Presentation Title - PDF 免费下载

符合 ISO 26262 的汽车电子软件开发流程董淑成 Shucheng.dong@mathworks.cn MathWorks 中国 2015 The MathWorks, Inc. 1

基于模型设计的应用高完整性软件开发标准和基于模型的设计 2 ISO 26262 (2011) DO-178C (2011) NASA-GB- 8719.13 (2004) 1 IEC 61508 (2010) EN 50128 (2011) DO-178B (1992) IEC 61508 (1998) EN 50128 (2001) IEC 61511 (2003) 0 1990 1995 2000 2005 2010 标准生效的年份 2

软件开发标准里出现基于模型的设计 3

为什么? 4

大纲 ISO 26262 软件开发项目的启动符合 ISO 26262 的软件开发过程 5

ISO 26262 定义的软件开发过程设计验证系统设计设计验证软件需求定义软件架构设计系统测试软件测试软件测试软件集成和测试软件需求验证系统集成和测试设计验证软件单元设计及实现软件测试软件单元测试软件开发 6

ISO 26262 的软件项目启动设计验证系统设计设计验证软件需求定义 1. 软件开发计划 2. 软件验证计划系统测试 3. 编程建模语言的选择 4. 编码建模标准 5. 工具的选择 6. 工具应用指南软件测试软件需求验证系统集成和测试软件架构设计软件测试软件集成和测试设计验证软件单元设计及实现软件测试软件单元测试软件开发 7

建模 / 编程语言的选择及相关标准建模或者编程语言的选择标准明确的定义支持嵌入式实时软件和运行时错误处理支持模块化抽象及结构化语言本身不能涵盖的上述标准应通过相应的指导或开发环境涵盖通常, 汽车电子软件选择 C 语言基础软件手工编写 C 代码控制策略软件通过 Simulink 建模并自动生成代码 C 代码建模 / 编码标准要涵盖的内容 ASIL Topics A B C D 1a Enforcement of low complexity ++ ++ ++ ++ 1b Use of Language subsets ++ ++ ++ ++ 1c Enforcement of strong typing ++ ++ ++ ++ 1d Use of defensive implementation technique O + ++ ++ 1e Use of established design principles + + + ++ 1f Use of unambiguous graphical representation + ++ ++ ++ 1g Use of style guides + ++ ++ ++ 1h Use of naming conventions ++ ++ ++ ++ 8

Simulink/Stateflow 建模标准汽车行业建模标准 (MAAB) 专门为汽车行业 Simulink 用户制定高完整性系统建模标准专门为民航火车汽车等高完整性系统建模制定 9

设计工具 / 验证工具的选择工具的分类及资质审核工具分类工具资质审核工具的功能 / 用例工具的影响工具错误的检测工具置信水平 ASIL 软件工具有引入错误或者不能检出错误的可能 UC 1..n TI 2 TD 3 TD 2 TD 1 无 / 低中高 TCL 3 TCL 2 为 TCL3 级的资质审核为 TCL2 级的资质审核增加审核需求 TI 1 TCL 1 无需额外的资质审核注 :ISO 26262 要求对工具进行资质审核 10

TÜV SÜD 认证的工具 Embedded Coder 功能 : 生产针对嵌入式优化的 C 和 C++ 代码 Simulink Verification and Validation 功能 : 验证模型和模型生成的代码 Simulink Design Verifier 功能 : 定位设计错误, 生成测试用例, 并根据需求对设计进行验证 Polyspace Client for C/C++ 功能 : 证明源代码没有运行期错误 Polyspace Server for C/C++ 功能 : 在计算机集群执行代码验证并发布度量 11

开发工具的应用指南除了选择开发工具之外, 还要提供开发工具的应用指南 Embedded Coder 等工具具有非常详实的用户手册 12

基于模型的嵌入式软件开发需求分析模型建立模型验证代码实现模型架构可实现性可测性可追溯可配置建模语言建模标准模型复杂度平台化开发建模标准模型评审形式化方法验证功能测试数据管理等效性测试代码验证代码集成 13

基于模型的嵌入式软件开发需求分析模型建立模型验证代码实现模型架构可实现性可测性可追溯可配置建模语言建模标准模型复杂度平台化开发建模标准模型评审形式化方法验证功能测试数据管理等效性测试代码验证代码集成 14

汽车电子软件的现状和复杂软件开发的困境 GM 汽车上的代码量软件工程师的工作效率解决复杂软件开发效率低下的途径模块化开发 15

模块化的原则和目标模块划分的一般原则从功能上高内聚低耦合模块划分的目标简化设计便于分工便于测试便于后期维护 16

ISO 26262 软件架构设计原则 In order to avoid failures resulting from high complexity, the software architecture design shall exhibit the following properties, Modularity; Encapsulation; and Simplicity. 软件架构设计原则 Methods ASIL A B C D 1a Hierarchical structure of software components ++ ++ ++ ++ 1b Restricted size of software components ++ ++ ++ ++ 1c Restricted size of interfaces + + + + 1d High cohesion within each software component + ++ ++ ++ 1e Restricted coupling between software components + ++ ++ ++ 1f Appropriate scheduling properties ++ ++ ++ ++ 1g Restricted use of interrupts + + + ++ 17

软件的层次化结构设计模块如何划分从功能上划分组件以发动机为例, 分为 : 点火进气油量计算怠速巡航等模型实现上 model reference 发动机控制点火控制进气计算燃油控制怠速控制巡航控制其他对复杂组件进一步划分为单元模块以发动机的怠速控制为例, 分为暖机怠速闭环速度控制扭矩请求等单元模型实现上 model reference 18

模块化设计和验证模块划分举例 19

模块化设计和验证模块划分举例系统级组件级单元级单元模块的设计不建议使用 Model Reference. 20

基于模型的嵌入式软件开发需求分析模型建立模型验证代码实现模型架构可实现性可测性可追溯可配置建模语言建模标准模型复杂度平台化开发建模标准模型评审形式化方法验证功能测试数据管理等效性测试代码验证代码集成 21

Simulink 建模语言使用建模语言的子集 Simulink 和 Stateflow 之间的选择如果算法是复杂的逻辑运算, 使用 Stateflow; 如果算法主要是数据运算, 使用 Simulink; Stateflow 的 flow chart 和 state chart 之间的选择如果算法本质上是计算工作状态或者离散状态, 使用 state chart; 如果算法本质上是 if-then-else 结构, 使用 flow chart 或者真值表 ; 22

ISO 26262 软件单元的设计原则软件单元的设计和实现原则 Methods ASIL A B C D 1a One entry and one exit point in subprograms and functions ++ ++ ++ ++ 1b No dynamic objects or variables, or else online test during their creation + ++ ++ ++ 1c Initialization of variables ++ ++ ++ ++ 1d No multiple use of variable names + ++ ++ ++ 1e Avoid global variables or else justify their usage + + ++ ++ 1h No hidden data flow or control flow + ++ ++ ++ 1j No recursions + + ++ ++ Example: Parallel states should not appear at the top level of a state-chart. -- Misra Modeling Guideline 23

模型复杂度监测对单元模块进行复杂度监测 Model advisor 圈复杂度 24

Simulink 模型的平台化开发 Model Variants 通过配置不同的参数选择不同的被引用模型比如,K_Param == CLASS_A, 选择 Model_A.mdl;K_Param == CLASS_B, 选择 Model_B.mdl 支持生成条件编译的代码 System Variants 25

基于模型的嵌入式软件开发需求分析模型建立模型验证代码实现模型架构可实现性可测性可追溯可配置建模语言建模标准模型复杂度平台化开发建模标准模型评审形式化方法验证功能测试数据管理等效性测试代码验证代码集成 26

ISO 26262 定义的软件开发过程设计验证系统设计设计验证软件需求定义软件架构设计系统测试软件测试软件测试软件集成和测试软件需求验证系统集成和测试设计验证软件单元设计及实现软件测试软件单元测试软件开发 27

MAAB 及相关规范的检查 Model Advisor 实现建模规范检查定制检查集定制检查项 28

模型评审模型和需求的双向追溯模型需求需求模型 Simulink Report Generator 生成报告为非 Simulink 用户生成报告 Simulink Report Generator 实现不同版本模型比较 29

使用 Simulink Design Verifier 检查逻辑错误设定生成测试用例目标为 MC/DC 100% 覆盖生成测试用例逻辑错误导致无法生成 100% 覆盖的测试用例, 并提示错误逻辑 30

使用 Simulink Design Verifier 检查数据错误通过算术运算分析定位错误数据溢出被零除证明没有错误的运算 31

演示 Simulink Design Verifier 检查错误 32

单元模块的功能测试仿真测试覆盖率分析 33

模型测试的覆盖率要求对单元软件测试的结构覆盖率要求覆盖率达到分支覆盖率 100% MC/DC 要求 Methods 对软件架构测试的覆盖率要求 ASIL A B C D 1a Statement coverage ++ ++ + + 1b Branch coverage + ++ ++ ++ 1c MC/DC (Modified Conditional/Decision Coverage) + + + ++ Methods ASIL A B C D 1a Function coverage + + ++ ++ 1b Call coverage + + ++ ++ 34

模型的集成测试模型的组件级集成测试模型的系统级测试模型在环测试快速原型不同组件之间的接口测试不同组件功能上是否冲突 35

基于模型的嵌入式软件开发需求分析模型建立模型验证代码实现模型架构可实现性可测性可追溯可配置建模语言建模标准模型复杂度平台化开发建模标准模型评审形式化方法验证功能测试数据管理等效性测试代码验证代码集成 36

代码生成的前提条件模型经过充分验证 Generate Code 功能测试覆盖率足够高模型不含有无效逻辑模型不含有数据错误模型符合建模标准 37

数据对象和数据字典使用数据对象定义数据属性 Package( 包 ) Simulink Classes( 类 ) Signal Parameter Properties( 属性 ) DataType Data Storage Class Min/Max Data Type Data Storage Class 使用数据字典管理数据对象 modelname = 'f14'; dictionaryname = 'mynewdictionary.sldd ; dictionaryobj =Simulink.data.dictionary.create(dictionaryName); set_param(modelname,'datadictionary',dictionaryname); 38

数据字典管理数据按照组件划分进行数据管理 39

代码生成工具配置软件工具除确定 id 和版本号之外, 还需要确定配置 1. 通过系统目标文件设定回调函数 2. 在代码生成设置的回调函数里固化设置 40

等效性测试 SIL 测试 /PIL 测试都是等效性测试验证生成的代码和用于代码生成的模型具有相同的行为属性 PIL 除等效性验证之外, 还可以用来测量运行时间等效性测试的测试用例功能测试的测试用例 Simulink Design Verifier 自动生成模型覆盖率和代码覆盖率的比较 41

代码的集成和集成测试代码集成的两种方式单元模型的代码生成, 代码级别做集成模型级别集成, 然后生成代码软硬件的系统级集成硬件在环测试台架测试 u + s1 s2 s3 Controller model Plant model 实车测试 u + s1 s3 s2 Controller Plant Model in PC 42

基于模型的嵌入式软件开发需求分析模型建立模型验证代码实现模型架构可实现性可测性可追溯可配置建模语言建模标准模型复杂度平台化开发建模标准模型评审形式化方法验证功能测试数据管理等效性测试代码验证代码集成 43

MathWorks Change the world by Accelerating the pace of discovery, innovation, development, and learning in engineering and science 44