作者：Shijia Guo

Staff Engineer–Functional Safety

在上幾篇關(guān)于瑞薩汽車功能安全技術(shù)的系列博客中，我們介紹了瑞薩電子提供的功能安全客戶支持服務(wù)，以及CAR工具。博客中簡(jiǎn)單提到了ISO26262標(biāo)準(zhǔn)提出的背景，該標(biāo)準(zhǔn)是國(guó)際標(biāo)準(zhǔn)化組織制定的關(guān)于道路汽車中電子電氣系統(tǒng)功能安全的標(biāo)準(zhǔn)；然后說(shuō)明了ISO26262標(biāo)準(zhǔn)的第6部分給出了功能安全軟件開(kāi)發(fā)的要求以及指導(dǎo)方向。瑞薩電子旨在提供優(yōu)質(zhì)安全的軟件，以便縮短客戶開(kāi)發(fā)周期，讓軟件集成過(guò)程更高效省心，幫助客戶更快更好的設(shè)計(jì)和制造整車以及相應(yīng)的電子電氣系統(tǒng)。

這是瑞薩汽車功能安全技術(shù)系列博客的第三篇。我們?cè)谥暗牟┛椭幸呀?jīng)提過(guò)，大部分瑞薩電子的安全相關(guān)產(chǎn)品屬于SEooC產(chǎn)品。瑞薩電子的SEooC軟件主要在瑞薩開(kāi)發(fā)的汽車MCU和SoC上運(yùn)行，可以集成到多種不同的應(yīng)用上。

在本篇博客中， 我們會(huì)討論在設(shè)計(jì)SEooC軟件時(shí)需要注意的要點(diǎn)，所遇到的挑戰(zhàn)，以及瑞薩電子的SEooC軟件產(chǎn)品。

ISO26262給出的開(kāi)發(fā)SEooC軟件的指導(dǎo)方向主要分成以下三步：

第一步：提出SEooC軟件的應(yīng)用范圍和安全要求的假設(shè)

第二步：基于這些假設(shè)來(lái)設(shè)計(jì)和開(kāi)發(fā)符合ISO26262 ASIL等級(jí)要求的軟件產(chǎn)品。在開(kāi)發(fā)過(guò)程中，開(kāi)發(fā)者需要遵守ISO26262第6部分指定的流程。軟件供應(yīng)商需要提供給客戶所有必須的工作成果文件，以保證客戶在集成過(guò)程中能夠分析這些假設(shè)，保證這些假設(shè)能被滿足。工作成果文件的示例如下：

開(kāi)發(fā)接口協(xié)議/報(bào)告5（DIA/DIR）

軟件安全要求設(shè)計(jì)書（S-SRS）

安全應(yīng)用說(shuō)明書/安全手冊(cè)（SAN/SM）-SAN/SM應(yīng)該列出用戶所有需考慮的假設(shè)，安全功能的實(shí)施，以及其他與安全相關(guān)的信息

源代碼（source code）

配置手冊(cè)（configuration manual）-幫助用戶理解和配置軟件

功能安全評(píng)估報(bào)告（FSA報(bào)告），等等

第三步：將軟件集成到特定的應(yīng)用環(huán)境中。集成者應(yīng)該確保所有的假設(shè)都符合要求。如果有一些假設(shè)不能被滿足，應(yīng)該進(jìn)行相應(yīng)的影響分析，以保證安全性不被影響，或者采取相應(yīng)的設(shè)計(jì)更改。

在第一步中， 一個(gè)很大的挑戰(zhàn)是合理完善地總結(jié)所有相關(guān)的假設(shè)。假設(shè)的范圍可以是廣泛的。這里我們列舉了一些典型的例子：

使用案例的假設(shè)：描述假定的產(chǎn)品應(yīng)用環(huán)境和用途

系統(tǒng)級(jí)別保護(hù)措施的假設(shè)：一些安全措施需要在系統(tǒng)級(jí)別上實(shí)施，比如通訊中的端到端保護(hù)。這些保護(hù)措施是必須的，但它們只能由集成者來(lái)實(shí)現(xiàn)。因此SEooC軟件開(kāi)發(fā)商通常會(huì)假設(shè)系統(tǒng)集成者會(huì)實(shí)現(xiàn)這些保護(hù)措施

部分實(shí)施的安全機(jī)制的假設(shè)：如果某些安全機(jī)制沒(méi)有被SEooC軟件完全覆蓋，則需要集成商完成實(shí)施。瑞薩將這些要求作為AoU（使用假定）記錄在SAN（安全應(yīng)用說(shuō)明）中，并假定集成商將滿足這些要求

關(guān)于集成要求的假設(shè)：SEooC軟件最終會(huì)被集成到上級(jí)應(yīng)用程序中。若要使集成軟件達(dá)到既定目標(biāo)的ASIL水平，就需要定義集成的要求并假設(shè)系統(tǒng)集成者能夠滿足這些要求

瑞薩的軟件工程師和安全工程師都擁有多年開(kāi)發(fā)軟件的經(jīng)驗(yàn)。開(kāi)發(fā)團(tuán)隊(duì)會(huì)仔細(xì)地分析產(chǎn)品和所應(yīng)用的系統(tǒng)環(huán)境，以盡可能準(zhǔn)確完整地總結(jié)這些假設(shè)。瑞薩的開(kāi)發(fā)流程保證了基于這些假設(shè)的產(chǎn)品安全要求能夠被審閱和評(píng)估。

在第二步中，一個(gè)很大的挑戰(zhàn)是由軟件的可配置性導(dǎo)致的。由于很多SEooC軟件產(chǎn)品需要被應(yīng)用到不同的上級(jí)產(chǎn)品中，通常這些SEooC軟件會(huì)提供可配置選項(xiàng)，供用戶設(shè)置。SEooC軟件被配置后集成到上級(jí)產(chǎn)品時(shí)，這個(gè)配置就需要被測(cè)試和驗(yàn)證。如果配置參數(shù)的數(shù)量增加，這些參數(shù)組合到一起最終產(chǎn)生的軟件配置的數(shù)量就會(huì)呈指數(shù)級(jí)增長(zhǎng)。如果需要對(duì)每一個(gè)可能的配置都進(jìn)行測(cè)試是不可能的。那么SEooC軟件供應(yīng)商怎樣保證所作的測(cè)試能夠提供足夠的把握呢？ISO26262提供了兩種可供選擇的建議：

簡(jiǎn)化流程一：測(cè)試和驗(yàn)證配置好的軟件。軟件集成者可以測(cè)試配置好的軟件，或者可以選擇供應(yīng)商提供的售后服務(wù)：把配置數(shù)據(jù)提供給SEooC軟件供應(yīng)商， 由供應(yīng)商來(lái)測(cè)試配置好的軟件。當(dāng)客戶數(shù)量和項(xiàng)目數(shù)量增加時(shí)，供應(yīng)商需要測(cè)試的配置數(shù)量會(huì)大大增加。在這種情況下， 供應(yīng)商需要保證測(cè)試服務(wù)的質(zhì)量和效率。如何做到呢？通常這兩種解決方案是很有利的：

自動(dòng)測(cè)試系統(tǒng)。瑞薩電子有很完善的自動(dòng)測(cè)試系統(tǒng)，可以大規(guī)模高效率地幫助客戶測(cè)試配置完成的SEooC軟件。在軟件開(kāi)發(fā)過(guò)程中或是發(fā)布后我們都會(huì)應(yīng)用這些自動(dòng)測(cè)試系統(tǒng)

清晰完善的軟件要求。瑞薩電子的工程師會(huì)詳細(xì)分析和記錄SEooC軟件的要求。瑞薩電子多年來(lái)的經(jīng)驗(yàn)積累了完善的開(kāi)發(fā)流程，開(kāi)發(fā)指南，各種文件模板，以及清晰地界定各部門的職責(zé)。瑞薩電子還使用新的需求管理軟件來(lái)更好地記錄和追蹤軟件要求，確保必須的軟件要求能被實(shí)現(xiàn)以及測(cè)試。這也能在測(cè)試客戶的軟件配置時(shí)大大提高軟件要求的測(cè)試覆蓋率

簡(jiǎn)化流程二：在軟件發(fā)布前測(cè)試一系列（大量的）軟件配置；而在軟件發(fā)布后，客戶可以分析和證明客戶使用的設(shè)置已經(jīng)通過(guò)了發(fā)布前所作的測(cè)試。軟件發(fā)布前測(cè)試的目標(biāo)是盡可能多地涵括軟件配置。瑞薩電子使用了很多最前沿的測(cè)試方法：N-wise測(cè)試?，功能組合測(cè)試，隨機(jī)測(cè)試等等。這些測(cè)試方法旨在優(yōu)化測(cè)試的軟件配置數(shù)量，用最少的測(cè)試涵蓋最多的配置范圍。應(yīng)用這些測(cè)試方法，用戶使用的終端配置更有可能已經(jīng)在發(fā)布前被測(cè)試過(guò)，可以減少額外的測(cè)試工作和開(kāi)銷。

在第三步中，SEooC軟件最終發(fā)布到客戶手中時(shí)，客戶所需做的是驗(yàn)證供應(yīng)商提出的假設(shè)，以及將SEooC軟件集成到客戶系統(tǒng)中。這有時(shí)很有難度，因?yàn)槿绻?yàn)證所有的假設(shè)，可能需要花很多時(shí)間。而且這也要求客戶對(duì)這些假設(shè)有正確的理解。在驗(yàn)證過(guò)程中，難免會(huì)遇到有些假設(shè)并不能完全被滿足。在這種情況下，就需要客戶或者供應(yīng)商來(lái)更改SEooC軟件的設(shè)計(jì)，或從系統(tǒng)層面上修改設(shè)計(jì)來(lái)保證安全性。這會(huì)產(chǎn)生額外的努力和開(kāi)銷。在瑞薩電子，我們會(huì)向客戶開(kāi)放所有在SEooC軟件開(kāi)發(fā)中考慮的假設(shè)。這些假設(shè)都被記錄在安全應(yīng)用說(shuō)明書（SAN）當(dāng)中。SAN的起草和審核是很嚴(yán)謹(jǐn)?shù)?用戶可以借助它來(lái)更好地理解以及驗(yàn)證這些假設(shè)。瑞薩電子還提供功能安全客戶支持項(xiàng)目，如果客戶有任何關(guān)于SEooC軟件的問(wèn)題，瑞薩的支持工程師會(huì)提供詳細(xì)的解答。

瑞薩電子的工程師非常了解開(kāi)發(fā)SEooC軟件的難度。瑞薩一直致力于提高產(chǎn)品質(zhì)量。我們的目標(biāo)是提供給客戶符合相關(guān)ISO26262要求的軟件，以及客戶所需要的集成和開(kāi)發(fā)的信息，以保證最終集成的終端軟件和電子產(chǎn)品能達(dá)到所需要的安全級(jí)別。

瑞薩電子的安全相關(guān)部門由三大部分組成：開(kāi)發(fā)部門，質(zhì)量部門，以及獨(dú)立的技術(shù)評(píng)估部門。瑞薩的開(kāi)發(fā)部門有多年遵照ISO26262標(biāo)準(zhǔn)開(kāi)發(fā)功能安全產(chǎn)品的經(jīng)驗(yàn)。質(zhì)量部門會(huì)負(fù)責(zé)評(píng)估和審核軟件開(kāi)發(fā)階段的功能安全流程。技術(shù)評(píng)估部門則會(huì)負(fù)責(zé)對(duì)安全相關(guān)的產(chǎn)品進(jìn)行技術(shù)評(píng)估，以保證產(chǎn)品能達(dá)到相應(yīng)的安全目標(biāo)。瑞薩電子也會(huì)邀請(qǐng)第三方評(píng)估公司來(lái)對(duì)軟件產(chǎn)品進(jìn)行安全評(píng)估。瑞薩的高素質(zhì)團(tuán)隊(duì)和企業(yè)內(nèi)部的安全文化保證了向客戶提供優(yōu)質(zhì)的軟件產(chǎn)品：

由經(jīng)驗(yàn)豐富的開(kāi)發(fā)團(tuán)隊(duì)開(kāi)發(fā)

經(jīng)過(guò)I3級(jí)別（最高獨(dú)立性）的質(zhì)量和評(píng)估部門認(rèn)真檢驗(yàn)和全面評(píng)估

方便集成到客戶的安全系統(tǒng)中

綜上所述，我們?cè)谶@篇博客中介紹了ISO26262對(duì)開(kāi)發(fā)SEooC軟件的指導(dǎo)方向。我們也討論了在設(shè)計(jì)開(kāi)發(fā)過(guò)程中可能遇到的問(wèn)題。瑞薩電子旨在為客戶提供更好的解決方案：

瑞薩電子的技術(shù)部門擁有經(jīng)驗(yàn)豐富的工程師，以及完善的技術(shù)流程，能開(kāi)發(fā)和評(píng)估高質(zhì)量的軟件產(chǎn)品

運(yùn)用最前沿的測(cè)試方法和自動(dòng)測(cè)試系統(tǒng)來(lái)保證測(cè)試覆蓋率

提供人性化的客戶服務(wù)，支持客戶解決在集成過(guò)程中可能遇到的問(wèn)題

瑞薩電子有許多SEooC軟件產(chǎn)品。基于RH850系列微處理器的安全軟件產(chǎn)品有：MCAL和CST（CPU自測(cè)軟件）?；赗-CAR系列SoC的安全軟件有：CPU RTT（CPU自測(cè)軟件），圖像處理軟件，信息安全軟件等。瑞薩與多家第三方公司合作提供操作系統(tǒng)， 編譯器等其他軟件來(lái)提供給客戶完整的系統(tǒng)解決方案。如果您對(duì)瑞薩的軟件產(chǎn)品感興趣，請(qǐng)聯(lián)系瑞薩銷售部門了解更詳細(xì)的信息。

1：Renesas Automotive Functional Safety Page 點(diǎn)擊文末閱讀原文查看 2：ISO 26262-1:2018 Road vehicles—Functional safety Part 1 Vocabulary 3：ISO 26262-6:2018 Road vehicles—Functional safety Part 6 Product development at the software level 4：ISO 26262-10:2018 Road vehicles—Functional safety Part 10 Guidelines on ISO 26262 Clause 9 Safety Element out of Context 5：DIR（Design Interface Report）is a Renesas specific document equivalent to DIA（Design Interface Agreement）

6：N-wise testing：

http://www.tmap.net/wiki/n-wise-testing

See also：

Renesas Functional Safety Support for Automotive（1）–An overview https://www2.renesas.cn/cn/zh/blogs/customer-value-automotive-business-series-16-renesas-functional-safety-support-automotive-1-overview

Renesas Functional Safety Support for Automotive（2）–A Customizable Option for Precise Safety Analysis https://www2.renesas.cn/cn/zh/blogs/renesas-functional-safety-support-automotive-2-customizable-option-precise-safety-analysis

END

關(guān)于我們

瑞薩電子集團(tuán) (TSE: 6723) ，提供專業(yè)可信的創(chuàng)新嵌入式設(shè)計(jì)和完整的半導(dǎo)體解決方案，旨在通過(guò)使用其產(chǎn)品的數(shù)十億聯(lián)網(wǎng)智能設(shè)備改善人們的工作和生活方式。作為全球微控制器、模擬、電源和SoC產(chǎn)品供應(yīng)商，瑞薩電子為汽車、工業(yè)、家居、基礎(chǔ)設(shè)施及物聯(lián)網(wǎng)等各種應(yīng)用提供綜合解決方案，期待與您攜手共創(chuàng)無(wú)限未來(lái)。更多信息，敬請(qǐng)?jiān)L問(wèn)renesas.com。

原文標(biāo)題：工程師說(shuō) | 瑞薩汽車功能安全技術(shù)支持-ISO26262標(biāo)準(zhǔn)在SEooC(獨(dú)立安全單元)軟件開(kāi)發(fā)中的應(yīng)用

文章出處：【微信公眾號(hào)：瑞薩電子】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。
審核編輯:湯梓紅