IEC 61508-3 的 V 模型將軟件架構(gòu)步驟顯示為捕獲需求和軟件設(shè)計(jì)之間的步驟。這是決定基本軟件安全策略的步驟，包括使用冗余和多樣性。它還涉及將功能分配給主要元素和子系統(tǒng)，并決定它們將如何互連。

圖 2 - 符合 IEC 61508-3：2010 的 V 型號(hào)

機(jī)械標(biāo)準(zhǔn)IEC 62061中給出了軟件架構(gòu)的一些最佳描述，包括下圖。這個(gè)數(shù)字不是專門用于軟件的，但我認(rèn)為它仍然傳達(dá)了這個(gè)想法。

圖 3 - 機(jī)械安全標(biāo)準(zhǔn) IEC 62061 摘錄

如果架構(gòu)不支持安全軟件和非安全軟件之間的充分分離，那么所有軟件都需要按照安全標(biāo)準(zhǔn)進(jìn)行開發(fā)。如果軟件具有混合安全完整性，那么不支持足夠獨(dú)立性聲明的架構(gòu)將導(dǎo)致所有軟件都必須開發(fā)到任何模塊的最高安全完整性。

顯然，軟件架構(gòu)需要與硬件架構(gòu)協(xié)調(diào)。如果系統(tǒng)包含三個(gè)uC/uP，其中一個(gè)用于運(yùn)行控制軟件，兩個(gè)用于運(yùn)行安全通道，則各個(gè)uC/uP都可以具有自己的軟件架構(gòu)，并且默認(rèn)情況下在很大程度上表現(xiàn)出足夠的分離/獨(dú)立性。在單個(gè)處理器中實(shí)現(xiàn)相同的目標(biāo)需要更多的架構(gòu)規(guī)劃。

審核編輯：郭婷