如何在ISO 2626金宝app2项目中使用Simulink

从事传统和自动驾驶车辆安全相关嵌入式系统的汽车工程师正在寻找有效的方法，以实现ISO 26262[1]规定的过程严格性，ISO 26262[1]是用于乘用车开发的功能安全标准。

随着媒体对自动驾驶汽车的关注，也不乏建议。不过，这些建议往往侧重于最新的编码方法或bug消除工具。正如行业专家长期以来所认识到的，安全更多的是让系统及其要求正确，而不是软件及其编码方式[2]。

以连续和离散时间仿真为主干，使用Simulink进行基于模型的设计金宝app^®在转到证明场所或执行舰队测试之前，我们可以在很多驾驶条件和故障方案下设计和测试您的完整系统。它还支持ISO 金宝app26262指定的进程活动，包括刀具资格。IEC认证套件详细介绍了此支持，并提供国际证书颁发机构TÜVSüd的工金宝app具证书和报告。

本文介绍了TÜV SÜD批准的将Simulink用于ISO 26262项目的工作流程。它介绍了ISO 26262和基于模型的金宝app设计，然后介绍了以下任务：

• 需求开发
• 设计建模
• 代码生成
• 设计验证
• 代码验证
• 工具鉴定

ISO 26262和基于模型的设计

ISO 26262包括手动设计和代码指南，以及基于模型的设计指南。它还承认使用基于模型的设计的一些好处[3]：

模型的无缝利用有助于高度一致和有效的发展。

该标准提到了数学建模的“广泛使用”，并指出建模工具在软件开发中采用了“半形式化图形方法”。它指出，建模不仅捕获要实现的功能（嵌入式软件），而且还能够模拟真实的物理系统（车辆模型和环境模型），以生成完整的系统模型：

通过这种方式，即使是高度复杂的汽车系统，也可以以可接受的计算速度进行高度详细的建模，以模拟接近现实的行为。当车辆/环境模型在开发过程中逐渐被真实系统及其真实环境所取代时，功能模型可以作为通过代码生成在控制单元上实现嵌入式软件的蓝图. [3]

图1显示了一个典型的Simulink闭环系统模型。金宝app它由控制器和设备以及信号处理器组成。在ISO 26262中，系统设计规范是软件开发的输入，但它远不止于此，因为安全从根本上来说是一个系统问题[2]。

然后，您的系统设计将详细阐述，直到它成为生成生产代码的充分细节的软件蓝图。ISO 26262将此模型精选过程描述为“模型演进”[2]：

在实践中，[存在]功能模型从早期规范模型到设计模型再到实现模型的演变，最后自动转换为代码（模型演变）。

ISO 26262建议基于汽车安全完整性水平（ASILS）的各种活动的方法。您使用此指南根据您的用例，建立适当的工作流程。图2给出了ISO 26262过程的概述。固体箭头显示开发活动，而虚线箭头表示验证和验证活动。ISO 26262中提到的“模型演进”显示为具有椭圆（...）。

需求开发

您可以通过编写功能和安全需求来启动安全相关的开发过程。ISO 26262建议您使用“软件体系结构设计和软件安全要求之间的双向可追溯性”来验证软件体系结构设计。为此，您可以使用Simulink要求™ 编写并跟踪模型、测试和代码的需求。Simulink需求支持其他工具（包括Microsoft）的双向跟踪金宝app金宝app^®单词^®，微软Excel.^®，以及IBM^®合理的^®门^®。需求的实现和验证状态在Simulink需求中进行监控和管理。生成的代码中可以显示需求链接（图3）。金宝app

设计建模

如“ISO 26262和基于模型的设计”一节所述，ISO 26262描述了功能模型从高级可执行规范到准备生产代码生成的详细设计的演变。典型的修改和改进包括：

• 使用Simulink控制设计将块从连续时间（S域）转换为离散时间（Z域）™ 离散化工具金宝app
• 使用固定点设计器™将数据从双精度转换为单精度或固定点
• 添加诊断，模式逻辑，状态机和使用状态流调度^®

对于ASIL B到D，ISO 26262强烈建议使用建模指南，为此，您可以使用Simulink中提供的MAAB样式指南[4]和ISO 26262的高完整性指南。模拟链路检查™ 自动检查两个准则。它可以在编辑期间标记问题，例如插入不符合要求的块。您还可以包括自己的指导原则和检查。金宝app

代码生成

ISO 26262规定，“软件单元的实现包括源代码的生成和目标代码的转换。”要实现这一点，可以使用嵌入式编码器^®从你的Simulink模型中生成C、C++和AUSAR代码。代码可以符合MISRA C金宝app^®：2012自动代码指南[5]。ISO 26262指出，基于模型的设计和手工代码的代码指南可能不同，并列出了MISRA^®举个例子。

IEC认证工具包为嵌入式编码器（包括ASIL A- D）提供了C、C++和AutoSar的工具资格支金宝app持。其TÜV SÜD认证报告指出：

嵌入式编码器满足ISO 26262关于工具支持和自动化的要求。金宝app

嵌入式编码器通常应用于以下三种使用情形之一：

1. 为用于生成生产代码的模型生成C代码
2. 为用于生成生产代码的模型的AUTOSAR应用程序软件组件生成C代码和描述文件
3. 生成代码生成模型的C++代码生成

嵌入式编码器提供了优化内存和速度代码的选项。此外，还可以生成特定于处理器的优化，以利用硬件加速器（如SIMD）^®手臂^®和英特尔^®。您可以使用模型 - 代码处理器in-Loop（PIL）测试，验证优化代码是否与规定的公差内的仿真结果匹配，如ISO 26262中所述。

可执行目标代码是使用编译器和链接器从生成的源代码生成的。IEC认证套件中的工作流程允许对编码器、编译器和处理器进行优化，这对于大规模生产ECU至关重要，只要使用PIL测试来验证可执行目标代码即可。

设计验证

ISO 26262推荐了许多静态和动态方法来验证软件设计和实现，包括单元级和集成级活动。对于基于模型的设计，它指出“根据软件开发过程，测试对象可以是从该模型或模型本身派生的代码。”

金宝app模拟试验™ 为Simulink中的ISO 26262验证和确认活动提供了一个框架。您可以使用它为模型和模型生成的代码编写、管理和执行系统的、基于模拟的测试。图4显示了一个示例测试序列和评估块。

IEC认证套件（对于ISO 26262）中的TÜV南部申请阐明了Simulink测试在自动化验证和验证方面的作用：金宝app

[金宝appSimulink Test]允许为Simulink模型和生成的代码自动化核心验证和验证活动。以下用例反映了根据功能安全标准ISO 26262的软件开发过程所需的活动：

• Simulink模型测试的开发和执行金宝app
• 为模型和代码之间的背靠背测试开发和执行测试
• 测试结果的评估
• 测试报告的生成
• 需求和测试用例之间可追溯性的标识

ISO 26262建议进行结构覆盖率分析，以确定测试的完整性并识别非预期功能。它列出了三种提高严格性的方法，最后两种是ASIL-D的强烈推荐方法。

• 报表覆盖范围
• 分支机构覆盖率
• MC / DC覆盖范围

该标准指出，对于基于模型的设计，“可以使用模型的类似结构覆盖率指标在模型级别执行结构覆盖率分析。”它接着指出，如果结构覆盖率不够，“应规定额外的测试用例或提供基本原理。”

金宝app模拟链路覆盖™ 为模型和生成的代码提供结构覆盖，并通过Simulink测试轻松启用测试执行。如果模型覆盖率不足，可以使用Simulink Design Verifier™ 自动生成额外的测试用例以实现所需的覆盖率，包括MC/DC。Simulink Check还重构模型以降低复杂性。它包括一个用于评估项目质量和满足ISO 26262要求的度量仪表板“强制执行低复杂性和限制软件组件和接口的大小”（图5）。

IEC认证试剂盒提供刀具资格支持，具有TÜV南德所证书和报告，用于Simulink Check，Si金宝appmulink Coverage（包括模型和代码覆盖），Simulink设计验证程序和Simulink测试金宝app。

编码确认

ISO 26262提供了几个用于验证软件设计和实现的选项。IEC认证工具包中描述的一种方法允许有限的跟踪审查，以检测生成代码中的非预期功能，例如未跟踪到块或信号的代码。该套件为此自动生成跟踪矩阵。或者，您可以在软件在环（SIL）测试期间使用Simulink覆盖率比较模型覆盖率和代码覆盖率，也可以使用Simulink代码检查器™.金宝app

最后，您可以使用Polyspace Bug Finder检查MISRA的合规性™. 如果您的项目包含生成的和手工编码的软件，那么使用MISRA检查和代码覆盖率分析尤其有用。为了更加严格，您可以使用Polyspace代码验证程序™ 证明不存在运行时错误，如除以零。

IEC认证套件为PolySpace提供了TÜV南德所证书和报告的工具资格支持金宝app^®下载188bet金宝搏产品。

编译和生成可执行代码后，您可以使用PIL测试在目标处理器上执行的代码上重用模型测试（图6）。

ISO 26262强烈建议对ASIL C和D进行背靠背测试。它注意到在代表性目标硬件环境中进行测试的重要性，并强调需要了解测试环境和硬件环境之间的差异：

测试环境和目标环境之间的差异可能出现在源代码或目标代码中，例如，由于处理器的数据字和地址字的不同比特宽度。

但是，正如每一位计算机科学家都应该知道的那样[6]，平台之间的潜在数字差异有很多来源，尤其是浮点数据。有些来源开始时很小，但会积累和增长，特别是在反馈控制系统中。因此，ISO 26262列出了各种用于背对背测试的循环内方法：

软件单元测试可以在不同的环境中执行，例如：

-模型在环试验；
-软件在环测试；
-处理器在环测试；以及
-硬件在环测试。

金宝appSimulink测试自动化在循环测试中，包括SIL和PIL带有Simulink Real-Time™的嵌入式编码器和HIL，并提供来自Simulink Ruckage的覆盖度量的通行证/失败报告。

工具鉴定

ISO 26262-8描述了其他过程，包括版本控制、配置管理和文档。Simulink项目、Simulink模型差异和合并以及Simulink报告生成器支持这些过程™, 分别地金宝app金宝app

本标准还提供了工具鉴定指南。它不允许工具供应商鉴定他们自己的工具，但要求用户鉴定特定项目的工具。IEC认证工具包通过提供典型用例、参考工作流、工具分类分析、软件工具文档、工具鉴定报告和验证测试，有效地对工具进行资格预审。

TÜVSÜD的审计和审核Mathworks工具开发和质量流程以及错误报告功能，并在每个产品版本上证明结果。IEC认证试剂盒包括这些TÜV南南德书证书和报告，这些证书和报告都是需要遵循适当的验证和验证工作流程的必要性。该套件根据典型的工具用例提供参考工作流，例如本文突出显示的刀具。

该套件提供了更详细的信息，包括ISO 26262目标的映射到Simulink支持能力（图7）。金宝app金宝app

2018年12月发布的ISO 26262第二版指出，Simulink和Stateflow适用于软件体系结构和软件单元设计符号，并作为自动代金宝app码生成的基础（图8）。

请注意，使用合格的工具并不能确保所考虑的软件或系统的安全性。