使用敏捷构建生命攸关的系统

Question

Closed. This question is opinion-based. It is not currently accepting answers.

---

想要改进这个问题？更新问题，以便可以通过编辑这篇文章用事实和引文来回答它。

6 年前已关闭。

Answer 1

敏捷是一种管理项目的方法，而不是测试或验证已完成项目的安全性的方法。

安全关键系统在完成（功能方面）后仍需要进行广泛的测试，以绝对确保它确实能够胜任任务。 我希望此类工作将交给专门负责此类测试的单独测试人员团队进行。

敏捷对于软需求很有好处，传统的产品生命周期足够长，足以改变业务目标，但在安全关键的环境中，我认为快速变化的需求或未明确的需求将是一件非常糟糕的事情。

我不认为使用瀑布会在某种程度上给代码带来一些内在的顺序或稳定性——如果各个冲刺管理得当，代码经过测试和审查，那么较短的周期将产生相同质量的代码，只是在大块。

当事情出现问题时，使用 Scrum 可以让您在项目时间表的早期得到提醒 - 它不会做任何事情，只会消除表现不佳的经理/开发人员/任何人的藏身之处。

简而言之，使用敏捷方法构建任何类型的系统都是可能的，只要您不期望它测试您所构建的系统。 那是给测试人员的。

Answer 2

许多引人注目的软件故障都说明了这个问题。 特别是 阿丽亚娜 5 号航班 501 和 Therac-25 都是软件故障的例子，使这个问题更加突出。 由于制导软件中的整数溢出，阿丽亚娜 5 号火箭在发射后 37 秒偏离了飞行路径。 此次事故造成设备损失 3.7 亿美元，但没有造成人员伤亡。 但 Therac-25 却并非如此，这款医疗机器曾用致命剂量的辐射杀死了数人。

可以通过更好的软件方法来预防这些问题吗？ 我不确定。 导致 Ariane 5 故障的管理决策与软件的构建方式几乎没有关系，并且 Therac-25 调查因认为机器不可能发生故障而受到阻碍。

更好的测试方法可能会有所帮助。 很难相信一个好的静态类型编译器无法发现整数溢出。 新的测试方法，如 Pex 及其内置定理证明器，具有搜索极端情况的能力，并且可以识别 Therac-25 中存在的传感器异常情况。

但是，除非您对安全有坚定的承诺，从最高层的管理人员一直到将产品装箱装运的人员，否则任何技术都是可靠的。

Answer 3

每个人似乎都忽略了关于安全关键系统的全部要点是，由于它们有可能造成生命损失（有时是大规模的），因此必须证明它们是正确的。 通常他们需要操作证书，除非许可机构确信系统的要求已被准确指定（通常使用 Z 和 VDM 等正式方法），并且设计反映了这些要求（并且可以证明是这样的） ）并且代码准确地反映了设计（再次证明如此）。

通常情况下，测试产品以提供此类证据的选项并不存在（好吧，伙计们，让我们继续使用核反应堆、波音 777、Therac 25 - 无论什么，看看问题出在哪里）。 安全关键系统（特别是那些分类为 SIL 3 及以上的系统）需要彻底且全面的文档，据我所知，这在各个方面都与敏捷宣言完全不一致。 安全关键系统的程序员甚至不允许在没有向许可机构请求对软件进行新的重新评估的情况下对发布的软件进行更改，考虑到证明第一个版本的正确性的严格性以及对系统的灾难性影响，这样做是正确的。搞砸了。

Answer 4

敏捷是一种动态开发模型 - 当应用程序的需求发生快速且不可预见的变化时，您可以使用它。 另外，如果您的开发人员数量仍然可数。
您不会仅仅因为它现代/时尚/时尚/酷而使用它。

当然，您可以通过单元测试发现错误，但它们永远无法证明它们不存在。 在开发过程中更改/添加应用程序的需求很大程度上涉及添加隐藏的错误。

对于精确规划的应用程序（通常是安全关键型应用程序），您需要使用更多的静态开发模型，例如瀑布模型或 v 模型。

Answer 5

大多数安全关键或任务关键系统可以受益于更标准的开发结构，例如瀑布模型和正式的代码审查。 此类方法有助于维护更加结构化的代码库。 关于软件构建的好书 - 特别是如果项目已经开始使用敏捷流程 - Code Complete 2 ed。