软件架构设计以层次结构的形式表示软件体系结构元素及其交互。描述了静态方面(如软件组件之间的接口)和动态方面(如流程序列和定时行为)。
注意:软件架构设计并不一定局限于一个微控制器或ECU。每个微控制器的软件架构也由这个子阶段。
软件架构设计既能满足软件安全需求,又能满足其他软件需求。因此,在这个子阶段中,与安全性相关和非安全性相关的软件需求是在一个开发过程中处理的。
软件架构设计提供了使用ASIL实现软件需求和软件安全需求的方法,并管理软件详细设计和实现的复杂性。
《软件架构设计在26262标准中的实践》
软件架构设计是软件开发过程中的核心环节,尤其在遵循ISO 26262标准的汽车电子控制系统开发中,其重要性更是不言而喻。该标准旨在确保软件的安全性和可靠性,而软件架构设计正是实现这一目标的关键步骤。
软件架构设计的目标是明确的。它不仅要开发出符合软件安全要求的体系结构设计,同时也要满足其他非安全性相关的软件需求。在这个阶段,软件的安全性和功能性需求被统一处理,以确保设计的全面性和完整性。此外,架构设计还需支持后续的软件实施和验证工作,通过ASIL(Automotive Safety Integrity Level)级别的实现,有效管理软件的详细设计和实现过程中的复杂性。
在实际操作中,软件架构设计通常表现为层次结构,展示各个软件组件及其交互。这包括静态方面,如组件间的接口定义,以及动态方面,如流程序列和时间行为的描述。值得注意的是,架构设计并不仅限于单个微控制器或ECU(Electronic Control Unit),而是覆盖整个系统的软件架构。
在开发软件架构设计时,必须考虑一系列因素以防止系统性错误。设计应具有可理解性、一致性、低复杂性、可验证性、模块化、抽象性以及封装和可维护性。这些特征确保了设计的清晰度、一致性和易于验证,同时也便于后续的开发和维护。同时,设计的可验证性至关重要,要求存在双向可追溯性,即从软件架构设计到安全需求,反之亦然。
在设计过程中,软件架构需达到确定软件单元的层次,描述其静态和动态设计方面。静态设计涉及软件结构、数据类型、接口、嵌入式软件的外部接口等,而动态设计则关注事件和行为、数据处理逻辑、控制流和并发性等。考虑到不同运行状态,如启动、关闭、正常运行等,动态行为的描述需要详细到任务、时间片和中断的通信关系及其硬件分配。
在ISO 26262标准下,软件安全要求需按层次分配到软件组件,每个组件应按照其分配的最高ASIL级别进行开发。共享资源的使用需要保证不会干扰软件分区,这可能需要硬件特性如内存保护单元的支持。软件分区的有效性将在软件集成和验证过程中得到验证。
面向安全的分析应在软件架构层面进行,以证明软件是否能够满足相关ASIL的安全相关功能和属性,识别安全相关部分,并验证安全措施的有效性。当软件安全要求的实现依赖于组件间的互不干扰时,还需要进行故障及其影响的分析。
软件架构设计在ISO 26262标准下的实施是一个严谨且综合的过程,它要求设计师在满足安全性和功能性的基础上,充分考虑设计的可验证性、可维护性和模块化,以确保软件的高效开发和可靠的运行。
