作者 |蔡喁上海控安可信軟件創(chuàng)新研究院副院長(zhǎng)
版塊 |鑒源論壇 · 觀擎
01機(jī)載軟件過(guò)程保證的目的和背景
民機(jī)機(jī)載軟件研制過(guò)程一直是行業(yè)內(nèi)公認(rèn)的要求最為嚴(yán)苛、開(kāi)發(fā)驗(yàn)證難度最大的軟件開(kāi)發(fā)實(shí)例之一。由于其高安全以及嚴(yán)格的政府監(jiān)管特性,使得傳統(tǒng)其他領(lǐng)域的軟件開(kāi)發(fā)人員往往難以適應(yīng)。這里有必要分析和解釋民用飛機(jī)機(jī)載軟件體系下的語(yǔ)境和對(duì)過(guò)程的基本要求出發(fā)點(diǎn)。
1.1 機(jī)載軟件的研制過(guò)程僅指從嚴(yán)密的系統(tǒng)需求定義到代碼實(shí)現(xiàn)和集成的過(guò)程
由于飛機(jī)自身層次化的研發(fā)體系存在,以及民用飛機(jī)對(duì)功能安全的苛刻要求,民用飛機(jī)體系下軟件研制活動(dòng)實(shí)際上包括傳統(tǒng)軟件工程的需求收集和系統(tǒng)/產(chǎn)品級(jí)驗(yàn)證活動(dòng)。民機(jī)工程中的軟件驗(yàn)證過(guò)程起自經(jīng)過(guò)確認(rèn),完整、準(zhǔn)確、無(wú)二義性的系統(tǒng)需求。任何系統(tǒng)需求方面的錯(cuò)誤和不完善則應(yīng)退回到上級(jí)過(guò)程進(jìn)行,任何軟件設(shè)計(jì)過(guò)程中對(duì)系統(tǒng)需求的補(bǔ)充,則也不應(yīng)由軟件工程師決定其存在合理性。
產(chǎn)生這一現(xiàn)象的原因在于民機(jī)整體研制過(guò)程中,非常強(qiáng)調(diào)對(duì)需求和設(shè)計(jì)的確認(rèn)、分析和安全性工作。而幾乎所有的確認(rèn)(確定功能和要求的合理性)以及安全性工作都必須充分結(jié)合使用條件和使用場(chǎng)景開(kāi)展。大家可能還記得本系列第一篇中所描述的民用飛機(jī)安全性相關(guān)工作介紹。而民用飛機(jī)的設(shè)計(jì),實(shí)際上并不是最求極致的正確,而是根據(jù)所能產(chǎn)生的安全影響提出相應(yīng)的要求。在機(jī)載軟件設(shè)計(jì)層次,實(shí)際上并不能充分理解其所提供的飛機(jī)級(jí)功能及其使用場(chǎng)景,因此民機(jī)研制者通常將軟件定義為只需要按照要求的功能和性能實(shí)現(xiàn)軟件代碼,并確定可執(zhí)行目標(biāo)代碼能夠在預(yù)期的目標(biāo)機(jī)環(huán)境下正確實(shí)現(xiàn)分配給他的功能即可。
1.2 民機(jī)機(jī)載軟件過(guò)程及其適航評(píng)估關(guān)注的軟件缺陷種類
在上述這種語(yǔ)境下,機(jī)載軟件的缺陷很大程度上被理解為是由于人為錯(cuò)誤。這種人為錯(cuò)誤發(fā)生的誘因可能是人的認(rèn)識(shí)水平、理解能力、勞累疲憊、利益考慮等諸多方面。這種誘因可能導(dǎo)致軟件需求的問(wèn)題、軟件設(shè)計(jì)的問(wèn)題、軟件編碼的問(wèn)題、軟件質(zhì)量的問(wèn)題。這些問(wèn)題表現(xiàn)出來(lái)可能是軟件與硬件的不兼容,軟件不能滿足用戶的預(yù)期用途,軟件在邊界輸入上不能正確響應(yīng),軟件結(jié)構(gòu)復(fù)雜帶來(lái)的維護(hù)和擴(kuò)展問(wèn)題,軟件能力不能滿足負(fù)載和容量壓力。這些問(wèn)題可以列舉很多,但歸根結(jié)底,軟件要么對(duì)輸入沒(méi)有進(jìn)行正確的理解,要么技術(shù)方案出現(xiàn)了問(wèn)題,要么自身的研發(fā)出現(xiàn)了問(wèn)題。以上的這些軟件缺陷或者錯(cuò)誤在軟件運(yùn)行之后其發(fā)生的方式或者暴露的原因,不具有偶然性,一定是在滿足一定的條件下才能夠發(fā)生。這種軟件的錯(cuò)誤不像某些硬件失效那樣,會(huì)表現(xiàn)為一定的中間狀態(tài),軟件的錯(cuò)誤不會(huì)介乎于好與不好之間的無(wú)法定性的狀態(tài)。所以軟件的錯(cuò)誤在統(tǒng)計(jì)學(xué)上不呈現(xiàn)任何的規(guī)律。
鑒于軟件錯(cuò)誤的發(fā)生一定是滿足一定的觸發(fā)條件才能發(fā)生。因此,這種錯(cuò)誤的存在可以得到人為的控制而減少。不像硬件的失效,硬件的失效并不因?yàn)槿藶榈呐Χ粫?huì)發(fā)生,其更多的是一種物理或者化學(xué)現(xiàn)象,是一種自然科學(xué)上的必然現(xiàn)象。所以硬件的不能滿足要求,是一種失效,而非錯(cuò)誤。硬件失效則呈現(xiàn)統(tǒng)計(jì)規(guī)律,統(tǒng)計(jì)學(xué)上稱之為失效概率。軟件的錯(cuò)誤和硬件的失效在機(jī)載系統(tǒng)上的處理截然不同。硬件的失效要求滿足失效率的要求,對(duì)于可能造成單點(diǎn)失效的硬件,則必須設(shè)置相應(yīng)的冗余、備份手段。軟件錯(cuò)誤的防范在機(jī)載領(lǐng)域則應(yīng)用過(guò)程保證的方法。通過(guò)較少引入錯(cuò)誤的機(jī)會(huì),提高檢出錯(cuò)誤的能力,來(lái)規(guī)范軟件的質(zhì)量要求。
1.3 機(jī)載軟件過(guò)程保證的基本出發(fā)點(diǎn)
過(guò)程保證以層次化方法為核心,通過(guò)劃分軟件的研發(fā)層次,以不同的視角和角色開(kāi)發(fā)軟件生命周期數(shù)據(jù)。軟件的開(kāi)發(fā)不能一蹴而就,必然是從系統(tǒng)視角到軟件視角,軟件視角是一種以審視軟件輪廓和外部行為的黑盒角度。軟件黑盒被進(jìn)一步打開(kāi),軟件模塊及框架和邏輯被明確出來(lái)。當(dāng)軟件框架和框架內(nèi)部子模塊的行為被充分細(xì)化,此時(shí)才可走向編程語(yǔ)言及編譯鏈接。簡(jiǎn)單來(lái)講,是一種外部-內(nèi)部-實(shí)現(xiàn)-可執(zhí)行的層次化框架。這種層次化方法,避免編碼人員的自由發(fā)揮,通過(guò)軟件架構(gòu)和低級(jí)需求的設(shè)計(jì),表面軟件代碼行為與外部要求的不一致;這種層次化方法,通過(guò)設(shè)置軟件高級(jí)需求,對(duì)軟件的預(yù)期和利益人意見(jiàn)進(jìn)行匯總和權(quán)衡,避免了軟件實(shí)現(xiàn)與軟件預(yù)期的不匹配。因此,機(jī)載軟件為了保證軟件本身與系統(tǒng)或設(shè)備需求的一致性,設(shè)置了目前呈現(xiàn)出來(lái)的研發(fā)層次。
1.4 設(shè)計(jì)的顆粒度、層次依據(jù)和界面原則
過(guò)程保證以界面原則作為特定層次顆粒度/模塊化定義的依據(jù)。拿一個(gè)通常算賬使用的簡(jiǎn)單計(jì)算器來(lái)舉例講,劃分輸入模塊、處理模塊、輸出模塊是一種顆粒度,劃分機(jī)械鍵盤(pán)、防抖模塊、計(jì)算模塊、存儲(chǔ)模塊、電源模塊、顯示處理和液晶模塊等也是一種顆粒度的定義方式。其實(shí)這種顆粒度的不同定位,就是一種何為內(nèi)何為外的界面劃分。對(duì)于軟件高級(jí)需求來(lái)說(shuō)這種界面可以按照不同的業(yè)務(wù)流程劃分,也可以按照不同的任務(wù)系統(tǒng)進(jìn)行劃分,也可以按照面向外部交互角色進(jìn)行劃分。對(duì)于軟件低級(jí)需求來(lái)講,這種界面可以按照數(shù)據(jù)流向進(jìn)行劃分、可以按照更為細(xì)致的服務(wù)或者功能進(jìn)行劃分,可以按照業(yè)務(wù)步驟進(jìn)行劃分。這種界面決定了顆粒度的大小。界面原則可以保證需求、設(shè)計(jì)、代碼各層次內(nèi)部組合和解耦的合理性,也對(duì)該層次抽象程度的合理性進(jìn)行定義。
過(guò)程保證以內(nèi)外關(guān)聯(lián)為界面原則的依賴性策劃依據(jù)。內(nèi)外關(guān)聯(lián)的原則是將那些牢固的不易變化的界面關(guān)系明確為模塊間的外部耦合關(guān)系,將那些內(nèi)部可靈活處置的關(guān)系內(nèi)化為內(nèi)部耦合。外部耦合宜松,內(nèi)部耦合宜緊。模塊功能內(nèi)聚,則不會(huì)失去聚焦,不會(huì)偏離模塊的中心任務(wù);模塊間關(guān)聯(lián)松散,則模塊間的開(kāi)發(fā)與維護(hù)都相對(duì)便捷,不會(huì)有過(guò)多顧慮。對(duì)于每個(gè)層次的內(nèi)部需求/設(shè)計(jì)之間的關(guān)聯(lián)關(guān)系,有不同的劃分方法,正如同統(tǒng)一建模語(yǔ)(Unified Modeling Language,UML)將類間關(guān)系劃分為關(guān)聯(lián)、泛化、聚合和組合一般,依據(jù)這種關(guān)聯(lián)原則的定義,將上下游、同層間的需求設(shè)計(jì)關(guān)系進(jìn)行梳理和凈化,進(jìn)一步將需求和設(shè)計(jì)的形式與內(nèi)容進(jìn)行雕琢。
02機(jī)載軟件的開(kāi)發(fā)過(guò)程
在軟件開(kāi)發(fā)過(guò)程中,DO-178C定義了如下四個(gè)子過(guò)程:
(1)軟件需求過(guò)程:該過(guò)程的輸入是分配給軟件的系統(tǒng)需求,主要輸出是軟件系統(tǒng)的高級(jí)需求(HLR)。它包含了軟件的功能需求、性能需求、軟硬件接口和安全相關(guān)需求等內(nèi)容。
(2)軟件設(shè)計(jì)過(guò)程:該過(guò)程的輸入是軟件高級(jí)需求、軟件開(kāi)發(fā)計(jì)劃和軟件設(shè)計(jì)標(biāo)準(zhǔn),主要輸出是設(shè)計(jì)描述,包括軟件架構(gòu)和低級(jí)需求(LLR)。
(3)軟件編碼過(guò)程:這一過(guò)程根據(jù)軟件低級(jí)需求和軟件架構(gòu)編寫(xiě)軟件的源代碼。過(guò)程的主要輸出結(jié)果是源碼和目標(biāo)碼。
(4)軟件集成過(guò)程:該過(guò)程對(duì)源碼和目標(biāo)碼進(jìn)行編譯、鏈接,并加載到機(jī)載系統(tǒng)或設(shè)備中。該過(guò)程應(yīng)包含軟件集成和軟/硬件集成兩個(gè)子過(guò)程。
下圖給出了DO-178C標(biāo)準(zhǔn)中系統(tǒng)需求和軟件開(kāi)發(fā)四個(gè)過(guò)程之間的關(guān)系。
圖1 DO-178C開(kāi)發(fā)過(guò)程
軟件開(kāi)發(fā)過(guò)程在DO-178C中分為四個(gè)階段,這四個(gè)子階段的劃分要求保證軟件行為的整體性、內(nèi)在模塊之間的協(xié)調(diào)性、內(nèi)部耦合之間的正確性、內(nèi)部異常與錯(cuò)誤之間的隔離性、上級(jí)功能與下層資源分配之間的合理性和適當(dāng)裕度,同時(shí)還要兼顧到軟件的效率。這四個(gè)子階段的劃分可以從軟件行為到結(jié)構(gòu),再到編程語(yǔ)言的轉(zhuǎn)換,也可以是從軟件能力到軟件規(guī)格,再到軟件實(shí)現(xiàn)的轉(zhuǎn)換,也可以是去粗求精、去偽存真的不斷迭代過(guò)程,還可以是更為復(fù)雜的從外在到多視角描述肢解系統(tǒng)需求的過(guò)程。但是不管怎樣,這是一個(gè)從整體出發(fā)到各個(gè)部分,然后再到整體的一個(gè)開(kāi)發(fā)過(guò)程。層次化的步進(jìn)是為了順利完成視角的轉(zhuǎn)換。每個(gè)層次的切割和分配是功能聚焦和開(kāi)發(fā)人員關(guān)注點(diǎn)聚焦的現(xiàn)實(shí)需要。在這個(gè)過(guò)程中,復(fù)雜度隨著模塊、組件、單元的降維,開(kāi)發(fā)難度不斷降低,但是軟件整體的行為卻變得越來(lái)越不受控。在軟件開(kāi)發(fā)不斷的開(kāi)發(fā)過(guò)程中,仍然有一種總體的行為變得尤為重要,仍有一個(gè)角色在以總體的責(zé)任性視角審視各個(gè)實(shí)體的綜合行為。所以在這四個(gè)子階段的實(shí)施過(guò)程中,要么前期規(guī)劃非常明確,各個(gè)部分的定義在頂層需求中已經(jīng)框定,要么在演進(jìn)過(guò)程中,總是有一個(gè)全局考慮的機(jī)制在發(fā)揮作用。否則局面將變得不可收拾。
03機(jī)載軟件的綜合過(guò)程
在軟件綜合過(guò)程中,DO-178C又包含如下四個(gè)過(guò)程:
(1)軟件驗(yàn)證過(guò)程
該過(guò)程由軟件驗(yàn)證計(jì)劃定義,用于檢測(cè)和報(bào)告在軟件開(kāi)發(fā)過(guò)程中可能引入的錯(cuò)誤,而錯(cuò)誤的消除屬于軟件開(kāi)發(fā)過(guò)程的活動(dòng);
(2)軟件構(gòu)型管理過(guò)程
該過(guò)程由軟件構(gòu)型管理計(jì)劃定義,與其它軟件生命周期過(guò)程協(xié)同執(zhí)行,其主要功能包括:
● 用于在軟件生命周期中提供確定的、可控的軟件構(gòu)型;
● 提供可執(zhí)行目標(biāo)代碼的復(fù)制能力,當(dāng)需要檢查和修改時(shí)可快速?gòu)?fù)制;
● 在軟件生命周期中提供過(guò)程輸入/輸出控制能力,保證過(guò)程活動(dòng)的一致性和可重復(fù)性;
● 通過(guò)控制構(gòu)型項(xiàng)、建立構(gòu)型基礎(chǔ),提供用于走查、狀態(tài)判斷、修改控制的節(jié)點(diǎn);
● 提供控制,保證所有問(wèn)題都被處理,所有修改都被記錄、提交和實(shí)現(xiàn);
● 通過(guò)控制軟件生命過(guò)程的輸出提供軟件的證明;
● 輔助判斷軟件產(chǎn)品與需求是否兼容;
● 保證構(gòu)型項(xiàng)維護(hù)了加密、恢復(fù)和控制數(shù)據(jù)等;
(3)軟件質(zhì)量保證過(guò)程
該過(guò)程由軟件質(zhì)量保證計(jì)劃定義,用于審核軟件的生命周期過(guò)程及其輸出,確保其目標(biāo)被實(shí)現(xiàn),錯(cuò)誤被檢測(cè)、評(píng)估、跟蹤和解決,以及保證其它軟件生命周期數(shù)據(jù)能夠滿足軟件需求。軟件質(zhì)量保證過(guò)程用于提供相關(guān)證據(jù)來(lái)表明經(jīng)過(guò)軟件生命周期生產(chǎn)的軟件產(chǎn)品與需求相一致,保證這些過(guò)程的執(zhí)行與軟件計(jì)劃和標(biāo)準(zhǔn)一致。
(4)審定聯(lián)絡(luò)過(guò)程
該過(guò)程用于在整個(gè)軟件生命周期中建立應(yīng)用程序與證明授權(quán)之間的通訊和理解,輔助軟件的證明過(guò)程。
在機(jī)載軟件開(kāi)發(fā)過(guò)程中,軟件綜合過(guò)程與軟件開(kāi)發(fā)過(guò)程是并行執(zhí)行的。在整個(gè)軟件生命周期中,以軟件開(kāi)發(fā)過(guò)程為主線,在其各個(gè)子過(guò)程中實(shí)施相應(yīng)的軟件綜合過(guò)程,其執(zhí)行根據(jù)獨(dú)立性要求等可由兩個(gè)以上的不同團(tuán)隊(duì)來(lái)完成,實(shí)現(xiàn)軟件開(kāi)發(fā)與軟件綜合的分離。軟件生命周期中各個(gè)過(guò)程的關(guān)系可用下圖表示,圖中軟件計(jì)劃過(guò)程是所有過(guò)程的起始點(diǎn),根據(jù)軟件計(jì)劃過(guò)程制定的各種軟件計(jì)劃執(zhí)行相應(yīng)的軟件生命周期活動(dòng)。
圖2 DO-178C軟件生命周期方陣
綜合過(guò)程也稱之為整體過(guò)程,預(yù)示其長(zhǎng)期性和伴生性。這種綜合性還體現(xiàn)在其支持性,其是保證在日復(fù)一日的開(kāi)發(fā)過(guò)程中的軟件中間產(chǎn)品的質(zhì)量特性、清晰的數(shù)據(jù)變化路徑、過(guò)程和產(chǎn)品的監(jiān)督監(jiān)理。綜合過(guò)程的設(shè)置不但適用于軟件,對(duì)于其它層級(jí)甚至其它行業(yè)都是非常必要的,其是現(xiàn)代工業(yè)活動(dòng)長(zhǎng)期實(shí)施過(guò)程中的寶貴經(jīng)驗(yàn)總結(jié)。
筆者在這里想到豐田的精益管理,其中蘊(yùn)含的思路也對(duì)綜合過(guò)程的設(shè)置給出了一些提示和指導(dǎo)。例如透明的信息與數(shù)字看板,軟件項(xiàng)目研制中的構(gòu)型管理和質(zhì)量保證其實(shí)就為實(shí)現(xiàn)這一目的,提供了良好的手段。通過(guò)構(gòu)型管理和質(zhì)量保證,可以為管理層提供診斷、監(jiān)控、管理的依據(jù)。管理層要實(shí)施有效的管理,總是離不開(kāi)管控范圍、問(wèn)題定位、解決措施、效果統(tǒng)計(jì)等這些俗套的環(huán)節(jié)或者要素。軟件綜合過(guò)程的這些項(xiàng)目可以系統(tǒng)性的提供這種手段,如構(gòu)型項(xiàng)的梳理、構(gòu)型項(xiàng)狀態(tài)的管控、問(wèn)題報(bào)告機(jī)制和構(gòu)型變更管理機(jī)制等,為項(xiàng)目的范圍狀態(tài),人力時(shí)間資源的投入等提供決策依據(jù)。精而有益、由精益而形成良好循環(huán),最終質(zhì)變。這與習(xí)近平總書(shū)記提到的精準(zhǔn)思維有異曲同工之妙。
當(dāng)然,軟件適航本身堅(jiān)持的更多是一種底線思維。如果軟件研制企業(yè)想在人力、進(jìn)度、成本上取得進(jìn)一步的收益,還必須在流程優(yōu)化、技術(shù)視野、管理與激勵(lì)機(jī)制上做出更廣闊層面上的革新。
參考資料:
[1]《機(jī)載軟件適航符合性教程》,2022,ISBN:9787313241344,上海交通大學(xué)出版社.
[2] Software Considerations in Airborne Systems and Equipment Certification(DO-178C),RTCA,2011.
審核編輯黃宇
-
軟件
+關(guān)注
關(guān)注
69文章
5007瀏覽量
87950
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論