在商業(yè)中，“必須”代表了參與市場(chǎng)的最低要求。今天嵌入式市場(chǎng)中有一百多個(gè)開(kāi)源和商業(yè) RTOS，他們中的絕大多數(shù)沒(méi)有功能安全認(rèn)證。鑒于此，很明顯RTOS功能安全認(rèn)證在今天還不是“必須”，但也許它應(yīng)該是必須的。

RTOS 是嵌入式設(shè)備的基礎(chǔ)，所有應(yīng)用程序的代碼都依賴于 RTOS 來(lái)執(zhí)行。RTOS 類似于建筑物的地基，如果地基不牢固，整個(gè)建筑物可能會(huì)倒塌。嵌入式應(yīng)用也是如此，如果 RTOS 出現(xiàn)故障，則整個(gè)應(yīng)用程序可能會(huì)失敗。

在最高級(jí)別上，RTOS功能安全認(rèn)證是正確操作的客觀衡量標(biāo)準(zhǔn)，也是產(chǎn)品質(zhì)量的衡量標(biāo)準(zhǔn)。例如，RTOS 功能安全認(rèn)證通常需要 100% 的 C 語(yǔ)句測(cè)試覆蓋率和 100% 的分支/決策測(cè)試覆蓋率。它還需要經(jīng)過(guò)驗(yàn)證的軟件生命周期和安全手冊(cè)，以確保開(kāi)發(fā)人員正確使用 RTOS。這代表了超越常見(jiàn) RTOS 產(chǎn)品的嚴(yán)謹(jǐn)程度。值得一提的是，這種額外的嚴(yán)謹(jǐn)性確實(shí)相當(dāng)于行業(yè)最佳實(shí)踐。

認(rèn)證設(shè)備的優(yōu)勢(shì)

如果您的設(shè)備需要功能安全認(rèn)證，那么預(yù)認(rèn)證的 RTOS 具有巨大的可直接收益的價(jià)值。RTOS 的認(rèn)證文檔可用于設(shè)備的認(rèn)證，開(kāi)發(fā)人員無(wú)需嘗試認(rèn)證 RTOS 代碼以及應(yīng)用程序代碼。開(kāi)發(fā)人員只需為應(yīng)用程序認(rèn)證的時(shí)候，提供RTOS 認(rèn)證證據(jù)即可，這可節(jié)省大量時(shí)間和金錢。

即使您的應(yīng)用程序目前沒(méi)有明確的功能安全認(rèn)證要求，將來(lái)也可能需要。關(guān)于產(chǎn)品功能安全和信息安全的新立法不斷涌現(xiàn)，例如通用產(chǎn)品安全法規(guī)（GPSR）、歐盟機(jī)械法規(guī)、歐洲醫(yī)療器械法規(guī) （EU MDR）、歐洲網(wǎng)絡(luò)韌性法案 （CRA） 等。因此，即使你今天沒(méi)有監(jiān)管要求，將來(lái)也可能會(huì)有。使用具有功能安全認(rèn)證的 RTOS 有助于讓你的設(shè)備“面向未來(lái)”，以應(yīng)對(duì)這種可能性。

適用于所有設(shè)備的優(yōu)勢(shì)

功能安全認(rèn)證的 RTOS 的優(yōu)勢(shì)可以讓所有設(shè)備制造商獲益，遵循行業(yè)最佳實(shí)踐是產(chǎn)品責(zé)任的第一道防線。沒(méi)有功能安全認(rèn)證的 RTOS 通常不會(huì)遵循最佳實(shí)踐，它在軟件生命周期的某些要素上存在缺陷，最明顯的是驗(yàn)證不足，使用這樣的RTOS將為產(chǎn)品可能出現(xiàn)故障開(kāi)啟一個(gè)端口。

如前所述，具有功能安全認(rèn)證的 RTOS 經(jīng)過(guò)廣泛的測(cè)試，有助于縮短開(kāi)發(fā)時(shí)間。質(zhì)量更好的 RTOS 還有助于提高設(shè)備的整體質(zhì)量，并降低設(shè)備在生產(chǎn)過(guò)程中的召回風(fēng)險(xiǎn)。避免與召回相關(guān)的成本，很容易抵消功能安全認(rèn)證的 RTOS 的成本。

嵌入式系統(tǒng)的信息安全與功能安全有相當(dāng)多的重疊。例如，如果 RTOS 中的問(wèn)題導(dǎo)致內(nèi)存損壞，黑客可以利用此漏洞進(jìn)行拒絕服務(wù)、不正確的信息訪問(wèn)，甚至遠(yuǎn)程控制。具有功能安全認(rèn)證的 RTOS 不太可能存在此類漏洞。

最常見(jiàn)的安全標(biāo)準(zhǔn)

最常見(jiàn)的RTOS功能安全標(biāo)準(zhǔn)是IEC 61508，這是國(guó)際電工委員會(huì)（IEC）發(fā)布的國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)通常適用于電氣、電子和可編程產(chǎn)品的功能安全。它適用于廣泛的設(shè)備。該標(biāo)準(zhǔn)有四個(gè)安全完整性等級(jí) （SIL），范圍從 SIL 1 到 SIL 4。SIL級(jí)別越高，安全等級(jí)越高。例如，僅滿足 SIL 1 要求的軟件不能應(yīng)用于需要 SIL 4 的安全關(guān)鍵型設(shè)備。特定行業(yè)有相關(guān)的功能安全認(rèn)證，例如汽車的 ISO 26262、醫(yī)療的 IEC 62304 和鐵路行業(yè)的 EN 50128。所有這些都具有相似的要求和安全分類級(jí)別。

是否是必須呢？

由于RTOS功能安全將使所有設(shè)備受益，并最終代表了行業(yè)最佳實(shí)踐，因此它應(yīng)該成為嵌入式市場(chǎng)的“必須”。利用具有功能安全認(rèn)證的 RTOS 的設(shè)備制造商可以縮短上市時(shí)間、減少產(chǎn)品故障而導(dǎo)致承擔(dān)責(zé)任并提高產(chǎn)品質(zhì)量。設(shè)備制造商可以專注于發(fā)展業(yè)務(wù)，而不是進(jìn)行與故障設(shè)備相關(guān)的損害控制。如果所有設(shè)備都使用具有功能安全認(rèn)證的 RTOS，那么世界將變得更加安全可靠！