ISO26262安全的軟件開發(fā)流程

軟件開發(fā)啟動(dòng)

根據(jù)ISO26262-65.4.6中倡議，在軟件開發(fā)的啟動(dòng)階段，對于啟動(dòng)軟件級(jí)產(chǎn)品開發(fā)，首先需要制定關(guān)于整個(gè)軟件級(jí)開發(fā)的活動(dòng)和辦法的方案，對于軟件開發(fā)的每個(gè)子階段，應(yīng)該根據(jù)應(yīng)用標(biāo)準(zhǔn)來選擇對應(yīng)的辦法和相應(yīng)的工具。

根據(jù)規(guī)范，SmartSARStudio在選擇建模語言時(shí)考慮到了：對于建模語言需要有清晰的定義，我們采用EMF、GMF兩種建模語言搭建給一個(gè)建模環(huán)境提供應(yīng)用戶；建模語言支持模塊化，抽象和結(jié)構(gòu)化的構(gòu)造，根據(jù)規(guī)范中對于建模和編碼標(biāo)準(zhǔn)中需要包含的問題，我們的工具支持的建模和編碼標(biāo)準(zhǔn)，如下表所示：

問題

ASIL

A

B

C

D

1a

復(fù)雜度低

++

++

++

++

1b

語言子集的使用

++

++

++

++

1c

使用強(qiáng)類型

++

++

++

++

1d

防御式編程技術(shù)

o

+

++

++

1e

使用清晰的圖形表示

+

++

++

++

1f

使用命名標(biāo)準(zhǔn)

++

++

++

++

Studio的建模辦法非常簡單，每個(gè)模型的圖元也不復(fù)雜，合乎嵌入式領(lǐng)域軟件開發(fā)人員的常識(shí)，同時(shí)我們參照了多個(gè)領(lǐng)域軟件開發(fā)語言，定義了一套通用的建模語言。本建模語言使用強(qiáng)類型，每個(gè)模型有自己特定的類型，需要聲明后才能使用，每個(gè)模型在建模工具中都有唯一清晰確定的圖形表示，同時(shí)對于默認(rèn)的模型名稱有合乎意義的命名方式，并且合乎C語言命名標(biāo)準(zhǔn)。由于Studio是屬于基于模型驅(qū)動(dòng)的開發(fā)辦法，同時(shí)也是一個(gè)多層的開發(fā)架構(gòu)，不應(yīng)該由于上層或者外部的輸入錯(cuò)誤而導(dǎo)致本層次被破壞，這也是將可能出現(xiàn)的錯(cuò)誤造成的影響控制在最小的范圍內(nèi)。因此，不僅在編碼構(gòu)建本工具的過程中，我們采用防御式編程辦法，同時(shí)在建模環(huán)境中對用戶的模型也提供最大可能的防御措施，包括各種驗(yàn)證提示，在代碼級(jí)最大可能容忍恢復(fù)用戶的建模錯(cuò)誤，將各種可能的錯(cuò)誤風(fēng)險(xiǎn)提到最上層等。

圖片

需求分析階段

需求分析階段是軟件項(xiàng)目領(lǐng)域中軟件開發(fā)最開始的階段，它主要是完成對系統(tǒng)整個(gè)的定義，確定系統(tǒng)的各種需求，幫忙開發(fā)測試人員理解整個(gè)系統(tǒng)的功能，為后續(xù)的工作打下根底。

在ISO26262-4中給出了技術(shù)平安需求規(guī)格，用來標(biāo)準(zhǔn)技術(shù)平安需求，細(xì)化功能平安概念，同時(shí)考慮到功能概念和初級(jí)的架構(gòu)若級(jí)別上。在開發(fā)周期內(nèi)，技術(shù)平安標(biāo)準(zhǔn)是用來實(shí)現(xiàn)功能平安概念的必須技術(shù)需求。系統(tǒng)的初級(jí)架構(gòu)若和系統(tǒng)性質(zhì)，包括：外部接口如通信和用戶接口，系統(tǒng)限制條件如環(huán)境和功能限制，系統(tǒng)配置需求。

在技術(shù)平安需求標(biāo)準(zhǔn)中應(yīng)該有的平安機(jī)制包括：

1〕系統(tǒng)自身的錯(cuò)誤檢查、通知和控制相關(guān)的措施，這些包含系統(tǒng)的自我監(jiān)控或者對于隨機(jī)硬件錯(cuò)誤的檢查，也包含對通信通道〔如數(shù)據(jù)接口，通信總線，無線連接〕的失敗模式檢查和監(jiān)控措施。

2〕在和系統(tǒng)交互的外部設(shè)備中，對錯(cuò)誤的檢查、通知和控制相關(guān)的措施。其中，外部設(shè)備包括：其它電子控制單元，電力提供或者通信設(shè)備等。

3〕使能系統(tǒng)達(dá)到或者維護(hù)一個(gè)平安狀態(tài)的措施，包括優(yōu)化平安機(jī)制沖突和仲裁邏輯。

4〕細(xì)化和實(shí)現(xiàn)報(bào)警及降級(jí)概念。

5〕避免潛在錯(cuò)誤的措施。

設(shè)計(jì)階段

在軟件開發(fā)過程中，設(shè)計(jì)階段是繼需求之后的一個(gè)重要階段，在了解系統(tǒng)的需求后，設(shè)計(jì)階段是決定系統(tǒng)整體質(zhì)量的重要保證，在系統(tǒng)設(shè)計(jì)階段，主要關(guān)懷的是系統(tǒng)的架構(gòu)設(shè)計(jì)，根本的輸入輸出流程，外部交互，組織結(jié)構(gòu)，模塊分配，功能劃分，數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)和出錯(cuò)設(shè)計(jì)等，為軟件的詳細(xì)設(shè)計(jì)提供基石。

在ISO26262-4和ISO26262-6中都有波及到到設(shè)計(jì)階段平安的開發(fā)。ISO26262-4主要關(guān)注于系統(tǒng)級(jí)的設(shè)計(jì)和平安方面的概念。系統(tǒng)設(shè)計(jì)應(yīng)給予功能概念，根底架構(gòu)若以及技術(shù)平安需求，保證各個(gè)階段的根底架構(gòu)若保持一致。

考慮到技術(shù)平安需求的實(shí)現(xiàn)問題，系統(tǒng)設(shè)計(jì)應(yīng)該考慮一下這些問題：

1)

驗(yàn)證系統(tǒng)設(shè)計(jì)的能力。

2)

在系統(tǒng)集成期間測試的可執(zhí)行能力。

3)

系統(tǒng)和子系統(tǒng)架構(gòu)應(yīng)該在對應(yīng)的ASIL等級(jí)上合乎技術(shù)平安需求。

4)

每個(gè)元素應(yīng)從它實(shí)現(xiàn)的技術(shù)平安需求中繼承最高的ASIL等級(jí)。

5)

對于平安相關(guān)的元素，應(yīng)該定義其內(nèi)部和外部的接口，這是為了防止其它元素影響它們的平安性。

在系統(tǒng)設(shè)計(jì)階段中，ISO26262-4的7.4.3.7中規(guī)定了為了防止高復(fù)雜性引起的失敗，架構(gòu)設(shè)計(jì)應(yīng)該滿足模塊化，足夠的顆粒度和簡單的原那么。其中模塊化的系統(tǒng)設(shè)計(jì)應(yīng)該滿足的屬性如下表所示。

屬性

ASIL

A

B

C

D

1

層次設(shè)計(jì)

+

+

++

++

2

精確定義的接口

+

+

+

+

3

防止軟件組件和硬件組件不必要的復(fù)雜度

+

+

+

+

4

防止不必要的接口復(fù)雜度

+

+

+

+

在Studio中，RTE運(yùn)行時(shí)環(huán)境層根據(jù)架構(gòu)層軟件組件的架構(gòu)設(shè)計(jì)，定義了軟件組件間通信接口，有明確的通信接口生成規(guī)定，同時(shí)也防止了不必要的接口復(fù)雜度，減少了依賴關(guān)系。系統(tǒng)映射根據(jù)架構(gòu)層定義的軟件組件架構(gòu)和ECU拓?fù)浣Y(jié)構(gòu)，完成軟件和硬件的映射關(guān)系，防止了軟硬件的耦合關(guān)系，減少了交互的不必要的復(fù)雜度，同時(shí)也是防止了軟硬件交互的接口復(fù)雜度，減少了依賴關(guān)系。

在ISO26262-6中規(guī)定了軟件級(jí)設(shè)計(jì)和平安相關(guān)的概念。軟件架構(gòu)設(shè)計(jì)代表了所有的軟件組件和它們在層次化結(jié)構(gòu)中的交互關(guān)系。軟件架構(gòu)設(shè)計(jì)提供了可以實(shí)現(xiàn)軟件平安需求的辦法以及處理軟件開發(fā)的復(fù)雜性。

為了保證軟件架構(gòu)設(shè)計(jì)獲得的信息足夠讓后續(xù)的開發(fā)流程正確有效的執(zhí)行，軟件架構(gòu)設(shè)計(jì)應(yīng)該用下表中列出的表示法描述適宜的抽象等級(jí)。

辦法

ASIL

A

B

C

D

1a

非正式表示法

++

+

+

+

1b

半正式表示法

+

++

++

++

1c

正式表示法

+

+

+

+

為了防止因高復(fù)雜度導(dǎo)致的錯(cuò)誤，軟件架構(gòu)設(shè)計(jì)應(yīng)該滿足模塊化，封裝性和簡單這三個(gè)根本的屬性，下表中給出了軟件架構(gòu)設(shè)計(jì)的原那么。

辦法

ASIL

A

B

C

D

1a

軟件組件的層次化結(jié)構(gòu)

++

++

++

++

1b

軟件組件的高內(nèi)聚性

+

++

++

++

1c

軟件組件間的低耦合性

+

++

++

++

在Studio的層次結(jié)構(gòu)中，支持軟件組件的層次化結(jié)構(gòu)，每個(gè)軟件組件通過內(nèi)部行為表示其軟件組件具體完成的功能，滿足高內(nèi)聚性和低耦合性。

架構(gòu)層的設(shè)計(jì)保證了軟件架構(gòu)設(shè)計(jì)開發(fā)到合理的程度使得所有的軟件單元能夠區(qū)別開。軟件架構(gòu)設(shè)計(jì)包含了靜態(tài)設(shè)計(jì)和動(dòng)態(tài)設(shè)計(jì)兩局部，其中靜態(tài)設(shè)計(jì)局部，架構(gòu)層完成了分級(jí)層次的軟件結(jié)構(gòu)，軟件組件的端口實(shí)現(xiàn)了規(guī)范中規(guī)定的軟件組件的外部接口。根據(jù)規(guī)范7.4.9中指出，軟件平安需求應(yīng)該分配到軟件組件上，每個(gè)軟件組件應(yīng)該根據(jù)分配給它的最高等級(jí)的ASIL來開發(fā)。

開發(fā)實(shí)現(xiàn)階段

開發(fā)實(shí)現(xiàn)階段是軟件項(xiàng)目中定義的系統(tǒng)開發(fā)的最中心的工作，它是完成系統(tǒng)實(shí)現(xiàn)的主要工作，因此在開發(fā)實(shí)現(xiàn)階段的平安保證也是Studio非常重要的工作。軟件的開發(fā)實(shí)現(xiàn)包括源碼的生成和轉(zhuǎn)化為目標(biāo)代碼。

在ISO26262-6的8.4.4中給出了軟件單元設(shè)計(jì)和在源碼級(jí)實(shí)現(xiàn)的屬性，包括：軟件單元的子程序和功能能夠正確執(zhí)行相關(guān)步驟；軟件單元間保持接口一致；簡單性；可讀性和易理解性；魯棒性；易于修改和可測試性。如下表給出了我們工具合乎規(guī)范的一些設(shè)計(jì)原那么。

辦法

ASIL

A

B

C

D

1a

子程序和辦法只有一個(gè)入口和出口

++

++

++

++

1b

沒有動(dòng)態(tài)對象和變量，也沒有在創(chuàng)立時(shí)的在線測試

+

++

++

++

1c

變量初始化

++

++

++

++

1d

變量名的屢次使用

+

++

++

++

1e

不使用全局變量

+

+

++

++

1f

盡量不適用指針

o

+

+

++

1g

沒有隱式的類型轉(zhuǎn)換

+

++

++

++

1h

沒有隱藏的數(shù)據(jù)流或者控制流

+

++

++

++

1i

沒有無條件跳轉(zhuǎn)

+

++

++

++

1j

沒有遞歸

+

+

++

++

由于Studio的最終目標(biāo)是生成平安可靠的代碼，包括軟件組件的內(nèi)部算法，軟件組件間相互通信代碼，ECU配置等代碼，因此也需要合乎規(guī)范中對于編碼的一些標(biāo)準(zhǔn)。

集成和測試階段

集成和測試階段是軟件開發(fā)的最后階段，它是正確高效運(yùn)行軟件的必要保證。集成是按照系統(tǒng)設(shè)計(jì)的要求將各個(gè)模塊組裝成子系統(tǒng)或者是系統(tǒng)，測試驗(yàn)證軟