基于ISO26262功能安全标准的汽车电子系统测试方法_上_杨国青

++
2 故障注入测试 +
+
++
++
3
电气测试
++
++
++
++
汽车领域的部件， 旨在提高汽车电 子、电气产品功能 安全的国际标准 [2]。
ISO26262从 2005年11月起正式 开始制定，经历了 大约6年左右的时 间，已于2011年11 月正式颁布，成为 国际标准。中国也 正在积极进行相应 国标的制定。
方法
安全等级(ASIL) A BC D
1a
需求的分析
++ ++ ++ ++
1b 内部和外部接口的分析 + ++ ++ ++
1c
等价类的分析和生成
+ + ++ ++
1d
边界值的分析
+ + ++ ++
基于知识和经验的错误推
1e
++ ++ ++ ++
导
1f
功能相关性的分析
+ + ++ ++
一般限制条件以及一般原
● 测试环境：如果需要用到各种 测试环境，比如仿真环境等，需要进 行说明；
● 测试工具：用到的各种测试工 具；
● 出现异常后的对策； ● 回归策略：在测试对象发生变 更时，指定其如何进行回归测试，比 如全部回归、部分回归、和其他测试 案例一起回归等。
测试概述 ISO 26262-8[3]中的第9章节描述
5302
2013.4 www.eepw.com.cn
责任编辑：王莹
Focus Technology 热 门 技 术
表 5 软件单元测试案例的设计方法
方法
安全等级(ASIL)
A
B
C
D
1a
需求分析
++
++
++
++
1b 等价类划分 +
++
++
++
1c 边界值分析 +
++
++
++
1d
错误推导
+
+
+
+
表6 软件单元测试覆盖度衡量指标
责任编辑：王莹
Focus Technology 热 门 技 术
基于ISO 26262功能安全标准的汽车电子 系统测试方法(上)
Test Method for Automotive Electronics System Based on ISO 26262 (1st Half)
杨国青 浙江大学 科学技术研究院(杭州310027) 厉蒋 杭州速玛科技有限公司(杭州310027)
测试计划 1)在测试执
3)下文中出现的列举各测试方法 的表中，有不同的序号表示方法：
● 连续的序号，比如1.2.3：所有 的方法应被用于对应的ASIL等级，如 果出现所列表中之外的方法背用于测 试，则需要进行说明。
● 可选的序号，比如1a,1b,1c： 可以选择某个或多个方法进行测试， 并优先考虑更高推荐指数的方法。如 果多个方法被组合选择用于测试，则 需要进行说明。
⒈硬件集成和测试需要按照安全 计划和验证要求来按计划进行；
⒉硬件集成和测试需要按照产品 集成和测试计划来进行；
⒊针对变更，需要按照标准规定 中的变更管理来对测试策略进行影响 分析；
⒋测试的设备可以按照国际标准
中要进行的最低级别的测试活动，软 件的独立单元将在与程序的其他部分 相隔离的情况下进行测试。ISO26262 中规定了其相对应的要求和建议：
● 代码的覆盖度都可以借助一些 软件工具来实现；
● 如果是基于模型的开发，其软 件单元测试需要利用类似的模型的结 构化覆盖指标来衡量；
● 如果通过代码的打桩来进行 测试覆盖度的衡量，必须保证打桩的 代码和正常的代码的执行功能是一致 的；
● 对于覆盖度衡量目标，都需要 给出一个合理理由来表示其不同的级 别，对于无法覆盖的代码，可以通过 检查等其他方法来进行验证。
+
软件组件。对
表9 集成软件的结构覆盖率的衡量方法
方法 A
1a
功能覆盖率
+
1b
函数覆盖率
+
安全等级(ASIL)
B
C
D
+
++
++
+
++
++
5. 软件单元测试需要尽可能的在 真实的目标环境上执行，如果利用其 他环境，则需要评估其与真实环境的 差异、源代码和目标代码的差异，分 析设计测试案例，以便在接下来的测 试阶段中得到执行。
● 测试环境的不同，会导致源代 码或目标代码的不一致，比如不同处 理器的位数不一样，会导致编译后的 目标代码不一致。
杨国青：副研究员，研究方向为嵌入式系统、汽车电子；厉蒋，产品经理，研 究方向为机电系统测试。
ISO26262标准概述
标准IEC61508[1]派生出来的，主要定
功能安全标准(ISO26262)是从电 位在汽车行业中特定的电气器件、电
子、电气及可编程器件功能安全基本 子设备、可编程电子器件等专门用于
表1 硬件集成测试案例的设计方法
求； ● 检查功能是否正确实现； ● 检查是否有异常功能； ● 检查软件实现的鲁棒性，比如
错误处理效率等； ● 检查功能所需资源的完整性。 3. 软件单元测试中的测试案例
需要按照下表5中的方法进行分析设 计。
4. 软件单元测试中，对于需求的 覆盖度、代码的覆盖度都需要进行衡 量，具体方法如表6所示。如果覆盖 度不够，还需要增加其他测试案例。
极限测试
+
+
+
+
3a
机械测试
++ ++ ++
++
3b
环境测试
++ ++ ++
++
3c 加速寿命测试
+
+
++
++
3d 机械耐久性测试 ++ ++ ++
++
4
电磁干扰测试
++
++
++
++
5
化学测试
++ ++ ++
++
表4 软件单元测试的方法
方法
安全等级(ASIL)
A
B
C
D
1a 基于需求的测试 ++
++
++
等。
⒉软件集成测试根据ISO
表8 软件集成测试的测试案例的设计方法
方法
A
1a 需求分析 ++
1b 等价类划分 +
1c 边界值分析 +
1d 错误推导
+
安全等级(ASIL)
B
C
++
++
++
++
++
++
+
+
26262-8:2011，
第9章计划，定
D
义并且执行。
++ 软 件 集 成 测 试
++ ++
的测试对象是
摘要：本文针对汽车电子产品功能安全要求，从测试的角度详细分析了 ISO 26262标准中的具体要求，包括ISO 26262对测试流程的规定，对硬件 集成和测试的规定，对软件集成和测试的规定，以及对产品集成和测试的 规定。 关键词：ISO 26262；汽车电子；测试 DOI: 10.3969/j.issn.1005-5517.2013.4.005
了“Verification”的目标、要求和建
2)测试计划的制定还需考虑到以 下几个方面：
● 测试方法的完整性；
● 测试对象的复杂度； ● 测试经验； ● 测试技术的成熟性和风险。 测试规格 1) 测试规格需要选择和指定用 于测试的方法，并包括测试案例、测 试数据和测试对象。 2) 每个测试案例需要包括： ● 序号：唯一的ID ● 测试对象的版本号 ● 测试对象的条件和配置：针对 测试对象的不同配置，需要选择合理 的测试案例进行测试 ● 测试环境 ● 输入值和顺序 ● 期望行为：报刊输出值、输出 范围、功能表现等 3) 测试案例需要根据测试方法 来分类。针对每个测试方法，除了测 试案例外，还需考虑以下几方面： ● 测试环境； ● 相关性； ● 测试资源。 测试执行和测试报告 4)按照上述章节中制定的测试计 划和测试规格，进行测试的执行。 5)针对测试结果，其测试报告需 包括以下几个方面： ● 测试对象的ID； ● 测试计划和测试规格的引用； ● 测试环境、测试工具、标定数 据； ● 测试结果和期望值的符合度； ● 测试通过或失败的结论，如果 失败，还需要指明失败原因和修改建 议； ● 针对没有执行的测试案例，说 明原因。
⒈软件单元测试需按照 “ISO26262-8 章节9中”的验证要求 来有计划的定义和执行。软件单元测 试的对象是具体的软件实现单元，在 基于模型的软件开发过程中，软件单 元测试的对象是其单元模型。
⒉软件单元测试需要按照表4中 列的方法进行，以完成以下目标：
● 检查是否符合软件单元设计的
具体要求； ● 检查是否符合软硬件接口要
● 软件集成和软硬件集成的相互
测试只能在开发系统中进行测试。
关系。
● 软件单元测试可以在不同
注意：对于基于模型的开发，可
的环境中执行，比如模型在环测试 以先集成各模型，然后对集成好的模
(MIL)、软件在环测试(SIL)、处理器 型进行自动代码生成以完成整体软件
在环测试(PIL)、硬件在环测试(HIL) 的集成。
功能安全受研发过程(包括具体 要求，设计，执行，整合，验证，有 效性和配置)，生产过程和服务流程 以及管理流程的影响。
安全事件总是和通常的功能和 质量相关的研发活动及产品伴随在一 起。ISO26262强调了研发活动和产品 的安全相关方面。
符合性要求 1)如果要宣称符合ISO26262，那 必须是符合其每个要求，除非有如下 情况之一： ● 根据ISO26262-2中，对不适用 的要求进行安全行为的裁剪； ● 针对不符合项，提出其说明理 由，并对理由根据ISO26262-2进行评 估； 2)所有安全行为的输出物都在 ISO26262中有明确的规定。
成和测试需要 按照表3的方法进行外部压力环境下 的鲁棒性测试。
成和测试”、“产品集成和测试”这 三部分。下面章节分别介绍这三部分 的要求和建议。
软件集成和测试 软件单元测试 软件单元测试是在软件开发过程
硬件集成和测试 ISO26262中“Part 5：Product
Development：Hardware Level”，针对 产品开发的硬件部分提出了专门的集 成和测试要求和建议。
4) 针对ASIL的各级，表中的每 个方法都有对应推荐指数：
● “++”：最高的推荐指数 ● “+”：建议使用 ● “0”：不建议使用或不需使 用
行前，都需要建 立测试计划，其主要包括几部分：
● 测试范围：用于测试的产品内 容；
● 测试方法：用于测试的各种方 法；
● 测试标准：测试通过或失败的 标准；
B
C
D
++
++
++
++
++
++
+
+
++
+
+
++
+
++
++
(比如ISO17025) 或公司标准来 进行标定；
⒌硬件集 成测试的测试 案例需要按照 表1的方法进行 设计；
⒍针对硬 件安全需求， 硬件集成和测 试需要对其安 全机制实现的 完整性和正确 性进行验证， 其方法如表2所 示。
⒎硬件集
ISO26262中的测试阶段 ISO26262中涉及到测试的阶段共 包括“硬件集成和测试”、“软件集
www.eepw.com.cn 2013.4
4359081
热 门 技 术 Focus Technology
责任编辑：王莹
表3 硬件级鲁棒性测试方法
方法
安全等级(ASIL)
A
B
C
D
各种环境下的功
1
++ ++ ++
++
能测试
2a 扩展功能测试
O
+
+
++
2b
统计测试
O
O
+
++
2c 最坏情况测试
O
O
Baidu Nhomakorabea
O
+
2d
ISO26262主 要内容包括：
● 提供了汽
车生命周期(管理，研发，生产，运 行，服务，拆解)和生命周期中必要 的改装活动。
● 提供了决定风险等级的具体 风险评估方法(汽车安全综合等级， ASILs[5])。
● 使用ASILs方法来确定获得可 接受的残余风险的必要安全要求。
● 提供了确保获得足够的和可 接受的安全等级的有效性和确定性措 施。
++
1b
接口测试
++
++
++
++
1c 故障注入测试 +
+
+
++
1d 资源利用率测试 +
+
+
++
模型和代码的比
1e
+
较测试
+
++
++
议、工作输出 等。Verification是 用于确保实现与 需求的一致性， 在安全生命周期 的几个阶段中都 会用到。包括概 念阶段、产品开 发阶段、生成和 运营阶段。本文 主要描述在产品 开发阶段中的测 试环节中，需要 用到的各种测试 要求和建议。
方法
A
1a
语句覆盖度
++
1b
分支覆盖度
+
MC/DC(修正条
1c
+
件/判定覆盖)
安全等级(ASIL)
B
C
D
++ +
+
++ ++
++
+
+
++
表7 软件集成测试方法
方法 A
1a 基于需求的测试 ++
1b
接口测试
++
1c 故障注入测试 +
1d 资源利用率测试 +
模型和代码的比
1c
+
较测试
安全等级(ASIL)
www.eepw.com.cn 2013.4
531083
热 门 技 术 Focus Technology
责任编辑：王莹
● 如果能利用目标环境中的相同 直到嵌入式软件完全集成，并且应该
处理器来运行软件单元测试案例，那 考虑如下：
是最有效的，但如果不行，则可以用
● 软件集成功能的相互关系；
处理器模拟器来代替，否则软件单元
1g
+
因的来源和顺序的分析
+ ++ ++
1h
环境和用途的分析
+ ++ ++ ++
1i ISO16750、ISO11452等 + + +
+
标准
重要变种的分析(包括最差
1j
++ ++ ++ ++
情况分析)
表2 硬件安全机制完整性和正确性的测试方法
方法
安全等级(ASIL)
A
B
C
D
1 功能性测试 ++
++
++