1、符合 ISO26262 标准的软件测试解决方案随着汽车行业的迅速发展,汽车电子电器 E/E 系统在汽车中的作用不断提高, ECU 开发所占用的时间和成本也越来越高。与此同时,越来越多的电子控制系统(例如车身稳定控制系统 ESP,防抱死制动系统ABS,自适应前照明系统 AFS 等)具有与安全相关的功能,因此对 ECU 的安全要求也越来越高。为了减少产品的开发时间和成本,降低由于安全问题而导致的维护甚至召回的风险,越来越多的整车厂和供应商开始重视汽车领域的功能安全问题,ECU 软件功能安全的问题也成为汽车行业迫切需要解决的问题,车辆功能安全标准 ISO 26262 就在这样的环境和需求下应运而生,
2、并于 2011 年 11 月正式发布第一版本,该标准是当前汽车业中最流行、最复杂、也是最重要的一份标准。ISO 26262 的目标是通过避免汽车 E/E 系统故障行为可能导致的危害来提高 E/E 系统的功能安全。ISO 26262 采用车辆安全完整性等级(ASIL )来判断系统的功能安全程度, ASIL 由 ASIL A(最低) 、ASIL B、ASIL C 及 ASIL D(最高)四个等级组成, ASIL 等级越高表示系统的功能安全评估越严格,相应的表示系统正确执行安全功能,或者说的避免该功能出错的概率越高,即系统的安全可靠性越高。ISO 26262 标准的组成架构由十个规范和信息指导文件组
3、成,其中 ISO 262624/5/6 阐述的是系统级/硬件级/软件级的产品开发,使用嵌套的 V 模型定义了每个开发阶段的过程以及相应的工作产品。本解决方案主要阐明了在软件级产品开发阶段如何去理解 ISO 26262 的要求,并且指出了在实际的软件开发过程中如何结合 ISO 26262 的软件测试生命周期,通过包括软件测试工作的执行以及过程控制等方面来确保 ECU 软件质量满足 ISO 26262 软件级功能安全相应等级的要求。基于 V 模式的 ISO26262 软件测试生命周期如图所示,基于 V 模式的 ISO 26262-6 软件测试生命周期可以划分为五个阶段:静态分析需求和功能需求:在软
4、件级产品开发初始化阶段和软件安全需求规范制定阶段确定了一些基本的嵌入式软件静态分析需求和功能需求,这部分内容是以后设计和测试的基础;架构验证:在软件架构设计阶段,我们可以使用人工分析的方式来验证和测试软件架构层的内容,但是有条件的话最好使用合适的架构设计工具,在设计的过程中同时进行架构验证;静态测试:在软件单元设计和实现阶段同时进行静态测试,可以使用开发辅助工具来进行静态测试,这样不必因为静态测试的活动而改变开发流程。动态测试:在软件单元测试阶段以及软件集成和测试阶段,使用合适的动态测试工具进行动态单元和集成测试,功能验证:在软件安全需求验证阶段,要根据 ISO 26262-6 的要求进行功能
5、验证,包括进行 ECU 网络环境测试和实车测试,必要的时候进行 HIL 测试。因为在静态分析需求中所需要满足的方法基本上都是属于静态测试的范畴的,因此我们以 ASIL A 为例,将软件测试内容分为静态测试、动态测试和功能验证三部分(注:架构验证暂时未包含在内) ,见下表。表中所列举的静态测试内容里面要求采取多种的测试方法,例如低复杂度的强制要求一般需要通过满足一定的度量指标来实现,度量指标包括圈复杂度、嵌套深度等等,而使用语言的子集在汽车行业一般选择 MISRA-C,通过强制使用编码规范来排除未定义行为或者实现定义行为等危险用法,除此之外静态测试还要求一些其他的测试方法,例如如果要满足更高的安
6、全完整性等级的话,静态测试内容还需要包括运行时错误检测等,一般需要使用可靠性测试性的测试。ASIL A 所要求的动态测试要求能够基于需求分析和设计测试用例,因此需要在开发过程中提供对需求管理的支持,同时要求能够针对函数或模块提供覆盖度分析等。如果是更高等级的 ASIL 的话可能还需要进行不同环境的测试,例如模型在环测试(MIL)和软件在环测试(SIL) ,并在必要的情况下进行 MIL 和SIL 的对比测试。软件安全需求的测试环境需要根据 ASIL 等级来进行选取,并且至少要在一个以上不同环境内执行测试。ASIL A 所要求的 ECU 网络测试包括了网络中各 ECU 之间的相互作用,目的是确保
7、ECU 之间没有引起功能故障的相互干扰,而实车测试则是在真正的 ECU 软件运行环境中进行测试的方式,根据功能安全需求规范来进行,可以最直观地反映出 ECU 软件是否能够满足定义的功能安全需求。当然在必要的时候还需要进行硬件在环测试(HIL) ,通过仿真控制系统中传感器和执行器的硬件(Hardware)电气特性,为嵌入式控制器构建起一个控制回路 (Loop),从而可以方便的在其中模拟被控对象的工作环境,对 ECU 的算法进行功能验证和测试。针对前面划分的 ISO 26262 所关注的静态测试、动态测试和功能验证的要求,下面我们就来看一下解决方案中如何来满足这些需求。符合 ISO26262 标准
8、的静态测试在静态测试中,静态分析主要包括规则检测和质量度量;可靠性测试主要进行运行时错误的检测。上面提到 ASIL A 中针对编码准则的需求以及其他 ASIL 等级所强烈推荐的例如使用风格指南等需求都是不需要运行源程序来检测,因此都属于静态分析的范畴,虽然这些需求也可以通过人工检查的方式实现,但一个好的静态分析工具几乎可以自动化地执行表 1 中所有的要求,通过静态分析工具来帮助我们检查和满足这些规定可以明显地帮助组织更有效率地实现 ISO 26262 静态分析的相关需求。针对静态分析的需求,我们提供 DAC 这样一个工具,它的主要功能包括:可以自动化地地执行 C 代码及汇编代码的静态分析,支持
9、包括 MISRA-C1998 和 2004 的规则检测;提供项目、文件和函数质量度量;提供方便快捷的代码结构生成,高亮显示代码结构并生成报告文档等。在静态测试中,除了规则检测和质量度量以外,还有一类错误我们称之为运行时错误,例如数组越界、标量溢出等。运行时错误顾名思义是程序运行的时候才会出现的错误,针对这样的错误,使用传统的测试方式只有在动态地运行测试用例的时候才有可能发现,但是现在的测试工具可以使用先进的代码分析技术,不需要真正去执行源代码,而是使用数学方法分析源代码,发现代码中在运行的时候可能会出现错误的地方,从而实现通过静态测试的方式来达到一定的动态测试的效果。因为运行时错误会直接影响的
10、程序执行的可靠性,所以针对这类错误的测试我们也可以称之为可靠性测试。针对可靠性测试的需求,我们提供澳大利亚的一个运行时错误监测工具 Goanna。其模型检测技术可以对所有函数提供高效的路径覆盖,检查超过 90 种运行时错误,包括空指针引用、危险的指针运算、未初始化/未使用变量、冗余/不需要的代码、除零、内存泄露、缓冲区溢出、释放后使用、不一致的释放、滥用的虚拟成员调用、算术错误、32/64 位兼容性等。符合 ISO26262 标准的软件代码 SIL 测试在准备和设计阶段,大部分都是属于静态测试的工作,它在确认设计或实现的不足时非常高效,但它不能证明功能正确。而依 ISO 26262-6 标准开
11、发的软件根据需达到的车辆安全完整性等级( ASIL)不同,还需要经过各种动态测试,动态测试可以验证软件功能,因此是对静态测试的有效补充。以前的动态测试大部分是通过人工的方式实现,但是由于动态测试巨大的工作量,以及测试用例难以重用,测试覆盖率无法计算的困难,因此在测试解决方案中还是需要选择合适的动态测试工具来执行软件单元测试。又因为 ISO 26262 对需求和测试有可追溯性的要求,所以最好测试工具可以和相关需求管理工具集成,例如能够从需求管理工具中将需求导入,再将测试用例和需求链接起来,并且实现数据的双向同步。针对软件代码 SIL 测试,我们提供德国的代码级动态测试工具 Tessy。它的基本功
12、能包括:全自动地测试执行和评估;多种方式确定测试用例;基于需求的测试跟踪;不需要用户介入的回归测试;代码覆盖率;自动生成测试报告等。在 Tessy 中,测试用例的设计不仅可以基于需求覆盖来进行,包括进行需求管理、需求跟踪、需求覆盖度统计等,也可以基于代码覆盖进行测试用例设计,并且非常方便地达到 MC/DC 覆盖的等级。符合 ISO26262 标准的 MIL 测试在汽车领域的嵌入式控制系统开发中,基于模型的开发(Model-Based Development)的设计方法以其直观、快速、高效等优势已经得到广泛的应用。但是由于系统的复杂性,建立起来的仿真模型也越来越复杂,根据自动生成代码的测试结果再
13、来改进模型的测试方式也变得越来越困难,并且根据 ISO 26262 标准 ASIL C 和 D 的要求,必须对模型和对应的代码分别进行单元测试并且比较结果,因此,如果是使用模型自动生成代码的设计方式的话,我们需要在建立了仿真模型之后就对模型进行测试,在确保模型功能正确的基础之上来自动生成代码再进行代码测试。针对 MIL 测试,我们提供德国的分时段测试工具 TPT,实现对控制系统以及闭环控制系统模型的MIL 测试。TPT 软件由于首创地使用分时段测试(Time Partition Testing) ,使得控制系统的软件测试技术得以极大提升;同时由于 TPT 软件支持众多业内主流的工具平台和测试环
14、境,能够更好地利用客户已有的投资,实现各种异构环境下的自动化测试;针对 MATLAB/Simulink/Stateflow 以及 TargetLink,TPT专门设计了完美的接口构建功能模型,然后在 TPT 中创建测试用例模型,通过 TPT 的 MATLAB 接口保证测试的高效率执行。提供了全方位的支持进行模型测试。同时,在 TPT 中可以满足 ISO 26262 基于功能设计测试用例的需求,包括分析建立场景、定义测试用例组件、确定场景组合、生成测试用例等。符合 ISO26262 标准的网络测试和 HIL 测试不论是 AUTOSAR 还是 OSEK,都把网络作为整个软件结构的基础,因此对网络的
15、验证放在功能验证之前进行,ISO 26262 也在最低功能安全等级 ASIL A 里面就提出了网络环境测试的需求。网络测试是功能测试的基础,在上面有应用层的时候,在做应用层验证之前,先进行网络验证。现在网络已经越来越复杂,CAN、LIN,一般都有三四十个节点,汽车里面有很多总线的环境,最底下是物理层(CAN-驱动) ,在 CAN 的物理层之上有很多应用层的协议栈,利用 Vector 的 HIL 测试系统VT,再基于 Vector 另一个工具 CANoe 的优势可以很好的进行协议栈的仿真,实现网络测试的需求。HIL 测试一般可以分为两种情况,一是基于真实负载的测试,另一种是在极端情况下或者说在自
16、动化环境下更常用的是实用方针负载进行测试。不论是真实负载还是仿真负载,最重要的一点就是构建自动化的仿真环境出来,Vector 的 VT 系统能够提供模块化的测试接口设备,为供电环境、总线接口、传感器激励和仿真负载等提供相应的模块来搭建测试环境。CANoe 基于它先天的网路仿真的测试功能,再加上 VT系统可以帮助我们简化测试平台的搭建以及测试执行的过程,并将测试能力扩展到 HIL 和功能测试。符合 ISO26262 标准的实车测试不论是代码测试、模型测试还是网络测试或者 HIL 测试,基本都是偏研发的测试,除此之外在研发后期还需要实车测试。传统实车测试需要专门驾驶员和一些测试人员到现场进行测试并
17、采集数据,而现在比较流行的远程测试则是通过在车上加装一些远程监控设备,将测试系统在测试过程中产生的数据通过远程传输的方式发送到数据后台,并且在测试过程中不仅可以记录测试数据,还能根据测试的要求远程下载测试任务,例如更新需要采集的数据等,我们提供的德国 CarMediaLab 公司的产品 Flea 就可以实现这种功能。车辆实时采集的数据主要是总线信息,需要在分析过程中和工况结合起来,而在进行离线分析时还可以与 TPT 结合起来。北汇信息能够提供的服务和技术支持上海北汇信息科技有限公司在汽车行业具有丰富的嵌入式软件开发和测试的经验,对于 ISO 26262标准中过程控制和测试相关内容有深刻理解和实
18、践经验。北汇信息可以为客户提供 ISO26262 标准的培训,帮助客户理解标准;并且与合作伙伴一起,提供 ISO26262 标准的实施咨询服务,真正在客户具体的项目中帮助客户全流程满足 ISO26262 标准;在软件测试方面,提供了完整的软件测试工具链,并提供相应的技术支持和服务。以满足 ISO 26262 软件级测试需求为例,北汇信息可以根据客户嵌入式软件开发和测试的业务现状以及客户现有或者将要有的嵌入式软件测试工具,针对汽车行业道路车辆功能安全标准 ISO 26262 软件级测试的要求构建嵌入式软件测试解决方案。针对 ISO 26262 的嵌入式软件测试解决方案的本质是从嵌入式软件功能安全
19、的角度来支持公司嵌入式软件开发项目的开展,不仅要分析 ISO 26262 对于嵌入式软件测试的需求,针对需求搭建相应的软件测试工具链,实现对于测试需求的满足和覆盖,同时必须制定相关软件测试的流程和测试模板,从而保证各阶段测试的有序进行以及能够产生相应的工作产品。 主要分为以下五部分的内容:1、现状/需求调研:通过前期现状调研,了解客户当前嵌入式软件测试状况和需求,对当前工程过程和 ISO 26262 软件级开发测试要求进行差距分析,提出可行性改进建议;2、建立流程:对测试过程进行优化或者重定义一个合适的过程架构,创建嵌入式软件测试过程的描述文档以及相关文档的模板;3、能力建设:分析和介绍相关的现有或者将有的嵌入式软件测试工具,对工程师进行功能安全相关的软件测试和工具应用的相关培训,将软件测试工具嵌入到软件测试流程中,并使测试人员了解不同的测试工具在嵌入式软件测试生命周期中的位置和作用;4、测试项目执行:指导用户根据新制定的测试流程,应用嵌入式软件测试工具链开展一个软件测试项目,帮助用户驾驭和优化过程,生成相关工作产品和测试报告;5、对上述所有活动的规划,监测和报告。