2011年7月20日,“2011中国汽车电子国际论坛暨汽车半导体应用峰会”正式召开。
主持人:下面我们请Mathworks的董先生来进行“ISO26262与基于模型的汽车电子软件设计”的演讲,大家欢迎!
董淑成:大家好,我是Mathworks公司的应用工程师,我叫董淑成,今天我的演讲主题是“ISO26262与基于模型的汽车电子软件设计”,演讲之前我想先介绍一下我们公司。我们公司总部在美国的麻省,我们公司目前在很多国家,20多个国家有分公司,我们有175个国家超过100万的用户在使用Mathworks的产品,我们有两大主要的板块,主要应用在汽车等领域。我们的产品有两大家族,其中一个就是芯片家族,我们今天给大家介绍基于模型设计主要是芯片家族,我们是自动生成代码,我下面介绍的内容有两块,一个是关于ISO26262这个已经有不少人提高过了,另外我们我会提到基于模型设计和ISO26262的关系。
首先我们看一下,我们汽车已经提高过,在汽车电子在汽车产业里面占的比重越来越大,现在一辆高端车有超过100个ECU,这个在汽车电子的应用,会带来很多的问题,首先我们看,如果说这个产品可能会带来一些安全性的问题,这是我们每一个用户所担心的,这类事故会对我们的家庭带来很大的打击,在车厂等来讲,汽车会带来一个制度,车子如果是出现严重的事故,就要召回多少车辆进行维护,这有一个表格,因为软件设计而造成车辆召回的数据,我们可以看到,在2005年的时候有16万辆车因为软件设计缺陷引起召回。因为这个问题的存在,所以在欧洲一些大的公司,比如说戴普乐,宝马等等他们就通过一些标准化的东西去约束汽车链的开发国家,让我们的汽车链能够有更高的安全性,所以这也是ISO26262的有赖。ISO26262全面叫道路车辆公共安全标准,其实来自IEC61508他是专门用于汽车领域,这有一点,是提高汽车电子的产品,而不是传统的机械产品。这个是2009年的时候,ISO组织提供一份草稿,在今年上个月,6月份的时候正式发布,其实这个标准提出来之后,就立刻受到了各大整车厂商的高度关注,包括OEM厂商也已经开始关注到这个标准,它们可能会要求它们的供应商在开发链产品的时候会遵循ISO26262。另外IEC61508提出了一个概念,我们知道AISL,就是安全管理等级在ISO26262里面,这里提到了ASIL,就是汽车安全,这里有四个阶段,还有基模设计,可见这已经成为汽车行业软件开发的一个通行做法,我们看到在ISO26262里面的一个大的结构,ISO26262里面有十个部分,他涵盖了整个汽车电子产品的开发路线,从概念设计、产品开发,产品开发包括硬件设计,软件设计等不同的方面,到最后的产品生产运营,我们今天讨论点是软件设计当中有ISO26262—6,就是软件产品设计和ISO26262—8开发流程,我们提到ASIL等级,这里提到一个严重程度,事故发生的概率,然后是事故发生的可控性,发生以后的决定它来决定我们的需求,或者是用户定义的ASIL等级,举一个例子,一个事故发生之后,造成的后果非常严重,可能是车毁人亡,这个事故的发生几乎无法控制,这就是ASIL最高的等级。我们通过这个表,除了KUM之外,还由于KUM这是什么意思呢?质量管理。如果某一个故障发生之后,它对我们的安全没有任何影响,举一个简单的例子,你车里面一个灯坏掉了,它肯定不会造成安全影响,大不了在修理厂重新装一个。这个就不会划为ASIL的等级它归未知量管理的问题,所以我们从ASIL来看,ISO26262这样一个安全标准,他其实是和以前我们提到的质量有衔接的。我们看ISO26262软件设计要求,标准差不多介绍了软件架构、软件设计、软件集成等等,包括安全要求,这个用不同颜色标出来的,这是我们在后面提高的基模设计里面关系非常密切的两块,我们设计的时候要做的工作就是软件的Simuink来设计,软件开发里面有一个开发工具,以及这个方法工具都是一个要求,比如说在设计的时候,我们设计员就会选择Simuink来进行设计,他必须要接受技术规范,他也会告示你一套规范。
第二个他给出了一个标准,他也支持软件的运行和处理,是什么方法。关于设计流程方面,我们看到是这样一个流程,从软件的接口到安全管理到配置管理、变更管理、验证管理、稳当管理等等,这和我们以前看到的传统的开发流程没有什么区别,这要注意的一点是,这里他有一个工具的资质审核,当按照ISO26262的要求,当时软件是简化或者是自动化与安全相关的开发合作,需要与使用的软件工具进行资质审核,就是不是任何一个软件开发工具都可以应用于符合ISO26262的开发要求,你需要一些通过这种资质审核的工具才能应用到这个开发流程当中去。我们首先来看软件工具的分类,它分出了一个TCL等级,就是软件里面的信任级别,看到比如说有一个TCL为1,为最高的时候,那么TCL 4应该为最低,如果他使用TCL1的信任软件工具的,我们就不需要进行软件资质审核,如果是使用其他软件工具的时候,我们就需要进行一个审核。这是两个方法,就是要进行要求,这是四种方法,还有评估开发流程,验证软件工具,这是一些审核方法,对于不同的ISO等级,和TCL水平的软件工具,审核的时候我们有一个要求,比如你对ISO有非常高的应用,你必须要很严格的来做审核,对于ISO等级比较低,并且TCL水平比较高,你可以适当的上调。我们注意到有一点,在同一个汽车等级上,ISO等级越高的时候,审核的要求也越高,我们看到有一个括号,括号里提到TCL1等于0,这是为什么呢?TCL1等于软件工具,我们是无须进行审核,前面我们大致的介绍了ISO26262软件开发的标准,下面我们基于软件基模设计和ISO26262,我们大致给大家介绍一下基模设计在软件行业有哪些应用,因为基模设计应用于汽车电子领域,任何一家厂商都在使用。在任何行业的开发领域我们都在使用基模设计,因为基模会大大的提高我们的效率。芯片提供了一个系统建模和代码,这是我们国内的东风车,他把基模的设计应用到管理模块上。
(播放视频)
然后我们再看一个例子,这是一块可以说是有里程碑意义的车,这两车我们很多同时也提到过,这两车的代码已经超过1000万行,这两车的设计作软件方面,所有的基模软件都使用Simuink设计,我们再来看一看什么叫基模设计,在这样一个开发环境之下,开发流程里面我们新定义的设计,我们的代码生成,我们的测试行业要面临Simuink模型,我们这里的代码是通过模型自动生成,不需要手动写代码,不需要人工参与写代码。然后我们看我们和ISO26262,我们前面已经提到过,如果说实用自动化工具检测,或者是自动化开发的时候,我们需要资质审核这里我们已经通过一些认证,是关于Simuink的认证,Embedded coder认证可以自动的将模型写入代码,他是符合ASIL要求的工具,所以我们进行一个整合,我们这里的框架也包含一个证书,包含一个工作流程,包括审核的资质报告。然后我们其他也有类似的论证,就是使用这个软件产品的时候,我们就不需要得到国外的认证了。在我们使用的时候,如果我们不同意开发流程,我们可以划为另一类,如果我们使用Embedded coder的话,我们就不需要进行国外验证,另外我们还提供一份建模规范,就是代码的使用,模型开发使用,这个规划参照的标准是IEC 61508, DO-178B 和MISRA C:2004,我们看开发流程是什么样子。开发流程是通过几个过程,一个是建模过程,一个是代码设计过程,我们是这样的包含两个阶段,一个是模型验证一个是代码验证,模型验证包含模型与代码的等效性测试,模型级模块的集成测试,这里面具体的一些操作过程我就可借助于Simulink V&V的需求管理接口的双向追溯功能,还可借助于Simulink Report Generator实现模型更新前后的变更对照来作为我们的开发流程的支持,在验证过程当中我们使用我们的Simulink Verification 、Simuink Validation和Simulink Design Verifier来进行静态的检测,可以完成大量的自动检查工作,建模要使用建模规范,要检查模型是否符合建模规范,Simulink V V支持MAAB规则的检查,通过ISO26262的认证。我们还有一些更深入的测试模块,这一块分成两个方面,一个是组件测试,一个是集成测试,模型的组建测试种测试用例和模型一样,是从系统需求派生出来的 ,验证模型正确的实现了需求中定义的功能,并且不存在需求中没有定义的功能。模型组件测试完成之后,需要对各个组件进行集成测试,集成测试主要验证各组件之间的接口关系,确保集成后的各个组件正确实现需求中定义的功能,模型的集成测试不包含模型和底层软件的集成。接下来是代码测试,这一环节用以测试自动生成的代码在编译连接之后,能够保持模型的所有行为属性,代码和模型的等效性测试,可以重用模型测试阶段使用的测试用例,可以用Simulink Design Verifier自动生成模型MC/DC 100%覆盖的测试用例,这个对于开发流行都有支持。模型与代码的跟踪评审用我们的Embedded Coder,综合使用判定覆盖率可以用Decision Coverage和分支覆盖率的Branch Coverage。
最后我们来看一下总结,道路车辆功能安全标准ISO 26262已经在汽车行业得到广泛关注,并开始得到应用,ISO26262其实涵盖了整个生命周期,得到了行业里的广泛应用,然后ISO 26262提供了完整的测试与验证流程,Embedded Coder、SLVnV等在符合ISO 26262标准的软件开发中无需做进一步的资质审核方法,确认软件的合法使用。在符合ISO26262的开发过程当中进一步的审核,ISO26262还为我们提供了从模块使用、参数配置、Stateflow和MISRA建模规范,我们在做这种模型开发的时候,要遵守MathWorks提供的这样一个建模规范,另外我们建模开发提供一个流程,这样我们很容易达到ISO26262认证,当然我们也希望能够和天府软件园进行合作,能够推广这种应用,因为这是提高效率的方式。 谢谢各位! 
