如何使用Simulin金宝appk进行iso26262项目

致力于传统和自动驾驶汽车安全相关的嵌入式系统的汽车工程师们正在寻找有效的方法，以实现ISO 2626[1](乘用车开发的功能安全标准)所规定的严格流程。

随着所有媒体都关注自动驾驶汽车，也不乏建议。不过，这个建议往往侧重于最新的编码方法或bug消除工具。正如行业专家早就认识到的，安全更多的是关于正确的系统和它的需求，而不是关于软件和它是如何被编码的[2]。

以连续和离散时间仿真为主干，使用Simulink进行基于模型的设计金宝app^®在您前往试验场或执行车队测试之前，您可以在各种驾驶条件和故障情况下设计和测试整个系统。它还支持ISO 26262规定的过程活动，包括工具鉴定。IEC认证套件详细说明了这种支持，并提供了来自国际认证机构TÜV SÜD的工具证书和报告。金宝app

本文介绍了TÜV SÜD批准的将Simulink用于ISO 26262项目的工作流程。它介绍了ISO 26262和基于模型的金宝app设计，然后介绍了以下任务：

• 需求开发
• 设计建模
• 代码生成
• 设计验证
• 代码验证
• 工具资格

ISO 26262和基于模型的设计

ISO 26262包括手动设计和代码指南，以及基于模型的设计。它也承认使用基于模型的设计[3]的一些好处:

模型的无缝利用促进了高度一致和高效的开发。

该标准提到了数学建模的“广泛使用”，并指出建模工具在软件开发中采用了“半形式化图形方法”。它指出，建模不仅捕获要实现的功能（嵌入式软件），而且还能够模拟真实的物理系统（车辆模型和环境模型），以生成完整的系统模型：

通过这种方式，即使是高度复杂的汽车系统，也可以以可接受的计算速度进行高度详细的建模，以模拟接近现实的行为。当车辆/环境模型在开发过程中逐渐被真实系统及其真实环境所取代时，功能模型可以作为通过代码生成在控制单元上实现嵌入式软件的蓝图．[３]

图1显示了一个典型的Simulink闭环系统模型。金宝app它由控制器、设备和信号处理器组成。在ISO 26262中，系统设计规范是软件开发的一个输入，但它的作用远不止于此，因为安全从根本上说是一个系统问题[2]。

然后对系统设计进行详细阐述，直到它成为足够详细的软件蓝图，供您生成生产代码。ISO 26262将该模型精化过程描述为“模型演化”[2]：

在实践中，功能模型从早期的规范模型到设计模型再到实现模型，最后自动转换为代码(模型演进)。

ISO 26262推荐了基于汽车安全完整性等级（ASIL）的各种活动方法。您可以使用本指南根据您的用例建立适当的工作流。图2给出了ISO 26262过程的概述。实心箭头表示开发活动，而虚线箭头表示验证和确认活动。ISO 26262中提到的“模型演变”用椭圆（…）表示。

需求开发

您可以通过编写功能和安全需求来启动与安全相关的开发流程。ISO 26262建议您使用“软件架构设计和软件安全需求之间的双向跟踪”来验证软件架构设计。要实现这一点，您可以使用Simulink Requirem金宝appents™来编写和跟踪对模型、测试和代码的需求。金宝appSimulink Requirem金宝appents支持其他工具的双向跟踪，包括Microsoft^®单词^®，微软Excel^®，以及IBM^®合理的^®门^®．在Simulink requirements中监控和管理需求的实现和验证状态。金宝app需求链接可以出现在生成的代码中(图3)。

设计建模

正如在“ISO 26262和基于模型的设计”一节中所提到的，ISO 26262描述了功能模型从高级可执行规范到为生产代码生成做好准备的详细设计的演变过程。典型的修改和改进包括:

• 使用Simulink Control Design离散化工具将区块从连续时间(S域)转换为离散时间(Z域)金宝app
• 使用定点设计器将数据从双精度转换为单精度或定点™
• 使用Stateflow添加诊断、模式逻辑、状态机和调度^®

对于ASIL B到D，ISO 26262强烈建议使用建模指南，为此，您可以使用Simulink中提供的MAAB样式指南[4]和ISO 26262的高完整性指南。模拟链路检查™ 自动检查两个准则。它可以在编辑期间标记问题，例如插入不符合要求的块。您还可以包括自己的指导原则和检查。金宝app

代码生成

ISO 26262规定，“软件单元的实现包括源代码的生成和目标代码的转换。”要实现这一点，可以使用嵌入式编码器^®从你的Simulink模型中生成C、C++和AUSAR代码。代码可以符合MISRA C金宝app^®:2012自动代码指南[5]。ISO 26262指出，基于模型的设计和手工代码的代码指南可以不同，并列出了MISRA^®作为一个例子。

IEC Certification Kit为C、c++和AUTOSAR的嵌入式编码器(包括ASIL 金宝appA-D)提供工具资格认证支持。其TÜV SÜD认证报告指出:

嵌入式编码器满足ISO 26262关于工具支持和自动化的要求。金宝app

嵌入式编码器通常应用于以下三个用例之一:

1. 为用于生产代码生成的模型生成C代码
2. 为用于生成生产代码的模型的AUTOSAR应用程序软件组件生成C代码和描述文件
3. 为用于生产代码生成的模型生成c++代码

嵌入式编码器为优化代码的内存和速度提供了选项。此外，还可以利用SIMD等硬件加速器生成特定于处理器的优化^®的手臂^®和英特尔^®. 您可以使用ISO 26262中所述的模型到代码、处理器在环（PIL）测试，验证优化代码与规定公差内的模拟结果是否匹配。

可执行目标代码是使用编译器和连接器从生成的源代码生成的。IEC认证套件中的工作流允许编码器、编译器和处理器优化，这对大规模生产ecu至关重要，只要使用PIL测试来验证可执行的目标代码。

设计验证

ISO 26262推荐了一些静态和动态方法来验证软件设计和实现，包括单元和集成级别的活动。对于基于模型的设计，它声明“根据软件开发过程，测试对象可以是从这个模型或模型本身派生的代码。”

金宝appSimulink Test™为在Simulink中进行ISO 26262验证和验证活动提供了一个框架。您可以使用它为模型和从模型生成的代码编写、管理和执行基于模拟的系统测试。图4显示了一个示例测试序列和评估块。

IEC认证套件（ISO 26262）中的TÜV SÜD报告阐明了Simulink测试在自动化验证和确认中的作用：金宝app

[金宝appSimulink测试]允许Simulink模型和生成代码的核心验证和确认活动的自动化。根据功能安全标准ISO 26262，以下用例反映了软件开发过程中所需的活动：

• 开发和执行Simulink模型的测试金宝app
• 为模型和代码之间的背靠背测试开发和执行测试
• 测试结果的评估
• 生成测试报告
• 确定需求和测试用例之间的可跟踪性

ISO 26262建议进行结构覆盖分析，以确定测试的完整性和识别非预期的功能。它列出了三种增加严密性的方法，其中后两种强烈推荐用于ASIL-D。

• 语句覆盖
• 分支覆盖
• MC/DC覆盖范围

标准指出，对于基于模型的设计，“结构覆盖的分析可以在模型级别使用类似的模型结构覆盖度量来执行。”它接着说，如果结构性覆盖不足，“应规定额外的测试用例或提供基本原理。”

金宝appSimulink Coverage™为模型和生成的代码提供了结构化的覆盖，并且很容易使用Simulink test进行测试执行。如果您的模型覆盖率不足，您可以使用Simulink Design Verifier™自动生成额外的测试用金宝app例，以实现所需的覆盖率，包括MC/DC。金宝appSimulink Check还对模型进行重构以降低复杂性。它包括一个用于评估项目质量和满足ISO 26262要求的指标仪表板“实施软件组件和接口的低复杂性和有限大小”(图5)。

IEC认证套件为Simulink检查、Simulink覆盖（包括模型和代码覆盖）、Simulink设金宝app计验证和Simulink测试提供工具鉴定支持，以及TÜV SÜD证书和报告。金宝app

代码验证

ISO 26262提供了几个用于验证软件设计和实现的选项。IEC认证工具包中描述的一种方法允许有限的跟踪审查，以检测生成代码中的非预期功能，例如未跟踪到块或信号的代码。该套件为此自动生成跟踪矩阵。或者，您可以在软件在环（SIL）测试期间使用Simulink覆盖率比较模型覆盖率和代码覆盖率，也可以使用Simulink代码检查器™.金宝app

最后，您可以使用Polyspace Bug Finder™检查MISRA的遵从性。如果您的项目包含了生成软件和手工编码软件的混合，那么使用MISRA检查和代码覆盖率分析尤其有用。为了增加严谨性，您可以使用Polyspace Code Prover™来证明没有运行时错误，比如除以零。

IEC认证套件为Polyspace提供工具鉴定支持，以及TÜV SÜD证书和报告金宝app^®下载188bet金宝搏产品。

在编译和生成可执行代码之后，您可以使用PIL测试在目标处理器上执行的代码上重用模型测试(图6)。

ISO 26262强烈建议对ASIL C和D进行背靠背测试。它注意到在代表性目标硬件环境中进行测试的重要性，并强调需要了解测试环境和硬件环境之间的差异：

测试环境和目标环境之间的差异可能会在源代码或目标代码中出现，例如，由于处理器的数据字和地址字的位宽不同。

但是正如每个计算机科学家都应该知道的[6]一样，有许多不同平台之间潜在的数字差异的来源，特别是浮点数据。有些一开始是很小的，但逐渐积累和增长，尤其是在反馈控制系统中。因此，ISO 26262列出了用于背对背测试的各种循环方法:

软件单元测试可以在不同的环境中执行，例如:

-model-in-the-loop测试;
-software-in-the-loop测试;
-processor-in-the-loop测试;和
-hardware-in-the-loop测试。

金宝appSimulink测试自动化了在环测试，包括带有嵌入式编码器的SIL和PIL，以及带有Simulink实时的HIL™, 并使用Simulink coverage的覆盖率指标提供通过/失败报告。

工具资格

ISO 26262-8描述了其他过程，包括版本控制、配置管理和文档。这些流程分别由Simulink Proj金宝appects、Simulink金宝app模型差异和合并以及Simulink Report Generator™支持。

本标准还提供了工具鉴定指南。它不允许工具供应商鉴定他们自己的工具，但要求用户鉴定特定项目的工具。IEC认证工具包通过提供典型用例、参考工作流、工具分类分析、软件工具文档、工具鉴定报告和验证测试，有效地对工具进行资格预审。

TÜV SÜD审查和审核MathWorks工具开发和质量过程，以及缺陷报告能力，并在每次产品发布时验证结果。IEC认证套件包括这些TÜV SÜD证书和报告，这些证书和报告基于遵循适当验证和确认工作流程的需要。该工具包提供了基于典型工具用例的参考工作流，如本文中强调的那些。

该工具包提供了更详细的信息，包括ISO 26262目标到Simulink支持功能的映射（图7）。金宝app金宝app

2018年12月发布的ISO 26262第二版指出，Simulink和statflow适用于软件架构和软件单元设计符号，并作为自动代码生成金宝app的基础(图8)。

请注意，使用合格的工具不能确保所考虑的软件或系统的安全。