如何构建安全软件

IEC 61508-3 的 V 模型将软件架构步骤显示为捕获需求和软件设计之间的步骤。这是决定基本软件安全策略的步骤，包括使用冗余和多样性。它还涉及将功能分配给主要元素和子系统，并决定它们将如何互连。

图 2 - 符合 IEC 61508-3：2010 的 V 型号

机械标准IEC 62061中给出了软件架构的一些最佳描述，包括下图。这个数字不是专门用于软件的，但我认为它仍然传达了这个想法。

图 3 - 机械安全标准 IEC 62061 摘录

如果架构不支持安全软件和非安全软件之间的充分分离，那么所有软件都需要按照安全标准进行开发。如果软件具有混合安全完整性，那么不支持足够独立性声明的架构将导致所有软件都必须开发到任何模块的最高安全完整性。

显然，软件架构需要与硬件架构协调。如果系统包含三个uC/uP，其中一个用于运行控制软件，两个用于运行安全通道，则各个uC/uP都可以具有自己的软件架构，并且默认情况下在很大程度上表现出足够的分离/独立性。在单个处理器中实现相同的目标需要更多的架构规划。

审核编辑：郭婷