運(yùn)用ARM處理器系列軟件工具可加速遵循安全至上的規(guī)范

1、運(yùn)用arm處理器系列軟件工具可加速遵循安全至上的規(guī)范越來越多程序設(shè)計(jì)人員在設(shè)計(jì)平安相關(guān)應(yīng)用程序時(shí)采納處理器，范圍遍及醫(yī)療、運(yùn)送、航空與工業(yè)領(lǐng)域。因此，透過這些處理器所執(zhí)行的軟件也受到更為嚴(yán)格的檢查，由于任何一個(gè)小錯(cuò)誤都有可能導(dǎo)致嚴(yán)峻后果。為了避開導(dǎo)致這樣的后果，包括iec 61508，還有最近才通過的汽車業(yè)iso 26262等平安標(biāo)準(zhǔn)應(yīng)運(yùn)而生，以確保開發(fā)人員與客戶在軟件方面能符合業(yè)界最先進(jìn)的最佳實(shí)務(wù)準(zhǔn)則。即便如此，要打算標(biāo)準(zhǔn)當(dāng)中有哪些元素適用，哪些不適用，接下來還要確保整體設(shè)計(jì)符合標(biāo)準(zhǔn)，囫圇過程十分耗時(shí)以致于令人卻步。因?yàn)橄M(fèi)類器件的設(shè)計(jì)周期極短且逐漸與汽車平安系統(tǒng)整合，開發(fā)人員也因此瀕臨更大

2、的時(shí)光壓力，必需在日益緊迫的設(shè)計(jì)周期期限前完成設(shè)計(jì)改動(dòng)。所幸針對(duì)軟件開發(fā)工具與相關(guān)作業(yè)，軟件系列工具廠商具備普通軟件開發(fā)人員所沒有的信息與學(xué)問，因此在市場中具有獨(dú)特定位，能為全部平安相關(guān)軟件開發(fā)人員提供支持。對(duì)編譯器來說更是如此，由于編譯器能挺直影響系統(tǒng)平安性，而且其有可能產(chǎn)生的注入錯(cuò)誤，后續(xù)功能設(shè)計(jì)測試卻無法檢測。因此，系列軟件工具組很適合那些用法基于arm核心處理器的開發(fā)人員，能使開發(fā)人員確保系統(tǒng)符合規(guī)矩規(guī)范，并同時(shí)對(duì)付日益增強(qiáng)的產(chǎn)品上市時(shí)光的壓力。arm 處理器逐漸拓展應(yīng)用陪同移動(dòng)的風(fēng)潮，加上持續(xù)擴(kuò)展的生態(tài)系統(tǒng)提供支持，基于arm核心處理器的應(yīng)用已從智能手機(jī)與等器件，拓展到基礎(chǔ)架構(gòu)設(shè)備及

3、數(shù)據(jù)服務(wù)器?，F(xiàn)在，設(shè)計(jì)人員也逐漸開頭將它們導(dǎo)入平安相關(guān)的應(yīng)用。這類應(yīng)用涵蓋了工業(yè)（馬達(dá)控制、工廠、遠(yuǎn)距監(jiān)控）；汽車（底盤控制、車身與平安、儀表板、智能、引擎控制、防抱死剎車）；醫(yī)療（注入泵、起搏器、病患監(jiān)控）；鐵路（信號(hào)與通訊控制）；核能（控制面板、馬達(dá)控制、系統(tǒng)監(jiān)控）與航空電子等領(lǐng)域。圖 1 ： arm處理器橫跨消費(fèi)類與數(shù)據(jù)服務(wù)器應(yīng)用領(lǐng)域，打入、工業(yè)電子等各種產(chǎn)業(yè)，然而在這些領(lǐng)域當(dāng)中，iec 61508、iso 26262等標(biāo)準(zhǔn)所規(guī)范的功能性平安需求，為微控制器軟件開發(fā)社群帶來了新的壓力。整體而言，系統(tǒng)對(duì)智能功能的需求增強(qiáng)，帶動(dòng)了arm處理器為市場所廣泛采納，但這也要求業(yè)者必需具備整合能力與

4、彈性以降低成本，提供更多功能，并隨時(shí)更新系統(tǒng)。與此同時(shí)，許多采納硬編碼規(guī)律來提供各種功能的設(shè)計(jì)，現(xiàn)在都逐漸整合到由軟件所控制的32位微控制器，從而又產(chǎn)生出新的問題。設(shè)計(jì)重心逐漸移轉(zhuǎn)至微控制器與程序編碼功能，也同時(shí)將平安問題推向軟件領(lǐng)域，讓平安應(yīng)用程序符合iec 61508標(biāo)準(zhǔn)的責(zé)任，也因此落在軟件開發(fā)人員的肩上。這套標(biāo)準(zhǔn)原本規(guī)范的是電氣與或電子系統(tǒng)的功能平安性，現(xiàn)在則同時(shí)涵蓋平安系統(tǒng)的電子組件。圖 2 ： iec 61508及相關(guān)產(chǎn)業(yè)專用標(biāo)準(zhǔn)，能幫助平安相關(guān)的電氣、電子與可編程系統(tǒng)符合最新要求。功能性平安能讓平安相關(guān)系統(tǒng)針對(duì)輸入做出正確響應(yīng)，進(jìn)而避開不須要的挺直或間接風(fēng)險(xiǎn)以及損傷。因?yàn)閕ec

5、61508標(biāo)準(zhǔn)用語含糊，因此衍生出各種產(chǎn)業(yè)專用的標(biāo)準(zhǔn)，例如專供鐵路運(yùn)送用法的en50126/8/9、醫(yī)療器件專用的iec 60601、核能專用的iec 60880，還有陸上交通工具專用的iso 26262。 iso 26262適用于3,500公斤以下量產(chǎn)客用車的平安相關(guān)系統(tǒng)，但不包括殘障專用等特別用途車輛。普通汽車?yán)锏奈⒖刂破魍噙_(dá)150個(gè)，而隨著消費(fèi)者導(dǎo)向的導(dǎo)航系統(tǒng)被整合到駕駛輔助、運(yùn)動(dòng)檢測系統(tǒng)、推動(dòng)、車載動(dòng)態(tài)控制與主動(dòng)被動(dòng)平安系統(tǒng)時(shí)，汽車逐漸成為運(yùn)算裝置涉足平安系統(tǒng)的一個(gè)討論案例。平安系統(tǒng)開發(fā)人員所瀕臨的壓力與日俱增，汽車也成為典型案例。相較于過去動(dòng)輒長達(dá)3到10年的產(chǎn)品生命周期，現(xiàn)在還

6、得協(xié)作消費(fèi)類裝置（12到18個(gè)月）的設(shè)計(jì)周期。汽車?yán)锏?50個(gè)微控制器都仰賴軟件程序運(yùn)轉(zhuǎn)，有時(shí)甚至像編譯器這樣的基本組件也會(huì)造成系統(tǒng)故障，只因注入了不簡單發(fā)覺的錯(cuò)誤，并在功能測試階段有可能無法檢測。這會(huì)對(duì)系統(tǒng)持續(xù)造成風(fēng)險(xiǎn)，但只要符合iec 61508標(biāo)準(zhǔn)，再加上iso 26262，就能將風(fēng)險(xiǎn)降至可以容忍的程度。舉例來說，iec 61508最佳實(shí)務(wù)準(zhǔn)則建議一開頭就要用法可以信賴的工具。普通普遍認(rèn)為編譯器是t3分類的離線支持工具，表示編譯器會(huì)挺直或間接影響平安系統(tǒng)的可執(zhí)行代碼，因此挑選編譯器“是有其正值性的”。iec 61508-3 section 7.4.4.3我們可以藉由通過驗(yàn)證且正在用法的實(shí)

7、證，來呈現(xiàn)工具的成熟度與穩(wěn)定性，再加上來自業(yè)界專家的第三方評(píng)估以及廠商擔(dān)保，藉此證實(shí)挑選的正值性。最佳實(shí)務(wù)準(zhǔn)則還能加以延長，用來驗(yàn)證輸出以及語言子集的用法，像是misra c/c+。測試目標(biāo)所用法的軟件自然重要，但要如何得知已經(jīng)測試了每種可能發(fā)生的情況？究竟沒有執(zhí)行的程序代碼就無法測試。這時(shí)就要利用代碼籠罩率分析，來辨識(shí)尚未執(zhí)行的程序代碼，進(jìn)而確保囫圇應(yīng)用程序均已測試完畢。分析代碼籠罩率可利用源代碼插裝或跟蹤數(shù)據(jù)，由于串流跟蹤的影響程度最小。至于語言子集，在許多案例當(dāng)中，高階程序設(shè)計(jì)語言的定義不完整或含糊不清，造成不同編譯器的行為也有所不同?！皣?yán)格模式”，還有misra c/c+之類的語言子集

8、，就是為了消退這些模棱兩可的情況所設(shè)計(jì)，同時(shí)還能：確保用法的語言與標(biāo)準(zhǔn)語言全都；替未定義的行為設(shè)定規(guī)章；移除免工具用法選項(xiàng)；強(qiáng)制統(tǒng)一編碼式樣（例如：/*.*/ versus /）；充實(shí)可讀性；并縮小整體所需測試范圍。iso 26262比iec 61508更進(jìn)一步，提供的架構(gòu)更考究詳情，在這樣的架構(gòu)下可考慮采納以其它技術(shù)為基礎(chǔ)所開發(fā)的平安系統(tǒng)。涵蓋范圍從產(chǎn)品周期管理到供貨商關(guān)系，但對(duì)于軟件開發(fā)人員來說，它提供了一種專為汽車設(shè)計(jì)、以風(fēng)險(xiǎn)為基礎(chǔ)的辦法來評(píng)判完整性，而這套辦法就稱為汽車平安完整性等級(jí)（automotive safety integrity levels; asils）。用法asils明

9、確定義iso 26262的適用要求，以避開不合理的剩余風(fēng)險(xiǎn)，同時(shí)提供驗(yàn)證需求與確認(rèn)措施，以確保達(dá)到足夠且可接受的平安程度。建議：遵守默認(rèn)標(biāo)準(zhǔn)好消息是，在iso 26262公布后才開頭的設(shè)計(jì)，并不一定要遵循其設(shè)計(jì)指南，才干成就“最先進(jìn)”的設(shè)計(jì)準(zhǔn)則并取得法律庇護(hù)。不過聰慧的業(yè)者會(huì)強(qiáng)制遵循其廣泛的標(biāo)準(zhǔn)，由于傳統(tǒng)上說這的確是一種好的做法也能確保全都性，同時(shí)還能降低成本，由于目前不包括在標(biāo)準(zhǔn)里的要求，很可能明天就會(huì)被列入，所以最好從一開頭就加以制度化。但要同時(shí)符合iec 61508與iso 26262，每個(gè)步驟都必需預(yù)備解釋文件，從離線工具用法的合理性，向來到工具行為、手冊(cè)、危急分析、編譯器缺失報(bào)告、歷

10、史版本、測試報(bào)告，還有實(shí)際及預(yù)期結(jié)果的差異報(bào)告，都只是其中少數(shù)幾個(gè)項(xiàng)目。這樣的解釋文件需要投入極大心力，花費(fèi)時(shí)光且成本昂貴，這時(shí)軟件系列工具供貨商就能派上用場。他們是工具的專家。舉例來說，他們熟知編譯器如何運(yùn)作、如何利用平安應(yīng)用程序，也了解如何利用它來取得既定輸出并利于平安相關(guān)開發(fā)。arm compiler系列軟件工具就是一個(gè)很好的用法案例，它最近取得了德國平安技術(shù)檢驗(yàn)機(jī)構(gòu)tüv süd的認(rèn)證。取得該認(rèn)證后客戶便能將arm compiler建立工具應(yīng)用在平安相關(guān)開發(fā)，最高可達(dá)平安完整性等級(jí)第三級(jí)(sil3, iec 61508)以及汽車sild(asild, iso 26262)，而無須舉行其他合格驗(yàn)證。還有arm compiler 規(guī)范套件可擴(kuò)充tüv süd驗(yàn)證功能，其中包括平安手冊(cè)、缺失報(bào)告、測試報(bào)告與開發(fā)程序報(bào)告做為支持?jǐn)?shù)據(jù)。圖 3 ： 對(duì)于生產(chǎn)汽車應(yīng)用程