软件测试对于嵌入式系统的安全和保障至关重要

在嵌入式系统的世界中，不断发展和发展的不仅仅是技术。用于开发该技术的工具和方法正在不断成熟和改进。

在 1980 年代初期，我为一家小型计量公司开发了软件，将工程数学应用于坐标测量机 (CMM)。我想认为我很擅长。但我们的开发生命周期本质上将生产软件视为沙盒。我们将从生产代码开始，添加功能，执行一些相当基本的功能测试，然后发布。

在这样一个小公司，我们的工程团队自然包括软件和硬件专家。事后看来，令人惊讶的是，虽然我们开发的软件需要广泛的客户支持，但它所运行的硬件却远没有相同的消防文化。

软件开发是一门工程学科

软件和硬件支持之间的部分差异是原始开发过程的结果。但是软件的绝对可塑性以及由此产生的不断增加的功能的能力也起着重要作用。简而言之，出错的方法比正确的方法要多得多，而且这种特性要求它被视为一门工程学科。

这一切都没有什么新鲜事。多年来，领先的航空、汽车和工业功能安全标准（例如 DO-178、ISO 26262 和 IEC 61508）一直要求采用这种方法。但是，如果您要从当今旨在服务于这种方法的尖端开发和测试工具中获益，那么拥有工程学科的思维方式是必不可少的。

最近，ISO/IEC/IEEE 29119 的发展表明了软件测试的重要性，这是一套可在任何软件开发生命周期或组织中使用的软件测试国际标准。

需求很重要

电气系统设计通常从状态机开始，并了解特定产品的不同操作模式。工程师通常可以非常快速、轻松地将状态机功能映射到逻辑。如果状态机变得更复杂，它通常被翻译成软件。

高级别的要求对于确保系统正常运行至关重要。这样的需求描述了业务逻辑和预期的功能，并能够评估系统是否完成了它应该做的事情。最佳实践遵循从高级需求到分析到覆盖率的流程，自然，需求可追溯性工具旨在支持这一点。

在状态机模型中，表征每个状态的需求是高级需求的示例。通过代码跟踪执行路径以确保正确解释每个需求是检查正确实现的一种非常好的方法。

功能安全标准将此扩展到需求可追溯性的概念。他们经常要求用户从高级需求中执行所有代码，并通过低级测试解释和测试任何未发现的案例。最近，网络安全中的“左移”范式呼应了这一信息，如图 1 中的 V 模型所示。

图 1. 顾名思义，V-model 体现了一个产品开发过程，该过程显示了每个开发阶段的测试规范之间的联系。资料来源：LDRA

测试组件，然后测试系统

在任何工程学科中，重要的是要确保组件在集成到系统之前自行正常工作。要将这种思想应用于软件，工程师需要定义较低级别的需求，并确保每个功能和功能集发挥作用。工程师还需要确保他们为系统的其余部分提供适当的接口。

单元测试涉及在功能和模块级别对输入和输出进行参数化，执行审查以确保输入和输出之间的连接正确并遵循覆盖范围内的逻辑。单元测试工具可以提供经过验证的测试工具和图形表示，将各个输入和输出连接到执行路径，并使其正确性得到验证。

在功能和模块级别上理解接口也很重要。静态分析工具可以展示这些接口，连接不同层次的逻辑。

尽早发现问题

任何学科的工程师都会告诉你，越早发现问题，解决问题的成本就越低。

静态分析执行源代码分析以模拟系统的执行而不实际运行它。编写代码后立即可用，静态分析可以帮助开发人员最大限度地提高代码的清晰度、可维护性和可测试性。静态分析工具的主要特点包括：

代码复杂性分析：了解您的代码在哪里不必要地复杂，因此工程师可以执行适当的缓解活动。

程序流程分析：绘制程序执行的设计审查流程图，以确保程序按预期流程执行。

预测性运行时错误检测：通过尽可能多的可执行路径对代码执行进行建模，并寻找潜在的错误，例如数组边界溢出和被零除。

遵守编码标准：通常选择编码标准以确保关注网络安全、功能安全，或者在 MISRA 标准的情况下，选择其中之一或两者兼而有之。编码标准有助于确保代码符合最佳编程实践，无论应用程序如何，这无疑都是一个好主意。

图 2. 像静态分析这样的活动在开发生命周期的早期是一种开销，但从长远来看它们会带来好处。资料来源：LDRA

开发足够质量的代码

质量更高的工程产品价格更高也就不足为奇了。坚持任何开发过程都是有代价的，开发最好的产品可能并不总是在商业上可行。

在安全很重要的情况下，功能安全标准通常需要对成本和故障概率进行分析。每个系统、子系统和组件都需要进行这种风险评估，以确保执行相应的缓解活动。无论系统是安全关键还是安全关键，同样的原则都是有意义的。如果您以相同的严格程度测试系统的每个部分，您将过度投资于风险较低的系统部分，而无法充分缓解风险较高的故障。

软件安全实践首先要了解如果组件或系统发生故障会发生什么，然后将潜在故障跟踪到适当的活动中以降低这样做的风险。例如，考虑一个控制飞机引导的系统，该系统的故障可能是灾难性的。必须在子条件覆盖级别执行严格的缓解活动，以确保正确的代码生成。

与机上娱乐系统形成鲜明对比。如果该系统出现故障，飞机不会坠毁，因此测试机上娱乐系统的要求低于可能立即造成人员伤亡的系统。

软件的延展性既是福也是祸。它使系统在合理范围内几乎可以做任何事情变得非常容易。但是，在确保软件不会失败时，同样的灵活性也可能成为致命弱点。

即使在商业世界中，虽然并非所有软件故障都是灾难性的，但它们绝不是可取的。许多开发人员在对安全和安保至关重要的行业工作，别无选择，只能遵守最严格的标准。但是这些标准所提倡的原则是存在的，因为它们已被证明可以使最终的产品功能更好。因此，无论应用程序有多重要，以适当的方式采用这些原则都是完全有意义的。

尽管适用于软件开发的功能安全和安全标准令人困惑，但它们之间的相似之处远多于差异。所有这些都基于这样一个事实，即软件开发是一门工程学科，要求我们建立需求、设计和开发以实现它们，并针对需求进行早期测试。

采用这种思维方式将为整个行业的支持工具打开大门，从而更有效地开发更高质量的软件。

LDRA Software Technology的技术专家 Mark Pitchford与开发团队合作，希望在安全和安保关键环境中实现合规的软件开发。

审核编辑 黄昊宇