符合ISO26262标准的软件测试解决方案.pdfVIP

以铜为镜，可以正衣冠；以古为镜，可以知兴替；以人为镜，可以明得失。——《旧唐书·魏征列传》

符合IＳO２626２标准的软件测试解决方案

随着汽车行业的迅速发展，汽车电子电器E／E系统在汽车中的作用不断提高,ＥCU开发所占用的时间和

成本也越来越高。与此同时,越来越多的电子控制系统(例如车身稳定控制系统ESP,防抱死制动系统AＢS，

自适应前照明系统AＦＳ等)具有与安全相关的功能,因此对ＥＣU的安全要求也越来越高。为了减少产品的

开发时间和成本,降低由于安全问题而导致的维护甚至召回的风险,越来越多的整车厂和供应商开始重视汽

车领域的功能安全问题，ECU软件功能安全的问题也成为汽车行业迫切需要解决的问题,车辆功能安全标准

ISO26２６２就在这样的环境和需求下应运而生,并于2011年11月正式发布第一版本，该标准是当前汽车

业中最流行、最复杂、也是最重要的一份标准。

IＳO２6２6２的目标是通过避免汽车E/E系统故障行为可能导致的危害来提高Ｅ／E系统的功能安

全。ISO2626２采用车辆安全完整性等级（AＳIL）来判断系统的功能安全程度，AＳIL由ASIＬＡ（最

低)、ASIＬB、AＳＩＬC及ＡSＩLD(最高)四个等级组成,ASIL等级越高表示系统的功能安全评估越严

格,相应的表示系统正确执行安全功能，或者说的避免该功能出错的概率越高,即系统的安全可靠性越高。

ISO2６26２标准的组成架构由十个规范和信息指导文件组成，其中ISO２6２62—4/5／6阐述的是系

统级／硬件级/软件级的产品开发，使用嵌套的V模型定义了每个开发阶段的过程以及相应的工作产品。本

解决方案主要阐明了在软件级产品开发阶段如何去理解ISO26262的要求,并且指出了在实际的软件开发

过程中如何结合ISO2６262的软件测试生命周期，通过包括软件测试工作的执行以及过程控制等方面来

确保ECU软件质量满足IＳO26262软件级功能安全相应等级的要求。

基于V模式的ISO26262软件测试生命周期

如图所示,基于V模式的IＳO26262-6软件测试生命周期可以划分为五个阶段:

静态分析需求和功能需求：在软件级产品开发初始化阶段和软件安全需求规范制定阶段确定了一些基本的

嵌入式软件静态分析需求和功能需求,这部分内容是以后设计和测试的基础;

架构验证:在软件架构设计阶段,我们可以使用人工分析的方式来验证和测试软件架构层的内容,但是有条件

的话最好使用合适的架构设计工具,在设计的过程中同时进行架构验证;

静态测试:在软件单元设计和实现阶段同时进行静态测试,可以使用开发辅助工具来进行静态测试,这样不必

因为静态测试的活动而改变开发流程。

动态测试:在软件单元测试阶段以及软件集成和测试阶段，使用合适的动态测试工具进行动态单元和集成测

以铜为镜，可以正衣冠；以古为镜，可以知兴替；以人为镜，可以明得失。——《旧唐书·魏征列传》

试,

功能验证：在软件安全需求验证阶段，要根据ＩSO２６2６2-6的要求进行功能验证,包括进行ECU网络

环境测试和实车测试，必要的时候进行ＨＩL测试。

因为在静态分析需求中所需要满足的方法基本上都是属于静态测试的范畴的，因此我们以ASILA为例,

将软件测试内容分为静态测试、动态测试和功能验证三部分(注：架构验证暂时未包含在内),见下表。

表中所列举的静态测试内容里面要求采取多种的测试方法,例如低复杂度的强制要求‘’一般需要通过满足

一定的度量指标来实现,度量指标包括圈复杂度、嵌套深度等等，而使用语言的子集‘’在汽