2020年12月23日��,中國(guó)汽研成功舉辦《2020第三屆新能源汽車測(cè)試評(píng)價(jià)技術(shù)國(guó)際論壇》����。中國(guó)汽研將持續(xù)為大家推送精彩演講實(shí)錄��,本文為貝騰軟件科技總經(jīng)理劉春曉帶來(lái)的《擁抱需求驅(qū)動(dòng)���,新能源汽車功能安全落地一站式最佳落地方法》�����。
1 背景
隨著軟件驅(qū)動(dòng)汽車時(shí)代的來(lái)臨���,不斷增加的功能�、系統(tǒng)��、安全需求���、自動(dòng)駕駛等��,使得軟件復(fù)雜性急劇提升��,在多場(chǎng)景下����,如何確定需求測(cè)試的完整性是亟待考慮的����。傳統(tǒng)零部件和軟件開(kāi)發(fā)的區(qū)別在于硬件質(zhì)量瑕疵可通過(guò)不良品率ppm量化,生產(chǎn)后的無(wú)瑕疵批次硬件依然可用�,而軟件開(kāi)發(fā)發(fā)行后,由于是復(fù)制式部署����,會(huì)影響所有最終產(chǎn)品�。功能安全的作用主要體現(xiàn)在防范和監(jiān)控方面�。ISO26262于2011年正式頒布,聚焦兩大問(wèn)題����,一是人為失誤等導(dǎo)致系統(tǒng)性失效,二是電子件(硬件)隨機(jī)失效�,從組織成熟度、流程質(zhì)量和產(chǎn)品質(zhì)量三個(gè)維度進(jìn)行把控��,旨在提高汽車電子����、電氣產(chǎn)品功能安全。TS16949是針對(duì)整個(gè)組織的流程認(rèn)證質(zhì)量體系�����,ASPICE(汽車軟件過(guò)程改進(jìn)及能力評(píng)定)更多的聚焦于軟件的過(guò)程品質(zhì)�,ISO26262聚焦于產(chǎn)品的安全���,在相互穿插支撐整個(gè)產(chǎn)品實(shí)現(xiàn)的過(guò)程中需要一些文檔來(lái)約束開(kāi)發(fā)過(guò)程��,確保產(chǎn)品吻合當(dāng)前設(shè)計(jì)需求�����。
2 需求工程
ASPICE及功能安全落地的難點(diǎn)在于硬套模板�����、執(zhí)行力虎頭蛇尾�、管理層志愿不足、對(duì)流程的理解和執(zhí)行有較大偏差等���,理解誤差是開(kāi)發(fā)過(guò)程中不可避免的�,這些問(wèn)題的核心點(diǎn)為需求工程�,需求工程的目的是構(gòu)建全體項(xiàng)目成員對(duì)開(kāi)發(fā)內(nèi)容的共通理解。需求的種類分為功能需求(描述系統(tǒng)的能力�����,在特定場(chǎng)景下系統(tǒng)的行為以及對(duì)于特定的外界激勵(lì)如何響應(yīng))�����,非功能需求(描述系統(tǒng)與功能無(wú)關(guān)的特質(zhì)�����,比如代碼質(zhì)量、可用性����、可擴(kuò)展性、依賴性�����、可移植性����、系統(tǒng)性能、強(qiáng)健性以及系統(tǒng)的開(kāi)發(fā)成本�、期限等),安全需求(源自于軟硬件FMEA����、FTA等,規(guī)定系統(tǒng)行為不得導(dǎo)致人身傷害的發(fā)生或者具有嚴(yán)重后果的系統(tǒng)故障)�。需求獲取方法包括頭腦風(fēng)暴�����、問(wèn)卷����、頭腦風(fēng)暴的悖論��、變換視角�、類比拆解�����、抽象建??焖僭汀⒂美龍D等���。
安全需求應(yīng)當(dāng)具備的特性包括用詞明確(明確清晰的用詞�,一個(gè)詞對(duì)應(yīng)于一個(gè)概念)����,小顆粒度(一條需求處理事情的一個(gè)方面,一條需求不可細(xì)分為多條需求)����,自一致性(需求之間沒(méi)有內(nèi)在邏輯矛盾),可實(shí)施性(在工程限定條件之下可以得到實(shí)施)�����,可驗(yàn)證性(定義需求時(shí)考慮到需求是否可以被驗(yàn)證)。
需求的基本屬性(PUID:永久性唯一表記序列號(hào)�����;版本:方便變更管理時(shí)的可追溯性���;描述:需求的文本表達(dá))����,功能安全需求應(yīng)當(dāng)具有的屬性(類別:安全需求��、功能需求��、非功能需求�����;ASIL等級(jí):QM���、 A�����、B�、C�、 D ;狀態(tài):建議�����、已確認(rèn)��、已拒絕�����、已評(píng)審��、已實(shí)施����、已驗(yàn)證)。
需求的管理貫穿整個(gè)系統(tǒng)生命周期�����。包括有層次有組織的結(jié)構(gòu):相應(yīng)于產(chǎn)品(軟件)的設(shè)計(jì)����;完整性:每一層級(jí)的需求必須完整地實(shí)現(xiàn)其上層級(jí)的所有需求�;一致性與非冗余性:必須貫穿所有的需求�;可維護(hù)性:對(duì)需求的擴(kuò)展,增補(bǔ)��,刪除進(jìn)行管理�����;可追溯性:需求之間����,與軟件實(shí)現(xiàn),與測(cè)試之間雙向可追溯����;配置管理:版本的明確定義與使用,歷史版本可復(fù)現(xiàn)����,版本的可追溯性。這些要求可以通過(guò)需求采集與管理工具輔助進(jìn)行���。
需求需要用文字的方式進(jìn)行表達(dá)���,國(guó)際需求委員會(huì)建議使用模板來(lái)表述需求會(huì)更加清晰(需求的非形式化語(yǔ)言模板):
非安全需求和安全需求應(yīng)該在系統(tǒng)中被隔離(非干擾)���,保持一定的獨(dú)立性��, 保證不會(huì)因?yàn)槟骋粔K的失效而導(dǎo)致安全目標(biāo)被違反���,同時(shí)非安全需求作為也需要遵循ISO26262相關(guān)要求�����。
系統(tǒng)和軟件的功能安全產(chǎn)品開(kāi)發(fā)的主要活動(dòng)流程:
BMS功能安全需求例子 FSR(功能安全需求):
BMS技術(shù)安全需求分析例子 TSR(技術(shù)安全需求):在FSR的基礎(chǔ)上進(jìn)一步細(xì)化��,通過(guò)TSR活動(dòng)定義合理的安全機(jī)制來(lái)滿足FSR���;基于FSR的初步架構(gòu),在TSR環(huán)節(jié)部署元素和子元素��,構(gòu)建包含軟硬件的技術(shù)架構(gòu)����;TSR需要指定元素的結(jié)構(gòu),行為�,接口及交互��。
BMS技術(shù)安全需求軟硬件接口定義例子(HSI):部署完各個(gè)元素的交互后�,確定軟硬件接口(HSI)����,為之后的系統(tǒng)集成打下良好的基礎(chǔ)。
3 測(cè)試工程
功能安全測(cè)試的主要活動(dòng)為 Verification & Validation + 量化結(jié)果���。Verification:面向設(shè)計(jì)的驗(yàn)證(驗(yàn)證中間產(chǎn)物���,比如設(shè)計(jì)文檔,測(cè)試計(jì)劃等���;開(kāi)發(fā)視點(diǎn)���,上下工序的執(zhí)行等),Validation:面向需求的驗(yàn)證(驗(yàn)證終端產(chǎn)品����,如軟件和系統(tǒng)需求等;客戶視點(diǎn)�,客戶需求導(dǎo)向)。
軟件單元測(cè)試測(cè)試方法包括基于需求的測(cè)試��、接口測(cè)試、故障注入測(cè)試���、等效性測(cè)試�;測(cè)試用例制作包括需求分析�����、錯(cuò)誤推測(cè)���、等價(jià)類、邊界值����;測(cè)試覆蓋率基準(zhǔn)包括語(yǔ)句覆蓋、判定覆蓋��、MC/DC覆蓋�����。
軟件集成和測(cè)試����,集成測(cè)試包括測(cè)試計(jì)劃和執(zhí)行�、測(cè)試用例生成��、集成測(cè)試方法集�、需求測(cè)試;集成測(cè)試方法包括基于需求的測(cè)試���、接口測(cè)試�、故障注入測(cè)試�、等效性測(cè)試;測(cè)試用例制作包括需求分析�����、錯(cuò)誤推測(cè)�、等價(jià)類、邊界值��;測(cè)試覆蓋率基準(zhǔn)包括函數(shù)覆蓋�����、函數(shù)調(diào)用覆蓋�。
軟件單元測(cè)試的量化評(píng)估例子:
基于需求測(cè)試,也稱為功能測(cè)試����,是一種基于軟件單元規(guī)格制定測(cè)試用例的質(zhì)量保證(QA)手段���。基于需求測(cè)試的目的是理解需求所定義的軟件在各種場(chǎng)景下的功能與因果性�����,通過(guò)執(zhí)行測(cè)試用例檢查軟件行為是否與軟件規(guī)格一致����。
在軟件單元層級(jí),接口測(cè)試通過(guò)測(cè)試接口變量的取值區(qū)間以及邊界值來(lái)實(shí)施��。接口測(cè)試的目的是根據(jù)軟件單元的接口規(guī)格�����,通過(guò)測(cè)試保障軟件單元接口的強(qiáng)健性��。通過(guò)等價(jià)類分析��、邊界值分析進(jìn)行接口測(cè)試���。
故障注入測(cè)試通過(guò)故意導(dǎo)入故障來(lái)測(cè)試軟件單元中實(shí)施的安全措施的有效性��。目的是用于確認(rèn)故障發(fā)生時(shí)軟件單元的行為����。通過(guò)將故障信號(hào)注入到被測(cè)軟件單元的輸入和定義系統(tǒng)的期待輸出進(jìn)行故障注入測(cè)試�����。
4 總結(jié)
ASPICE流程作為QM基礎(chǔ)���,構(gòu)建企業(yè)標(biāo)準(zhǔn)流程���,支持ASIL需求落地;ISO26262標(biāo)準(zhǔn)確保了面向于E/E系統(tǒng)的安全機(jī)制實(shí)現(xiàn)�����,在整個(gè)產(chǎn)品周期里���,不僅包含了開(kāi)發(fā)流程��,也包含了技術(shù)的解決方案�;需求工程是保證項(xiàng)目成功的關(guān)鍵要素,投入越多����,總體成本越低,產(chǎn)品質(zhì)量越高���;測(cè)試工程的自動(dòng)化是項(xiàng)目提質(zhì)提效的關(guān)鍵手段�;相對(duì)于硬件PPM的評(píng)估�����,衡量軟件質(zhì)量主要靠流程��,文檔和數(shù)據(jù)��,有效性是重要考量指標(biāo)��;不存在“超人”必殺技���,第三方咨詢認(rèn)證可提供外部智力輔助優(yōu)化項(xiàng)目質(zhì)量,提升產(chǎn)品力��,然而企業(yè)內(nèi)在的安全文化及持續(xù)的流程優(yōu)化需求才是競(jìng)爭(zhēng)力之核心�����。
來(lái)源:第一電動(dòng)網(wǎng)
作者:中國(guó)新能源汽車評(píng)價(jià)規(guī)程
本文地址:http://autopag.com/kol/144699
返回第一電動(dòng)網(wǎng)首頁(yè) >
文中圖片源自互聯(lián)網(wǎng),如有侵權(quán)請(qǐng)聯(lián)系admin#d1ev.com(#替換成@)刪除���。
京公網(wǎng)安備
11010502033163號(hào)
