如何将Simulink应用于ISO 26262项目

最新推荐文章于 2023-02-14 10:38:16 发布
最新推荐文章于 2023-02-14 10:38:16 发布
阅读量722 收藏 1
点赞数
分类专栏: 软件功能安全 文章标签: simulink
原文链接:https://ww2.mathworks.cn/company/newsletters/articles/how-to-use-simulink-for-iso-26262-projects.html
版权

如何将Simulink应用于ISO 26262项目

作者 Tom Erkkinen, MathWorks

转载自:MathWorks

研究传统汽车和自动驾驶汽车嵌入式安全系统领域的汽车工程师正在寻找有效方式满足ISO 26262 [1]严苛的流程标准:乘用车研发领域的功能安全标准。

自动驾驶汽车是所有媒体关注的焦点,有关其功能安全方面的建议层出不穷。虽然如此,这些建议主要集中于最新的编码方式或消除错误的工具。行业专家很早便认识到,保证安全主要是确保系统及其相关要求正确和适当,而软件及编码方式[2]次之。

以连续时间和离散时间仿真为基础的Simulink®可实现基于模型的设计, 该工具不仅能够用于辅助设计车辆,还能在车辆进入道路测试或车队测试之前,提前在各种驾驶条件下对整个系统进行测试,并仿真各种故障情况。此外,该工具还支持ISO 26262规定的流程活动,包括工具认证。IEC Certification Kit对该工具支持的功能进行了详细说明,还包括了国际认证机构TÜV SÜD提供的证书和报告。

本文将介绍经TÜV SÜD认证、将Simulink应用于ISO 26262项目的工作流程,还将介绍ISO 26262以及基于模型的设计,并对下列任务进行说明:

  • 需求开发
  • 设计建模
  • 代码生成
  • 设计验证
  • 代码验证
  • 工具认证

ISO 26262和基于模型的设计

ISO 26262包含用于人工设计编码和基于模型的设计的指南。此外,ISO 26262还认可一些采用基于模型设计[3]的优势:

使用无缝模型能够有效保证一致性,提高研发效率。

该标准提及“广泛使用”数学模型,同时指出利用建模工具将“半形式化的图形方法”应用于软件开发。该标准还指出建模不仅可获取要实现的功能(嵌入式软件),还可通过真实的物理系统(车辆模型和环境模型)的仿真来创建整个系统模型:

由此,便能够以可接受的计算速度构建高保真度、高复杂度的车辆系统以仿真接近于实际的行为。在开发过程中,车辆/环境模型将逐渐被实际系统及其环境替换,而功能模型将作为设计基准,通过生成代码将嵌入式软件应用于控制单元。[3]

图1为典型Simulink闭环系统模型。它由控制器、被控对象以及信号处理器组成。在ISO 26262中,系统设计规范不仅是软件开发的输入,更是保证系统安全的基础[2]。

 

 

图1.Simulink系统设计模型。

随后进行系统详细设计,直至其成为包含足够细节的、可用于产品级代码生成的软件设计基准。ISO 26262将这个模型的详细设计流程描述为“模型进化”[2]:

在实践中,[存在] 功能模型的进化:从早期规范模型(设计模型)到可实施模型,最终自动转换为代码

ISO 26262推荐了各种基于汽车安全完整性等级(ASILs)的活动的实施方法。您可以根据您的应用场景,利用该指南建立适当的工作流程。图2所示为ISO 26262流程概览。实心箭头所示为开发活动,虚线箭头所示为验证和确认活动。ISO 26262中提及的“模型进化”以椭圆形虚线(…)表示。

 

 

图2.使用Simulink实施ISO 26262软件开发和验证的流程。

需求开发

在实施安全相关开发流程时,应首先制定功能及安全需求。ISO 26262建议您利用“软件架构设计和软件安全需求之间的双向可追溯性”对软件架构的设计进行验证。为此,您可以利用Simulink Requirements™制定并追踪需求到模型、测试及代码。Simulink Requirements支持对其他工具的双向追溯,包括Microsoft® Word®、Microsoft Excel®以及IBM® Rational® DOORS®。需求的实现和验证状态可在Simulink Requirements中监测和管理,需求链接可显示在生成的代码中(图3)。

 

 

图3.Simulink中的需求规格。  

设计建模

正如”ISO 26262和基于模型设计”章节所述,ISO 26262说明了功能模型从高层可执行规范进化为可用于产品级代码生成的详细设计的整个流程。典型修改和完善包括:

  • 使用Simulink Control Design™ 离散化工具将模块从连续时间(S域)转换为离散时间(Z域)
  • 使用Fixed-Point Designer™将数据从双精度转换至单精度或定点
  • 使用Stateflow®添加诊断、模式逻辑、状态机以及调度算法

对于ASIL B至D,ISO 26262强烈建议使用建模指南。此外,还可使用MAAB风格指南[4],以及Simulink提供的用于ISO 26262的高完整性指南。Simulink Check™可自动检查两种指南。Simulink Check可在编辑时显示问题,例如不合规模块的插入等。此外,还可加入自定义指南和检查。

代码生成

ISO 26262声明“软件单元的实施包括生成源代码以及转换为目标代码”。为此,您可以利用Embedded Coder®生成Simulink模型的C、C++以及AUTOSAR代码。该代码符合MISRAC®:2012自动代码指南[5]要求。ISO 26262指出基于模型设计的代码指南和手工代码指南存在差异,并以MISRA®为例进行说明。

IEC Certification Kit可为用于C、C++以及AUTOSAR的Embedded Coder(包括ASIL A-D)提供工具认证支持。其TÜV SÜD证书报告做出了如下声明:

Embedded Coder满足ISO 26262中关于工具支持及自动化的要求。

Embedded Coder通常用于以下三种使用案例之一:

  1. 产生用于生成生产代码的模型C代码
  2. 产生用于生成生产代码模型的AUTOSAR应用软件组件C代码和说明文件。
  3. 产生用于生成生产代码的模型C++代码

Embedded Coder提供了优化代码存储和速度的选项。此外,您还可以生成处理器专用优化代码,从而有效利用硬件加速器,例如用于 ARM®和Intel®的SIMD®。您可以通过ISO 26262中所述的模型至代码、处理器在环测试验证优化代码是否与规定公差内的仿真结果匹配。

可执行目标代码使用编译器和链接器从生成的源代码中产生,IEC Certification Kit中的工作流程允许代码生成器、编译器和处理器的优化,这对于大批量生产的ECU非常关键,而处理器在环测试可用于验证可执行的目标代码。

设计验证

ISO 26262推荐了一些用于验证软件设计和实施的静态方法和动态方法,包括单元级和集成级活动。关于基于模型的设计,ISO 26262指出“测试对象可以是源于模型的代码或模型自身,具体取决于软件开发流程“。

Simulink Test™提供在Simulink中进行ISO 26262验证和确认活动使用的框架。您可以将其用于制定、管理以及执行针对模型和模型生成代码的系统化仿真测试。图4为测试序列和评估模块的示例。

 

 

图4.Simulink测试序列和评估模块用于建模和编制复杂的测试场景。

IEC Certification Kit(适用于ISO 26262)中的TÜV SÜD报告明确了自动验证和确认期间Simulink Test的作用:

[Simulink Test]可自动对Simulink模型和生成的代码执行核心认证和确认活动。根据功能安全标准ISO 26262,以下使用案例反应了软件开发期间需要完成的活动:

  • 开发和执行Simulink模型测试
  • 开发和执行模型与代码之间的背对背测试
  • 评估测试结果
  • 生成测试报告
  • 识别需求和测试用例之间的可追溯性

ISO 26262建议通过结构覆盖率分析确定测试的完整性,识别非预期功能。此外,ISO 26262还列出提高安全度的三种方法,并强烈建议将最后两种方法用于ASIL-D。

  • 语句覆盖
  • 分支覆盖
  • MC/DC覆盖

关于基于模型的设计,该标准指出:“可在模型级下使用类似结构覆盖率度量方法,对模型进行结构覆盖率分析”。对于结构覆盖率不足的情况,该标准指出:“应指定附加测试用例或提供合理性说明

Simulink Coverage™ 针对模型和生成的代码提供结构覆盖度量功能,使用Simulink Test执行测试可轻松启用该功能。若模型覆盖率不足,您可以使用Simulink Design Verifier™自动生成其他测试用例以达到所需覆盖率,包括MC/DC。此外,Simulink Check还能够识别重复模块以降低复杂度。它也包括度量仪表板以评估项目质量,满足ISO 26262要求:“使用低复杂度、限制大小的软件组件和接口“(图5)。

 

 

图5.度量仪表板展示了模型指南的符合程度。

IEC Certification Kit提供工具认证支持,以及针对Simulink Check、Simulink Coverage(包括模型和代码覆盖率)、Simulink Design Verifier以及Simulink Test的TÜV SÜD证书和报告。

代码验证

ISO 26262提供了一些用于验证软件设计和实施情况的方法。IEC Certification Kit中介绍了一种用于检测已生成代码(例如,无法追踪至模块或信号的代码)中非预期功能的有限追溯审查方法。该套件可自动生成所需追溯矩阵。或者,在进行软件在环(SIL)测试期间,您可以使用Simulink Coverage将模型覆盖率与代码覆盖率进行比较,或直接使用Simulink Code Inspector™。

最后,您可以使用Polyspace Bug Finder™检查是否符合MISRA要求。如果您的项目中含有自动代码和手工的混合代码,采用MISRA检查和代码覆盖分析方法非常有帮助。若对安全性要求较高,您可以使用Polyspace Code Prover™ 以证明不存在运行时错误,例如除零错误。

IEC Certification Kit提供用于Polyspace®产品的工具认证支持以及TÜV SÜD证书和报告。

在编译和生成可执行代码后,您可以利用PIL测试重用模型测试验证目标处理器上执行的代码(图6)。

 

 

图6.嵌入式处理器PIL的示例。

ISO 26262强烈推荐对ASIL C和D执行背对背测试。此外,ISO 26262还指出在目标硬件环境的替代环境下测试的重要性,并强调需要了解测试环境和硬件环境之间的差异。

源代码或目标代码不同,例如处理器数据和地址的不同字长,可能导致测试环境和目标环境之间出现差异。

但正如每位计算机科学家都应了解的事实[6] -跨平台存在许多潜在的数值误差,特别是浮点数据。某些数值误差起初很小随后逐渐累积和增大,这种情况在反馈控制系统中特别明显。因此,ISO 26262列出了各种适用于背对背测试的在环测试方法:

可在不同环境下执行软件单元测试,例如:

模型在环测试;
软件在环测试;
处理器在环测试;以及
硬件在环测试。

Simulink Test可以自动执行在环测试,包括使用Embedded Coder执行SIL和PIL,使用Simulink Real-Time™执行HIL,通过Simulink Coverage中的覆盖率度量功能提供通过/失败报告。

工具认证

ISO 26262-8还对其他流程进行介绍,包括版本控制、配置管理以及文件编制。同时,这些流程分别由Simulink Project,Simulink模型差异识别和合并,以及Simulink Report Generator™提供支持。

此外,该标准还提供工具认证指南。该标准不允许工具供应商认证自身工具,但要求用户对于特定项目认证工具。IEC Certification Kit通过提供典型使用案例、参考工作流程、工具分类分析、软件工具文档、工具认证报告和确认测试,从而对工具进行有效的预认证。

TÜV SÜD审查及审核MathWorks工具的开发和质量流程、错误报告功能,以及认证每次产品发布的结果。IEC Certification Kit包含这些TÜV SÜD证书和报告,可用于遵守适当的验证和确认工作流程的需要。该套件提供基于典型工具使用案例(例如本文中突出显示的)的参考工作流程。

此外,该套件还提供一些更为详细的信息,包括将ISO 26262目标映射至Simulink的支持功能(图7)。

 

 

图7.摘自IEC Certification Kit中ISO 26262至Simulink的映射。

发布于 2018 年 12 月的 ISO 26262 第二版中已指出,Simulink 和 Stateflow 适合用于软件架构和软件单元设计批注,并且可以作为自动代码生成的基础(图 8)。 

 

 

图 8.摘录自 ISO 26262-6:2018,显示了合适的软件设计批注。

注意,需要考虑使用已认证的工具不能保证软件或系统的安全性。

ISO 26262

ISO 26262是乘用车的国际功能安全标准[1]。它明确了与安全相关的电子/电气(E/E)系统在出现故障时可能导致的危险。ISO 26262按照风险类别将汽车安全完整级别(ASIL)分为四级:从A至D,ASIL D为最高完整级。该标准有九个标准章节,而第十章为指南。每个章节均以独立文件呈现。ISO 26262在本质上是目标导向而非规范,但ISO 26262中包含有数百页指南内容。第4、6和8章节分别介绍系统[ISO 26262-4]、软件[ISO 26262-6]和工认证具[ISO 26262-8]。

ISO 26262第一版于2011年发布。第二版预计于2018年发布(ISO 26262:2018)。第二版将涉及其他类型车辆标准,例如摩托车、卡车和公交车。此外,第二版还包含有关于半导体(器件)的全新指南。

出版年份 2018

参考文献

  1. ISO 26262 道路车辆  - 功能安全
  2. Nancy G. Leveson, Engineering a Safer World, Systems Thinking Applied to Safety
  3. ISO 26262-6 — Part 6: 软件级别的产品开发
  4. MAAB 风格指南
  5. MISRA C:2012
  6. David Goldberg, What Every Computer Scientist Should know about Floating-Point Arithmetic

使用到的产品

了解更多

 

Pamigo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Simulink 开发符合 ISO26262 和 AUTOSAR 的用软件
04-30
Simulink 开发符合 ISO26262 和 AUTOSAR 的用软件,使模型生成的代码符合实际的汽车开发使用
看衰simulink和autosar
Tumiz的技术天地
10-11 7371
simulink做为领域特定语言DSL,仅适合和数学相关的算法开发,不适合扩大用范围。 开simulink的适用的开发范围是有限的,那就是控制算法。除此之外,用simulink开发并不合适,如ADC、CAN收发、故障管理、网络管理等,对于这些与底层相关的程序simulink开发效率或是运行效率都不及C/C++。 领域特定语言在特定的领域才有其优势,在次领域之外反而是弄巧成拙。很多汽车工程师都用
Simulink自动代码生成:如何标准化的建模?以MAB,MISRA C 2012建模规范为例
weixin_42665184的博客
02-14 1366
常用MAB标准总结在建模的时候把一些常用的标准记住,可以减少后期更改的工作量。1. 模块的前景色设置为黑色,背景色为白色2. 模块命名时不要带空格3. 模块名要在模块的下方4. 自定义的模块名或者端口名要显示,没有自定义系统默认的模块名或者端口名要隐藏5. 信号线与信号线不能相交(没有实际连上)6. 除反馈路径上的模块外,所有顺序块必须从左向右放置。7. 除反馈路径上的模块外,所有平行块必须从上到下放置。8. 所有的方块都该朝右。
[Simulink] 用 Simulink 开发符合 ISO26262 和 AUTOSAR 的用软件
qq_26915769的博客
03-06 9348
文章目录用层软件功能划分软件单元 Software UnitAUTOSAR运行实体Runnable软件组件 software component软件组件SWC的层次化结构用软件调度运行实体(Runnable)内部软件单元(SU)的执行顺序运行实体的调度(Scheduling of Runnables)用层软件接口 转载自MATLAB微信公众号文章,链接如下:https://mp.weixin...
matlab adctest,MATLAB,Simulink. - Simulink Test, Simulink測試工具箱-鈦思科技
weixin_35132871的博客
03-25 227
IntroductionSimulink測試工具箱(Simulink Test™)提供用於撰寫、管理和執行系統性的、以模擬為基礎的測試。您可以建立非侵入性(nonintrusive test)的測試框架來測試模型和子系統。 Simulink測試工具箱(Simulink Test™),包含測試序列(test sequence)模塊,此模塊可以建構複雜的測試序列和評估項目,該評估項目提供一個以模擬測試...
MATLAB工具箱介绍
ubunfans的专栏
04-09 2万+
Toolbox工具箱 序号 工具箱 备注 数学、统计与优化 1 Symbolic Math Toolbox 符号数学工具箱 2 Partial Differential Euqation Toolbox 偏微分方程工具箱 3 Statistics Toolbox 统计学工具箱 4 Curve Fitting To
用 Simulink 开发符合 ISO26262 和 AUTOSAR 的用软件.docx
11-14
用 Simulink 开发符合 ISO26262 和 AUTOSAR 的用软件 图形化建模是架构设计普遍使用的方法。而 Simulink 已经成为许多系统工程师进行架构设计的利器。不管是在仿真验证阶段还是快速原型阶段,都可以利用 ...
符合ISO26262Simulink建模规范最佳实践.rar_SIMULINK_stateflow_建模规范_建模规范 恒润_
07-13
simulink stateflow 建模规范 恒润科技资料
simulink入门及用.ppt
04-16
simulink入门及用.ppt
符合ISO26262的电控系统软件开发与测试方法.pdf
02-23
符合ISO26262的电控系统软件开发与测试方法: 软件产品开发启动-》软件安全需求-》架构设计-》单元设计-》单元测试-》软件集成测试。
MC/DC(修正条件/判定覆盖):如何达到100%覆盖率: 一个测试需求结构的成功方法 | TPT与MC/DC
Polelink北汇信息的博客
05-11 6167
在软件测试领域,MC/DC或许已经是一个耳熟能详的词汇了,但是我们还是要不断强调如何正确使用MC/DC以及它与安全相关的重要作用。 在测试中,想要对所有变量进行100%的测试几乎是不可能的。有限的时间和资本成本也决定了测试人员无法对软件进行彻底完尽的测试。但是,测试是为软件质量保驾护航的关键,不可或缺。所以对测试人员的挑战就在于如何合理的分配测试资源以及最优化地使用这些资源。选择一个“完成标准”并据此对测试目标进行计划和优先排序,这可能是一个测试团队成功与否的关键所在。
MATLAB在安装时需要选择安装的产品,2024a
热门推荐
yunqianrui的博客
03-10 6万+
本文整理了MATLAB 2024a大部分产品工具箱/用的功能简介,在安装MATLAB时可结合自身需求选择性安装,以节约电脑内存。
Simulink产品家族工具箱介绍!
"悸动的青春ゞ's专栏
09-01 3532
Matlab产品家族工具箱介绍! 之前有对Matlab系列的Matlab与Simulink两个系列的产品做分类,可以参考,用于安装时的快速选择! 链接地址 Simulink产品工具
matlab 免费试用,免费试用Simulink Requirements
weixin_36084095的博客
03-17 520
请选择其一AlabamaAlaska美属萨摩亚APO/FPO AAAPO/FPO AEAPO/FPO APArizonaArkansasCaliforniaCaroline IslandsColoradoConnecticutDelawareDistrict of ColumbiaFlorida格鲁吉亚关岛HawaiiIdahoIllinoisIndianaIowaKansasKentuckyLo...
几款主流电子电路仿真软件优缺点比较
weixin_34320724的博客
03-23 5963
电子电路仿真技术是当今相关专业学习者及工作者必须掌握的技术之一,它有诸多优点:第一,电子电路仿真软件一般都有海量而齐全的电子元器件库和先进的虚拟仪器、仪表,十分方便仿真与测试;第二,仿真电路的连接简单快捷智能化,不需焊接,使用仪器调试不用担心损坏;大大减少了设计时间及金钱的成本;第三,电子电路仿真软件可进行多种准确而复杂的电路分析。 随着电子电路仿真技...
Simulink仿真入门到精通(十七) Simulink代码生成技术详解
DY2230641的博客
04-24 1万+
目录 17.1基于模型的设计 17.1.1需求文档 17.1.2根据需求进行设计 17.1.3需求与设计的挂接 17.1.4模型的仿真 17.1.5模型的性能分析及修正 17.1.6模型效率分析与优化 17.1.7模型的代码生成 17.1.8模型生成代码的优化 17.1.9代码的有效性验证 17.2Simulink代码生成流程及技...
[Simulink] PolySpace学习笔记
qq_26915769的博客
08-02 1万+
本文学习自《嵌入式软件动态运行时错误的检测》,主要是了解一下polyspace,工作过程中目前没有涉及到。 背景 和桌面系统不同,对于嵌入式软件系统,软件测试主要是发现以下类型的错误: 功能错误 —— 主要借助项目需求文档,编写对的测试用力进行测试与验证工作 性能错误 —— 一般要借助硬件级别的工作,衡量软件的性能是否达到要求 运行时错误 —— 软件在动态运行时出现的错误,是所有的软件错误...
Windows 8 系列(五):Windows App Cer Kit(Certification Kit)的使用与相关问题
weixin_34146410的博客
05-19 465
紧接着再说一个关于Windows 8 自带的Windows App Cer Kit的使用和我遇到的问题及解决方法的事情。 最近快要提交用到Windows AppStore(Win8商店)了,Windows8自带了测试工具Windows App Certication Kit,建议Windows 8 开发者在提交商店前运行此程序,对即将要提交的程序进行初步的测试。如果测试结果为Fail,...
Simulink 自动代码生成原理
weixin_34318272的博客
03-17 1452
如下图,Simulink模型会先变成一个文本式的 .rtw 模型描述文件,然后再变成 .c,.h,最后编译为最终目标文件。 典型的 Simulink 用户通常都是,用Simulink设计好算法后,做到生成源代码这一步。然后把生成的算法的.c .h 源代码拷贝到自己的工程目录下(比如 CCS或者CodeWarrior 或者 VC ),去做编译。 但是也有部分人希望把编译下载的工作也集成...
符合iso26262标准的simulink建模规范最佳实践
最新发布
10-17
符合ISO 26262标准的Simulink建模规范最佳实践包括以下几个方面: 1. 精确定义系统架构:使用Simulink的层次结构和子系统来清晰定义系统的功能、界面和数据流。确保系统架构的一致性和可维护性。 2. 使用验证和验证策略:使用模型验证和验证策略来验证模型的正确性和一致性。这包括静态分析、模型检查、模拟和基于测试的验证方法。 3. 定义接口和数据字典:定义模型接口和数据字典来确保模型组件之间的正确连接和数据传输。这有助于避免错误和灵活性。 4. 引入错误处理和错误跟踪:在模型中引入错误处理和错误跟踪机制,以便能够可靠地监视和处理潜在的错误情况。 5. 使用合适的模块和库:选择和使用符合ISO 26262标准的Simulink模块和库,以确保符合标准的建模实践。 6. 进行模型评审:定期进行模型评审,以确保符合ISO 26262标准的建模规范和最佳实践。 7. 文档化模型和设计:保持模型和设计文档的更新和完整性,记录设计决策、变更历史和验证结果。 8. 使用版本控制:使用版本控制工具来管理和追踪模型的版本和变更,确保模型的状态一致性和可追溯性。 9. 实施模型管理和配置控制:制定模型管理和配置控制策略,确保模型的一致性和可维护性。 10. 培训和意识提高:培训团队成员,提高他们对符合ISO 26262标准的Simulink建模规范和最佳实践的意识和理解。 通过遵循这些最佳实践,可以提高符合ISO 26262标准的Simulink建模的质量和可靠性,减少错误和安全风险,从而更好地满足汽车行业的安全要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值