2011年7月20日,“2011中国汽车电子国际论坛暨汽车半导体应用峰会”正式召开。
主持人:下面有请易特驰的嘉宾国拉汉思博士演讲。
国拉汉思:我今天开使用英文吧,我的中文不是很好。我今天会谈一下易特驰公司的情况,以及易特驰软件开发的战略,所以我们讲的几个主题就是简单的介绍一下,我们的公司,同时还有我们发展的几个基石,以及如何去打造一个开发的工具链和开发团队,以及我们的产品和解决方案的观点。
首先我会介绍一下我们的公司,易特驰是94年成立的,而且我们是负责一些开发和发展的工具的一家公司。我们的总部是在德国,在其他国家也有几家办事处,我们的产品是很多个组合,很多种综合,包括有开发工具,还有就是测试系统等等,基本的软件都有涉及。还有ECU的测试等等都有涉及。还有诊断,为什么我要强调安全呢?还有复杂性,因为之前的这个演讲者,都讲到了一辆车里面至少有100多个ECU这就使我们的系统相当复杂而且难以控制,我们在汽车当中经常看到它的软件对安全性的要求,它的苛求性越来越高,所以现在我们就要不断的来处理这样一个事项。还有我们提到了线控,昨天富士通也说了线控也是非常重要的。如果是系统越来越复杂,也就意味着我们的理解能力和驾驶变的越来越困难,基本的问题就是因为我们毕竟是人类,人类总是会犯错,而且我们的理解能力总是有限的,这就发生了一些缺陷性的问题,使得我们出现一些瑕疵和缺陷,如果是出现了小的缺陷,设计中的小变化,会导致一些广泛的理解不良的系统变化,而且会带来系统性的安全风险。所以问题就是我们不可能完全的避免这种系统的复杂性,但是我们一定要去充分的管理复杂性。这就是我们的法律制订人员,也是相当清楚的一点,因为它们在不断的推进相关的安全法律法规,最新的就是我们ISO26262,ISO26262我相信大家今天都听了很多,ISO26262主要的焦点就是推进安全,尤其是在复杂系统中推进安全,那么作为软件的谱写人员来说,他们觉得没有所谓,因为写起来很容易,但是他们没有想到安装到汽车之后会造成一些死伤。同时系统的开发商他有一个很重的负担,就是我们如何在整个系统中保障安全,同时我们的工具的开发商还应该保障这一点,在这个过程当中,我们还要看到,首先就是我们有一个危害分析,风险的分析和管理,在这里我们就要知道,我们在系统当中要有什么,不能有什么,只要是一半是我们确定的安全的水平,就一定要根据相应水平来发展相应的规范,以达到它的要求。比如说在制动系统,我们要遵循一系列的相关的规范,如果你要开发一种雨刮,也是有不同的规范的。我知道在中国的某一些地区,暴雨现象非常的严重,它的雨刮也许不能够正常的运作,所以要考虑到曲行的问题,最后我们要推进这个系统到日常中,而且还要看看是否你的系统是符合国家或者是省的要求,总之就是要保证它的安全。同时,我们还有一个有趣的现象,我们不是想只建造几辆汽车,而是上百万辆集装线的汽车,所以我们必须要有一个安全的体系,而且要使它符合法律的要求,很重要的一点,我们一定要减少它的成本,这就是我们三个要考虑的。
现在我介绍一下几个主要的基石,如何去保障我们的安全。
首先是我们很多嘉宾也谈到了AUTOSAR,我不会去讲AUTOSAR到底是什么,但是我想讲我们公司对这个的看法。而且AUTOSAR给我们带来什么样的安全的好处,首先行业的趋势就是使用AUTOSAR作为标准化的ECU的软件架构,首先它包括一个基本的软件模块,保证我们普遍使用软件化的标准功能,而且我们还对不同的ECU做一揽子的不同的量身定做的计划。第二个就是如果我们看看AUTOSAR的标准,它们运行系统来说已经超越了普通操作系统的要求,而且还为我们提供一些实时的进度,最后我们看看应用的方面,刚才我讲了复杂性的挑战,我们必须要在它复杂性非常小的时候进行监管,否则它会不断的蔓延。同时,我们还会了解这些个体的软件,进行早期的检测和测试,但是如果是你不做这一点的话,进行拖延,可能发现这些错误会迟了,它们会不断的扩扩大,造成严重的后果。所以我们要把AUTOSAR集成于我们的其中当中,作为全面的工具连,而且保证各个工具链的完善。在这里我们有一系列的非常先进的,而且功能完善的工具可以被使用。从我们的圆形软件到我们最地步的这些小的软件,都有涵盖。
好,下面我给大家讲讲我们开发的这个过程的一些战略。首先我们在做开发的时候,要面对一条真理,就是是人都会犯错的,尤其是对软件也的各位同仁来说,这是会出现的一个情况。和其他的机械或电子的工程师做一个对比都知道,每个人都是会犯错,这是不可避免的,但是我们要减少这种风险这种错误,就是说我们要不断的进行测试,而且早期进行测试,我们在这个行业中所发现的,在中国也是这样的,就是人们都在进行从A—B—C的推进的过程,测试的推进过程,现在我们也可以进行一些模拟仿真等等,来发现这些会造成威胁的情况,对于工程师来说这些是非常重要的。因为它们不必等到真正出现了高度复杂的情况的时候来做判断,而做早期的检测,来验证风险,所以我们使用的是早期的工具,在虚拟化的操作环境当中,我们可以进行研究,因为我们的目标就是把这个工具应用到汽车当中,做汽车电子。另外一个因素可以影响我们安全的水平。就是以模块为基础的这样一个发展方向,开发方向,可以让我们的专家准确的捕捉到设计的目标,而且不同的领域,需要有不同的模式,以及不同的制模的战略,最后我们要开发一种软件,这种软件的目标是非常专注的。所以我们首先有一位工程师,高度的具有经验,进行编程,但是他可能在控制其他方面就没有太多的时间,比如说APS、ESP就不是太了解,所以我们需要不同的专家来涵盖不同的领域。同时我们还要用可以理解的语言来使得他表述情况,同时还要用这个代码生成其他的方式,我们相信这些说法是比较新的,但是我们是从98年开始就已经从事这些工作。我们相信这是一种新技术,但是相当有潜力。所以我们在制模的时候需要考虑到这些要点,因为某些领域会相当具有专业性,所以我们要保证它的代码生成的时候,是具备各种功能的。首先这个制模是有一定的要求,比如说你要满足管理应用的需要,同时ECU是非常有限的,资源有限,包括执行的时间和储量,而且我们还要要求没有浮点,它的进度要得到保障的等等,如果你去以来这个浮点的话就太慢了,现在还是要把软件在有限的空间之内,有限的要求之内运行。另外我们要避免的,我们其他的一些优势,就是通过这个方法可以避免典型的手工代码的错误,以及系统处理的数字的错误。我们去比较自动生成的代码以及手工生成的代码,我们可以看到自动会比手动低50%,而且还可以提高多种性能,比如我们自动生成的某一些错误呢,它是非常容易排除的,这就是和手工编码的区别。另外我们还要了解ECU的行为和ECU对保障系统的安全性,因为很多人都希望做时间的分析,了解系统的行为等等,在汽车上面也是一样,我们首先是要试用、测量,有的时候加上10%的时间的误差,但是现在我们有很先进的工具,可以充分的的来考察系统,比如在ECU上就可以得到充分的检测,看到他特性等等还有我们可以分析资源的情况。在过去这样是不能使用的。
好,如果是要打造一个开发的工具链的话,它也有很多内容,我也给大家简单的介绍一下。就是ISO26262,那么如果是你只有在有用户的情况下,才能充分的把握工具链,比如说你要用一把铁锤去钉这个钉子的话,你是需要这个工具的,而且你要注意在钉的时候的安全性,同时这些开发工具也可以得到安全的使用,同时如果你使用不当的他还可以造成严重的後果,这就有一些要求,比如首先你的工具要符合这些安全的标准。第一个我们要制模的方法就是叫做分类,首先要看看我们的这个工具会有什么样的影响和后果,那么有的这些工具可能会严重的影响结果,包括你要去分析这些手动和自动生成的代码工具会有什么样的后果,包括特征的描述、运行的环境,已知的事项,第二个就是看它是否达标,这就是我们要求协作的方面,包括我们工具的提供方,这个就是给我们提供一个分类的工具和依据,主要有了这个依据的话,它使用起来就更加有信心。否认的话你建立这个安全的情况,就非常的困难,而且也达不到ISO26262的标准,所以我们在这里,还要强调一个就是叫相互参照的方法,提供证据,以及我们要细化这个制模的语言,这些都能够保证你最后出结果是准确的。
另外我们还使用CMMI L3的程序来开发他的工具,另外我们还提供一些认证的服务,比如说ASCET,使得它使用的结果是符合要求的,随后我们还有另外一种叫做模型的覆盖的分析,最后让你有一个核对和验证的机会,这就可以使你去确保你建造的模型是安全的。而且还可以使用自动的方法,来验证,如果是不能够自动的去测试和验证的话,就意味着它有巨大低风险。现在我们来看看开发的工具链,它必须具有一个安全性的考虑,比如程序中的安全通讯,而且在汽车的车身上面我们还要关注它的几个功能,比如我们有一个实时的时间控制,还有非常清晰的去分离控制的策略,同时我们还要做一个数据的校准。同时还有一一系列的方法必须得到采用,来证明你的方法是正确的。当然一个系统只是安全还不够,我们还要花更少的时间来做这一点,而且使得建造的程序更加的简易。同时还要得到各个方面的工程师的协作和认可。这就是我们做的一个主的产品。我们的工具已经有了悠久的历史,而且可以支持客户进行生产的项目,而且可以给它们提供认证的活动,比如说IEC61508,2010版本,这就是我们进行认证的实力。如果你只是简单的运用的话不用考虑太多,但是如果你要考虑到误差和准确性的话,就要进行更多的测试了。
最后,我想说的是我们要了解这个安全系统的整体,而不仅仅只是利用这个工具,这是我们安全提高的最高要求。我们知道安全是工具链中最薄弱的一环,所以一定要全面的了解安全的概念,所以要在所有工程的建筑师、测试师、构筑师等得都要充分的关注这个概念,如果是你早期不去发现这些错误的话,到了晚期的时候去修复是非常麻烦的,不只是人工费还造成其他的一些损失。而且我们还要发现一些关键的类型和趋势,为什么会导致这样的错误,当然了,你要马上去建立一个很好的模型,避免这些谬误的话,就可以帮助你在将来避免这些损失,当然我们在培训这些开发员工的时候,也是要培训这一点,知道我们什么样的情况,是安全的情况,什么样的谬误是应该要避免的。所以最后我们还要产生一些的培训大纲,以及总结一些好的实践。
最后做一个总结,我觉得我们嵌入式软件确实是一个挑战,因为我们首先要保证安全,同时还要降低成本,有一个同事告诉我,在航空业如果是你有ECU的话你可以节约1万美金,但是如果在汽车当中也是这样用的话,可能还会增加成本,所以我们引用一些明智的投资来降低它的成本,而且要达到事物的最佳优化。另外一点,对于易特驰这样一个公司,我可以告诉大家,我们的优势就是可以在实践的产品当中有非常长的产品经验和优势,同时我们和博世保持了紧密的联系,可以使用他们最新的成果得到应用。还有我们会和客户保持一些经历的分享,以及汽车其他的驾驶行业的分享。现在我们知道全球的ECU在路上驾驶的,包括60多万的数量,而且现在每周6000多万ECU,而且每周也形成100多辆。 
