作者：Tom-M

驗(yàn)證與確認(rèn)是功能安全中重要但相互獨(dú)立的兩個主題。然而，這兩個術(shù)語經(jīng)常被誤用和混淆，包括我最近正在閱讀的一份功能安全標(biāo)準(zhǔn)初稿。簡而言之，確認(rèn)是項(xiàng)目實(shí)現(xiàn)其最終目標(biāo)的最終驗(yàn)證。

來看一個典型的V模型，我們看到左邊是設(shè)計(jì)任務(wù)，右邊是驗(yàn)證與確認(rèn)項(xiàng)目。右上方顯示確認(rèn)測試。下面的V模型來自IEC 61508-2:2010。

雖然上面是數(shù)字ASIC的V模型，但也可以理解為混合信號或模擬設(shè)計(jì)的V模型。在流片之前進(jìn)行的模擬是驗(yàn)證項(xiàng)目的示例，而在硅片上進(jìn)行的測量則是帶可靠性測試的確認(rèn)項(xiàng)目，包括特別重要的HTOL（高溫工作壽命）、HAST（高加速應(yīng)力測試）等，因?yàn)樗鼈冋故緦ψ罱K應(yīng)用的適用性。

《持續(xù)工程入門》(Continuous Engineering for Dummies)一書中的定義很好：“驗(yàn)證檢查設(shè)計(jì)是否達(dá)到了規(guī)定要求并符合標(biāo)準(zhǔn)（換句話說，您正在創(chuàng)建系統(tǒng)的方式是正確的）。確認(rèn)檢查設(shè)計(jì)是否滿足最終用戶的需求（換句話說，您正在創(chuàng)建正確的系統(tǒng)）”。這一定義清楚地表明，驗(yàn)證可以在任何級別和任何過程步驟中應(yīng)用。因此，例如，如果您必須為一個IC進(jìn)行FMEDA，您可以驗(yàn)證在進(jìn)行FMEDA時(shí)是否遵循公司的流程，以及您希望在FMEDA中看到的所有內(nèi)容是否都包含在內(nèi)。同樣，如果您有一個新產(chǎn)品開發(fā)流程，您可以驗(yàn)證是否遵循了所有適用步驟。

吸引我注意的其他定義包括J3061《網(wǎng)絡(luò)物理車輛系統(tǒng)網(wǎng)絡(luò)安全指南》中的定義，它強(qiáng)調(diào)驗(yàn)證與確認(rèn)的內(nèi)部和外部范圍。

在IEC 61508中，該術(shù)語有點(diǎn)偏離了上述內(nèi)容，例如，軟件確認(rèn)是指“通過檢查和提供客觀證據(jù)來確認(rèn)該軟件符合軟件安全要求規(guī)范”–見IEC 61508-4:2010第3.8.2條。在IEC 61508-3:2010第7.9.1條中，這一定義的使用被解釋為“由領(lǐng)域?qū)＜覚z查安全要求規(guī)范本身是否正確”。在某種程度上，這類似于IC的情況，在這種情況下，ADI公司的確認(rèn)測試通常無法證明它將按預(yù)期在安全功能中發(fā)揮作用，這與下面視頻中的理想情況形成了對比。

Philip Koopman在他的《更好的嵌入式系統(tǒng)軟件》(Better Embedded System Software)一書中也描述了V&V（驗(yàn)證與確認(rèn)），他在第49頁寫到，“測試需要實(shí)際執(zhí)行一款軟件，以確定其性能是否符合要求、設(shè)計(jì)的性能和其他預(yù)期。它不同于其他形式的驗(yàn)證與確認(rèn)，因?yàn)樗鼘?shí)際上是基于代碼執(zhí)行的操作，而不是評審人員認(rèn)為代碼可能執(zhí)行的操作”，這清楚地表明測試是一種驗(yàn)證形式。他在后面繼續(xù)寫到：“驗(yàn)證是確保正確地遵循設(shè)計(jì)步驟，并且大致對應(yīng)于向后追溯的概念（知道您符合上一個設(shè)計(jì)步驟的輸出）。V&V（驗(yàn)證與確認(rèn)）這個總稱經(jīng)常用于描述所有用于確保設(shè)計(jì)過程正常進(jìn)行的活動……V&V的全部活動都很重要……”。

還有更多例子，但我覺得再給出一個UL 1998的示例就足夠了。

審核編輯：何安