4 安全操作系统是安全软件的基础

一般来说，Green Hills Software INTEGRITY RTOS 等 RTOS（实时操作系统）负责调度任务、提供同步和通信机制，以及用于配置周期性事件（计时器）和其他资源分配的对象。因此，RTOS 是整个嵌入式系统应用的基础。此外，在用于安全关键型应用时，RTOS 需要遵循相应的安全标准。这意味着什么？

功能安全基于两个核心要素：故障避免和故障控制。故障避免处理由系统安装前产生的故障引起的系统故障。这些在标准中通过指定目标外的开发流程来解决。相应的证书保证安全元件适合使用并且没有系统错误。

图 4-1 是专为在安全关键型应用中使用而构建的，因此它是根据安全标准开发来解决故障避免问题的。它通过了 ISO26262 ASIL D [1]、IEC61508 SIL 3 [2] 和 EN50128 SW SIL 4 [3] 认证。借助这些安全标准，可以对单个组件（如 RTOS）进行认证/评估，将其视为独立安全元素。

除此之外，故障控制还必须处理潜在的运行时错误，例如辐射引起的软错误。这些错误是由系统安装后产生的故障引起的，要加以解决，不仅涉及硬件，还需要考虑目标上的软件。这些标准描述了应采用的诊断和技术，包括相应的诊断覆盖范围：低 (60%)、中 (90%) 或高 (>=99%)。所需的安全完整性等级（对于 ISO26262，为 SIL、ASIL）越高，要采用的开发过程（故障避免）和诊断覆盖（故障控制）就越严格。对于 ASIL C 和 D，需要高诊断覆盖率。

如果经过认证的软件安全层实现了高诊断覆盖率技术，例如时间监视、期限监控、序列指向、安全存储、不变 RAM 保护、MMU 页表检查和安全进程间通信，可以为设备的安全设计人员增加很多价值。Green Hills Software 结合 INTEGRITY 分离内核提供了这些功能。