嵌入式软件的安全可靠性控制.pdfVIP

专题 嵌入式系统 清华大学 邵贝贝 车辆用嵌入式软件，安全可靠是第 一位的，随着汽车电子在车辆控制 方面的高速发展，汽车电子用嵌入 嵌入式软件的安全可靠性控制 式软件的安全可靠性变得越来越重 要。MISRA是设在英国的汽车工业 软件可靠性协会 的简 嵌入式软件的安全可靠性 简单的系统发展而来的，例如早期 称。其官方网站为 不同的嵌入式系统对其安全可 的汽车黑盒子产品，仅仅记录一个 。该协会由欧美的一些著名汽车公 靠性的要求是不一样的。一般说来， 时段的车速等状态，算不上安全紧 司和相关大学、研究机构组成，该机 嵌入式系统对可靠性与安全性的要 要系统。开发者使用单循环加中断 构对车用嵌入式软件的可靠性做了 求要高于非嵌入式系统。对于PC机， 完成了基本功能的开发，这个产品 大量研究。1994年，MISRA出版了 偶然死机需要用户重新启动，损失 就有了。后来，用户提出了更多的功 其最早的出版物 “Development 有限，而对于嵌入式控制系统，死机 能要求，于是一个个新功能被加了 ” 是绝对不允许的。 上去，程序变得越来越大，越来越难 简称 “ ”。由 系统的安全可靠性包含两重含 以维护。到软件安全性受到置疑时， 于嵌入式软件大都用C语言写成，很 义：一个是强调其安全性，特别是安 测试和认证变得几乎不可能，只好 多写法在ANSI的C以及相应的C编 全紧要系统(Safety critical)，即与人 全部推倒重来。 译器看来并没有什么不可以，但在 性命攸关的系统，保证安全是第一 保证嵌入式软件的安全性，除 MISRA看来，在安全可靠性方面存 位的；另一重意思是计算方法要科 了在整个软件开发过程中要边开发、 在着隐患。 学，结果要准确可靠，不得有误。表 边自我检查、测试之外，对于安全紧 例如，以下写法在C语言中完全 1给出不同安全可靠性要求的嵌入 要系统，需要有专门的程序测试人 合法： 式产品的例子。 员，甚至一支与开发队伍并列的测 尽管不同应用的嵌入式系统对 试队伍来保证代码的安全性。 满足条件要做的事； 安全、可靠性要求不一样，但制造最 对于航天类设备，既强调安全 } 好的产品，追求完美，是每个嵌入式 又强调算法科学可靠，还需要使用 MISRA认为，下面的写法才满 开发工程师的愿望。而事实是，为了 专门开发的软件管理、测试来保证 足可靠性要求： 产品尽快上市，一些嵌入式软件的 其质量，这类商用软件的价格可能 if (a == b) { 开发过程，往往是写个程序试一试， 高达数万乃至数十万美元。 if (c == d) { 功能实现了，开发过程就完成了。程 if (e == f) { 序并没有得到充分测试，隐患就在 MISRA与 MISRA标准 满足条件要做的事； 程序之中。 车辆的安全性是人命关天的， } 嵌入式软件的开发通常是由相 表1不同的安全可靠性对比 关行业有经验的工程师完成的，他们 对相关产品富有经验，但对于计算机 的认识尚达不到计算机专家的水平， 写出的程序代码可能存在隐患。 一些应用系统，往往是从功能 38 电子产品世界2005.2