隗合建、陳嘉凱 /中國(guó)運(yùn)載火箭技術(shù)研究院

軟件產(chǎn)品是航天工程任務(wù)的重要組成部分。自20 世紀(jì)80 年代以來(lái)，NASA 發(fā)布了一系列關(guān)于軟件產(chǎn)品保證方面的文件要求。該要求緊密?chē)@航天工程任務(wù)保成功需要，將技術(shù)與管理進(jìn)行有機(jī)結(jié)合，突出了航天軟件產(chǎn)品安全性、系統(tǒng)性、規(guī)范化、專(zhuān)業(yè)性和獨(dú)立性等特點(diǎn)，是對(duì)不斷發(fā)展、探索的工程實(shí)踐經(jīng)驗(yàn)的系統(tǒng)總結(jié)與提煉，對(duì)我國(guó)航天軟件產(chǎn)品保證具有極大的參考意義。

NASA 航天軟件產(chǎn)品保證通過(guò)建立分級(jí)分類(lèi)的軟件標(biāo)準(zhǔn)體系，配合軟件安全性、全生命周期過(guò)程管理與改進(jìn)等具體指導(dǎo)性文件，構(gòu)建出了全系統(tǒng)、全要素、全過(guò)程的可操作執(zhí)行的軟件產(chǎn)品保證框架。同時(shí)，NASA 建立了專(zhuān)業(yè)的軟件產(chǎn)品保證支撐機(jī)構(gòu)和獨(dú)立的驗(yàn)證確認(rèn)中心，以確保整個(gè)框架的有效執(zhí)行，并在工程實(shí)踐中指導(dǎo)軟件產(chǎn)品保證框架不斷自我完善、持續(xù)改進(jìn)。

從NASA 軟件工程和產(chǎn)品保證的實(shí)踐來(lái)看，軟件工程作為航天系統(tǒng)工程的重要組成部分，需要進(jìn)行頂層規(guī)劃，緊密?chē)@航天軟件“安全關(guān)鍵”的本質(zhì)特性，將技術(shù)與管理相結(jié)合，準(zhǔn)確把握任務(wù)風(fēng)險(xiǎn)識(shí)別與控制，加強(qiáng)產(chǎn)品保證與過(guò)程改進(jìn)的融合，以實(shí)現(xiàn)航天任務(wù)圓滿(mǎn)成功的目標(biāo)。同時(shí)，要加強(qiáng)產(chǎn)品保證專(zhuān)業(yè)支撐機(jī)構(gòu)的建設(shè)和作用發(fā)揮，支撐機(jī)構(gòu)要注重信息化建設(shè)，以提高產(chǎn)品保證工作的執(zhí)行效率和質(zhì)量。

一、NASA軟件工程和產(chǎn)品保證

1.NASA 的軟件標(biāo)準(zhǔn)體系

NASA 軟件標(biāo)準(zhǔn)體系文件共包括程序文件、標(biāo)準(zhǔn)、手冊(cè)和指南4 個(gè)部分。其中，程序文件《軟件工程要求》是頂層文件，定義了軟件分類(lèi)，對(duì)軟件產(chǎn)品研制、維護(hù)、退役、操作和管理提出了最低保證要求；《軟件安全標(biāo)準(zhǔn)》規(guī)定了安全關(guān)鍵軟件的研制流程和技術(shù)要求；《軟件安全指南》描述了工程實(shí)踐中具體流程和技術(shù)的實(shí)施方法；《軟件保證和軟件安全標(biāo)準(zhǔn)》闡述了軟件產(chǎn)品保證計(jì)劃的制定要求；《軟件形式檢查標(biāo)準(zhǔn)》建立了軟件形式檢查過(guò)程的框架模型，以便盡早檢測(cè)和消除軟件產(chǎn)品缺陷；《軟件工程和保證手冊(cè)》用于指導(dǎo)持續(xù)的軟件工程實(shí)施和過(guò)程改進(jìn)；《可編程邏輯器件手冊(cè)》對(duì)可編程邏輯器件的產(chǎn)品設(shè)計(jì)、驗(yàn)證和維護(hù)提供了實(shí)施指南；《復(fù)雜電子保證專(zhuān)業(yè)人員手冊(cè)》包含可編程設(shè)計(jì)的復(fù)雜集成電路相關(guān)的設(shè)計(jì)過(guò)程、保證活動(dòng)及應(yīng)用實(shí)例。

2.NASA 軟件工程和保證手冊(cè)

2020 年，NASA 發(fā)布了《軟件工程和保證手冊(cè)》。該手冊(cè)為《軟件工程要求》《軟件保證和軟件安全標(biāo)準(zhǔn)》的使用提供了實(shí)施指南，是NASA 軟件工程和產(chǎn)品保證實(shí)施的關(guān)鍵組成部分，為有效開(kāi)展可持續(xù)的軟件工程和產(chǎn)品保證及過(guò)程改進(jìn)提供支撐。

《NASA 軟件工程和保證手冊(cè)》共包括6 部分內(nèi)容，其中最關(guān)鍵的B、C、D 3 個(gè)部分描述了軟件工程和產(chǎn)品保證需要開(kāi)展的具體活動(dòng)。B 部分針對(duì)每個(gè)機(jī)構(gòu)提出要求，提供有關(guān)頂層要求實(shí)施的獨(dú)立說(shuō)明和解釋性信息；C 部分針對(duì)每個(gè)軟件項(xiàng)目提出要求，從軟件管理、軟件生命周期過(guò)程和軟件生命周期支持3 方面，為軟件項(xiàng)目提供適宜的軟件產(chǎn)品保證步驟以及軟件安全性要求；D 部分則對(duì)軟件工程實(shí)施提出了更高標(biāo)準(zhǔn)要求，具體包括編程清單、保證和安全、軟件設(shè)計(jì)原理等。該手冊(cè)以“操作方法”“指導(dǎo)材料”的形式提供給用戶(hù)，為用戶(hù)在軟件工程、軟件保證和軟件安全方面提供具體可行的指導(dǎo)，以幫助用戶(hù)實(shí)現(xiàn)不斷超越。

3.發(fā)射場(chǎng)軟件產(chǎn)品保證

戈達(dá)德空間飛行中心（GSFC）作為NASA 航天任務(wù)飛行中心，其軟件產(chǎn)品保證實(shí)質(zhì)是一種型號(hào)研制管理模式，通過(guò)將運(yùn)載火箭、航天飛機(jī)等各類(lèi)飛行任務(wù)管理要求進(jìn)行集成，成體系地細(xì)化了各項(xiàng)軟件產(chǎn)品保證要求，并將這些要求融入到研制單位的質(zhì)量管理體系，系統(tǒng)安全性、可靠性、維修性設(shè)計(jì)要求和風(fēng)險(xiǎn)管理程序中，以實(shí)現(xiàn)軟件產(chǎn)品的安全可靠。

該系列軟件產(chǎn)品保證要求主要包括4 個(gè)部分內(nèi)容：一是軟件保證。包括軟件質(zhì)量、安全性、可靠性、鑒定和批準(zhǔn)、獨(dú)立驗(yàn)證和確認(rèn)。二是評(píng)審，包括軟件需求評(píng)審、初步設(shè)計(jì)評(píng)審、關(guān)鍵設(shè)計(jì)評(píng)審、測(cè)試就緒評(píng)審、驗(yàn)收評(píng)審。三是軟件配置管理。承研單位需開(kāi)發(fā)、使用配置管理系統(tǒng)，對(duì)軟件需求、源代碼、數(shù)據(jù)和文檔提供管理和控制。四是軟件問(wèn)題報(bào)告和糾正措施，包括不合格品檢測(cè)和報(bào)告、追溯和管理、影響評(píng)估和糾正。

4.安全與任務(wù)保證辦公室

為保證各項(xiàng)任務(wù)、計(jì)劃的順利完成，NASA 專(zhuān)門(mén)設(shè)立了安全與任務(wù)保證辦公室（OSMA），將管理與工程有機(jī)結(jié)合起來(lái)。作為NASA 統(tǒng)管質(zhì)量、可靠性和安全性的重要職能部門(mén)，下設(shè)獨(dú)立驗(yàn)證和確認(rèn)中心、任務(wù)保障部門(mén)、安全與保證要求部門(mén)、工程與安全中心和資源管理辦公室5 個(gè)部門(mén)。主要負(fù)責(zé)NASA 的安全性與任務(wù)保證戰(zhàn)略、政策和標(biāo)準(zhǔn)的制定與實(shí)施，對(duì)NASA 所屬機(jī)構(gòu)的安全性、可靠性及維修性設(shè)計(jì)貫徹落實(shí)起到重要作用。主要職責(zé)包括：保證NASA 安全性與任務(wù)保證的各項(xiàng)方針在全生命周期內(nèi)得到有效落實(shí)；分析并獨(dú)立評(píng)估各項(xiàng)目以保證各任務(wù)能夠安全完成；為安全性、可靠性設(shè)計(jì)等領(lǐng)域部門(mén)提供資助，確保該類(lèi)技術(shù)、過(guò)程、方法得到創(chuàng)新及快速轉(zhuǎn)化；制定并實(shí)施安全與任務(wù)保證一系列指導(dǎo)文件、標(biāo)準(zhǔn)、手冊(cè)等。

針對(duì)軟件產(chǎn)品保證，其下設(shè)的獨(dú)立驗(yàn)證與確認(rèn)中心、工程與安全中心發(fā)揮了重大作用。

（1）獨(dú)立驗(yàn)證與確認(rèn)中心

1993 年，“挑戰(zhàn)者”航天飛機(jī)事故后NASA 成立了常設(shè)性支撐機(jī)構(gòu)獨(dú)立驗(yàn)證與確認(rèn)中心（IV&V）。該機(jī)構(gòu)行政上隸屬于戈達(dá)德空間飛行中心，在安全與任務(wù)保證辦公室的指導(dǎo)下運(yùn)作，主要承擔(dān)NASA的軟件產(chǎn)品保證、關(guān)鍵飛行軟件獨(dú)立驗(yàn)證與確認(rèn)的管理工作。該中心采用系統(tǒng)工程方法，匯集領(lǐng)域?qū)I(yè)人才、軟件工程最佳實(shí)踐案例和綜合各類(lèi)驗(yàn)證與確認(rèn)工具等，對(duì)關(guān)鍵軟件開(kāi)展獨(dú)立驗(yàn)證與確認(rèn)，給出飛行任務(wù)軟件產(chǎn)品專(zhuān)家意見(jiàn)。同時(shí)，該機(jī)構(gòu)致力于不斷改進(jìn)獨(dú)立驗(yàn)證和確認(rèn)的方法、工具和實(shí)踐。

（2）工程與安全中心

工程與安全中心（NESC）核心是一個(gè)成熟的知識(shí)庫(kù)，由來(lái)自NASA 各個(gè)飛行中心以及業(yè)界、學(xué)術(shù)界和其他政府機(jī)構(gòu)的技術(shù)專(zhuān)家組成。通過(guò)匯集業(yè)內(nèi)最優(yōu)秀工程師的思想，不斷優(yōu)化研制流程，深化知識(shí)基礎(chǔ)，增強(qiáng)技術(shù)能力，以履行對(duì)卓越工程的承諾。NESC 以書(shū)面形式出具技術(shù)評(píng)估和咨詢(xún)報(bào)告，對(duì)咨詢(xún)內(nèi)容提供預(yù)防性和糾正性建議。該機(jī)構(gòu)通過(guò)經(jīng)驗(yàn)教訓(xùn)系統(tǒng)對(duì)經(jīng)驗(yàn)教訓(xùn)開(kāi)展數(shù)據(jù)挖掘、趨勢(shì)分析等工作，將分析結(jié)果傳達(dá)給領(lǐng)導(dǎo)層和一線工程師，以求在潛在問(wèn)題成為重大問(wèn)題之前解決。

二、NASA軟件產(chǎn)品保證方法的借鑒意義

1.技術(shù)和管理密不可分

軟件產(chǎn)品保證不僅僅是質(zhì)量管理、標(biāo)準(zhǔn)化等管理工作，而是在軟件生命周期中開(kāi)展的各項(xiàng)管理和技術(shù)工作的綜合，具有明顯的技術(shù)特征。產(chǎn)品保證隊(duì)伍應(yīng)獨(dú)立于產(chǎn)品設(shè)計(jì)、生產(chǎn)、試驗(yàn)、質(zhì)量管理隊(duì)伍，同時(shí)強(qiáng)化產(chǎn)品保證工程師識(shí)別技術(shù)狀態(tài)變化、把握產(chǎn)品關(guān)鍵特性的職責(zé)，實(shí)現(xiàn)對(duì)軟件產(chǎn)品全生命周期質(zhì)量和技術(shù)監(jiān)督把關(guān)。

軟件產(chǎn)品保證工作的機(jī)制是全過(guò)程管控，從設(shè)計(jì)到試驗(yàn)、從自研至外協(xié)外購(gòu)都應(yīng)實(shí)現(xiàn)全覆蓋。在軟件產(chǎn)品研制不同階段，要針對(duì)不同類(lèi)別產(chǎn)品采取差異化管控方法，將傳統(tǒng)的粗放式質(zhì)量管理轉(zhuǎn)向精細(xì)化、集成化、一體化管控模式，確保軟件產(chǎn)品質(zhì)量的一致性和穩(wěn)定性。

軟件產(chǎn)品保證工作的配套建設(shè)主要是通過(guò)人員的專(zhuān)業(yè)化、文件體系的規(guī)范化、制度標(biāo)準(zhǔn)的齊備化，將工程經(jīng)驗(yàn)式研制轉(zhuǎn)變?yōu)橹R(shí)型研制。以風(fēng)險(xiǎn)型、精細(xì)化、技術(shù)性?xún)?yōu)化管理過(guò)程，兼顧多接口、全過(guò)程、全要素的管理。

2.關(guān)注風(fēng)險(xiǎn)識(shí)別與控制

要實(shí)現(xiàn)軟件產(chǎn)品保證過(guò)程中技術(shù)和管理的有效結(jié)合，最重要的方法是采用風(fēng)險(xiǎn)管理，對(duì)型號(hào)研制過(guò)程中的技術(shù)風(fēng)險(xiǎn)進(jìn)行充分的鑒別、評(píng)價(jià)、預(yù)防和控制，保證航天軟件產(chǎn)品安全、可靠、可用，能夠完成規(guī)定的任務(wù)目標(biāo)。

軟件產(chǎn)品保證的工作基礎(chǔ)是科學(xué)配套的產(chǎn)品保證標(biāo)準(zhǔn)、制度體系，細(xì)致嚴(yán)謹(jǐn)?shù)漠a(chǎn)品保證文件體系（策劃、實(shí)施、總結(jié)），技術(shù)和管理融合的專(zhuān)業(yè)技術(shù)人員隊(duì)伍。在專(zhuān)業(yè)技術(shù)人員準(zhǔn)確識(shí)別技術(shù)風(fēng)險(xiǎn)的基礎(chǔ)上，提出有針對(duì)性、差異化的管理控制措施，并通過(guò)技術(shù)和管理的雙重手段，確保產(chǎn)品風(fēng)險(xiǎn)得到有效控制。

3.持續(xù)開(kāi)展過(guò)程改進(jìn)

軟件產(chǎn)品保證和過(guò)程改進(jìn)，是出于“高質(zhì)量的過(guò)程產(chǎn)生高質(zhì)量的產(chǎn)品”這一理念，加以有效的方法使安全關(guān)鍵軟件零缺陷。前者評(píng)判一個(gè)產(chǎn)品是否合格，后者評(píng)判一個(gè)組織的能力，兩者是密不可分的。對(duì)于一個(gè)組織而言，更關(guān)注組織本身能力的提升；對(duì)于一項(xiàng)航天重大工程而言，更關(guān)注各研制單位提供的產(chǎn)品是否滿(mǎn)足質(zhì)量要求。因此，軟件過(guò)程改進(jìn)適合各研制單位開(kāi)展，軟件產(chǎn)品保證適合型號(hào)工程研制推進(jìn)。

雖然實(shí)施軟件產(chǎn)品保證和過(guò)程改進(jìn)會(huì)犧牲一些“發(fā)揮”的空間，要嚴(yán)格按照標(biāo)準(zhǔn)規(guī)范、流程文件、質(zhì)量要求等實(shí)施，但是更強(qiáng)的可依據(jù)性、易判定性將避免產(chǎn)品研制過(guò)程中不少疑問(wèn)和爭(zhēng)議，有效識(shí)別、防止、去除錯(cuò)誤，切實(shí)提高軟件產(chǎn)品的質(zhì)量。

4.專(zhuān)業(yè)機(jī)構(gòu)獨(dú)立支撐

NASA 工程實(shí)踐表明，為充分發(fā)揮軟件產(chǎn)品質(zhì)量與可靠性保障作用，需要建立集技術(shù)和管理于一體的技術(shù)支撐機(jī)構(gòu)工作體系，完整體現(xiàn)各級(jí)組織、型號(hào)及技術(shù)支撐機(jī)構(gòu)相互結(jié)合的關(guān)系，并能發(fā)揮技術(shù)支撐機(jī)構(gòu)的獨(dú)立監(jiān)督、服務(wù)作用。

技術(shù)支撐機(jī)構(gòu)需統(tǒng)一部署，形成專(zhuān)業(yè)、技術(shù)上的優(yōu)勢(shì)，全面參與型號(hào)研制的策劃與過(guò)程的管理和監(jiān)督，制定覆蓋型號(hào)研制各階段的軟件產(chǎn)品保證工作策劃，發(fā)揮好獨(dú)立把關(guān)作用，將控制點(diǎn)前移，把“預(yù)防為主”方針落到實(shí)處，推動(dòng)型號(hào)軟件產(chǎn)品保證工作切實(shí)有效實(shí)施。

同時(shí)，技術(shù)支撐機(jī)構(gòu)作為前沿性和基礎(chǔ)性專(zhuān)業(yè)技術(shù)研究機(jī)構(gòu)，應(yīng)該總體掌控型號(hào)中的軟件質(zhì)量與可靠性技術(shù)基礎(chǔ)研究需求，制定專(zhuān)業(yè)技術(shù)發(fā)展路徑，提前籌劃基礎(chǔ)研究與能力建設(shè)工作，以滿(mǎn)足型號(hào)軟件研制需要。

技術(shù)支撐機(jī)構(gòu)應(yīng)對(duì)積累的故障數(shù)據(jù)進(jìn)行深入分析，建立軟件質(zhì)量問(wèn)題舉一反三基線，將新技術(shù)、新方法、新工具融入管理過(guò)程，融入型號(hào)研制過(guò)程，為型號(hào)研制流程優(yōu)化、研制能力提升提供決策支撐。

5.依托信息化實(shí)現(xiàn)高效、高質(zhì)量

軟件產(chǎn)品保證工作應(yīng)依托信息化手段，構(gòu)建軟件研制、管理人員便于使用的信息化管理平臺(tái)。該平臺(tái)要與各類(lèi)知識(shí)管理系統(tǒng)相結(jié)合，統(tǒng)計(jì)分析研制過(guò)程數(shù)據(jù)、質(zhì)量數(shù)據(jù)，獲取軟件設(shè)計(jì)準(zhǔn)則、測(cè)試規(guī)范等知識(shí)，從設(shè)計(jì)源頭提升軟件產(chǎn)品質(zhì)量。

軟件產(chǎn)品保證從基礎(chǔ)建設(shè)到融合發(fā)展，是一個(gè)不斷深化的過(guò)程，提升信息化平臺(tái)技術(shù)水平、擴(kuò)大應(yīng)用規(guī)模、納入業(yè)務(wù)流程是發(fā)展重點(diǎn)。將數(shù)據(jù)采集、信息傳遞、知識(shí)使用等環(huán)節(jié)有效嵌入科研生產(chǎn)流程，實(shí)現(xiàn)軟件產(chǎn)品保證要素的閉環(huán)管理。通過(guò)經(jīng)驗(yàn)知識(shí)的傳遞、使用、沉淀和持續(xù)積累，打造組織知識(shí)管理、項(xiàng)目協(xié)同推進(jìn)、員工能力提升的一體化平臺(tái)，實(shí)現(xiàn)知識(shí)型研制。