功能安全之软件配置
作者 | booksoser
来源 | 汽车电子硬件设计
C.1目标
软件配置的目标是:
a. 为不同的应用程序启用软件行为的受控更改;
b. 提供配置数据和校准数据符合所需ASIL要求的证据;和
c. 提供适用于特定应用的嵌入式软件及其校准数据适于发布生产的证据。
C.2概述
软件配置允许使用配置和校准数据开发嵌入式软件的特定应用程序变体(见图C.1)。
图C.1——创建特定于应用程序的软件
C.3.软件配置的输入
C.3.1前提条件
先决条件与应用软件配置的相关阶段相一致。
C.3.2更多支持信息
请参阅应用软件配置的相关阶段的进一步支持信息。
C.4.要求和建议
C.4.1应指定配置数据,以确保在安全生命周期中正确使用可配置软件。这应包括:
a. 配置数据的有效值;
b. 配置数据的意图和使用;
c. 范围、缩放、单位;和
d. 配置数据的不同元素之间的相互相关关系。
C.4.2配置数据及其规格应按照(Verification)提供证据:
A. 配置数据符合软件架构设计规范和软件单元设计规范;
B. 在其指定范围内使用值;和
C. 与其他配置数据的兼容性。
注:配置的软件的测试是在软件生命周期的测试阶段进行的
(见,(软件单元验证),(软件集成与验证),(嵌入式软件的测试)和(System and item integration and testing))。
C.4.3此配置数据的ASIL应等于可配置软件被应用于的最高ASIL。
C.4.4可配置软件应按照(Verification)的规定进行验证,用于正在考虑的项目开发的配置数据集。
注:只有其行为相关于配置数据的嵌入式软件的那一部分才会根据配置数据集进行验证。
C.4.5对于可配置的软件,可以应用符合图C.2或C.3的简化软件安全生命周期。
注:结合以下验证活动可以实现对配置的软件的完整验证:
a. “可配置软件的验证”;
b. “对配置数据的核查”;以及
c. “对配置的软件的核查”。
实现这一点的途径有:
在a)中验证一系列可接受的配置数据,并在b)中显示对该范围的遵从性;或通过显示符合b)和执行c)中可接受的配置数据范围。
图C.2-软件开发参考阶段模型的变体
具有可配置的软件、不同的配置数据和不同的校准数据
图C.3-使用相同配置数据和不同校准数据的可配置软件开发参考阶段模型的变体
C.4.6应指定与软件组件相关的校准数据,以确保配置的软件的正确操作和预期性能。这应包括:
A. 校准数据的有效值;
B. 校准数据的意图和使用;
C. 范围、缩放和单位,如果适用,它们相关于操作状态;
D. 已知的不同校准数据之间的相互相关性;和
注1:校准数据集中的校准数据之间或不同校准数据集中的校准数据之间可能存在相互相关关系,例如适用于在单独的ECU软件中实现的相关功能的校准数据。
E. 已知的配置数据与校准数据之间的相互相关关系。
注2:配置数据可能会影响使用校准数据的配置软件。
C.4.7校准数据的ASIL应等于其可能违反的软件安全要求的最高ASIL。
C.4.8校准数据的规格应按照(Verification)进行验证,提供证据证明:
a. 指定的校准数据适合并符合软件安全要求;
b. 指定的校准数据符合软件架构设计规范和软件单元设计规范;和
c. 指定的校准数据与其他规范一致和兼容校准数据,以防止意外影响。
C.4.9为生产释放的校准数据应按照(Verification)条进行验证,以提供证据:
A. 释放的校准数据符合其规范(见C.4.6);和
B. 嵌入式软件的校准的、特定于应用程序的变体提供了指定的安全相关功能和属性。
注:校准数据的验证也可以在系统级别进行。
C.4.10为了检测与安全有关的校准数据的意外变化,应采用表C.1所列的检测数据意外变化的机制。
表C.1-检测数据意外变化的机制
a. 应遵循的程序;C.4.11校准数据的生成和应用应指定:
b. 生成校准数据的工具;和
c. 验证校准数据的程序。
注:校准数据的验证包括校验校准数据的取值范围或不同校准数据之间的相互相关性。
c.5工作产品
C.5.1配置数据规范。
C.5.2校正数据规范。
C.5.3配置数据。。
C.5.4校准数据。
C.5.5产生的验证规范(细化)
C.5.6产生的验证报告(细化)。
C.5.7软件架构设计规范(经修订)。
C.5.8软件开发环境(经细化的)文档。
- 用户评论