在上幾篇關于瑞薩汽車功能安全技術的系列博客中，我們介紹了瑞薩電子提供的功能安全客戶支持服務，以及CAR工具。博客中簡單提到了ISO26262 標準提出的背景，該標準是國際標準化組織制定的關于道路汽車中電子電氣系統功能安全的標準。ISO26262標準的第6部分給出了功能安全軟件開發的要求以及指導方向。 瑞薩電子旨在提供優質安全的軟件，以便縮短客戶開發周期，讓軟件集成過程更高效省心，幫助客戶更快更好的設計和制造整車以及相應的電子電氣系統。

這是瑞薩汽車功能安全技術系列博客的第三篇。我們在之前的博客中已經提過，大部分瑞薩電子的安全相關產品屬于SEooC產品。瑞薩電子的SEooC軟件主要在瑞薩開發的汽車MCU和SoC上運行，可以集成到多種不同的應用上。在這篇博客中， 我們會討論在設計SEooC軟件時需要注意的要點，所遇到的挑戰，以及瑞薩電子的SEooC軟件產品。

ISO26262 對SEooC的定義為“獨立安全單元”。它不是為一個特定的整車或者控制模塊而設計的。SEooC通常可以被集成到各種不同用途的產品上。在設計和開發SEooC時，產品的要求通常是基于假設。當SEooC產品被集成到上級產品時，集成者需要保證這些假設能被滿足。這篇博客主要討論的是SEooC軟件，但是SEooC可以是一個或一組系統或子系統，或軟件模塊，或硬件模塊3。 以軟件為例，Autosar MCAL，嵌入式操作系統，和中間件都可以是SEooC軟件產品。

ISO26262 給出的開發SEooC軟件的指導方向主要分成以下三步：

第一步：提出SEooC軟件的應用范圍和安全要求的假設

第二步：基于這些假設來設計和開發符合ISO26262 ASIL等級要求的軟件產品。在開發過程中，開發者需要遵守ISO26262 第6部分指定的流程。軟件供應商需要提供給客戶所有必須的工作成果文件，以保證客戶在集成過程中能夠分析這些假設，保證這些假設能被滿足。工作成果文件的示例如下：

開發接口協議/報告5 （DIA/DIR ）

軟件安全要求設計書（S-SRS ）

安全應用說明書/安全手冊（SAN/SM） – SAN/SM應該列出用戶所有需考慮的假設，安全功能的實施，以及其他與安全相關的信息

源代碼 （source code）

配置手冊 （configuration manual）- 幫助用戶理解和配置軟件

功能安全評估報告（FSA 報告）， 等等。

第三步：將軟件集成到特定的應用環境中。集成者應該確保所有的假設都符合要求。如果有一些假設不能被滿足，應該進行相應的影響分析，以保證安全性不被影響，或者采取相應的設計更改。

（本圖為SEooC軟件開發流程的示例）

在第一步中， 一個很大的挑戰是合理完善地總結所有相關的假設。假設的范圍可以是廣泛的。這里我們列舉了一些典型的例子：

使用案例的假設： 描述假定的產品應用環境和用途

系統級別保護措施的假設：一些安全措施需要在系統級別上實施，比如通訊中的端到端保護。這些保護措施是必須的，但它們只能由集成者來實現。因此SEooC軟件開發商通常會假設系統集成者會實現這些保護措施。

部分實施的安全機制的假設：如果某些安全機制沒有被SEooC軟件完全覆蓋，則需要集成商完成實施。瑞薩將這些要求作為AoU（使用假定）記錄在SAN（安全應用說明）中，并假定集成商將滿足這些要求。

關于集成要求的假設：SEooC軟件最終會被集成到上級應用程序中。若要使集成軟件達到既定目標的ASIL水平，就需要定義集成的要求并假設系統集成者能夠滿足這些要求。

瑞薩的軟件工程師和安全工程師都擁有多年開發軟件的經驗。開發團隊會仔細地分析產品和所應用的系統環境，以盡可能準確完整地總結這些假設。瑞薩的開發流程保證了基于這些假設的產品安全要求能夠被審閱和評估。

在第二步中，一個很大的挑戰是由軟件的可配置性導致的。由于很多SEooC軟件產品需要被應用到不同的上級產品中，通常這些SEooC軟件會提供可配置選項，供用戶設置。SEooC軟件被配置后集成到上級產品時，這個配置就需要被測試和驗證。如果配置參數的數量增加，這些參數組合到一起最終產生的軟件配置的數量就會呈指數級增長。如果需要對每一個可能的配置都進行測試是不可能的。那么SEooC軟件供應商怎樣保證所作的測試能夠提供足夠的把握呢？ISO26262 提供了兩種可供選擇的建議：

簡化流程一：測試和驗證配置好的軟件。軟件集成者可以測試配置好的軟件，或者可以選擇供應商提供的售后服務：把配置數據提供給SEooC軟件供應商， 由供應商來測試配置好的軟件。當客戶數量和項目數量增加時，供應商需要測試的配置數量會大大增加。在這種情況下， 供應商需要保證測試服務的質量和效率。如何做到呢？通常這兩種解決方案是很有利的：

自動測試系統。瑞薩電子有很完善的自動測試系統，可以大規模高效率地幫助客戶測試配置完成的SEooC軟件。在軟件開發過程中或是發布后我們都會應用這些自動測試系統。

清晰完善的軟件要求。瑞薩電子的工程師會詳細分析和記錄SEooC軟件的要求。瑞薩電子多年來的經驗積累了完善的開發流程，開發指南，各種文件模板，以及清晰地界定各部門的職責。瑞薩電子還使用新的需求管理軟件來更好地記錄和追蹤軟件要求，確保必須的軟件要求能被實現以及測試。這也能在測試客戶的軟件配置時大大提高軟件要求的測試覆蓋率。

簡化流程二：在軟件發布前測試一系列（大量的）軟件配置；而在軟件發布后，客戶可以分析和證明客戶使用的設置已經通過了發布前所作的測試。軟件發布前測試的目標是盡可能多地涵括軟件配置。瑞薩電子使用了很多最前沿的測試方法： N-wise測試6，功能組合測試，隨機測試等等。這些測試方法旨在優化測試的軟件配置數量，用最少的測試涵蓋最多的配置范圍。應用這些測試方法，用戶使用的終端配置更有可能已經在發布前被測試過，可以減少額外的測試工作和開銷。

在第三步中，SEooC軟件最終發布到客戶手中時，客戶所需做的是驗證供應商提出的假設，以及將SEooC軟件集成到客戶系統中。這有時很有難度，因為如果要驗證所有的假設，可能需要花很多時間。而且這也要求客戶對這些假設有正確的理解。在驗證過程中，難免會遇到有些假設并不能完全被滿足。在這種情況下，就需要客戶或者供應商來更改SEooC軟件的設計，或從系統層面上修改設計來保證安全性。這會產生額外的努力和開銷。在瑞薩電子，我們會向客戶開放所有在SEooC軟件開發中考慮的假設。這些假設都被記錄在安全應用說明書（SAN）當中。SAN的起草和審核是很嚴謹的，用戶可以借助它來更好地理解以及驗證這些假設。瑞薩電子還提供功能安全客戶支持項目，如果客戶有任何關于SEooC軟件的問題，瑞薩的支持工程師會提供詳細的解答。

瑞薩電子的工程師非常了解開發SEooC軟件的難度。瑞薩一直致力于提高產品質量。我們的目標是提供給客戶符合相關ISO26262要求的軟件，以及客戶所需要的集成和開發的信息，以保證最終集成的終端軟件和電子產品能達到所需要的安全級別。瑞薩電子的安全相關部門由三大部分組成：開發部門，質量部門，以及獨立的技術評估部門。瑞薩的開發部門有多年遵照ISO26262標準開發功能安全產品的經驗。質量部門會負責評估和審核軟件開發階段的功能安全流程。技術評估部門則會負責對安全相關的產品進行技術評估，以保證產品能達到相應的安全目標。瑞薩電子也會邀請第三方評估公司來對軟件產品進行安全評估。瑞薩的高素質團隊和企業內部的安全文化保證了向客戶提供優質的軟件產品：

由經驗豐富的開發團隊開發

經過I3級別（最高獨立性）的質量和評估部門認真檢驗和全面評估

方便集成到客戶的安全系統中

綜上所述，我們在這篇博客中介紹了 ISO26262 對開發SEooC軟件的指導方向。我們也討論了在設計開發過程中可能遇到的問題。瑞薩電子旨在為客戶提供更好的解決方案：

瑞薩電子的技術部門擁有經驗豐富的工程師，以及完善的技術流程，能開發和評估高質量的軟件產品

運用最前沿的測試方法和自動測試系統來保證測試覆蓋率

提供人性化的客戶服務，支持客戶解決在集成過程中可能遇到的問題

瑞薩電子有許多SEooC軟件產品。基于RH850系列微處理器的安全軟件產品有：MCAL和CST（CPU自測軟件）。基于R-CAR系列SoC的安全軟件有：CPU RTT（CPU自測軟件），圖像處理軟件，信息安全軟件等。瑞薩與多家第三方公司合作提供操作系統， 編譯器等其他軟件來提供給客戶完整的系統解決方案。

審核編輯：郭婷