在上幾篇關于瑞薩汽車功能安全技術的系列博客中，我們介紹了瑞薩電子提供的功能安全客戶支持服務，以及CAR工具。博客中簡單提到了ISO26262 標準提出的背景，該標準是國際標準化組織制定的關于道路汽車中電子電氣系統(tǒng)功能安全的標準。ISO26262標準的第6部分給出了功能安全軟件開發(fā)的要求以及指導方向。 瑞薩電子旨在提供優(yōu)質安全的軟件，以便縮短客戶開發(fā)周期，讓軟件集成過程更高效省心，幫助客戶更快更好的設計和制造整車以及相應的電子電氣系統(tǒng)。

這是瑞薩汽車功能安全技術系列博客的第三篇。我們在之前的博客中已經提過，大部分瑞薩電子的安全相關產品屬于SEooC產品。瑞薩電子的SEooC軟件主要在瑞薩開發(fā)的汽車MCU和SoC上運行，可以集成到多種不同的應用上。在這篇博客中， 我們會討論在設計SEooC軟件時需要注意的要點，所遇到的挑戰(zhàn)，以及瑞薩電子的SEooC軟件產品。

ISO26262 對SEooC的定義為“獨立安全單元”。它不是為一個特定的整車或者控制模塊而設計的。SEooC通?？梢员患傻礁鞣N不同用途的產品上。在設計和開發(fā)SEooC時，產品的要求通常是基于假設。當SEooC產品被集成到上級產品時，集成者需要保證這些假設能被滿足。這篇博客主要討論的是SEooC軟件，但是SEooC可以是一個或一組系統(tǒng)或子系統(tǒng)，或軟件模塊，或硬件模塊3。 以軟件為例，Autosar MCAL，嵌入式操作系統(tǒng)，和中間件都可以是SEooC軟件產品。

ISO26262 給出的開發(fā)SEooC軟件的指導方向主要分成以下三步：

第一步：提出SEooC軟件的應用范圍和安全要求的假設

第二步：基于這些假設來設計和開發(fā)符合ISO26262 ASIL等級要求的軟件產品。在開發(fā)過程中，開發(fā)者需要遵守ISO26262 第6部分指定的流程。軟件供應商需要提供給客戶所有必須的工作成果文件，以保證客戶在集成過程中能夠分析這些假設，保證這些假設能被滿足。工作成果文件的示例如下：

開發(fā)接口協(xié)議/報告5 （DIA/DIR ）

軟件安全要求設計書（S-SRS ）

安全應用說明書/安全手冊（SAN/SM） – SAN/SM應該列出用戶所有需考慮的假設，安全功能的實施，以及其他與安全相關的信息

源代碼 （source code）

配置手冊 （configuration manual）- 幫助用戶理解和配置軟件

功能安全評估報告（FSA 報告）， 等等。

第三步：將軟件集成到特定的應用環(huán)境中。集成者應該確保所有的假設都符合要求。如果有一些假設不能被滿足，應該進行相應的影響分析，以保證安全性不被影響，或者采取相應的設計更改。

（本圖為SEooC軟件開發(fā)流程的示例）

在第一步中， 一個很大的挑戰(zhàn)是合理完善地總結所有相關的假設。假設的范圍可以是廣泛的。這里我們列舉了一些典型的例子：

使用案例的假設： 描述假定的產品應用環(huán)境和用途

系統(tǒng)級別保護措施的假設：一些安全措施需要在系統(tǒng)級別上實施，比如通訊中的端到端保護。這些保護措施是必須的，但它們只能由集成者來實現(xiàn)。因此SEooC軟件開發(fā)商通常會假設系統(tǒng)集成者會實現(xiàn)這些保護措施。

部分實施的安全機制的假設：如果某些安全機制沒有被SEooC軟件完全覆蓋，則需要集成商完成實施。瑞薩將這些要求作為AoU（使用假定）記錄在SAN（安全應用說明）中，并假定集成商將滿足這些要求。

關于集成要求的假設：SEooC軟件最終會被集成到上級應用程序中。若要使集成軟件達到既定目標的ASIL水平，就需要定義集成的要求并假設系統(tǒng)集成者能夠滿足這些要求。

瑞薩的軟件工程師和安全工程師都擁有多年開發(fā)軟件的經驗。開發(fā)團隊會仔細地分析產品和所應用的系統(tǒng)環(huán)境，以盡可能準確完整地總結這些假設。瑞薩的開發(fā)流程保證了基于這些假設的產品安全要求能夠被審閱和評估。

在第二步中，一個很大的挑戰(zhàn)是由軟件的可配置性導致的。由于很多SEooC軟件產品需要被應用到不同的上級產品中，通常這些SEooC軟件會提供可配置選項，供用戶設置。SEooC軟件被配置后集成到上級產品時，這個配置就需要被測試和驗證。如果配置參數(shù)的數(shù)量增加，這些參數(shù)組合到一起最終產生的軟件配置的數(shù)量就會呈指數(shù)級增長。如果需要對每一個可能的配置都進行測試是不可能的。那么SEooC軟件供應商怎樣保證所作的測試能夠提供足夠的把握呢？ISO26262 提供了兩種可供選擇的建議：

簡化流程一：測試和驗證配置好的軟件。軟件集成者可以測試配置好的軟件，或者可以選擇供應商提供的售后服務：把配置數(shù)據提供給SEooC軟件供應商， 由供應商來測試配置好的軟件。當客戶數(shù)量和項目數(shù)量增加時，供應商需要測試的配置數(shù)量會大大增加。在這種情況下， 供應商需要保證測試服務的質量和效率。如何做到呢？通常這兩種解決方案是很有利的：

自動測試系統(tǒng)。瑞薩電子有很完善的自動測試系統(tǒng)，可以大規(guī)模高效率地幫助客戶測試配置完成的SEooC軟件。在軟件開發(fā)過程中或是發(fā)布后我們都會應用這些自動測試系統(tǒng)。

清晰完善的軟件要求。瑞薩電子的工程師會詳細分析和記錄SEooC軟件的要求。瑞薩電子多年來的經驗積累了完善的開發(fā)流程，開發(fā)指南，各種文件模板，以及清晰地界定各部門的職責。瑞薩電子還使用新的需求管理軟件來更好地記錄和追蹤軟件要求，確保必須的軟件要求能被實現(xiàn)以及測試。這也能在測試客戶的軟件配置時大大提高軟件要求的測試覆蓋率。

簡化流程二：在軟件發(fā)布前測試一系列（大量的）軟件配置；而在軟件發(fā)布后，客戶可以分析和證明客戶使用的設置已經通過了發(fā)布前所作的測試。軟件發(fā)布前測試的目標是盡可能多地涵括軟件配置。瑞薩電子使用了很多最前沿的測試方法： N-wise測試6，功能組合測試，隨機測試等等。這些測試方法旨在優(yōu)化測試的軟件配置數(shù)量，用最少的測試涵蓋最多的配置范圍。應用這些測試方法，用戶使用的終端配置更有可能已經在發(fā)布前被測試過，可以減少額外的測試工作和開銷。

在第三步中，SEooC軟件最終發(fā)布到客戶手中時，客戶所需做的是驗證供應商提出的假設，以及將SEooC軟件集成到客戶系統(tǒng)中。這有時很有難度，因為如果要驗證所有的假設，可能需要花很多時間。而且這也要求客戶對這些假設有正確的理解。在驗證過程中，難免會遇到有些假設并不能完全被滿足。在這種情況下，就需要客戶或者供應商來更改SEooC軟件的設計，或從系統(tǒng)層面上修改設計來保證安全性。這會產生額外的努力和開銷。在瑞薩電子，我們會向客戶開放所有在SEooC軟件開發(fā)中考慮的假設。這些假設都被記錄在安全應用說明書（SAN）當中。SAN的起草和審核是很嚴謹?shù)?，用戶可以借助它來更好地理解以及驗證這些假設。瑞薩電子還提供功能安全客戶支持項目，如果客戶有任何關于SEooC軟件的問題，瑞薩的支持工程師會提供詳細的解答。

瑞薩電子的工程師非常了解開發(fā)SEooC軟件的難度。瑞薩一直致力于提高產品質量。我們的目標是提供給客戶符合相關ISO26262要求的軟件，以及客戶所需要的集成和開發(fā)的信息，以保證最終集成的終端軟件和電子產品能達到所需要的安全級別。瑞薩電子的安全相關部門由三大部分組成：開發(fā)部門，質量部門，以及獨立的技術評估部門。瑞薩的開發(fā)部門有多年遵照ISO26262標準開發(fā)功能安全產品的經驗。質量部門會負責評估和審核軟件開發(fā)階段的功能安全流程。技術評估部門則會負責對安全相關的產品進行技術評估，以保證產品能達到相應的安全目標。瑞薩電子也會邀請第三方評估公司來對軟件產品進行安全評估。瑞薩的高素質團隊和企業(yè)內部的安全文化保證了向客戶提供優(yōu)質的軟件產品：

由經驗豐富的開發(fā)團隊開發(fā)

經過I3級別（最高獨立性）的質量和評估部門認真檢驗和全面評估

方便集成到客戶的安全系統(tǒng)中

綜上所述，我們在這篇博客中介紹了 ISO26262 對開發(fā)SEooC軟件的指導方向。我們也討論了在設計開發(fā)過程中可能遇到的問題。瑞薩電子旨在為客戶提供更好的解決方案：

瑞薩電子的技術部門擁有經驗豐富的工程師，以及完善的技術流程，能開發(fā)和評估高質量的軟件產品

運用最前沿的測試方法和自動測試系統(tǒng)來保證測試覆蓋率

提供人性化的客戶服務，支持客戶解決在集成過程中可能遇到的問題

瑞薩電子有許多SEooC軟件產品?；赗H850系列微處理器的安全軟件產品有：MCAL和CST（CPU自測軟件）?；赗-CAR系列SoC的安全軟件有：CPU RTT（CPU自測軟件），圖像處理軟件，信息安全軟件等。瑞薩與多家第三方公司合作提供操作系統(tǒng)， 編譯器等其他軟件來提供給客戶完整的系統(tǒng)解決方案。

審核編輯：郭婷