KOSTAL亚洲研发中心获得ISO 26262 ASIL D基于模型设计的汽车软件开发认证

汽车ESCL防止盗窃锁定方向盘时，车辆停放。由于这种系统可能会导致危险，如果它错误地锁定车轮时，汽车在移动，ESCL软件必须开发到ISO 26262 ASIL D，最高功能安全标准。

为了实现这一目标，KOSTAL需要满足ISO 26262 ASIL D的所有要求，包括通过背靠背测试(包括软件在循环(SIL)和处理器在循环(PIL)测试)对自动生成的代码进行软件验证。KOSTAL工程师需要支持来快速建立必要的框架。

KOSTAL采用基于模型的MATLAB设计^®和仿真软件^®开发ESCL应用软件，并通过ISO 26262 ASIL D认证。

该公司与MathWorks工程师合作建立PIL测试框架，并为刚接触基于模型设计的软件开发团队成员提供培训。

在Simulink和statflow中工作^®， KOSTAL工程师开发了ESCL软件应用层模型，其中包括一个有限状态机来定义顺序决策逻辑。

该团队基于MathWorks汽车咨询委员会(MAAB)的指导方针创建了建模标准，并使用Simulink Check™来确保他们的模型符合标准。

他们在Simulink中运行仿真来验证设计的功能，并使用Simulink Coverage™来测量功能测试的模型覆盖率。

他们使用Simulink Design Verifier™应用形式化方法来识别模型中的死逻辑和其他设计错误。

工程师们使用嵌入式编码器从ESCL模型生成C代码^®．他们使用Polyspace Code Prover™和Polyspace Bug Finder™检查生成的代码和手写代码的运行时错误。

然后他们使用生成的代码运行背靠背的PIL测试，并在MATLAB中比较测试结果。

为了简化认证过程，工程师们使用了ISO 26262和IEC 61508的IEC认证套件。他们通过了一些工具的认证，包括Embedded Coder, Simulink Coverage, Polyspace Bug Finder和Polyspace Code Prover。

ESCL是ISO 26262 ASIL D认证，并已被中国最大的汽车制造商之一批准生产。基于模型的设计现在是KOSTAL要求功能安全认证的项目的首选方法。

• 开发和认证时间缩短了30%。“如果没有基于模型的设计，我们将需要至少30%的时间来开发和认证ESCL应用软件，”Hui说。“我们通过生成满足所有速度和内存需求的高效代码，节省了时间和精力。”
• 在建模阶段识别出80%的错误。“使用基于模型的设计，我们在模型开发和仿真阶段识别并解决了80%的逻辑和功能错误，”Hui说。这种早期的验证，结合Polyspace静态分析，节省了大量的验证和测试工作。”
• 建立了ISO 26262的PIL测试框架。“我们在应用软件中使用基于模型的设计。根据ISO 26262，自动生成的代码应该使用PIL进行测试。MathWorks工程师在建立背靠背PIL测试框架方面为我们提供了特殊的支持，”Hui说。“该框架对我们如期获得ISO 26262认证的能力起到了重要作用。”