基于ISO26262功能安全标准的汽车电子系统测试方法_上_杨国青.pdf-道客多多

资源描述

1、49责任编辑：王莹热门技术Focus T 2013.4ISO26262标准概述功能安全标准 (ISO26262)是从电子 a 电气及可编程器件功能安全基本标准 IEC615081派生出来的主要定位在汽车行业中特定的电气器件 a 电子设备 a 可编程电子器件等专门用于汽车领域的部件旨在提高汽车电子 a 电气产品功能安全的国际标准2bI S O 2 6 2 6 2从2005年 11月起正式开始制定经历了大约 6年左右

2、的时间已于 2011年 11月正式颁布成为国际标准 b 中国也正在积极进行相应国标的制定 bISO26262主要内容包括：提供了汽车生命周期 (管理研发生产运行服务拆解 )和生命周期中必要的改装活动 b提供了决定风险等级的具体风险评估方法 (汽车安全综合等级 ASILs5)b使用 ASILs方法来确定获得可接受的残余风险的必要安全要求 b提供了确保获得足够的和可接受的安全等级的有效性和确定性措

3、施 b功能安全受研发过程 (包括具体要求设计执行整合验证有效性和配置 ) 生产过程和服务流程以及管理流程的影响 b安全事件总是和通常的功能和质量相关的研发活动及产品伴随在一起 b ISO26262强调了研发活动和产品的安全相关方面 b符合性要求1)如果要宣称符合 ISO26262 那必须是符合其每个要求除非有如下情况之一根据 ISO26262-2中对不适用的要求进行安全行为的裁剪针对不符合项提出其说明理

4、由并对理由根据 ISO26262-2进行评估 2 )所有安全行为的输出物都在ISO26262中有明确的规定 b基于ISO 26262功能安全标准的汽车电子系统测试方法(上)Test Method for Automotive Electronics System Based on ISO 26262 (1st Half)杨国青浙江大学科学技术研究院(杭州310027) 厉蒋杭州速玛科技有限公司(杭州310027)杨国青：副研究员，研究方向为嵌入式系统、汽车电子；厉蒋，产品经理，研究方向为机电系统测试。摘要：本文针对汽车电子产品功能安全要求，从测试的

5、角度详细分析了ISO 26262标准中的具体要求，包括ISO 26262对测试流程的规定，对硬件集成和测试的规定，对软件集成和测试的规定，以及对产品集成和测试的规定。关键词：ISO 26262；汽车电子；测试DOI: 10.3969/j.issn.1005-5517.2013.4.005方法安全等级(ASIL)A B C D1a 需求的分析 + + + +1b 内部和外部接口的分析 + + + +1c 等价类的分析和生成 + + + +1d 边界值的分析 + + + +1e基于知识和经验的错误推导+ + + +1f 功能相关性的分析 + + + +1g一般限制条件以及一般原因的来源和顺序的分

6、析+ + + +1h 环境和用途的分析 + + + +1iISO16750a ISO11452等标准+ + + +1j重要变种的分析(包括最差情况分析)+ + + +方法安全等级(ASIL)A B C D1 功能性测试 + + + +2 故障注入测试 + + + +3 电气测试 + + + +表1 硬件集成测试案例的设计方法表2 硬件安全机制完整性和正确性的测试方法305831JOEE 50责任编辑：王莹热门技术 Focus T2013.43)下文中出现的列举各测试方法的表中有不同的序号表示方法连续的序号比如1.2.3 所有的方法应被用于对应的

7、 ASIL等级如果出现所列表中之外的方法背用于测试则需要进行说明 b可选的序号比如 1a,1b,1c可以选择某个或多个方法进行测试并优先考虑更高推荐指数的方法 b 如果多个方法被组合选择用于测试则需要进行说明 b4) 针对 ASIL的各级表中的每个方法都有对应推荐指数 o +p 最高的推荐指数o +p 建议使用o 0p 不建议使用或不需使用测试概述ISO 26262-83中的第 9章节描述了 o Verificationp

8、的目标 a 要求和建议 a 工作输出等 b Verification是用于确保实现与需求的一致性在安全生命周期的几个阶段中都会用到 b 包括概念阶段 a 产品开发阶段 a 生成和运营阶段 b 本文主要描述在产品开发阶段中的测试环节中需要用到的各种测试要求和建议 b测试计划1 ) 在测试执行前都需要建立测试计划其主要包括几部分测试范围用于测试的产品内容测试方法用于测试的各种方法测试标准测试通过或失败的标准测试环境如果需要用

9、到各种测试环境比如仿真环境等需要进行说明测试工具用到的各种测试工具出现异常后的对策回归策略在测试对象发生变更时指定其如何进行回归测试比如全部回归 a 部分回归 a 和其他测试案例一起回归等 b2)测试计划的制定还需考虑到以下几个方面测试方法的完整性测试对象的复杂度测试经验测试技术的成熟性和风险 b测试规格1) 测试规格需要选择和指定用于测试的方法并包括测试案例 a 测试数据和测试对象 b2) 每个测试案例需要包括序号唯一的I D测

10、试对象的版本号测试对象的条件和配置针对测试对象的不同配置需要选择合理的测试案例进行测试测试环境输入值和顺序期望行为报刊输出值 a 输出范围 a 功能表现等3) 测试案例需要根据测试方法来分类 b 针对每个测试方法除了测试案例外还需考虑以下几方面测试环境相关性测试资源 b测试执行和测试报告4)按照上述章节中制定的测试计划和测试规格进行测试的执行 b5)针对测试结果其测试报告需包括以下几个方面测试对象的I D 测试计划和测试规格的引用测试环境 a 测试工具 a

11、标定数据测试结果和期望值的符合度测试通过或失败的结论如果失败还需要指明失败原因和修改建议针对没有执行的测试案例说明原因 b表3 硬件级鲁棒性测试方法表4 软件单元测试的方法方法安全等级(ASIL)A B C D1各种环境下的功能测试+ + + +2a 扩展功能测试 O + + +2b 统计测试 O O + +2c 最坏情况测试 O O O +2d 极限测试 + + + +3a 机械测试 + + + +3b 环境测试 + + + +3c 加速寿命测试 + + + +3d 机械耐久性测试 + + + +4 电磁干扰测试 + + + +5 化学测试 + + +

12、+方法安全等级(ASIL)A B C D1a 基于需求的测试 + + + +1b 接口测试 + + + +1c 故障注入测试 + + + +1d 资源利用率测试 + + + +1e模型和代码的比较测试+ + + +32JOEE 51责任编辑：王莹热门技术Focus T 2013.4ISO26262中的测试阶段ISO26262中涉及到测试的阶段共包括 o 硬件集成和测试 p a o 软件集成和测试 p a o 产品集成和测试 p 这三部分 b 下面章节分别介绍这三部分的要求和建议 b硬件集成和测试ISO26262中

13、 o Part 5 Product Development Hardware Levelp 针对产品开发的硬件部分提出了专门的集成和测试要求和建议 b 硬件集成和测试需要按照安全计划和验证要求来按计划进行硬件集成和测试需要按照产品集成和测试计划来进行针对变更需要按照标准规定中的变更管理来对测试策略进行影响分析测试的设备可以按照国际标准(比如 ISO17025)或公司标准来进行标定硬件集成测试的测试案例需

14、要按照表 1的方法进行设计针对硬件安全需求硬件集成和测试需要对其安全机制实现的完整性和正确性进行验证其方法如表 2所示 b 硬件集成和测试需要按照表 3的方法进行外部压力环境下的鲁棒性测试 b软件集成和测试软件单元测试软件单元测试是在软件开发过程中要进行的最低级别的测试活动软件的独立单元将在与程序的其他部分相隔离的情况下进行测试 b ISO26262中规定了其相对应的

15、要求和建议软件单元测试需按照o ISO26262-8 章节 9中 p 的验证要求来有计划的定义和执行 b 软件单元测试的对象是具体的软件实现单元在基于模型的软件开发过程中软件单元测试的对象是其单元模型 b 软件单元测试需要按照表 4中列的方法进行以完成以下目标检查是否符合软件单元设计的具体要求检查是否符合软硬件接口要求检查功能是否正确实现检查是否有异常功能检查软件实现的鲁棒性比如错误处理效率等检查功能所需资源的完整性 b3. 软

16、件单元测试中的测试案例需要按照下表 5中的方法进行分析设计 b4. 软件单元测试中对于需求的覆盖度 a 代码的覆盖度都需要进行衡量具体方法如表 6所示 b 如果覆盖度不够还需要增加其他测试案例 b代码的覆盖度都可以借助一些软件工具来实现如果是基于模型的开发其软件单元测试需要利用类似的模型的结构化覆盖指标来衡量如果通过代码的打桩来进行测试覆盖度的衡量必须保证打桩的代码和正常的代码

17、的执行功能是一致的对于覆盖度衡量目标都需要给出一个合理理由来表示其不同的级别对于无法覆盖的代码可以通过检查等其他方法来进行验证 b5. 软件单元测试需要尽可能的在真实的目标环境上执行如果利用其他环境则需要评估其与真实环境的差异 a 源代码和目标代码的差异分析设计测试案例以便在接下来的测试阶段中得到执行 b测试环境的不同会导致源代码或目标代码的不一致比如不同处理

18、器的位数不一样会导致编译后的目标代码不一致 b表7 软件集成测试方法方法安全等级(ASIL)A B C D1a 基于需求的测试 + + + +1b 接口测试 + + + +1c 故障注入测试 + + + +1d 资源利用率测试 + + + +1c模型和代码的比较测试+ + + +表 5 软件单元测试案例的设计方法方法安全等级(ASIL)A B C D1a 需求分析 + + + +1b 等价类划分 + + + +1c 边界值分析 + + + +1d 错误推导 + + + +表6 软件单元测试覆盖度衡量指标方法安全等级(ASIL)A B C D1a 语句覆盖度 + + +

19、 +1b 分支覆盖度 + + + +1cMC/DC(修正条件/判定覆盖)+ + + +305833JOEE 52责任编辑：王莹热门技术 Focus T2013.4如果能利用目标环境中的相同处理器来运行软件单元测试案例那是最有效的但如果不行则可以用处理器模拟器来代替否则软件单元测试只能在开发系统中进行测试 b软件单元测试可以在不同的环境中执行比如模型在环测试(MIL)a 软件在环测试 (SIL)a 处理器在环测试 (PIL)a 硬件在环测

20、试 (HIL)等 b在基于模型的开发系统中软件单元测试可以在模型级别进行但模型与代码的执行比较测试必须要做以保证模型与自动生成的代码的结果一致性 b软件集成和测试软件集成和测试主要对实现的各软件模块进行集成并验证其嵌入式软件实现是否符合软件架构设计 b 该阶段的要求和建议如下软件集成计划应该描述层次化的集成单个软件单元进软件组件中直到嵌入式软

21、件完全集成并且应该考虑如下软件集成功能的相互关系软件集成和软硬件集成的相互关系 b注意对于基于模型的开发可以先集成各模型然后对集成好的模型进行自动代码生成以完成整体软件的集成 b 软件集成测试根据 I S O 26262-8:2011第 9章计划定义并且执行 b软件集成测试的测试对象是软件组件 b 对于基于模型的开发测试对象可以是和软件组件相关的模型 b 软件集成测试需要按照表 7的方

22、法进行以完成以下目标检查集成的软件是否和软件架构设计一致检查集成的软件是否满足软硬件接口规格验证功能的正确性检查其鲁棒性比如错误检测 a 错误处理机制的有效性检查是否有足够的资源来支持 b 测试案例需要按照表 8中的方法进行分析设计 b 对于软件架构级别的需求测试覆盖度可以用来衡量测试的完整性以及用于证明没有设计之外的功能实现 b 如果有需要可以增加新的测试案例或者提供一个合理的理由

23、说明 b 为了评估测试案例的完整性同时确保没有多余的功能根据表 9列出的指标需要衡量出其结构覆盖率 b 如果覆盖率不够高要么需要添加额外的测试案例或者提供一个合理的理由说明 b 例如结构覆盖率的分析可以用于发现测试案例的不足 a无用代码 a 无效代码或者多余功能等 b结构覆盖率可以利用工具计算出来 b如果是基于模型的开发结构覆盖率可以通过模型级别的模型结构覆盖

24、率来统一计算 b 作为产品发布的一部分嵌入式软件需要被验证其包含设计的所有功能 b 如果嵌入式软件包含了设计之外的功能 (比如用于调试的代码 )则这些功能需要被验证是不影响软件的安全需求的 b 如果这些设计之外的功能在真实产品中保证不会被激活执行那也是符合这个要求的否则删除这些功能也需要按照需求变更流程来统一处理 b 软件集成测试需要尽可

25、能地在真实环境中运行如果不行则需要评估测试环境与真实环境的差异性并针对这些差异在后续的阶段的真实环境的测试中设计专门的案例来执行 b测试环境的不同会导致源代码或目标代码的不一致比如不同处理器表8 软件集成测试的测试案例的设计方法表9 集成软件的结构覆盖率的衡量方法表10 验证软件安全需求的测试环境方法安全等级(ASIL)A B C D1a 需求分析 + + + +1b 等价类划分 + + + +1c 边界值分析 + + + +1d 错误推导 +

26、+ + +方法安全等级(ASIL)A B C D1a 功能覆盖率 + + + +1b 函数覆盖率 + + + +方法安全等级(ASIL)A B C D1a硬件在环测试环境+ + + +1b ECU网络环境 + + + +1c 真实车辆 + + + +下转4934JOEE 2013.4Communications & Networks责任编辑：万翀提示该与节点通信出现故障 b 当通信正常主机可采集节点上所测得的温湿度并在上位机界面上显示 b用户界面如图8所示 b转换器和节点控制器软件设计转换器的功能主要包括实现与

27、上位机 485通信将上位机的查询信息耦合到电力线上同时也将接收来自电力线上的数据采用 Modbus协议的形式通过 485传输到上位机上进行数据的综合处理 b节点控制器的功能为辅助测温装置检测室内温度并响应主机的查询控制命令执行相应的命令操作 b本软件设计采用的是一呼一答的通讯形式即每个节点皆有属于自己图8 上位机软件用户界面图的机号每次主机同时呼叫所有电力线上的

28、节点控制器但只有符合呼叫机号的分机才会响应该次呼叫 b 转换器和节点间通过电力线进行数据的交互 b 其转换器的软件流程图如图 9所示 b结束语在系统设计中考虑了现场遇图9 转换器软件流程图到的各种实际情况并且对系统进行相应的设计和完善系统完成了温度数据采集的基本功能 b 同时利用电力线信号传输载体不必对现场重新布线和规划同时也克服了无线传

29、输信号不稳定的弊端系统安装简单方便易于大范围推广 b 同时该系统迎合了关于节能减排的政策要求具有良好的市场前景和使用价值 b 克服传统低压电力线通信方式的缺点根据测试结果现场应用效果基本达到通信要求 b 同时现有系统上有较多的模块集成可充分利用现有的技术和资源增加新功能 b 本系统对于在低压电力线上进行数据通信是一种有益的探索

30、和有较好效果的新技术应用 b对于今后基于系统基本通信功能上的其他更多功能的扩展设计应用有一定的参考价值 b参考文献：1 谭浩强.C语言设计M.第2版.北京:清华大学出版社,20002 周亚联.电力线载波通信技术问答M.北京:水利电力出版社,19863 陈维千.电力线载波通道M.北京:水利电力出版社,19834 杨刚.电力线通信技术M.北京:电子工业出版社,20115 齐淑清.电力线通信(PLC)技术与应用M.北京:中国电力出版社,20056 李昌,叶键锋,涂用军.电力线载波通信的集群式防盗报警系统J.单片机与嵌入

31、式系统应用,2008,(6):55-577 何立民.MCS-51单片机应用系统设计技术M.北京:北京航空天大学出版社,1999的位数不一样会导致编译后的目标代码不一致 b针对各种测试需要建立合适的测试环境 b 比如目标处理器的测试环境 a 仿真处理器的测试环境 a 开发测试环境等 b软件集成测试可以利用模型在环测试 (MIL)a 软件在环测试 (SIL)a处理器在环测试 (PIL)a 硬件在环测试(HIL)等测试手段进行测试 b软件安全需求验证本阶段的目标是验

32、证嵌入式软件符合软件安全需求其所规定的要求和建议如下软件安全需求的验证需要制定计划定义再执行 b 为了验证嵌入式软件实现了软件安全需求表 10列了所需的测试环境 b 注意已有的测试案例例如在软件集成测试阶段使用的可以重用 b 对于软件安全需求实现的测试需要在目标硬件平台上完成 b 软件安全需求验证的结果需要考虑下面这些因素来评估和预期结果一致软件安全需求的覆盖率成功或失败的标准 b(未完待续)参考文献：1I

33、EC 61508: Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related SystemsS/OL.http:/zh.wikipedia.org/wiki/IEC_615082 ISO 26262-1:2011, Road vehicles - Functional safety-Part1: VocabularyS3ISO 26262-8:2011, Road vehicles - Functional safety-Part8: Supporting processesS4ISO 26262-2:2011, Road vehicles - Functional safety-Part2: Management of functional safetyS5ISO 26262-9:2011, Road vehicles - Functional safety-Part9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analysesS上接34305849JOEE

展开阅读全文