在嵌入式系統(tǒng)的世界中，不斷發(fā)展和發(fā)展的不僅僅是技術(shù)。用于開(kāi)發(fā)該技術(shù)的工具和方法正在不斷成熟和改進(jìn)。

在 1980 年代初期，我為一家小型計(jì)量公司開(kāi)發(fā)了軟件，將工程數(shù)學(xué)應(yīng)用于坐標(biāo)測(cè)量機(jī) (CMM)。我想認(rèn)為我很擅長(zhǎng)。但我們的開(kāi)發(fā)生命周期本質(zhì)上將生產(chǎn)軟件視為沙盒。我們將從生產(chǎn)代碼開(kāi)始，添加功能，執(zhí)行一些相當(dāng)基本的功能測(cè)試，然后發(fā)布。

在這樣一個(gè)小公司，我們的工程團(tuán)隊(duì)自然包括軟件和硬件專家。事后看來(lái)，令人驚訝的是，雖然我們開(kāi)發(fā)的軟件需要廣泛的客戶支持，但它所運(yùn)行的硬件卻遠(yuǎn)沒(méi)有相同的消防文化。

軟件開(kāi)發(fā)是一門工程學(xué)科

軟件和硬件支持之間的部分差異是原始開(kāi)發(fā)過(guò)程的結(jié)果。但是軟件的絕對(duì)可塑性以及由此產(chǎn)生的不斷增加的功能的能力也起著重要作用。簡(jiǎn)而言之，出錯(cuò)的方法比正確的方法要多得多，而且這種特性要求它被視為一門工程學(xué)科。

這一切都沒(méi)有什么新鮮事。多年來(lái)，領(lǐng)先的航空、汽車和工業(yè)功能安全標(biāo)準(zhǔn)（例如 DO-178、ISO 26262 和 IEC 61508）一直要求采用這種方法。但是，如果您要從當(dāng)今旨在服務(wù)于這種方法的尖端開(kāi)發(fā)和測(cè)試工具中獲益，那么擁有工程學(xué)科的思維方式是必不可少的。

最近，ISO/IEC/IEEE 29119 的發(fā)展表明了軟件測(cè)試的重要性，這是一套可在任何軟件開(kāi)發(fā)生命周期或組織中使用的軟件測(cè)試國(guó)際標(biāo)準(zhǔn)。

需求很重要

電氣系統(tǒng)設(shè)計(jì)通常從狀態(tài)機(jī)開(kāi)始，并了解特定產(chǎn)品的不同操作模式。工程師通常可以非常快速、輕松地將狀態(tài)機(jī)功能映射到邏輯。如果狀態(tài)機(jī)變得更復(fù)雜，它通常被翻譯成軟件。

高級(jí)別的要求對(duì)于確保系統(tǒng)正常運(yùn)行至關(guān)重要。這樣的需求描述了業(yè)務(wù)邏輯和預(yù)期的功能，并能夠評(píng)估系統(tǒng)是否完成了它應(yīng)該做的事情。最佳實(shí)踐遵循從高級(jí)需求到分析到覆蓋率的流程，自然，需求可追溯性工具旨在支持這一點(diǎn)。

在狀態(tài)機(jī)模型中，表征每個(gè)狀態(tài)的需求是高級(jí)需求的示例。通過(guò)代碼跟蹤執(zhí)行路徑以確保正確解釋每個(gè)需求是檢查正確實(shí)現(xiàn)的一種非常好的方法。

功能安全標(biāo)準(zhǔn)將此擴(kuò)展到需求可追溯性的概念。他們經(jīng)常要求用戶從高級(jí)需求中執(zhí)行所有代碼，并通過(guò)低級(jí)測(cè)試解釋和測(cè)試任何未發(fā)現(xiàn)的案例。最近，網(wǎng)絡(luò)安全中的“左移”范式呼應(yīng)了這一信息，如圖 1 中的 V 模型所示。

圖 1. 顧名思義，V-model 體現(xiàn)了一個(gè)產(chǎn)品開(kāi)發(fā)過(guò)程，該過(guò)程顯示了每個(gè)開(kāi)發(fā)階段的測(cè)試規(guī)范之間的聯(lián)系。資料來(lái)源：LDRA

測(cè)試組件，然后測(cè)試系統(tǒng)

在任何工程學(xué)科中，重要的是要確保組件在集成到系統(tǒng)之前自行正常工作。要將這種思想應(yīng)用于軟件，工程師需要定義較低級(jí)別的需求，并確保每個(gè)功能和功能集發(fā)揮作用。工程師還需要確保他們?yōu)橄到y(tǒng)的其余部分提供適當(dāng)?shù)?a target="_blank">接口。

單元測(cè)試涉及在功能和模塊級(jí)別對(duì)輸入和輸出進(jìn)行參數(shù)化，執(zhí)行審查以確保輸入和輸出之間的連接正確并遵循覆蓋范圍內(nèi)的邏輯。單元測(cè)試工具可以提供經(jīng)過(guò)驗(yàn)證的測(cè)試工具和圖形表示，將各個(gè)輸入和輸出連接到執(zhí)行路徑，并使其正確性得到驗(yàn)證。

在功能和模塊級(jí)別上理解接口也很重要。靜態(tài)分析工具可以展示這些接口，連接不同層次的邏輯。

盡早發(fā)現(xiàn)問(wèn)題

任何學(xué)科的工程師都會(huì)告訴你，越早發(fā)現(xiàn)問(wèn)題，解決問(wèn)題的成本就越低。

靜態(tài)分析執(zhí)行源代碼分析以模擬系統(tǒng)的執(zhí)行而不實(shí)際運(yùn)行它。編寫代碼后立即可用，靜態(tài)分析可以幫助開(kāi)發(fā)人員最大限度地提高代碼的清晰度、可維護(hù)性和可測(cè)試性。靜態(tài)分析工具的主要特點(diǎn)包括：

代碼復(fù)雜性分析：了解您的代碼在哪里不必要地復(fù)雜，因此工程師可以執(zhí)行適當(dāng)?shù)木徑饣顒?dòng)。

程序流程分析：繪制程序執(zhí)行的設(shè)計(jì)審查流程圖，以確保程序按預(yù)期流程執(zhí)行。

預(yù)測(cè)性運(yùn)行時(shí)錯(cuò)誤檢測(cè)：通過(guò)盡可能多的可執(zhí)行路徑對(duì)代碼執(zhí)行進(jìn)行建模，并尋找潛在的錯(cuò)誤，例如數(shù)組邊界溢出和被零除。

遵守編碼標(biāo)準(zhǔn)：通常選擇編碼標(biāo)準(zhǔn)以確保關(guān)注網(wǎng)絡(luò)安全、功能安全，或者在 MISRA 標(biāo)準(zhǔn)的情況下，選擇其中之一或兩者兼而有之。編碼標(biāo)準(zhǔn)有助于確保代碼符合最佳編程實(shí)踐，無(wú)論應(yīng)用程序如何，這無(wú)疑都是一個(gè)好主意。

圖 2. 像靜態(tài)分析這樣的活動(dòng)在開(kāi)發(fā)生命周期的早期是一種開(kāi)銷，但從長(zhǎng)遠(yuǎn)來(lái)看它們會(huì)帶來(lái)好處。資料來(lái)源：LDRA

開(kāi)發(fā)足夠質(zhì)量的代碼

質(zhì)量更高的工程產(chǎn)品價(jià)格更高也就不足為奇了。堅(jiān)持任何開(kāi)發(fā)過(guò)程都是有代價(jià)的，開(kāi)發(fā)最好的產(chǎn)品可能并不總是在商業(yè)上可行。

在安全很重要的情況下，功能安全標(biāo)準(zhǔn)通常需要對(duì)成本和故障概率進(jìn)行分析。每個(gè)系統(tǒng)、子系統(tǒng)和組件都需要進(jìn)行這種風(fēng)險(xiǎn)評(píng)估，以確保執(zhí)行相應(yīng)的緩解活動(dòng)。無(wú)論系統(tǒng)是安全關(guān)鍵還是安全關(guān)鍵，同樣的原則都是有意義的。如果您以相同的嚴(yán)格程度測(cè)試系統(tǒng)的每個(gè)部分，您將過(guò)度投資于風(fēng)險(xiǎn)較低的系統(tǒng)部分，而無(wú)法充分緩解風(fēng)險(xiǎn)較高的故障。

軟件安全實(shí)踐首先要了解如果組件或系統(tǒng)發(fā)生故障會(huì)發(fā)生什么，然后將潛在故障跟蹤到適當(dāng)?shù)幕顒?dòng)中以降低這樣做的風(fēng)險(xiǎn)。例如，考慮一個(gè)控制飛機(jī)引導(dǎo)的系統(tǒng)，該系統(tǒng)的故障可能是災(zāi)難性的。必須在子條件覆蓋級(jí)別執(zhí)行嚴(yán)格的緩解活動(dòng)，以確保正確的代碼生成。

與機(jī)上娛樂(lè)系統(tǒng)形成鮮明對(duì)比。如果該系統(tǒng)出現(xiàn)故障，飛機(jī)不會(huì)墜毀，因此測(cè)試機(jī)上娛樂(lè)系統(tǒng)的要求低于可能立即造成人員傷亡的系統(tǒng)。

軟件的延展性既是福也是禍。它使系統(tǒng)在合理范圍內(nèi)幾乎可以做任何事情變得非常容易。但是，在確保軟件不會(huì)失敗時(shí)，同樣的靈活性也可能成為致命弱點(diǎn)。

即使在商業(yè)世界中，雖然并非所有軟件故障都是災(zāi)難性的，但它們絕不是可取的。許多開(kāi)發(fā)人員在對(duì)安全和安保至關(guān)重要的行業(yè)工作，別無(wú)選擇，只能遵守最嚴(yán)格的標(biāo)準(zhǔn)。但是這些標(biāo)準(zhǔn)所提倡的原則是存在的，因?yàn)樗鼈円驯蛔C明可以使最終的產(chǎn)品功能更好。因此，無(wú)論應(yīng)用程序有多重要，以適當(dāng)?shù)姆绞讲捎眠@些原則都是完全有意義的。

盡管適用于軟件開(kāi)發(fā)的功能安全和安全標(biāo)準(zhǔn)令人困惑，但它們之間的相似之處遠(yuǎn)多于差異。所有這些都基于這樣一個(gè)事實(shí)，即軟件開(kāi)發(fā)是一門工程學(xué)科，要求我們建立需求、設(shè)計(jì)和開(kāi)發(fā)以實(shí)現(xiàn)它們，并針對(duì)需求進(jìn)行早期測(cè)試。

采用這種思維方式將為整個(gè)行業(yè)的支持工具打開(kāi)大門，從而更有效地開(kāi)發(fā)更高質(zhì)量的軟件。

LDRA Software Technology的技術(shù)專家 Mark Pitchford與開(kāi)發(fā)團(tuán)隊(duì)合作，希望在安全和安保關(guān)鍵環(huán)境中實(shí)現(xiàn)合規(guī)的軟件開(kāi)發(fā)。

審核編輯 黃昊宇