基于ISO 26262功能安全標(biāo)準(zhǔn)的汽車電子系統(tǒng)測試方法（中）

（接上期）

產(chǎn)品集成和測試

集成和測試階段包含3個(gè)階段：

第一個(gè)階段是產(chǎn)品包含的每個(gè)元素的硬件和軟件的集成，即軟硬件集成：

第二個(gè)階段是組成一個(gè)產(chǎn)品的所有元素的集成來形成一個(gè)完整的系統(tǒng)，稱為系統(tǒng)集成：

第三個(gè)階段是和車輛內(nèi)其他系統(tǒng)的產(chǎn)品以及車輛自身的集成，即車輛集成。

集成和測試階段實(shí)現(xiàn)兩個(gè)主要的目標(biāo)：

集成階段的第一個(gè)目標(biāo)是按照它的需求和ASIL等級，測試對安全需求的符合性：

第二個(gè)目標(biāo)是為了驗(yàn)證，是否正確實(shí)現(xiàn)了針對安全需求的“系統(tǒng)設(shè)計(jì)”。

該階段的要求和建議如下章節(jié)所述。

集成和測試的計(jì)劃和規(guī)范

1.為了驗(yàn)證系統(tǒng)設(shè)計(jì)符合功能和技術(shù)安全需求，集成測試活動(dòng)應(yīng)按照ISO 26262-8：2011中的驗(yàn)證方法來執(zhí)行。以下的測試目標(biāo)在下面幾個(gè)表中一一列出：

功能安全和技術(shù)安全需求的正確實(shí)現(xiàn)：

正確功能的性能，安全機(jī)制的準(zhǔn)確性和時(shí)間性能：

接口的一致性以及實(shí)現(xiàn)的正確性：

安全機(jī)制的診斷或者錯(cuò)誤覆蓋的有效性：

魯棒性等級。

2.根據(jù)系統(tǒng)設(shè)計(jì)規(guī)范、功能安全概念、技術(shù)安全概念以及集成測試計(jì)劃，需要制定一個(gè)集成和測試的機(jī)制，并提供證據(jù)證明達(dá)成所有的測試目標(biāo)。集成和測試的機(jī)制需要覆蓋所有電子電器部件以及安全概念相關(guān)的所有其他技術(shù)。集成通常分為軟硬件級、系統(tǒng)級和車輛級這三個(gè)級別。

3.系統(tǒng)集成具體包括：

針對軟硬件的集成測試規(guī)范，定義產(chǎn)品的集成和測試的計(jì)劃。該階段需重點(diǎn)考慮軟硬件的接口問題。

針對系統(tǒng)級和車輛級的集成測試規(guī)范，定義產(chǎn)品的集成和測試計(jì)劃。從軟硬件級驗(yàn)證發(fā)現(xiàn)的遺留問題，需要在本階段進(jìn)行解決。

系統(tǒng)級和車輛級的集成和測試計(jì)劃，應(yīng)該考慮車輛子系統(tǒng)之間的接口和外部環(huán)境。部分充分的典型工況和極限工況下的車輛環(huán)境應(yīng)該用于執(zhí)行測試。

4.在系統(tǒng)可以被標(biāo)定或配置成多種產(chǎn)品系列時(shí)，系統(tǒng)級和車輛級需要針對每種配置的產(chǎn)品進(jìn)行測試以驗(yàn)證其是否符合功能安全需求。如果所有配置的測試有難度，可以考慮選擇部分。

5.所有的測試設(shè)備需要在質(zhì)量監(jiān)控體系中管理。

6.在任意一個(gè)完整的集成階段，每個(gè)功能和技術(shù)安全都需要至少被測試驗(yàn)證（被測試為可用）一次。

在各級定義的功能安全需求，通常被更高一級的集成測試中得到驗(yàn)證。

在集成測試中識(shí)別的安全異常，應(yīng)按規(guī)范“ISO 26262-25.4.2童節(jié)”給出相應(yīng)的報(bào)告。

7.集成測試的測試案例的設(shè)計(jì)方法如表11所列。

軟硬件集成和測試

軟硬件集成

1.符合ISO 26262-5的開發(fā)的硬件和符合ISO 26262-6的開發(fā)的軟件集成在一起，并用于下列測試活動(dòng)中。

2.軟硬件接口需求應(yīng)以合適的覆蓋率被測試，以符合AsIL要求，或者能給出理由證明軟硬件接口不會(huì)出現(xiàn)問題。這個(gè)要求適用于ASILsc和D。測試中將優(yōu)先考慮產(chǎn)品本身的硬件和軟件，但針對一些特定的測試技術(shù)，會(huì)采用一些修改后的硬件和軟件進(jìn)行測試。

軟硬件級的測試目標(biāo)和方法

1.在軟硬集成時(shí)，應(yīng)采用合適的方法來檢查設(shè)計(jì)層面的系統(tǒng)的錯(cuò)誤，具體見如下條目和對應(yīng)表格描述。根據(jù)其實(shí)現(xiàn)的功能、復(fù)雜度、系統(tǒng)分布式的類型，測試方法可以有效的應(yīng)用于其他級別的集成和測試。

2.軟硬件級別的技術(shù)安全需求的實(shí)現(xiàn)，應(yīng)按照下表的方法的進(jìn)行驗(yàn)證。

基于需求的測試用于驗(yàn)證功能和非功能需求。

故障注入測試使用特殊的方法在運(yùn)行時(shí)將故障注入被測對象。這可以在軟件內(nèi)通過一種特殊的測試接口或借助特殊的硬件來完成。這種方法經(jīng)常被用來提升安全需求的測試覆蓋率，因?yàn)樵谡嚽闆r下，不會(huì)觸發(fā)安全機(jī)制。

Back-to-back測試是指在相同外部激勵(lì)的情況下比較真實(shí)被測對象和仿真模型的執(zhí)行情況，用于檢查模型和其實(shí)現(xiàn)之間的不一致性（如表12）。

3.軟硬件級的正確功能的性能、安全機(jī)制的準(zhǔn)確性和及時(shí)性應(yīng)按照表13的方法進(jìn)行測試驗(yàn)證。

4.外部和內(nèi)部的接口的一致性和正確實(shí)現(xiàn)，在硬件.軟件層次上應(yīng)使用表14給出的可行的測試方法來論證。表14中的接口測試包括模擬和數(shù)字輸入輸出測試、邊界測試、等價(jià)類測試，這些方法用于測試被測對象的接口、容量、延時(shí)性和其他評價(jià)指標(biāo)。ECU的內(nèi)部接口可以通過靜態(tài)測試方法來驗(yàn)證：對于ECU之間的接口，可以通過串口外設(shè)接口（sPI）、通信等方式來進(jìn)行動(dòng)態(tài)測試。

5.針對硬件錯(cuò)誤檢查機(jī)制，其診斷覆蓋率的有效性，可以通過表15的方法進(jìn)行測試。

故障注入測試使用特殊的方法在運(yùn)行時(shí)將故障注入被測對象。這可以在軟件內(nèi)通過一種特殊的測試接口或借助特殊的硬件來完成。這種方法經(jīng)常被用來提升安全需求的測試覆蓋率，因?yàn)樵谡嚽闆r下，不會(huì)觸發(fā)安全機(jī)制。

錯(cuò)誤推導(dǎo)測試是通過預(yù)測被測對象中的錯(cuò)誤，設(shè)計(jì)測試案例，來對這些錯(cuò)誤進(jìn)行檢查。如果測試者有足夠的經(jīng)驗(yàn)和知識(shí)，錯(cuò)誤推導(dǎo)測試將是非常有效的方法。

6.可以按照表16方法測試軟硬件級別中各對象的魯棒性。

資源占有率測試可以靜態(tài)（比如，通過檢查代碼大小，或者分析關(guān)于中斷使用的代碼，為了驗(yàn)證最壞的情況下不會(huì)用盡資源）完成，也可以通過運(yùn)行時(shí)監(jiān)控動(dòng)態(tài)完成。

壓力測試可以在很高的操作負(fù)載、很強(qiáng)環(huán)境要求下進(jìn)行被測對象正確功能的驗(yàn)證。比如很強(qiáng)的負(fù)載、異常總線負(fù)載、異常電擊、異常溫度、機(jī)械沖擊等情況下。（未完待續(xù)）