汽车软件开发的质量和安全管理流程

软件开发流程是智能车辆（联网车辆和自动驾驶车辆）的核心，必须精心管理。自动化与联网功能的开发分别通过功能安全和网络安全开发流程实现，且需遵循相关标准，这些标准规定了流程、最佳实践、危害、威胁及管理策略。通过改进软件开发流程，智能车辆的人体工程学性能将得到提升。本文阐述了如何通过软件开发来管理实现自动化与联网功能的流程，以及是否可能改变管理团队的策略与软件开发流程。

智能车辆是一种能够从周围环境中获取信息，并对信息进行处理，从而实现自主安全行驶且不造成任何伤害的车辆。此外，智能车辆还能与其他智能车辆或设备进行安全通信。

汽车制造商市场对完全自动驾驶、联网、电动车辆以及汽车共享服务有着强烈的需求。欧盟委员会也支持多项大型计划，例如 “GEAR 2030”、“零愿景”（Vision Zero）以及 “2021 - 2027 年地平线欧洲计划”（Horizon Europe 2021 - 2027）。美国同样有此需求，美国政府为电动汽车和自动驾驶车辆提供激励措施。此外，中国及世界其他主要经济体也在紧跟这一趋势。对车辆内部越来越多创新技术的追求伴随着巨大挑战：软件开发规模的扩大带来了更多与安全相关的风险。

所有汽车制造商都已明确意识到，汽车行业的新趋势是 “软件定义汽车”（Software - Defined Vehicles）。这意味着车辆中软件（以及电子硬件）的数量和价值已超过机械部件。此外，汽车正从机电一体化机器向智能机器转变。未来，汽车制造商将重点致力于将云计算技术应用于车辆。这一举措强化了采用更现代化技术的理念，而这些现代化技术所需遵循的标准应比现有标准更为严格。

电子电气（E/E）部件是决定自动化联网车辆整体智能水平的关键。在汽车行业，大多数电子电气部件制造商和开发者都会遵循相关标准，通过遵守这些标准，可确保产品达到较高的安全水平。在车辆集成流程完成后，人们将能使用性能更优、人体工程学设计更佳的车辆。这些电子电气部件可被描述为汽车嵌入式系统，其设计目的是通过获取数据来实现感知，并在数据处理后执行相应操作。这些数据通常直接来自实时环境以及与之相连的其他系统。在这些系统上，通常运行着由软件工程师（或开发者）编写，或通过其他软件工具生成的特定汽车嵌入式软件；软件开发人员所使用的编程语言通常是 C 语言、C++ 语言，或两者结合使用。

用于开发此类部件的标准主要来自国际标准化组织（ISO）、美国汽车工程师学会（SAE）、汽车软件过程改进及能力评定（ASPICE）、国际电工委员会（IEC）、汽车工业软件可靠性协会（MISRA）、汽车工业行动集团（AIAG）等机构。在软件开发流程中最常用的标准如下：

· ISO 26262：该标准规定了开发高安全性电子电气部件的完整流程。这一功能安全标准旨在涵盖电子电气部件从无到有的全开发过程，包括电气和软件部分，涉及需求确定到维护的各个阶段。

· ISO/SAE 21434：该标准阐述了如何确保电子电气部件的安全性。这一网络安全标准的目标是从需求确定到维护的初始阶段起，覆盖电子电气部件生产的所有环节。

· ASPICE：该标准规定了一个评估框架，用于评估开发符合高质量标准的电子电气部件所需遵循的流程和最佳实践。

· MISRA 联盟针对 C 语言和 C++ 语言分别制定了一套软件开发规则，即 MISRA C 和 MISRA C++。

功能安全和网络安全标准可应用于乘用车、摩托车、挂车、半挂车、客车和卡车（T&B）的产品开发过程，但不适用于轻便摩托车。

在汽车行业供应链的顶端，如原始设备制造商（OEM）或一级供应商（Tier 1），他们不仅希望在产品开发阶段遵循功能安全和网络安全标准，还希望在软件层面结合 ASPICE 标准。

软件开发流程只是部件整体开发流程的一部分。通常情况下，软件工程师会以团队形式开展工作，这些团队可能隶属于不同的小组或部门；根据公司组织架构的细化程度，小组可能隶属于部门，而部门又可能进一步隶属于一个或多个纯管理层面的层级。

由于决定智能车辆性能的功能数量及其精度都将不断提升，因此必须对软件开发流程进行严格管理和量化评估。电子电气部件的每一次迭代都基于旧版本，并仅新增少量影响较大的功能，这样做是为了控制生产成本，也就是实现 “可复用性”。

本研究旨在回答以下问题：

1. 应如何管理软件开发团队，才能使其交付高质量的工作包，这些工作包随后将用于软件集成、系统集成（电子电气部件），最终用于车辆集成，从而提高车辆的安全水平？

2. 新冠肺炎疫情是否对智能车辆电子电气部件的软件开发流程产生了影响？

为回答这些问题，第 2、3、4 章将从管理视角阐述软件开发流程，第 5 章将说明这些流程应如何整合，第 6 章将简要介绍软件开发领域管理者的职责，以及新冠肺炎疫情可能对软件集成流程产生的影响。

图 1 展示了一组借鉴自 ASPICE 标准的流程。虚线矩形内的流程是管理团队为实现高质量目标应遵循的流程。

图 1、流程参考模型

2.1 项目管理

项目管理主要有三个目标：明确项目需求与约束条件，制定并执行满足这些要求的计划。若这些目标得以实现，则可达成以下效果：

· 明确开发目的；

· 评估项目的资源与约束条件，判断目标是否可实现；

· 评估并预测执行工作所需的任务与资源；

· 建立一套系统，用于跟踪项目与外部及内部人员（或接口）的互动情况；

· 制定并管理项目行动计划；

· 跟踪项目进展；

· 减少已发现问题的重复出现，并在项目目标未达成时采取纠正措施。

2.2 风险管理

风险管理针对的是可能影响项目流程的项目风险。这些风险需要被持续识别、分析、解决 / 缓解并监控。

风险管理活动的实施将产生以下成果：

· 首先，确定所需开展的风险管理工作范围；

· 制定并应用适当的风险管理方法；

· 评估产品开发过程中可能出现的风险，并优先考虑资源的最有效利用；

· 制定、实施并评估风险指标，以确定风险状态的变化及纠正措施；

· 根据风险的重要性、发生概率、影响结果或其他预先确定的风险标准，采取适当的补救措施，以纠正或防范风险影响。

2.3 度量管理

度量活动的目的是收集并分析与所开发的电子电气部件及所遵循流程相关的信息。此项活动有助于实现高效管理，并证明产品质量。

度量流程的实施需要企业的持续投入与支持：

· 明确组织和管理活动对度量数据的需求；

· 根据信息需求，确定和 / 或制定一组相关的度量指标；

· 确定并执行度量操作；

· 收集、存储、处理所需数据，并解读结果；

· 通过信息产品为决策提供支持，并确保沟通清晰；

· 向部门负责人汇报度量流程和度量指标的评估情况。

2.4 复用计划管理

为充分利用公司的复用项目，应安排专人负责此领域工作，并制定相应的复用方法。

2.5 流程改进

组织可借助专业人员分析和推广的最佳实践来改进自身流程。

汽车行业用于确保电子电气部件安全的标准主要来自国际标准化组织（ISO）、美国汽车工程师学会（SAE）和国际电工委员会（IEC）。其中，应用最广泛且涵盖与安全相关的电子电气部件管理所有通用方面的标准是 ISO 26262 - 2。

ISO 26262 全套标准旨在解决导致电子电气部件失效的系统性故障和随机性故障。在本文的后续内容中，安全管理将聚焦于软件层面。

参与电子电气部件全生命周期工作包开发的企业需遵循一系列目标，例如：

· 营造并维护良好的安全文化，以促进并推动功能安全的有效实现，并加强与网络安全等其他功能安全相关领域的信息共享；

· 制定并持续执行符合企业自身特点的功能安全相关政策与流程；

· 建立并维护相关流程，确保安全故障得到及时、妥善解决；

· 确保相关人员具备履行工作职责所需的技能；

· 建立并管理质量保证体系，以保障功能安全。

若项目需分阶段实施（如概念阶段、开发阶段或测试阶段），则必须对功能安全相关任务进行合理规划和时间安排。

一个常见的错误做法是：在签署合同和确定供应商细节后，才去定义安全功能的实际一致性标准。根据实践经验，若缺乏功能安全管理计划，项目失败将不可避免。因此，功能安全规划的重要性不容忽视。规划方案可以简洁明了。

对于需要采购的设备，公司的管理层面（通常集中在项目管理团队或由专人负责）需根据相关方提出的需求，为产品开发团队获取必要的设备。此外，管理团队 / 负责人还需证明这些需求已得到满足。

安全管理人员必须精心规划、管理和跟踪功能安全相关活动；这些管理活动需贯穿产品全生命周期的各个阶段。在功能安全层面，产品生命周期除了包括产品的概念阶段和开发阶段，还涵盖生产、部署、维护和处置阶段。

当概念阶段启动时，与功能安全相关的开发活动也将同步启动，并在整个开发阶段不断完善。在生产、部署、维护和处置方面，相关活动将在产品开发的系统层面启动。

获取与网络安全相关的重要数据可能有助于实现功能安全，这些数据既可能对电子电气部件构成威胁，也可能有助于实现安全可靠的运行。这些数据将用于监控各项活动，包括问题报告、调试和解决。功能安全活动可能依赖于网络安全活动，因此两者至少应同时进行规划。否则，所采用的标准、工具选择或软件开发都可能受到影响。

3.1 安全文化

一般而言，拥有良好文化的企业更能吸引优秀员工，更重要的是，能留住这些员工。这种通用文化可细分为安全文化、网络安全文化等更具体的文化类型。要建立并维护安全文化，需要具备一些要素，例如参与功能安全实现或维护工作的人员，以及开展相关活动的人员所应具备的奉献精神、道德品质、质疑精神、主动性、专业素养、行动力和责任感。

完善的安全文化应具备以下特征：

· 决策责任可追溯，且在管理、审计、安全评估等所有层面均具备可追溯性；

· 将安全置于更高优先级；

· 公司的激励机制鼓励并推动功能安全的有效实现，对承担不必要风险而危害安全或质量的行为进行处罚；

· 配备独立人员对流程进行评估；

· 在项目开发的早期阶段主动发现问题，并尽快解决；

· 相关人员具备完成工作所需的知识和技能；

· 追求、重视并在所有活动中融入技术多样性，不鼓励且处罚与技术多样性应用相悖的行为；

· 管理层提供支持性互动，鼓励员工自我披露问题等；

· 持续改进。

3.2 管理层的工作包

· 针对各组织定制的功能指南和流程；

· 管理专业能力证明；

· 质量保证证明；

· 安全异常相关报告；

· 对电子电气部件及包含该部件的系统（车辆或包含多个电子电气部件的功能）的影响评估；

· 安全计划和安全案例；

· 验证措施报告；

· 生产启动报告；

· 在生产、运行、维护和拆解的所有阶段进行有效管理的证明。

ISO/SAE 21434 全套标准旨在应对由外部恶意意图引发的漏洞问题。此外，还应遵循 ISO/IEC 27001 标准，该标准对信息安全管理做出了规定。

回顾图 1，管理层还应增加另一项活动，如图 2 所示。

图 2：包含网络安全的流程参考模型

确保网络安全活动的目标是跟踪可能对各相关方造成的损害，并检查和监督各种风险解决方案的实施情况。若能实现以下目标，则表明该活动取得了成功：

· 确定所需开展的风险管理工作的范围和目标；

· 制定并实施有效的风险管理流程；

· 发现开发过程中可能出现的固有风险；

· 根据预期损害和影响程度，优先识别可能的威胁；

· 分析可能的危害并评估风险；

· 确定消除或缓解风险的替代方案；

· 定期评估威胁并确定最新情况；

· 根据相关变化采取补救措施。

在系统层面，系统需求、系统架构和系统测试用例将应用于软件层面。在系统层面与软件层面的互动过程中，管理层需确保两者之间的良好沟通，监控流程进展，并进一步分析和生成报告。

图 3 从软件视角（不包含硬件和机械部分）展示了产品生命周期，包括概念阶段、产品开发阶段以及生产启动后的阶段。产品生产完成后，将集成到车辆中。

软件开发流程以及生产和维护流程会对功能安全和网络安全产生影响。

图 3、产品生命周期

软件开发流程包括需求定义、软件部件及部件间交互设计、软件部件实现与集成、验证与确认（V&V）以及配置管理。

图 4 阐述了 ASPICE、功能安全和网络安全相关标准所规定流程的整合情况，这些流程在前面章节中已有详细说明。系统级和软件级开发以及复用计划管理均属于产品设计与开发阶段的内容。

图 4 、ASPICE、ISO 26262、ISO 21434 整合工程流程

下一章将介绍软件层面团队负责人的职责。

在相关研究中提到，领导者应具备影响他人完成工作的能力。领导力是指承担领导职责的个人与追随者之间的一种合作关系，通过这种合作关系共同实现双方互利的目标。

如今，软件层面的开发流程主要由嵌入式软件工程师组成的团队完成，团队由一位与团队成员具备相同技术背景的人员 —— 团队负责人领导。

团队负责人必须注重协作、组织和信息交流，以预测团队的绩效和生产力。

团队负责人在团队中的主要角色是协调者，其职责包括：

· 传达系统、功能安全和网络安全需求，这些需求源自系统设计的顶层阶段，在该阶段，电子电气部件的功能会被设计出来，并与客户（汽车制造商）就产品全生命周期相关内容达成一致。

· 规划有助于产品功能开发的各项活动。

· 领导软件开发活动，通过与团队成员以及内部 / 外部相关方协商，确保不超过计划截止日期，保证工作包质量符合计划要求，并维持或提高团队士气。

· 与其他团队负责人协作，分析团队内部可进行的调整，以提高工作包交付效率。

· 若团队内部出现阻碍性问题，或需要获取有助于提高团队工作效率的知识，团队负责人需与其他团队负责人或高层管理人员协作以获取支持，同时也为其他团队提供支持或知识。

· 分析团队需求、工作量和燃尽图，并为高层管理人员和团队生成报告。

· 在团队成员或内部相关方有需求时，组织一对一会议。

研究表明，当团队负责人远程管理团队而非现场管理时，团队成员对团队本身和团队负责人的满意度更高，且能更好地理解领导者传达的信息。另一项研究指出，虽然传统领导力与生产力之间的关联会因居家办公（WFH）而减弱，但结构支持与生产力之间的关联却会因居家办公而增强。还有研究显示，当团队进行远程协作时，协作效率会有所下降，但团队成员之间的信任度会显著提高。

在新冠肺炎疫情期间，新型工作模式在汽车企业中得到了广泛应用和普及，如居家办公（WFH）或远程办公以及混合办公。疫情引发了前所未有的局面，影响了汽车行业电子电气部件开发的整体策略。因此，在过去两年以及未来五年里，有两个主要因素会影响团队负责人所采用的管理方法：一是工作模式，现在需考虑居家办公和混合办公模式；二是新的网络安全流程（ISO 21434）。

在关于居家办公是否能提高效率和生产力的研究中，纳入新冠肺炎疫情因素后，2022 年 4 月的一项新研究详细指出，从平均值来看，软件工程师的生产力并未显著提高。此外，该研究还表明，人们对居家办公的看法存在差异，可将其分为两类人群：

1. 认为自己生产力更高的人，他们找到了在家中创建符合人体工程学的工作环境的方法；

2. 认为自己生产力更低的人，他们中的大多数在现场办公时生产力更高。

这种分类促使团队负责人和高层管理人员采用并调整混合办公模式。

在产品生命周期中的软件开发环节，目前来看，软件工程师无需必须到岗办公即可完成工作。他们所研发的大多数嵌入式系统都可进行远程访问，这意味着这些电子电气部件可进行远程刷写、调试和测试。

2021 年 12 月，在一家一级供应商（Tier 1）企业开展的一项研究证实了参考文献中的研究结果。由于保密条款限制，本文无法披露该公司名称及研究问题，仅能介绍项目活动、研究结果以及关于软件集成流程的结论。下文将该公司称为 “一级供应商企业”。

该研究的目的是探究新冠肺炎疫情期间电子电气部件软件开发流程是否发生了变化。

这家一级供应商企业开发了一套先进驾驶辅助系统（ADAS），其中包括机械、电子和软件部分。本研究仅聚焦于软件开发流程，开展了以下类型的活动，并为每项活动分配了一个或多个团队：

· A1：团队与活动管理；

· A2：功能安全需求实施；

· A3：网络安全需求实施；

· A4：先进驾驶辅助系统（ADAS）功能相关的系统需求实施。在此项活动中，根据电子板上的每个决策微控制器，将工作分配给两个团队，分别负责 Aurix TC39x 和 nVidia Xavier 微控制器；

· A5：集成。由于项目工作量较大，此项活动的工作分配给了三个团队；

· A6：构建与配置管理；

· A7：持续集成（Jenkins 配置）；

· A8：服务台。此项活动的工作分配给了四个团队；

· A9：测试。测试分为多个级别，每个集成级别都分配了相应的测试团队，但本研究未将测试环节纳入分析范围。

注 1：软件工程师需实施的需求由系统工程师在系统层面定义。注 2：每个团队都配备了一名团队负责人。

这些团队是分布在欧洲各地的虚拟团队。项目经理负责管理所有这些活动的时间进度，此外，还负责协调资源（人员和工具）以及每个团队的工作包分配。

本研究考虑的因素包括工作与生活平衡、团队结构、团队沟通、整体领导力、跨团队协作、所使用的技术以及感知到的整体压力。大多数受访者对问题给出了积极回应；只有 A5 和 A8 活动组的受访者提出了较多抱怨，这也导致他们给出了负面回应。

表 1 仅展示了 A1、A5 和 A8 组的情况，这三组团队的工作联系十分紧密。管理层明显发现，这两组团队（A5 和 A8）压力较大，且管理不善。服务台（A8）是与汽车制造商对接的前沿部门，往往会承受来自汽车制造商的全部压力。A5 组是第二线部门，负责深入分析汽车制造商报告并经 A1 组筛选后的问题、进行调试、将问题移交其他团队解决或自行解决，并生成报告。除了软件部件集成、配置和构建流程外，A5 组还需检查软件部件是否符合汽车制造商要求的本文所述标准版本。

表 1 、A1、A5 和 A8 组的研究结果

注：国家名称采用 ISO 双字母缩写（例如，RO 代表罗马尼亚）。G 代表 “良好”，B 代表 “不佳”

A5 组的工作严格遵循相关文档和详细的实施说明。

公司管理层针对集成团队（A5 组）得出的结论如下：

· 集成团队应更多地为服务台团队（A8 组）提供支持；这些团队与其他团队之间的沟通只能通过团队负责人进行，团队负责人需缓解沟通压力、管理沟通时间，且仅向项目经理汇报总体情况；

· 集成团队应转变为自我管理型团队；

· 集成团队的负责人选拔应考虑个人主动性以及对团队成员的同理心；需对他们进行时间管理培训，以便更好地平衡同理心与时间约束；

· 当工作量不均衡时，集成团队之间应相互支持；团队负责人应促进集成团队之间的沟通；

· 团队负责人现在可向高层管理人员提供反馈，为改进工作创造空间；

· 团队负责人应更多地衡量影响生产力的因素；

· 团队成员每周应有两小时的时间用于分享反馈、知识、可使用的新工具，甚至个人经历；在工具方面，工程师所使用的技术似乎至关重要；

· 团队成员可根据所在地区进行面对面会议，或根据需求安排商务出差；

· 若团队取得重大成就，团队负责人应组织庆祝活动。

参与电子电气部件开发的企业内部拥有健康的文化，将有助于产品迭代质量的逐步提升，进而提高车辆的人体工程学性能。

在现代智能车辆中，软件起着至关重要的作用，因此软件工程师是推动技术进步的核心力量。得益于技术进步，车辆将能实现更优的操控性能和更高效的通信功能，但这也带来了确保安全和网络安全等方面的挑战。为进一步推动技术进步，所有汽车制造商、原始设备制造商（OEM）和一级供应商（Tier 1）都成立了联盟，以共享技术，并统一流程、标准、框架和架构。其中，在技术层面，对软件开发管理影响最大的流程是功能安全（ISO 26262）、网络安全工程（ISO 21434）和 ASPICE 标准相关流程。领导者应关注以下方面：项目管理、风险管理、度量管理、复用计划管理和流程改进。

在组织层面，除了根据标准和相关方需求调整开发流程外，管理层还应衡量影响团队成员软技能的多个因素，以便为工程师制定并推广更适宜的文化。企业文化通常由高层管理人员传递给团队负责人，而团队负责人由于能直接接触团队成员和资源，可对影响企业文化的因素进行调整和优化。

未来的研究将参考先前关于利用机器学习或人工智能实现自动化业务流程管理的相关成果。同时，考虑到已确定的大学与企业合作所带来的互利优势，研究范围将扩展到大学 - 企业合作咨询合同框架领域。