功能安全 – ISO 26262

ETAS工具和服务支持电子系统的功能安全

在embedded world2020展会上,WEKA Fachmedien在VIP环节对Nigel Tracey博士关于“聚焦安全和保护”的采访。 如未能打开此视频,烦请复制此链接至浏览器中打开https://www.elektroniknet.de/video/vip-buehne-safety-amp-security-im-fokus-2005-video.html

要想上路行驶,道路车辆必须达到最先进的科学和技术成熟度。产品责任索赔的防范至少应符合适用的行业标准。推出市场的所有产品应根据这些标准进行开发。

实现安全性依赖于:

  • 合适的系统设计:诊断和冗余等
  • 硬件可靠性:故障模式和故障率分析
  • 软件:最先进的软件开发方法
  • 规范化的质量管理方法:分析、测试和审核
  • 能够证明实现了所有的安全目标:通过产品和过程评估以及文件归档

为了做到这点,我们提供在软件开发中支持功能安全的广泛产品组合,其中包括合格的工具、工程服务、培训以及专家咨询。

挑战:

ISO 26262以及ISO 25119和EN ISO 13849等其它相关领域规范源自适用于电子系统功能安全的通用标准IEC 61508,这是道路车辆的约束标准。所有新的E/E系统必须符合相应的安全标准。开发过程、方法和工具链都在达到标准中发挥重要作用。因此,未来E/E系统的开发工具也必须符合ISO 26262。

解决方案:

我们的产品组合将高水平的方法、过程、工具和嵌入式软件技能与开发安全关键系统领域的实践经验相结合,在功能安全的各个方面为我们的客户提供支持,最高可达ASIL D。这包括:

  • 开发工具
    ETAS软件开发工具解决方案,其中包括用于根据ISO 26262等标准开发和测试安全关键汽车系统的ASCETEHOOKSINCAINTECRIO、ISOLAR-EVE、RTA和SCODE产品系列。我们的工具支持在操作系统和基础软件层面全面和灵活地实施AUTOSAR 4.x安全概念。我们的认证代码生成器保证了生成软件的完整性。
    我们的功能和软件开发工具已成功部署于发动机管理系统、ABS和ESP项目中。
  • 工程服务
    我们的工程服务可协助满足你的所有开发需求。所有ETAS产品都具有开放式架构、模块化设计以及并支持工业和汽车标准,可灵活地根据不同的开发要求和现有的基础设施进行调整。
  • RTA咨询服务
    借助我们的RTA咨询服务,我们为客户在系列开发和过程中部署功能安全提供支持。此外,通过应用ETAS安全手册,我们可使客户的工具链符合ISO 26262规定的资格条件。

我们的咨询团队包括由遍布全球的顾问组成,这些顾问在功能安全领域拥有多年的系列开发和研究项目经验。

什么是IEC 61508?

61508是一项关于电气/电子/可编程电子安全相关系统的功能安全的国际标准。对此,系统定义为包括传感器和其它输入装置、可编程电子器件本身以及所有致动器和其它输出设备。

什么是ISO 26262?

ISO 26262是针对特定行业领域调整后的IEC 61508,适用于电子/电气安全相关系统,包括软件和硬件,安装在乘用车、卡车、大巴、摩托车上,不包括电动自行车、踏板车和特殊用途车辆上例如电动轮椅。

该标准由10个部分组成,涵盖E/E/PE安全相关系统的整个生命周期,即从概念、设计和开发的功能安全管理到生产和操作。因此,ISO 26262在产品责任方面是最先进的。

ISO 26262的实施对软件开发过程有着不同的影响:

  • 架构设计:
    • 弱耦合,高内聚性
    • 半正式表达的
  • 设计和实施:
    • MISRA-C:2004等指南
    • 自由存储/定时干扰
  • 软件测试:
    • 系统的测试方法
    • 高覆盖度
  • 系统测试:
    • 故障注入/稳健性测试
    • 目标环境中的软件测试

IEC 61508和ISO 26262是否要求使用认证工具?

IEC 61508和ISO 26262不要求根据安全标准获得开发工具认证。然而,这两项标准都要求系统开发人员能够证明开发过程中使用的所有工具不违反任何系统安全要求,以便支持声明的系统安全完整性水平(SIL或者ASIL,视情况而定)。

在安全工程方面,系统开发人员需提供有效的工具链安全理据,并以相关证据加以佐证。有效的工具链安全理据应成功证明,任何工具的单一故障都不会在系统中留下未检测到的严重安全漏洞。

安全关键应用的开发工具

ASCET: 仿真、快速原型设计和目标执行

ASCET具有以下标准功能,成为工程安全相关软件中的一个明智选择,因为这些功能有效地支持根据ISO 26262进行软件开发:

  • 模块化、抽象化和封装支持:ASCET拥有基于对象的编程模型,因此生成的代码具有相同的模块化结构。模型被唯一地分配到两个明确的抽象层上,封装高级别系统的设计并将其与低级别设计考虑因素引起的变更隔离开来。
  • 明确的定义:基于顺序编号实现的明确正式排序排除了图形化建模技术中经常出现的关于数据和控制流的隐含假设。ASCET图形模型具有相同的特性-无论它们是如何绘制出来的。
  • 实时支持:采用ASCET的基于状态的消息通信方案,基于线程安全通信与RTA-OSEK等实时操作系统简单集成。
  • 防止出现运行时错误:ASCET自动增加防御性编程检查,以避免出现除以零、下溢和上溢等常见数值误差。
  • 满足软件实施要求:生成高达100%的MISRA-C:2004兼容源代码,初始化之前没有不受控数据或者控制流、没有动态数据结构、没有数据使用。

ASCET的IEC 61508和ISO 26262认证

ASCET-MD V6.1 和 ASCET-SE V6.1通过了TÜV-SÜD认证,理由是“适合用途”,即适用于根据IEC 61508:2010和ISO/DIS 26262:2009开发安全相关系统。这项认证涵盖安全完整性等级达到并包括IEC 61508-SIL 3和ISO/DIS 26262-ASIL D的系统的所有目前支持的微控制器目标代码生成。

EHOOKS: 执行安全关键的ECU测试

根据ISO 26262验证ECU软件要求在目标环境下进行测试,同时确保高水平的软件可控性和可观察性。ETAS提供的名为EHOOKS的工具,具有先进的配置、构造和修补机制。

使用EHOOKS测试安全关键ECU软件的特点:

  • 使用生产软件在目标ECU硬件上进行测试,通过ETAS ETK接口访问ECU
  • 可以直接操作数据变量和功能,从而可对关键功能进行有针对性的测试
  • 可通过操作变量、绕开错误实施的功能或者模拟不正确的传感器数据有效地注入故障
  • 与INCA环境无缝集成,便于经验丰富的测量和测试工程师进行高效的控制和观察以及实现低学习曲线

EHOOKS创造的原型非常接近于最终的ECU,因此非常适用于ISO 26262规定的确认和验证用途。

INTECRIO:集成和构建虚拟原型设计工具

由于INTECRIO在C代码层面集成,我们的客户因此能够使用C代码调试器和开发环境跟踪代码等,以便于轻松测量代码或者决策覆盖度等指标。这有助于了解功能模型转换成C代码是否需要额外的测试案例。因此,INTECRIO可以用来实现ISO 26262提出的软件开发和测试方法。

ISOLAR-EVE: 尽早发现严重错误,缩短反馈回路

ISO 26262标准要求在实际的目标环境下进行软件集成测试。ECU硬件虚拟化便于在早期阶段使用目标ECU基础软件进行软件集成测试。在虚拟环境下可使用ISOLAR-EVE执行ECU的相同源代码,进行早期验证。

RTA-OS , RTA-RTE , RTA-BSW: AUTOSAR 符合AUTOSAR的安全概念实施

AUTOSAR指定操作系统层面的若干概念,确保ECU软件的功能安全。我们交付符合AUTOSAR的OS,RTE和BSW实施。

这三种工具:

  • 生成符合MISRA的源代码
  • 支持协助分配安全关键和非安全关键软件的多核心概念和操作系统应用
  • 支持AUTOSAR的计时和内存分配方法
  • 依据ISO 26262由TÜV Süd通过认证

SCODE工作台—建模、分析、核准和应用控制系统

使用SCODE工作台的软件工具(System CO-DEsign),工程师、控制系统技术人员和软件开发人员等可为ECU软件创建基于模型的、结构化的、更容易理解的解决方案,并使ECU软件被自动验证。

应用领域

  • 描述和自动同时验证功能关系
  • 自动测试

特性

  • 100%覆盖功能逻辑
  • 在ECU中实现模型和可执行文件之间的功能同步

 SCODE-ANALYZER提供安全分析所需要的控制流分析方法,是核准软件架构和软件单元设计的必要方法。此工具通过半正式符号、半形式验证、系统级简单性和限制(软件)复杂度的方法,支持实现相关ISO 26262的要求。

SCODE-CONGRA提供安全分析需要的数据流分析方法,是核准软件架构和软件单元设计的必要方法。