前言

轨道交通是国民经济大动脉，是国家的关键基础设施和重大民生工程，是综合交通运输体系的骨干，也是人们主要的交通方式之一，在我国经济社会发展中的地位和作用至关重要。当下我国轨道交通正在飞速发展，截至2019年底，全国铁路营业里程达到13.9万公里，其中高速铁路营业里程超过3.5万公里，城市轨道交通线路运营里程达6172.2公里，城市轨道交通的骨干作用日益凸显，居世界前列。国家发展改革委正式公布的《中长期铁路网规划》指出，到2025年，铁路网规模将达到约17.5万公里，其中高速铁路达到约3.8万公里，根据国家“十四五”规划纲要，城市轨道交通线路运营里程预计将新增6000公里，轨道交通网络覆盖进一步扩大。轨道交通的发展对促进经济社会发展、保障和改善民生、支撑国家重大战略实施、增强我国综合国力和国际影响力等发挥了重要作用。

轨道交通系统的构成主要包括车辆、线路、限界、车站、轨道、供电系统、信号系统、环控系统和运营组织系统等，其控制手段主要依赖信号系统。在自动化、网络化和智能化发展的趋势下，轨道交通已大量使用软件进行控制。而软件作为一种逻辑实体，是人们智力成果的结晶，其复杂程度很高，在提供极大功能便利的同时也存在大量不可控因素，造成软件的质量和可靠性、安全性难以保障，使轨道交通面临着诸多的安全威胁。

轨道交通由于软件问题导致的故障或事故时有发生，有些严重的安全事故不仅造成了极大的财产损失，甚至还造成了人员伤亡，危及社会稳定。例如：2017年11月15日，新加坡裕群地铁站发生地铁列车碰撞事故，造成27名乘客及两名SMRT职员受伤；2011年7月，“7 · 23甬温线事故”造成多人伤亡，中断行车30余小时，直接经济损失超亿元；北京、上海、广州、深圳、南京等多个城市的地铁因信号系统故障而导致晚点延误、停运等事件也时有发生，给广大市民出行和城市社会生活造成困扰；此外还有一些信息安全问题，如2016年11月旧金山Municipal地铁发生了一次恶意的黑客勒索软件攻击事件，其电脑票价系统遭到黑客攻击，被索要100比特币作为赎金；国内也有城市地铁的邮件系统敏感信息被泄露，地铁管理系统大量内部建造资料被泄露的事件发生。

事后，通过对以上故障或事故的原因进行调查分析，发现相关的信息系统、软件存在严重的设计缺陷或者重大安全漏洞，安全措施不到位，各系统间访问权限控制不到位，系统在设计开发阶段缺少对各种异常情况的全面分析和处理机制，研制过程缺少严格的专业测试，无法在系统上线运行时检测和发现潜在的质量、安全缺陷，最终导致故障或事故的发生，造成了巨大的经济损失甚至人员伤亡，值得我们警醒。

为切实保障轨道交通相关软件的质量与安全，中国铁路总公司印发的《中国铁路总公司科技成果评价管理办法》中明确规定了“采用计算机技术涉及安全的铁路专用技术，应提交第三方评测机构按铁路功能性安全标准进行的安全认证证明”；国家发展改革委在《加强城市轨道交通规划建设管理的通知》（发改基础〔2015〕49号）中明确要求“应委托有资质的第三方机构开展评估”，“培育关键技术装备认证机构，推动第三方认证工作”；住房城乡建设部在《城市轨道交通建设工程验收管理暂行办法》（建质〔2014〕42号）中明确要求“有关安全和功能的检测、测试和必要的认证资料应完整；主要功能项目的检验检测结果应符合相关专业质量验收规范的规定；设备、系统安装工程需通过各专业要求的检测、测试或认证”。由此可见，软件的安全测评将是轨道交通产品研制和系统应用的必须环节，第三方的软件测评也将成为未来的发展趋势。

IEC 62279：2015 Railway applications-Communication，signalling and processing systems-Software for railway control and protection systems（轨道交通 通信、信号和处理系统 控制和防护系统软件）标准是开展轨道交通产品软件研制、测评和认证的重要依据，在国内外得到行业广泛认同。该标准由IEC/TC 9 Electrical equipment and systems for railways（国内对口SAC/TC 278全国牵引电气设备与系统标准化技术委员会）编制，标准明确规定了用于铁路通信、信号和处理系统的软件研发生命周期、管理要求和技术要求。

标准的主要技术点包括：

● 规定了轨道交通产品软件的研发生命周期过程；

● 适用于轨道交通产品中的安全相关软件，包括应用程序、操作系统、支持工具、固件；

● 确定了从SIL0到SIL4的5个软件安全完整性等级，其中SIL1～SIL4级别涉及安全相关软件，SIL0级涉及非安全相关软件；

● 确定了不同SIL等级所需要提供的功能安全活动证据链。

本书是软件功能安全系列丛书中面向轨道交通领域的一本书。作者所在的技术团队多年来开展了轨道交通制动系统、基于通信的列车自动控制系统（CBTC）、列车控制和管理系统（TCMS）、屏蔽门等多型装备的软件功能安全测评，发出了第一张由国内机构颁发的软件功能安全测评证书，基于自身的工程实践和对IEC 62279：2015标准的理解，对标准部分条款进行了解读，并对重要条款的细则进行了详细介绍。希望本书能帮助读者理解和掌握标准条款的内涵，推动标准技术的正确应用，从而促进轨道交通的软件质量提升并取得相关认证。

由于作者的工程实践局限和对标准的理解水平有限，书中难免有纰漏之处，请读者不吝赐教，批评指正。任何意见、建议和探讨都欢迎发邮件至：liuyh＠ceprei.com。

杨春晖 刘奕宏 于敏

2021年6月28日