安全架构很重要的一点是 安全不是靠测试质量换来的。安全是个体系，需要针对有可能出bug的部分设计安全机制，假设这鬼东西出bug了怎么办。

然后安全机制本身依托的代码要尽可能精简，高质量，千锤百炼。

【 在 rabbitice 的大作中提到: 】
: 逻辑 bug 是不是防不了？
:
--
FROM 178.26.114.*

来晒晒驾龄和公里数吧。你先说。
【 在 yehorse 的大作中提到: 】
: 少见多怪，多开点车就懂了。
:
: 【 在 nokia9500 的大作中提到: 】
: ....................

- 来自「最水木 for iPhone 6 Plus」
--
FROM 73.158.184.*

我也干过几年SIL-4开发
劳氏认证那套也走过
但一直对这套安全理论存疑
觉得是三分干货、七分忽悠
fail-safe这些更像是理念层面的东西
并不是一种白盒性质的精细方法论
给我感觉还是不断打补丁式的经验积累
本质上和通过大量测试去充分试错来修补漏洞是一个路子
和其他领域开发高质量高可用高可靠性软件的思路没啥区别
我能确定有效的也就是类似 MISRA C 这种
还有你说的软件异构
我们当时还做了二乘二取二平台上的编译器异构，但是没有OS和硬件异构
测试过程中还真的遇到了几次结果比对失败导致的宕机
最后一查确实有内存越界
除此之外的那些理论、流程管理
感觉都非常形式化，意义不大

【 在 fantesy (饭特稀) 的大作中提到: 】
: 都是人做的，完全全防我认为非常难，但所有产品设计参数的时候都有一个接受度。但是通过一些技术手段，比如故障树分析，让越高的SIL等级会大大减少或者消灭这种事情的发生概率，尤其在critical path上（比如故障了会引起伤亡）
: 比如我们的一些软件，拿同一组需求，按照规定的过程管控，一组人瑞典开发一遍，另一组人在德国开发一遍，两个团队软件输出对比，如果结果不一致就刹车
--
FROM 114.244.136.*

不可能有本质区别。可靠性就这点手段。

linux代码算得上千锤百炼了吧，但是目前为止就没有通过了安全认证的车用linux。现在车上的linux只能部署在无关紧要的地方，比如导航啥的。不能管刹车，油门这种地方。就是因为linux宏内核啥玩意都混在一起，安全机制做不进去。

【 在 rabbitice 的大作中提到: 】
: 听起来都有道理，但是感觉说的很虚
: 和其他领域高可靠高可用设计也没啥本质区别
:
--
FROM 213.95.148.*

硬实时系统linux肯定玩不来。现在有patch能把linux的scheduler打造成强抢占。满足部分软实时需求。

车上硬实时系统主要还是从OSEK衍生出来的AUTOSAR OS。有好多公司都有对应的实现。

【 在 rabbitice 的大作中提到: 】
: 我记得当年开发SIL-4系统技术选型时候
: 排除标准Linux的原因是不支持抢占式内核调度，实时性保证不了
: 现在汽车自动控制用啥RTOS？RTLinux没戏？
: ...................
--
FROM 213.95.148.*