功能安全和认证相关知识水平的高低是项目成功最重要的决定因素之一。总体而言,需要满足功能安全认证要求的项目很容易耗费其他项目两倍或三倍的时间。投入到认证上的精力往往比直接开发功能所占的还要多。若公司知识水平较高,这一放大效应就能有所减轻,若知识水平较低,这一效应就会进一步加剧。下表通过假设情境证实了这一效应,假定开发团队掌握了良好的安全和认证知识。
使用预认证组件后,借助经过验证的可靠技术降低系统制造商面临的总体风险。对于包含软硬件的复杂平台而言,实时操作系统是最关键的组件之一。预认证的操作系统 (OS) 可提升经单独验证的安全关键系统的可靠性,降低风险。很难想象,没有预认证操作系统的工业控制应用要如何通过认证。对系统制造商而言,这是决定外购自造选择的一个新的考虑方面。有些公司掌握了有一定历史的自产组件,包括操作系统。大多数情况下,由于规模经济因素,这些自产组件要通过认证,成本会超过预认证解决方案的花费。而硬件又另当别论了。预认证硬件非常少见,系统制造商们常常会寻求硬件认证方面的支持。
MEN Mikro Elektronik 推出的模块化列车控制系统 (MTCS) 是一种预集成的即装型平台,结合了 QNX 软件系统公司理想操作系统的稳定性和 F75P 现成的解决方案,获得预认证,是化解系统认证压力和降低成本的最强之选。除了预认证证书外,MTCS 还为系统集成商实现了极高的灵活性,在列车计算机化过程中节约了大量成本和时间。结合后的解决方案支持用户快速创建新的解决方案,利用最新的工业安全、处理速度和实时自动化技术,同时有能力重用或改编现有的自动化算法。
QNX 安全操作系统设计符合 IEC 61508 功能安全标准和衍生的具体市场标准,包括 IEC 61511 工厂自动化、流程控制和机器人技术标准、EN 50128 列车控制系统标准、IEC 62304 医疗诊断机械和外科设备标准以及 ISO 26262 乘用车标准。
IEC 61508 对功能安全相关具体流程的要求高于标准质量管理系统的现实状况,如 ISO 9001 标准监管下的系统。要达到 IEC 61508 要求,公司必须证实流程中存在功能安全元素以及生成的任何人为开发成果。
认证要求会大幅扩大项目范围,耗费更多金钱和时间。QNX 软件系统是功能安全和认证领域的真正专家,为数百万任务关键型现场设备降低了认证风险,提供了实时操作系统。QNX 安全操作系统的基础架构可在不影响安全性的前提下实现可用性的最大化。使用预认证系统,尤其是对系统总体而言十分重要的预认证组件,例如操作系统,可以极大地提高安全水平,从总体上简化系统认证。
QNX 安全操作系统经过莱茵集团的严格评估和测试,完全保证平台符合 IEC 61508:2010 标准要求。目标软件包含 QNX® Neutrino® 微内核和进程管理器(带多核支持和自适应分区调度程序)、libc 和与 QNX Neutrino 标准 RTOS 相同的 API,已经通过了认证,属于合规元件。工具链也通过了认证,包括 C 编译器、汇编器以及QNX® Momentics® 工具套件不可或缺的组成部分——连接器。工具链被划分为 TCL 3 类,经 IEC 61508 标准认证符合对支持工具的要求。
QNX Neutrino RTOS 固有的微内核架构确保了所有系统故障均得到限制,不会影响故障组件以外的部分。故障组件动态重启的同时,系统仍然继续运行。QNX 自适应分区技术保证了安全关键组件不会缺少 CPU 周期,从而进一步保护了这些组件的正常运行。如此一来,传统操作系统服务同应用程序一样,包含于硬件受保护的单独地址空间中,微内核架构即缩减了认证范围。
保持软件寿命长久和硬件寿命长久一样重要。
更重要的是,软件必须具备演变和扩展能力。
新产品特性
新标准定义
新组件扩展
应充分纳入安全关键功能,与其他功能隔离开来
在充满竞争的市场中,选用与时俱进的软件设计方案是脱颖而出的关键因素。
