航空、汽车与医疗器械行业软件开发流程对比分析之二——软件分级

分级是一种常见的管理方法，分级是软件开发全流程风险管理的核心枢纽，承接风险识别的成果，决定风险应对措施的优先级与资源投入的合理性，直接影响软件产品的安全可靠性、开发效率与成本管控。

航空、汽车与医疗器械行业，因软件承载的核心功能、应用场景的风险后果、行业监管要求存在本质差异，形成了各具特色的风险分析与分级方法——其中汽车行业凭借“科学分级、灵活适配、兼顾安全与效率”的方法论，展现出显著优势；医疗器械行业则立足临床安全与法规合规，构建了精准化的分级体系；航空行业坚守满足适航绝对安全底线，采用刚性化的方法。

尽管三大行业的方法差异显著，但风险分析与分级的核心前提具有共性，均围绕“风险识别成果落地、安全底线坚守、资源合理配置”三大目标展开，遵循“先分析、后分级、再适配应对措施”的统一逻辑。

航空行业：以“适航绝对安全”为核心的刚性量化分析与分级

航空软件直接决定航空器的飞行安全，任何风险失控都可能引发机毁人亡的灾难性事故，因此其风险分析与分级严格遵循DO系列标准（DO-178C、DO-331等）及ARP4754A顶层框架，核心导向是“杜绝任何灾难性风险遗漏”，构建了全流程、高刚性、纯量化的分析与分级体系，完全摒弃灵活性与成本考量，一切以适航审定合规为核心准则。

下面以机载气象雷达显示软件为例说明一下分级过程

1. DO-178C DAL 分级说明

该软件负责接收气象雷达探测的云层、降水、湍流等数据，解析后以可视化形式显示在驾驶舱显示屏，为机组规避恶劣气象提供参考，不直接控制飞机核心系统。

异常场景：气象数据解析错误（如误判湍流位置）、显示失效（关键气象信息缺失）；

最坏后果：机组无法准确识别恶劣气象，可能进入湍流区域，导致飞机颠簸、乘员轻微不适，或增加机组工作量、降低飞行安全裕度，属于主要故障；

等级判定：依据最坏后果，判定为 DAL C 级，契合 DO-178C 中 DAL C 级 “对应主要故障” 的定义，管控强度低于 DAL A/B 级。

2. ARP4754A FDAL 与 IDAL 

功能研制保证等级（FDAL）：核心功能包括 “气象数据解析、湍流预警显示、数据校准”，每项功能匹配 DAL C 级，即 FDAL C 级。要求开展基础功能级风险分析，完成常规功能测试与复核，无需冗余设计，确保功能失效不超出主要故障范围。

项目研制保证等级（IDAL）：整个软件项目匹配 DAL C 级管控强度，即 IDAL C 级。要求建立基础需求追溯体系，开展简化版系统级安全性分析（仅 FHA），实施常规项目测试与评审，无需第三方独立验证，运维阶段定期复盘即可。

因为航空软件分级非常复杂，用简单易懂的写出来，有点力不从心，如有问题，欢迎指正。

汽车行业软件分级方法：功能安全按ISO26262标准，绑定ASIL等级，分级管控，灵活适配成本与效率

下面以汽车玻璃升降控制软件为例说明这个分级过程，选这案例是因为FMEA手册VDA&AIAG2019版也用这个类似案例：

汽车玻璃升降控制软件负责接收驾驶员、乘员的操作指令，控制车窗玻璃的升降、防夹止等功能，其功能失效可能引发人员安全风险（如夹伤、坠落），因此需通过ASIL等级评估明确功能安全管控要求，贴合车身控制软件的实际开发需求。

第一步，识别玻璃升降控制软件功能失效对应的危害事件：结合该软件核心功能（升降控制、防夹止），确定其关键功能失效场景及对应危害事件，核心是防夹止功能失效，即玻璃升降过程中遇到障碍物（如人体肢体、异物）时，无法自动停止或反向运行，导致人员夹伤（尤其儿童）。

第二步，分别判定三大核心指标等级：

1.  严重度等级（S）：聚焦防夹止功能失效的最坏伤害后果，不考虑失效概率。防夹止功能失效时，若夹伤对象为儿童或人体敏感部位（如手指、颈部），可能造成永久性轻微伤残（如手指骨折、神经损伤），符合S3级（严重）的定义——造成人员永久性轻微伤残或严重伤害，需长期医疗干预，影响正常生活；即便夹伤程度较轻，最坏后果仍可达S3级，因此判定严重度等级为S3。

2.  暴露概率等级（E）：评估车辆暴露在“防夹止功能失效可引发危害事件”场景中的概率。玻璃升降为车辆日常高频操作（如上下车、通风），尤其儿童乘车时，误操作或靠近升降玻璃的场景频繁出现，属于“日常常规行驶工况中偶尔出现”的场景，符合E3级（中）的定义——危害场景在常规行驶工况中偶尔出现，暴露概率中等，因此判定暴露概率等级为E3。

3.  可控性等级（C）：评估驾驶员或乘员在防夹止功能失效时，能否采取有效措施避免或减轻伤害。防夹止功能失效导致玻璃夹伤时，涉险人员（如乘员、驾驶员）可通过及时松开升降按钮、手动掰动玻璃等常规操作，快速停止玻璃运行，减轻夹伤程度，操作难度较低，符合C2级（基本可控）的定义——驾驶员或乘员需及时反应并采取针对性操作，方可避免或减轻伤害，操作难度较低，因此判定可控性等级为C2。

第三步，协同判定ASIL等级：依据ISO 26262标准的等级矩阵（按上图表）S3+ E3+ C2，对应ASIL B级（前文明确总分8分为ASIL B级）。因此，该汽车玻璃升降控制软件（防夹止功能）对应的ASIL等级为ASIL B级，需按ASIL B级的管控要求开展功能安全研制与管控。

第四步，ASIL等级的落地管控要求：结合ASIL B级的管控强度，明确玻璃升降控制软件的功能安全管控要求，核心包括：开发阶段，需开展专项危害分析与风险评估（HARA），重点梳理防夹止功能的失效模式，完成功能安全需求分解与追溯，采用失效模式与影响分析（FMEA）方法开展安全性分析；测试阶段，需实施严格的功能安全测试，包括防夹止失效注入测试、极端温度/电压工况下的升降测试，确保防夹止功能失效概率控制在ASIL B级要求的范围内；运维阶段，需结合车辆OTA更新，定期优化防夹止算法，及时修复软件漏洞，避免功能失效引发夹伤等安全风险。

除功能安全等级（ASIL）外，汽车网络安全领域还存在信息安全保障级别（CAL）的分类。

这是我这月初去一企业拍的T-BOX样本，是为了帮企业建立ASPICE。

以智能网联汽车核心硬件及软件集成单元——T-BOX（远程信息处理终端）为对象。

T-BOX作为汽车与外部网络（车厂云平台、手机APP、 roadside unit等）通信的核心枢纽，集成了通信软件、加密软件、数据传输软件等组件，其安全状态直接决定车辆网络通信的安全性。

第一步，明确分类对象与核心资产：分类对象为智能网联汽车T-BOX（含其集成的所有软件组件），核心资产包括三大类，一是车辆通信通道（负责车辆与外部的指令、数据传输，是车辆网络安全的核心屏障）；二是车辆敏感数据（含车辆身份标识、运行参数、位置信息、用户操作指令等）；三是车辆控制指令传输权限（可间接关联车辆启动、制动、门锁控制等核心操作的指令转发）。此类资产均属于高重要性资产，一旦被非法入侵、篡改或泄露，可能引发指令劫持、数据泄露、车辆被非法控制等严重威胁场景，且该资产重要性、核心风险特征在T-BOX全生命周期（通常5-8年）内保持稳定，符合CAL确定的“稳定参数”核心要求。

第二步，确定CAL等级：结合T-BOX的核心资产重要性、风险特征（主要威胁场景为非法入侵通信端口、破解加密协议、窃取敏感数据、篡改传输指令），由T-BOX软件开发及集成项目组织自行判定，将该T-BOX的CAL等级确定为CAL 4级（最高保障级别）。该等级的确定未直接依据具体风险值（如非法入侵T-BOX通信端口的实际概率、某一漏洞被利用的频率），而是基于“T-BOX作为车辆网络通信核心枢纽，高重要性资产需最高严格程度安全保障”这一稳定特征，确保CAL等级在T-BOX信息安全支持周期内保持固定，为后续开发、测试、运维全环节提供明确的安全保障基准。

第三步

，CAL等级的落地应用：CAL 4级（最高保障级别）确定后，明确T-BOX全生命周期信息安全保障的严格程度，核心落地要求如下：一是将CAL 4级作为T-BOX信息安全目标的核心属性，后续细化的所有信息安全需求（如通信加密、身份双向认证、漏洞防护、数据脱敏等）均继承该等级的保障要求，确保全流程管控强度一致；二是开发阶段，需开展全流程网络安全风险分析（覆盖通信、数据、指令传输全场景），采用符合车规级标准的加密协议开发，引入两家独立第三方机构开展中期安全评审，确保开发过程合规、管控到位；三是测试阶段，实施最严格的网络安全测试，包括全场景渗透测试、暴力破解测试、协议漏洞扫描、异常数据注入测试等，确保所有高风险威胁场景均被覆盖，无重大安全漏洞；四是运维阶段，建立7×24小时安全监控机制，定期开展漏洞扫描与安全复盘，及时响应网络安全应急事件，但无需因风险值的动态变化（如某一时期T-BOX被攻击的频次上升）调整CAL等级，仅需优化加密算法、升级漏洞防护措施等具体技术手段，维持CAL 4级对应的保障严格程度。

医疗器械行业：以“临床安全+合规”为核心的精准化分析与分级

以医院血液透析室（中心）专用的数字化管理系统为对象，给出医疗器械软件等级分析案例。

第一步，明确血透室数字化管理系统的核心功能与应用场景：该系统专用于医院血液透析室（中心），核心功能覆盖三大维度，全面支撑科室数字化运营与医疗质量管控：一是科室日常运营管理模块，负责医护人员排班、血透设备台账管理、透析耗材入库出库及使用统计、科室诊疗流程衔接等，保障科室日常运转效率；二是患者治疗全流程管理模块，涵盖患者预约建档、病史及诊疗信息追溯、透析处方（透析时长、抗凝剂用量、透析参数）录入与传输、透析过程实时监控、治疗记录留存与追溯等，贯穿患者透析治疗的全环节；三是医疗质量管理模块，负责透析诊疗规范落实监督、治疗数据智能统计分析、高风险场景（如透析参数异常、处方偏差）预警、医疗质量考核数据留存等，保障透析治疗的规范性与安全性。该系统的软件运行状态直接影响科室运营秩序、患者治疗准确性与医疗质量，属于与患者诊疗安全、医疗质量密切相关的医疗器械软件。

第二步，按照YY/T 0664-2020标准核心判定维度，逐步分析并判定等级：

1.  判定软件是否可能促成危险情况及对应风险：结合系统三大核心模块的功能，识别其软件异常场景，核心包括两类：一是科室日常运营管理异常，如医护人员排班错误、耗材入库出库统计偏差、设备台账记录遗漏等，仅影响科室运营效率，不直接关联患者治疗安全；二是患者治疗全流程及医疗质量管理相关的轻微异常，如透析数据统计偏差（不影响处方执行）、非核心诊疗信息录入错误（可及时人工修正），此类异常仅造成工作不便，不会促成直接危害患者安全的危险情况。综上，该系统软件异常仅影响运营效率，不可能促成危害患者安全的危险情况，符合YY/T 0664-2020标准中A类软件的核心判定前提。

2.  补充等级判定佐证：结合血透科室数字化管理的核心定位，该系统的核心功能侧重“管理”而非“直接诊疗控制”，其软件异常均不会直接或间接导致患者伤害。即便存在少量运营或数据记录类异常，也可通过人工干预快速修正，不会引发不可接受风险，更不会造成人员伤害。该系统的核心价值是提升科室运营与管理效率，不直接参与透析治疗的核心控制环节，进一步印证其符合A类软件的判定要求。

3.  明确伤害程度关联判定：因该系统软件异常不可能促成危险情况，更不会导致患者伤害，因此无需深入判定伤害程度。结合YY/T 0664-2020标准要求，只要软件系统不可能促成危险情况，即可直接判定为A类，无需考虑其他伤害相关维度，且不涉及风险发生概率的考量，坚守医疗器械软件分级的核心原则。

第三步，综合判定医疗器械软件等级：结合上述三大维度的分析，医院血液透析室数字化管理系统的软件异常不可能促成危险情况，完全符合YY/T 0664-2020标准中A类软件的判定要求（软件系统不可能促成危险情况），因此综合判定该血透室数字化管理系统的医疗器械软件等级为A类。

第四步，A类软件的落地管控要求：结合YY/T 0664-2020标准中A类软件的管控强度，明确血透室数字化管理系统的安全管控要求，核心包括：开发阶段，开展常规风险分析，聚焦运营管理模块的功能稳定性，完成基础安全性验证，无需引入第三方专家合规评审；测试阶段，实施常规功能测试，覆盖科室运营、数据管理等核心场景，确保软件正常运行、满足日常管理需求即可；运维阶段，建立常规漏洞修复与系统维护机制，完善数据备份与追溯体系，确保科室运营数据、患者基础信息安全可追溯，无需实施额外的外部附加风险控制措施，因其本身无促成危险情况的可能，常规管控即可满足安全需求，保障科室日常数字化运营效率。

注：判A类是我和企业协商讨论结果，我看到网上也有说这个应判B类。

从下列标准原文，就可以看到，很多只要B,C级才做的，A级就可以不做。

结论

航空软件与医疗器械软件的安全等级划分，均属于 “后果导向型分级”，不太关注风险发生概率，只要有一丁点可能就要控制，也可以说是不计成本。

这也是它们和汽车软件分级的最本质的区别。