我也干过几年SIL-4开发
劳氏认证那套也走过
但一直对这套安全理论存疑
觉得是三分干货、七分忽悠
fail-safe这些更像是理念层面的东西
并不是一种白盒性质的精细方法论
给我感觉还是不断打补丁式的经验积累
本质上和通过大量测试去充分试错来修补漏洞是一个路子
和其他领域开发高质量高可用高可靠性软件的思路没啥区别
我能确定有效的也就是类似 MISRA C 这种
还有你说的软件异构
我们当时还做了二乘二取二平台上的编译器异构，但是没有OS和硬件异构
测试过程中还真的遇到了几次结果比对失败导致的宕机
最后一查确实有内存越界
除此之外的那些理论、流程管理
感觉都非常形式化，意义不大

【 在 fantesy (饭特稀) 的大作中提到: 】
: 都是人做的，完全全防我认为非常难，但所有产品设计参数的时候都有一个接受度。但是通过一些技术手段，比如故障树分析，让越高的SIL等级会大大减少或者消灭这种事情的发生概率，尤其在critical path上（比如故障了会引起伤亡）
: 比如我们的一些软件，拿同一组需求，按照规定的过程管控，一组人瑞典开发一遍，另一组人在德国开发一遍，两个团队软件输出对比，如果结果不一致就刹车
--
FROM 114.244.136.*

我记得当年开发SIL-4系统技术选型时候
排除标准Linux的原因是不支持抢占式内核调度，实时性保证不了
现在汽车自动控制用啥RTOS？RTLinux没戏？

【 在 moudy (moudy) 的大作中提到: 】
: 不可能有本质区别。可靠性就这点手段。
: linux代码算得上千锤百炼了吧，但是目前为止就没有通过了安全认证的车用linux。现在车上的linux只能部署在无关紧要的地方，比如导航啥的。不能管刹车，油门这种地方。就是因为linux宏内核啥玩意都混在一起，安全机制做不进去。
--
FROM 114.244.136.*

哈哈，虽然思路清奇，仔细想想还是有一定道理
记得以前还有个说法 MISRA C 编程人员一天写代码不能超过多少行
否则就保证不了质量……

话说国内高铁C3列控不是自己写的吗
还需要找庞巴迪？

【 在 fantesy (饭特稀) 的大作中提到: 】
: 我的看法是走了劳氏德勤那些，比不走发现了更多问题，那就是有用的…
: 被迫让你增加成本搞这些，既然多花了钱，就一定能听到响儿
: 庞巴迪资本家肯定不想瑞典德国雇俩团队然后天天被骂AB代码比较不一致
: ...................
--
FROM 114.244.136.*

还是挺牛，消化吸收到这种程度，已经不卡脖子了
CRSCD 开枝散叶啊，还以为甬温出事以后一蹶不振了呢

【 在 fantesy (饭特稀) 的大作中提到: 】
: 代码又不值钱，车载代码2010年我电脑里就有好几家的了…
: 合同是你在国内可以说自主，到国际上不可以，不可以出口
: 所以后来有了各家自主化，还有了中车和铁科院的自主化项目…不过看看这两家车载自主化的领头人，都是挖的通号车载核心人物……
: ...................
--
FROM 114.244.136.*