product-risk-control-standard.md 6.23 KB

Product Risk Control Standard

本文根据 temp/产品设计风险控制列表.xlsxtemp/组织经验教训列表 (1).xls 整理,用于指导产品、软件、算法开发和评审。后续开发默认按本规范检查;如业务需求与本规范冲突,应先提交风险说明并由负责人确认。

风险等级

  • S 级:可能造成恶劣社会影响、人身财产重大损失或大量误处罚的问题,必须尽全力避免。
  • A 级:可能给外部客户或公司人员、财产造成严重损失的问题。
  • B 级:可能影响公司商誉、造成客户损失或显著增加内部维护成本的问题。
  • C 级:可能造成内部效率低下、测试和维护成本增加的问题。

通用开发原则

  • 修改前明确本次变更涉及的风险等级;涉及 S/A 级风险时,必须补充设计说明、异常处理、验证方式和回退方案。
  • 与执法、抓拍、校时、速度、上传相关的逻辑默认按 S 级风险处理,宁可隔离异常数据,也不得直接产生或上传可疑违法数据。
  • 升级、配置、存储、兼容性、看门狗、重启策略等基础能力默认按产品级能力设计,不按单点项目临时处理。
  • 对外宣传或产品定义中承诺的检测能力,必须在设计、实现、测试中闭环验证,不允许只为应付检测增加临时判断。
  • 关键问题应从设计根因解决;临时规避逻辑必须标注适用范围、失效条件和后续治理计划。

产品定义和设计

  • 产品功能、硬件接口、配套外设、应用场景、使用环境和检测标准范围必须定义清楚。
  • 设备稳定性、处理能力、检测指标、视频和图片处理速度必须有明确量化要求。
  • UI 和客户端设计应优先考虑易用性、统一性和现场维护效率,避免一个产品依赖多个调试客户端。
  • 新设备、新平台、新工具必须考虑向前兼容;老设备核心能力不能因升级链路变化被放弃。
  • 转产前必须提供转产文件、质检方法、检验标准、测试工装、老化工具和受控的软件版本。
  • 外购或选型产品必须完成基本测试、现场环境模拟测试、室内外效果测试和入库检测方案;质量责任、赔偿条款、合格率、保质期和备件要求应写入采购约束。

校时和违法数据

  • 设备时间必须有可靠校时方案;支持 NTP 时优先使用 NTP,网络中断时可使用 GPS,网络恢复后应进行二次校验。
  • 校时失败、时间跳变、时间异常时必须报警或进入异常状态,不得静默继续产生高风险业务结果。
  • 时间异常数据必须隔离保存到独立路径,不得按正常违法数据上传。
  • 速度异常不得生成超速违法结果。
  • 短时间大量抓拍、报警或违法数据必须触发阈值保护和隔离机制,避免批量误抓、误处罚。
  • 对误抓问题必须保留原因分析线索,能够定位输入、算法、配置、时间、速度或上传链路中的责任环节。

升级、配置和兼容性

  • 升级工具应支持批量升级,并向前兼容历史设备;新产品也应接入统一升级工具。
  • 升级完成后不得改变原有参数设置,包括检测区域、标定线、任务配置和业务阈值。
  • 配置信息不得在程序运行中被自动、隐式修改;异常重启、断电、升级失败后配置应保持一致。
  • 配置文件应与程序文件分离并集中管理,降低升级误覆盖风险。
  • 系统盘应尽量只读;日志集中写入指定目录,不能写到程序目录。
  • 产品应关注操作系统、浏览器、OCX 插件、NVR、国标 GB 28181、ONVIF 及常用网络协议的兼容性。

存储和日志

  • TF/SD 卡、SSD、硬盘等存储介质必须监测读写频率、介质状态、坏块和坏道。
  • 相机 Flash、终端 EMMC 不得作为频繁读写的数据存储介质使用;发布前应统计关键存储写入量。
  • 对异常重启、断电、硬盘读写异常应有保护、报警和恢复方案。
  • 日志文件必须支持定期自动删除,避免占满空间导致业务异常。
  • 存储介质应有碎片和冗余日志治理策略。

稳定性和异常处理

  • 设备必须具备假死处理方案,硬件看门狗应守护系统主线程或关键业务线程。
  • 设备应支持定时重启,但不能因配置错误、网络异常或视频异常而反复重启。
  • 一般软件错误不得影响系统核心功能持续运行;异常输入、异常操作、网络丢包、视频花屏和卡顿均应有容错设计。
  • 网络较差时,视频流处理和上传链路应具备降级、重试、隔离或告警能力。

算法设计

  • 算法方案必须明确捕获率、有效率、车牌识别率等指标和验证方式。
  • 算法不得随意控制球机频繁无效运动,避免缩短设备寿命。
  • 雷达、红灯信号采集器、补光灯、视频画面等接入信号异常时,算法应有明确处理机制。
  • 误抓保护属于 S 级要求,必须支持短时间异常数据保护。
  • 算法问题应优先从算法设计根源解决,不能长期依赖外层逻辑判断掩盖。

经验教训约束

  • 交通执法系统时间错误曾导致批量误抓和赔偿风险;任何时间相关改动必须纳入重点回归。
  • 大文件升级和版本数据不兼容会造成数据问题和高额维护成本;涉及数据结构、配置格式、模型版本的升级必须提供兼容策略。
  • 授权文件、只读系统盘、Flash/EMMC 写入、统计精度等问题应在设计评审和发布验证中显式检查。
  • 客户要求的统计精度、检测精度和验收指标必须转化为可执行测试用例。

发布前检查

  • 是否涉及 S/A 级风险,是否已完成设计说明、评审和验证记录。
  • 是否覆盖校时异常、速度异常、短时间大量数据、上传隔离和误抓保护。
  • 是否验证升级后配置不变、历史设备兼容、数据格式兼容。
  • 是否验证异常重启、断电、存储满、坏块、网络丢包、视频异常和信号异常。
  • 是否统计关键存储写入量,确认没有频繁写 Flash/EMMC。
  • 是否验证日志自动清理、看门狗、假死处理和定时重启策略。
  • 是否说明未覆盖的硬件环境、现场条件和人工验证项。