多年來(lái)，從 IEC 61508（通用）演變而來(lái)的是多項(xiàng)功能安全標(biāo)準(zhǔn)，例如 ISO 26262（汽車）、IEC 61511（工藝）、EN 5012X（鐵路）、IEC 62061（機(jī)械）、IEC 61513（核能）等。標(biāo)準(zhǔn)的演變伴隨著特定行業(yè)的額外要求和指導(dǎo)。然而，在某些情況下，技術(shù)進(jìn)步的速度太快，標(biāo)準(zhǔn)無(wú)法規(guī)范，因此除了有可能使現(xiàn)有設(shè)計(jì)過(guò)時(shí)之外，還會(huì)產(chǎn)生無(wú)指導(dǎo)性的解釋和混淆的空間。為了解決這個(gè)問(wèn)題，正在推動(dòng)跨行業(yè)資源（例如安全工件）的再利用，從而更符合最先進(jìn)技術(shù)的行業(yè)將幫助弱勢(shì)行業(yè)填補(bǔ)空白。然而，明確定義行業(yè)間交流的框架以避免混淆非常重要。本文的目的是研究是否以及如何將按照 ISO 26262（汽車）開(kāi)發(fā)的軟件的安全級(jí)別映射到按照 IEC 61508 開(kāi)發(fā)的軟件的安全級(jí)別。本文以文獻(xiàn)和標(biāo)準(zhǔn)回顧為基礎(chǔ)，重點(diǎn)關(guān)注軟件元素。

一、簡(jiǎn)介

2011 年之前，汽車行業(yè)依靠 IEC 61508 進(jìn)行功能安全開(kāi)發(fā)。然而，2011 年，該行業(yè)憑借 ISO 26262 第一版和 2018 年底的第二版樹(shù)立了自己的品牌。隨后，全球技術(shù)領(lǐng)域的快速變化隨之而來(lái)，并與汽車行業(yè)產(chǎn)生了共鳴，引領(lǐng)其在先進(jìn)硬件和軟件（基于 ISO 26262）的開(kāi)發(fā)方面快速發(fā)展。與此同時(shí)，基于 IEC 61508 的開(kāi)發(fā)滯后。然而，一般工業(yè)部門(mén)（基于 IEC 61508）發(fā)現(xiàn)了一個(gè)機(jī)會(huì)，可以重復(fù)使用汽車行業(yè)的硬件和軟件，以便跟上技術(shù)變化的步伐，縮短上市時(shí)間，并通過(guò)新產(chǎn)品提高財(cái)務(wù)利潤(rùn)。與此同時(shí)，汽車行業(yè)仍敞開(kāi)大門(mén)，允許其他領(lǐng)域的有趣安全元素流入其中，ISO 26262 中的“獨(dú)立于上下文的安全元素”（SEooC）規(guī)定對(duì)此提供了支持。ISO 26262 中外部安全手冊(cè)的重用與 SEooC 概念相關(guān)。然而，它只在 IEC 61508 中定義和描述，其中內(nèi)容列表在第 2 部分和第 3 部分的規(guī)范附件中列出。這意味著在某些情況下，子標(biāo)準(zhǔn)并不完全脫離母標(biāo)準(zhǔn)，兩者仍然可以在某些方面相互加強(qiáng)。

軟件，無(wú)論其應(yīng)用是什么，都不會(huì)發(fā)生隨機(jī)故障，因?yàn)樗鼈兪遣豢山到獾模礇](méi)有故障率），是無(wú)形資產(chǎn)。因此，軟件的（定量）隨機(jī)安全完整性沒(méi)有依據(jù)。但是，軟件可能會(huì)出現(xiàn)系統(tǒng)性故障（例如，架構(gòu)和/或編碼缺陷）。因此，對(duì)于電氣、電子和可編程電子 (E/E/PE) 安全相關(guān)系統(tǒng)，軟件的安全完整性是根據(jù)所應(yīng)用的功能安全標(biāo)準(zhǔn)定義的軟件開(kāi)發(fā)保證來(lái)確定的。開(kāi)發(fā)保證是一個(gè)涉及特定計(jì)劃和系統(tǒng)性行動(dòng)的過(guò)程，這些行動(dòng)共同確保已識(shí)別并糾正需求或設(shè)計(jì)中的錯(cuò)誤或遺漏，從而使實(shí)施的系統(tǒng)滿足適用的認(rèn)證要求。軟件開(kāi)發(fā)保證級(jí)別基本上由軟件開(kāi)發(fā)的嚴(yán)格程度或嚴(yán)格程度定義，與標(biāo)準(zhǔn)規(guī)定的方法、技術(shù)或措施的實(shí)施有關(guān)。方法在 ISO 26262 中使用，類似于 IEC 61508 中使用的技術(shù)和措施。

目前，對(duì)于最初按照 ISO 26262 開(kāi)發(fā)但計(jì)劃在 IEC 61508 方面重復(fù)使用的軟件，尚無(wú)標(biāo)準(zhǔn)化基礎(chǔ)對(duì)其進(jìn)行重新認(rèn)證。將軟件從一個(gè)領(lǐng)域重新認(rèn)證到另一個(gè)領(lǐng)域可能是一項(xiàng)艱巨的任務(wù)。因此，對(duì)于認(rèn)證機(jī)構(gòu)而言，擁有一個(gè)通用的轉(zhuǎn)換框架/模板非常重要，這將減少繁瑣的工作并消除混亂。此外，如果從頭開(kāi)始開(kāi)發(fā)的軟件沒(méi)有按照適用的領(lǐng)域標(biāo)準(zhǔn)（例如 ISO 26262）正確開(kāi)發(fā)，要根據(jù)另一個(gè)領(lǐng)域的標(biāo)準(zhǔn)（例如 IEC 61508）。因此，如果一家公司決定實(shí)現(xiàn)市場(chǎng)或產(chǎn)品設(shè)計(jì)的多樣化，那么無(wú)論在哪個(gè)領(lǐng)域的軟件開(kāi)發(fā)過(guò)程中，只要嚴(yán)格遵守規(guī)則，那么在以后縮小標(biāo)準(zhǔn)差距的過(guò)程中，就會(huì)更便宜、更快捷。目前已經(jīng)發(fā)現(xiàn)了一些關(guān)于功能安全標(biāo)準(zhǔn)各方面跨領(lǐng)域映射的同行評(píng)審出版物，但并未得出任何最終結(jié)論。因此，需要進(jìn)一步研究。

本文的目的是根據(jù) IEC 61508 的安全級(jí)別對(duì)最初根據(jù) ISO 26262 開(kāi)發(fā)的軟件進(jìn)行重新認(rèn)證，以便重復(fù)使用。本文僅關(guān)注軟件元素，包括其系統(tǒng)安全完整性。本文將比較 ISO 26262 與 IEC 61508 中的軟件技術(shù)和措施 (T&M)。研究結(jié)果有望支持技術(shù)報(bào)告 (TR) IEC TR 61508-6-1“根據(jù) ISO 26262 開(kāi)發(fā)的硬件或軟件處理”的發(fā)布，該報(bào)告預(yù)計(jì)將由 JTG20 工作組于 2025 年完成。本文其余部分的結(jié)構(gòu)如下。首先，對(duì)四種功能安全標(biāo)準(zhǔn)的軟件開(kāi)發(fā)保證進(jìn)行了比較。其次，對(duì) ISO 26262 和 DO-178C 的軟件開(kāi)發(fā)保證進(jìn)行了更詳細(xì)的比較。隨后，根據(jù) ISO 26262 開(kāi)發(fā)的軟件將映射到 IEC 61598，同時(shí)考慮工件、支持流程和軟件安全級(jí)別。接下來(lái)，提出討論和建議，然后得出結(jié)論。

二、四項(xiàng)標(biāo)準(zhǔn)軟件開(kāi)發(fā)要求比較

比較四項(xiàng)安全標(biāo)準(zhǔn)的軟件開(kāi)發(fā)要求：前已建立了三個(gè)維度來(lái)比較根據(jù)不同功能安全標(biāo)準(zhǔn)開(kāi)發(fā)的軟件的開(kāi)發(fā)保證，即：支持流程、開(kāi)發(fā)流程和驗(yàn)證流程。但這應(yīng)該包括工具鑒定，這是一個(gè)關(guān)鍵維度，本文的后續(xù)部分將填補(bǔ)這一空白。在功能安全標(biāo)準(zhǔn)中是否指定軟件開(kāi)發(fā)和驗(yàn)證方法方面，不同領(lǐng)域的相似之處如下圖所示表格1。此外，還建立了六個(gè)維度來(lái)比較軟件開(kāi)發(fā)保證水平（DAL）對(duì)軟件安全保證水平的影響，如下所示表 2。第二節(jié)開(kāi)頭提到的三個(gè)維度是表 2以這些維度作為比較的基礎(chǔ)，兩個(gè)表格都表明 ISO 26262 的軟件與 ISO 26262 的軟件和 IEC 61508大致相當(dāng)，從而為兩種標(biāo)準(zhǔn)之間更詳細(xì)的差距分析提供了有希望的基礎(chǔ)。當(dāng)僅限于源自或受 IEC 61508 影響的標(biāo)準(zhǔn)時(shí)，建立 IEC 61508 與其他標(biāo)準(zhǔn)之間的跨域等效性預(yù)計(jì)不會(huì)那么繁瑣。這是在進(jìn)一步研究之前保持謹(jǐn)慎樂(lè)觀的原因，因?yàn)轭A(yù)計(jì)會(huì)進(jìn)行更細(xì)粒度的映射。

表 1.軟件開(kāi)發(fā)和驗(yàn)證手段的標(biāo)準(zhǔn)

表 2.開(kāi)發(fā)保證水平對(duì)安全保證水平的影響

三、從ISO 26262到DO-178C

從ISO 26262到DO-178C的軟件開(kāi)發(fā)映射：本節(jié)的目的是確定一個(gè)框架，該框架可在下節(jié)中用作映射 ISO 26262 軟件開(kāi)發(fā)的基礎(chǔ)至 IEC 61508。為此，引用本節(jié)正在審查汽車安全標(biāo)準(zhǔn) (ISO 26262) 與其航空電子標(biāo)準(zhǔn) (DO-178C) 之間的映射軟件 。

圖 1和2分別顯示了 ISO 26262 和 DO-178C 之間關(guān)于工件和支持過(guò)程的軟件相關(guān)映射。工件（在 ISO 26262 中也稱為工作產(chǎn)品）是顯示設(shè)計(jì)過(guò)程輸出的可交付成果，而支持過(guò)程是支持軟件開(kāi)發(fā)并建立審查和認(rèn)證活動(dòng)接口的水平過(guò)程。所選工件如圖所示圖1是那些與安全性論證相關(guān)的內(nèi)容。通過(guò)從語(yǔ)義和語(yǔ)用上比較文物的名稱，可以看到兩個(gè)領(lǐng)域之間存在良好的相關(guān)性，而且隨著內(nèi)容的不確定性最終得到解決，這種相關(guān)性將會(huì)改善。在圖 2，僅考慮可映射的流程，而忽略了 ISO 26262 支持流程，例如分布式開(kāi)發(fā)中的接口、文檔和已證明使用的參數(shù)。這意味著在將軟件從 ISO 26262 映射到 DO-178C 時(shí)承認(rèn)支持流程的證據(jù)時(shí)，存在可接受的不確定性水平，而不是相反?；谶@一有希望的評(píng)論下一節(jié)中進(jìn)行進(jìn)一步研究，并且本節(jié)中 ISO 26262 中未使用的支持流程將根據(jù) IEC 61508 重新考慮，以查看它們是否合適。

圖 1.比較 ISO 26262 和 DO-178C 的軟件工件

圖 2.比較 ISO 26262 和 DO-178C 的支持流程

四、軟件安全等級(jí)映射

ISO 26262 到 IEC 61508的軟件安全等級(jí)映射：本節(jié)的目的是從已實(shí)施的方法中吸取的經(jīng)驗(yàn)，從而映射 ISO 26262 和 IEC 61508 之間的軟件開(kāi)發(fā)保證。這將與對(duì)標(biāo)準(zhǔn)與涵蓋三個(gè)維度（即開(kāi)發(fā)過(guò)程、驗(yàn)證過(guò)程和支持過(guò)程）的技術(shù) / 措施的更詳細(xì)調(diào)查相結(jié)合。

在圖 3，軟件相關(guān)工件從 ISO 26262 到 IEC 61508 的映射令人滿意。這可能是因?yàn)楫?dāng) ISO 26262 從 IEC 61508 衍生出來(lái)作為汽車領(lǐng)域的行業(yè)特定安全標(biāo)準(zhǔn)時(shí)，其目的并不是與 IEC 61508 完全決裂，而是一個(gè)機(jī)會(huì)，使某些方面更適合汽車行業(yè)，從而強(qiáng)調(diào)該領(lǐng)域與其他領(lǐng)域不同的一些觀點(diǎn)，例如在風(fēng)險(xiǎn)管理方面。然而，從ISO 26262映射到IEC 61508時(shí)，仍然需要對(duì)工件進(jìn)行詳細(xì)的內(nèi)容分析，以減少不確定性。

圖 3.比較 ISO 26262 和 IEC 61508 的軟件工件

關(guān)于支持流程的比較，圖 4顯示了從 ISO 26262 到 IEC 61508 的完美映射。在這種情況下，ISO 26262 支持流程（例如分布式開(kāi)發(fā)中的接口、文檔和已證明的使用中的參數(shù)）也包括在內(nèi)，這些在 ISO 26262 和 DO-178 之間的映射中被省略（如第 3 節(jié)所述）。但是，流程的內(nèi)容也需要詳細(xì)分析以減少不確定性。在表 3-6。

圖 4.比較 ISO 26262-6 和 IEC 61508-3 的支持流程

表 3.軟件安全需求管理技術(shù)比較

表 4.比較設(shè)計(jì)和編碼要求

表 5.比較錯(cuò)誤檢測(cè)和處理要求

表 6.比較軟件工具的要求

在表 3-6，實(shí)現(xiàn)了對(duì)工件內(nèi)容和支持過(guò)程的詳細(xì)映射。這些表格包括規(guī)范性和信息性技術(shù)/措施（有助于避免或控制系統(tǒng)故障）及其建議（即 - = 不適用、O = 可選、NR = 不推薦、+ 或 R = 推薦和 ++ 或 HR = 強(qiáng)烈推薦）。排名與目標(biāo)軟件安全級(jí)別（ISO 26262 定義的 ASIL 和 IEC 61508 定義的 SIL）相關(guān)，有望完善映射過(guò)程。

讓我們考慮一下表 7為了本次討論的目的，因?yàn)樗谧罱黄撐闹袑彶榈乃形墨I(xiàn)中最有力的科學(xué)論證關(guān)于 ISO 26262 和 IEC 61508 之間系統(tǒng)安全等級(jí)映射的問(wèn)題?；诖耍诤艽蟪潭壬嫌^察到表 3-6ASIL D 與 SIL 3、ASIL C 與 SIL 2、ASIL B 與 SIL 1 之間映射的技術(shù)或措施的推薦之間存在相關(guān)性。因此，映射方案已針對(duì)軟件進(jìn)行驗(yàn)證。

表 7.不同域安全級(jí)別的映射

此外，在基于技術(shù)/措施及其建議的相似性（即在表 8) 與期望的安全等級(jí)的關(guān)系，需要考慮在實(shí)現(xiàn)目標(biāo)安全等級(jí)（或系統(tǒng)安全完整性）的技術(shù)/措施上所花費(fèi)的開(kāi)發(fā)工作量（也稱為嚴(yán)謹(jǐn)性）。系統(tǒng)安全完整性在 IEC 61508 中也稱為系統(tǒng)能力。

表 8軟件系統(tǒng)能力技術(shù)/措施和特性嚴(yán)謹(jǐn)性建議。

IEC 61508 為軟件建立系統(tǒng)安全完整性提出了兩個(gè)標(biāo)準(zhǔn)：1）選擇與給定 SIL 相對(duì)應(yīng)的技術(shù)或措施，2）展示嚴(yán)謹(jǐn)性（在表 8) 來(lái)確保所選技術(shù)或措施滿足軟件系統(tǒng)安全完整性的屬性。嚴(yán)謹(jǐn)性在表 8，等級(jí)如下：R1（最低 - 適用于 SIL 1/SIL 2 應(yīng)用）、R2（中等 - 適用于 SIL 3 應(yīng)用）和 R3（最高 - 適用于 SIL 4 應(yīng)用）。軟件系統(tǒng)安全完整性的屬性包括：1）相對(duì)于安全需求的完整性，2）相對(duì)于安全需求的正確性，3）不存在固有規(guī)范故障，包括不存在歧義，4）安全要求的可理解性，5）不存在非安全功能對(duì)安全需求的不利干擾，6）能夠提供驗(yàn)證和確認(rèn)的基礎(chǔ)。

在表 9，ISO 26262規(guī)定的技術(shù)映射到IEC 61508（使用表3（作為示例）按照 IEC 61508-3 附件 C 第 C.2 節(jié)所規(guī)定的軟件系統(tǒng)安全完整性屬性進(jìn)行嚴(yán)格處理。

表 9.系統(tǒng)安全完整性的屬性——軟件安全要求規(guī)范

五、討論和建議

本文的目標(biāo)是使最初根據(jù) ISO 26262 開(kāi)發(fā)的軟件符合 IEC 61508 安全完整性等級(jí)的要求，并可供重復(fù)使用。這已在第 4 部分實(shí)現(xiàn)，本文總結(jié)并推薦了如下系統(tǒng)方法：

根據(jù)表格，將 ISO 26262-6 中的技術(shù)/措施映射到 IEC 61508-3 中的系統(tǒng)安全等級(jí)（即 ASIL 和 SIL）。

應(yīng)用ISO 26262的適用技術(shù)/措施、IEC 61508-3附錄C第C.2節(jié)規(guī)定的保證軟件系統(tǒng)安全完整性的特性和嚴(yán)謹(jǐn)性。

按照IEC 61508的建議，優(yōu)先考慮ISO 26262的適用技術(shù)/措施。

總體而言，ISO 26262和IEC 61508的軟件屬性可以方便地相互映射，從而可以重新定義安全級(jí)別，如本文所示。值得注意的是，ISO 26262 采用了 IEC 61508 的基本原則，此外還包含一些汽車行業(yè)特定的要求和指導(dǎo)，因此從 ISO 26262 過(guò)渡到 IEC 61508 比從 IEC 61508 過(guò)渡更容易。當(dāng) IEC 61508 沒(méi)有提供滿足某些要求的具體細(xì)節(jié)（例如，與工具鑒定有關(guān)）時(shí)，也建議聯(lián)合使用 ISO 26262 和 IEC 61508。與 ISO 26262 不同，IEC 61508-3, 7.4.4.5 規(guī)定“當(dāng)識(shí)別出此類故障機(jī)制時(shí)，應(yīng)采取適當(dāng)?shù)木徑獯胧保珱](méi)有提供這些措施的詳細(xì)信息，從而留下了更多的解釋空間。

六、結(jié)論

本文實(shí)現(xiàn)了一個(gè)框架，用于將基于 ISO-26262 的軟件映射到 IEC 61508 的安全級(jí)別。這有望指導(dǎo)汽車行業(yè)在通用行業(yè)中重復(fù)使用與安全相關(guān)的資源，而不會(huì)損害安全性。本文以文獻(xiàn)和標(biāo)準(zhǔn)回顧為基礎(chǔ)，它旨在讓工程師、標(biāo)準(zhǔn)組織和認(rèn)證機(jī)構(gòu)更深入地了解汽車行業(yè)（基于 ISO 26262）和通用行業(yè)（基于 IEC 61508）之間的跨領(lǐng)域軟件合作，以便共同趕上技術(shù)發(fā)展的步伐，一個(gè)行業(yè)可能已經(jīng)在與最先進(jìn)技術(shù)保持一致方面領(lǐng)先于另一個(gè)行業(yè)。