1.為什么需要軟件FMEA
在智能汽車(chē)軟件代碼量突破2億行的今天(Bosch 2023數(shù)據(jù))�,軟件失效已成為影響汽車(chē)安全的首要風(fēng)險(xiǎn)�����,軟件問(wèn)題造成的系統(tǒng)失效占比高達(dá)60%以上。軟件FMEA作為系統(tǒng)性的軟件問(wèn)題分析方法�,能夠通過(guò)結(jié)構(gòu)性的方式對(duì)軟件需求、架構(gòu)�、設(shè)計(jì)、代碼存在的問(wèn)題進(jìn)行分析�����,正在成為軟件安全與質(zhì)量的重要保障�����。
軟件FMEA的必要性還體現(xiàn)在如下幾個(gè)方面:
1、標(biāo)準(zhǔn)法規(guī)的要求
(1)ISO 26262/GBT 34590功能安全標(biāo)準(zhǔn)明確要求對(duì)軟件系統(tǒng)進(jìn)行失效分析
(2)ISO16949質(zhì)量體系將FMEA列為關(guān)鍵的驗(yàn)證手段
(3)歐美市場(chǎng)準(zhǔn)入認(rèn)證中軟件FMEA報(bào)告已成為必交材料
2���、復(fù)雜系統(tǒng)的生存必須
車(chē)載軟件系統(tǒng)愈趨復(fù)雜��,新技術(shù)新方法層出不窮�����,軟件系統(tǒng)的安全屬性要求越來(lái)原告���,由于軟件造成風(fēng)險(xiǎn)占比已經(jīng)高達(dá)系統(tǒng)性風(fēng)險(xiǎn)的60%以上。而關(guān)鍵軟件系統(tǒng)的失效動(dòng)輒造成車(chē)毀人亡的結(jié)果�����,也是用戶(hù)�����、社會(huì)及車(chē)企不可接受的��。
以L3自動(dòng)駕駛域控制器為例�,其軟件系統(tǒng)包含:
5000萬(wàn)行以上代碼量
100+個(gè)功能模塊
2000+個(gè)數(shù)據(jù)接口
50+種實(shí)時(shí)任務(wù)調(diào)度
軟件FMEA作為系統(tǒng)性結(jié)構(gòu)化的分析方法,能夠充分的對(duì)軟件失效進(jìn)行識(shí)別及風(fēng)險(xiǎn)評(píng)估,有助于保障車(chē)載軟件系統(tǒng)的安全與質(zhì)量��。
3、開(kāi)發(fā)過(guò)程的本質(zhì)需求
軟件的失效均屬于系統(tǒng)性失效��,其發(fā)生時(shí)機(jī)���、機(jī)理�����、表現(xiàn)均有一定的固定性���,即軟件失效一旦存在,便在特定的情況下必定會(huì)發(fā)生�����,并表現(xiàn)形式相對(duì)一致��。
軟件為人為的邏輯產(chǎn)品�,軟件的開(kāi)發(fā)過(guò)程是軟件錯(cuò)誤注入的主要環(huán)節(jié),最終體現(xiàn)在構(gòu)成軟件的不同內(nèi)容上����。
Figure 1 軟件問(wèn)題的來(lái)源
根據(jù)行業(yè)內(nèi)的統(tǒng)計(jì)��,我們將軟件失效原因分為四個(gè)大的類(lèi)別�,其中:
Figure 2 軟件問(wèn)題分類(lèi)
人的因素占比7%左右���,主要包括人員的開(kāi)發(fā)能力及經(jīng)驗(yàn)�、組織的成熟程度��、辦公環(huán)境影響���、人員態(tài)度等�;
產(chǎn)品定義問(wèn)題占比12%左右��,主要包括產(chǎn)品定位���、產(chǎn)品需求描述�、市場(chǎng)場(chǎng)景定義�����、使用用例描述等���;
流程問(wèn)題占比23左右��,主要包括活動(dòng)裁剪與定義�、角色及職責(zé)的定義、版本及基線管理�、 資源管理、變更管理等�;
技術(shù)實(shí)現(xiàn)問(wèn)題占比58%左右���,主要包括架構(gòu)設(shè)計(jì)���、詳細(xì)設(shè)計(jì)、代碼實(shí)現(xiàn)����、工具使用、測(cè)試�����、開(kāi)發(fā)方法等�����。
2.軟件FMEA分析什么
1、軟硬件FMEA的差異
相比于傳統(tǒng)的系統(tǒng)與硬件FMEA�,軟件FMEA有諸多差異,起步也較晚����,在行業(yè)內(nèi)也沒(méi)有形成統(tǒng)一的分析方法。
2����、軟件FMEA的分析難點(diǎn)及重點(diǎn)
基于以上對(duì)軟硬件FMEA差異的對(duì)比,不難看出軟件FMEA的分析難點(diǎn)與重點(diǎn)在于以下幾個(gè)方方面:
識(shí)別分析對(duì)象
要從哪些維度對(duì)軟件進(jìn)行分析���,是白盒分析還是黑盒分析���,如何保證軟件動(dòng)態(tài)、靜態(tài)方面的問(wèn)題能夠被充分的識(shí)別到��。
識(shí)別失效模式
如何識(shí)別失效模式���,并保證失效模式識(shí)別的充分性及合理性�����。
分析的顆粒度
分析層級(jí)���、失效模式分析到一個(gè)什么樣的顆粒度�����,即保證分析有效具有指導(dǎo)意義��,又能避免分析過(guò)分復(fù)雜��。
3���、軟件FMEA的分析時(shí)機(jī)
軟件FMEA的分析可以在架構(gòu)及詳細(xì)設(shè)計(jì)級(jí)進(jìn)行����。
軟件架構(gòu)級(jí)別FMEA
主要針對(duì)的是軟件需求級(jí)軟件架構(gòu),一方面分析架構(gòu)是否充分實(shí)現(xiàn)了需求�,另一方面分析需求及架構(gòu)中的潛在問(wèn)題,例如需求描述是否充分���、合理��、是否有歧義等���,架構(gòu)是否存在接口��、邏輯等技術(shù)性錯(cuò)誤����。
軟件詳細(xì)設(shè)計(jì)級(jí)別FMEA
主要針對(duì)的是軟件詳細(xì)設(shè)計(jì)潛在的問(wèn)題�����,一方面關(guān)注軟件單元是否充分實(shí)現(xiàn)了需求及架構(gòu)要求�����,另一方面關(guān)注詳細(xì)設(shè)計(jì)中存在技術(shù)性問(wèn)題���,例如邏輯錯(cuò)誤�、變量定義及賦值錯(cuò)誤��、條件判斷錯(cuò)誤等��。
對(duì)于復(fù)雜性的軟件�,進(jìn)行詳細(xì)級(jí)別的FMEA是一個(gè)比較大的工作量,因此從成本的角度考量�,可以將架構(gòu)級(jí)及詳細(xì)級(jí)別的FMEA結(jié)合進(jìn)行,比如在架構(gòu)級(jí)別分析到的風(fēng)險(xiǎn)比較高的模塊�,需要進(jìn)行詳細(xì)級(jí)別的FMEA�����,而對(duì)于風(fēng)險(xiǎn)較小的軟件模塊僅進(jìn)行架構(gòu)級(jí)別FMEA即可�。
4���、軟件FMEA分析哪些內(nèi)容
軟件FMEA對(duì)軟件模塊的分析主要集中在以下幾點(diǎn):
功能及邏輯
針對(duì)軟件模塊所需實(shí)現(xiàn)的功能���、條件、邏輯等內(nèi)容
變量及數(shù)據(jù)
針對(duì)軟件模塊的接口及數(shù)據(jù)等�����,包括輸入輸出接口�����、內(nèi)部變量�、全局變量�、常量等數(shù)據(jù)信息
時(shí)間屬性
針對(duì)軟件執(zhí)行的調(diào)用及時(shí)間屬性等,包括任務(wù)周期����、前后置時(shí)序��、實(shí)時(shí)性要求等
軟件對(duì)存儲(chǔ)的操作
針對(duì)軟件對(duì)存儲(chǔ)的操作����,包括存儲(chǔ)空間分配���、存儲(chǔ)內(nèi)容讀寫(xiě)���、存儲(chǔ)空間權(quán)限等
軟件部署
針對(duì)軟件部署時(shí),對(duì)其他軟件模塊及硬件的依賴(lài)關(guān)系�����,包括OS��、驅(qū)動(dòng)�����、中間件���、硬件資源等
3.軟件FMEA實(shí)施
1���、軟件FMEA分析方法
軟件FMEA的分析可以參考傳統(tǒng)的FMEA七步法�����,也可以直接基于軟件模塊來(lái)進(jìn)行分析�。
Figure 3 傳統(tǒng)FMEA七步法
Figure 4 基于軟件模塊直接進(jìn)行分析
1. 典型軟件失效模式
1.1. 功能邏輯失效分析
參考Hazop關(guān)鍵字對(duì)功能邏輯的失效模式進(jìn)行分析
2�����、變量及數(shù)據(jù)失效分析
對(duì)于變量及數(shù)據(jù)的分析���,主要考慮到
變量及數(shù)據(jù)的類(lèi)型
變量及數(shù)據(jù)的范圍及初始值
變量及數(shù)據(jù)Raw值與物理值之間的對(duì)應(yīng)關(guān)系
變量及數(shù)據(jù)完整性
變量及數(shù)據(jù)時(shí)效性
變量及數(shù)據(jù)地址錯(cuò)誤等
針對(duì)不同類(lèi)型的變量數(shù)據(jù)�����,具有不同的失效模式�,如下示例:
3�����、時(shí)間屬性失效分析
對(duì)于時(shí)間屬性���,主要考慮到如下幾點(diǎn)
軟件功能的執(zhí)行周期,e.g. 100ms周期或事件觸發(fā)型����;
軟件功能的執(zhí)行時(shí)間��,e.g. 2ms內(nèi)執(zhí)行完成�����;
軟件功能的執(zhí)行時(shí)序���,e.g. 在使能功能完成后,5ms內(nèi)執(zhí)行��;
軟件任務(wù)優(yōu)先級(jí)���, e.g. 安全任務(wù)具有更高的優(yōu)先級(jí)要求����。
一些典型的時(shí)序及執(zhí)行方面的失效模式如下
4�、軟件對(duì)于存儲(chǔ)內(nèi)容操作失效分析
針對(duì)存儲(chǔ)分析主要關(guān)注的是軟件對(duì)存儲(chǔ)內(nèi)容操作過(guò)程中存在失效模式,主要考慮到如下幾個(gè)方面:
存儲(chǔ)空間分配
存儲(chǔ)內(nèi)容寫(xiě)入
存儲(chǔ)內(nèi)容讀取
存儲(chǔ)訪問(wèn)權(quán)限
針對(duì)存儲(chǔ)操作的典型失效模式如下:
5���、部署分析
軟件部署分析主要考慮到如下內(nèi)容:
軟件模塊對(duì)核的依賴(lài)
軟件模塊對(duì)存儲(chǔ)的依賴(lài)
軟件模塊對(duì)底層及OS的依賴(lài)
軟件模塊對(duì)內(nèi)部通訊總線的依賴(lài)
軟件模塊對(duì)外設(shè)資源的依賴(lài)
軟件模塊之間的依賴(lài)關(guān)系
典型部署相關(guān)失效模式如下:
4.總結(jié)
車(chē)載軟件的重要性及復(fù)雜性決定了必須對(duì)關(guān)鍵軟件進(jìn)行系統(tǒng)化的分析����,這是軟件安全性與執(zhí)行的要求。
軟件與硬件的不同決定了軟件FMEA在分析內(nèi)容����、分析重點(diǎn)及失效模式識(shí)別上與硬件FMEA會(huì)有很大的不同。由于篇幅有限�����,本文主要對(duì)這些不同進(jìn)行著重的講解����,集中在分析內(nèi)容、失效模式識(shí)別等方面�。對(duì)于失效原因、失效影響�����、風(fēng)險(xiǎn)評(píng)估�����、優(yōu)化措施等方面����,會(huì)在后續(xù)的文章中逐步展開(kāi)。
京公網(wǎng)安備11010802046783號(hào)