因此，对于与人身安全相关的汽车嵌入式系统开发，在前述基于模型的V字开发流程基础上，采用需求管理工具及配置管理工具进行过程管理控制。再按ISO 26262的要求进一步扩展，在概念阶段进行汽车安全完整性等级分析，然后按相应的ASIL等级在V字开发流程的各个阶段采用标准所指定的技术方案，并补充实施生产及运行阶段的要求，就可以使整个项目符合ISO 26262的要求。
仍以奇瑞艾瑞泽7轿车的ECU的开发为例，这个ECU是用于电子节气门的发动机控制，一种可能导致危险发生的失效是ECU对发动机的电子节气门控制失效，导致电子节气门一直处于全开状态。为了确定这种危险对应的安全完整性等级，我们分析这种危险的严重程度，如果电子节气门一直处于全开，会导致车辆一直处于加速状态，可能导致车毁人亡的严重后果，因此严重程度可以设为S3；分析发生这种危险的工况可能性为一般常见，概率等级设为E3;分析发生这种危险时驾驶员对车辆的可控性，一般驾驶员只要不过于慌乱，可以通过猛踩制动、将档位挂入低档、擦撞护栏等方式使车辆停下，可控性设为C2。根据表1可查得，对于这种危险将其汽车安全完整性等级设为ASIL B。
    对于ASIL B等级的功能，要求ECU进行软件设计时，对相关信号的可靠性设计专门的在线诊断程序，当发现电子节气门信号不可靠时，ECU将喷油量和点火角限制到一个安全值，使车辆无法持续加速。
    在硬件可靠性方面，根据ISO 26262中的要求，不同ASIL等级对随机硬件失效率有不同的要求，如表2所示。

    因此根据表2，ECU的ASIL等级被定为B时，其硬件的可靠性设计要按随机硬件失效率低于10 -7每小时的要求进行。

    5 工具链介绍
    要完成前面所述的高复杂度、高可靠性的车用嵌入式系统开发，先进的开发工具链是必不可少的，笔者此处也介绍一些主流的开发工具。对于需求管理及配置管理方面，IBM公司提供的RationalDOORS、Rational C1earCase、Rational ClearQuest，是多个行业广泛应用的工具。建模方面Mathwork公司的Matlab产品及ETAS公司的ASCET产品是汽车行业内常用的建模工具，dSPACE公司的Simulator产品及ETAS公司的LABCAR产品是汽车行业内常用的系统测试硬件在环工具。ETAS公司的INCA系列产品是汽车行业内常用的标定工具。

    6 总结
    为了满足高可靠性汽车嵌入式系统的开发要求，提出了基于模型的V字流程开发方式，这种开发方式采用基于模型的嵌入式软件开发技术，流程上以需求为核心，自顶向下逐层细化开发，由下而上，逐步集成测试，每一层次的开发依据和相应层次的测试依据保持一致，保证所有需求都能够得到正确的实现。引入自动化的需求管理和配置管理工具，形成合理的开发工具链，使得开发过程中庞大的信息流及团队人员组织得到有效的管理，确保系统的高效开发。对于人身安全相关的车用嵌入式系统，进一步引入ISO 26262功能安全标准，通过对汽车安全完整性等级分析，确认功能安全等级，对产品V字流程开发中的各个阶段采用标准规定的相应功能安全等级的技术方案，从而进一步提高最终产品的可靠性和竞争力。

上一页  [1] [2] [3] [4]