标签: 功能安全

全球领先的硅知识产权（IP）提供商Imagination Technologies（以下简称“Imagination”）宣布：其最新专注汽车领域的 Imagination DXS GPU IP 已通过 SGS-TÜV Saar（SGS旗下，世界领先的测试、检验和认证机构）的全面审核与评估，正式获得 ISO 26262 标准的 ASIL-B 级别认证。 根据ISO 26262 汽车安全完整性等级（ASIL），所有车辆执行的功能都根据潜在风险进行分级。ASIL-B 标准要求处理器对单点故障的诊断覆盖率超过 90%。 Imagination DXS GPU 在分布式功能安全领域引入了一项创新，该创新消除了满足ASIL-B 功能安全标准所需的PPA（功耗、性能、面积）开销。它采用已获得专利的机制，即利用当今处理器固有的并行性，以及任何线程都不会被完全利用的事实，在不重复工作负载或增加硅片面积的情况下，按照ASIL-B 标准设定的时间范围内识别故障。更多详细技术细节可查看白皮书——《分布式功能安全的创新与突破》。 “Imagination的GPU在汽车市场得到了广泛应用，并正在将其业务范围从车载信息娱乐扩展到更为关键的安全领域——高级驾驶辅助系统，”Imagination的首席产品官James Chapman表示。 “独立认证表明Imagination DXS GPU满足了ISO 26262 ASIL-B组件所期望的超过90%的诊断覆盖率，这为安全关键系统的集成商提供了必要的信心，证明Imagination创新的分布式安全技术能够满足他们的需求。我们预计该产品不仅在汽车领域会有很高的需求，还将在其他注重安全的市场中获得广泛应用。” “祝贺Imagination Technologies为其最新的汽车处理器获得ASIL-B认证。在整个评审过程中，Imagination展现了其重视安全的文化，以及适当严格的产品设计和开发流程，”SGS-TÜV Saar的功能安全产品经理Liu Min表示。 获得认证的具体产品型号是IMG DXS-8-256 GPU。Imagination计划在未来几个月内提交所有Imagination DXS GPU配置进行独立认证。

一、ISO26262-MBD-静态验证的迷惑 模型的开发方法（Model-Based Design，MBD）在汽车行业嵌入式软件开发中扮演着重要的角色，功能安全ISO26262要求对我们搭建的模型进行规范检查。合规检查我们可以借助第三方工具来实现静态检查，而模型设计V左过程自动合规、如何快速合规，是我们需要持续改进实施过程、实施手段的重要的部分。 这个过程中，你是否遇到的这样的迷惑？ ① 规范检查工具支持规范检查，但选择哪些规范能够满足不同ASIL等级的标准要求，是否能有个规则清单？ ② 设计工具自带的library就不合规，导致静态规范检查不通过，如何解决设计工具天生的缺陷？静态规范检查不通过，逐条修改很费时。 ③ 设计工具configration选项非常多，哪些有规范约束要求，是否能提前配置好？静态规范检查不通过，逐条修改也很费时。 ④ 设计工具建模风格不统一、信号命名等到建模规范检查再考虑，迭代修改费时不情愿；全部提前在设计阶段约束，使用门槛又很高，让项目推进困难。是否有合适的推荐，来解决设计阶段快速合规的要求推荐？ 二、ISO26262-MBD-静态验证的解密 静态模型规范规则集—ISO26262映射清单 模型的静态检查，参考规范如行业应用较多的MAB/HIS/CG/MISRA规则集合，可以达到ISO26262认证要求。用户结合产品经验、ISO26262要求、规范理解、认证经验，形成《静态模型规范规则集—ISO26262映射清单》。 该清单需要考虑ISO26262软件阶段有Table如下： 需要梳理所有的规范条目，理解Table的内容，与Table建立映射关系，最终形成ASILA/B/C/D不同的规则集。 ISO26262-Table内容理解 规范条目与ISO26262-Table映射关系梳理 ASILA/B/C/D不同的规则集（规则-table映射后） 合规的library/confiration/设计模板需固定 模型的规范约束，需要在设计之初就定义好规则。上一主题产品ASIL等级确定，规则集就定好了，针对这个规则集的library/confiration/设计模板可以固化（如通过APP来固化），可以通过一键刷新让工程师特别“香”地设计模型。例如： 一键刷新configration让模型合规 一键刷新configration/library/建模模板 变被动为主动，由繁到简 当然，在设计前，还可以预选一些规范，让工程师的大脑了解到哪些可以主动快速遵守，代替被动约束。这部分重点在于，基于经验筛选出接口类、子系统划分交互类的关键规范，主动合规，既不会导致规范约束太重，又提前避免静态检查不合规再修改，导致“动了设计的筋骨”“改得面目全非”。 梳理总结 建模规范总体而言，通过第三方规范检查工具，在最后一环约束模型行为的同时，可以提前从几个方面提前约束设计行为： ① 规范集合（不同ASIL等级）和ISO26262的Mapping关系表 ② 通过工具合规的library/confiration/设计模板需要固定 ③ 关键规范先行，设计之初做好约束 此外，规范检查工具无法检查项，可以形成规范检查表单继续人工评审。 基于功能安全的恒润建模规范自动检查方案 整体来看，根据行业规范集合、ISO26262要求及专家经验等定制建模规范，并形成规范指南和映射清单；根据规范要求将模型配置参数和建模库等形成刷新工具，用于辅助用户在开发过程中遵守规范；根据能否自动检查分成工具检查和人工检查两部分，通过检查结果来回归模型开发，最终输出规范检查报告。经纬恒润有多项目的开发实践、认证实践，经验丰富，同时搭建精致实用的APP来快速符合规范要求，大大节省工程师重复劳动、理解规范的时间成本。 如需获取规范包、规范方案指导及更多信息，请在 经纬恒润 官网观看8月8日在线研讨会《如何快速开发量产级别功能安全应用软件》和相关主题《智能汽车域控中间件功能安全方案设计及应用》研讨会回放。 了解更多 请致电 010-64840808转6117或发邮件至market_dept@hirain.com（联系时请说明来自面包房社区）

中国上海 ， 2024 年 7 月 11 日 — 全球领先的嵌入式系统开发软件解决方案供应商IAR与全场景智能车芯引领者芯驰科技宣布进一步扩大合作，最新版IAR Embedded Workbench for Arm已全面支持芯驰科技的E3119/E3118车规级MCU产品。IAR与芯驰科技有着悠久的合作历史，此次双方在车规功能安全领域强强联合，将为行业带来更高效、更安全的解决方案。 芯驰科技的产品和解决方案覆盖智能座舱和智能车控领域，支持车企电子电气架构的不断迭代升级。芯驰科技不断完善其E3系列高性能MCU产品的布局，于今年3月发布了车规MCU新产品E3119/E3118。该产品采用ARM Cortex R5F CPU，最多配置两个独立的400MHz高性能应用内核，信息安全内核主频最高可达200MHz，重点面向车身域控制器、区域控制器、激光雷达系统、前视一体机和电池管理系统等应用场景。 E3119/E3118满足大多数车身和智能驾驶应用的需求。该产品符合Full EVITA信息安全等级，并支持符合ISO 21434标准的信息安全固件，在功能安全层面可以支持到ISO 26262 ASIL-B。芯驰将提供功能安全软件库、FMEDA以及各类功能安全文档，并为产品完成ASIL-B级别产品功能安全认证。 在日益复杂的汽车电子系统中，IAR的嵌入式开发解决方案对于保证安全性和可靠性至关重要。IAR Embedded Workbench for Arm是一个全面的嵌入式开发解决方案，为复杂的汽车应用开发提供了强大支持。它包含高度优化的编译器和构建工具，代码分析工具C-STAT和C-RUN，以及强大的调试器。同时，IAR还提供了功能强大的I-jet仿真器，支持SMP和AMP多核调试。针对具有功能安全要求的应用，IAR提供了经过TÜV SÜD认证的功能安全版本，符合ISO 26262、IEC 61508等全标准。使用这些经过认证的工具，可以帮助企业加速功能安全产品的开发和认证，提高产品安全性，满足行业要求，提升市场竞争力。对于采用持续集成(CI)工作流程的团队，IAR还提供支持Linux的Build Tools版本。这一整套工具可显著提高开发效率，优化开发流程，降低成本和风险。 芯驰科技首席技术官孙鸣乐表示：“IAR工具链满足行业对高性能和高可靠开发工具的需求，双方多年来的紧密合作充分赋能芯驰全系列车规芯片产品更好的落地应用。最新版IAR Embedded Workbench for Arm对E3119/E3118车规MCU产品的全面支持将助力芯驰为客户带来更强大、更具市场竞争力的产品和解决方案。” IAR亚太区副总裁Kiyo Uemura表示：“IAR与芯驰科技的合作始于芯驰成立之初，多年来我们共同见证并推动了中国汽车半导体行业的快速发展。随着汽车电子电器架构日益复杂，功能安全也随之变得愈发重要。IAR在嵌入式开发工具和功能安全领域都有着深厚积累，期待结合芯驰获得功能安全认证的MCU新产品和IAR强大的开发工具，为汽车制造商和供应商带来更高效、更可靠的开发流程，助力推动整个汽车行业向更智能、更安全的方向发展。” 更多关于IAR Embedded Workbench for Arm功能安全版的信息，请访问https://www.iar.com/zh/product/requirements/functional-safety/iar-embedded-workbench-for-arm-functional-safety/。更多关于芯驰科技产品的信息，请访问https://www.semidrive.com/。

2024 年 6 月 18 日 —全球领先的嵌入式系统开发软件解决方案供应商IAR自豪地宣布，公司推出经TÜV SÜD认证的C-STAT静态分析工具，适用于最新发布的IAR Embedded Workbench for RISC-V V3.30.2功能安全版。经TÜV SÜD认证的C-STAT静态分析工具完全集成在IAR各种功能安全版本中，现在可用于Arm、RISC-V和Renesas RL78架构。 TÜV SÜD认证保证了IAR C-STAT静态分析工具符合严格的功能安全标准，该认证包括一份全面的安全指南和全新的IAR C-STAT静态分析合规报告，详细说明了所支持的标准和规则。 IAR首席技术官Anders Holmberg表示：“我们很高兴发布适用于最新IAR Embedded Workbench for RISC-V功能安全版且经TÜV SÜD认证的C-STAT静态分析工具。C-STAT支持Arm、RISC-V和Renesas RL78架构，可以加速多架构项目的代码质量自动化。TÜV SÜD认证确保C-STAT符合严格的安全标准，提供了关键的合规性和可靠性信息。通过将静态分析集成到CI工作流程中，我们更新的功能安全版本可以无缝地增强各种项目和架构的软件质量和安全性。” 更新后的IAR各种功能安全版本均集成了经TÜV SÜD认证的C-STAT静态分析工具，可以通过静态分析在开发过程的早期检测潜在错误和编码标准违规，从而提高软件质量和安全性，同时可确保合规性并节省宝贵的时间和资源。 最新的IAR Embedded Workbench for RISC-V功能安全版还增加了对新的RISC-V ISA扩展的支持，包括Zc（代码缩减）、Zk（加密）、Zfinx（整数寄存器中的浮点数）和CMO（缓存管理操作）。它具有自动压缩汇编器、优化的库函数和增强的代码生成能力，为开发人员提供了高效的软件开发工具。 IAR支持包括持续集成（CI）和自动化构建在内的现代开发实践，适用于Linux（Ubuntu与Red Hat）和Windows等平台，并且IAR工具链能够无缝集成到现有环境中。 自动化软件质量、功能安全和信息安全对于嵌入式软件至关重要。像C-STAT静态分析这样经过认证的工具能够帮助开发人员更快地交付更好的软件，并且确保合规性和系统完整性。选择经过认证的解决方案可以节省时间和成本，使开发人员能够专注于代码和应用功能。 欲了解关于C-STAT如何提升安全关键型应用的代码质量的更多信息，请访问IAR Functional Safety。

前言 在汽车与自动化行业，基于模型的开发过程中，从业者希望能够在保证建模效率的同时确保模型质量。此时，合理使用建模工具变得尤为重要。合适的工具不仅能够通过建模规范检查分析测试模型的质量，还能根据分析结果对模型进行自动改进。本篇文章为您介绍广受业界认可的静态测试工具MES Model Examiner® (MXAM) 。从MXAM在静态测试中的应用角色到实际演示与10.0版本功能更新，本文带您透彻了解MXAM如何能轻松帮助您实现优质建模。 基于模型的开发中静态测试的应用与MXAM MXAM是用于对Simulink®、Stateflow®、Embedded Coder®和TargetLink®模型进行全面静态分析的专业工具，主要应用于软件V型开发流程的左侧设计阶段，覆盖从架构到单元设计和实现的全过程。 基于模型的开发(MBD)依赖基于需求的，测试驱动的工作流来持续地确保质量。软件V型开发流程由左侧的设计阶段和右侧的测试阶段组成。功能质 量和功能的适用性是右侧测试阶段的主题，而设计的适用性和设计质量则是设计阶段关注的重点。设计质量和功能质量同样重要，因为模型设计的适用性能够有效促进功能的适用性。 那么，模型设计质量应如何保证? 模型静态测试能够帮助工程师保证模型设计的适用性：不仅可以改进已在开发过程中的模型，还可以通过质量保证前置帮助模型在代码生成前确保质量,生成代码的质量得以有效提升。 实际应用中，MXAM支持高度自动化的静态分析并致力于Simulink和TargetLink模型的可读性，鲁棒性，避免模型错误以及改进生成代码。 图1是一个Simulink模型的次级子系统。可以看出，模型目前存在违背建模规范的多项错误。例如第1处，模块命名应位于模块下方，而不是上方。再比如第2处，对于常值模块而言，其命名不应使用具体的、非0和1的数字，而应当设置为参数进行表示。对于模型的可读性来说，图1的信号流未对齐（第3处）。模块的命名应当被清晰识别，而第4处显然不符合建模规范的相关要求。第5处的输入端口隐藏在了系统布局内。此外，出于避免模型错误的出现，第6处的乘积模块不应存在超过两个输入端口…等等，这些问题严重影响了该Simulink模型的可读性和设计质量。图2展示了该模型经过MXAM修改优化后的结果：所有在之前讨论过的错误都被一一准确修正，模型的可读性得到了显著提升。 由此可见，评估模型的建模规范合规性在保证模型质量的实际应用中至关重要。此环节主要评估模型的布局，数据和控制流，数据类型，及其配置情况。模型的布局要求确保模型元素之间的关系和连接方式符合设计规范。模型的数据和控制流要求检验可能的逻辑错误及路径偏差。模型中的数据类型定义必须正确且一致。模型的配置情况则要求模型的配置参数符合设计规范。 这样的评估需要遵循相关的模型设计原则或标准，例如MISRA，MATLAB Simulink，或相应建模规范文件等等，设计原则的具体应用主要通过对根据相应规范而设置的模型指标的检验评估实现。例如汽车功能安全行业标准ISO 26262 – 6: 软件级别产品开发中对汽车软件架构所提出的具体建议和原则。其中，模型的复杂度，大小，和非相干度是检验模型是否符合相应建模规范的重要指标。模型的复杂度分析旨在发现模型中可能导致问题的复杂结构或关系，及时优化并简化模型，确保模型合规。模型的大小意在评估模型子系统，接口等等的规模，确保模型的可理解性和可维护性。模型的非相干度要求减少模型中的非相干性，以此确保模型各部分之间的关联适度。 模型指标的检验分析可以通过静态测试的方式在模型开发中及早实现，提高模型的质量，并保证软件系统运行的稳定性和安全性。在模型开发过程的敏捷工作流中，建立模型之后，根据建模规范或行业标准的要求分析模型指标，再生成清晰且全面的分析报告，并根据报告结果对模型进行修复，最终实现并输出优质的模型。 在模型开发过程中执行静态测试，可通过敏捷工作流实现。如图3所示，敏捷工作流中，首先建立模型，再根据业界标准和建模规范进行模型分析，得出清晰全面的分析报告，最后根据分析报告的结论快速解决和修复模型遇到的问题，最后实现质量门的通过，轻松实现优质建模。在这一过程当中，MXAM和MoRe (MES Model & Refactor® (MoRe), 现已集成在MXAM中) 两大工具，分别在敏捷工作流的不同阶段为建模工作提供有力支持。 图3：MXAM与MoRe为模型开发过程中敏捷工作流的不同阶段提供支持 通过启动模型分析，MXAM可以向用户展示模型根据建模规范一致性的分析结果报告，如图4所示的分析结果视图。 图4：MXAM分析结果视图 从展示形式来说，如图5所示，MXAM中的报告视图可展示为不同的导览方式，如规范文档导览(Document Navigation)和模型工件导览(Artificial Navigation)。规范文档形式下，在报告和文档的每个级别都显示聚合的分析结果：模型名称、分析完成的时间。在工具栏中，还可以通过选择树查看分析结果。工件导览是以模型结构树的形式显示相应系统或子系统对应的模型聚合分析结果。 图5. MXAM报告视图的不同导览方式 内容而言，图6显示了模型的合规报告视图右侧显示了模型的合规分析结果列表(Findings)，模型架构分析的相应指标(Metrics)，模型合规性的注释列表(Annotations)，模型分析的配置详情(Analysis Configuration)和模型分析指标的摘要(Metrics Summary)。 图6. MXAM合规分析结果 用户还可以通过菜单(Menu)或过滤选项(filter)选择并查看相应的分析结果。分析结果的详细信息可以在详情结果视图(Finding Details)查看。如图7所示，用户可以查看到违反相关建模规范的详细信息和结果描述。 图7. MXAM违规项的详细信息 比如出现错误的具体路径(Path)和具体模块(Name)，和出现这条错误报告的具体原因。用户可以通过路径及模块名称上的超链接直接到达模型中该错误所在的位置。修复选择(Repair Finding)可以帮助用户一键修复错误。 对于建模规范来说，此处以建模规范mcheck_misra_slsf_030_c为例，在详情页中(如图8所示)可以找到关于这一建模规范的详细描述，包括检查项通过该建模规范或不通过的评判标准(Pass-Fail Criteria)，以及相应的解决方案(Solution)和修复的具体描述(Repair Action)。 最终的检查报告可以HTML-、 PDF-、 EXCEL-、XML-以及MXAM自带的mxmr格式快速导出。 图8. MXAM建模规范详情页 MXAM v10.0: MoRe的集成与功能升级 MoRe现已成为MXAM的一部分。 在前文中已提到，MXAM能够在模型敏捷开发流程的多个阶段提供强有力的支持:加速模型分析流程，快速生成报告，并辅助自动修复。同样来自MES模赛思的MATLAB Simulink扩展建模辅助工具MES Model & Refactor® (MoRe)能够为敏捷开发流程中的建模和修复提供高效帮助。 MoRe能将您日常建模中的步骤自动化，省去大量重复单调的操作，帮助您在建模时专注于重要步骤，节约时间，全面提高工作效率。现在，在MXAM全新版本v10.0之下， MoRe已集成在MXAM中。MXAM的功能变得更为全面，全力支持您基于模型的开发过程。 如图9所示，这是普通的MXAM安装程序。用户可以在此处选择许可证文件，而MoRe的标志已在此标注。接下来用户可以继续正常的下载步骤，MoRe的下载会自动随MXAM同步进行。 图9. MoRe的安装已集成在MXAM下载器中 进入MATLAB界面后，MXAM和MoRe即可马上使用。如图10中的Simulink 模型所示，"MES MoRe"选项已经显示在菜单中，可以直接调用MoRe的相关功能。 图10. MoRe的轻松调用 MoRe最新版本的所有功能均包含在内，集成在MXAM中和MoRe独立工具使用的体验相同。不仅是自动布局，MoRe同样可以从多角度帮助模型进行快速优化。不论是从将Goto/From模块转换为信号线，或是命名问题， MoRe都可以辅助您改进模型，并节约大量时间。 新增可选扩展全局参数及建模规范。 新版本中，MXAM 对Embedded Coder AUTOSAR运行实体中的参数进行了扩展。在使用Embedded Coder进行模型开发时，如果静态测试包括了自动生成的模型部分，则会导致大量的时间和资源浪费。MXAM v10.0对分析参数进行了扩展（见图11）。如果将此参数设置为“True“，那么MXAM只会对运行实体子系统中的模型元素进行分析。 图11：MXAM v10.0新增参数: "Global.AnalyzeAutosarRunnablesSubsystemsOnly" 在开发AUTOSAR模型的过程中，工程师一般通过ARXML文件开始进行模型生成和框架的构建，因而模型会自动生成很多层级以及其他文件。而模型的自动生成部分并非必须进行静态测试，因其必须遵循AUTOSAR提供给您的内容，模型结构固定，对固定部分进行静态测测试会耗费大量不必要的时间和精力。这个新的全局参数能够帮助工程师实现只分析 AUTOSAR运行实体中的模型和函数，这样开发工程师就可以将模型分析专注于实际应用和可以进行更新修改的模型部分，从而节约大量时间。 而对于建模规范而言， MXAM新版本的更新完全围绕主题“ 功能安全 “展开。 建模规范mes_slsf_1500: 确保可重用模型组件具有已解析并启用的链接。本建模规范完全专注于功能安全。在工程师应对可重用模型组件时，应当确保所有链接已解析，如果其中有尚未解析的链接，将模块用未启用的链接进行连接可能会导致潜在的问题。使用本建模规范可以确保模型引用可用且已更新，同时提高了可测试性，确保模型在进入下一个质量保证阶段前一切就绪。 另一项更新来自mes_slsf_2200: 避免舍入模式(Rounding Mode)。绝大多数 Simulink中的计算模块都可以设置特定的舍入模式。此时，确保代码生成的舍入模式都被明确定义十分重要。本建模规范能够避免模型将舍入模式设置为“Simplest”，并且对应的MES检查项中也有对应的检查参数可供使用。 本次更新还包括建模规范mes_slsf_3500: 禁止在Stateflow图中使用用户定义的事件。基于事件的建模可能会导致模型难以维护，出现隐藏控制流和可能的无限递归。同步问题也可能发生，且Stateflow的早期返回逻辑可能导致不良后果。此建模规范可确保模型不会在Stateflow图中使用用户定义的事件，从而防止隐藏控制流出现在模型之中。 除此之外，新版本还添加了对三个版本的TargetLink用户的相应变量类别和全新的MES检查。 如您想了解并体验MXAM v10.0全新版本，欢迎您申请免费试用，了解更多。