基于ISO 26262功能安全标准的汽车电子系统测试方法(中)

（接上期）

产品集成和测试

集成和测试阶段包含3个阶段：

第一个阶段是产品包含的每个元素的硬件和软件的集成，即软硬件集成：

第二个阶段是组成一个产品的所有元素的集成来形成一个完整的系统，称为系统集成：

第三个阶段是和车辆内其他系统的产品以及车辆自身的集成，即车辆集成。

集成和测试阶段实现两个主要的目标：

集成阶段的第一个目标是按照它的需求和ASIL等级，测试对安全需求的符合性：

第二个目标是为了验证，是否正确实现了针对安全需求的“系统设计”。

该阶段的要求和建议如下章节所述。

集成和测试的计划和规范

1.为了验证系统设计符合功能和技术安全需求，集成测试活动应按照ISO 26262-8：2011中的验证方法来执行。以下的测试目标在下面几个表中一一列出：

功能安全和技术安全需求的正确实现：

正确功能的性能，安全机制的准确性和时间性能：

接口的一致性以及实现的正确性：

安全机制的诊断或者错误覆盖的有效性：

鲁棒性等级。

2.根据系统设计规范、功能安全概念、技术安全概念以及集成测试计划，需要制定一个集成和测试的机制，并提供证据证明达成所有的测试目标。集成和测试的机制需要覆盖所有电子电器部件以及安全概念相关的所有其他技术。集成通常分为软硬件级、系统级和车辆级这三个级别。

3.系统集成具体包括：

针对软硬件的集成测试规范，定义产品的集成和测试的计划。该阶段需重点考虑软硬件的接口问题。

针对系统级和车辆级的集成测试规范，定义产品的集成和测试计划。从软硬件级验证发现的遗留问题，需要在本阶段进行解决。

系统级和车辆级的集成和测试计划，应该考虑车辆子系统之间的接口和外部环境。部分充分的典型工况和极限工况下的车辆环境应该用于执行测试。

4.在系统可以被标定或配置成多种产品系列时，系统级和车辆级需要针对每种配置的产品进行测试以验证其是否符合功能安全需求。如果所有配置的测试有难度，可以考虑选择部分。

5.所有的测试设备需要在质量监控体系中管理。

6.在任意一个完整的集成阶段，每个功能和技术安全都需要至少被测试验证（被测试为可用）一次。

在各级定义的功能安全需求，通常被更高一级的集成测试中得到验证。

在集成测试中识别的安全异常，应按规范“ISO 26262-25.4.2童节”给出相应的报告。

7.集成测试的测试案例的设计方法如表11所列。

软硬件集成和测试

软硬件集成

1.符合ISO 26262-5的开发的硬件和符合ISO 26262-6的开发的软件集成在一起，并用于下列测试活动中。

2.软硬件接口需求应以合适的覆盖率被测试，以符合AsIL要求，或者能给出理由证明软硬件接口不会出现问题。这个要求适用于ASILsc和D。测试中将优先考虑产品本身的硬件和软件，但针对一些特定的测试技术，会采用一些修改后的硬件和软件进行测试。

软硬件级的测试目标和方法

1.在软硬集成时，应采用合适的方法来检查设计层面的系统的错误，具体见如下条目和对应表格描述。根据其实现的功能、复杂度、系统分布式的类型，测试方法可以有效的应用于其他级别的集成和测试。

2.软硬件级别的技术安全需求的实现，应按照下表的方法的进行验证。

基于需求的测试用于验证功能和非功能需求。

故障注入测试使用特殊的方法在运行时将故障注入被测对象。这可以在软件内通过一种特殊的测试接口或借助特殊的硬件来完成。这种方法经常被用来提升安全需求的测试覆盖率，因为在整车情况下，不会触发安全机制。

Back-to-back测试是指在相同外部激励的情况下比较真实被测对象和仿真模型的执行情况，用于检查模型和其实现之间的不一致性（如表12）。

3.软硬件级的正确功能的性能、安全机制的准确性和及时性应按照表13的方法进行测试验证。

4.外部和内部的接口的一致性和正确实现，在硬件.软件层次上应使用表14给出的可行的测试方法来论证。表14中的接口测试包括模拟和数字输入输出测试、边界测试、等价类测试，这些方法用于测试被测对象的接口、容量、延时性和其他评价指标。ECU的内部接口可以通过静态测试方法来验证：对于ECU之间的接口，可以通过串口外设接口（sPI）、通信等方式来进行动态测试。

5.针对硬件错误检查机制，其诊断覆盖率的有效性，可以通过表15的方法进行测试。

故障注入测试使用特殊的方法在运行时将故障注入被测对象。这可以在软件内通过一种特殊的测试接口或借助特殊的硬件来完成。这种方法经常被用来提升安全需求的测试覆盖率，因为在整车情况下，不会触发安全机制。

错误推导测试是通过预测被测对象中的错误，设计测试案例，来对这些错误进行检查。如果测试者有足够的经验和知识，错误推导测试将是非常有效的方法。

6.可以按照表16方法测试软硬件级别中各对象的鲁棒性。

资源占有率测试可以静态（比如，通过检查代码大小，或者分析关于中断使用的代码，为了验证最坏的情况下不会用尽资源）完成，也可以通过运行时监控动态完成。

压力测试可以在很高的操作负载、很强环境要求下进行被测对象正确功能的验证。比如很强的负载、异常总线负载、异常电击、异常温度、机械冲击等情况下。（未完待续）