汽车安全软件开发

在功能安全系统开发中,开发生命周期依据系统工程V模型,分为系统级、硬件级和软件级,将开发生命周期划分为多个阶段,每个阶段包括输入,过程要求、输出、使用的工具方法、验证要求,本文以汽车软件功能安全标准ISO26262-6和轨道交通安全软件EN50128为基础,谈谈不同领域中功能安全软件开发模型的各自特点。

在ISO26262-6 2018功能安全软件级的第5节,指出应为汽车安全软件开发定义软件开发阶段,给出了参考模型。

将软件开发分为了6个阶段:

软件安全需求规范(6-6);

软件架构设计(6-7);

软件单元设计和实现(6-8);

软件单元验证(6-9);

软件集成和验证(6-10);

嵌入式软件测试(6-11)。

软件开发阶段起始于系统级技术安全需求向软件的分配,结束于软件安全需求完成测试,进入系统级与硬件的集成。

在EN50128 2011第5节,提出轨道交通安全软件开发的一种参考模型。

软件开发模型分为:

软件需求阶段(7.2);

软件架构设计阶段(7.3);

软件组件设计阶段(7.4);

软件组件实现阶段(7.5);

软件组件测试阶段(7.6);

软件集成阶段(7.7);

软件确认阶段(7.8)。

在软件需求阶段开始之前,项目策划阶段需要策划软件开发的所有计划,另外,以上七个阶段属于软件产品开发过程,后面还包括软件的部署阶段和维护阶段。

不同开发模型的阶段划分

从以上两个开发模型可以看出,ISO26262-6的6-8软件单元设计与实现对应于EN50128的软件组件设计阶段(7.4)和组件实现阶段(7.5),其它阶段划分是一致的。

不同开发模型的适用范围

ISO26262-6适用于道路车辆电气/电子系统具有安全功能要求的软件,车辆上使用的软件为嵌入式软件,所以汽车软件开发模型适用对象为嵌入式软件;EN50128适用于轨道交通控制和防护应用的可编程电子系统的软件,轨道交通中列车的安全防护功能采用“车轨协同”的方式,软件分布在车载、轨旁、车站、控制中心不同位置,搭载的处理器有嵌入式芯片、可编程控制器、多处理器分布式系统、中央处理器不同规模的硬件平台,适用对象不仅包括嵌入式软件,也包括其它软件,如PC软件、服务器软件。

通用软件和可配置软件

两个标准都将软件分为通用软件和可配置软件,可配置软件的出现是由于不同应用需求的出现,使得软件不再为满足单一用途而开发,需要适应不同的场景应用。基于参数的可配置软件在通用软件的基础上,通过一组数据来定义其软件最终的控制行为,常见的数据有描述系统应用环境的数据(如高清地图),描述系统配置信息的数据(如控制对象的数量),软件功能激活/关闭的数据。ISO26262-6中的附录C为软件配置的规范性要求,EN50128第8章规定基于参数/算法的软件应用管理要求。

测试规范与设计开发的并行

在EN50128中,V模型左侧的各阶段,每个阶段需要输出软件测试规范,这与ISO26262-6不同,在ISO26262-6中,测试规范在右侧测试阶段完成。这一点我认为EN50128的做法更优,以需求阶段为例,如能对软件需求做出测试规范,本身也是一种对需求的验证,验证了需求的可测试性。ISO26262-6中对参考模型注解中也说明了敏捷软件开发的适用性,在敏捷开发中,由测试驱动的开发可以提高软件需求的质量和可测试性。

软件开发模型角色的规定

在EN50128中,根据软件开发活动的不同,如软件计划、需求规范、架构、组件设计、测试、验证和确认,规定了不同工作人员角色的职责和能力要求(附录B)。而在ISO26262中,仅在part 2的安全计划部分规定了各工作执行人员的职责要求。

与信息安全开发的交互

在ISO26262-6开发模型的注解中,提出了与软件信息安全要求的结合,功能安全与信息安全在开发过程中相互耦合又存在差异,汽车信息安全要求在今年发布的ISO21434中进行规定。EN50128发布时间较早,在2011年,因此标准中未提及信息安全要求,但在轨道交通电子系统安全标准EN50129-2018中已明确需考虑信息安全风险对安全功能带来的影响,功能安全与信息安全的关系可以参见编者的另一篇《硬币的正反面——功能安全 vs 信息安全》

MBD基于模型开发的应用

ISO26262-6 2018在参考模型中说明可以采用基于模型的开发方法,在架构设计、单元设计、单元验证、集成验证阶段推荐使用的技术方法中,说明了基于模型开发可以使用的工具,并在附录B作为信息性内容介绍了基于模型的软件开发的注意事项。在EN50128中,建模方法,形式化方法也是一个技术流派,如B-method,SCADE,在软件需求、架构设计、设计实现和验证测试的技术方法中都列举了模型方法。但不要认为MBD方法就很先进,能够自动生成安全可靠的代码,使用MBD需要建立规范的语义规则,使用者需经过培训以具有高水平的开发技能,开发工具需满足安全需求的SIL等级,承担较高的开发成本,限制了项目内部沟通的一致性,因此在两个标准中将其视为一种可选择的方法。

以上是对ISO26262-6和EN50128软件开发参考模型的对比分析,本文并没有对每个阶段进行展开,作为一个综述性的探讨,限于个人经验积累的广度和深度,难免存在纰漏。最后,总结以下要点:

选择合适的开发模型,既兼容于标准,也应适合于项目,考虑人员的能力、所开发软件的特点和良好的验证方法;

不要忽略数据,它与软件同样重要,包括配置数据和校准数据;

测试与需求保持并行,测试驱动的需求有利于需求的验证;

MBD模型开发是技术发展趋势,也是一把双刃剑,能不能用好取决于使用者。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

功能安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值