1828.应定义和记录系统的体系结构设计（标识系统部件，包括硬件、软件、人工操作项及其接口，以及它们之间的执行的方案）以及系统部件与系统需求之间的可追踪性。

1829.对具有高可靠性和安全性要求的功能，应权衡用硬件实现还是用软件实现的利弊，做出妥善决策。

1830.软件的可靠性指标应与硬件的可靠性指标大体相当，可根据具体情况进行适当调整，但调整不宜过大，并且所分配的指标应能验证。

1831.在系统控制回路中，安全关键功能的执行在可能时必须经操作人员确认或启动。

1832.在安全关键的计算机系统中，应当设计一个称为安全性内核的独立计算机程序，用来监视系统并防止系统进入不安全状态。当出现潜在不安全的系统状态或者有可能转移到这种状态时，它将系统转移到规定的安全状态。

1833.必须采取措施自动记录检测出的所有系统故障及系统运行情况。

1834.在系统设计时考虑故障的自动检测，一旦检测出不安全状态，系统应做出正确响应，不得回避。

1835.系统设计应能防止越权或意外地存取或修改软件。

1836.容错设计：对可靠性要求很高的系统应同时考虑硬件和软件的容错设计，而不能只考虑硬件容错设计。(www.daowen.com)

1837.下述软件应定为安全关键软件：

1）故障检测的优先级结构及安全性控制模块或校注逻辑、处理和响应故障的模块。

2）中断处理程序、中断优先级模式及允许或禁止中断的例行程序。

3）产生对硬件进行自主控制信号的软件。

4）产生直接影响硬件部件运行或启动安全关键功能的信号的软件。

5）其输出是显示安全关键硬件的状态的软件。

1838.嵌入式软件的运行过程与相关系统硬件的运行过程相互交错，密不可分，设计因素相互影响。进行软件可靠性和安全性设计时必须考虑与硬件设计有关的要求。