作者：Shijia Guo

Staff Engineer–Functional Safety

在上幾篇關(guān)于瑞薩汽車功能安全技術(shù)的系列博客中，我們介紹了瑞薩電子提供的功能安全客戶支持服務(wù)，以及CAR工具。博客中簡單提到了ISO26262標(biāo)準(zhǔn)提出的背景，該標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)化組織制定的關(guān)于道路汽車中電子電氣系統(tǒng)功能安全的標(biāo)準(zhǔn)；然后說明了ISO26262標(biāo)準(zhǔn)的第6部分給出了功能安全軟件開發(fā)的要求以及指導(dǎo)方向。瑞薩電子旨在提供優(yōu)質(zhì)安全的軟件，以便縮短客戶開發(fā)周期，讓軟件集成過程更高效省心，幫助客戶更快更好的設(shè)計和制造整車以及相應(yīng)的電子電氣系統(tǒng)。

這是瑞薩汽車功能安全技術(shù)系列博客的第三篇。我們在之前的博客中已經(jīng)提過，大部分瑞薩電子的安全相關(guān)產(chǎn)品屬于SEooC產(chǎn)品。瑞薩電子的SEooC軟件主要在瑞薩開發(fā)的汽車MCU和SoC上運行，可以集成到多種不同的應(yīng)用上。

在本篇博客中， 我們會討論在設(shè)計SEooC軟件時需要注意的要點，所遇到的挑戰(zhàn)，以及瑞薩電子的SEooC軟件產(chǎn)品。

ISO26262給出的開發(fā)SEooC軟件的指導(dǎo)方向主要分成以下三步：

第一步：提出SEooC軟件的應(yīng)用范圍和安全要求的假設(shè)

第二步：基于這些假設(shè)來設(shè)計和開發(fā)符合ISO26262 ASIL等級要求的軟件產(chǎn)品。在開發(fā)過程中，開發(fā)者需要遵守ISO26262第6部分指定的流程。軟件供應(yīng)商需要提供給客戶所有必須的工作成果文件，以保證客戶在集成過程中能夠分析這些假設(shè)，保證這些假設(shè)能被滿足。工作成果文件的示例如下：

開發(fā)接口協(xié)議/報告5（DIA/DIR）

軟件安全要求設(shè)計書（S-SRS）

安全應(yīng)用說明書/安全手冊（SAN/SM）-SAN/SM應(yīng)該列出用戶所有需考慮的假設(shè)，安全功能的實施，以及其他與安全相關(guān)的信息

源代碼（source code）

配置手冊（configuration manual）-幫助用戶理解和配置軟件

功能安全評估報告（FSA報告），等等

第三步：將軟件集成到特定的應(yīng)用環(huán)境中。集成者應(yīng)該確保所有的假設(shè)都符合要求。如果有一些假設(shè)不能被滿足，應(yīng)該進行相應(yīng)的影響分析，以保證安全性不被影響，或者采取相應(yīng)的設(shè)計更改。

在第一步中， 一個很大的挑戰(zhàn)是合理完善地總結(jié)所有相關(guān)的假設(shè)。假設(shè)的范圍可以是廣泛的。這里我們列舉了一些典型的例子：

使用案例的假設(shè)：描述假定的產(chǎn)品應(yīng)用環(huán)境和用途

系統(tǒng)級別保護措施的假設(shè)：一些安全措施需要在系統(tǒng)級別上實施，比如通訊中的端到端保護。這些保護措施是必須的，但它們只能由集成者來實現(xiàn)。因此SEooC軟件開發(fā)商通常會假設(shè)系統(tǒng)集成者會實現(xiàn)這些保護措施

部分實施的安全機制的假設(shè)：如果某些安全機制沒有被SEooC軟件完全覆蓋，則需要集成商完成實施。瑞薩將這些要求作為AoU（使用假定）記錄在SAN（安全應(yīng)用說明）中，并假定集成商將滿足這些要求

關(guān)于集成要求的假設(shè)：SEooC軟件最終會被集成到上級應(yīng)用程序中。若要使集成軟件達到既定目標(biāo)的ASIL水平，就需要定義集成的要求并假設(shè)系統(tǒng)集成者能夠滿足這些要求

瑞薩的軟件工程師和安全工程師都擁有多年開發(fā)軟件的經(jīng)驗。開發(fā)團隊會仔細(xì)地分析產(chǎn)品和所應(yīng)用的系統(tǒng)環(huán)境，以盡可能準(zhǔn)確完整地總結(jié)這些假設(shè)。瑞薩的開發(fā)流程保證了基于這些假設(shè)的產(chǎn)品安全要求能夠被審閱和評估。

在第二步中，一個很大的挑戰(zhàn)是由軟件的可配置性導(dǎo)致的。由于很多SEooC軟件產(chǎn)品需要被應(yīng)用到不同的上級產(chǎn)品中，通常這些SEooC軟件會提供可配置選項，供用戶設(shè)置。SEooC軟件被配置后集成到上級產(chǎn)品時，這個配置就需要被測試和驗證。如果配置參數(shù)的數(shù)量增加，這些參數(shù)組合到一起最終產(chǎn)生的軟件配置的數(shù)量就會呈指數(shù)級增長。如果需要對每一個可能的配置都進行測試是不可能的。那么SEooC軟件供應(yīng)商怎樣保證所作的測試能夠提供足夠的把握呢？ISO26262提供了兩種可供選擇的建議：

簡化流程一：測試和驗證配置好的軟件。軟件集成者可以測試配置好的軟件，或者可以選擇供應(yīng)商提供的售后服務(wù)：把配置數(shù)據(jù)提供給SEooC軟件供應(yīng)商， 由供應(yīng)商來測試配置好的軟件。當(dāng)客戶數(shù)量和項目數(shù)量增加時，供應(yīng)商需要測試的配置數(shù)量會大大增加。在這種情況下， 供應(yīng)商需要保證測試服務(wù)的質(zhì)量和效率。如何做到呢？通常這兩種解決方案是很有利的：

自動測試系統(tǒng)。瑞薩電子有很完善的自動測試系統(tǒng)，可以大規(guī)模高效率地幫助客戶測試配置完成的SEooC軟件。在軟件開發(fā)過程中或是發(fā)布后我們都會應(yīng)用這些自動測試系統(tǒng)

清晰完善的軟件要求。瑞薩電子的工程師會詳細(xì)分析和記錄SEooC軟件的要求。瑞薩電子多年來的經(jīng)驗積累了完善的開發(fā)流程，開發(fā)指南，各種文件模板，以及清晰地界定各部門的職責(zé)。瑞薩電子還使用新的需求管理軟件來更好地記錄和追蹤軟件要求，確保必須的軟件要求能被實現(xiàn)以及測試。這也能在測試客戶的軟件配置時大大提高軟件要求的測試覆蓋率

簡化流程二：在軟件發(fā)布前測試一系列（大量的）軟件配置；而在軟件發(fā)布后，客戶可以分析和證明客戶使用的設(shè)置已經(jīng)通過了發(fā)布前所作的測試。軟件發(fā)布前測試的目標(biāo)是盡可能多地涵括軟件配置。瑞薩電子使用了很多最前沿的測試方法：N-wise測試?，功能組合測試，隨機測試等等。這些測試方法旨在優(yōu)化測試的軟件配置數(shù)量，用最少的測試涵蓋最多的配置范圍。應(yīng)用這些測試方法，用戶使用的終端配置更有可能已經(jīng)在發(fā)布前被測試過，可以減少額外的測試工作和開銷。

在第三步中，SEooC軟件最終發(fā)布到客戶手中時，客戶所需做的是驗證供應(yīng)商提出的假設(shè)，以及將SEooC軟件集成到客戶系統(tǒng)中。這有時很有難度，因為如果要驗證所有的假設(shè)，可能需要花很多時間。而且這也要求客戶對這些假設(shè)有正確的理解。在驗證過程中，難免會遇到有些假設(shè)并不能完全被滿足。在這種情況下，就需要客戶或者供應(yīng)商來更改SEooC軟件的設(shè)計，或從系統(tǒng)層面上修改設(shè)計來保證安全性。這會產(chǎn)生額外的努力和開銷。在瑞薩電子，我們會向客戶開放所有在SEooC軟件開發(fā)中考慮的假設(shè)。這些假設(shè)都被記錄在安全應(yīng)用說明書（SAN）當(dāng)中。SAN的起草和審核是很嚴(yán)謹(jǐn)?shù)?用戶可以借助它來更好地理解以及驗證這些假設(shè)。瑞薩電子還提供功能安全客戶支持項目，如果客戶有任何關(guān)于SEooC軟件的問題，瑞薩的支持工程師會提供詳細(xì)的解答。

瑞薩電子的工程師非常了解開發(fā)SEooC軟件的難度。瑞薩一直致力于提高產(chǎn)品質(zhì)量。我們的目標(biāo)是提供給客戶符合相關(guān)ISO26262要求的軟件，以及客戶所需要的集成和開發(fā)的信息，以保證最終集成的終端軟件和電子產(chǎn)品能達到所需要的安全級別。

瑞薩電子的安全相關(guān)部門由三大部分組成：開發(fā)部門，質(zhì)量部門，以及獨立的技術(shù)評估部門。瑞薩的開發(fā)部門有多年遵照ISO26262標(biāo)準(zhǔn)開發(fā)功能安全產(chǎn)品的經(jīng)驗。質(zhì)量部門會負(fù)責(zé)評估和審核軟件開發(fā)階段的功能安全流程。技術(shù)評估部門則會負(fù)責(zé)對安全相關(guān)的產(chǎn)品進行技術(shù)評估，以保證產(chǎn)品能達到相應(yīng)的安全目標(biāo)。瑞薩電子也會邀請第三方評估公司來對軟件產(chǎn)品進行安全評估。瑞薩的高素質(zhì)團隊和企業(yè)內(nèi)部的安全文化保證了向客戶提供優(yōu)質(zhì)的軟件產(chǎn)品：

由經(jīng)驗豐富的開發(fā)團隊開發(fā)

經(jīng)過I3級別（最高獨立性）的質(zhì)量和評估部門認(rèn)真檢驗和全面評估

方便集成到客戶的安全系統(tǒng)中

綜上所述，我們在這篇博客中介紹了ISO26262對開發(fā)SEooC軟件的指導(dǎo)方向。我們也討論了在設(shè)計開發(fā)過程中可能遇到的問題。瑞薩電子旨在為客戶提供更好的解決方案：

瑞薩電子的技術(shù)部門擁有經(jīng)驗豐富的工程師，以及完善的技術(shù)流程，能開發(fā)和評估高質(zhì)量的軟件產(chǎn)品

運用最前沿的測試方法和自動測試系統(tǒng)來保證測試覆蓋率

提供人性化的客戶服務(wù)，支持客戶解決在集成過程中可能遇到的問題

瑞薩電子有許多SEooC軟件產(chǎn)品。基于RH850系列微處理器的安全軟件產(chǎn)品有：MCAL和CST（CPU自測軟件）。基于R-CAR系列SoC的安全軟件有：CPU RTT（CPU自測軟件），圖像處理軟件，信息安全軟件等。瑞薩與多家第三方公司合作提供操作系統(tǒng)， 編譯器等其他軟件來提供給客戶完整的系統(tǒng)解決方案。如果您對瑞薩的軟件產(chǎn)品感興趣，請聯(lián)系瑞薩銷售部門了解更詳細(xì)的信息。

1：Renesas Automotive Functional Safety Page 點擊文末閱讀原文查看 2：ISO 26262-1:2018 Road vehicles—Functional safety Part 1 Vocabulary 3：ISO 26262-6:2018 Road vehicles—Functional safety Part 6 Product development at the software level 4：ISO 26262-10:2018 Road vehicles—Functional safety Part 10 Guidelines on ISO 26262 Clause 9 Safety Element out of Context 5：DIR（Design Interface Report）is a Renesas specific document equivalent to DIA（Design Interface Agreement）

6：N-wise testing：

http://www.tmap.net/wiki/n-wise-testing

See also：

Renesas Functional Safety Support for Automotive（1）–An overview https://www2.renesas.cn/cn/zh/blogs/customer-value-automotive-business-series-16-renesas-functional-safety-support-automotive-1-overview

Renesas Functional Safety Support for Automotive（2）–A Customizable Option for Precise Safety Analysis https://www2.renesas.cn/cn/zh/blogs/renesas-functional-safety-support-automotive-2-customizable-option-precise-safety-analysis

END

關(guān)于我們

瑞薩電子集團 (TSE: 6723) ，提供專業(yè)可信的創(chuàng)新嵌入式設(shè)計和完整的半導(dǎo)體解決方案，旨在通過使用其產(chǎn)品的數(shù)十億聯(lián)網(wǎng)智能設(shè)備改善人們的工作和生活方式。作為全球微控制器、模擬、電源和SoC產(chǎn)品供應(yīng)商，瑞薩電子為汽車、工業(yè)、家居、基礎(chǔ)設(shè)施及物聯(lián)網(wǎng)等各種應(yīng)用提供綜合解決方案，期待與您攜手共創(chuàng)無限未來。更多信息，敬請訪問renesas.com。

原文標(biāo)題：工程師說 | 瑞薩汽車功能安全技術(shù)支持-ISO26262標(biāo)準(zhǔn)在SEooC(獨立安全單元)軟件開發(fā)中的應(yīng)用

文章出處：【微信公眾號：瑞薩電子】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。
審核編輯:湯梓紅