什么是功能安全（Functional Safety）？在汽車、醫(yī)療、軌道交通等高安全性行業(yè)，如何快速通過 ISO 26262、IEC 62304 等合規(guī)認(rèn)證？作為 Perforce 大中華區(qū)授權(quán)合作伙伴，龍智（Dragonsoft）為您解讀如何通過 QAC 靜態(tài)分析和 Perforce ALM滿足功能安全合規(guī)要求。

什么是功能安全（Functional Safety）？

功能安全是系統(tǒng)或設(shè)備整體安全性的一部分，它依賴自動保護機制的正確運行來實現(xiàn)安全性。

該自動保護系統(tǒng)必須對輸入信號做出正確的響應(yīng)，并在發(fā)生故障時做出可預(yù)測的行為，這包括對人為錯誤、硬件失效以及操作或環(huán)境壓力等的響應(yīng)。

功能安全標(biāo)準(zhǔn)的制定正是為了確保上述目標(biāo)的實現(xiàn)。然而，這些標(biāo)準(zhǔn)往往也給軟件開發(fā)人員帶來了復(fù)雜的合規(guī)要求。

為什么功能安全至關(guān)重要？

安全至關(guān)重要，因為這關(guān)乎生命安全與企業(yè)聲譽。

在汽車、航空航天及醫(yī)療設(shè)備等安全性至關(guān)重要的產(chǎn)品開發(fā)中，軟件的使用日益廣泛。這些軟件必須具備安全性（Safe）、保障性（Secure）和可靠性（Reliable）。正因如此，全球各行業(yè)均制定了針對嵌入式系統(tǒng)開發(fā)人員的一系列功能安全標(biāo)準(zhǔn)。

這些標(biāo)準(zhǔn)旨在消除風(fēng)險——包括可能導(dǎo)致的人身傷害或?qū)λ说慕】祿p害。針對每一項風(fēng)險，您都需要相應(yīng)的安全功能（Safety Function）來降低風(fēng)險。而通過使用由不同安全功能組成的安全相關(guān)系統(tǒng)（Safety-related System），您便能實現(xiàn)這一目標(biāo)。

功能安全標(biāo)準(zhǔn)概覽

在許多安全性至關(guān)重要的行業(yè)中，遵守安全標(biāo)準(zhǔn)是強制性的。有的標(biāo)準(zhǔn)側(cè)重于安全軟件開發(fā)流程（例如 DO-178C），而有的則側(cè)重于系統(tǒng)安全要求。

為了聲明產(chǎn)品具備“功能安全性”，您需要滿足哪些核心標(biāo)準(zhǔn)？我們將一一介紹。

01、IEC 61508 — 通用功能安全標(biāo)準(zhǔn)

IEC 61508 是功能安全領(lǐng)域的基礎(chǔ)性通用標(biāo)準(zhǔn)，適用于電氣、電子及可編程電子安全相關(guān)系統(tǒng)。

該標(biāo)準(zhǔn)通過 安全完整性等級（SIL 1–4） 實現(xiàn)風(fēng)險分級管控。

要點解讀

通用標(biāo)準(zhǔn)，意味著它是功能安全領(lǐng)域的母標(biāo)準(zhǔn)。許多行業(yè)特定標(biāo)準(zhǔn)（如汽車行業(yè)的 ISO 26262）都是基于 IEC 61508 演變而來的。

覆蓋范圍： 只要系統(tǒng)中包含電子元件或運行代碼的程序化系統(tǒng)，都在其管轄范圍內(nèi)。

SIL 等級： SIL 1 代表最低級別的風(fēng)險降低。SIL 4 代表最高級別的風(fēng)險降低（通常用于極其危險的工業(yè)環(huán)境）。

02、衍生自 IEC 61508 的各行業(yè)功能安全標(biāo)準(zhǔn)

IEC 61508 是以下多個特定行業(yè)安全標(biāo)準(zhǔn)的源頭：

ISO 26262 —— 汽車功能安全

ISO 26262 是汽車行業(yè)的安全標(biāo)準(zhǔn)，涵蓋了量產(chǎn)車型中的電氣和電子系統(tǒng)。 該標(biāo)準(zhǔn)使用汽車安全完整性等級（ASIL A–D）來衡量風(fēng)險。

注意：針對自動駕駛安全，還有另一項名為SOTIF（預(yù)期功能安全）的汽車標(biāo)準(zhǔn)。

EN 50128 —— 鐵路安全標(biāo)準(zhǔn)

EN 50128是鐵路行業(yè)使用的安全標(biāo)準(zhǔn)。它涵蓋了鐵路控制和防護應(yīng)用中的電氣與電子設(shè)備。 該標(biāo)準(zhǔn)使用軟件安全完整性等級（SSIL 0–4）來設(shè)定安全要求。

IEC 62304 —— 醫(yī)療器械安全標(biāo)準(zhǔn)

IEC 62304是醫(yī)療器械行業(yè)使用的安全標(biāo)準(zhǔn)，涵蓋了軟件生命周期過程。 該標(biāo)準(zhǔn)根據(jù)風(fēng)險，使用軟件安全分級（A–C 級）來設(shè)定要求。 醫(yī)療器械行業(yè)使用的其他安全法規(guī)還包括：

• ISO 13485
• ISO 14971
• FDA 法規(guī)
• 歐盟醫(yī)療器械法規(guī) (MDR)（取代原歐盟醫(yī)療器械指令 MDD）

IEC 62061 —— 機械安全標(biāo)準(zhǔn)

IEC 62061是應(yīng)用于機械工業(yè)的安全標(biāo)準(zhǔn)。它涵蓋了電氣、電子以及可編程電子控制系統(tǒng)。

該標(biāo)準(zhǔn)同樣采用安全完整性等級（SIL）來降低風(fēng)險。

此外，機械領(lǐng)域還涉及其他安全法規(guī)，其中包括ISO 13849。

IEC 60880 —— 核電安全標(biāo)準(zhǔn)

IEC 60880是核電站使用的安全標(biāo)準(zhǔn)。它涵蓋了執(zhí)行安全功能的軟件。

如何通過功能安全認(rèn)證

只有經(jīng)過認(rèn)證的產(chǎn)品才能聲稱具備“功能安全性”。因此，獲得所屬行業(yè)標(biāo)準(zhǔn)的認(rèn)證至關(guān)重要。目前有數(shù)家獨立的第三方機構(gòu)（例如TüV-SüD，即南德意志集團）專門提供合規(guī)性產(chǎn)品認(rèn)證。

當(dāng)您使用正確的開發(fā)工具時，為軟件獲取認(rèn)證的過程會變得更加快捷和簡單。

應(yīng)使用哪些功能安全軟件開發(fā)工具

開發(fā)安全軟件需要配備正確的工具

這些工具應(yīng)當(dāng)能夠幫助您：

• 識別并分析風(fēng)險。
• 根據(jù)風(fēng)險等級履行合規(guī)標(biāo)準(zhǔn)要求（并提供證明）。
• 創(chuàng)建追溯性矩陣 (Traceability Matrix) 以記錄合規(guī)情況。
• 應(yīng)用編碼標(biāo)準(zhǔn)并確保遵循編碼規(guī)則。
• 通過測試對軟件進行驗證 (Verification) 與確認(rèn) (Validation)。
• 更快速地實現(xiàn)合規(guī)并獲得認(rèn)證。

應(yīng)用生命周期管理 (ALM) 工具和靜態(tài)代碼分析器在證明合規(guī)性方面特別有用。它們甚至能幫助您在敏捷開發(fā)與合規(guī)要求之間取得平衡。

端到端管理工具—Perforce ALM

作為一款端到端 ALM 工具，它能幫助您分析風(fēng)險、證明需求已得到滿足，并跟蹤測試進度。這一切都是通過建立追溯性 (Traceability) 來實現(xiàn)的。

C/C++ 靜態(tài)代碼分析器—Perforce QAC

它能幫助您應(yīng)用編碼標(biāo)準(zhǔn)，并在開發(fā)早期消除軟件缺陷，從而確保軟件的安全、可靠與穩(wěn)健。

此外，Perforce QAC 已通過 TüV-SüD 認(rèn)證，符合以下關(guān)鍵安全標(biāo)準(zhǔn)：

• IEC 61508（通用）：最高支持 SIL 4。
• ISO 26262（汽車）：最高支持 ASIL D 級。
• EN 50128（鐵路）：最高支持 SSIL 4。
• IEC 62304（醫(yī)療器械）：最高支持軟件安全 C 級。
• IEC 60880（核電）。

注：Perforce QAC 還提供 DO-330 工具鑒定包（針對航空航天標(biāo)準(zhǔn) DO-178C 的工具加速汽車等行業(yè)的功能安全合規(guī)）

Perforce大中華區(qū)授權(quán)合作伙伴——龍智