2024年7月18-19日,龍智攜汽車軟件開(kāi)發(fā)及管理解決方案創(chuàng)新亮相2024 ATC汽車軟件與安全技術(shù)周。龍智技術(shù)支持部負(fù)責(zé)人&Atlassian認(rèn)證專家葉燕秀、龍智功能安全高級(jí)工程師景玉鑫在活動(dòng)主會(huì)場(chǎng)聯(lián)合發(fā)表了精彩演講,分享推動(dòng)汽車軟件開(kāi)發(fā)與功能安全的創(chuàng)新實(shí)踐。
本期,龍智技術(shù)支持部負(fù)責(zé)人&Atlassian認(rèn)證專家葉燕秀,將分享如何應(yīng)對(duì)汽車行業(yè)的功能安全挑戰(zhàn),以及如何借助先進(jìn)的項(xiàng)目管理平臺(tái)Jira,實(shí)現(xiàn)精細(xì)化需求管理等方面的經(jīng)驗(yàn)與見(jiàn)解。
以下為演講實(shí)錄(內(nèi)容有精簡(jiǎn)潤(rùn)色)。
大家好,我是葉燕秀,我與我的同事景玉鑫一同來(lái)自上海龍智數(shù)碼科技股份有限公司。龍智已深耕DevSecOps領(lǐng)域超過(guò)十年,我們與眾多產(chǎn)品生命周期管理解決方案的國(guó)際知名公司保持著深度的合作關(guān)系,提供從產(chǎn)品規(guī)劃與需求管理、開(kāi)發(fā),到測(cè)試、部署以及運(yùn)維全生命周期的解決方案與管理工具。迄今為止,我們已經(jīng)為包括汽車行業(yè)在內(nèi)的多個(gè)行業(yè)的上千家客戶,提供了專業(yè)的咨詢、實(shí)施、培訓(xùn)、運(yùn)維以及二次開(kāi)發(fā)等全方位服務(wù)。
功能安全挑戰(zhàn)
首先,我們來(lái)探討一下當(dāng)前汽車行業(yè)所面臨的功能安全挑戰(zhàn)。
為什么要強(qiáng)調(diào)功能安全?
隨著汽車信息化,特別是智能化與電動(dòng)化趨勢(shì)的加速,汽車正逐漸從傳統(tǒng)的機(jī)械產(chǎn)品轉(zhuǎn)變?yōu)楦叨?a target="_blank">電子化的產(chǎn)品。為了滿足并不斷提升用戶對(duì)汽車功能和用戶體驗(yàn)的需求,車輛上安裝的控制器數(shù)量日益增多。目前,中高檔車輛上的控制器數(shù)量已高達(dá)40至50多個(gè),車輛出廠時(shí)就配備了數(shù)千萬(wàn)行的代碼,來(lái)負(fù)責(zé)管理發(fā)動(dòng)機(jī)、變速器控制、制動(dòng)轉(zhuǎn)向以及各子系統(tǒng)的大量診斷信息。對(duì)于有人駕駛的車輛而言,這已是龐大的系統(tǒng)。而針對(duì)自動(dòng)駕駛車輛,其代碼量更是有可能突破數(shù)十億行。
汽車電子部件的數(shù)量與復(fù)雜度的增加,更是會(huì)大大提升電子失效的風(fēng)險(xiǎn),特別是底盤、動(dòng)力等關(guān)鍵部件一旦失效,比如剎車、轉(zhuǎn)向失靈,都將會(huì)造成極其嚴(yán)重的后果。
這也是為什么現(xiàn)在僅僅針對(duì)汽車的物理部件,來(lái)滿足各項(xiàng)標(biāo)準(zhǔn)已經(jīng)遠(yuǎn)遠(yuǎn)不夠了。在汽車設(shè)計(jì)的系統(tǒng)、軟硬件層面,我們同樣需要解決安全問(wèn)題,確保功能安全,以應(yīng)對(duì)日益復(fù)雜的汽車電子化趨勢(shì)。
功能安全標(biāo)準(zhǔn)
鑒于汽車對(duì)軟件的依賴性日益增加,國(guó)際標(biāo)準(zhǔn)化組織(ISO)于2011年發(fā)布了ISO 26262標(biāo)準(zhǔn),并在2018年發(fā)布了更新版本,來(lái)作為汽車行業(yè)系統(tǒng)及設(shè)備所有軟件的詳細(xì)的行業(yè)指南。
那么,我們?yōu)槭裁葱枰槍?duì)汽車行業(yè)制定一份專門的標(biāo)準(zhǔn)呢?
這是由汽車工業(yè)的獨(dú)特特點(diǎn)決定的。汽車是大眾消費(fèi)市場(chǎng)中單價(jià)最高的大規(guī)模量產(chǎn)產(chǎn)品,其所有的確認(rèn)工作都必須在量產(chǎn)之前,即所謂的SOP(Start of Production)之前完成。這意味著汽車的開(kāi)發(fā)和驗(yàn)證過(guò)程必須做到完整且充分,以確保產(chǎn)品的安全性和可靠性。這一要求與工業(yè)產(chǎn)品以及其他消費(fèi)類電子產(chǎn)品存在著顯著差異。
因此,針對(duì)汽車行業(yè)專門制定一份標(biāo)準(zhǔn)尤為重要。ISO 26262標(biāo)準(zhǔn)的出臺(tái),為汽車行業(yè)提供了明確的指導(dǎo),幫助汽車制造商在設(shè)計(jì)和開(kāi)發(fā)過(guò)程中充分考慮功能安全要求,降低電子失效風(fēng)險(xiǎn),確保汽車產(chǎn)品的安全性和可靠性。
那么如何降低風(fēng)險(xiǎn)呢?
我們需要認(rèn)識(shí)到,風(fēng)險(xiǎn)與安全是相對(duì)的概念,我們是無(wú)法完全消除風(fēng)險(xiǎn)的,但可以通過(guò)一系列措施將其降低至合理的范圍內(nèi)。在功能安全領(lǐng)域,為了評(píng)估風(fēng)險(xiǎn)并確定其合理度,我們引入了“Automotive Safety Integrity Level”(ASIL)這一標(biāo)準(zhǔn)。
在功能安全的概念階段,最重要的工作就是危害分析與風(fēng)險(xiǎn)評(píng)估。只有通過(guò)深入分析,我們識(shí)別出潛在的危險(xiǎn),才能為后續(xù)的功能安全開(kāi)發(fā)工作奠定基礎(chǔ)。危害分析與風(fēng)險(xiǎn)評(píng)估的過(guò)程需要結(jié)合整車的功能,在不同應(yīng)用場(chǎng)景下假設(shè)失效情況,以評(píng)估可能存在的危險(xiǎn)。
為了全面評(píng)估風(fēng)險(xiǎn),我們通常會(huì)結(jié)合整車功能的失效模式、運(yùn)行場(chǎng)景等因素,構(gòu)建出可能的危險(xiǎn)場(chǎng)景。然后從嚴(yán)重度、暴露率和可控性三個(gè)維度對(duì)風(fēng)險(xiǎn)進(jìn)行量化評(píng)估。其中,嚴(yán)重度越高、暴露率越高、可控性越小,意味著風(fēng)險(xiǎn)越高,ASIL等級(jí)也會(huì)更高,后續(xù)的安全開(kāi)發(fā)工作也需要更加嚴(yán)格。
那么我們?nèi)绾螌?shí)現(xiàn)功能安全呢?
下面這張圖總結(jié)了功能安全的實(shí)現(xiàn)原理。
首先,我們會(huì)去識(shí)別失效的模式及其潛在影響,然后采取一定的糾正措施以避免失效,最終通過(guò)驗(yàn)證與確認(rèn)來(lái)評(píng)估措施的有效性。若效果未達(dá)預(yù)期,就需要進(jìn)行多次的完善與迭代?;谶@樣的思路,功能安全標(biāo)準(zhǔn)整理確立了一套完整的功能安全開(kāi)發(fā)流程,為了保障流程被正確實(shí)施,我們同時(shí)還需要在管理流程、需求設(shè)計(jì)和工具層面上輔以支持。
功能安全開(kāi)發(fā)過(guò)程
上圖是對(duì)于功能安全開(kāi)發(fā)過(guò)程的整理,涵蓋了需求、設(shè)計(jì)、驗(yàn)證與確認(rèn)三個(gè)層面,每個(gè)層面在不同的階段均有不同的實(shí)施活動(dòng)。在概念階段,就是從用戶需求出發(fā),我們產(chǎn)生一個(gè)想法,提出一個(gè)功能定義,這個(gè)通常是整車功能層面的一個(gè)應(yīng)用設(shè)計(jì),對(duì)于功能安全來(lái)說(shuō)就是定義一個(gè)研究對(duì)象和功能,進(jìn)行風(fēng)險(xiǎn)分析,定義安全目標(biāo)、功能安全概念等。要實(shí)現(xiàn)這些想法,就需要工程人員進(jìn)行產(chǎn)品的開(kāi)發(fā),包括系統(tǒng)開(kāi)發(fā)、軟硬件開(kāi)發(fā),以及驗(yàn)證和測(cè)試等。
對(duì)于生產(chǎn)維護(hù),主要是實(shí)施在開(kāi)發(fā)階段識(shí)別出的可能影響功能安全的特性及保障措施,比如制定生產(chǎn)保障的計(jì)劃、流程,提供相應(yīng)保障的證據(jù)等等。
需求管理貫穿功能安全流程
貫穿整個(gè)功能安全開(kāi)發(fā)流程的主線,就是需求。
隨著產(chǎn)品的開(kāi)發(fā),需求從概念階段一直傳遞到系統(tǒng)階段和軟硬件階段。概念階段即是安全目標(biāo)、功能安全需求;系統(tǒng)階段即是技術(shù)安全需求;軟件階段即是軟件安全需求;硬件階段也就是硬件安全需求。
功能安全需求是針對(duì)安全目標(biāo),并結(jié)合整車的系統(tǒng)架構(gòu)所制定的需求。我們所有的開(kāi)發(fā)工作都是圍繞滿足這些需求展開(kāi),最終通過(guò)驗(yàn)證與確認(rèn)來(lái)實(shí)現(xiàn)功能安全。
精細(xì)化需求管理
對(duì)于這樣一個(gè)功能安全的過(guò)程與流程,我們無(wú)法完全依賴傳統(tǒng)的Office辦公軟件或Checklist檢查項(xiàng)清單來(lái)進(jìn)行有效的管理和跟蹤。而是需要更加專業(yè)、靈活的工具平臺(tái),來(lái)幫助有效地管理相關(guān)需求,例如Jira Software這一數(shù)據(jù)驅(qū)動(dòng)的產(chǎn)品開(kāi)發(fā)平臺(tái)。
以數(shù)據(jù)驅(qū)動(dòng)的產(chǎn)品開(kāi)發(fā)平臺(tái)
以往,我們通常將需求記錄在Word文檔中,這些文檔可能包含成百上千條的需求。而“以數(shù)據(jù)驅(qū)動(dòng)的管理方式”則是將每一條需求、每一個(gè)相關(guān)聯(lián)的測(cè)試用例、風(fēng)險(xiǎn)項(xiàng)、缺陷項(xiàng)都獨(dú)立拆分出來(lái),作為單獨(dú)的條目進(jìn)行管理。通過(guò)這種條目式的管理,我們能夠針對(duì)具體需求進(jìn)行版本控制,跟蹤其變更歷史,并收集針對(duì)該條需求的反饋信息。同時(shí),我們還可以通過(guò)需求中定義的關(guān)鍵屬性(如ASIL等級(jí)),來(lái)快速過(guò)濾和檢索需求,以及生成對(duì)應(yīng)的需求風(fēng)險(xiǎn)分析報(bào)告。
有了這樣的工具平臺(tái),我們也無(wú)需手動(dòng)在文檔中維護(hù)大量的需求ID,或者追溯上下游的需求鏈接,而是可以更方便地在平臺(tái)上實(shí)現(xiàn)追溯。在評(píng)審效率方面,我們可以專注在少量的迭代式的需求評(píng)審,而無(wú)需在等待整個(gè)需求文檔提交后,才能提供相關(guān)的反饋信息。
整個(gè)V模型的端到端可追溯性
不管是ASPICE還是ISO 26262,都強(qiáng)調(diào)了V模型。
我們可以借助Jira平臺(tái)來(lái)建立端到端的可追溯性,快速識(shí)別系統(tǒng)、子系統(tǒng)及其具體需求,并分析需求如何被拆分為更詳細(xì)的規(guī)格:例如用戶需求包含了哪些系統(tǒng)需求?系統(tǒng)需求又拆分為哪些軟硬件需求?相關(guān)的架構(gòu)設(shè)計(jì)是什么?若需要驗(yàn)證需求,關(guān)聯(lián)的測(cè)試用例有哪些?測(cè)試結(jié)果是什么?等等。
當(dāng)需求發(fā)生變更時(shí),Jira平臺(tái)也能方便地進(jìn)行影響分析,了解識(shí)別該項(xiàng)變更對(duì)上下游需求和測(cè)試的連鎖反應(yīng),通過(guò)完整的追溯關(guān)系來(lái)保障我們的產(chǎn)品質(zhì)量,改進(jìn)變更管理流程。此外,借助V模型端到端的完整追溯鏈,我們也可以通過(guò)追溯報(bào)表,快速識(shí)別未被覆蓋的需求或設(shè)計(jì),及時(shí)進(jìn)行調(diào)整和修正。
集成風(fēng)險(xiǎn)管理,簡(jiǎn)化合規(guī)流程
同時(shí),我們可以通過(guò)Jira平臺(tái)集成風(fēng)險(xiǎn)管理,簡(jiǎn)化合規(guī)流程。
Jira平臺(tái)支持多種風(fēng)險(xiǎn)評(píng)估方法。對(duì)于前面提到的一些關(guān)鍵風(fēng)險(xiǎn)值,比如ASIL等級(jí),它可以根據(jù)該項(xiàng)需求的嚴(yán)重度、暴露率、可控性等參數(shù),自動(dòng)進(jìn)行計(jì)算和呈現(xiàn)風(fēng)險(xiǎn)。通過(guò)將風(fēng)險(xiǎn)管理集成至統(tǒng)一平臺(tái),我們可以在整個(gè)產(chǎn)品開(kāi)發(fā)過(guò)程中,定期執(zhí)行風(fēng)險(xiǎn)分析,并生成對(duì)應(yīng)的分析報(bào)表。
將需求與測(cè)試用例及其結(jié)果鏈接來(lái)提高質(zhì)量
正如我們前面介紹到的,在汽車行業(yè)中,量產(chǎn)前一定要進(jìn)行完整、充分的功能驗(yàn)證。通過(guò)Jira平臺(tái),我們可以將驗(yàn)證用例與需求直接關(guān)聯(lián),記錄執(zhí)行結(jié)果,以確保產(chǎn)品質(zhì)量。若在測(cè)試過(guò)程中發(fā)現(xiàn)缺陷,也可以一鍵提交缺陷,并與相關(guān)的用例、步驟、需求相關(guān)聯(lián),實(shí)現(xiàn)缺陷的統(tǒng)一分配、處理和進(jìn)度跟蹤。
與傳統(tǒng)管理方式不同,通過(guò)采用一套專業(yè)的管理平臺(tái)Jira,我們能夠?qū)崿F(xiàn)內(nèi)部垂直團(tuán)隊(duì)之間的緊密合作,同時(shí)加強(qiáng)與客戶及供應(yīng)鏈的外部協(xié)作。這種合作機(jī)制有助于我們消除開(kāi)發(fā)過(guò)程中的沖突,確保項(xiàng)目的順利進(jìn)行。此外,Jira平臺(tái)還能幫助我們收集合規(guī)所需的大量細(xì)節(jié),如團(tuán)隊(duì)遵循流程的證據(jù),從而助力順利通過(guò)ASPICE評(píng)估認(rèn)證,或滿足ISO 26262提出的功能安全要求。
當(dāng)前正處于AI時(shí)代,Jira管理平臺(tái)也集成了多種AI智能化和自動(dòng)化功能,幫助提升工作效率。借助這一專業(yè)平臺(tái),我們能夠?qū)崿F(xiàn)精細(xì)化的需求管理,通過(guò)將重復(fù)性、低效的工作交給AI工具處理,而擁有更多的時(shí)間專注于創(chuàng)新和優(yōu)化產(chǎn)品。
審核編輯 黃宇
-
汽車軟件
+關(guān)注
關(guān)注
0文章
84瀏覽量
3119 -
jira
+關(guān)注
關(guān)注
0文章
6瀏覽量
2191
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論