IEC 61508-3 的 V 模型將軟件架構(gòu)步驟顯示為捕獲需求和軟件設(shè)計之間的步驟。這是決定基本軟件安全策略的步驟，包括使用冗余和多樣性。它還涉及將功能分配給主要元素和子系統(tǒng)，并決定它們將如何互連。

圖 2 - 符合 IEC 61508-3：2010 的 V 型號

機械標(biāo)準(zhǔn)IEC 62061中給出了軟件架構(gòu)的一些最佳描述，包括下圖。這個數(shù)字不是專門用于軟件的，但我認(rèn)為它仍然傳達了這個想法。

圖 3 - 機械安全標(biāo)準(zhǔn) IEC 62061 摘錄

如果架構(gòu)不支持安全軟件和非安全軟件之間的充分分離，那么所有軟件都需要按照安全標(biāo)準(zhǔn)進行開發(fā)。如果軟件具有混合安全完整性，那么不支持足夠獨立性聲明的架構(gòu)將導(dǎo)致所有軟件都必須開發(fā)到任何模塊的最高安全完整性。

顯然，軟件架構(gòu)需要與硬件架構(gòu)協(xié)調(diào)。如果系統(tǒng)包含三個uC/uP，其中一個用于運行控制軟件，兩個用于運行安全通道，則各個uC/uP都可以具有自己的軟件架構(gòu)，并且默認(rèn)情況下在很大程度上表現(xiàn)出足夠的分離/獨立性。在單個處理器中實現(xiàn)相同的目標(biāo)需要更多的架構(gòu)規(guī)劃。

審核編輯：郭婷