标签: ISO 26262

前言 近年来，随着汽车工业的快速发展，尤其是新能源汽车与智能汽车领域的崛起，汽车安全标准和认证要求日益严格，应用范围愈加广泛。 ISO 26262 和 ISO 21448 作为两个重要的汽车安全标准，它们在“系统安全”中扮演的角色各自不同，但又有一定交集。在智能网联汽车的高级辅助驾驶系统（ADAS）应用中，理解这两个标准的区别及其相互关系，对于保障车辆的安全性至关重要。 ISO 26262：汽车功能安全的基石 如图2.1所示，ISO 26262对“功能安全”的定义解释为：不存在由于电子/电气系统失效引起的危害，而产生不可接受的风险。 图2.1 “功能安全”的定义（此截图来自ISO 26262-1:2018） ISO 26262是为确保汽车功能安全而制定的标准，通过安全生命周期管理来确保系统在设计、生产、运行、服务和报废等各个阶段都符合安全要求。它为汽车电子系统的开发提供了系统性的方法，帮助制造商识别和管理潜在的安全风险，涵盖了系统、硬件(包括集成电路)、软件的设计、开发与验证过程中的安全要求。其核心目标是保证汽车电子/电气系统在故障发生时能够保持足够的安全性，防止因系统故障导致的危险。 ISO 26262将汽车系统的安全性划分为四个功能安全等级（ASIL：Automotive Safety Integrity Levels），从ASIL A（最低风险）到ASIL D（最高风险）。每个级别要求不同的安全措施和验证过程。标准的应用范围包括发动机控制系统、刹车系统、转向系统等传统汽车电子系统。 然而，随着自动驾驶技术的兴起和越来越多的汽车系统具备复杂的互动功能，ISO 26262的局限性也逐渐显现。例如，传统的功能安全标准往往忽视了系统行为的复杂性和不可预测性，尤其在涉及高级自动驾驶（ADAS）的智能网联汽车时，如何有效地评估和保障系统在实际道路环境中的安全性成为一个新的挑战。 ISO 21448：确保“预期功能”安全 如图3.1所示，ISO 21448对“预期功能安全”的定义解释为：不存在由于预期功能或功能不足时引起的危害，而导致不可接受的风险。 图3.1 “预期功能安全”的定义（此截图来自ISO 21448:2022） ISO 21448《道路车辆—预期功能安全》（SOTIF）是ISO 26262的补充标准，特别聚焦于自动驾驶系统（ADAS）和高度复杂的系统。在ISO 26262的基础上，ISO 21448增加了对“非故障”模式的关注，强调了系统行为的预期和不确定性问题，要求在系统设计时应更加全面考虑可能发生的意外的场景和触发事件。 如图3.2所示，ISO 21448将危害场景分为四个区域，分别是“area 1: 已知无危害”、“area 2: 已知有危害”、“area 3: 未知有危害”和“area 4: 未知无危害”。 图3.2 “预期功能安全”的定义（此截图来自ISO 21448:2022） ISO 21448的核心理念是将可能触发意外的area 2场景进行控制，并将未知的危险场景area 3降低至可接受水平。 ISO 21448特别强调以下几个方面： 非故障行为的安全性 ：与传统ISO 26262关注硬件和软件的故障模式不同，ISO 21448关注系统在非故障情况下的行为和导致非故障行为改变的触发条件。例如，在自动驾驶系统中，车辆可能遇到不可预见的道路条件或传感器识别错误，ISO 21448要求设计团队不仅考虑系统在故障时的应对措施，还要考虑在系统没有故障但环境变化时的行为。 自动驾驶系统的验证 ：自动驾驶系统的复杂性要求更加全面的验证方案，ISO 21448规定了对系统在真实或仿真环境中的行为进行更严格的验证。这包括不同道路、天气、交通状况等场景的测试，确保系统能够在复杂的外部条件下保持安全。 感知系统的安全性 ：ISO 21448进一步要求在自动驾驶系统的设计中，必须考虑到感知系统（如摄像头、雷达、激光雷达等）的安全性。这些传感器需要具有足够的鲁棒性，以应对环境光、天气变化和传感器性能受限等因素的影响。 决策与控制算法的安全性 ：在自动驾驶系统中，决策与控制算法的正确性对安全至关重要。ISO 21448提出，除了硬件冗余之外，软件算法必须经过严格的验证，确保其在各种驾驶场景下都能做出安全的决策。 如图3.3所示，在某些区域，用具有三维视错幻象的人行横道来提醒驾驶员。在道路上绘制图像的目的是欺骗人类的感知，但也可能欺骗视觉系统，使其探测到不存在的物体，从而导致错误的制动。在这种情况下，基于光流的分析机制可防止错误制动。光流分析和基于雷达的环境识别作为相互替代的应对措施，以应对由视觉分类局限而导致的此类情况。 图3.3 可能欺骗视觉系统的错觉图例子（此截图来自ISO 21448:2022） ISO 26262与ISO 21448的协同作用 ISO 26262和ISO 21448虽然是两个独立的标准，但它们之间是互为补充、协同作用的关系。ISO 26262主要侧重于系统硬件和软件的功能安全，关注如何通过设计、冗余、检测等手段降低系统故障带来的风险。而ISO 21448则聚焦于功能的“预期安全”，即系统在没有明显故障的情况下，如何在复杂和不可预见的环境中保持安全。 图4.1 ISO 26262和ISO 21448协同 如图4.1所示，结合上述两种安全理念的应用，可以让安全开发活动更完整，更全面地确保智能网联汽车安全相关系统的安全性，尤其是高级辅助/自动驾驶系统。 从系统设计的初期阶段开始，制造商需要在ISO 26262的框架下进行详细的功能安全分析，并在此基础上应用ISO 21448来考虑系统的实际行为和环境适应性，确保车辆在高度自动化的驾驶场景下依然具备足够的安全保障。 未来展望 随着汽车技术的不断进步，特别是自动驾驶和电动化技术的快速发展，ISO 26262和ISO 21448的标准也在不断发展和完善。在未来，这些标准可能会更加注重以下几个方面： 多领域安全融合 ：自动驾驶不仅仅依赖于车辆内部的电子系统，还涉及到车与车、车与基础设施之间的通信（V2X），以及环境感知和决策。ISO 26262和ISO 21448可能会进一步扩展到这些领域，制定更加综合的安全框架。 增强的仿真与测试要求 ：随着自动驾驶系统的复杂性增加，标准可能会要求更多的仿真和场景测试，特别是对极限情景的验证，以确保系统在真实世界中的安全性。 人工智能与机器学习的安全 ：AI和机器学习算法在自动驾驶系统中的应用日益增多，如何验证这些算法的安全性，尤其是算法的可解释性和透明度，将成为未来标准的重要议题。 结论 ISO 26262和ISO 21448作为汽车行业功能安全的两个重要标准，共同构成了确保汽车电子系统安全性的框架。 ISO 26262专注于故障安全，而ISO 21448则进一步拓展了对复杂驾驶环境下系统行为的安全要求。 随着自动驾驶技术的不断发展，这些标准的拓展将有助于构建更加安全、可靠的未来汽车系统。制造商需要积极适应这些新兴标准，持续改进汽车设计和验证流程，以满足日益严格的安全要求。 广电计量功能安全服务能力 广电计量在汽车、铁路系统产品检测方面拥有丰富的技术经验和成功案例，能为主机厂、零部件供应商、芯片设计企业提供 整机、零部件、半导体、原材料 等全面的检测、认证服务，保障产品的可靠性、可用性、可维护性和安全性。 广电计量拥有技术领先的功能安全团队，专注于功能安全（包括工业、轨道、汽车、集成电路等领域）、信息安全和预期功能安全领域的专家，具有丰富的集成电路、零部件和整机功能安全实施经验，可根据相应行业的安全标准为不同行业的客户提供培训、检测、审核和认证一站式服务。 广电计量半导体服务优势 工业和信息化部“面向集成电路、芯片产业的公共服务平台”。 工业和信息化部“面向制造业的传感器等关键元器件创新成果产业化公共服务平台”。 国家发展和改革委员会“导航产品板级组件质量检测公共服务平台”。 广东省工业和信息化厅“汽车芯片检测公共服务平台”。 江苏省发展和改革委员会“第三代半导体器件性能测试与材料分析工程研究中心”。 上海市科学技术委员会“大规模集成电路分析测试平台”。 在集成电路及SiC领域是技术能力最全面、知名度最高的第三方检测机构之一，已完成MCU、AI芯片、安全芯片等上百个型号的芯片验证，并支持完成多款型号芯片的工程化和量产。 在车规领域拥有AEC-Q及AQG324全套服务能力，获得了近50家车厂的认可，出具近400份AEC-Q及AQG324报告，助力100多款车规元器件量产。 在卫星互联网领域，获委任为空间环境地面模拟装置用户委员会委员单位，建设了行业领先的射频高精度集成电路检测能力，致力成为北斗导航芯片工程化量产测试的领航者。

随着汽车功能的不断升级，汽车电气和电子系统相关的安全问题也越来越受到关注。为此，国际标准化组织（ISO）制定了ISO 26262标准，旨在为汽车电气和电子系统提供统一的安全标准，确保汽车行驶中的安全性和可靠性。为了满足日益增长的市场需求，各汽车制造商、零部件商都在加快推进标准的实施，并需要大量对标准理解深入并能在产品开发中实现标准要求的高技能人才。 为此，《ISO 26262功能安全工程师资质认证培训》应运而生。该培训旨在为企业培养具有满足ISO26262要求的系统开发能力的高级工程技术人才，并能够获取国际认可的资质证书。学员通过课程学习并通过考试后，由TUV颁发汽车功能安全个人资质证书。 滕老师是本次培训的授课专家。他拥有自动化专业硕士学位，毕业于德国达姆施塔特工业大学，并曾在多家知名汽车企业担任功能安全负责人。滕老师深耕不辍，已在汽车功能安全领域深耕十年之久。针对智能驾驶辅助、自动驾驶和V2X等领域，滕老师具有丰富的实战经验，专业背景涵盖了功能系统开发、功能安全、预期安全、信息安全等多个方面。 在本次汽车功能安全工程师培训中，学员将有机会深入了解功能安全的基本原理、概念以及管理目标。同时，还将掌握ISO 26262所要求的方法和工具，以及产品和过程监控的方法。经过本次培训并通过考试后，学员将具备“功能安全工程师”的资质，能够更加有效地运用自身专业知识解决实际问题。 该培训课程内容丰富，涵盖多个方面。首先，学员将了解到汽车电子系统的相关知识，包括汽车电子系统的分类、结构和功能等。其次，学员将了解到安全概念、相关标准和法规，并了解ISO 26262标准的基本框架和组织机构。此外，学员还将学习到安全项目管理、安全规划和生命周期管理等方面的内容。 为了加深学员的理解和实际操作能力，本次课程还设置了相关实验和案例，以帮助学员更好地理解课程内容。通过理论结合实践，学员将更加深入地了解安全工程和ISO 26262标准的实施方法。 总之，本次ISO 26262功能安全工程师资质认证培训是一次集理论与实践于一体的高水平培训课程，旨在为汽车行业培养高端汽车安全专业人才，满足市场需求。通过该培训，学员将掌握实用的技能和知识，能够更好地应对汽车电气和电子系统的安全问题，为汽车行业的安全发展做出重要贡献。

前言 随着汽车日益互联化、智能化和电动化，硬件组件的抽象化，软件功能变得愈发复杂——汽车正在从基于硬件的创新转向基于软件的创新，并且软件安全和质量越来越受到制造商和消费者的关注，而传统的工具和流程可能无法满足汽车发展与应用的实际需求。为了解决这些安全和质量方面的问题，汽车工业已经采用了ASPICE标准和ISO 26262标准，它们为电气和电子系统的开发提供了最佳的实践。 单元测试是软件测试阶段最基本的测试，它能够消除深度未知隐患。它反馈更快，更省时间。此外，ASPICE过程及ISO26262安全规范同样对单元测试提出了相关要求。 软件详细设计文档为单元测试提供了基础的输入参照。从ASPICE角度来说，没有详细设计文档是无法进行单元验证或测试的。这表明，详细设计文档指导着单元测试过程的所有活动。同时，使用像VectorCAST/C++这样的专业工具，高效进行功能测试的同时，保证了代码的覆盖度，符合ASPICE和ISO26262行业规范要求。 1、WHY：（软件详细设计文档与单元测试的基本关系） 1.1从V模型角度 图 1ISO 26262里面的V模型 V模型是在快速应用开发（Rapid Application Development，RAD）模型基础上演变而来，其特点就是它清楚的标识了开发和测试的各个阶段以及他们之间的对应关系；左边部分是软件开发阶段，右边部分是软件测试阶段。从上图中我们可以看出，软件详细设计文档对应着软件单元测试，所以要想做好单元测试，就必须有软件详细设计文档作为输入，同时要求测试工程师对软件详细设计文档有着深刻的理解。 软件详细设计文档应在编写代码之前完成，软件代码是对软件详细设计文档的具体实现，软件单元测试则是以软件详细设计为参照，判断软件代码是否符合软件详细设计文档的工作。 1.2软件详细设计文档是测试输入的基础参照之一 图 2软件详细设计文档是测试输入的基础参照之一 VectorCAST/C++可以为单元测试和集成测试提供高度自动化的解决方案，能够显著提升开发人员在验证安全和任务关键型嵌入式系统方面的工作效率。广泛应用于航空电子、医疗设备、汽车、工业控制、铁路和金融行业。 如上图所示，将详细设计文档和单元需求文档结合起来，会大大的提高编写测试用例效率。特别是对于那些颗粒度较大的“单元需求文档”，需要结合软件详细设计文档，从颗粒度较大的需求提取出有效的部分来进行功能测试。 软件详细设计文档与单元需求文档相辅相成，所以软件详细设计文档在单元测试中有着十分重要的作用。 然后，通过相应的源代码使用VectorCAST/C++工具创建测试工程，接着通过VectorCAST/C++工具为需求测试自定义编写测试用例，同时将需求映射到测试用例，形成测试用例与单元测试需求、测试用例与代码覆盖度之间的双向可追溯性，并且可以在最后的测试报告中体现出来。 1.3快速理解功能需求，降低沟通成本 如果负责该项测试测试的人员对项目内容了解很有限的话，这就免不了与开发人员进行频繁的沟通。即使是一个公司内部进行测试，只要不是开发人员来进行测试，一般也避免不了与开发人员进行沟通，但是如果有了软件详细设计文档，测试人员可以快速了解开发内容，理解功能需求，降低与开发人员沟通时间与次数，而且能够较完整的完成其单元测试。 图 3有无软件详细设计文档对测试周期和沟通次数的影响示意图 2、WHAT：（什么是软件详细设计文档） 2.1详细设计基本概念 详细设计是为了确立每个模块的实现算法、数据结构以及接口定义，用适当的方法表示算法和数据结构的细节。 它通过一些设计描述工具，无歧义的描述过程单位的相关细节。详细设计产生的主要文件就是软件详细设计文档。 此外，软件详细设计文档一般来源于软件架构设计的进一步分析。在软件架构设计活动中，设计了软件组件和组件间接口。 软件详细设计则是对软件组件的进一步分解和设计，一般包含三个方面：软件单元，软件单元的内部逻辑和软件单元间的交互逻辑。 图 4软件详细文设计文档包含的内容 2.2详细设计文档基本内容 由于自然语言不具有单义性，所以要进行无歧义的描述软件过程单元细节，就必须使用一些特定的设计描述方法。详细设计采用的方法一般有程序流程图、HIPO（Hierarchy plus Input Process Output）图、N-S图等，还有其他描述说明形式（如图5）。使用这些方法就是来规范和辅助说明算法、数据结构和接口相关细节的。 这些细节涵盖了数据结构定义，全局变量和宏定义描述，动态行为描述（比如任务，中断和需求方案分析等），每个函数的设计（比如输入、输出、流程图、伪代码等）等。 图 5软件详细设计文档包含了GetStopSigLevel函数的定义 3、HOW：（软件详细设计文档在VectorCAST/C++工具中的应用） 3.1为测试用例的数据提供依据 图 6单元需求文档csv文件 Key：FR6 ID：FR6 Module：requirement3 Title Description："The signal light_intensity shall be an input to lights control. Its value shall range from 0 to 100." 图 7需求文档csv文件中的某条需求 如上图标黄区域，说明了“light_intensity”变量变化范围是0~100。所以根据这条详细设计文档说明，就可以正确编写测试用例，并保证了测试用例数据是有实际意义的，避免像“light_intensity=120”等这样无意义的赋值 。 图 8具有意义的测试用例并通过 图 9无意义的测试用例并失败 3.2VectorCAST/C++工具RGW功能 图 10通过工具实现软件单元需求与测试用例关联 VectorCAST/C++提供一个RGW（Requirements Gateway）功能。VectorCAST/C++支持与一些需求管理系统Polarion、DOORS、RequisitePro等进行集成，同时支持需求管理系统导出的CSV等格式文件。 对于经过软件详细设计文档印证的需求文档，我们可以按照这些结构文件编写，使需求文档契合VectorCAST/C++工具，使用该功能。可以实现软件单元需求、测试用例和代码覆盖率之间的可追溯性，并允许将单元需求导入，映射到测试用例。 这样可以帮助测试人员，当需求发生更新或迭代时，能够快速更新测试用例或编写测试用例，提高工作效率。 所以软件详细设计文档，在很大程度上为项目团队提升了测试效率、提升工作的自动化率。 3.3批量生成测试用例 对于那些详细设计文档里的某些函数，若具有一般数学表达式的功能的函数且我们可以事先确定好它的输入与输出的，可以通过VectorCAST/C++工具提供的CSV Mapping功能来批量构建测试用例。 图 11包含测试所需数据的CSV文件 首先我们根据函数关系确定好一系列的输入值和期望值形成CSV文件，然后将CSV文件加载到工具中，接着确定好数据列与测试用例模板里变量的对应关系，最后选择创建测试用例。 通过上面操作我们就会快速生成一系列的测试用例。 图 12对应测试用例模板变量与CSV文件列的关系并生成测试用例 总结 众所周知，进行单元测试不仅可以尽早地发现错误，还容易发现深层次问题，并能快速定位问题的来源，针对相关需求，向开发人员进行反馈，小步快速迭代，高效的实现正确的需求和代码。而详细设计文档不仅为开发提供了标准，也为后续的测试提供了参考。通过VectorCAST/C++联系实际问题，能快速的完成动态单元测试。 北汇信息专注于汽车电子测试，提供专业的汽车电子测试系统搭建及测试咨询服务；提供完整的汽车新能源测试服务。当然在代码测试方面，我们也有完整的代码测试解决方案。 VectorCAST/C++作为Vector公司的代码动态测试工具，既可以用于手写代码，也可以用于自动生成代码的测试，如模型转代码的测试。 本次为大家简单介绍了软件详细设计文档在单元测试过程的一些简单应用。后续将会为大家带来更多基于VectorCAST／C++的动态测试相关内容。 注：文中图片来源于ISO 26262、VectorCAST/C++（Vector）。 参考文献 VectorCAST/C++相关文档 仨人谈起·基于模型开发(MBD)场合，模型设计可以等同于软件详细设计吗？