從ISO26262看缺失的系統(tǒng)設(shè)計(jì)

從ISO26262看缺失的系統(tǒng)設(shè)計(jì)（一）功能安全與系統(tǒng)設(shè)計(jì)翻開(kāi)ISO26262Ed.1（2011）與ISO26262Ed.2（2018），當(dāng)中有些許顯著不同的地方。其中一處便是發(fā)生在系統(tǒng)開(kāi)發(fā)階段的要求：第一版在安全合規(guī)交付物的產(chǎn)出中，要求輸出SystemDesignSpecification（系統(tǒng)設(shè)計(jì)規(guī)格）；第二版僅只是客氣的提及SystemArchitectureDesignSpecification（系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)格）。為啥會(huì)有這樣的變化？這種變化又代表何事？首先，汽車(chē)業(yè)在經(jīng)過(guò)多年的系統(tǒng)工程方法論洗禮（如A-SPICE）及功能安全導(dǎo)入經(jīng)驗(yàn)之后，多半已認(rèn)識(shí)到「安全」僅只是系統(tǒng)的一個(gè)屬性，盡管這個(gè)屬性在某些系統(tǒng)開(kāi)發(fā)工作中被視為是最重要的屬性（下圖為筆者在迪拜參與自動(dòng)駕駛研討會(huì)時(shí)，現(xiàn)場(chǎng)參與嘉賓投票的自動(dòng)駕駛落地最重要關(guān)鍵要素為何：明確可見(jiàn)，安全的地位比技術(shù)亮點(diǎn)本身還高許多）。lhW林ufl炒I 軸甲■jufi IEWiJnott除了這個(gè)屬性，依照系統(tǒng)功能的不同，系統(tǒng)還要能照顧到其他許多屬性。諸如，當(dāng)我們談?wù)摰氖莿?dòng)力總成相關(guān)系統(tǒng)時(shí)，「可靠性」與「舒適性」也是必須要照顧到的屬性；當(dāng)目標(biāo)是儀表顯示系統(tǒng)時(shí)，「直觀易理解」則是重要的系統(tǒng)屬性。既然安全始終就只是系統(tǒng)的一個(gè)屬性，我們?cè)趯?shí)施安全標(biāo)準(zhǔn)的時(shí)候，若把完整的系統(tǒng)設(shè)計(jì)及與其相關(guān)的系統(tǒng)設(shè)計(jì)規(guī)格定義成為符合安規(guī)的必要交付物，似乎就顯得小題大做與不知所謂何事。然而，系統(tǒng)的全貌及方方面面確實(shí)會(huì)跟安全特性之間有某種程度的耦合關(guān)系：一個(gè)HMI人機(jī)接口設(shè)計(jì)的不夠人性化，不只是難用而已，可能也會(huì)因?yàn)榘踩珗?bào)警的不清楚而影響到安全性；AEB設(shè)計(jì)的強(qiáng)度階梯變化很舒適，但也可能造成面對(duì)危害事件時(shí)的響應(yīng)不及而降低安全性。為了能充分考慮安全是否已在系統(tǒng)中充分達(dá)成，基于系統(tǒng)設(shè)計(jì)的一些交互資訊反饋給安全團(tuán)隊(duì)開(kāi)發(fā)人員仍然是必要的，為此， ISO26262Ed.2(2018)做了一個(gè)還不錯(cuò)的折衷方案：它把系統(tǒng)級(jí)別的交付物限縮到僅剩SystemArchitectureDesignSpecification- 系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)格依筆者之見(jiàn)，系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)格足夠反應(yīng)出相當(dāng)程度的「安全要素」與「非安全要素」間的依賴(lài)關(guān)系，對(duì)判定系統(tǒng)安全特性的達(dá)成程度有很大幫助。然而，對(duì)于未來(lái)的標(biāo)準(zhǔn)Ed.3;Ed.4......甚至更久遠(yuǎn)的未來(lái)，關(guān)于系統(tǒng)設(shè)計(jì)的交付物是否就會(huì)凍結(jié)在SystemArchitectureDesignSpecification-系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)格？筆者認(rèn)為難說(shuō)，因?yàn)闀r(shí)至今日，我們對(duì)于「何謂系統(tǒng)」的樣貌及理解詮釋方式都還在演進(jìn)中，尤其對(duì)于復(fù)雜的系統(tǒng)更是如此：自動(dòng)駕駛；高度自動(dòng)化機(jī)器人；先進(jìn)武器系統(tǒng)；大型航空載具 ?…等等，這些東西都不比20-30年前的車(chē)身控制系統(tǒng)；電動(dòng)窗控制系統(tǒng)，簡(jiǎn)簡(jiǎn)單單地僅需一份SystemDesignSpecification就能總結(jié)。筆者過(guò)去曾參與過(guò)戰(zhàn)斗機(jī)開(kāi)發(fā)團(tuán)隊(duì)的技術(shù)討論，光談?wù)撓到y(tǒng)的功能層面，就有好幾種不同的規(guī)格：功能需求規(guī)格；功能分解規(guī)格；功能集成規(guī)格……系統(tǒng)是抽象的東西，但這部分抽象的東西談不清楚，直接進(jìn)展到軟硬件的實(shí)體開(kāi)發(fā)，多半會(huì)有以下幾種結(jié)果：對(duì)于復(fù)雜性不高的系統(tǒng)，由軟件或硬件團(tuán)隊(duì)承擔(dān)一些更重的系統(tǒng)責(zé)任，最終還是能把產(chǎn)品開(kāi)發(fā)完成。對(duì)于復(fù)雜性極高的產(chǎn)品，可能產(chǎn)品只能推進(jìn)到樣件階段，離量產(chǎn)還很遙遠(yuǎn)?；蛘撸瑢?duì)于復(fù)雜性極高的產(chǎn)品，最終還是開(kāi)發(fā)到足以量產(chǎn)的程度，但付出的代價(jià)很高：不斷的設(shè)計(jì)變更；改型；重測(cè)；規(guī)模巨大的樣件測(cè)試。開(kāi)發(fā)周期很長(zhǎng)，試誤成本也很高?；蛘撸a(chǎn)品根本就開(kāi)發(fā)不出來(lái)，因?yàn)闊o(wú)法兜出合適的解決方案。（二）實(shí)際項(xiàng)目的薄弱環(huán)節(jié)因?yàn)楣P者多年來(lái)參與功能安全產(chǎn)品開(kāi)發(fā)項(xiàng)目之故，并且涉及到的系統(tǒng)級(jí)產(chǎn)品種類(lèi)多元，覆蓋到了從車(chē)身域，底盤(pán)域，動(dòng)力域，安全域到輔助或自動(dòng)駕駛域的系統(tǒng)開(kāi)發(fā)，對(duì)各公司平臺(tái)環(huán)境或各不同產(chǎn)品的系統(tǒng)設(shè)計(jì)狀況有著比較深刻的觀察與體認(rèn)，在這里分享一些筆者在項(xiàng)目上的總結(jié)。其實(shí)一個(gè)好的功能安全項(xiàng)目，需要開(kāi)發(fā)團(tuán)隊(duì)比較扎實(shí)的系統(tǒng)經(jīng)驗(yàn)與基礎(chǔ)，這包含系統(tǒng)開(kāi)發(fā)流程；與對(duì)產(chǎn)品本質(zhì)上的技術(shù)性理解。然而在筆者從事推動(dòng)功能安全技術(shù)的10年時(shí)間，發(fā)現(xiàn)功能安全起到的作用剛好是反向的：它推動(dòng)各制造商更加重視系統(tǒng)設(shè)計(jì)；正向開(kāi)發(fā)，并且以邏輯演繹加上對(duì)產(chǎn)品的科學(xué)認(rèn)識(shí)與實(shí)際驗(yàn)證結(jié)果來(lái)完成產(chǎn)品的定義與開(kāi)發(fā)。也因此，A-SPICE順道成為了一個(gè)潮流，雖然這個(gè)標(biāo)準(zhǔn)是源于對(duì)軟件質(zhì)量的掌控，但它背后隱藏的是系統(tǒng)開(kāi)發(fā)流程的思維。汽車(chē)業(yè)的諸多制造商在多年的功能安全， A-SPICE與AUTOSAR洗禮下，對(duì)系統(tǒng)流程的觀念其實(shí)已經(jīng)相對(duì)清楚，但對(duì)真正落實(shí)系統(tǒng)設(shè)計(jì)仍然有不少的技術(shù)障礙。舉例來(lái)說(shuō)，筆者發(fā)現(xiàn)在經(jīng)手的諸多開(kāi)發(fā)項(xiàng)目中，客戶(hù)團(tuán)隊(duì)都會(huì)知道要設(shè)計(jì)階層化的需求架構(gòu)，層層從整車(chē)需求分解到相對(duì)應(yīng)的軟硬件需求。這種流程性認(rèn)識(shí)大家是有的，但對(duì)應(yīng)的工程體悟卻沒(méi)那么深刻：這造成需求定義上的阻礙感與推進(jìn)不順暢。功能安全因?yàn)橐呀?jīng)變成業(yè)界關(guān)注的熱點(diǎn)主題，所以在系統(tǒng)開(kāi)發(fā)項(xiàng)目上，安全需求的制定可以找到不少參照或資源，一些比較成熟的系統(tǒng)：如BMS；EPS；MCU……安全目標(biāo)或安全需求都相對(duì)比較一致。在這樣的背景下，制造商也不必太傷腦筋去導(dǎo)出需求。但真正要完成一個(gè)產(chǎn)品開(kāi)發(fā)，系統(tǒng)設(shè)計(jì)過(guò)程中需要照顧的需求種類(lèi)，遠(yuǎn)不止安全需求，在第一章中說(shuō)到的其他產(chǎn)品屬性，也需要有相對(duì)應(yīng)的需求去規(guī)范約束或者定義設(shè)計(jì)。舉個(gè)簡(jiǎn)單的例子，當(dāng)某整車(chē)廠總工提出一條非常高階的需求如開(kāi)發(fā)一臺(tái)好開(kāi)的車(chē)。這樣的需求就好似安全領(lǐng)域的安全目標(biāo)，是一切設(shè)計(jì)的起點(diǎn)，但功能安全方法論會(huì)要求我們基于安全目標(biāo)去導(dǎo)出后續(xù)一切層級(jí)的safetyconcept，覆蓋軟硬件的策略。但在安全以外的產(chǎn)品屬性，一樣可以有類(lèi)似的系統(tǒng)設(shè)計(jì)方式去展開(kāi)它的設(shè)計(jì)。當(dāng)我們做整車(chē)規(guī)劃，承接的需求是「開(kāi)發(fā)一臺(tái)好開(kāi)的車(chē)」時(shí)，系統(tǒng)設(shè)計(jì)的任務(wù)就是把這樣的抽象目標(biāo)落實(shí)成為一個(gè)系統(tǒng)方案，里面包含必要的機(jī)械；裝置；軟硬件特性……等等，這樣才算是完成了恰當(dāng)?shù)南到y(tǒng)設(shè)計(jì)。但這種強(qiáng)正向設(shè)計(jì)，對(duì)國(guó)內(nèi)很多客戶(hù)都是非常困難的過(guò)程。因?yàn)檫@樣的設(shè)計(jì)過(guò)程，沒(méi)有標(biāo)準(zhǔn)答案，是一整路的自我辯證自我推翻與自我迭代，然后收斂到一個(gè)大家都滿(mǎn)意的設(shè)計(jì)點(diǎn)上。這里面有幾點(diǎn)迷思供大家參考：越熱愛(ài)或依賴(lài)參考設(shè)計(jì)的人/組織，越難展開(kāi)正向系統(tǒng)設(shè)計(jì)2.越怕在設(shè)計(jì)上犯錯(cuò)的人/組織，也越難發(fā)動(dòng)正向系統(tǒng)設(shè)計(jì)（三）系統(tǒng)設(shè)計(jì)的難點(diǎn)與必要性正向系統(tǒng)設(shè)計(jì)的一個(gè)自我辯證過(guò)程，大概會(huì)是用類(lèi)似如下的方式展開(kāi)。如果要開(kāi)發(fā)一臺(tái)好開(kāi)的車(chē)，我們大概得對(duì)以下問(wèn)題提出觀點(diǎn)，想法與解決方案：這車(chē)是對(duì)誰(shuí)而言好開(kāi)？男人；女人；老人？怎樣的車(chē)會(huì)被認(rèn)知為好開(kāi)的車(chē)？越省力的車(chē)？越不需要操控技巧越直觀的車(chē)？這車(chē)需要考慮自動(dòng)駕駛輔助帶來(lái)的效應(yīng)跟影響嗎？如何對(duì)好開(kāi)定KPI?轉(zhuǎn)向，制動(dòng)，加速與HMI又各自占比怎樣的比重?經(jīng)過(guò)一連串的邊界定義；功能定義與性能定義，可能在規(guī)格上我們會(huì)收斂出一些結(jié)論與方向，如；轉(zhuǎn)向必須要軟，不能硬；轉(zhuǎn)向程度要與車(chē)速聯(lián)動(dòng)；剎車(chē)行程不能太長(zhǎng) etc也是透過(guò)這樣逐步細(xì)化的過(guò)程，我們會(huì)推導(dǎo)出各個(gè)階層的系統(tǒng)需求甚至是最終的系統(tǒng)級(jí)解決方案。但也由此可見(jiàn)，系統(tǒng)設(shè)計(jì)的復(fù)雜性肯定很高，做不好很容易顧此失彼：如剎車(chē)行程不能太長(zhǎng)來(lái)達(dá)到更高的駕駛可控性，但也有可能容易觸發(fā)過(guò)重的剎車(chē)沖突了SOTIF的安全問(wèn)題。這就需要我們?cè)谙到y(tǒng)設(shè)計(jì)過(guò)程中不斷以各種視角自我辯證推翻與迭代，最終讓設(shè)計(jì)能收斂到一個(gè)特定的點(diǎn)上。在這樣的辯證過(guò)程中，各個(gè)崗位的專(zhuān)家意見(jiàn)就變得相對(duì)重要，如果專(zhuān)家水平不夠以至于給出的意見(jiàn)是誤導(dǎo)或扭曲的，可能會(huì)造成系統(tǒng)設(shè)計(jì)的方向偏離：原本應(yīng)該是好開(kāi)的車(chē)變成了硬核（hardcore）的車(chē)，銷(xiāo)量于是減少一半，并且公司還難以定位與追蹤銷(xiāo)量不及預(yù)期的原因。另外要做好系統(tǒng)設(shè)計(jì)的另外一個(gè)關(guān)鍵點(diǎn)，就在于有效視角的建立，并針對(duì)這些視角提出如「安全生命周期」一般的可操作模式。畢竟，一個(gè)好的系統(tǒng)應(yīng)該是平衡的，能經(jīng)得起各個(gè)視角的檢驗(yàn)，并已充分考慮了各個(gè)視角的沖突及解決方案。說(shuō)個(gè)極端一點(diǎn)的：「成本」肯定也是檢驗(yàn)系統(tǒng)設(shè)計(jì)的一個(gè)視角，但若把成本這個(gè)視角抬升成眾多視角中最高的優(yōu)先級(jí)，我們恐怕只能坐出一臺(tái)賣(mài)得動(dòng)但賣(mài)不久的車(chē)。或許 30年前的國(guó)內(nèi)汽車(chē)市場(chǎng)最重視這個(gè)視角，但今日恐怕行不通。如何設(shè)定這些視角，并平衡這些視角，也是公司整體競(jìng)爭(zhēng)力的展現(xiàn)。這里也可以做個(gè)總結(jié)：系統(tǒng)設(shè)計(jì)就像是在下一局棋，有好的系統(tǒng)設(shè)計(jì)手法與能力，才有棋盤(pán)與套路可言。會(huì)的套路越多，手法越靈活，產(chǎn)品相對(duì)于市場(chǎng)也更有競(jìng)爭(zhēng)力。甚至，對(duì)應(yīng)到未來(lái)軟件定義汽車(chē)的快速迭代世界時(shí)，系統(tǒng)設(shè)計(jì)的功力與優(yōu)化程度更是直接決定這間車(chē)企的命運(yùn)與發(fā)展。（四）在V模型以外的世界根據(jù)我們的傳統(tǒng)認(rèn)知，掌握了V模型，就掌握了系統(tǒng)設(shè)計(jì)的主要精神。多年前，曾經(jīng)有客戶(hù)詢(xún)問(wèn)筆者叫筆者簡(jiǎn)單總結(jié)下V模型的思路到底是啥？記得當(dāng)時(shí)筆者回復(fù)的是：設(shè)計(jì)要自上而下，驗(yàn)證要自下至上。這樣的思路很直觀，也相當(dāng)有益于復(fù)雜性管理。但就目前筆者的觀察，大部分客戶(hù)能夠妥善地實(shí)現(xiàn)自下至上的驗(yàn)證，卻無(wú)法有效實(shí)現(xiàn)自上而下的設(shè)計(jì)，原因，我們?cè)谇皫渍乱惨呀?jīng)解釋過(guò)。

另外，對(duì)于系統(tǒng)設(shè)計(jì)的手法，不是僅有V模型一種，還有一些其他的可能性在筆者近期的項(xiàng)目中，發(fā)現(xiàn)越是到復(fù)雜系統(tǒng)的領(lǐng)域（如自動(dòng)駕駛），系統(tǒng)設(shè)計(jì)就越發(fā)重要；但也更加難以百分之一百的自上至下完成開(kāi)發(fā)。Requ^ements ValidationTestDesign ?-IntegrationTestIrnpipmentation*?UnitTest系統(tǒng)設(shè)計(jì)在復(fù)雜系統(tǒng)中之所以重要的原因，主要在于復(fù)雜系統(tǒng)需要能夠清楚描述情境；用例；系統(tǒng)運(yùn)行環(huán)境；支撐系統(tǒng)在環(huán)境下運(yùn)作的必要功能；性能……這些都要能夠談清楚，不然堆疊出來(lái)的軟硬件僅是無(wú)意義的浪費(fèi)。舉例來(lái)說(shuō)，人也是個(gè)系統(tǒng)，我們的硬件就是身體的各式器官；我們的軟件就是我們的思維能力經(jīng)驗(yàn)知識(shí)等等讓我們能發(fā)揮功能的必要智能。我們?nèi)祟?lèi)這樣的一個(gè)系統(tǒng)，也必須應(yīng)付處理許多復(fù)雜的情境與用例，但與一般復(fù)雜系統(tǒng)的差別在于，我們?nèi)祟?lèi)是一個(gè)自適應(yīng)系統(tǒng)：我們的軟件與硬件都可