本文∞∑(wén)基于Aspice模型中V流程開(kāi)發模式，從(cóng)汽車₹©✘ (chē)控制(zhì)系統的(de)需求分(f&‌‍ēn)析、架構設計(jì)、軟硬件(jiàn)需求分(σγ¶←fēn)析、代碼/模型開(kāi)發實現<σ(xiàn)、系統測試及驗證整個(gè)V模型各階段，結合I×‍SO 26262功能(néng)安全标準在各階段的(de)要(yào)求，提出一(yī)σ✔種Aspice與ISO 26262相(xiàng)融合的(π÷©♥de)汽車(chē)控制(zhì)系統開(π¶'★kāi)發流程，并結合實踐開(kāi)展過程，闡明(mí ε$¥ng)各開(kāi)發過程使用(yòng)‍←$的(de)開(kāi)發工(gōng)具配置情況δ ✔。

       随著(zhe)汽車(chē)行(x'€íng)業(yè)電(diàn)動化(huà)、智能(néng)化(huà≤÷εφ)、網聯化(huà)的(de)發展以及客戶對(duì)整車(chē)舒适性及安全性要(yà•λΩ♣o)求日(rì)益提高(gāo)，整車(chē£Ω↔)上(shàng)電(diàn)子(zǐ)電(diàn)氣系統數(shù)量也(yě)随著(zh™₽∏e)增多(duō)。在軟件(jiàn)定義汽車(chē)大(dà)背景下(xià)↓♠¥，整車(chē)上(shàng)電(diàn)子(zǐ)電(diàn)氣系統的(de"♦)開(kāi)發過程和(hé)品質保證過程都∑↕(dōu)應有(yǒu)相(xiàng)關的(de)标準和$≥≈(hé)流程作(zuò)為(wèi)風(fēng)向®π× 标，國(guó)際和(hé)國(guó)家(jiā)标準化(hu✘<à)組織陸續制(zhì)定頒布相(xiàng)關功能(→♣☆&néng)安全标準ISO 26262及GB/T34590。截至目前國(guó)內(nèi)有(yσφǒu)部分(fēn)軟件(jiàn)企業(yè)已經按照(zhào)≈™Aspice模型這(zhè)一(yī)專門(mén)針對(duì)汽車(chē)軟件(j♣≥φ"iàn)開(kāi)發的(de)規範及實踐來(lá±♣★i)指導汽車(chē)軟件(jiàn)開(kāi)發[1]。但(dàn)近(j☆&÷ìn)年(nián)來(lái)由于車(chē)輛(liàng)中嵌入Ω¶式電(diàn)子(zǐ)系統複雜(zá)性的(de)增加，來(lái)自(zì)于軟÷"件(jiàn)系統損壞以及随機(jī)硬件(jiàn)損壞的(de)風(fēn¥←≠↕g)險也(yě)在日(rì)漸上(shà ♦ng)升，将ISO 26262的(de)功能(néng)安全規範要(yào)求納入車(chē)輛( ✘₹σliàng)軟件(jiàn)開(kāi)發過程中，也(yě)能(néng)改善車(chē₽↓>​)輛(liàng)系統軟件(jiàn)開(kāi)發産品品質、開(kā>¥i)發工(gōng)作(zuò)效率，提升産品開(kāi)​¥$發過程的(de)穩定性。因此本文(wén)基于Aspice模型中V流程開(kāi✘✘)發模式，從(cóng)汽車(chē)控制(zh∏✔γ♣ì)系統的(de)技(jì)術(shù)需求分(fēn)析、架構設計(jì)、軟硬件(j≈♠¥iàn)需求分(fēn)解、代碼/模型設計(jì)及γ<€實現(xiàn)、測試驗證等各階段，結合ISO 26262标準對(duì)各階段的(de)開(σ<₹¶kāi)發要(yào)求，提出一(yī)種多(duō)标準™£↓相(xiàng)融合的(de)汽車(chē)控制(zhì)系統開(kāi)發流程，同時(↔$¥¥shí)結合工(gōng)程實踐，闡明(míng)各階段使用(yòng)的(de)開(kāi)發工™ (gōng)具配置情況。

1 Aspice簡介及軟件(jiàn)開(kāi)發流程

       1.1 Aspice簡介

       <©α™;SPICE是(shì)Software Process Improvement &₽ and Capability Determination的(de)縮寫簡稱，是(shì)由IS✔≤♦O、IEC、JTC這(zhè)3家(jiā)國(guó)際機(γ₹jī)構共同提出的(de)标準，根據此标準，行(xíng)≈φ→♦業(yè)分(fēn)别派生(shēng)出了(le)各種更具體(tǐ)的(de)規範，包括≈✘©醫(yī)藥設備領域制(zhì)訂的(de)Medi SPICE、航天領域制(zhì)訂的(d™πe)SPICE for SPACE，而汽車(chē)行(xíng)業( Ωyè)建立了(le)Automotive&∏★​ SPICE，即Aspice[2]。Aspice是(shì)÷÷ γ汽車(chē)行(xíng)業(yè)開(kāi)‌₹展軟件(jiàn)産品研發過程的(de)最佳模型，用•≠α(yòng)以衡量汽車(chē)軟件(jiàn)開(k™¥āi)發組織的(de)開(kāi)發實力和(hé)組織流程的(de)管理(lǐ)能(néng)♠£'力，指導汽車(chē)軟件(jiàn)開¶ γα(kāi)發團隊開(kāi)展軟件(jiàn)開(kāi←∏​)發，從(cóng)而改善軟件(jiàn)品質•​§和(hé)提高(gāo)開(kāi)發效率。

      1.2 Aspice軟件(jiàn)γ∏§♣開(kāi)發流程

      Asp→✘ ♦ice作(zuò)為(wèi)汽車(chē)行(xíng)業(yè)軟件(jiàn)≈₩×開(kāi)發過程最佳模型，規定了(le)V開(kāi)發流程&≤∏和(hé)支持過程各階段開(kāi)展的(dε← ∏e)研發內(nèi)容及輸入輸出交付規定，如(rú)圖1所示。

圖1 V模型流程

2 ISO 26262軟件(jiàn)開(kāi)發流程

      ISO 2Ω 6262适用(yòng)對(duì)象是(shì)道(dào)路(lù)車(Ω★±chē)輛(liàng)的(de)功能(n©₩ ←éng)安全，對(duì)産品項目的(de)安全管理(lǐ)、産品開(kāi)發、生(s↑<βΩhēng)産、運行(xíng)、服務、報(bào)廢、支持過程整個(gè)™§↓λ生(shēng)命周期明(míng)确了(le)要(yào)求≤∞♠。其中産品開(kāi)發包括系統層級、軟件(jiàn)層級、硬件(jià♥✘n)層級三方面。功能(néng)安全開(kāi)發流★←≈§程總覽如(rú)圖2所示，産品開(kāi)發的(de)系統、硬件(jiàn)和(hé)軟件(ji≈↕→àn)的(de)研發過程如(rú)圖3所示[3]。

圖2 ISO 26262标準概覽

圖3 産品開(kāi)發系統、軟硬件(jiàn)要(yào)求

3 Aspice和(hé)ISO 26262融合↑®的(de)開(kāi)發研究

      結↕÷∞★合Aspice與ISO 26262功能(néng)安全的(de)要(yào₹¶↑)求，将産品開(kāi)發各階段進行(xíng)融合研究，并将各層面技(jì)術(shù)要(yδ™™ào)求結合工(gōng)程實踐進行(xíng)闡述，融合的(♣∏↑de)産品開(kāi)發框架如(rú)圖4所示。各階段開(kāi)發工(gōng)作(zuò)描述 ∑如(rú)下(xià)。

圖4 Aspice與ISO26262相(xiàng)融合的(de)産品開(k∏&āi)發框架

       1）概念設計(jì)。概念設計(jì§★)階段确定幹系人(rén)要(yào)求，并确認這(♠ zhè)種要(yào)求可(kě)以被正确理(lǐ)解，同時(sh™‌×í)對(duì)相(xiàng)關項目做(zuò)出界定，辨識由相(xγ ↔<iàng)關項目中的(de)功能(néng)異常表現(xiàn)導緻的(de)¶¶危險事(shì)項，提出避免危險事(shì)項出現(xiàn)和≤ ♥ε(hé)降低(dī)危險程度的(de)安全目标并确定基于關聯項目的(de)可(kě)能(néλ₹λεng)危險事(shì)項，對(duì)關聯項目做(zuò)出評價。對(duì)重大(dφ★&à)危險事(shì)項實施系統性評價，并明(míng)确了(le≈')安全目标以及ASIL級别。其中，危險辨識與危險性的(de)評價可(kγ↕β₩ě)采用(yòng)FMEA、HAZOP、頭腦(nǎo)風(fē∞£¶ng)暴等方式，而ASIL級别則按照(zhào)嚴重程度、暴露機(jī)率與可(kα☆α✔ě)控性等三種原因設定，三因素級别詳見(jiàn)表1~表3。根據安全目标分(fēn)解出相(xi∑→¥àng)應ASIL等級的(de)安全需求，此階段輸出相(xiàng)關項定義、HARA分(fēε" n)析報(bào)告及幹系人(rén)需求說(shuō)明(< <↔míng)書(shū)，其中幹系人(rén)€ε∑ 需求說(shuō)明(míng)書(shū)涵蓋安全需求。幹系₽ &人(rén)需求通(tōng)過需求管理(lǐ)工(gōng)具PTC Inλλtegrity進行(xíng)需求記錄，同時(shí)管理(lǐ)需求狀态及實現(xiàn)情™×況。

表1 嚴重度等級

表2 關于運行(xíng)場(chǎng)景的(de)暴露概率等級δ'

表3 可(kě)控性等級

      2）技(jì)術(shù)需求分(f"βēn)析。技(jì)術(shù)需求分(fēn)析階段需根據幹系人(ré§>n)需求說(shuō)明(míng)書(shū)進行(xíng)需求分(fēn)析，将幹系人←☆$β(rén)需求和(hé)安全需求分(fēn) ®解成技(jì)術(shù)需求、定義安全機(jī)制(zhì)，用(yòng)于探測故障并防止α‍或減輕出現(xiàn)在系統輸出端的(de)違反功能(néng)安∞✘ε全要(yào)求的(de)失效，形成系統需求和(hé)建立↑δ∏α系統架構。在系統需求分(fēn)析過程中，對(duì)需求進行(xíng)分( ₽↕fēn)類分(fēn)析，明(míng)确功能(néng)需求、非功能(néng≠<✘♦)需求和(hé)接口需求，組織專家(jiā)評審并确定需求σγ的(de)正确性和(hé)可(kě)驗證性；對(duì)系統需求的(de)優先 "φ>級進行(xíng)分(fēn)析，明(míng)确系α→•統需求實現(xiàn)的(de)順序；同時(shí)建立客戶需求和(hé)系統σ$​需求的(de)雙向追蹤關系。系統架構建立後 ↔将安全要(yào)求分(fēn)配給系統的(de↔≤₽")各要(yào)素，進行(xíng)需求安全等級分(fēn)解，明(mí₹÷®​ng)确各條目需求的(de)ASIL等級。↓✘同時(shí)對(duì)子(zǐ)系統進行(xíng)安全分γ↓₽ (fēn)析，避免系統性失效。技(jì)術(shù)需求分(fēn)析≤>≠↓方法采用(yòng)結構分(fēn)析法，從(cóng)系統頂層向下(xià)設計♠‌'(jì)、逐層分(fēn)解設計(jì)，明(mλ¶γíng)确系統各組件(jiàn)之間(jiān)的(de)程序流和(hé)數≠≥& (shù)據流。此階段輸出系統需求、系統架構及系統獨立失效分(fēn)∏¥•₽析報(bào)告。其中系統架構安全設計(jì)分(fēn)析方法參見(jiàn)表4。架構設‍∑ 計(jì)采用(yòng)ENTERPRISE ARCHITECT。

表4 系統架構設計(jì)分(fēn)析

      3）軟硬件(jiàn)需求分(fēn)析。軟硬件(₹∑jiàn)需求分(fēn)析階段将系統需求和(hé)安全需求分(fēn)别轉變為(wèi)硬件ε≤π (jiàn)需求、軟件(jiàn)需求。在軟件(jiàn)需求分(fēn)析過程中，分(fē✔γ↓n)析軟件(jiàn)需求之間(jiān)•✔ ‌的(de)依賴關系，保證需求的(de)正确性、技(jì)術÷§≠(shù)可(kě)行(xíng)性及可(kě)驗證性；←<≈★同時(shí)構建與系統需求的(de)一(yī)緻性和(hé)可(kě)追溯性‌β​。根據相(xiàng)應的(de)軟硬件(jiàn)∑ α需求，開(kāi)發滿足軟硬件(jiàn)安全要(yào)求和(hé)其他(tā↕★$↕)軟硬件(jiàn)要(yào)求的(de)軟件(ji$₹àn)架構設計(jì)和(hé)硬件(jiàn)架構設計(jì<∑₽★)，指導軟硬件(jiàn)的(de)詳細設計(jì)開(kāi)↔>☆發，同時(shí)對(duì)軟件(jiàn)架構進行(xíng)安全分(fēn)析。♦ε₩×此階段輸出軟件(jiàn)需求、硬件(jiàn)需求、軟件(jiàn)架構及架構安全分(fēnδ→$♣)析報(bào)告。其中軟件(jiàn)架構和(hé)硬件(jiàn)架構Ωε 設計(jì)原則見(jiàn)表5和(hé)表6。≠$β軟硬件(jiàn)需求記錄、分(fēn)析及狀☆×β态跟蹤通(tōng)過PTC Integrity。

表5 軟件(jiàn)架構設計(jì)原則

表6 硬件(jiàn)架構設計(jì)原則

      4）詳 λ★>細設計(jì)及代碼開(kāi)發。詳細設計(jì)及代碼開(kāi)發階段将根據★ 軟硬件(jiàn)需求進行(xíng)硬件(jiàn)設計∑ε"(jì)、軟件(jiàn)詳細設計(jì)、代碼開(kāi)發，其中代碼設計(jì)遵♣∞§循原則見(jiàn)表7。代碼開(kāi)發時(sh"∞í)利用(yòng)模塊化(huà)設計(jì)思路(lù)，将程序軟件(j∞±iàn)劃分(fēn)成獨立子(zǐ)功能(néng)的(de)模塊，然後将模塊集成形成整β→÷♣體(tǐ)軟件(jiàn)程序，從(cóng)而滿足客戶的(de)需δπα求。代碼和(hé)模型開(kāi)發采用(yòng)MATLAB/Simulink。

表7 軟件(jiàn)單元設計(jì)和(h​₹é)實現(xiàn)的(de)設計(jì)原則

      5）單元測試及硬件(jiàn)調試。定義軟件(j¥≈iàn)單元測試規範，明(míng)确單元測試δγ的(de)技(jì)術(shù)和(hé)方法，制✘φ↓(zhì)定單元測試驗證計(jì)劃模闆及測試報(≠​‌♥bào)告模闆。軟件(jiàn)單元測試包括靜(jìng)态測試和(h&←‌↑é)動态測試，靜(jìng)态測試主要(y​γ'ào)是(shì)對(duì)代碼靜(jìng)↕₩ε★态分(fēn)析和(hé)模型代碼審核，代碼靜(jìβ☆♥✔ng)态分(fēn)析借助常用(yòng)工(gōng)∏∏®具，如(rú)Model Analysis、QAC。而模型代碼審核依據則是(€πε‌shì)由專家(jiā)已編寫的(de)代碼或模型Checklist。動态測試前為(wèiφ∞>)設計(jì)測試案例，即基于設計(jì)說(shuō)明(míng)或設計(jì)模型期₹≈望輸入輸出信号，測試案例設計(jì)過程±★根據需求分(fēn)析、等價類的(de)生(sh₩♠ēng)成和(hé)分(fēn)析、邊界值分(fēn)析∑>、經驗等進行(xíng)開(kāi)展，測試類型主要(yào)包括基于需β β>求的(de)試驗、接口測試、故障注入試驗和(hé)背靠背的(de)試驗等，并在此階段輸出單元測試₽₩‍£報(bào)告。硬件(jiàn)調試階段包括對(duì)硬件(jiàn)模塊實施♠♠£¶調試，并按照(zhào)調試清單進行(xín∞÷✔g)調試，其中調試清單中的(de)項目和(hé)↕±φ 模塊均由硬件(jiàn)設計(jì)相(xiàng)關專家(jiā)編寫，最後産出硬件(jià≠ n)調試報(bào)告。

      6）集成及測試驗®€€證。将各應用(yòng)層和(hé)基礎層模型及代碼集成嵌入式軟件(jiàn)，根據軟件₩'(jiàn)架構設計(jì)說(shuō)明(míng)進行(xíng)集成' €€測試。集成測試通(tōng)過後，根據軟件(jiàn)需求開(kā™ ♠i)展嵌入式軟件(jiàn)功能(néng)測試，輸出嵌入式軟件(j♣∑iàn)測試報(bào)告。根據系統需求編寫系統測試用←©(yòng)例，編制(zhì)系統測試計(jì)劃，通(tōng)過HILL台架或者¥λ§發動機(jī)試驗台架開(kāi)展系統測試，輸出系統測試報(bà‌σ<o)告。根據客戶需求編寫整車(chē)驗證用(yòng)例，編制(zhì)整車(chē)≠§驗證計(jì)劃，利用(yòng)整車(chē)資源開(kāi$✔)展整車(chē)驗證，輸出整車(chē)驗證報(bào)告。其中測≤ε試驗證方法見(jiàn)表8。

表8 測試驗證

4 結束語

      目前汽車(ch ↔∞'ē)控制(zhì)系統研發過程中，Aspice模型在實際"↑應用(yòng)中具有(yǒu)重要(yào)的(de)價值，将ISO 2"☆6262功能(néng)安全标準的(de)要(yào)求融入Aspice汽車(chē)<↑≥‌軟件(jiàn)開(kāi)發流程中，并以此指導汽車(chē)軟件(jiàn)開(kāi)發實踐，¥↕↕會(huì)大(dà)幅改善汽車(chē)軟件(jià∑≠∑n)開(kāi)發品質、開(kāi)發效率以及提高(gāo)産品的(de)安全性。

轉自(zì)智能(néng)汽車(chē)設計(≥✔↔jì)