安全关键系统中认证与未认证组件的使用
在构建需认证的系统时,常常会涉及到外部组件的集成。这里所说的“集成商”指的是构建系统的团队,“组件供应商”则是组件的来源,其可能是集成商公司内部的其他项目、外部商业供应商,也可能是开源项目。
1. 软件类型术语
IEC 62304 为这类组件提供了一个术语:SOUP,即来源不明的软件。有时“unknown”会被替换为“uncertain”,“provenance”会被替换为“pedigree”,这样一个缩写就有了四种不同的全称。IEC 61508 中与之对应的是“预先存在的软件元素”,而在 ISO 26262 中,它被称为“脱离上下文的安全元素”(SEooC)。
IEC 62304 将 SOUP 定义为以下两种类型:
- 一种是已经开发完成且普遍可用,但并非为集成到医疗设备而开发的软件项目。
- 另一种是先前开发的软件,但没有足够的开发过程记录。
这意味着,任何用于产品的预先存在的组件,无论其开发方式如何以及是否已通过认证,都必须被视为 SOUP。
2. 认证与未认证的 SOUP
在许多情况下,集成商在选择组件时没有认证版本和未认证版本的选择余地,因为组件供应商无法提供认证版本,许多流行的开源产品,如 Linux、Apache 和 MySQL 就是如此。
当组件供应商同时提供认证和未认证版本的组件时,集成商需要考虑两个问题:
- 技术问题:设计在多大程度上依赖该组件来维持功能安全,能否在不显著增加产品成本、验证成本或影响交付日期的前提下,修改设计以减少对该组件的依赖?
- 项目管理问题:如果某个组件对于维持功能安全至关重
