于新的开发。对于现有系统，仅当进行主要修改时才进行全面应用，对于次要修改，只要应用条款16。

IRIS管理体系的管理职能要点

IRIS 管理体系的要点IRIS 经营管理体系IRIS 标准采用了ISO9001 ：2008 （GB/T19001 －2008 ）标准的全部要求，并且针对铁路行业增加了适应行业特点的要求，确定了用于铁路整车和信号相关产品的整个供应链的经营管理体系要求，适用于各种类型、不同规模和不同产品的进行设计和开发、制造、维修（包括快速维修、翻新维修和大修）的企业。

IRIS 的目标是在供应链中建立持续改进、强调缺陷预防和减少缺陷的经营管理体系；由于铁路行业项目业务的特性，IRIS 特别引入了项目管理的要求，只要可行，企业所有的产品都应该应用项目管理。

二、ISO9000 管理体系中管理原则在IRIS 中的体现：ISO9000 标准确定的质量管理8 项原则是对管理职能在IRIS 企业经营管理体系中的理论和实践的体现。

以顾客为关注焦点企业依存于顾客，企业要充分理解了顾客当前和将来的需求，满足顾客当前要求并超越顾客期望的要求；系统地管理和处理好与顾客的关系，提高顾客对企业的忠诚度。

收集顾客的需求信息（包括产品使用情况反馈），结合产业发展，通过数据统计和分析，确定企业的正确经营目标，包括设计和开发战略、产品生产制造战略和顾客服务战略，企业才能满足顾客要求，稳定已有的顾客，发展新顾客。

领导作用最高管理者的决策影响企业的生存和发展，应统一宗旨和方向，规划远景，确定各重要时期的经营目标；企业领导者（各阶层）应确保企业目的和方向一致，建立协调一致的组织原则和信任、协作、沟通的内部软硬环境。

重点是建立企业的经营方针，通过制定企业的长期经营目标，确定企业的近期经验目标和计划，并逐步实施。

通过有效的沟通，在企业内部建立有效的组织模式，提供足够的经营资源，包括人力资源、制度、硬件等，保证企业方针和目标的实现。

全员参与企业的成功既需要最高管理者的正确决策和领导，还必须依靠全员的参与和努力；要明确各级岗位的能力要求，创造员工提高知识、意识、技能和经验的途径，使全员正确履行职责，才能使企业受益。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

EN 50128 : 2001铁路应用——通信、信号和处理系统——铁路控制和防护系统软件2007.6序言本欧洲标准是SC 9XA,即通信，信号传输和处理系统技术委员会（CENELEC TC 9X）制订，铁路电气和电子应用的标准。

草案文本作为EN 50128正式提交投票并于2000-11-01获得CENELEC批准。

修改了下列日期--欧盟各国必须通过认可或发布相同的国家标准来执行本欧洲标准的截止日期2001 -1 1-01--与本欧洲标准冲突的国家标准必须被废止的截止日期2003-1 1-01本欧洲标准必须与EN50126铁路应用——可靠性，可用性，可维护性和安全性（RAMS）；EN50129铁路应用——信号领域的安全相关电子系统同时阅读。

附件中指定的“规范性的”是本项标准主体的一部分。

附件中指定的“参考性的”只用于获得的信息。

本项标准中，附件A是规范性的而附件B是参考性的。

目录引言1.范围2.参考文献3.定义4.目标和符合5.软件安全完整性等级5．1目标5．2需求6.人员及职责6．1目标6．2需求7.生命周期和文档7．1目标7．2需求8.软件需求规格说明8．1目标8．2输入文档8．3输出文档8．4需求9.软件体系结构9．1目标9．2输入文档9．3输出文档9．4需求10.软件设计和实现10．1目标10．2输入文档10．4需求11.软件验证和测试11．1目标11．2输入文档11．3输出文档11．4需求12.软件/硬件集成12．1目标12．2输入文档12．3输出文档12．4需求13.软件确认13．1目标13．2输入文档13．3输出文档13．4需求14.软件评估14．1目标14．2输入文档14．3输出文档14．4需求15.软件质量保障15．1目标15．2输入文档15．3输出文档15．4需求16.软件维护16．1目标16．2输入文档16．4需求17.根据应用数据配置的系统17．1目标17．2输入文档17．3输出文档17．4需求17．4．1数据准备生命周期17．4．2数据准备程序和工具17．4．3软件开发附件A：技术和措施的选择准则附件B：技术参考书目附图图1——安全相关系统的完整性等级图2——软件安全性路径图图3——开发生命周期1图4——开发生命周期2图5——独立性与软件完整性等级图6——通用系统开发和应用开发之间的关系引言本标准是相关标准系列中的一部分。

其他标准有EN50126铁路应用——可靠性，可用性，可维护性和安全性（RAMS）；EN50129铁路应用——信号领域的安全相关电子系统。

EN50126适用于大范围的系统问题，而EN50129适用于整个铁路控制和防护系统中某单个系统的批准过程。

本标准关注于需要使用的方法，以使软件能满足经全面考虑后所分配到的安全完整性要求。

本标准从IEC/TC65第九工作组（WG9）早期工作中得到很多指导。

WG9的工作形成了一个安全系统软件通用标准，现在该标准是IEC61508的一部分。

WG9工作的特别之处是包含了适用于非安全软件的软件安全完整性0级，以及适用于安全相关和安全苛求软件的软件安全完整性1~4级。

本标准也覆盖了所有五个软件安全完整性等级。

国际铁路信号工程师协会（IRSE）的工作也被考虑进来，特别是它关注相同课题的1号技术报告。

本欧洲标准的一个关键概念是软件安全完整性等级。

软件失效后果的危险性的越大，软件安全完整性等级也就越高。

本欧洲标准确定了从最低0级到最高4级的5个软件安全完整性等级的技术和措施。

其中1~4这四个级别涉及安全相关软件，0级涉及非安全相关软件。

对0级进行标准化是为了让非安全相关系统软件向安全相关系统软件进行平滑转变。

附表给出了各个软件安全完整性等级和非安全相关等级要求的技术和措施。

在这个版本中，1级和2级的技术要求相同，3级和4级的要求相同。

本欧洲标准没有给出某一风险应适用于哪个软件安全完整性等级的具体指导意见。

这个结论需要考虑许多因素包括应用的特性、其他系统承担的安全性功能范围和社会以及经济因素。

EN 50126 和EN 50129规定了分配给软件的安全性功能。

本欧洲标准规定了满足这些需求的必要措施。

这个过程在图1作了说明。

EN50126和EN50129需采用系统性的方法，以：1）确定危险、风险和风险准则；2）为满足风险准则，确定必要的风险降低；3）为实现必要的风险降低，定义一个全面的系统安全性需求规格说明；4）选择一个合适的系统体系结构；5）规划、监督和控制那些把系统安全性需求规格说明变成安全性能(或安全完整性)已确认的安全相关系统所必需的技术和管理活动。

在分解需求规格说明形成由安全相关系统和组件组成的设计说明时，需要进一步分配安全完整性等级，并最终形成所需的软件安全完整性等级。

目前，无论是质量保证法(即避错措施)还是软件容错法的应用，都无法保证系统的绝对安全。

尚未发现可以证明一个较复杂的安全相关软件中不存在错误的方法，特别是规格说明和设计的错误。

以下规则应用于开发高安全完整性等级软件，但也不仅限于开发高安全完整性等级软件：1）自顶向下的设计方法；2）模块化；3）开发生命周期每一阶段的验证；4）验证后的模块和模块库；5）清晰的文档；6）可审计的文档；7）确认测试。

这些规则以及相关的其他规则必须正确应用。

对于各个软件安全完整性等级，本标准均规定了说明这一点所需的保证等级。

在得到或形成了系统安全性需求规格说明后，分配给软件的安全性功能和系统安全完整性等级就确定了，图2给出了应用本欧标的功能步骤，如下所示：1）定义软件需求规格说明，同时考虑软件体系结构。

软件体系结构是为软件和软件安全完整性等级开发基本安全策略的架构。

(条款5、8和9)2）根据软件质量保障计划、软件安全完整性等级和软件生命周期来设计、开发和测试软件。

(条款10) 3）在目标硬件上集成软件。

(条款12)4）确认软件。

(条款13)5）如果在运行过程中需要软件维护，那么可再适当运用本欧洲标准进行处理。

(条款16)许多活动都是在软件开发过程中交叉进行的，这其中包括验证(条款11)，评估(条款14)和质量保障(条款15)。

给出了应用数据配置的系统的需求(条款17)。

给出了从事软件开发人员能力的需求。

(条款7)本标准没有硬性要求使用特定的软件开发生命周期，但是给出了一个推荐的生命周期及文档集。

(条款7，图3和图4)表格针对5个软件安全完整性等级明确罗列了各种技术和措施。

表格在附件A中给出。

与表格对照的参考书目提供了更多的信息，给出了每项技术和措施的简明描述。

参考书目在附件B中给出。

1 范围1.1 本欧洲标准详细规定了铁路控制和防护设备用的可编程电子系统开发所需的程序和技术要求。

它适用于任何有隐含安全性的领域。

这些应用系统的范围涵盖了安全苛求系统,如安全信号，非安全苛求系统,如管理信息系统。

这些系统可能通过采用专用多处理器，可编程逻辑控制器，分布式多处理器系统，大规模集中处理器系统或者其它架构来实现。

1.2本欧洲标准专门应用于软件以及软件和系统之间的相互作用。

1.3 0级以上的软件安全完整性等级用于失效可引起失去生命的后果的系统。

然而，从经济或环境因素方面考虑也能采用高级别的安全完整性等级。

1.4 本欧洲标准适用于铁路控制和防护系统开发和实现的所有软件，包括：应用程序设计；操作系统；支持工具；固件。

应用程序设计包括高级程序设计，低级程序设计和专用程序设计（如：可编程逻辑控制器梯形逻辑）。

1.5 本欧洲标准还涉及了本标准的使用、商用软件和工具。

1.6 本欧洲标准还对应用数据配置的系统提出了要求。

1.7本欧洲标准并不涉及商务问题，这些问题应为合同的基本部分被提出。

但本欧洲标准中的所有条款在任何商务活动中都需被仔细考虑。

1.8本欧洲标准为避免追溯，主要应用于新的开发。

对于现有系统，仅当进行主要修改时才进行全面应用，对于次要修改，只要应用条款16。

2 规范性参考文献本欧洲标准需与标注日期或未标注日期的参考文献以及其他出版物中条款相结合。

这些规范性参考文献将在文中合适的位置被引用，相应的出版物将在下面列出。

对于标注日期文献的后续修改或修订，本欧洲标准需通过修改或修订进行结合来应用。

对于未标注日期的文献,则应用最新版本(包括修改)。

EN50126，铁路应用——可靠性，可用性，可维持性和安全性（RAMS）的规格和说明；EN50129*，铁路应用——信号领域的安全相关电子系统；EN50159-1,铁路应用——通信，信号和处理系统第一部分：封闭传输系统中的安全通信；EN50129-1,铁路应用——通信，信号和处理系统第二部分：开放传输系统中的安全通信；EN ISO 9001,质量体系——设计/开发，生产，安装和维护的质量保证模型；EN ISO 9001-3,质量管理和质量保证标准——第三部分：ISO9001:1994在计算机软件的开发，供应，安装和维护应用的指导。

3 定义以下定义适用于此欧洲标准.对于未定义的术语,按照优先顺序查阅以下参考文献。

EN ISO 8402，质量管理和质量保证——词汇表；IEC 60050-191,国际电工词汇第191章：服务可信性和质量；IEEE 610.12, IEEE标准软件工程术语词汇表；ISOIIEC 2382,信息技术词汇表；ISOIIEC 9126,信息技术－软件产品评估－质量特性以及其使用指导；3.1 评估（assessment）用于确定设计主管机构和确认员所完成的产品是否符合规定的要求和判定产品是否达到预期目的的分析过程。

3.2评估员（assessor）受委托执行评估的人员或者代理。

3.3可用性（availability）假定所需外部资源均能满足的条件下，产品在规定的条件下，在规定的时刻或在给定的时间间隔内完成要求功能的能力。

3.4 商用软件（COTS software）市场需求所定义、市场已存在且其目标满足性已得到广大商业用户证明的软件。

3.5 设计主管机构（design authority）负责提出实现特定需求的设计方案，并监控后期的开发和系统在特定环境下工作的实体。

3.6设计者（designer）一个或多个由设计主管机构指派的人员，他们承担需求分析并将特定需求转化成可接受且有相应安全完整性的设计方案。

3.7元素（element）被确认为基本单元和基本部件的某产品的一部分。

一个元素可以是简单或者复杂的。

3.8错误（error）与期望的设计相背离，并有可能导致未预料到的系统行为或失效。

3.9失效（failure）与规定的系统行为相背离。

失效是系统错误或故障的结果。

3.10故障（fault）一种能导致系统错误或失效的不正常情形，故障可以是系统性或随机性的。

3.11避错（fault avoidance）在系统设计和构造的过程中使用避免引入故障的设计技术。