这是软件功能安全系列文章的第三篇。本周，为大家带来软件质量与功能安全重要性相关内容的介绍。

       在做软件质量的介绍之前，我们先来看一下何谓质量，又何谓软件质量。

       一般来说，质量是指（特定物品的）可以测定的性质或特性。下面让我们看一下在不同领域对“质量”二字的理解。

1.牛津词典对质量的定义

Quality：The standard of something as measured against other things of a similar kind;the degree of excellence of something.

（释义：衡量事物与同类事物的标准；事物的卓越程度。）

2.美国质量协会对质量的定义

（1） 产品或服务的特性，影响其满足显性或隐性需求的能力。

（2）没有缺陷的产品或服务。质量意味着“适合使用”、意味着“符合要求”。

3.ISO 9000对质量的定义

质量: 对一组固有特性满足要求的程度。

所谓软件质量是指软件的功能性，可靠性，效率性等层面满足要求多少的程度基准。

4.IEEE对软件质量的定义

（1） 系统、组件或过程满足规定要求的程度。      

（2）系统、组件或过程满足客户或用户需求或期望的程度。

1.软件比重增加

（1）为实现智能化，无人化、网络化等武器体系诸多功能，各行业产品的软件比重增加。

（2）车辆部品的电装化率及软件比重持续增加

2.Ariane5型运载火箭事例

      软件内变量使用错误导致的欧洲大型项目Ariane5型运载火箭爆炸，损失8亿6千万美金。

3.韩国列车相撞事例

       2014年5月发生在韩国的上往十里站列车相撞事故的原因确认为列车自动刹车装置的软件错误。

       上面这一个个实例，让人感觉触目惊心、惋惜不已。在心痛的同时，我们也应更加意识到软件质量的重要性，只有确保软件质量，才能避免上述悲剧的产生，各产业才能有条不紊、安全的运作。

      介绍完软件质量的重要性，下面为大家介绍一下功能安全的必要性，我们将从汽车产业角度阐述说明为什么需要功能安全。

      汽车行车安全是每个人十分关心的话题，每一次交通事故的发生，都是不小的损失；随着人们对舒适驾驶体验的需求不断增长，汽车电子系统愈加复杂，由电气、电子系统故障导致的风险也越来越高；汽车几乎进入了每家每户，庞大的汽车数量和高频率的使用率，对电气、电子系统提出了更高的要求。公安部交通管理局发布，截至2019年6月，全国机动车保有量达3.4亿辆，其中汽车2.5亿辆。概率论和统计学告诉我们，基数越大，发生次数则越多。

      同时，汽车是一个十分庞大复杂的系统。一般的汽车上有一万多个零部件，100多个ECU（俗称汽车电脑）。如何将这一万多个零部件，100多个ECU有序集成，并实现不断增长的舒适驾驶的需求，是汽车行业十分突出的难题。其中任何一个零部件、ECU的失效，都可能导致不可挽回的危害损失。因此，如何量化评估汽车功能是否安全，如何减少、规避风险，如何做到汽车功能安全等问题变得十分突出。

       于是ISO26262汽车功能安全国际标准应运而生。

      需要强调一点，汽车功能安全并不是保证系统没有故障，而是确保汽车系统即使遇到任何故障也能够安全运行。

       接下来，我们介绍对新能源汽车安全极为重要的两个部件：VCU、BMS。

       整车控制器（VCU）是整个汽车的核心控制部件，相当于汽车的大脑。它采集加速踏板信号、制动踏板信号及其他部件信号，并做出相应判断后，控制下层的各部件控制器的动作，驱动汽车正常行驶。作为汽车的指挥管理中心，整车控制器主要功能包括：驱动力矩控制、制动能量的优化控制、整车的能量管理、CAN 网络的维护和管理、故障的诊断和处理、车辆状态监视等，它起着控制车辆运行的作用。因此整车控制器的优劣直接决定了车辆的稳定性和安全性。

       BMS(Battery Management System)即电池管理系统，是新能源汽车“三电”核心技术之一，发挥着重要作用。一般来说，BMS由一个主控单元和多个从控单元组成，从控单元直接连接电池包(Battery Pack)，采集电池的电压、电流和温度等，主控通过CAN总线或Daisy Chain(菊花链)通信等方式管理多个从控单元。

       按照新能源汽车对电池管理系统的需求，BMS具备的功能包括SoC/SoH估算、故障诊断、均衡控制、热管理和充电管理等(见下图)。SoC即电池荷电状态，用于衡量电池剩余电量，对于判断汽车可行驶里程十分重要。故障诊断用于判断电池的当前状态，及时正确识别电池的过压、欠压或过温等异常情况有助于避免事故发生。均衡控制主要是消除单体电池之间的容量差异，达到一致性，延长电池使用寿命。

       随着汽车电子软硬件复杂性提高，来自系统失效和随机硬件失效的风险日益增加。汽车电子行业标准ISO26262的发布，也使得人们对功能安全有了深入的理解，对评估、避免这些风险提供了可靠的流程保证。电池管理BMS引入ISO26262标准，不仅是顺应技术趋势的发展需求，而且确实能为BMS带来质的变化，从长远来看，有利于行业健康发展。

ASIL各等级的汽车控制器测试经验介绍

确立以成品车主导的功能安全检测内容及流程

    - 通过审查员（Auditor）确认验证的结果

    - 确认验证结果后，要求提供对策书

    - 通过复审，确认验证结果（直到开发结束为止）

ASIL单元验证的项目和方法

ASIL集成测试的项目和方法

ASIL嵌入式软件测试的项目和方法

（1）开发文件验证的期待效果

    - 容易确认到要求事项是否在功能上反映，防止发生功能错误

    - 可对应开发文件相关成品车的各种认证

（2）Fault Injection Test的期待效果

    - 通过让系统运行开发者开发意图外的指令，确认软件的安全性，防止软件不正常运转

    - 通过恶意测试，在预想不到的情况下确保软件的安全性及可靠性

（3）规则验证的期待效果

    - 通过遵守代码编程规范，提高可读性和可维护性，以及通过检出潜在的错误提升软件品质

（4）软件度量测定的期待效果

    - 提高软件的可读性和可维护性

    - 通过确保软件可测试性，提升品质（T公司 ETCS Barr’s report事例）

（5）运行时错误验证

    - 通过检出潜在的错误（Memory Error）提升软件品质

（6）单元/集成测试

   - 通过增加测试覆盖率来增加错误的检出

   - 我公司进行第3方验证服务后，可确认车辆控制器Field（实际）错误有骤减30%的效果