实现汽车软件功能性安全.pdfVIP

使用Parasoft C++test 以满足ASIL 需求 实现汽车软件的功能性安全 引言 安全功能越来越多地在电气、电子或可编程电子系统中得到实现。这些系统一般都是非常复 杂的，这就使得在实际中完整地判断每个失效模式(failure mode)或测试所有可能的行为成为了不 可能完成的任务。虽然预测其安全方面的性能非常困难，但测试仍然是非常有必要的。关键的挑 战在于设计一种能够预防危险性失效或能在这些失效发生的时候对其进行控制的系统。 安全性将成为未来汽车开发中的一个关键因素。新功能——不仅仅在驾驶员辅助系统领域， 同样在车辆动态控制以及主动和被动安全系统中——越来越多地触及到了安全性工程的范畴。未 来的开发以及对这些功能的集成将会进一步提升对安全系统开发流程的需求，同时还需要提供所 有合理安全性目标已满足的证据。 随着复杂性增强、软件内容以及机电层面实现的趋势，系统化的失效以及随机硬件失效的风 险有显著增加的趋势。通过提供可行的需求以及流程，ISO/DIS 26262 包含了能够将这些风险降 低到可接受程度的指南。 本文档的宗旨在于详细阐述Parasoft C++test 如何帮助汽车软件开发团队满足特定ASIL 级别 的需求。本文将首先介绍 ISO/DIS 26262 标准所定义的 ASIL 的概念。然后将讨论 Parasoft C++test 是为软件开发以及测试提供自动化最佳实践的集成解决方案。最后将阐述 Parasoft C++test 如何满足或部分满足软件开发过程中特定ASIL 的需求。 汽车软件完整性级别 IEC 61508 标准中所定义的安全完整性级别（SIL ）——或在ISO/DIS 26262 标准中所定义的 汽车安全完整性级别（ASIL ）是为避免不合理驻留风险，用以指定安全性措施的四个安全性度量 之一（IEC 61508 中用1-4 来表示，ISO/DIS 26262 中用A-D 来表示），其中4 或 D 是最紧要的 级别，1 或 A 是相对最不紧要的级别。注意，安全完整性级别是特定安全功能的一种属性，而不 是整个系统或某个系统组件的属性。 在安全性相关的系统中，各个安全功能都需要指定相应的安全完整性级别。根据 ISO/DIS 26262，各个危险事件中的风险是通过以下一些属性来进行评估的： • 相应情况发生的频率，也称作“曝光频率（exposure ）” • 潜在损坏的影响，也称作“严重性（severity ）” • 可控性 根据上述三个属性的值，可以对某个特定功能性缺陷的相应安全完整性级别进行评估。这将 确定该安全功能的整体ASIL 级别。 ISO/DIS 26262 标准为达成各个汽车安全完整性级别制定了相应的需求（安全性度量）。为 了使相应的危险失效发生的可能性变得更低，这些需求在越高的安全完整性级别中变得越严苛。 Satisfying ASIL Requirements with Parasoft C++test 关于Parasoft C++test Parasoft C++test 是经广泛证明的最佳实践集成解决方案，它能有效提高开发团队工作效率和 软件质量。C++test 能促进： • 静态分析 ——静态代码分析，数据流静态分析以及度量指标分析 • 同行代码审查流程自动化——准备、提示以及追踪 • 单元测试——单元测试创建、执行、优化以及维护 • 运行时错误检测——内存访问错误、泄漏、崩溃以及其它 这为开发团队提供了一种实际的方式来预防、发现以及纠正相关的错误，从而确保其 C 以及 C++代码如预期般工作。为了促进快速修复，每个检测到的问题都基于可配置的严重级别分配进 行排序，并自动分发到相应代码的开发者处，同时分配到他或她的 IDE 环境中，并配以该问题代 码处的直接链接以及如何修正该问题的描述。 对于嵌入式以及交叉平台开发而言，C++test 可以同时用在基于宿主机以及基于目标平台的代 码分析以及测试流程中。 自动进行代码分析以监测是否遵守标准 采用合适的编码策略可以建立预防性的编码习惯，从而消除整类编码错误的发生。C++test 对 这些代码进行静态分析，以检测其是否遵守相应策略。如需配置 C++test 以增强某个团队或组织 专用的编码标准策略，用户可以使用