RTOS功能安全认证是必须的吗？

在商业中，“必须”代表了参与市场的最低要求。今天嵌入式市场中有一百多个开源和商业RTOS，他们中的绝大多数没有功能安全认证。鉴于此，很明显RTOS功能安全认证在今天还不是“必须”，但也许它应该是必须的。

RTOS是嵌入式设备的基础，所有应用程序的代码都依赖于RTOS来执行。RTOS类似于建筑物的地基，如果地基不牢固，整个建筑物可能会倒塌。嵌入式应用也是如此，如果RTOS出现故障，则整个应用程序可能会失败。

在最高级别上，RTOS功能安全认证是正确操作的客观衡量标准，也是产品质量的衡量标准。例如，RTOS功能安全认证通常需要100%的C语句测试覆盖率和100%的分支/决策测试覆盖率。它还需要经过验证的软件生命周期和安全手册，以确保开发人员正确使用RTOS。这代表了超越常见RTOS产品的严谨程度。值得一提的是，这种额外的严谨性确实相当于行业最佳实践。

如果您的设备需要功能安全认证，那么预认证的RTOS具有巨大的可直接收益的价值。RTOS的认证文档可用于设备的认证，开发人员无需尝试认证RTOS代码以及应用程序代码。开发人员只需为应用程序认证的时候，提供RTOS认证证据即可，这可节省大量时间和金钱。

即使您的应用程序目前没有明确的功能安全认证要求，将来也可能需要。关于产品功能安全和信息安全的新立法不断涌现，例如通用产品安全法规（GPSR）、欧盟机械法规、欧洲医疗器械法规（EU MDR）、欧洲网络韧性法案（CRA）等。因此，即使你今天没有监管要求，将来也可能会有。使用具有功能安全认证的RTOS有助于让你的设备“面向未来”，以应对这种可能性。

功能安全认证的RTOS的优势可以让所有设备制造商获益，遵循行业最佳实践是产品责任的第一道防线。没有功能安全认证的RTOS通常不会遵循最佳实践，它在软件生命周期的某些要素上存在缺陷，最明显的是验证不足，使用这样的RTOS将为产品可能出现故障开启一个端口。

如前所述，具有功能安全认证的RTOS经过广泛的测试，有助于缩短开发时间。质量更好的RTOS还有助于提高设备的整体质量，并降低设备在生产过程中的召回风险。避免与召回相关的成本，很容易抵消功能安全认证的RTOS的成本。

嵌入式系统的信息安全与功能安全有相当多的重叠。例如，如果RTOS中的问题导致内存损坏，黑客可以利用此漏洞进行拒绝服务、不正确的信息访问，甚至远程控制。具有功能安全认证的RTOS不太可能存在此类漏洞。

最常见的RTOS功能安全标准是IEC 61508，这是国际电工委员会（IEC）发布的国际标准。该标准通常适用于电气、电子和可编程产品的功能安全。它适用于广泛的设备。该标准有四个安全完整性等级（SIL），范围从SIL 1到SIL 4。SIL级别越高，安全等级越高。

例如，仅满足SIL 1要求的软件不能应用于需要SIL 4的安全关键型设备。特定行业有相关的功能安全认证，例如汽车的ISO 26262、医疗的IEC 62304和铁路行业的EN 50128。所有这些都具有相似的要求和安全分类级别。

由于RTOS功能安全将使所有设备受益，并最终代表了行业最佳实践，因此它应该成为嵌入式市场的“必须”。利用具有功能安全认证的RTOS的设备制造商可以缩短上市时间、减少产品故障而导致承担责任并提高产品质量。设备制造商可以专注于发展业务，而不是进行与故障设备相关的损害控制。如果所有设备都使用具有功能安全认证的RTOS，那么世界将变得更加安全可靠！

【编后语】本文作者Bill Lamie，是Express Logic的前首席技术官，也是Nucleus和Thread（Azure RTOS）实时操作系统的架构师。他创建了PX5 RTOS是第一个提供原生POSIX pthread API并通过SGS-TÜV Saar认证的RTOS，符合IEC 61508 , IEC 62304, ISO 26262和EN 50128功能安全标准。