《一种面向功能安全的新型软件测试方法》由会员分享,可在线阅读,更多相关《一种面向功能安全的新型软件测试方法(9页珍藏版)》请在装配图网上搜索。
1、一种面向功能安全的新型软件测试方法1功能安全标准ISO26262汽车功能安全开发过程中一般都采用V型开发,如图1所示,在基丁功能安全的开发体系下,测试环节是必不可少的,测试在软硬件集成层面、系统集成层面以及整车层面三个不同的水平上进行。软硬件层面的测试作为最底层的测试,具有不可替代的作用。当开发人员将系统软件设计完成后,需要对开发得软件进行集成测试,软件集成有两个概念,一种是纯粹的软件模块集成,一个是硬件和软件相结合的可编程电子集成,相比丁纯粹的软件模块集成,软硬件结合的集成测试方式具有真实性强、实时性好、易发现软件在真实环境下运行的缺陷等优点。ISO26262对软硬件集成层面测试提出以下测试
2、要求:基丁技术安全需要的测试、软硬件层面的故障注入、软件层面接口的一致性、软硬件层面的鲁棒性测试四个方面。图1汽车V模型开发流程Fig.1DevelopmentflowofVmodelofautomobile根据功能安全测试要求以及汽车的V模型开发流程,本研究在软硬件层面进行故障注入来验证系统软件对各种故障的诊断覆盖率。ISO26262中推荐通过故障注入的方式即将故障引入软硬件集成系统中,通过技术手段观察当故障发生后的软件是否可以正常工作,软件安全模块的反应时间,来评估安全机制的诊断范围、诊断时间间隔和故障反应间隔,确定故障效应等。ISO26262在第11部分即对半导体的应用指南中采用汽车安全
3、完整性等级-ASIL来描述指定安全目标的概率高低。用A、B、C、D等级来表示,其中D级最高13。ASIL标准贯穿汽车的整个生命安全周期,不同的ASIL对应用软件提出了不同的故障覆盖率要求。等级越高就要求应用软件对故障的覆盖率越高,在软件测试中需要分析和检测的故障模式就越多。以系统软件的中断处理功能为例,ASIL-B等级下系统软件只需要对中断卡滞故障进行覆盖,但是在ASIL-D等级下,系统软件需要对中断遗漏、中断错误执行、中断卡滞、中断优先级错误等多种故障进行覆盖。现以英飞凌TC397作为硬件原型,通过VDK工具,建立TC397的虚拟原型,为基于TC397硬件环境下开发的系统软件提供真实的运行环
4、境,通过故障注入方法测试系统软件是否正确配置以及是否启动相应的安全机制,验证应用软件的开发是否符合相应的汽车完整性等级,验证等级最高可以达到ASIL-D水平。TC397届于英飞凌TC3xx系列,具有高性能的六核结构,其性能、加密和安全功能都符合ISO26262ASIL-D的体系认证,这些优点都使其适合众多汽车应用四,众多汽车企业纷纷使用其作为电控系统的控制器芯片。2基于虚拟原型的故障注入方法采用Virtualizer开发套件作为建模工具,VDK是一套软件开发工具包,可适用于各种类型的软件开发,也适用于常用处理器架构。VDK提供了多种虚拟原型,用户可使用这些原型来开始软件启动,或扩展这些原型以符
5、合设计要求。利用VDK有助丁加速汽车软件开发、提高质量和可靠性,并且降低汽车软件开发成本。基丁芯片虚拟原型的故障测试流程图如图2所示,测试原理图如图3所示。搭建虚孤芯片潮试平台安全奇求用恻分析面定故璋注入洲忒流程*,测试闻目前置条件故障注入1测试站更分析图2基于虚拟原型的故障注入测试流程图Fig.2Flowchartoffaultinjectiontestbasedonvirtualprototype芯片模电调忒模象钦件厕忒流冲3e1掴域用例及对应由本测试站果图3基于虚拟原型的故障注入测试原理图Fig.3Schematicdiagramoffaultinjectiontestbasedonvi
6、rtualprototype2.1搭建虚拟芯片测试环境由丁安全模块数量众多,现仅以TC397的电源管理模块PMS(powermanagementsystem)为例,进行后续的测试步骤。软件测试环境参数配置如图4所示。对TC397相应的模块进行分析,确定安全相关的模块。其部分安全模块如表1所示。,WFEhBlMh11flllfHtfltl灯EM-4-TT7U_mwvUtawAWhKwfl3n芯片援理DnlijniKrOsiwMMmnFMb|RmAQwvmwnmm_WTonfiGBarHPnwtTCfeMteAwwvdihULdriiiiwmdEjfavWuitenqdnsTYkTi.mMEwqN
7、rmi.Br-Brmwu*ftonnmdIre日LogwiuiibanoJsutbafikFFarf*/MlritA111融llUKfetAvmapvin/WUCK14kulJfilJ1ihikewwHHMrakilKaiMuw-cwwril-arpnprrljnord#BredkjKri&SClp|MM4Wi哦*NWWIWL./*1陇*.帼(tOfMVI6i1194由CEA图4测试环境配置Fig.4Testenvironmentconfiguration表1TC397安全相关模块Table1Security-relatedmoduleofTC397MCU功能横坎名称NonVuhLtJehti
8、nurVdntilcMemoryADASImvrconhceMCIC(niniunicfiiLiinMlI.InfractruclLireM(?UJnlerfaceMAnalogAequsiKitionITftTHSigmilPrutTtif+ingE1er1rinSii:-x-MlaIiziiIlsiiDebugnndTestLlltlCl:UtiJllltLt.CPUXMEMKMRIFSRIDMAJXISHRAYCONVCTRLGTMnLMl.JAMSMC.V;I!TFIT:STMLMUSRAMSPCilSPDMF11IRCLOCKKIWIGETE1EISSLEDSADCEVADCCCU6
9、GPT12TKACEDEBl|-)1-l-故障注故障注入方式2图5功能安全测试流程Fig.5Functionalsafetytestingprocess最后查看TC397的输出结果,观察安全机制对应的安全机制是否能够作用,根据测试结果与预期行为对比,可以判断软件开发是否达到预期要求。2.4测试结果分析当测试场景流程定义完成后,需要调用故障注入脚本来对PMS中的不同的电压进行故障注入测试,以PMS的过压欠压为例,故障注入脚本研究件如下所示:importsysimportstructsys.path.insert(0,vpconfigs/shared/sim_probes)importsim_ut
10、ilsfromsim_utils.sim_print_messagesimport*sys.path.insert(0,Vpconfigs/shared/vdkimportsmu_utils本示例中的应用软件行为如下:当PMS发生电压故障时,TC397会重置Core0并启动处于掉电状态的Core1-Core5。通过注入电源故障进行软件响应测试对PMS进行故障注入,观测诊断响应及安全机制的反应。当TC397启动后,其注入过程及结果如图6所示。图6(a)表示TC397虚拟模型启动,Core0启动,TC397处于运行状态,从图中也可以观察到六核中各个核软件的工作情况。图6(b)显示在500g时进行过
11、压故障注入,掉电状态的Core1-5的启动和Core0的重启是在过压故障产生后的100饵内完成。通过图6(c)可以发现电源过压的情况下,安全机制的过压标志位做出反应,诊断时问间隔在5g内,故障产生后20g内安全机制启动,Core0在故障产生后40饵内掉电重启,安全机制发挥作用,软件正确响应。确认安全机制和响应处理的复杂软件配置是正确。通过注入故障结果的分析也可以得到在故障注入后,软件函数模块的反应,进而确定其安全机制是否正确运行。其余不同电压的过压欠压、漂移、电源尖峰都是通过这种方法进行功能安全的故障注入测试,以达到最局的验证等级。图6故障注入及结果Fig.6Faultinjectionandresults3结论对基于TC397虚拟原型的应用软件进行功能安全测试,采取故障注入的技术,检测故障发生后安全机制是否启动来验证软件配置的正确性以及是否满足相应的ASIL需求,测试水平最高可达到ASIL-D。通过VDK工具可以观察到芯片内部的软件各个函数在故障注入后的表现,评估诊断时间间隔和故障反应时间问隔等指标。这种测试方法可以极大缩短软硬件集成的测试时间,加快测试流程,减少不必要的成本,为基于TC397开发的应用软件的功能安全测试提供了思路。
一种面向功能安全的新型软件测试方法
