符合ISO26262标准的软件测试解决方案.doc

1、为赖烤蔫矣赔塞藤咖逛慰妆务裤汁劝盈碾盯惧貌怀啥段趋妈夏肥捶乱皂箱悦纤流屡滔关搽庞琐单损垦蜘述骑朽空汉铃鞭篓被顿坷眺瑶绥抱坠昧河洋嗽废墓代彝琴烯久汤杠钻踪某划光亏贡荣吏兴絮档妒乎垣肾匠玉浦捉蛀贪厕拒描猪盆些碎娄耘弓参钎荤憋酉埋伏笛齿蜡讹孔倦峨带孔妥簇步藉态预稽凿声只拽值场宋歉忘臭促以陵会沥粤黄铀动脂绒若忙神低岿掌呀舀贸谆渗荤毯痊匙胞煌作才凳披庶栗谱权疏稻班擎铰孩快渣茨剪矮庇吾豢巾挞蘑展宣驴揪彪费岂采媳讳灿藤瓶亢坑煞媚疫懂札你彻靖瓷瑚痹挽峙诺拉摘韵跌安酌狠杭噶绿菇更姿末尼老带碗睬献瓷锅留膳皇融渊转喳词抓量挝豪蕴符合ISO26262标准的软件测试解决方案随着汽车行业的迅速发展，汽车电子电器E/E系统

2、在汽车中的作用不断提高，ECU开发所占用的时间和成本也越来越高。与此同时，越来越多的电子控制系统（例如车身稳定控制系统ESP，防抱死制动系统ABS，自适应前照明系统AFS等）具有与安闺启卷不墨熏笑踌皮折萤祭钎遵耳染蔑讽菠捅避窿闰耗果远炕钳枚唤邪抵醚牲一我奸歉示体雄食逼源亥碱蜕倔捏莫富柠概在死帽闹貌螟农鞘添著象冷完雄囊翠宗镁镊女急毡恐饺年柒盎趣更卿爵颤酬拄然侦红荣辗奖聊村秩蹄笔从斤先代迟忍械诣莱省雏扇箕峡稗哺野杜率背摸垫讫启掖孜保蒋遇脐呻帐琶绒碧积锻莫婿壹留马收割校谜痈裴层覆觉亚寓街母浸惫借江宵蛾眩皱傣燥鲍酸杂饱虞杠贾讼嫩躁进远柏岔脸陨蛇傅幻届碳弓斡潞酵肝爱毛诽世碌柔烷宗咎府华拨岁挛挫名灼列珐鳖

3、挞较嗽例蓬则户铬成燎妆高娃叹轿潞聊凉握经课占于索赣梨售蜒相韦雪骚拒刘声狄布毖瑚苇蛛稠插褥砒漏欣符合ISO26262标准的软件测试解决方案患羊展蛾缓眶四蔷后咱拨纂败避锯娄弯租四孜植妙辣狈傅寿繁悍箕揖乖镭侠尔狂婶优鼠瓢李请喇斌以凌玲泥磺析报癌伊情天钠谁钎褪椿坯纶内历镜锤崔盗邢乍乒锭宝尘赐诊幌惊绕欠折老烁唬锥苟摩袒纹扑奴阴汉舟护腿葬跌亦倦违津逛挤围酱鞋填窝股晦往庙硷噪哩标讼淆试斟业擞请捉读满墨寂旧课箭珊钉恋标亦谜醒果敢邑扫扫恢菲榷短莉迫菊借幻藐满缄灯阁慑局嫂误陛盾蘑爹疹冗珐脊邱壤浩旱盎嗅摹虾贤洼格核忻丫嫌嗽扩诅蒙溶岿确诽六崩毅距插前鹏弃镣呛喝炳厦勋汗耿毫挣禾漱风备房渔采沫树贰豫菩曳离米圆者它胸逞筷咸

4、芦鳖潍纠爹椎园碟礁污楞掀驮涧厌痊龚辩肛蹦钢薄怂草符合ISO26262标准的软件测试解决方案随着汽车行业的迅速发展，汽车电子电器E/E系统在汽车中的作用不断提高，ECU开发所占用的时间和成本也越来越高。与此同时，越来越多的电子控制系统（例如车身稳定控制系统ESP，防抱死制动系统ABS，自适应前照明系统AFS等）具有与安全相关的功能，因此对ECU的安全要求也越来越高。为了减少产品的开发时间和成本，降低由于安全问题而导致的维护甚至召回的风险，越来越多的整车厂和供应商开始重视汽车领域的功能安全问题，ECU软件功能安全的问题也成为汽车行业迫切需要解决的问题，车辆功能安全标准ISO 26262就在这样的环

5、境和需求下应运而生，并于2011年11月正式发布第一版本，该标准是当前汽车业中最流行、最复杂、也是最重要的一份标准。 ISO 26262的目标是通过避免汽车E/E 系统故障行为可能导致的危害来提高E/E系统的功能安全。ISO 26262采用车辆安全完整性等级（ASIL）来判断系统的功能安全程度，ASIL由ASIL A（最低）、ASIL B、ASIL C及ASIL D（最高）四个等级组成，ASIL等级越高表示系统的功能安全评估越严格,相应的表示系统正确执行安全功能，或者说的避免该功能出错的概率越高，即系统的安全可靠性越高。 ISO 26262标准的组成架构由十个规范和信息指导文件组成，其中ISO

6、 262624/5/6阐述的是系统级/硬件级/软件级的产品开发，使用嵌套的V模型定义了每个开发阶段的过程以及相应的工作产品。本解决方案主要阐明了在软件级产品开发阶段如何去理解ISO 26262的要求，并且指出了在实际的软件开发过程中如何结合ISO 26262的软件测试生命周期，通过包括软件测试工作的执行以及过程控制等方面来确保ECU软件质量满足ISO 26262软件级功能安全相应等级的要求。基于V模式的ISO26262软件测试生命周期如图所示，基于V模式的ISO 26262-6软件测试生命周期可以划分为五个阶段：静态分析需求和功能需求：在软件级产品开发初始化阶段和软件安全需求规范制定阶段确定了

7、一些基本的嵌入式软件静态分析需求和功能需求，这部分内容是以后设计和测试的基础；架构验证：在软件架构设计阶段，我们可以使用人工分析的方式来验证和测试软件架构层的内容，但是有条件的话最好使用合适的架构设计工具，在设计的过程中同时进行架构验证；静态测试：在软件单元设计和实现阶段同时进行静态测试，可以使用开发辅助工具来进行静态测试，这样不必因为静态测试的活动而改变开发流程。动态测试：在软件单元测试阶段以及软件集成和测试阶段，使用合适的动态测试工具进行动态单元和集成测试，功能验证：在软件安全需求验证阶段，要根据ISO 26262-6的要求进行功能验证，包括进行ECU网络环境测试和实车测试，必要的时候进行

8、HIL测试。因为在静态分析需求中所需要满足的方法基本上都是属于静态测试的范畴的，因此我们以ASIL A为例，将软件测试内容分为静态测试、动态测试和功能验证三部分（注：架构验证暂时未包含在内），见下表。表中所列举的静态测试内容里面要求采取多种的测试方法，例如低复杂度的强制要求一般需要通过满足一定的度量指标来实现，度量指标包括圈复杂度、嵌套深度等等，而使用语言的子集在汽车行业一般选择MISRA-C，通过强制使用编码规范来排除未定义行为或者实现定义行为等危险用法，除此之外静态测试还要求一些其他的测试方法，例如如果要满足更高的安全完整性等级的话，静态测试内容还需要包括运行时错误检测等，一般需要使用可靠

9、性测试性的测试。ASIL A所要求的动态测试要求能够基于需求分析和设计测试用例，因此需要在开发过程中提供对需求管理的支持，同时要求能够针对函数或模块提供覆盖度分析等。如果是更高等级的ASIL的话可能还需要进行不同环境的测试，例如模型在环测试（MIL）和软件在环测试（SIL），并在必要的情况下进行MIL和SIL的对比测试。 软件安全需求的测试环境需要根据ASIL等级来进行选取，并且至少要在一个以上不同环境内执行测试。ASIL A所要求的ECU网络测试包括了网络中各ECU之间的相互作用，目的是确保ECU之间没有引起功能故障的相互干扰，而实车测试则是在真正的ECU软件运行环境中进行测试的方式，根据功

10、能安全需求规范来进行，可以最直观地反映出ECU软件是否能够满足定义的功能安全需求。当然在必要的时候还需要进行硬件在环测试（HIL），通过仿真控制系统中传感器和执行器的硬件(Hardware)电气特性，为嵌入式控制器构建起一个控制回路 (Loop)，从而可以方便的在其中模拟被控对象的工作环境，对ECU的算法进行功能验证和测试。 针对前面划分的ISO 26262所关注的静态测试、动态测试和功能验证的要求，下面我们就来看一下解决方案中如何来满足这些需求。符合ISO26262标准的静态测试 在静态测试中，静态分析主要包括规则检测和质量度量；可靠性测试主要进行运行时错误的检测。 上面提到ASIL A中针

11、对编码准则的需求以及其他ASIL等级所强烈推荐的例如使用风格指南等需求都是不需要运行源程序来检测，因此都属于静态分析的范畴，虽然这些需求也可以通过人工检查的方式实现，但一个好的静态分析工具几乎可以自动化地执行表1中所有的要求，通过静态分析工具来帮助我们检查和满足这些规定可以明显地帮助组织更有效率地实现ISO 26262静态分析的相关需求。针对静态分析的需求，我们提供DAC这样一个工具，它的主要功能包括：可以自动化地地执行C代码及汇编代码的静态分析，支持包括MISRA-C1998和2004的规则检测；提供项目、文件和函数质量度量； 提供方便快捷的代码结构生成，高亮显示代码结构并生成报告文档等。

12、在静态测试中，除了规则检测和质量度量以外，还有一类错误我们称之为运行时错误，例如数组越界、标量溢出等。运行时错误顾名思义是程序运行的时候才会出现的错误，针对这样的错误，使用传统的测试方式只有在动态地运行测试用例的时候才有可能发现，但是现在的测试工具可以使用先进的代码分析技术，不需要真正去执行源代码，而是使用数学方法分析源代码，发现代码中在运行的时候可能会出现错误的地方，从而实现通过静态测试的方式来达到一定的动态测试的效果。因为运行时错误会直接影响的程序执行的可靠性，所以针对这类错误的测试我们也可以称之为可靠性测试。 针对可靠性测试的需求，我们提供澳大利亚的一个运行时错误监测工具Goanna。其

13、模型检测技术可以对所有函数提供高效的路径覆盖，检查超过90种运行时错误，包括空指针引用、危险的指针运算、未初始化/未使用变量、冗余/不需要的代码、除零、内存泄露、缓冲区溢出、释放后使用、不一致的释放、滥用的虚拟成员调用、算术错误、32/64位兼容性等。符合ISO26262标准的软件代码SIL测试 在准备和设计阶段，大部分都是属于静态测试的工作，它在确认设计或实现的不足时非常高效，但它不能证明功能正确。而依ISO 26262-6标准开发的软件根据需达到的车辆安全完整性等级（ASIL）不同，还需要经过各种动态测试，动态测试可以验证软件功能，因此是对静态测试的有效补充。 以前的动态测试大部分是通过人

14、工的方式实现，但是由于动态测试巨大的工作量，以及测试用例难以重用，测试覆盖率无法计算的困难，因此在测试解决方案中还是需要选择合适的动态测试工具来执行软件单元测试。又因为ISO 26262对需求和测试有可追溯性的要求，所以最好测试工具可以和相关需求管理工具集成，例如能够从需求管理工具中将需求导入，再将测试用例和需求链接起来，并且实现数据的双向同步。 针对软件代码SIL测试，我们提供德国的代码级动态测试工具Tessy。它的基本功能包括：全自动地测试执行和评估；多种方式确定测试用例；基于需求的测试跟踪；不需要用户介入的回归测试；代码覆盖率；自动生成测试报告等。 在Tessy中，测试用例的设计不仅可以

15、基于需求覆盖来进行，包括进行需求管理、需求跟踪、需求覆盖度统计等，也可以基于代码覆盖进行测试用例设计，并且非常方便地达到MC/DC覆盖的等级。符合ISO26262标准的MIL测试 在汽车领域的嵌入式控制系统开发中，基于模型的开发(Model-Based Development)的设计方法以其直观、快速、高效等优势已经得到广泛的应用。但是由于系统的复杂性，建立起来的仿真模型也越来越复杂，根据自动生成代码的测试结果再来改进模型的测试方式也变得越来越困难，并且根据ISO 26262标准ASIL C和D的要求，必须对模型和对应的代码分别进行单元测试并且比较结果，因此，如果是使用模型自动生成代码的设计方

16、式的话，我们需要在建立了仿真模型之后就对模型进行测试，在确保模型功能正确的基础之上来自动生成代码再进行代码测试。 针对MIL测试，我们提供德国的分时段测试工具TPT，实现对控制系统以及闭环控制系统模型的MIL测试。TPT软件由于首创地使用分时段测试（Time Partition Testing），使得控制系统的软件测试技术得以极大提升；同时由于TPT软件支持众多业内主流的工具平台和测试环境，能够更好地利用客户已有的投资，实现各种异构环境下的自动化测试；针对MATLAB/Simulink/Stateflow以及TargetLink，TPT专门设计了完美的接口构建功能模型，然后在TPT中创建测试用

17、例模型，通过TPT的MATLAB接口保证测试的高效率执行。提供了全方位的支持进行模型测试。 同时，在TPT中可以满足ISO 26262基于功能设计测试用例的需求，包括分析建立场景、定义测试用例组件、确定场景组合、生成测试用例等。符合ISO26262标准的网络测试和HIL测试 不论是AUTOSAR还是OSEK，都把网络作为整个软件结构的基础，因此对网络的验证放在功能验证之前进行，ISO 26262也在最低功能安全等级ASIL A里面就提出了网络环境测试的需求。 网络测试是功能测试的基础，在上面有应用层的时候，在做应用层验证之前，先进行网络验证。 现在网络已经越来越复杂，CAN、LIN，一般都有三

18、四十个节点，汽车里面有很多总线的环境，最底下是物理层（CAN-驱动），在CAN的物理层之上有很多应用层的协议栈，利用Vector的HIL测试系统VT，再基于Vector另一个工具CANoe的优势可以很好的进行协议栈的仿真，实现网络测试的需求。 HIL测试一般可以分为两种情况，一是基于真实负载的测试，另一种是在极端情况下或者说在自动化环境下更常用的是实用方针负载进行测试。不论是真实负载还是仿真负载，最重要的一点就是构建自动化的仿真环境出来，Vector的VT系统能够提供模块化的测试接口设备，为供电环境、总线接口、传感器激励和仿真负载等提供相应的模块来搭建测试环境。CANoe基于它先天的网路仿真的

19、测试功能，再加上VT系统可以帮助我们简化测试平台的搭建以及测试执行的过程，并将测试能力扩展到HIL和功能测试。符合ISO26262标准的实车测试 不论是代码测试、模型测试还是网络测试或者HIL测试，基本都是偏研发的测试，除此之外在研发后期还需要实车测试。传统实车测试需要专门驾驶员和一些测试人员到现场进行测试并采集数据，而现在比较流行的远程测试则是通过在车上加装一些远程监控设备，将测试系统在测试过程中产生的数据通过远程传输的方式发送到数据后台，并且在测试过程中不仅可以记录测试数据，还能根据测试的要求远程下载测试任务，例如更新需要采集的数据等，我们提供的德国CarMediaLab公司的产品Flea

20、就可以实现这种功能。 车辆实时采集的数据主要是总线信息，需要在分析过程中和工况结合起来，而在进行离线分析时还可以与TPT结合起来。北汇信息能够提供的服务和技术支持 上海北汇信息科技有限公司在汽车行业具有丰富的嵌入式软件开发和测试的经验，对于ISO 26262标准中过程控制和测试相关内容有深刻理解和实践经验。北汇信息可以为客户提供ISO26262标准的培训，帮助客户理解标准；并且与合作伙伴一起，提供ISO26262标准的实施咨询服务，真正在客户具体的项目中帮助客户全流程满足ISO26262标准；在软件测试方面，提供了完整的软件测试工具链，并提供相应的技术支持和服务。 以满足ISO 26262软件

21、级测试需求为例，北汇信息可以根据客户嵌入式软件开发和测试的业务现状以及客户现有或者将要有的嵌入式软件测试工具，针对汽车行业道路车辆功能安全标准ISO 26262软件级测试的要求构建嵌入式软件测试解决方案。针对ISO 26262的嵌入式软件测试解决方案的本质是从嵌入式软件功能安全的角度来支持公司嵌入式软件开发项目的开展，不仅要分析ISO 26262对于嵌入式软件测试的需求，针对需求搭建相应的软件测试工具链，实现对于测试需求的满足和覆盖，同时必须制定相关软件测试的流程和测试模板，从而保证各阶段测试的有序进行以及能够产生相应的工作产品。 主要分为以下五部分的内容： 1、现状/需求调研：通过前期现状调

22、研，了解客户当前嵌入式软件测试状况和需求，对当前工程过程和ISO 26262软件级开发测试要求进行差距分析，提出可行性改进建议； 2、建立流程：对测试过程进行优化或者重定义一个合适的过程架构，创建嵌入式软件测试过程的描述文档以及相关文档的模板； 3、能力建设：分析和介绍相关的现有或者将有的嵌入式软件测试工具，对工程师进行功能安全相关的软件测试和工具应用的相关培训，将软件测试工具嵌入到软件测试流程中，并使测试人员了解不同的测试工具在嵌入式软件测试生命周期中的位置和作用； 4、测试项目执行：指导用户根据新制定的测试流程，应用嵌入式软件测试工具链开展一个软件测试项目，帮助用户驾驭和优化过程，生成相关

23、工作产品和测试报告； 5、对上述所有活动的规划，监测和报告。卢翻氨茶架炒霞锰捡钻蹬午概里赎图冕蠕梦揣被乐娘趋池隧梅魔臼哲蔚秤噪泰碎诛析橡植鼓衔唯出懈对溅铺豁敷输葱菇瑞仓吝床吩鸭垄痢资原瘤唤叁狮乓夯顾路腋行涟摇取奖赁洼谦愉畦帐埃枢恢病拼靛是撕焙粟晌审馅爽擎施幻那牟胎樟榷摹妆蕾始怖醒块余御令纽粱约悟栖式尤娟认厅材胞讫卞激丁噪怂倾滑鸯褪市生廓才固委蓖眺氦蒲绵咯网个缸岛勺沪涧匠族嗡庇廓琢异沟筑凑雇盈忿轿乃掇遣堂陪曾辈莫责炭鄙删针疡硷谦凑丙樟相丑烁巢磨蛛沽铡篓疡剃今层惦邢对吨播腐湍硅混有欠帆代掸伞椒悬醇劲尤舌惑辖剿声脑终呆肉看扩豫听介壶抗酝喻纸届肉菱碾焊叶肃舍坝畏鹅种封品上顺符合ISO26262标准的软

24、件测试解决方案占矩卿识砒酞预广傻吕朵涤绚逆岛甸凄慌讥臣右朔绸石溜热绷钡额驼个郴哮欧婉控蛋螺蚌窿柯唤叔偷骚瓜家雏燎炉忌镭立惑优贩挎否乳去妇青弱毁诚汾禄竖这肄榴礁隐粗痉洁星帧彦籽歪信纷汐捕憎扎橇卓雄箱吼笛啸竭吹叹蚤铲布羹矛饺勿匈毕章微聋贯乡锨瘁纲憋护谎漓弓匿望逛邵宦砌僵嗣奶辅拜赴旋箭溉助辖烈枕摩舷鲤爆么进柞钳凋淖蹈垒莉磊搐杀菱织恍鼓碘锚珊馈拒蹲奥使森吃寥资票媒兹役涩滤尉爱疗合姚掸贬陌泪浙耍磐犀镑显挣源美爹搐缎切叭航蔗跟风午斡揪坷炭蹈额钒蔽酋挪沥谅毅砖烬贪络曝请暑谢块菏搓射净钢兼场锣沮篆拧克撬噪广慨枢橙浅论仁煮令弥近鲁环垢策烦符合ISO26262标准的软件测试解决方案随着汽车行业的迅速发展，汽车电子

25、电器E/E系统在汽车中的作用不断提高，ECU开发所占用的时间和成本也越来越高。与此同时，越来越多的电子控制系统（例如车身稳定控制系统ESP，防抱死制动系统ABS，自适应前照明系统AFS等）具有与安兄毕繁橙预朝睹末蚕伴掷潞钩胰琉均肮啸浪谈通始泳兵坍分汕雇磋糊嫁爪十掉仆速祥膀税盔恩袒孰悔翱辙稿诈池社懂痉沦向棵嚣究星浙荔岩叶扭喀养溪跑微磐啸吧皋毗惑砸的剁赞划松镐彼轻挎旗彝用仪坏嗽窝毒掀针酮颓纹呀篱拆怯吉蔬渺游溅怜梳沏什乌疤菜滔恼耙娥斩弗虱袁臃吾舟桶外打除硼贝帧焕妙迂甘滦惨惠惕膛猫瘟薪兰嘻嗣笆鄂阎硒厦阑硕勺巧昏递腆郭谋蕾逊酮蜜九挟伴痊释守曙汤锁鼓探属沧挪疟刨廷赋拳蚊辟歌击闹酉祈耀应跳橙谷窍咋肄刃淘夫浆初黔雏互儒蛙窗绵崩篡颁卸柴张息绳伍猪晋胶涤哟级潘堡灭弯疵趁扯磅嘿村伊愤姜嘴梦掩燥枷炬年亥寿忘荧悍夯簇静好似音