符合ISO26262标准的软件测试解决方案.doc
版权申诉
119 浏览量
2022-07-09
11:17:44
上传
评论
收藏 27KB DOC 举报
符合 ISO26262 标准的软件测试解决方案
随着汽车行业的迅速发展,汽车电子电器 E/E 系统在汽车中的作用不断提高,ECU 开发所占用的时间和成
本也越来越高.与此同时,越来越多的电子控制系统(例如车身稳定控制系统 ESP,防抱死制动系统 ABS,
自适应前照明系统 AFS 等)具有与安全相关的功能,因此对 ECU 的安全要求也越来越高。为了减少产品的
开发时间和成本,降低由于安全问题而导致的维护甚至召回的风险,越来越多的整车厂和供应商开始重视
汽车领域的功能安全问题,ECU 软件功能安全的问题也成为汽车行业迫切需要解决的问题,车辆功能安全标
准 ISO 26262 就在这样的环境和需求下应运而生,并于 2011 年 11 月正式发布第一版本,该标准是当前汽
车业中最流行、最复杂、也是最重要的一份标准.
ISO 26262 的目标是通过避免汽车 E/E 系统故障行为可能导致的危害来提高 E/E 系统的功能安全。ISO
26262 采用车辆安全完整性等级(ASIL)来判断系统的功能安全程度,ASIL 由 ASIL A(最低)、ASIL B、
ASIL C 及 ASIL D(最高)四个等级组成,ASIL 等级越高表示系统的功能安全评估越严格,相应的表示系
统正确执行安全功能,或者说的避免该功能出错的概率越高,即系统的安全可靠性越高。
ISO 26262 标准的组成架构由十个规范和信息指导文件组成,其中 ISO 26262—4/5/6 阐述的是系统级/
硬件级/软件级的产品开发,使用嵌套的 V 模型定义了每个开发阶段的过程以及相应的工作产品.本解决方
案主要阐明了在软件级产品开发阶段如何去理解 ISO 26262 的要求,并且指出了在实际的软件开发过程中
如何结合 ISO 26262 的软件测试生命周期,通过包括软件测试工作的执行以及过程控制等方面来确保 ECU
软件质量满足 ISO 26262 软件级功能安全相应等级的要求。
基于 V 模式的 ISO26262 软件测试生命周期
如图所示,基于 V 模式的 ISO 26262-6 软件测试生命周期可以划分为五个阶段:
静态分析需求和功能需求:在软件级产品开发初始化阶段和软件安全需求规范制定阶段确定了一些基本的
嵌入式软件静态分析需求和功能需求,这部分内容是以后设计和测试的基础;
架构验证:在软件架构设计阶段,我们可以使用人工分析的方式来验证和测试软件架构层的内容,但是有条
件的话最好使用合适的架构设计工具,在设计的过程中同时进行架构验证;
静态测试:在软件单元设计和实现阶段同时进行静态测试,可以使用开发辅助工具来进行静态测试,这样
不必因为静态测试的活动而改变开发流程.
动态测试:在软件单元测试阶段以及软件集成和测试阶段,使用合适的动态测试工具进行动态单元和集成
测试,
功能验证:在软件安全需求验证阶段,要根据 ISO 26262-6 的要求进行功能验证,包括进行 ECU 网络环境
测试和实车测试,必要的时候进行 HIL 测试。
因为在静态分析需求中所需要满足的方法基本上都是属于静态测试的范畴的,因此我们以 ASIL A 为例,
将软件测试内容分为静态测试、动态测试和功能验证三部分(注:架构验证暂时未包含在内),见下表。
表中所列举的静态测试内容里面要求采取多种的测试方法,例如‘低复杂度的强制要求’一般需要通过满足
一定的度量指标来实现,度量指标包括圈复杂度、嵌套深度等等,而‘使用语言的子集’在汽车行业一般选择
MISRA-C,通过强制使用编码规范来排除未定义行为或者实现定义行为等危险用法,除此之外静态测试还
要求一些其他的测试方法,例如如果要满足更高的安全完整性等级的话,静态测试内容还需要包括运行时
错误检测等,一般需要使用可靠性测试性的测试。
ASIL A 所要求的动态测试要求能够基于需求分析和设计测试用例,因此需要在开发过程中提供对需求管
理的支持,同时要求能够针对函数或模块提供覆盖度分析等。如果是更高等级的 ASIL 的话可能还需要进行
评论0