如何根据功能安全认证标准构建工具链

嵌入式功能安全标准

安全认证的正式标准已经发布多年，但在过去的几年中，特别是在嵌入式领域，人们对这些标准的兴趣和实际使用程度正在显著增加。人们对认证和经过认证的终端产品的兴趣日益浓厚，部分原因是法律要求，但对生产企业来说，获得安全认证意味着获得市场竞争力。

与许多功能安全相关的国际综合标准IEC 61508，经过了多次修订，于2010年发布了第二版。这个标准以及它所衍生的标准，现在广泛应用于对可靠性和安全性有要求的行业，如过程工业、铁路和自动化等，比如ISO 26262用于汽车领域、EN 50128用于铁路应用、IEC 62304用于医疗软件和医疗设备。

验证和认证

如果您即将启动一个具备安全关键功能或功能安全要求的项目，您可能已经意识到您所使用的开发工具必须以某种方式经过资格认证，以适用于与安全相关的开发。如何验证开发工具的具体要求取决于您所遵循的标准以及在某种程度上产品故障可能引发的严重程度。这还与工具的性质有关，例如，生成进入产品的代码的编译器比源代码度量工具更难认证，而源代码度量工具比版本控制系统或需求管理系统更难认证。

不同的标准对安全完整性（即产品的关键程度） 有不同的定义，并且这些标准在工具的分类上也有所不同。以IEC 61508为例，它规定了编译器等工具需要经过认证，尽管并没有明确定义“认证”的具体含义。此外，该标准还要求这些工具必须经过验证，以确保它们符合相关的规范或文档。最糟糕的情况是，这意味着您必须在自己的项目中全面测试这些工具，除非能够提供充分的测试证据。此外，您还需要评估该工具在项目中的依赖程度。

还需要考虑和评估的另一件事情是工具供应商支持工具的能力，最好能够在安全关键产品的整个生命周期内提供支持。

将所有这些放在一起可能会给您带来相当大的工作量，而这只是关于一个工具和一个项目的事情......这正是我们的工具链获得认证的背景。

获得认证和验证！

我们用于安全关键开发的工具获得认证到底意味着什么呢？它意味着您为证明工具的使用合理性而必须做的工作量大大减少。因为独立的第三方机构TÜV SÜD 已经对我们的开发活动、问题处理程序以及测试和验证活动进行了评估，并认证了我们的工具符合IEC 61508、ISO 26262、EN 50128和 IEC 62304等安全标准的要求。这也意味着，如果您选择C或C++作为编程语言，我们的工具链是一个绝佳的选择。

延续我们的服务

那么，如果选择了经过认证的工具，就完事大吉了吗？

嗯…… 还需要考虑的一个重要的事情是工具链需要的支持级别以及您可以获得的支持级别。这不仅仅限于项目开发的时间，还包括产品的整个生命周期。如果工具旧了并且被新版本取代，工具供应商不一定会在旧版本工具上继续支持您。这种立场与典型的安全相关项目的需求背道而驰，因为在这些安全相关项目中，应尽量避免工具的更新。

如果之前认证过的工具的更新不仅仅包含错误修复（Bug Fix)，还包含功能更新，那么这个更新是没有实际用途的，因为需要对工具更新进行重新认证或者进行详细的影响分析以及测试。

通过与开发安全相关的并且具有高可用性要求的软件或服务的客户多年合作，我们了解到，对“冻结”版本的支持至关重要。“冻结”版本指的是只接受错误修复而永远不添加新功能的工具版本。这种版本可以根据需要保持活跃并得到支持。过去，我们为需要特定“冻结”版本和相关支持服务的客户量身定制了特殊协议。现在，通过认证之后，我们有机会以简化的方式为所有使用IAR Embedded Workbench的功能安全版本的客户提供“冻结”版本和相关支持服务。

持续支持和保护

我们的安全解决方案包含了以下主要内容：

• IAR Embedded Workbench功能安全版本，已获认证和冻结的工具特定版本，包括 IAR Embedded Workbench for Arm、RISC-V、STM8、RL78、RX和RH850。

• TÜV SÜD的认证报告，详细说明了认证的有效性。
• 安全指南，用各种安全标准的术语来说就是一本安全手册 ，旨在指导如何在安全相关开发中使用工具链。该指南涵盖了从安装工具链时需要考虑的事项到如何处理语言扩展和编译器编译指示。
• 功能安全支持和更新协议，包括对已经过认证版本的支持以及提前认证的错误修复更新，只要合同仍然有效。
• 定期更新工具链中已知问题的信息。

总之，选择经过认证的工具链可以使您轻松地在安全相关项目中使用它。选择包含适当支持服务的工具可以保护您的工具选择和投资。此外，即使您的产品没有直接的安全要求，但如果需要满足各种高完整性或高可用性要求，功能安全支持服务也可能同样非常有用。