深度解析：主流功能安全标准（ISO 26262/IEC 61508）及其软件合规全流程

什么是功能安全（Functional Safety）？在汽车、医疗、轨道交通等高安全性行业，如何快速通过 ISO 26262、IEC 62304 等合规认证？作为 Perforce 大中华区授权合作伙伴，龙智（Dragonsoft）为您解读如何通过 QAC 静态分析和 Perforce ALM满足功能安全合规要求。

什么是功能安全（Functional Safety）？

功能安全是系统或设备整体安全性的一部分，它依赖自动保护机制的正确运行来实现安全性。

该自动保护系统必须对输入信号做出正确的响应，并在发生故障时做出可预测的行为，这包括对人为错误、硬件失效以及操作或环境压力等的响应。

功能安全标准的制定正是为了确保上述目标的实现。然而，这些标准往往也给软件开发人员带来了复杂的合规要求。

为什么功能安全至关重要？

安全至关重要，因为这关乎生命安全与企业声誉。

在汽车、航空航天及医疗设备等安全性至关重要的产品开发中，软件的使用日益广泛。这些软件必须具备安全性（Safe）、保障性（Secure）和可靠性（Reliable）。正因如此，全球各行业均制定了针对嵌入式系统开发人员的一系列功能安全标准。

这些标准旨在消除风险——包括可能导致的人身伤害或对他人的健康损害。针对每一项风险，您都需要相应的安全功能（Safety Function）来降低风险。而通过使用由不同安全功能组成的安全相关系统（Safety-related System），您便能实现这一目标。

功能安全标准概览

在许多安全性至关重要的行业中，遵守安全标准是强制性的。有的标准侧重于安全软件开发流程（例如 DO-178C），而有的则侧重于系统安全要求。

为了声明产品具备“功能安全性”，您需要满足哪些核心标准？我们将一一介绍。

01、IEC 61508 — 通用功能安全标准

IEC 61508 是功能安全领域的基础性通用标准，适用于电气、电子及可编程电子安全相关系统。

该标准通过 安全完整性等级（SIL 1–4） 实现风险分级管控。

要点解读

通用标准，意味着它是功能安全领域的母标准。许多行业特定标准（如汽车行业的 ISO 26262）都是基于 IEC 61508 演变而来的。

覆盖范围： 只要系统中包含电子元件或运行代码的程序化系统，都在其管辖范围内。

SIL 等级： SIL 1 代表最低级别的风险降低。SIL 4 代表最高级别的风险降低（通常用于极其危险的工业环境）。

02、衍生自 IEC 61508 的各行业功能安全标准

IEC 61508 是以下多个特定行业安全标准的源头：

ISO 26262 —— 汽车功能安全

ISO 26262 是汽车行业的安全标准，涵盖了量产车型中的电气和电子系统。 该标准使用汽车安全完整性等级（ASIL A–D）来衡量风险。

注意：针对自动驾驶安全，还有另一项名为SOTIF（预期功能安全）的汽车标准。

EN 50128 —— 铁路安全标准

EN 50128是铁路行业使用的安全标准。它涵盖了铁路控制和防护应用中的电气与电子设备。 该标准使用软件安全完整性等级（SSIL 0–4）来设定安全要求。

IEC 62304 —— 医疗器械安全标准

IEC 62304是医疗器械行业使用的安全标准，涵盖了软件生命周期过程。 该标准根据风险，使用软件安全分级（A–C 级）来设定要求。 医疗器械行业使用的其他安全法规还包括：

• ISO 13485
• ISO 14971
• FDA 法规
• 欧盟医疗器械法规 (MDR)（取代原欧盟医疗器械指令 MDD）

IEC 62061 —— 机械安全标准

IEC 62061是应用于机械工业的安全标准。它涵盖了电气、电子以及可编程电子控制系统。

该标准同样采用安全完整性等级（SIL）来降低风险。

此外，机械领域还涉及其他安全法规，其中包括ISO 13849。

IEC 60880 —— 核电安全标准

IEC 60880是核电站使用的安全标准。它涵盖了执行安全功能的软件。

如何通过功能安全认证

只有经过认证的产品才能声称具备“功能安全性”。因此，获得所属行业标准的认证至关重要。目前有数家独立的第三方机构（例如TÜV-SÜD，即南德意志集团）专门提供合规性产品认证。

当您使用正确的开发工具时，为软件获取认证的过程会变得更加快捷和简单。

应使用哪些功能安全软件开发工具

开发安全软件需要配备正确的工具

这些工具应当能够帮助您：

• 识别并分析风险。
• 根据风险等级履行合规标准要求（并提供证明）。
• 创建追溯性矩阵 (Traceability Matrix) 以记录合规情况。
• 应用编码标准并确保遵循编码规则。
• 通过测试对软件进行验证 (Verification) 与确认 (Validation)。
• 更快速地实现合规并获得认证。

应用生命周期管理 (ALM) 工具和静态代码分析器在证明合规性方面特别有用。它们甚至能帮助您在敏捷开发与合规要求之间取得平衡。

端到端管理工具—Perforce ALM

作为一款端到端 ALM 工具，它能帮助您分析风险、证明需求已得到满足，并跟踪测试进度。这一切都是通过建立追溯性 (Traceability) 来实现的。

C/C++ 静态代码分析器—Perforce QAC

它能帮助您应用编码标准，并在开发早期消除软件缺陷，从而确保软件的安全、可靠与稳健。

此外，Perforce QAC 已通过 TÜV-SÜD 认证，符合以下关键安全标准：

• IEC 61508（通用）：最高支持 SIL 4。
• ISO 26262（汽车）：最高支持 ASIL D 级。
• EN 50128（铁路）：最高支持 SSIL 4。
• IEC 62304（医疗器械）：最高支持软件安全 C 级。
• IEC 60880（核电）。

注：Perforce QAC 还提供 DO-330 工具鉴定包（针对航空航天标准 DO-178C 的工具加速汽车等行业的功能安全合规）

Perforce大中华区授权合作伙伴——龙智