自 ISO 26262 2018 版發(fā)布后，細(xì)心的讀者可能會(huì)發(fā)現(xiàn)在第六章的軟件開發(fā)部分的措辭有了微妙的變化，從測(cè)試（Testing）變成了驗(yàn)證（Verification）。比如軟件單元測(cè)試變成了軟件單元驗(yàn)證，軟件集成與測(cè)試變成了軟件集成與驗(yàn)證。

那么這兩者有什么區(qū)別？新標(biāo)準(zhǔn)為什么要做這樣的變動(dòng)呢？也許我們可以從 DO178 中找到一些答案，在 DO178 中有如下說明：

圖1 DO178 中關(guān)于 Verification 的描述

即驗(yàn)證并非簡(jiǎn)單的測(cè)試，因?yàn)闇y(cè)試不能展示沒有錯(cuò)誤。驗(yàn)證的范圍大于測(cè)試，通常會(huì)包括評(píng)審、分析和測(cè)試；類似的表述在 IEC61508 標(biāo)準(zhǔn)中也能找到。我們來比較一下新舊標(biāo)準(zhǔn)中關(guān)于軟件集成與測(cè)試（驗(yàn)證）的方法：

圖2 ISO 26262 2011版(上)和2018版（下）中的軟件集成與測(cè)試/驗(yàn)證方法

舊版本在軟件集成驗(yàn)證階段以動(dòng)態(tài)測(cè)試為主：基于需求的測(cè)試、接口測(cè)試、故障注入測(cè)試、資源使用測(cè)試和背靠背測(cè)試；而新版本在舊版本的基礎(chǔ)上增加了包括靜態(tài)分析在內(nèi)的方法：控制流和數(shù)據(jù)流的驗(yàn)證、靜態(tài)代碼分析和基于抽象解釋的靜態(tài)分析。從中可以看到軟件驗(yàn)證環(huán)節(jié)需要結(jié)合包括動(dòng)態(tài)測(cè)試、靜態(tài)分析和人工評(píng)審在內(nèi)的多種手段才能更有效排除錯(cuò)誤，確保交付質(zhì)量。

技術(shù)交流

ISO 26262 研討會(huì)（上海/北京）

2019年 7 月2 日 950

主要介紹 MathWorks 工具鏈對(duì)于 ISO 26262 和 SOTIF 的支持情況，涵蓋滿足 ISO 26262 要求的模型驗(yàn)證和代碼驗(yàn)證、符合 ISO 26262 軟件開發(fā)過程中的工具審核問題，以及針對(duì)無人駕駛應(yīng)用的場(chǎng)景建模仿真等方向。

請(qǐng)掃描二維碼完成此次活動(dòng)注冊(cè)：

從實(shí)施角度看，控制流和數(shù)據(jù)流可以采用覆蓋度識(shí)別模型中的不可達(dá)邏輯、調(diào)用樹分析函數(shù)關(guān)系以及共享變量的讀寫沖突檢查等；靜態(tài)分析手段則包括了代碼（或模型）的合規(guī)和缺陷檢查、復(fù)雜度等數(shù)據(jù)統(tǒng)計(jì)；基于抽象解釋的靜態(tài)分析采用了更為深入的形式化驗(yàn)證方法，對(duì)于特定范圍內(nèi)的模型或代碼錯(cuò)誤進(jìn)行類窮舉分析以確保軟件安全（ absence of errors）。

隨著自動(dòng)駕駛等應(yīng)用的興起，在確定性的系統(tǒng)故障失效問題之外增加了由于類似于傳感器性能受限、人工智能算法功能不足以及駕駛者誤操作等不確定因素，需要在功能安全之外有新的安全標(biāo)準(zhǔn)補(bǔ)充，即預(yù)期功能安全（SOTIF）。SOTIF 的核心問題是探索發(fā)現(xiàn)未知不安全場(chǎng)景（區(qū)域 3）并將其轉(zhuǎn)化為已知不安全場(chǎng)景（區(qū)域 2），通過風(fēng)險(xiǎn)評(píng)估和功能改進(jìn)迭代最終實(shí)現(xiàn)已知安全場(chǎng)景（區(qū)域 1）的最大化。

圖3 SOTIF 中的場(chǎng)景分類和目標(biāo)

在這個(gè)過程中測(cè)試擔(dān)當(dāng)了非常大的比重，不管是針對(duì)區(qū)域2的需求測(cè)試還是針對(duì)區(qū)域 3 的隨機(jī)測(cè)試。一款自動(dòng)駕駛應(yīng)用的成熟可能需要數(shù)十億公里的測(cè)試，而仿真作為高效率低成本的測(cè)試手段，不管從模型在環(huán)到硬件在環(huán)還是從 NCAP 標(biāo)準(zhǔn)測(cè)試場(chǎng)景到隨機(jī)生成測(cè)試場(chǎng)景，都是應(yīng)對(duì) SOTIF 的利器。

圖4 MBD 流程中的 SOTIF 驗(yàn)證和確認(rèn)

在汽車行業(yè)技術(shù)劇變前夕，未來新應(yīng)用的復(fù)雜度呈指數(shù)級(jí)增加，創(chuàng)新點(diǎn)逐漸從機(jī)械為主到以軟件為主，最終融合為以模型為中心?；谀Ｐ偷牧鞒毯头椒ǜ@前所未有的重要，自動(dòng)化的仿真、測(cè)試和驗(yàn)證技術(shù)的深入應(yīng)用可以幫助我們更好地應(yīng)對(duì)這些新的挑戰(zhàn)。