席文茜

（卡斯柯信號有限公司，上海 200071）

鐵路信號系統(tǒng)安全軟件的V&V管理策略

席文茜

（卡斯柯信號有限公司，上海 200071）

結(jié)合相應的鐵路安全標準要求和實際項目應用經(jīng)驗，由淺入深地對鐵路信號系統(tǒng)V&V （Verification （驗證） & Validation （確認）管理過程的思想和策略進行介紹，為鐵路安全軟件開發(fā)過程提供了貫穿軟件全生命周期的指導思路和推薦模式，從而提高軟件開發(fā)效率和有效性。

EN50128；V&V；系統(tǒng)性失效；SIL4；測試

1 概要

鐵路信號系統(tǒng)是借助于電子工業(yè)自動化的手段實現(xiàn)對鐵路行車與調(diào)車作業(yè)進行安全有序地管理，是鐵路運輸?shù)幕A(chǔ)設(shè)備。很多信號子系統(tǒng)需要達到SIL4級的安全級別。雖然如此，鐵路信號系統(tǒng)也可能出現(xiàn)故障。出現(xiàn)的故障分為兩種模式，即隨機性失效和系統(tǒng)性失效。

隨機性（硬件）失效是由于硬件老化或物理材料或體制降級造成的。這種失效是隨機出現(xiàn)的，可以通過概率統(tǒng)計分析得出其分布。

系統(tǒng)性失效是由需求、設(shè)計錯誤或管理、維護問題引起，或者可以說，是人為因素造成的。因此其根源是明確的，只要激發(fā)其起因，必有相應的結(jié)果或后果。換句話說，只要能夠改變其因，其失效是可以根除的。軟件失效就是個典型的例子，是指軟件在運行過程中產(chǎn)生的一種不希望或不可被接受的輸出行為?？砂衍浖醋魇且粋€決定性函數(shù)，同樣的輸入條件，必定有一樣的輸出。一般情況下，為了防止軟件失效，會采取一些技術(shù)和方法，如圖1所示。

研究和實踐表明，在鐵路信號系統(tǒng)的安全軟件開發(fā)過程中，可以通過一些方法排除或減少系統(tǒng)性失效的情況發(fā)生，V&V過程即為推薦的排錯流程方法。

圖1　防止軟件失效的4種方法

2 V&V的意義

如上所述，為了確保開發(fā)過程可控，減少人為失誤，通過合理的V&V策略，為產(chǎn)品開發(fā)過程提供一套貫穿軟件全生命周期的保障流程：包括定義整個項目中文檔追蹤關(guān)系，闡明EN50128及其他標準要求的方法和技術(shù)，以及規(guī)劃所有必須的驗證和測試活動等。通過設(shè)計和實施這些V&V活動，可以確保在系統(tǒng)軟件開發(fā)過程中各級文檔與其上、下級文檔的一致性，能夠盡早發(fā)現(xiàn)需求和設(shè)計中的問題，使項目進度、質(zhì)量可控；通過V&V活動，可以保證測試設(shè)計對測試需求覆蓋的完整性，確保正確執(zhí)行測試活動，最終保證實現(xiàn)的產(chǎn)品與需求和設(shè)計的一致性。同時，通過檢視整個開發(fā)過程，最終提供產(chǎn)品用于滿足用戶原始需求的相應證據(jù)。

所以V&V策略是手段，是幫助軟件開發(fā)在整個生命周期過程中將需求、設(shè)計、代碼、測試活動串聯(lián)起來?？梢哉f，沒有V&V，項目開發(fā)過程難以得到有效控制；沒有V&V，產(chǎn)品開發(fā)質(zhì)量難以得到有效保障。

3 V&V的定義和要求

V&V，即Verification （驗證） & Validation（確認）。

Verification，是通過對證據(jù)的檢查和分析，來判斷各開發(fā)階段的輸出滿足對輸入需求的完整性、正確性和一致性要求。具體可通過諸如文檔驗證、評審、審核、代碼走讀、代碼驗證來實現(xiàn)。

Validation，是通過對證據(jù)的檢查和分析，來判斷輸出的產(chǎn)品，如文檔或軟件滿足指定需求，特別是安全、質(zhì)量和操作性等方面內(nèi)容。具體可通過包括執(zhí)行測試或?qū)徍说确绞竭M行確認。

3.1V&V活動內(nèi)容的定義

軟件開發(fā)的瀑布模型將軟件生命周期劃分為計劃、需求、設(shè)計、構(gòu)建、編碼、測試等6個階段，同時模型也規(guī)定了它們自上而下、相互銜接的固定次序。按照生命周期模型的特點設(shè)計對應的V&V活動，如圖2所示。

圖2　軟件生命周期中的V&V活動

項目開始階段，需根據(jù)項目特點和系統(tǒng)、軟件的安全等級，規(guī)劃V&V策略，制定V&V計劃。在軟件開發(fā)的各階段根據(jù)V&V計劃開展V&V活動，其中包括：

1）開發(fā)文檔的評審和驗證，需要說明在評審和驗證過程中的發(fā)現(xiàn)細節(jié)，給出結(jié)論；

2）測試文檔的評審和驗證，需要說明在評審和驗證過程中的發(fā)現(xiàn)細節(jié)，給出結(jié)論；

3）測試執(zhí)行，發(fā)現(xiàn)問題提交缺陷跟蹤管理；

4）回歸測試影響分析，確定回歸范圍；

5）測試驗證及內(nèi)部審計，確保測試結(jié)果真實可靠；

6）整理V&V報告，匯總所有開發(fā)過程的證據(jù)以滿足EN50128及其他標準條款的要求。

需要注意的是，并不是所有的系統(tǒng)需求都可以通過設(shè)計測試用例、執(zhí)行測試來進行驗證。諸如對系統(tǒng)應用環(huán)境的要求、系統(tǒng)軟件遵循的標準、以及一些告警標簽等目視需求，這些需求可通過分配給其他確認活動，如證明（Demonstration）、分析（Analysis）、電磁兼容試驗（EMC）來驗證關(guān)閉。

當所有的開發(fā)文檔更新后，驗證人員還需檢查修改情況，所有的驗證結(jié)果需交付給確認人員審核。對于每一個新的變化和問題都必須再次進行驗證。

3.2需求追蹤及意義

更進一步，需求跟蹤可以改善產(chǎn)品質(zhì)量，降低維護成本，而且很容易實現(xiàn)重用。需求追蹤的目的是建立并維護開發(fā)過程中一系列成果之間的一致性，確保最終的工作成果符合用戶需求，如圖3所示。包括：

圖3　需求追蹤定義

保證需求的完備、設(shè)計對需求的覆蓋；

盡早發(fā)現(xiàn)需求和設(shè)計中的問題，使項目進度可控；

保證測試對需求和設(shè)計覆蓋的完整性；

保證實現(xiàn)的產(chǎn)品與需求和設(shè)計一致。

執(zhí)行驗證，分別在導出的完整性Completeness和追蹤性Traceability表格中進行，通過逐條驗證父需求是否被完整正確覆蓋、子需求是否被正確追蹤。具體驗證時可參照下列原則：

檢查導出的內(nèi)容是否正確（包括父子需求標簽、內(nèi)容、屬性）；

逐條檢查父需求的分配（allocation），確認分配是否正確；

逐條檢查父子需求的一致性，確認子需求完整覆蓋了父需求；

逐條檢查父子需求的安全屬性，確認所有非SIL0的需求被不少于一條的非SIL0子需求繼承，確認所有非安全的用例沒有追蹤安全需求；

逐條檢查父子需求的可追蹤性，確認父需求是子需求的源。

3.3驗證的內(nèi)容和要求

驗證工作非常復雜，需要對照比較開發(fā)文檔與EN50128及其他安全標準的要求，檢查是否所有要求的內(nèi)容都已在開發(fā)設(shè)計中體現(xiàn)，如對某種開發(fā)技術(shù)的應用要求、對特定應用的指導說明等。在驗證過程中，應根據(jù)V&V計劃定義的跟蹤覆蓋關(guān)系完整識別出輸入文件，防止文檔驗證時遺漏某個上級文檔，尤其是接口描述文檔。由于驗證活動不是簡單地檢查鏈接關(guān)系，它需要落實到具體內(nèi)容和邏輯的正確性，所以要求驗證人員應該對需求和設(shè)計非常熟悉，以免驗證活動形式化。審核驗證報告時，是否所有的檢查項都具備驗證結(jié)果，對于上下層對應需求發(fā)生的較大變化，不適用于驗證條款的檢查項是否都給出了合理的解釋，附件和正文里的版本信息是否正確，驗證表格和正文里的統(tǒng)計數(shù)據(jù)是否一致等內(nèi)容都需要關(guān)注。同時，還需檢查測試報告中的需求覆蓋狀態(tài)表格是否正確。對于測試過程中使用的測試平臺、測試工具、測試數(shù)據(jù)，也需要進行版本管理。

3.4測試的基本原則

為了設(shè)計出完整有效的測試用例以保障安全軟件測試質(zhì)量， 需考慮使用一些基本的用例設(shè)計技術(shù)。常用的白盒測試用例設(shè)計方法，如分支覆蓋、語句覆蓋、條件覆蓋、判定覆蓋等。常用的黑盒測試用例設(shè)計方法，如等價類劃分、邊界值測試、因果圖、判定表、錯誤猜測等。往往在進行用例設(shè)計時，也需要考慮綜合運用以上技術(shù)。

為了設(shè)計出有效的測試用例，還必須滿足以下原則：

不應基于測試將不發(fā)現(xiàn)問題的假設(shè)來設(shè)計測試計劃；

檢查軟件是否執(zhí)行了指定的行為只是測試的一部分，還應檢查軟件是否執(zhí)行了未指定的行為；

應為非法的、非預期的條件以及正常的、預期的條件設(shè)計測試用例；

測試用例中必須包含期望輸出；

在代碼段中發(fā)現(xiàn)更多錯誤的概率與已經(jīng)發(fā)現(xiàn)很多錯誤的代碼段成正比，按此推論應有目的地進行測試。

實際上，測試是一種高度創(chuàng)造性與挑戰(zhàn)智慧的任務，對于每一個測試用例，都必須徹底檢查每一個測試結(jié)果。對測試日志、測試配置、過程數(shù)據(jù)和測試結(jié)果進行必要的、清晰的、準確的記錄，確保測試記錄的完整性。另外，還要提高測試用例的復用性，避免丟棄測試用例，除非被測程序本身就是臨時的。

測試執(zhí)行完成后需進行測試驗證活動。測試驗證主要是抽查測試執(zhí)行與測試計劃和測試報告的一致性、抽查測試用例對輸入文檔的覆蓋完整性、抽查缺陷庫中缺陷信息的正確和完整性、檢查測試報告內(nèi)容的完備性及是否滿足出口準則。一般在測試活動結(jié)束后或中間版本測試結(jié)束后，驗證測試活動按照測試計劃和用例執(zhí)行。

3.5V&V活動獨立性要求

在最新的EN50128-2011中，對軟件開發(fā)組織的獨立性要求如圖4所示。

圖4　獨立性要求

所以，在安全軟件的開發(fā)項目中，應設(shè)置獨立的V&V團隊，方能達到并符合標準的要求。

4 結(jié)束語

可以看出，通過這樣的V&V管理流程，可以對鐵路信號系統(tǒng)軟件開發(fā)過程中的測試和驗證活動進行有效控制，對所有測試需求提供確認證明，收集EN50128及其他安全標準的方法和技術(shù)使用的證據(jù)，對開發(fā)和測試過程中使用到的工具質(zhì)量進行評價，對軟件中遺留的開口問題進行歸納整理并形成輸出限制，并對整個V&V過程給出最終的結(jié)論。

目前，卡斯柯公司大部分鐵路信號系統(tǒng)的開發(fā)過程都采用了完整的V&V管理過程。V&V管理過程是貫徹在整個安全軟件開發(fā)生命周期的，是軟件開發(fā)項目管理中的重要環(huán)節(jié)，是確保軟件開發(fā)正確實施的有力保障，為產(chǎn)品能順利通過第三方安全認證提供了可靠的支持。隨著鐵路信號系統(tǒng)國產(chǎn)化進程的不斷突破以及鐵路信號系統(tǒng)安全軟件的不斷研發(fā)，進一步完善和優(yōu)化既有的鐵路信號系統(tǒng)V&V管理過程勢在必行。同時，也會進一步結(jié)合工程項目實踐，摸索出一套更加有效的鐵路信號系統(tǒng)安全軟件V&V管理過程和策略。

［1］Steven R.Rakitin.軟件驗證與確認的最佳管理方法［M］.包曉露，焦躍，譯.北京：電子工業(yè)出版社，2002.

［2］EN 50126可靠性、可用性、可維護性及安全性的規(guī)格及示范：鐵路應用［S］.1999.

［3］EN 50128通信、信號和處理系統(tǒng)——鐵路控制及防護系統(tǒng)軟件：鐵路應用［S］.2011.

［4］EN 50129通信、信號和處理系統(tǒng)——安全相關(guān)的信號電子系統(tǒng)：鐵路應用［S］.2003.

Based on the relevant railway safety specifi cations and actual engineering experience， the paper introduces the ideas and strategies of V&V （Verifi cation & Validation） management procedures and provide guidance and proposed models for railway safety software development in the full-life period， in order to improve the software developing effi ciency and validity.

EN50128 standard； V&V； systematic failure； SIL4； testing

10.3969/j.issn.1673-4440.2016.04.005

2016-04-13）