基于ISO26262功能安全标准的汽车电子系统测试方法_中_杨国青
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
● 在各级定义的功能安全需求, 通常被更高一级的集成测试中得到验 证。
● 在集成测试中识别的安全异 常,应按规范“ISO 26262-2 5.4.2章 节”[4]给出相应的报告。
⒎集成测试的测试案例的设计方 法如表11所列。
软硬件集成和测试 软硬件集成 ⒈符合ISO 26262-5的开发的硬件 和符合ISO 26262-6的开发的软件集成 在一起,并用于下列测试活动中。 ⒉软硬件接口需求应以合适的覆 盖率被测试,以符合ASIL要求,或者 能给出理由证明软硬件接口不会出现 问题。这个要求适用于ASILs C和D。 测试中将优先考虑产品本身的硬件和 软件,但针对一些特定的测试技术, 会采用一些修改后的硬件和软件进行 测试。 软硬件级的测试目标和方法 ⒈在软硬集成时,应采用合适的
所有元素的集成来形成一个完整的系 求的符合性;
统,称为系统集成;
● 第二个目标是为了验证,是否
表11
C
D
1a
需求分析
++ ++ ++ ++
1b
内外部接口分析
+ ++ ++ ++
1c 软硬件集成的等价类划分 + + ++ ++
1d
边界值分析
+ + ++ ++
和测试。 ⒉软硬件级别的技术安全需求 的实现,应按照下表的方法的进行验 证。 ● 基于需求的测试用于验证功能 和非功能需求。 ● 故障注入测试使用特殊的方法 在运行时将故障注入被测对象。这可 以在软件内通过一种特殊的测试接口 或借助特殊的硬件来完成。这种方法 经常被用来提升安全需求的测试覆盖 率,因为在整车情况下,不会触发安 全机制。 ● Back-to-back测试是指在相同外 部激励的情况下比较真实被测对象和 仿真模型的执行情况,用于检查模 型和其实现之间的不一致性(如表 12)。 ⒊软硬件级的正确功能的性能、 安全机制的准确性和及时性应按照表 13的方法进行测试验证。 ⒋外部和内部的接口的一致性 和正确实现,在硬件-软件层次上应 使用表14给出的可行的测试方法来 论证。表14中的接口测试包括模拟 和数字输入输出测试、边界测试、 等价类测试,这些方法用于测试被 测对象的接口、容量、延时性和其 他评价指标。ECU的内部接口可以通 过静态测试方法来验证;对于ECU之
表16 软硬件层的对象鲁棒性测试方法
方法 A
1a 资源占有率测试 +
安全等级(ASIL)
B
C
D
+
+
++
1b
压力测试
+
+
+
++
的功能、复杂度、系 统分布式的类型,测 试方法可以有效的应 用于其他级别的集成
分。 ⒌所有的测试设备需要在质量监
控体系中管理。 ⒍在任意一个完整的集成阶段,
每个功能和技术安全都需要至少被测 试验证(被测试为可用)一次。
1c Back-to-back测试
安全等级(ASIL)
A
B
C
D
++
++ ++
++
+
++ ++
++
+
+
++
++
表13 软硬件级别的正确功能的性能、安全机制的准确性和 及时性的测试方法
1a 1b 表14 方法
1a 1b 1c
方法 A
Back-to-back测试 +
性能测试
+
安全等级(ASIL)
B
C
D
+
++
++
++
++
++
软硬件级的内外部接口一致性和实现的正确性的测试
方法 A
外部接口的测试 + 内部接口的测试 + 接口一致性检查 +
安全等级(ASIL)
B
C
D
++
++
++
++
++
++
++
++
++
正确实现了针对安全需 求的“系统设计”。
该阶段的要求和建 议如下章节所述。
集成和测试的计划 和规范
⒈为了验证系统设 计符合功能和技术安全 需求,集成测试活动应 按照ISO 26262-8:2011中 的验证方法来执行。以 下的测试目标在下面几 个表中一一列出:
● 功能安全和技术 安全需求的正确实现;
● 正确功能的性 能,安全机制的准确性 和时间性能;
● 接口的一致性以 及实现的正确性;
● 安全机制的诊断或者错误覆盖 的有效性;
● 鲁棒性等级。 ⒉根据系统设计规范、功能安 全概念、技术安全概念以及集成测试 计划,需要制定一个集成和测试的机 制,并提供证据证明达成所有的测试 目标。集成和测试的机制需要覆盖所 有电子电器部件以及安全概念相关的 所有其他技术。集成通常分为软硬件 级、系统级和车辆级这三个级别。 ⒊系统集成具体包括: ● 针对软硬件的集成测试规范, 定义产品的集成和测试的计划。该阶 段需重点考虑软硬件的接口问题。 ● 针对系统级和车辆级的集成 测试规范,定义产品的集成和测试计 划。从软硬件级验证发现的遗留问 题,需要在本阶段进行解决。 ● 系统级和车辆级的集成和测试 计划,应该考虑车辆子系统之间的接 口和外部环境。部分充分的典型工况 和极限工况下的车辆环境应该用于执 行测试。 ⒋在系统可以被标定或配置成多 种产品系列时,系统级和车辆级需要 针对每种配置的产品进行测试以验证 其是否符合功能安全需求。如果所有 配置的测试有难度,可以考虑选择部
1e 基于知识或经验的错误推导 + + ++ ++
1f
功能依赖的分析
+ + ++ ++
1g 常用限制条件、流程以及相 + 关错误原因的分析
+ ++ ++
1h
环境、操作案例的分析 + ++ ++ ++
1i
领域经验的分析
+ ++ ++ ++
表12 软硬件级集成测试的方法
方法
1a
基于需求的测试
1b
故障注入测试
责任编辑:李健
Focus Technology 热 门 技 术
基于ISO 26262功能安全标准的汽车电子 系统测试方法(中)
Test Method for Automotive Electronics System Based on ISO 26262 (Part 2)
杨国青 浙江大学 科学技术研究院(杭州310027) 厉蒋 杭州速玛科技有限公司(杭州310027)
2013.5
4357083
热 门 技 术 Focus Technology
责任编辑:李健
表15 针对硬件错误检查机制的诊断覆盖率的有效性的测试方法 方法来检查设计层面
方法
1a
故障注入测试
1b
错误推导测试
安全等级(ASIL)
A
B
C
D
+
+
++
++
+
+
++
++
的系统的错误,具体 见如下条目和对应表 格描述。根据其实现
(接上期)
● 第三个阶段是和车辆内其他系
产品集成和测试
统的产品以及车辆自身的集成,即车
集成和测试阶段包含3个阶段: 辆集成。
● 第一个阶段是产品包含的每个
集成和测试阶段实现两个主要的
元素的硬件和软件的集成,即软硬件 目标:
集成;
● 集成阶段的第一个目标是按照
● 第二个阶段是组成一个产品的 它的需求和ASIL等级,测试对安全需
● 错误推导测试是通过预测被测 对象中的错误,设计测试案例,来对 这些错误进行检查。如果测试者有足 够的经验和知识,错误推导测试将是 非常有效的方法。
⒍可以按照表16方法测试软硬件 级别中各对象的鲁棒性。
● 资源占有率测试可以静态(比 如,通过检查代码大小,或者分析关 于中断使用的代码,为了验证最坏的 情况下不会用尽资源)完成,也可以 通过运行时监控动态完成。
4384
2013.5
间的接口,可以通过串口外设接口 (SPI)、通信等方式来进行动态测 试。
⒌针对硬件错误检查机制,其诊 断覆盖率的有效性,可以通过表15的 方法进行测试。
● 故障注入测试使用特殊的方法 在运行时将故障注入被测对象。这可 以在软件内通过一种特殊的测试接口 或借助特殊的硬件来完成。这种方法 经常被用来提升安全需求的测试覆盖 率,因为在整车情况下,不会触发安 全机制。
● 压力测试可以在很高的操作负 载、很强环境要求下进行被测对象正 确功能的验证。比如很强的负载、异 常总线负载、异常电击、异常温度、 机械冲击等情况下。(未完待续)
参考文献: [1]IEC 61508: Functional Safety of Electrical/Electronic/ Programmable Electronic Safety-related Systems[S/OL]. /wiki/IEC_61508 [2] ISO 26262-1:2011, Road vehicles -- Functional safetyPart1: Vocabulary[S] [3]ISO 26262-8:2011, Road vehicles -- Functional safetyPart8: Supporting processes[S] [4]ISO 26262-2:2011, Road vehicles -- Functional safetyPart2: Management of functional safety[S] [5]ISO 26262-9:2011, Road vehicles -- Functional safetyPart9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses[S]
● 在集成测试中识别的安全异 常,应按规范“ISO 26262-2 5.4.2章 节”[4]给出相应的报告。
⒎集成测试的测试案例的设计方 法如表11所列。
软硬件集成和测试 软硬件集成 ⒈符合ISO 26262-5的开发的硬件 和符合ISO 26262-6的开发的软件集成 在一起,并用于下列测试活动中。 ⒉软硬件接口需求应以合适的覆 盖率被测试,以符合ASIL要求,或者 能给出理由证明软硬件接口不会出现 问题。这个要求适用于ASILs C和D。 测试中将优先考虑产品本身的硬件和 软件,但针对一些特定的测试技术, 会采用一些修改后的硬件和软件进行 测试。 软硬件级的测试目标和方法 ⒈在软硬集成时,应采用合适的
所有元素的集成来形成一个完整的系 求的符合性;
统,称为系统集成;
● 第二个目标是为了验证,是否
表11
C
D
1a
需求分析
++ ++ ++ ++
1b
内外部接口分析
+ ++ ++ ++
1c 软硬件集成的等价类划分 + + ++ ++
1d
边界值分析
+ + ++ ++
和测试。 ⒉软硬件级别的技术安全需求 的实现,应按照下表的方法的进行验 证。 ● 基于需求的测试用于验证功能 和非功能需求。 ● 故障注入测试使用特殊的方法 在运行时将故障注入被测对象。这可 以在软件内通过一种特殊的测试接口 或借助特殊的硬件来完成。这种方法 经常被用来提升安全需求的测试覆盖 率,因为在整车情况下,不会触发安 全机制。 ● Back-to-back测试是指在相同外 部激励的情况下比较真实被测对象和 仿真模型的执行情况,用于检查模 型和其实现之间的不一致性(如表 12)。 ⒊软硬件级的正确功能的性能、 安全机制的准确性和及时性应按照表 13的方法进行测试验证。 ⒋外部和内部的接口的一致性 和正确实现,在硬件-软件层次上应 使用表14给出的可行的测试方法来 论证。表14中的接口测试包括模拟 和数字输入输出测试、边界测试、 等价类测试,这些方法用于测试被 测对象的接口、容量、延时性和其 他评价指标。ECU的内部接口可以通 过静态测试方法来验证;对于ECU之
表16 软硬件层的对象鲁棒性测试方法
方法 A
1a 资源占有率测试 +
安全等级(ASIL)
B
C
D
+
+
++
1b
压力测试
+
+
+
++
的功能、复杂度、系 统分布式的类型,测 试方法可以有效的应 用于其他级别的集成
分。 ⒌所有的测试设备需要在质量监
控体系中管理。 ⒍在任意一个完整的集成阶段,
每个功能和技术安全都需要至少被测 试验证(被测试为可用)一次。
1c Back-to-back测试
安全等级(ASIL)
A
B
C
D
++
++ ++
++
+
++ ++
++
+
+
++
++
表13 软硬件级别的正确功能的性能、安全机制的准确性和 及时性的测试方法
1a 1b 表14 方法
1a 1b 1c
方法 A
Back-to-back测试 +
性能测试
+
安全等级(ASIL)
B
C
D
+
++
++
++
++
++
软硬件级的内外部接口一致性和实现的正确性的测试
方法 A
外部接口的测试 + 内部接口的测试 + 接口一致性检查 +
安全等级(ASIL)
B
C
D
++
++
++
++
++
++
++
++
++
正确实现了针对安全需 求的“系统设计”。
该阶段的要求和建 议如下章节所述。
集成和测试的计划 和规范
⒈为了验证系统设 计符合功能和技术安全 需求,集成测试活动应 按照ISO 26262-8:2011中 的验证方法来执行。以 下的测试目标在下面几 个表中一一列出:
● 功能安全和技术 安全需求的正确实现;
● 正确功能的性 能,安全机制的准确性 和时间性能;
● 接口的一致性以 及实现的正确性;
● 安全机制的诊断或者错误覆盖 的有效性;
● 鲁棒性等级。 ⒉根据系统设计规范、功能安 全概念、技术安全概念以及集成测试 计划,需要制定一个集成和测试的机 制,并提供证据证明达成所有的测试 目标。集成和测试的机制需要覆盖所 有电子电器部件以及安全概念相关的 所有其他技术。集成通常分为软硬件 级、系统级和车辆级这三个级别。 ⒊系统集成具体包括: ● 针对软硬件的集成测试规范, 定义产品的集成和测试的计划。该阶 段需重点考虑软硬件的接口问题。 ● 针对系统级和车辆级的集成 测试规范,定义产品的集成和测试计 划。从软硬件级验证发现的遗留问 题,需要在本阶段进行解决。 ● 系统级和车辆级的集成和测试 计划,应该考虑车辆子系统之间的接 口和外部环境。部分充分的典型工况 和极限工况下的车辆环境应该用于执 行测试。 ⒋在系统可以被标定或配置成多 种产品系列时,系统级和车辆级需要 针对每种配置的产品进行测试以验证 其是否符合功能安全需求。如果所有 配置的测试有难度,可以考虑选择部
1e 基于知识或经验的错误推导 + + ++ ++
1f
功能依赖的分析
+ + ++ ++
1g 常用限制条件、流程以及相 + 关错误原因的分析
+ ++ ++
1h
环境、操作案例的分析 + ++ ++ ++
1i
领域经验的分析
+ ++ ++ ++
表12 软硬件级集成测试的方法
方法
1a
基于需求的测试
1b
故障注入测试
责任编辑:李健
Focus Technology 热 门 技 术
基于ISO 26262功能安全标准的汽车电子 系统测试方法(中)
Test Method for Automotive Electronics System Based on ISO 26262 (Part 2)
杨国青 浙江大学 科学技术研究院(杭州310027) 厉蒋 杭州速玛科技有限公司(杭州310027)
2013.5
4357083
热 门 技 术 Focus Technology
责任编辑:李健
表15 针对硬件错误检查机制的诊断覆盖率的有效性的测试方法 方法来检查设计层面
方法
1a
故障注入测试
1b
错误推导测试
安全等级(ASIL)
A
B
C
D
+
+
++
++
+
+
++
++
的系统的错误,具体 见如下条目和对应表 格描述。根据其实现
(接上期)
● 第三个阶段是和车辆内其他系
产品集成和测试
统的产品以及车辆自身的集成,即车
集成和测试阶段包含3个阶段: 辆集成。
● 第一个阶段是产品包含的每个
集成和测试阶段实现两个主要的
元素的硬件和软件的集成,即软硬件 目标:
集成;
● 集成阶段的第一个目标是按照
● 第二个阶段是组成一个产品的 它的需求和ASIL等级,测试对安全需
● 错误推导测试是通过预测被测 对象中的错误,设计测试案例,来对 这些错误进行检查。如果测试者有足 够的经验和知识,错误推导测试将是 非常有效的方法。
⒍可以按照表16方法测试软硬件 级别中各对象的鲁棒性。
● 资源占有率测试可以静态(比 如,通过检查代码大小,或者分析关 于中断使用的代码,为了验证最坏的 情况下不会用尽资源)完成,也可以 通过运行时监控动态完成。
4384
2013.5
间的接口,可以通过串口外设接口 (SPI)、通信等方式来进行动态测 试。
⒌针对硬件错误检查机制,其诊 断覆盖率的有效性,可以通过表15的 方法进行测试。
● 故障注入测试使用特殊的方法 在运行时将故障注入被测对象。这可 以在软件内通过一种特殊的测试接口 或借助特殊的硬件来完成。这种方法 经常被用来提升安全需求的测试覆盖 率,因为在整车情况下,不会触发安 全机制。
● 压力测试可以在很高的操作负 载、很强环境要求下进行被测对象正 确功能的验证。比如很强的负载、异 常总线负载、异常电击、异常温度、 机械冲击等情况下。(未完待续)
参考文献: [1]IEC 61508: Functional Safety of Electrical/Electronic/ Programmable Electronic Safety-related Systems[S/OL]. /wiki/IEC_61508 [2] ISO 26262-1:2011, Road vehicles -- Functional safetyPart1: Vocabulary[S] [3]ISO 26262-8:2011, Road vehicles -- Functional safetyPart8: Supporting processes[S] [4]ISO 26262-2:2011, Road vehicles -- Functional safetyPart2: Management of functional safety[S] [5]ISO 26262-9:2011, Road vehicles -- Functional safetyPart9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses[S]