在上幾篇關(guān)于瑞薩汽車功能安全技術(shù)的系列博客中，我們介紹了瑞薩電子提供的功能安全客戶支持服務(wù)，以及CAR工具。博客中簡單提到了ISO26262 標(biāo)準(zhǔn)提出的背景，該標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)化組織制定的關(guān)于道路汽車中電子電氣系統(tǒng)功能安全的標(biāo)準(zhǔn)。ISO26262標(biāo)準(zhǔn)的第6部分給出了功能安全軟件開發(fā)的要求以及指導(dǎo)方向。 瑞薩電子旨在提供優(yōu)質(zhì)安全的軟件，以便縮短客戶開發(fā)周期，讓軟件集成過程更高效省心，幫助客戶更快更好的設(shè)計(jì)和制造整車以及相應(yīng)的電子電氣系統(tǒng)。

這是瑞薩汽車功能安全技術(shù)系列博客的第三篇。我們在之前的博客中已經(jīng)提過，大部分瑞薩電子的安全相關(guān)產(chǎn)品屬于SEooC產(chǎn)品。瑞薩電子的SEooC軟件主要在瑞薩開發(fā)的汽車MCU和SoC上運(yùn)行，可以集成到多種不同的應(yīng)用上。在這篇博客中， 我們會討論在設(shè)計(jì)SEooC軟件時(shí)需要注意的要點(diǎn)，所遇到的挑戰(zhàn)，以及瑞薩電子的SEooC軟件產(chǎn)品。

ISO26262 對SEooC的定義為“獨(dú)立安全單元”。它不是為一個(gè)特定的整車或者控制模塊而設(shè)計(jì)的。SEooC通?？梢员患傻礁鞣N不同用途的產(chǎn)品上。在設(shè)計(jì)和開發(fā)SEooC時(shí)，產(chǎn)品的要求通常是基于假設(shè)。當(dāng)SEooC產(chǎn)品被集成到上級產(chǎn)品時(shí)，集成者需要保證這些假設(shè)能被滿足。這篇博客主要討論的是SEooC軟件，但是SEooC可以是一個(gè)或一組系統(tǒng)或子系統(tǒng)，或軟件模塊，或硬件模塊3。 以軟件為例，Autosar MCAL，嵌入式操作系統(tǒng)，和中間件都可以是SEooC軟件產(chǎn)品。

ISO26262 給出的開發(fā)SEooC軟件的指導(dǎo)方向主要分成以下三步：

第一步：提出SEooC軟件的應(yīng)用范圍和安全要求的假設(shè)

第二步：基于這些假設(shè)來設(shè)計(jì)和開發(fā)符合ISO26262 ASIL等級要求的軟件產(chǎn)品。在開發(fā)過程中，開發(fā)者需要遵守ISO26262 第6部分指定的流程。軟件供應(yīng)商需要提供給客戶所有必須的工作成果文件，以保證客戶在集成過程中能夠分析這些假設(shè)，保證這些假設(shè)能被滿足。工作成果文件的示例如下：

開發(fā)接口協(xié)議/報(bào)告5 （DIA/DIR ）

軟件安全要求設(shè)計(jì)書（S-SRS ）

安全應(yīng)用說明書/安全手冊（SAN/SM） – SAN/SM應(yīng)該列出用戶所有需考慮的假設(shè)，安全功能的實(shí)施，以及其他與安全相關(guān)的信息

源代碼 （source code）

配置手冊 （configuration manual）- 幫助用戶理解和配置軟件

功能安全評估報(bào)告（FSA 報(bào)告）， 等等。

第三步：將軟件集成到特定的應(yīng)用環(huán)境中。集成者應(yīng)該確保所有的假設(shè)都符合要求。如果有一些假設(shè)不能被滿足，應(yīng)該進(jìn)行相應(yīng)的影響分析，以保證安全性不被影響，或者采取相應(yīng)的設(shè)計(jì)更改。

（本圖為SEooC軟件開發(fā)流程的示例）

在第一步中， 一個(gè)很大的挑戰(zhàn)是合理完善地總結(jié)所有相關(guān)的假設(shè)。假設(shè)的范圍可以是廣泛的。這里我們列舉了一些典型的例子：

使用案例的假設(shè)： 描述假定的產(chǎn)品應(yīng)用環(huán)境和用途

系統(tǒng)級別保護(hù)措施的假設(shè)：一些安全措施需要在系統(tǒng)級別上實(shí)施，比如通訊中的端到端保護(hù)。這些保護(hù)措施是必須的，但它們只能由集成者來實(shí)現(xiàn)。因此SEooC軟件開發(fā)商通常會假設(shè)系統(tǒng)集成者會實(shí)現(xiàn)這些保護(hù)措施。

部分實(shí)施的安全機(jī)制的假設(shè)：如果某些安全機(jī)制沒有被SEooC軟件完全覆蓋，則需要集成商完成實(shí)施。瑞薩將這些要求作為AoU（使用假定）記錄在SAN（安全應(yīng)用說明）中，并假定集成商將滿足這些要求。

關(guān)于集成要求的假設(shè)：SEooC軟件最終會被集成到上級應(yīng)用程序中。若要使集成軟件達(dá)到既定目標(biāo)的ASIL水平，就需要定義集成的要求并假設(shè)系統(tǒng)集成者能夠滿足這些要求。

瑞薩的軟件工程師和安全工程師都擁有多年開發(fā)軟件的經(jīng)驗(yàn)。開發(fā)團(tuán)隊(duì)會仔細(xì)地分析產(chǎn)品和所應(yīng)用的系統(tǒng)環(huán)境，以盡可能準(zhǔn)確完整地總結(jié)這些假設(shè)。瑞薩的開發(fā)流程保證了基于這些假設(shè)的產(chǎn)品安全要求能夠被審閱和評估。

在第二步中，一個(gè)很大的挑戰(zhàn)是由軟件的可配置性導(dǎo)致的。由于很多SEooC軟件產(chǎn)品需要被應(yīng)用到不同的上級產(chǎn)品中，通常這些SEooC軟件會提供可配置選項(xiàng)，供用戶設(shè)置。SEooC軟件被配置后集成到上級產(chǎn)品時(shí)，這個(gè)配置就需要被測試和驗(yàn)證。如果配置參數(shù)的數(shù)量增加，這些參數(shù)組合到一起最終產(chǎn)生的軟件配置的數(shù)量就會呈指數(shù)級增長。如果需要對每一個(gè)可能的配置都進(jìn)行測試是不可能的。那么SEooC軟件供應(yīng)商怎樣保證所作的測試能夠提供足夠的把握呢？ISO26262 提供了兩種可供選擇的建議：

簡化流程一：測試和驗(yàn)證配置好的軟件。軟件集成者可以測試配置好的軟件，或者可以選擇供應(yīng)商提供的售后服務(wù)：把配置數(shù)據(jù)提供給SEooC軟件供應(yīng)商， 由供應(yīng)商來測試配置好的軟件。當(dāng)客戶數(shù)量和項(xiàng)目數(shù)量增加時(shí)，供應(yīng)商需要測試的配置數(shù)量會大大增加。在這種情況下， 供應(yīng)商需要保證測試服務(wù)的質(zhì)量和效率。如何做到呢？通常這兩種解決方案是很有利的：

自動(dòng)測試系統(tǒng)。瑞薩電子有很完善的自動(dòng)測試系統(tǒng)，可以大規(guī)模高效率地幫助客戶測試配置完成的SEooC軟件。在軟件開發(fā)過程中或是發(fā)布后我們都會應(yīng)用這些自動(dòng)測試系統(tǒng)。

清晰完善的軟件要求。瑞薩電子的工程師會詳細(xì)分析和記錄SEooC軟件的要求。瑞薩電子多年來的經(jīng)驗(yàn)積累了完善的開發(fā)流程，開發(fā)指南，各種文件模板，以及清晰地界定各部門的職責(zé)。瑞薩電子還使用新的需求管理軟件來更好地記錄和追蹤軟件要求，確保必須的軟件要求能被實(shí)現(xiàn)以及測試。這也能在測試客戶的軟件配置時(shí)大大提高軟件要求的測試覆蓋率。

簡化流程二：在軟件發(fā)布前測試一系列（大量的）軟件配置；而在軟件發(fā)布后，客戶可以分析和證明客戶使用的設(shè)置已經(jīng)通過了發(fā)布前所作的測試。軟件發(fā)布前測試的目標(biāo)是盡可能多地涵括軟件配置。瑞薩電子使用了很多最前沿的測試方法： N-wise測試6，功能組合測試，隨機(jī)測試等等。這些測試方法旨在優(yōu)化測試的軟件配置數(shù)量，用最少的測試涵蓋最多的配置范圍。應(yīng)用這些測試方法，用戶使用的終端配置更有可能已經(jīng)在發(fā)布前被測試過，可以減少額外的測試工作和開銷。

在第三步中，SEooC軟件最終發(fā)布到客戶手中時(shí)，客戶所需做的是驗(yàn)證供應(yīng)商提出的假設(shè)，以及將SEooC軟件集成到客戶系統(tǒng)中。這有時(shí)很有難度，因?yàn)槿绻?yàn)證所有的假設(shè)，可能需要花很多時(shí)間。而且這也要求客戶對這些假設(shè)有正確的理解。在驗(yàn)證過程中，難免會遇到有些假設(shè)并不能完全被滿足。在這種情況下，就需要客戶或者供應(yīng)商來更改SEooC軟件的設(shè)計(jì)，或從系統(tǒng)層面上修改設(shè)計(jì)來保證安全性。這會產(chǎn)生額外的努力和開銷。在瑞薩電子，我們會向客戶開放所有在SEooC軟件開發(fā)中考慮的假設(shè)。這些假設(shè)都被記錄在安全應(yīng)用說明書（SAN）當(dāng)中。SAN的起草和審核是很嚴(yán)謹(jǐn)?shù)?，用戶可以借助它來更好地理解以及?yàn)證這些假設(shè)。瑞薩電子還提供功能安全客戶支持項(xiàng)目，如果客戶有任何關(guān)于SEooC軟件的問題，瑞薩的支持工程師會提供詳細(xì)的解答。

瑞薩電子的工程師非常了解開發(fā)SEooC軟件的難度。瑞薩一直致力于提高產(chǎn)品質(zhì)量。我們的目標(biāo)是提供給客戶符合相關(guān)ISO26262要求的軟件，以及客戶所需要的集成和開發(fā)的信息，以保證最終集成的終端軟件和電子產(chǎn)品能達(dá)到所需要的安全級別。瑞薩電子的安全相關(guān)部門由三大部分組成：開發(fā)部門，質(zhì)量部門，以及獨(dú)立的技術(shù)評估部門。瑞薩的開發(fā)部門有多年遵照ISO26262標(biāo)準(zhǔn)開發(fā)功能安全產(chǎn)品的經(jīng)驗(yàn)。質(zhì)量部門會負(fù)責(zé)評估和審核軟件開發(fā)階段的功能安全流程。技術(shù)評估部門則會負(fù)責(zé)對安全相關(guān)的產(chǎn)品進(jìn)行技術(shù)評估，以保證產(chǎn)品能達(dá)到相應(yīng)的安全目標(biāo)。瑞薩電子也會邀請第三方評估公司來對軟件產(chǎn)品進(jìn)行安全評估。瑞薩的高素質(zhì)團(tuán)隊(duì)和企業(yè)內(nèi)部的安全文化保證了向客戶提供優(yōu)質(zhì)的軟件產(chǎn)品：

由經(jīng)驗(yàn)豐富的開發(fā)團(tuán)隊(duì)開發(fā)

經(jīng)過I3級別（最高獨(dú)立性）的質(zhì)量和評估部門認(rèn)真檢驗(yàn)和全面評估

方便集成到客戶的安全系統(tǒng)中

綜上所述，我們在這篇博客中介紹了 ISO26262 對開發(fā)SEooC軟件的指導(dǎo)方向。我們也討論了在設(shè)計(jì)開發(fā)過程中可能遇到的問題。瑞薩電子旨在為客戶提供更好的解決方案：

瑞薩電子的技術(shù)部門擁有經(jīng)驗(yàn)豐富的工程師，以及完善的技術(shù)流程，能開發(fā)和評估高質(zhì)量的軟件產(chǎn)品

運(yùn)用最前沿的測試方法和自動(dòng)測試系統(tǒng)來保證測試覆蓋率

提供人性化的客戶服務(wù)，支持客戶解決在集成過程中可能遇到的問題

瑞薩電子有許多SEooC軟件產(chǎn)品?；赗H850系列微處理器的安全軟件產(chǎn)品有：MCAL和CST（CPU自測軟件）?；赗-CAR系列SoC的安全軟件有：CPU RTT（CPU自測軟件），圖像處理軟件，信息安全軟件等。瑞薩與多家第三方公司合作提供操作系統(tǒng)， 編譯器等其他軟件來提供給客戶完整的系統(tǒng)解決方案。

審核編輯：郭婷