体系结构

一一

来源：GB 9706.1-2020《医用电气设备 第1部分：基本安全和基本性能的通用要求》附录A通用指南和原理说明-A.4特殊章和条款的原理说明-条款14可编程医用电气系统(PEMS)-条款14.8
要求：4.2没有要求体系结构规格说明。这是PEMS的额外要求，因为：
——被选择的体系结构常常是风险控制措施的组成部分。对于复杂系统例如PEMS而言，风险控制措施要明确清晰；
——正如PEMS所要求的，体系结构规格说明被公认为良好软件开发过程的必要部分。
在规格说明适当处有体系结构特性汇总列表。选定这个特性列表的原因是，在特定的环境下，一个或更多的特性可以用来控制危险的风险。例如，应用一个高完善性元器件可以有效地规避由于该组件失效导致的任何风险。
条款14.8e)
当对PEMS的严格安全确认有重要需求时，功能划分是有益的。软件(固件和应用层)清楚地被划分为关键的、非关键的和监督部分。采用功能划分目的是保证关键、非关键和监督部分的使用指令和数据相互间不会干涉，同时划分软件各部分间的职责。如果没有划分软件各部分的职责，所有软件都宜定义为关键软件，以确保分析考虑了软件的关键部分。
区分关键代码和非关键代码的要求，包括整个系统的风险评估，所用的风险控制策略，物理资源的分析和逻辑属性(如，控制和数据耦合)的分析。通常，功能划分宜在设计和实施时区分和隔离安全相关的功能和安全无关的功能。这个过程可以最少化，或至少减少为保证被关键部分共享的或传输到关键部分的数据不会影响安全关键代码所规定的操作而必要的验证。
功能划分包括下列步骤：
a)识别关键的，非关键的和监督部分。识别方法依赖于代码的模块性，编程语言，代码设计和其 他规定的属性。
b)识别关键和非关键部分间接口的描述：
  1)识别关键和非关键部分的数据或全局变量、模块等，在步骤a)中识别；
  2)识别关键和非关键部分间传递的任何参数、模块等，在步骤a)中识别；
  3)描述步骤b)1)和b)2)识别的数据流，变量或者参数；
  4)描述用于防止数据损坏，重写，或上述已识别的、会影响安全关键性能的数据、变量或参数产生的其他错误的机制；
c)确认划分的完整性，可以通过功能测试和压力测试技术来实现。
条款14.8g)～n)
要考虑体系结构规格说明中的项目列表。挑选出这个列表，是因为这些项目都可能影响体系结构的选择。