符合ISO26262的汽车电子软件开发流程.pdfVIP

1? 2015 The MathWorks, Inc. 符合ISO 26262的汽车电子软件开发流程 董淑成 Shucheng.dong@mathworks.cn MathWorks 中国 2ISO 26262 (2011) 高完整性软件开发标准和基于模型的设计 0 1 2 1990 1995 2000 2005 2010 基 于 模 型 设 计 的 应 用 标准生效的年份 DO-178B (1992) NASA-GB- 8719.13 (2004) IEC 61508 (1998) DO-178C （2011） IEC 61508 (2010) EN 50128 (2001) EN 50128 (2011) IEC 61511 (2003) 3软件开发标准里出现基于模型的设计 4为什么？ 5大 纲 ? ISO 26262软件开发项目的启动 ? 符合ISO 26262的软件开发过程 6软件开发 ISO 26262定义的软件开发过程 系统 集成和测试 系统设计 软件 需求验证 软件 集成和测试 软件 单元测试 软件单元 设计及实现 软件 需求定义 软件 架构设计 系统测试 软件测试 软件测试 软件测试 设计验证 设计验证 设计验证 7软件开发 ISO 26262的软件项目启动 系统 集成和测试 系统设计 软件 需求验证 软件 集成和测试 软件 单元测试 软件单元 设计及实现 软件 需求定义 软件 架构设计 系统测试 软件测试 软件测试 软件测试 设计验证 设计验证 设计验证 1. 软件开发计划 2. 软件验证计划 3. 编程、建模语言的选择 4. 编码、建模标准 5. 工具的选择 6. 工具应用指南 8建模/编程语言的选择及相关标准 ? 建模或者编程语言的选择标准 – 明确的定义 – 支持嵌入式实时软件和运行时 错误处理 – 支持模块化、抽象及结构化 ? 语言本身不能涵盖的上述标准应 通过相应的指导或开发环境涵盖 Topics ASIL A B C D 1a Enforcement of low complexity ++ ++ ++ ++ 1b Use of Language subsets ++ ++ ++ ++ 1c Enforcement of strong typing ++ ++ ++ ++ 1d Use of defensive implementation technique O + ++ ++ 1e Use of established design principles + + + ++ 1f Use of unambiguous graphical representation + ++ ++ ++ 1g Use of style guides + ++ ++ ++ 1h Use of naming conventions ++ ++ ++ ++ ? 通常，汽车电子软件选择C语言 – 基础软件手工编写C代码 – 控制策略软件通过Simulink建 模并自动生成代码C代码 ? 建模/编码标准要涵盖的内容 9Simulink/Stateflow 建模标准 ? 汽车行业建模标准（MAAB） – 专门为汽车行业Simulink用户制定 ? 高完整性系统建模标准 – 专门为民航、火车、汽车等高完整 性系统建模制定 10 设计工具/验证工具的选择 ? 工具的分类及资质审核 注：ISO 26262要求对工具进行资质审核 TI 2 TI 1 TD 3 TD 1 TD 2 TCL 3 TCL 2 TCL 1 工具错误的检测 工具置信水平 高 中 无 / 低 增 加 审 核 需 求 工具的影响 ASIL 为TCL2级的资质审核 无需额外的资质审核 为TCL3级的资质审核 工具分类 工具资质审核 UC 1..n 软件工具有引入错误或 者不能检出错误的可能 工具的功能/ 用例 11 TüV SüD认证的工具 ? Embedded Coder? 功能：生产针对嵌入式优化的C和C++代码 ? Simulink? Verification and Validation? 功能：验证模型和模型生成的代码 ? Simulink? Design Verifier? 功能：定位设计错误，生成测试用例， 并根据需求对设计进行验证 ? Polyspace? Client? for C/C++ 功能：证明源代码没有运行期错误 ? Polyspace? Server? for C/C++ 功能：在计算机集群执行代码验证并发布度量 12 开发工具的应用指南 ? 除了选择开发工具之外， 还要提供开发工具的应用 指南 ? Embedded Coder等工具 具有非常详实的用户手册 13 基于模型的嵌入式软件开发 需求分析 ? 模型架构 ? 可实现性 ?