我也干过几年SIL-4开发
劳氏认证那套也走过
但一直对这套安全理论存疑
觉得是三分干货、七分忽悠
fail-safe这些更像是理念层面的东西
并不是一种白盒性质的精细方法论
给我感觉还是不断打补丁式的经验积累
本质上和通过大量测试去充分试错来修补漏洞是一个路子
和其他领域开发高质量高可用高可靠性软件的思路没啥区别
我能确定有效的也就是类似 MISRA C 这种
还有你说的软件异构
我们当时还做了二乘二取二平台上的编译器异构,但是没有OS和硬件异构
测试过程中还真的遇到了几次结果比对失败导致的宕机
最后一查确实有内存越界
除此之外的那些理论、流程管理
感觉都非常形式化,意义不大
【 在 fantesy (饭特稀) 的大作中提到: 】
: 都是人做的,完全全防我认为非常难,但所有产品设计参数的时候都有一个接受度。但是通过一些技术手段,比如故障树分析,让越高的SIL等级会大大减少或者消灭这种事情的发生概率,尤其在critical path上(比如故障了会引起伤亡)
: 比如我们的一些软件,拿同一组需求,按照规定的过程管控,一组人瑞典开发一遍,另一组人在德国开发一遍,两个团队软件输出对比,如果结果不一致就刹车
--
FROM 114.244.136.*