導讀:本文簡析了ISO 26262安全的軟件開發流程的五個階段,包括軟件開發啟動、需求分析階段、設計階段、開發實現階段、集成和測試階段。根據ISO 26262-6 5.4.6中建議,在軟件開發的啟動階段,對于啟動軟件級產品開發,首先需要制定關于整個軟件級開發的活動和方法的計劃,對于軟件開發的每個子階段,應該根據應用規范來選擇對應的方法和相應的工具。
一、軟件開發啟動
根據ISO 26262-6 5.4.6中建議,在軟件開發的啟動階段,對于啟動軟件級產品開發,首先需要制定關于整個軟件級開發的活動和方法的計劃,對于軟件開發的每個子階段,應該根據應用規范來選擇對應的方法和相應的工具。
根據標準,SmartSAR Studio在選擇建模語言時考慮到了:對于建模語言需要有清晰的定義,我們采用EMF、GMF兩種建模語言搭建給一個建模環境提供給用戶;建模語言支持模塊化,抽象和結構化的構造,根據標準中對于建模和編碼規范中需要包含的問題,我們的工具支持的建模和編碼規范,如下表所示:
Studio的建模方法非常簡單,每個模型的圖元也不復雜,符合嵌入式領域軟件開發人員的常識,同時我們參照了多個領域軟件開發語言,定義了一套通用的建模語言。本建模語言使用強類型,每個模型有自己特定的類型,需要聲明后才能使用,每個模型在建模工具中都有唯一清晰確定的圖形表示,同時對于默認的模型名稱有符合意義的命名方式,并且符合C語言命名規范。由于Studio是屬于基于模型驅動的開發方法,同時也是一個多層的開發架構,不應該由于上層或者外部的輸入錯誤而導致本層次被破壞,這也是將可能出現的錯誤造成的影響控制在最小的范圍內。因此,不僅在編碼構建本工具的過程中,我們采用防御式編程方法,同時在建模環境中對用戶的模型也提供最大可能的防御措施,包括各種驗證提示,在代碼級最大可能容忍恢復用戶的建模錯誤,將各種可能的錯誤風險提到最上層等。
二、需求分析階段
需求分析階段是軟件工程領域中軟件開發最開始的階段,它主要是完成對系統整個的定義,確定系統的各種需求,幫助開發測試人員理解整個系統的功能,為后續的工作打下基礎。
在ISO 26262-4中給出了技術安全需求規格,用來規范技術安全需求,細化功能安全概念,同時考慮到功能概念和初級的架構假設級別上。在開發周期內,技術安全規范是用來實現功能安全概念的必須技術需求。系統的初級架構假設和系統性質,包括:外部接口如通信和用戶接口,系統限制條件如環境和功能限制,系統配置需求。
在技術安全需求規范中應該有的安全機制包括:
1)系統自身的錯誤檢查、通知和控制相關的措施,這些包含系統的自我監控或者對于隨機硬件錯誤的檢查,也包含對通信通道(如數據接口,通信總線,無線連接)的失敗模式檢查和監控措施。
2)在和系統交互的外部設備中,對錯誤的檢查、通知和控制相關的措施。其中,外部設備包括:其它電子控制單元,電力提供或者通信設備等。
3)使能系統到達或者維護一個安全狀態的措施,包括優化安全機制沖突和仲裁邏輯。
4)細化和實現報警及降級概念。
5)防止潛在錯誤的措施。
三、設計階段
在軟件開發過程中,設計階段是繼需求之后的一個重要階段,在了解系統的需求后,設計階段是決定系統整體質量的重要保證,在系統設計階段,主要關心的是系統的架構設計,基本的輸入輸出流程,外部交互,組織結構,模塊分配,功能劃分,數據結構設計和出錯設計等,為軟件的詳細設計提供基石。
在ISO 26262-4和ISO 26262-6中都有涉及到到設計階段安全的開發。ISO 26262-4主要關注于系統級的設計和安全方面的概念。系統設計應給予功能概念,基礎架構假設以及技術安全需求,保證各個階段的基礎架構假設保持一致。
考慮到技術安全需求的實現問題,系統設計應該考慮一下這些問題:
1) 驗證系統設計的能力。
2) 在系統集成期間測試的可執行能力。
3) 系統和子系統架構應該在對應的ASIL等級上符合技術安全需求。
4) 每個元素應從它實現的技術安全需求中繼承最高的ASIL等級。
5) 對于安全相關的元素,應該定義其內部和外部的接口,這是為了避免其它元素影響它們的安全性。
在系統設計階段中, ISO 26262-4的7.4.3.7中規定了為了避免高復雜性引起的失敗,架構設計應該滿足模塊化,足夠的顆粒度和簡單的原則。其中模塊化的系統設計應該滿足的屬性如下表所示。
在Studio中,RTE運行時環境層根據架構層軟件組件的架構設計,定義了軟件組件間通信接口,有明確的通信接口生成規定,同時也避免了不必要的接口復雜度,減少了依賴關系。系統映射根據架構層定義的軟件組件架構和ECU拓撲結構,完成軟件和硬件的映射關系,避免了軟硬件的耦合關系,減少了交互的不必要的復雜度,同時也是避免了軟硬件交互的接口復雜度,減少了依賴關系。
在ISO 26262-6中規定了軟件級設計和安全相關的概念。軟件架構設計代表了所有的軟件組件和它們在層次化結構中的交互關系。軟件架構設計提供了可以實現軟件安全需求的方法以及處理軟件開發的復雜性。
為了保證軟件架構設計獲得的信息足夠讓后續的開發流程正確有效的執行,軟件架構設計應該用下表中列出的表示法描述合適的抽象等級。
為了避免因高復雜度導致的錯誤,軟件架構設計應該滿足模塊化,封裝性和簡單這三個基本的屬性,下表中給出了軟件架構設計的原則。
在Studio的層次結構中,支持軟件組件的層次化結構,每個軟件組件通過內部行為表示其軟件組件具體完成的功能,滿足高內聚性和低耦合性。
架構層的設計保證了軟件架構設計開發到合理的程度使得所有的軟件單元能夠區別開。軟件架構設計包含了靜態設計和動態設計兩部分,其中靜態設計部分,架構層完成了分級層次的軟件結構,軟件組件的端口實現了標準中規定的軟件組件的外部接口。根據標準7.4.9中指出,軟件安全需求應該分配到軟件組件上,每個軟件組件應該根據分配給它的最高等級的ASIL來開發。
四、開發實現階段
開發實現階段是軟件工程中定義的系統開發的最中心的工作,它是完成系統實現的主要工作,因此在開發實現階段的安全保證也是Studio非常重要的工作。軟件的開發實現包括源碼的生成和轉化為目標代碼。
在ISO 26262-6的8.4.4中給出了軟件單元設計和在源碼級實現的屬性,包括:軟件單元的子程序和功能能夠正確執行相關步驟;軟件單元間保持接口一致;簡單性;可讀性和易理解性;魯棒性;易于修改和可測試性。如下表給出了我們工具符合標準的一些設計原則。
由于Studio的最終目標是生成安全可靠的代碼,包括軟件組件的內部算法,軟件組件間相互通信代碼,ECU配置等代碼,因此也需要符合標準中對于編碼的一些規范。
五、集成和測試階段
集成和測試階段是軟件開發的最后階段,它是正確高效運行軟件的必要保證。集成是按照系統設計的要求將各個模塊組裝成子系統或者是系統,測試驗證軟件開發是否正確的完成了需求。
根據ISO 26262-4中的規定,集成和測試階段包含三個階段和兩個目標。第一個階段是項目包含的每個元素的軟硬件集成;第二個階段是項目的所有元素集成一個完整的系統;第三個階段是本系統和其它系統的集成。第一個目標是根據需求和ASIL等級來測試系統對安全需求的符合性;第二個目標是驗證系統設計的功能需求和安全需求是否都完成。
來源 | 糖果Autosar
