基于ISO 26262功能安全标准的汽车电子系统测试方法(中)

　　⒌所有的测试设备需要在质量监控体系中管理。

　　⒍在任意一个完整的集成阶段，每个功能和技术安全都需要至少被测试验证(被测试为可用)一次。

　　● 在各级定义的功能安全需求，通常被更高一级的集成测试中得到验证。
　　● 在集成测试中识别的安全异常，应按规范“ISO 26262-2 5.4.2章节”[4]给出相应的报告。

　　⒎集成测试的测试案例的设计方法如表11所列。　　

　　软硬件集成和测试

　　软硬件集成

　　⒈符合ISO 26262-5的开发的硬件和符合ISO 26262-6的开发的软件集成在一起，并用于下列测试活动中。

　　⒉软硬件接口需求应以合适的覆盖率被测试，以符合ASIL要求，或者能给出理由证明软硬件接口不会出现问题。这个要求适用于ASILs C和D。测试中将优先考虑产品本身的硬件和软件，但针对一些特定的测试技术，会采用一些修改后的硬件和软件进行测试。

　　软硬件级的测试目标和方法

　　⒈在软硬集成时，应采用合适的方法来检查设计层面的系统的错误，具体见如下条目和对应表格描述。根据其实现的功能、复杂度、系统分布式的类型，测试方法可以有效的应用于其他级别的集成和测试。

　　⒉软硬件级别的技术安全需求的实现，应按照下表的方法的进行验证。

　　● 基于需求的测试用于验证功能和非功能需求。
　　● 故障注入测试使用特殊的方法在运行时将故障注入被测对象。这可以在软件内通过一种特殊的测试接口或借助特殊的硬件来完成。这种方法经常被用来提升安全需求的测试覆盖率，因为在整车情况下，不会触发安全机制。
　　● Back-to-back测试是指在相同外部激励的情况下比较真实被测对象和仿真模型的执行情况，用于检查模型和其实现之间的不一致性(如表12)。

　　⒊软硬件级的正确功能的性能、安全机制的准确性和及时性应按照表13的方法进行测试验证。

　　⒋外部和内部的接口的一致性和正确实现，在硬件-软件层次上应使用表14给出的可行的测试方法来论证。表14中的接口测试包括模拟和数字输入输出测试、边界测试、等价类测试，这些方法用于测试被测对象的接口、容量、延时性和其他评价指标。ECU的内部接口可以通过静态测试方法来验证;对于ECU之间的接口，可以通过串口外设接口(SPI)、通信等方式来进行动态测试。

　　⒌针对硬件错误检查机制，其诊断覆盖率的有效性，可以通过表15的方法进行测试。

　　● 故障注入测试使用特殊的方法在运行时将故障注入被测对象。这可以在软件内通过一种特殊的测试接口或借助特殊的硬件来完成。这种方法经常被用来提升安全需求的测试覆盖率，因为在整车情况下，不会触发安全机制。
　　● 错误推导测试是通过预测被测对象中的错误，设计测试案例，来对这些错误进行检查。如果测试者有足够的经验和知识，错误推导测试将是非常有效的方法。

　　⒍可以按照表16方法测试软硬件级别中各对象的鲁棒性。

　　● 资源占有率测试可以静态(比如，通过检查代码大小，或者分析关于中断使用的代码，为了验证最坏的情况下不会用尽资源)完成，也可以通过运行时监控动态完成。
　　● 压力测试可以在很高的操作负载、很强环境要求下进行被测对象正确功能的验证。比如很强的负载、异常总线负载、异常电击、异常温度、机械冲击等情况下。(未完待续)

参考文献：

　　[1]IEC 61508: Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S/OL].http://zh.wikipedia.org/wiki/IEC_61508
　　[2] ISO 26262-1:2011, Road vehicles -- Functional safety-Part1: Vocabulary[S]
　　[3]ISO 26262-8:2011, Road vehicles -- Functional safety-Part8: Supporting processes[S]
　　[4]ISO 26262-2:2011, Road vehicles -- Functional safety-Part2: Management of functional safety[S]
　　[5]ISO 26262-9:2011, Road vehicles -- Functional safety-Part9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses[S]