汽車軟件開(kāi)發(fā)中的功能安全挑戰(zhàn)與應(yīng)對(duì)策略：基于Jira平臺(tái)構(gòu)建端到端的可追溯性，實(shí)現(xiàn)精細(xì)化需求管理

2024年7月18-19日，龍智攜汽車軟件開(kāi)發(fā)及管理解決方案創(chuàng)新亮相2024 ATC汽車軟件與安全技術(shù)周。龍智技術(shù)支持部負(fù)責(zé)人&Atlassian認(rèn)證專家葉燕秀、龍智功能安全高級(jí)工程師景玉鑫在活動(dòng)主會(huì)場(chǎng)聯(lián)合發(fā)表了精彩演講，分享推動(dòng)汽車軟件開(kāi)發(fā)與功能安全的創(chuàng)新實(shí)踐。

本期，龍智技術(shù)支持部負(fù)責(zé)人&Atlassian認(rèn)證專家葉燕秀，將分享如何應(yīng)對(duì)汽車行業(yè)的功能安全挑戰(zhàn)，以及如何借助先進(jìn)的項(xiàng)目管理平臺(tái)Jira，實(shí)現(xiàn)精細(xì)化需求管理等方面的經(jīng)驗(yàn)與見(jiàn)解。

以下為演講實(shí)錄（內(nèi)容有精簡(jiǎn)潤(rùn)色）。

大家好，我是葉燕秀，我與我的同事景玉鑫一同來(lái)自上海龍智數(shù)碼科技股份有限公司。龍智已深耕DevSecOps領(lǐng)域超過(guò)十年，我們與眾多產(chǎn)品生命周期管理解決方案的國(guó)際知名公司保持著深度的合作關(guān)系，提供從產(chǎn)品規(guī)劃與需求管理、開(kāi)發(fā)，到測(cè)試、部署以及運(yùn)維全生命周期的解決方案與管理工具。迄今為止，我們已經(jīng)為包括汽車行業(yè)在內(nèi)的多個(gè)行業(yè)的上千家客戶，提供了專業(yè)的咨詢、實(shí)施、培訓(xùn)、運(yùn)維以及二次開(kāi)發(fā)等全方位服務(wù)。

功能安全挑戰(zhàn)

首先，我們來(lái)探討一下當(dāng)前汽車行業(yè)所面臨的功能安全挑戰(zhàn)。

為什么要強(qiáng)調(diào)功能安全？

隨著汽車信息化，特別是智能化與電動(dòng)化趨勢(shì)的加速，汽車正逐漸從傳統(tǒng)的機(jī)械產(chǎn)品轉(zhuǎn)變?yōu)楦叨?a target="_blank">電子化的產(chǎn)品。為了滿足并不斷提升用戶對(duì)汽車功能和用戶體驗(yàn)的需求，車輛上安裝的控制器數(shù)量日益增多。目前，中高檔車輛上的控制器數(shù)量已高達(dá)40至50多個(gè)，車輛出廠時(shí)就配備了數(shù)千萬(wàn)行的代碼，來(lái)負(fù)責(zé)管理發(fā)動(dòng)機(jī)、變速器控制、制動(dòng)轉(zhuǎn)向以及各子系統(tǒng)的大量診斷信息。對(duì)于有人駕駛的車輛而言，這已是龐大的系統(tǒng)。而針對(duì)自動(dòng)駕駛車輛，其代碼量更是有可能突破數(shù)十億行。

汽車電子部件的數(shù)量與復(fù)雜度的增加，更是會(huì)大大提升電子失效的風(fēng)險(xiǎn)，特別是底盤、動(dòng)力等關(guān)鍵部件一旦失效，比如剎車、轉(zhuǎn)向失靈，都將會(huì)造成極其嚴(yán)重的后果。

這也是為什么現(xiàn)在僅僅針對(duì)汽車的物理部件，來(lái)滿足各項(xiàng)標(biāo)準(zhǔn)已經(jīng)遠(yuǎn)遠(yuǎn)不夠了。在汽車設(shè)計(jì)的系統(tǒng)、軟硬件層面，我們同樣需要解決安全問(wèn)題，確保功能安全，以應(yīng)對(duì)日益復(fù)雜的汽車電子化趨勢(shì)。

功能安全標(biāo)準(zhǔn)

鑒于汽車對(duì)軟件的依賴性日益增加，國(guó)際標(biāo)準(zhǔn)化組織（ISO）于2011年發(fā)布了ISO 26262標(biāo)準(zhǔn)，并在2018年發(fā)布了更新版本，來(lái)作為汽車行業(yè)系統(tǒng)及設(shè)備所有軟件的詳細(xì)的行業(yè)指南。

那么，我們?yōu)槭裁葱枰槍?duì)汽車行業(yè)制定一份專門的標(biāo)準(zhǔn)呢？

這是由汽車工業(yè)的獨(dú)特特點(diǎn)決定的。汽車是大眾消費(fèi)市場(chǎng)中單價(jià)最高的大規(guī)模量產(chǎn)產(chǎn)品，其所有的確認(rèn)工作都必須在量產(chǎn)之前，即所謂的SOP（Start of Production）之前完成。這意味著汽車的開(kāi)發(fā)和驗(yàn)證過(guò)程必須做到完整且充分，以確保產(chǎn)品的安全性和可靠性。這一要求與工業(yè)產(chǎn)品以及其他消費(fèi)類電子產(chǎn)品存在著顯著差異。

因此，針對(duì)汽車行業(yè)專門制定一份標(biāo)準(zhǔn)尤為重要。ISO 26262標(biāo)準(zhǔn)的出臺(tái)，為汽車行業(yè)提供了明確的指導(dǎo)，幫助汽車制造商在設(shè)計(jì)和開(kāi)發(fā)過(guò)程中充分考慮功能安全要求，降低電子失效風(fēng)險(xiǎn)，確保汽車產(chǎn)品的安全性和可靠性。

那么如何降低風(fēng)險(xiǎn)呢？

我們需要認(rèn)識(shí)到，風(fēng)險(xiǎn)與安全是相對(duì)的概念，我們是無(wú)法完全消除風(fēng)險(xiǎn)的，但可以通過(guò)一系列措施將其降低至合理的范圍內(nèi)。在功能安全領(lǐng)域，為了評(píng)估風(fēng)險(xiǎn)并確定其合理度，我們引入了“Automotive Safety Integrity Level”（ASIL）這一標(biāo)準(zhǔn)。

在功能安全的概念階段，最重要的工作就是危害分析與風(fēng)險(xiǎn)評(píng)估。只有通過(guò)深入分析，我們識(shí)別出潛在的危險(xiǎn)，才能為后續(xù)的功能安全開(kāi)發(fā)工作奠定基礎(chǔ)。危害分析與風(fēng)險(xiǎn)評(píng)估的過(guò)程需要結(jié)合整車的功能，在不同應(yīng)用場(chǎng)景下假設(shè)失效情況，以評(píng)估可能存在的危險(xiǎn)。

為了全面評(píng)估風(fēng)險(xiǎn)，我們通常會(huì)結(jié)合整車功能的失效模式、運(yùn)行場(chǎng)景等因素，構(gòu)建出可能的危險(xiǎn)場(chǎng)景。然后從嚴(yán)重度、暴露率和可控性三個(gè)維度對(duì)風(fēng)險(xiǎn)進(jìn)行量化評(píng)估。其中，嚴(yán)重度越高、暴露率越高、可控性越小，意味著風(fēng)險(xiǎn)越高，ASIL等級(jí)也會(huì)更高，后續(xù)的安全開(kāi)發(fā)工作也需要更加嚴(yán)格。

那么我們?nèi)绾螌?shí)現(xiàn)功能安全呢？

下面這張圖總結(jié)了功能安全的實(shí)現(xiàn)原理。

首先，我們會(huì)去識(shí)別失效的模式及其潛在影響，然后采取一定的糾正措施以避免失效，最終通過(guò)驗(yàn)證與確認(rèn)來(lái)評(píng)估措施的有效性。若效果未達(dá)預(yù)期，就需要進(jìn)行多次的完善與迭代?；谶@樣的思路，功能安全標(biāo)準(zhǔn)整理確立了一套完整的功能安全開(kāi)發(fā)流程，為了保障流程被正確實(shí)施，我們同時(shí)還需要在管理流程、需求設(shè)計(jì)和工具層面上輔以支持。

功能安全開(kāi)發(fā)過(guò)程

上圖是對(duì)于功能安全開(kāi)發(fā)過(guò)程的整理，涵蓋了需求、設(shè)計(jì)、驗(yàn)證與確認(rèn)三個(gè)層面，每個(gè)層面在不同的階段均有不同的實(shí)施活動(dòng)。在概念階段，就是從用戶需求出發(fā)，我們產(chǎn)生一個(gè)想法，提出一個(gè)功能定義，這個(gè)通常是整車功能層面的一個(gè)應(yīng)用設(shè)計(jì)，對(duì)于功能安全來(lái)說(shuō)就是定義一個(gè)研究對(duì)象和功能，進(jìn)行風(fēng)險(xiǎn)分析，定義安全目標(biāo)、功能安全概念等。要實(shí)現(xiàn)這些想法，就需要工程人員進(jìn)行產(chǎn)品的開(kāi)發(fā)，包括系統(tǒng)開(kāi)發(fā)、軟硬件開(kāi)發(fā)，以及驗(yàn)證和測(cè)試等。

對(duì)于生產(chǎn)維護(hù)，主要是實(shí)施在開(kāi)發(fā)階段識(shí)別出的可能影響功能安全的特性及保障措施，比如制定生產(chǎn)保障的計(jì)劃、流程，提供相應(yīng)保障的證據(jù)等等。

需求管理貫穿功能安全流程

貫穿整個(gè)功能安全開(kāi)發(fā)流程的主線，就是需求。

隨著產(chǎn)品的開(kāi)發(fā)，需求從概念階段一直傳遞到系統(tǒng)階段和軟硬件階段。概念階段即是安全目標(biāo)、功能安全需求；系統(tǒng)階段即是技術(shù)安全需求；軟件階段即是軟件安全需求；硬件階段也就是硬件安全需求。

功能安全需求是針對(duì)安全目標(biāo)，并結(jié)合整車的系統(tǒng)架構(gòu)所制定的需求。我們所有的開(kāi)發(fā)工作都是圍繞滿足這些需求展開(kāi)，最終通過(guò)驗(yàn)證與確認(rèn)來(lái)實(shí)現(xiàn)功能安全。

精細(xì)化需求管理

對(duì)于這樣一個(gè)功能安全的過(guò)程與流程，我們無(wú)法完全依賴傳統(tǒng)的Office辦公軟件或Checklist檢查項(xiàng)清單來(lái)進(jìn)行有效的管理和跟蹤。而是需要更加專業(yè)、靈活的工具平臺(tái)，來(lái)幫助有效地管理相關(guān)需求，例如Jira Software這一數(shù)據(jù)驅(qū)動(dòng)的產(chǎn)品開(kāi)發(fā)平臺(tái)。

以數(shù)據(jù)驅(qū)動(dòng)的產(chǎn)品開(kāi)發(fā)平臺(tái)

以往，我們通常將需求記錄在Word文檔中，這些文檔可能包含成百上千條的需求。而“以數(shù)據(jù)驅(qū)動(dòng)的管理方式”則是將每一條需求、每一個(gè)相關(guān)聯(lián)的測(cè)試用例、風(fēng)險(xiǎn)項(xiàng)、缺陷項(xiàng)都獨(dú)立拆分出來(lái)，作為單獨(dú)的條目進(jìn)行管理。通過(guò)這種條目式的管理，我們能夠針對(duì)具體需求進(jìn)行版本控制，跟蹤其變更歷史，并收集針對(duì)該條需求的反饋信息。同時(shí)，我們還可以通過(guò)需求中定義的關(guān)鍵屬性（如ASIL等級(jí)），來(lái)快速過(guò)濾和檢索需求，以及生成對(duì)應(yīng)的需求風(fēng)險(xiǎn)分析報(bào)告。

有了這樣的工具平臺(tái)，我們也無(wú)需手動(dòng)在文檔中維護(hù)大量的需求ID，或者追溯上下游的需求鏈接，而是可以更方便地在平臺(tái)上實(shí)現(xiàn)追溯。在評(píng)審效率方面，我們可以專注在少量的迭代式的需求評(píng)審，而無(wú)需在等待整個(gè)需求文檔提交后，才能提供相關(guān)的反饋信息。

整個(gè)V模型的端到端可追溯性

不管是ASPICE還是ISO 26262，都強(qiáng)調(diào)了V模型。

我們可以借助Jira平臺(tái)來(lái)建立端到端的可追溯性，快速識(shí)別系統(tǒng)、子系統(tǒng)及其具體需求，并分析需求如何被拆分為更詳細(xì)的規(guī)格：例如用戶需求包含了哪些系統(tǒng)需求？系統(tǒng)需求又拆分為哪些軟硬件需求？相關(guān)的架構(gòu)設(shè)計(jì)是什么？若需要驗(yàn)證需求，關(guān)聯(lián)的測(cè)試用例有哪些？測(cè)試結(jié)果是什么？等等。

當(dāng)需求發(fā)生變更時(shí)，Jira平臺(tái)也能方便地進(jìn)行影響分析，了解識(shí)別該項(xiàng)變更對(duì)上下游需求和測(cè)試的連鎖反應(yīng)，通過(guò)完整的追溯關(guān)系來(lái)保障我們的產(chǎn)品質(zhì)量，改進(jìn)變更管理流程。此外，借助V模型端到端的完整追溯鏈，我們也可以通過(guò)追溯報(bào)表，快速識(shí)別未被覆蓋的需求或設(shè)計(jì)，及時(shí)進(jìn)行調(diào)整和修正。

集成風(fēng)險(xiǎn)管理，簡(jiǎn)化合規(guī)流程

同時(shí)，我們可以通過(guò)Jira平臺(tái)集成風(fēng)險(xiǎn)管理，簡(jiǎn)化合規(guī)流程。

Jira平臺(tái)支持多種風(fēng)險(xiǎn)評(píng)估方法。對(duì)于前面提到的一些關(guān)鍵風(fēng)險(xiǎn)值，比如ASIL等級(jí)，它可以根據(jù)該項(xiàng)需求的嚴(yán)重度、暴露率、可控性等參數(shù)，自動(dòng)進(jìn)行計(jì)算和呈現(xiàn)風(fēng)險(xiǎn)。通過(guò)將風(fēng)險(xiǎn)管理集成至統(tǒng)一平臺(tái)，我們可以在整個(gè)產(chǎn)品開(kāi)發(fā)過(guò)程中，定期執(zhí)行風(fēng)險(xiǎn)分析，并生成對(duì)應(yīng)的分析報(bào)表。

將需求與測(cè)試用例及其結(jié)果鏈接來(lái)提高質(zhì)量

正如我們前面介紹到的，在汽車行業(yè)中，量產(chǎn)前一定要進(jìn)行完整、充分的功能驗(yàn)證。通過(guò)Jira平臺(tái)，我們可以將驗(yàn)證用例與需求直接關(guān)聯(lián)，記錄執(zhí)行結(jié)果，以確保產(chǎn)品質(zhì)量。若在測(cè)試過(guò)程中發(fā)現(xiàn)缺陷，也可以一鍵提交缺陷，并與相關(guān)的用例、步驟、需求相關(guān)聯(lián)，實(shí)現(xiàn)缺陷的統(tǒng)一分配、處理和進(jìn)度跟蹤。

與傳統(tǒng)管理方式不同，通過(guò)采用一套專業(yè)的管理平臺(tái)Jira，我們能夠?qū)崿F(xiàn)內(nèi)部垂直團(tuán)隊(duì)之間的緊密合作，同時(shí)加強(qiáng)與客戶及供應(yīng)鏈的外部協(xié)作。這種合作機(jī)制有助于我們消除開(kāi)發(fā)過(guò)程中的沖突，確保項(xiàng)目的順利進(jìn)行。此外，Jira平臺(tái)還能幫助我們收集合規(guī)所需的大量細(xì)節(jié)，如團(tuán)隊(duì)遵循流程的證據(jù)，從而助力順利通過(guò)ASPICE評(píng)估認(rèn)證，或滿足ISO 26262提出的功能安全要求。

當(dāng)前正處于AI時(shí)代，Jira管理平臺(tái)也集成了多種AI智能化和自動(dòng)化功能，幫助提升工作效率。借助這一專業(yè)平臺(tái)，我們能夠?qū)崿F(xiàn)精細(xì)化的需求管理，通過(guò)將重復(fù)性、低效的工作交給AI工具處理，而擁有更多的時(shí)間專注于創(chuàng)新和優(yōu)化產(chǎn)品。

審核編輯 黃宇