多年來，從 IEC 61508（通用）演變而來的是多項功能安全標(biāo)準(zhǔn)，例如 ISO 26262（汽車）、IEC 61511（工藝）、EN 5012X（鐵路）、IEC 62061（機械）、IEC 61513（核能）等。標(biāo)準(zhǔn)的演變伴隨著特定行業(yè)的額外要求和指導(dǎo)。然而，在某些情況下，技術(shù)進步的速度太快，標(biāo)準(zhǔn)無法規(guī)范，因此除了有可能使現(xiàn)有設(shè)計過時之外，還會產(chǎn)生無指導(dǎo)性的解釋和混淆的空間。為了解決這個問題，正在推動跨行業(yè)資源（例如安全工件）的再利用，從而更符合最先進技術(shù)的行業(yè)將幫助弱勢行業(yè)填補空白。然而，明確定義行業(yè)間交流的框架以避免混淆非常重要。本文的目的是研究是否以及如何將按照 ISO 26262（汽車）開發(fā)的軟件的安全級別映射到按照 IEC 61508 開發(fā)的軟件的安全級別。本文以文獻和標(biāo)準(zhǔn)回顧為基礎(chǔ)，重點關(guān)注軟件元素。

一、簡介

2011 年之前，汽車行業(yè)依靠 IEC 61508 進行功能安全開發(fā)。然而，2011 年，該行業(yè)憑借 ISO 26262 第一版和 2018 年底的第二版樹立了自己的品牌。隨后，全球技術(shù)領(lǐng)域的快速變化隨之而來，并與汽車行業(yè)產(chǎn)生了共鳴，引領(lǐng)其在先進硬件和軟件（基于 ISO 26262）的開發(fā)方面快速發(fā)展。與此同時，基于 IEC 61508 的開發(fā)滯后。然而，一般工業(yè)部門（基于 IEC 61508）發(fā)現(xiàn)了一個機會，可以重復(fù)使用汽車行業(yè)的硬件和軟件，以便跟上技術(shù)變化的步伐，縮短上市時間，并通過新產(chǎn)品提高財務(wù)利潤。與此同時，汽車行業(yè)仍敞開大門，允許其他領(lǐng)域的有趣安全元素流入其中，ISO 26262 中的“獨立于上下文的安全元素”（SEooC）規(guī)定對此提供了支持。ISO 26262 中外部安全手冊的重用與 SEooC 概念相關(guān)。然而，它只在 IEC 61508 中定義和描述，其中內(nèi)容列表在第 2 部分和第 3 部分的規(guī)范附件中列出。這意味著在某些情況下，子標(biāo)準(zhǔn)并不完全脫離母標(biāo)準(zhǔn)，兩者仍然可以在某些方面相互加強。

軟件，無論其應(yīng)用是什么，都不會發(fā)生隨機故障，因為它們是不可降解的（即沒有故障率），是無形資產(chǎn)。因此，軟件的（定量）隨機安全完整性沒有依據(jù)。但是，軟件可能會出現(xiàn)系統(tǒng)性故障（例如，架構(gòu)和/或編碼缺陷）。因此，對于電氣、電子和可編程電子 (E/E/PE) 安全相關(guān)系統(tǒng)，軟件的安全完整性是根據(jù)所應(yīng)用的功能安全標(biāo)準(zhǔn)定義的軟件開發(fā)保證來確定的。開發(fā)保證是一個涉及特定計劃和系統(tǒng)性行動的過程，這些行動共同確保已識別并糾正需求或設(shè)計中的錯誤或遺漏，從而使實施的系統(tǒng)滿足適用的認(rèn)證要求。軟件開發(fā)保證級別基本上由軟件開發(fā)的嚴(yán)格程度或嚴(yán)格程度定義，與標(biāo)準(zhǔn)規(guī)定的方法、技術(shù)或措施的實施有關(guān)。方法在 ISO 26262 中使用，類似于 IEC 61508 中使用的技術(shù)和措施。

目前，對于最初按照 ISO 26262 開發(fā)但計劃在 IEC 61508 方面重復(fù)使用的軟件，尚無標(biāo)準(zhǔn)化基礎(chǔ)對其進行重新認(rèn)證。將軟件從一個領(lǐng)域重新認(rèn)證到另一個領(lǐng)域可能是一項艱巨的任務(wù)。因此，對于認(rèn)證機構(gòu)而言，擁有一個通用的轉(zhuǎn)換框架/模板非常重要，這將減少繁瑣的工作并消除混亂。此外，如果從頭開始開發(fā)的軟件沒有按照適用的領(lǐng)域標(biāo)準(zhǔn)（例如 ISO 26262）正確開發(fā)，要根據(jù)另一個領(lǐng)域的標(biāo)準(zhǔn)（例如 IEC 61508）。因此，如果一家公司決定實現(xiàn)市場或產(chǎn)品設(shè)計的多樣化，那么無論在哪個領(lǐng)域的軟件開發(fā)過程中，只要嚴(yán)格遵守規(guī)則，那么在以后縮小標(biāo)準(zhǔn)差距的過程中，就會更便宜、更快捷。目前已經(jīng)發(fā)現(xiàn)了一些關(guān)于功能安全標(biāo)準(zhǔn)各方面跨領(lǐng)域映射的同行評審出版物，但并未得出任何最終結(jié)論。因此，需要進一步研究。

本文的目的是根據(jù) IEC 61508 的安全級別對最初根據(jù) ISO 26262 開發(fā)的軟件進行重新認(rèn)證，以便重復(fù)使用。本文僅關(guān)注軟件元素，包括其系統(tǒng)安全完整性。本文將比較 ISO 26262 與 IEC 61508 中的軟件技術(shù)和措施 (T&M)。研究結(jié)果有望支持技術(shù)報告 (TR) IEC TR 61508-6-1“根據(jù) ISO 26262 開發(fā)的硬件或軟件處理”的發(fā)布，該報告預(yù)計將由 JTG20 工作組于 2025 年完成。本文其余部分的結(jié)構(gòu)如下。首先，對四種功能安全標(biāo)準(zhǔn)的軟件開發(fā)保證進行了比較。其次，對 ISO 26262 和 DO-178C 的軟件開發(fā)保證進行了更詳細的比較。隨后，根據(jù) ISO 26262 開發(fā)的軟件將映射到 IEC 61598，同時考慮工件、支持流程和軟件安全級別。接下來，提出討論和建議，然后得出結(jié)論。

二、四項標(biāo)準(zhǔn)軟件開發(fā)要求比較

比較四項安全標(biāo)準(zhǔn)的軟件開發(fā)要求：前已建立了三個維度來比較根據(jù)不同功能安全標(biāo)準(zhǔn)開發(fā)的軟件的開發(fā)保證，即：支持流程、開發(fā)流程和驗證流程。但這應(yīng)該包括工具鑒定，這是一個關(guān)鍵維度，本文的后續(xù)部分將填補這一空白。在功能安全標(biāo)準(zhǔn)中是否指定軟件開發(fā)和驗證方法方面，不同領(lǐng)域的相似之處如下圖所示表格1。此外，還建立了六個維度來比較軟件開發(fā)保證水平（DAL）對軟件安全保證水平的影響，如下所示表 2。第二節(jié)開頭提到的三個維度是表 2以這些維度作為比較的基礎(chǔ)，兩個表格都表明 ISO 26262 的軟件與 ISO 26262 的軟件和 IEC 61508大致相當(dāng)，從而為兩種標(biāo)準(zhǔn)之間更詳細的差距分析提供了有希望的基礎(chǔ)。當(dāng)僅限于源自或受 IEC 61508 影響的標(biāo)準(zhǔn)時，建立 IEC 61508 與其他標(biāo)準(zhǔn)之間的跨域等效性預(yù)計不會那么繁瑣。這是在進一步研究之前保持謹(jǐn)慎樂觀的原因，因為預(yù)計會進行更細粒度的映射。

表 1.軟件開發(fā)和驗證手段的標(biāo)準(zhǔn)

表 2.開發(fā)保證水平對安全保證水平的影響

三、從ISO 26262到DO-178C

從ISO 26262到DO-178C的軟件開發(fā)映射：本節(jié)的目的是確定一個框架，該框架可在下節(jié)中用作映射 ISO 26262 軟件開發(fā)的基礎(chǔ)至 IEC 61508。為此，引用本節(jié)正在審查汽車安全標(biāo)準(zhǔn) (ISO 26262) 與其航空電子標(biāo)準(zhǔn) (DO-178C) 之間的映射軟件 。

圖 1和2分別顯示了 ISO 26262 和 DO-178C 之間關(guān)于工件和支持過程的軟件相關(guān)映射。工件（在 ISO 26262 中也稱為工作產(chǎn)品）是顯示設(shè)計過程輸出的可交付成果，而支持過程是支持軟件開發(fā)并建立審查和認(rèn)證活動接口的水平過程。所選工件如圖所示圖1是那些與安全性論證相關(guān)的內(nèi)容。通過從語義和語用上比較文物的名稱，可以看到兩個領(lǐng)域之間存在良好的相關(guān)性，而且隨著內(nèi)容的不確定性最終得到解決，這種相關(guān)性將會改善。在圖 2，僅考慮可映射的流程，而忽略了 ISO 26262 支持流程，例如分布式開發(fā)中的接口、文檔和已證明使用的參數(shù)。這意味著在將軟件從 ISO 26262 映射到 DO-178C 時承認(rèn)支持流程的證據(jù)時，存在可接受的不確定性水平，而不是相反。基于這一有希望的評論下一節(jié)中進行進一步研究，并且本節(jié)中 ISO 26262 中未使用的支持流程將根據(jù) IEC 61508 重新考慮，以查看它們是否合適。

圖 1.比較 ISO 26262 和 DO-178C 的軟件工件

圖 2.比較 ISO 26262 和 DO-178C 的支持流程

四、軟件安全等級映射

ISO 26262 到 IEC 61508的軟件安全等級映射：本節(jié)的目的是從已實施的方法中吸取的經(jīng)驗，從而映射 ISO 26262 和 IEC 61508 之間的軟件開發(fā)保證。這將與對標(biāo)準(zhǔn)與涵蓋三個維度（即開發(fā)過程、驗證過程和支持過程）的技術(shù) / 措施的更詳細調(diào)查相結(jié)合。

在圖 3，軟件相關(guān)工件從 ISO 26262 到 IEC 61508 的映射令人滿意。這可能是因為當(dāng) ISO 26262 從 IEC 61508 衍生出來作為汽車領(lǐng)域的行業(yè)特定安全標(biāo)準(zhǔn)時，其目的并不是與 IEC 61508 完全決裂，而是一個機會，使某些方面更適合汽車行業(yè)，從而強調(diào)該領(lǐng)域與其他領(lǐng)域不同的一些觀點，例如在風(fēng)險管理方面。然而，從ISO 26262映射到IEC 61508時，仍然需要對工件進行詳細的內(nèi)容分析，以減少不確定性。

圖 3.比較 ISO 26262 和 IEC 61508 的軟件工件

關(guān)于支持流程的比較，圖 4顯示了從 ISO 26262 到 IEC 61508 的完美映射。在這種情況下，ISO 26262 支持流程（例如分布式開發(fā)中的接口、文檔和已證明的使用中的參數(shù)）也包括在內(nèi)，這些在 ISO 26262 和 DO-178 之間的映射中被省略（如第 3 節(jié)所述）。但是，流程的內(nèi)容也需要詳細分析以減少不確定性。在表 3-6。

圖 4.比較 ISO 26262-6 和 IEC 61508-3 的支持流程

表 3.軟件安全需求管理技術(shù)比較

表 4.比較設(shè)計和編碼要求

表 5.比較錯誤檢測和處理要求

表 6.比較軟件工具的要求

在表 3-6，實現(xiàn)了對工件內(nèi)容和支持過程的詳細映射。這些表格包括規(guī)范性和信息性技術(shù)/措施（有助于避免或控制系統(tǒng)故障）及其建議（即 - = 不適用、O = 可選、NR = 不推薦、+ 或 R = 推薦和 ++ 或 HR = 強烈推薦）。排名與目標(biāo)軟件安全級別（ISO 26262 定義的 ASIL 和 IEC 61508 定義的 SIL）相關(guān)，有望完善映射過程。

讓我們考慮一下表 7為了本次討論的目的，因為它基于最近一篇論文中審查的所有文獻中最有力的科學(xué)論證關(guān)于 ISO 26262 和 IEC 61508 之間系統(tǒng)安全等級映射的問題。基于此，在很大程度上觀察到表 3-6ASIL D 與 SIL 3、ASIL C 與 SIL 2、ASIL B 與 SIL 1 之間映射的技術(shù)或措施的推薦之間存在相關(guān)性。因此，映射方案已針對軟件進行驗證。

表 7.不同域安全級別的映射

此外，在基于技術(shù)/措施及其建議的相似性（即在表 8) 與期望的安全等級的關(guān)系，需要考慮在實現(xiàn)目標(biāo)安全等級（或系統(tǒng)安全完整性）的技術(shù)/措施上所花費的開發(fā)工作量（也稱為嚴(yán)謹(jǐn)性）。系統(tǒng)安全完整性在 IEC 61508 中也稱為系統(tǒng)能力。

表 8軟件系統(tǒng)能力技術(shù)/措施和特性嚴(yán)謹(jǐn)性建議。

IEC 61508 為軟件建立系統(tǒng)安全完整性提出了兩個標(biāo)準(zhǔn)：1）選擇與給定 SIL 相對應(yīng)的技術(shù)或措施，2）展示嚴(yán)謹(jǐn)性（在表 8) 來確保所選技術(shù)或措施滿足軟件系統(tǒng)安全完整性的屬性。嚴(yán)謹(jǐn)性在表 8，等級如下：R1（最低 - 適用于 SIL 1/SIL 2 應(yīng)用）、R2（中等 - 適用于 SIL 3 應(yīng)用）和 R3（最高 - 適用于 SIL 4 應(yīng)用）。軟件系統(tǒng)安全完整性的屬性包括：1）相對于安全需求的完整性，2）相對于安全需求的正確性，3）不存在固有規(guī)范故障，包括不存在歧義，4）安全要求的可理解性，5）不存在非安全功能對安全需求的不利干擾，6）能夠提供驗證和確認(rèn)的基礎(chǔ)。

在表 9，ISO 26262規(guī)定的技術(shù)映射到IEC 61508（使用表3（作為示例）按照 IEC 61508-3 附件 C 第 C.2 節(jié)所規(guī)定的軟件系統(tǒng)安全完整性屬性進行嚴(yán)格處理。

表 9.系統(tǒng)安全完整性的屬性——軟件安全要求規(guī)范

五、討論和建議

本文的目標(biāo)是使最初根據(jù) ISO 26262 開發(fā)的軟件符合 IEC 61508 安全完整性等級的要求，并可供重復(fù)使用。這已在第 4 部分實現(xiàn)，本文總結(jié)并推薦了如下系統(tǒng)方法：

根據(jù)表格，將 ISO 26262-6 中的技術(shù)/措施映射到 IEC 61508-3 中的系統(tǒng)安全等級（即 ASIL 和 SIL）。

應(yīng)用ISO 26262的適用技術(shù)/措施、IEC 61508-3附錄C第C.2節(jié)規(guī)定的保證軟件系統(tǒng)安全完整性的特性和嚴(yán)謹(jǐn)性。

按照IEC 61508的建議，優(yōu)先考慮ISO 26262的適用技術(shù)/措施。

總體而言，ISO 26262和IEC 61508的軟件屬性可以方便地相互映射，從而可以重新定義安全級別，如本文所示。值得注意的是，ISO 26262 采用了 IEC 61508 的基本原則，此外還包含一些汽車行業(yè)特定的要求和指導(dǎo)，因此從 ISO 26262 過渡到 IEC 61508 比從 IEC 61508 過渡更容易。當(dāng) IEC 61508 沒有提供滿足某些要求的具體細節(jié)（例如，與工具鑒定有關(guān)）時，也建議聯(lián)合使用 ISO 26262 和 IEC 61508。與 ISO 26262 不同，IEC 61508-3, 7.4.4.5 規(guī)定“當(dāng)識別出此類故障機制時，應(yīng)采取適當(dāng)?shù)木徑獯胧保珱]有提供這些措施的詳細信息，從而留下了更多的解釋空間。

六、結(jié)論

本文實現(xiàn)了一個框架，用于將基于 ISO-26262 的軟件映射到 IEC 61508 的安全級別。這有望指導(dǎo)汽車行業(yè)在通用行業(yè)中重復(fù)使用與安全相關(guān)的資源，而不會損害安全性。本文以文獻和標(biāo)準(zhǔn)回顧為基礎(chǔ)，它旨在讓工程師、標(biāo)準(zhǔn)組織和認(rèn)證機構(gòu)更深入地了解汽車行業(yè)（基于 ISO 26262）和通用行業(yè)（基于 IEC 61508）之間的跨領(lǐng)域軟件合作，以便共同趕上技術(shù)發(fā)展的步伐，一個行業(yè)可能已經(jīng)在與最先進技術(shù)保持一致方面領(lǐng)先于另一個行業(yè)。