驗(yàn)證與確認(rèn)是功能安全中重要但相互獨(dú)立的兩個(gè)主題

作者：Tom-M

驗(yàn)證與確認(rèn)是功能安全中重要但相互獨(dú)立的兩個(gè)主題。然而，這兩個(gè)術(shù)語(yǔ)經(jīng)常被誤用和混淆，包括我最近正在閱讀的一份功能安全標(biāo)準(zhǔn)初稿。簡(jiǎn)而言之，確認(rèn)是項(xiàng)目實(shí)現(xiàn)其最終目標(biāo)的最終驗(yàn)證。

來(lái)看一個(gè)典型的V模型，我們看到左邊是設(shè)計(jì)任務(wù)，右邊是驗(yàn)證與確認(rèn)項(xiàng)目。右上方顯示確認(rèn)測(cè)試。下面的V模型來(lái)自IEC 61508-2:2010。

雖然上面是數(shù)字ASIC的V模型，但也可以理解為混合信號(hào)或模擬設(shè)計(jì)的V模型。在流片之前進(jìn)行的模擬是驗(yàn)證項(xiàng)目的示例，而在硅片上進(jìn)行的測(cè)量則是帶可靠性測(cè)試的確認(rèn)項(xiàng)目，包括特別重要的HTOL（高溫工作壽命）、HAST（高加速應(yīng)力測(cè)試）等，因?yàn)樗鼈冋故緦?duì)最終應(yīng)用的適用性。

《持續(xù)工程入門(mén)》(Continuous Engineering for Dummies)一書(shū)中的定義很好：“驗(yàn)證檢查設(shè)計(jì)是否達(dá)到了規(guī)定要求并符合標(biāo)準(zhǔn)（換句話說(shuō)，您正在創(chuàng)建系統(tǒng)的方式是正確的）。確認(rèn)檢查設(shè)計(jì)是否滿足最終用戶的需求（換句話說(shuō)，您正在創(chuàng)建正確的系統(tǒng)）”。這一定義清楚地表明，驗(yàn)證可以在任何級(jí)別和任何過(guò)程步驟中應(yīng)用。因此，例如，如果您必須為一個(gè)IC進(jìn)行FMEDA，您可以驗(yàn)證在進(jìn)行FMEDA時(shí)是否遵循公司的流程，以及您希望在FMEDA中看到的所有內(nèi)容是否都包含在內(nèi)。同樣，如果您有一個(gè)新產(chǎn)品開(kāi)發(fā)流程，您可以驗(yàn)證是否遵循了所有適用步驟。

吸引我注意的其他定義包括J3061《網(wǎng)絡(luò)物理車(chē)輛系統(tǒng)網(wǎng)絡(luò)安全指南》中的定義，它強(qiáng)調(diào)驗(yàn)證與確認(rèn)的內(nèi)部和外部范圍。

在IEC 61508中，該術(shù)語(yǔ)有點(diǎn)偏離了上述內(nèi)容，例如，軟件確認(rèn)是指“通過(guò)檢查和提供客觀證據(jù)來(lái)確認(rèn)該軟件符合軟件安全要求規(guī)范”–見(jiàn)IEC 61508-4:2010第3.8.2條。在IEC 61508-3:2010第7.9.1條中，這一定義的使用被解釋為“由領(lǐng)域?qū)＜覚z查安全要求規(guī)范本身是否正確”。在某種程度上，這類(lèi)似于IC的情況，在這種情況下，ADI公司的確認(rèn)測(cè)試通常無(wú)法證明它將按預(yù)期在安全功能中發(fā)揮作用，這與下面視頻中的理想情況形成了對(duì)比。

Philip Koopman在他的《更好的嵌入式系統(tǒng)軟件》(Better Embedded System Software)一書(shū)中也描述了V&V（驗(yàn)證與確認(rèn)），他在第49頁(yè)寫(xiě)到，“測(cè)試需要實(shí)際執(zhí)行一款軟件，以確定其性能是否符合要求、設(shè)計(jì)的性能和其他預(yù)期。它不同于其他形式的驗(yàn)證與確認(rèn)，因?yàn)樗鼘?shí)際上是基于代碼執(zhí)行的操作，而不是評(píng)審人員認(rèn)為代碼可能執(zhí)行的操作”，這清楚地表明測(cè)試是一種驗(yàn)證形式。他在后面繼續(xù)寫(xiě)到：“驗(yàn)證是確保正確地遵循設(shè)計(jì)步驟，并且大致對(duì)應(yīng)于向后追溯的概念（知道您符合上一個(gè)設(shè)計(jì)步驟的輸出）。V&V（驗(yàn)證與確認(rèn)）這個(gè)總稱(chēng)經(jīng)常用于描述所有用于確保設(shè)計(jì)過(guò)程正常進(jìn)行的活動(dòng)……V&V的全部活動(dòng)都很重要……”。

還有更多例子，但我覺(jué)得再給出一個(gè)UL 1998的示例就足夠了。

審核編輯：何安