ANSYS SBU 应中伟——基于模型的车载嵌入式系统设计与高安全性代码生成

行梦菡

2017/11/14 发布于 技术 分类

在工业4.0如火如荼的进程中,仿真也率先步入了4.0的新时代,我们深切体会到中国用户对仿真的前所未有的迫切需求及仿真成熟度的整体水平提高,工程仿真已经无处不在。 作为行业的领导者,ANSYS提供的领先的仿真技术和服务也进入了一个新的时代。 这次技术大会将通过8大领域的用户共享,7个应用行业的最新仿真技术和发展,80多场技术演讲,全面诠释仿真4.0下的仿真新时代。

文字内容
1. 基于模型的车载嵌入式系统设计 与高安全性代码生成 应中伟 ANSYS SBU 1 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
2. 挑战和机遇 2 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
3. 汽车行业的发展与趋势(1/3) • 当前汽车行业的迅猛发展,得益于国家和用户对于以下三类汽车的 迫切需求: ❖ 新能源汽车 更安全可靠 ❖ 互联网汽车 ❖ 自动驾驶汽车 更丰富 的功能 更自动化的 驾驶能力 更节能 的技术 更快的通 信速度 3 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
4. 汽车行业的发展与趋势(2/3) • 越来越多的电子电器系统将成为强安全相关的系统 ❖ESP/ESC(车身稳定控制系统)❖DDS(司机瞌睡警示系统) ❖TPMS (胎压实时监控系统) ❖LDWS(车道偏离预警系统) ❖整车控制器(新能源) ❖ACC(自动巡航系统) ❖APA (主动停车辅助系统) ❖电池管理系统(新能源) ❖PEPS(无钥匙进入系统) ❖CCAS(汽车防撞雷达系统) ❖电机控制器(新能源) ❖EPS(电子助力转向系统) ❖PAS(停车辅助系统) ❖EBS (电子制动系统) ❖AFS(自适应前照明系统) ❖SRS(安全气囊) ❖ASR(牵引力控制系统) ❖司机监控系统 ❖安全带预紧 ❖BAS(制动辅助系统) ❖BCM(车身控制系统) ❖EMS/CATS(自适应悬架控制)❖EBD(电子制动力分配系统) ❖More and more…… ❖MCU(微控制单元) ❖EBA(紧急制动辅助系统) 4 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
5. 汽车行业的发展与趋势(3/3) • 法律的要求 ◦ Good News: ✓ 《国际道路交通公约(维也纳)》中对于自动驾驶汽车的修正案正式生效。新的修正案规定,在全面符合联 合国车辆管理条例或者驾驶员可以人工选择关闭该功能的情况下,将驾驶的职责交给车辆的自动驾驶技术可 以明确地被应用到交通运输当中。 ✓ 美国国家公路运输安全管理局(NHTSA)正式发布了《自动驾驶汽车法规》。 ✓ 日本将放宽无人驾驶汽车与无人机的相关法律法规,允许纯自动驾驶汽车进行路试。自动驾驶汽车(有司机) 在2020年可以上高速公路行驶。 ◦ Bad News: ✓ 德国联邦参议院2017年过法律,允许汽车自动驾驶系统未来在特定条件下代替人类驾驶。但法律明确规定, 配有自动5月12日通驾驶系统的汽车内将安装类似“黑匣子”的装置,记录系统运作、要求介入和人工驾驶等 不同阶段的具体情况,以明确交通事故责任。如果事故发生在人工驾驶阶段,则由驾驶人承担责任;如果发 生在系统运作阶段,或由于系统失灵酿成事故,则由汽车制造商承担责任。 ✓ 英国新出台了《汽车技术和航空法案》,旨在在自动驾驶汽车普及之前,帮助保险人和保险公司简化保险流 程。据了解,同一保单承保车辆和乘客会给自动驾驶汽车制造商和软件开发商施加更多压力,因为他们必须 在发生事故时承担赔偿责任。在发生事故时,为了加快事故赔偿速度,英国政府将首先考虑消费者的权益。 5 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
6. 安全分析的技术活动 controllability analysis driving situation analysis hazard analysis risk assessment safety validation failure mode and effects analysis hardware diagnostic coverage metrics change management fault tree analysis safety goals safety requirements configuration management safety architecture functional safety concept Safety standards like ISO 26262 require to perform multiple analysis methods in a consistent, thorough manner 6 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
7. 软件安全性 • 近义词辨析 o 可靠性: ‒ 在规定的条件下和规定的时间内,软件或硬件不引起功能故障的性能指标; o 安全性: ‒ 是软件或硬件在运行中完成规定功能而不致引起系统发生不可接受风险的能力。 • 软件安全性的关键要素 o 一个单独的软件本身不存在安全性的问题。软件安全性是系统安全性的一部分; o 软件工程化( 软件开发技术和软件项目管理 )改进的是软件可靠性; o 安全性保证技术是改进软件安全性的重要手段: ‒ 其核心就是确保安全性需求得以正确、完备、一致的开发、实现和确认。 7 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
8. 传统方法所面临的困难和挑战 • BOSCH关于传统验证手段对于自动驾驶技术有效性的预测 8 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
9. 汽车安全性国际标准(1/2) • ISO 26262是汽车的一个安全性国际标准 o ISO26262是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来 的。经历了大约6年左右的时间,于2011年11月正式颁布,成为国际标准; o 越来越多的国际知名品牌车企对于电子电气部件的采购已经明确提出了新的要求: 部件需要符合ISO26262标准并获得独立的第三方认证。 o 标准主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门 用于汽车控制领域的部件和系统。它旨在提高汽车电子、电气产品功能安全性能; o 标准的核心价值在于:它可以通过系统的功能安全研发管理流程,以及针对汽车 电子控制系统硬件和软件的系统化验证和确认方法,保证电子系统的安全功能在 面对各种严酷条件时不失效,从而保证驾乘人员以及路人的安全。 9 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
10. 汽车安全性国际标准(2/2) Part 1: Vocabulary Part 2: Management of functional safety Part 3: Concept phase Part 4: Product development at the system level Part 5: Product development at the hardware level Part 6: Product development at the software level Part 7: Production and operation Part 8: Supporting processes Part 9: Automotive Safety Integrity Level (ASIL)oriented and safety-oriented analyses Part 10: Guideline on ISO 26262 10 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
11. 行业认证要求所带来的困难和挑战 • 与传统软件项目相比,一个DO-178 DAL A认证级项目将花费3倍的时间: Table-1 - Breadown by Safety Level Concept/Definition System Design/Requirements, Functions and System Architecture System Requirements allocated to Software Plan Sofware Design Coding Testing Integration SW/SW - HW/SW Reviews Total NoCert 9 6 6 6 18 16 18 18 3 100 DAL A 9 12 15 15 40 35 90 35 55 306 11 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
12. 困难和挑战 MORE TIME MORE RISK 12 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
13. 高安全性车载控制系统解决方案 13 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
14. ANSYS SBU Products Help to Cope Functional Safety System Development Embeded Software Ensure system safety by providing state-of-the-art safety, quality and reliability analysis methods in an integrated model based approach Simulate driving scenarios with detailed physics. Virtually test control algorithms, sensor accuracy and vehicle dynamics. Validate safety assumptions by simulation Develop qualified, AUTOSAR compliant safety critical control and HMI software with model based development tools. Fulfill ISO 26262 requirements Safety standards like ISO 26262 require to perform multiple analysis methods in a consistent, thorough manner 14 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
15. medini for Model-based Safety Analysis(1/3) • 功能安全分析和设计过程 OEM Functional SarSefceqotupyierefmorent responsibility Supplier Ensure system safety by providing state-of-the-art safety, quality and reliability analysis methods in an integrated model based approach Model Driven and Integrated Safety Tooling Hazard Analysis and Risk Assessment Safety Goals Safety Requirements Qualitative FMEA, FTA Traceability, Integrations Quantitative FMEDA, FTA Qualitative FMEA, FTA Reliability/ Failure Rates ISO 26262 IEC 61508 ARP 4754 Checklists Compare & Merge Teamwork Task Management 15 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
16. medini for Model-based Safety Analysis(2/3) • 功能安全分析和设计方法 图形化的故障建模 Functional Safety Ensure system safety by providing state-of-the-art safety, quality and reliability analysis methods in an integrated model based approach ❖ 概念阶段(Concept Phase)  目标: ✓ 危害分析 ✓ 确定安全目标  medini功能方法: ✓ 驾驶状况和危险事件管理 ✓ 危害和可操作性分析(HAZOP) ✓ 危害分析和风险评估(HARA) ✓ 支持符合ISO 26262标准的ASIL测定与风 险图,自动计算ASIL等级 支持符合ISO 26262标准的ASIL测定 HARA表 16 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
17. medini for Model-based Safety Analysis(2/3) • 功能安全分析和设计方法 Functional Safety Ensure system safety by providing state-of-the-art safety, quality and reliability analysis methods in an integrated model based approach ❖ 功能安全概念阶段(FSC)  目标: ✓ 从功能安全目标推导功能安全需求 ✓ 把功能安全需求分配给子系统  medini功能方法: ✓ 基于条目和图形的安全需求定义 ✓ 可视化的需求分配和追踪管理 ✓ 故障树分析(FTA) 条目化图形化的安全需求定 义 安全需求分配 定性 FTA 17 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
18. medini for Model-based Safety Analysis(2/3) • 功能安全分析和设计方法 FMEA分析 Functional Safety ❖ 技术安全概念阶段(TSC)  目标: ✓ 按照功能安全概念规定技术安全需求 ✓ 对技术安全需求规定必要的安全机制 ✓ 技术安全需求应分配给系统设计元素 (软硬件)  medini功能方法: 将ASIL调整到目标的ASIL Ensure system safety by providing state-of-the-art safety, quality and reliability analysis methods in an integrated model based approach ✓ 故障模式和影响分析(FMEA) ✓ 支持单点故障分析 ✓ 故障树分析(FTA) ✓ 支持潜在故障硬件度量 ✓ 事件树分析(ETA) ✓ 支持故障率等级 ✓ 故障模式,影响和诊断分析(FMEDA)✓ 支持依据故障率手册的可靠性预测 ✓ 硬件安全性分析的诊断覆盖度指标 18 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
19. medini for Model-based Safety Analysis(3/3) • 功能安全分析和设计目标 Functional Safety Hazard Analysis & Risk Assessment Ensure system safety by providing state-of-the-art safety, quality and reliability analysis methods in an integrated model based approach Safety Requirements System Architecture Model Extended with analysis related properties FMEA HAZOP HW Architectural Metrics FTA 19 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
20. SCADE Architect for System Development (1/4) • 系统开发流程 System Development Simulate driving scenarios with detailed physics. Virtually test control algorithms, sensor accuracy and vehicle dynamics. Validate safety assumptions by simulation Safety Assessment Process FHA Functional Hazard Analysis Motor Functions Safety Requirements System Functions System Development FunctiPonroDceveeslospment Allocation of Functions to Systems PSSA Preliminary System Safety Assessment SSA System Safety Assessment Development of the System Architecture Item Requirements Implementation Certification Allocation of System Requirements to Items System Implementation 20 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
21. SCADE Architect for System Development (2/4) System Development • 系统建模能力 ❖ 基于SysML建模语言 Simulate driving scenarios with detailed physics. Virtually test control algorithms, sensor accuracy and vehicle dynamics. Validate safety assumptions by simulation Use Case Sequence State Machine Block Definition Internal Block Parametric Activity Tables 21 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
22. SCADE Architect for System Development (2/4) System Development • 系统建模能力 ❖ 基于SysML建模语言 用例图 活动图 时序图 需求分析 状态图 Simulate driving scenarios with detailed physics. Virtually test control algorithms, sensor accuracy and vehicle dynamics. Validate safety assumptions by simulation 功能开发 功 能 分 解 功能组件的 接口信息 功能 组件 的调 用关 系 Functional Software Physical Platform 架构设计 22 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
23. SCADE Architect for System Development (3/4) System Development • 基于AUTOSAR的汽车架构设计 ❖ 基于汽车行业的专业模型库 Simulate driving scenarios with detailed physics. Virtually test control algorithms, sensor accuracy and vehicle dynamics. Validate safety assumptions by simulation AUTOSAR Model 23 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017 SCADE Architect
24. SCADE Architect for System Development (3/4) System Development • 基于AUTOSAR的汽车架构设计 ❖ 基于汽车行业的专业模型库 ❖ 支持AUTOSAR 4.2.2标准 ❖ SWC描述文件的导入和导出 ARXML Simulate driving scenarios with detailed physics. Virtually test control algorithms, sensor accuracy and vehicle dynamics. Validate safety assumptions by simulation AUTOSAR Authoring Tool (AAT) SCADE Architect 24 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
25. SCADE Architect for System Development (4/4) System Development • 与安全性分析工具medini的无缝集成 Simulate driving scenarios with detailed physics. Virtually test control algorithms, sensor accuracy and vehicle dynamics. Validate safety assumptions by simulation Hazard Analysis & Risk Assessment Safety Requirements System Architecture Model Extended with analysis related properties FMEA HAZOP HW Architectural Metrics FTA Safety process seamlessly integrated with system development Safety analysis results always consistent Safety requirements discovered and considered early in the design process 25 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
26. SCADE for Model-based Software Development (1/5) Embeded Software • 基于SCADE的MBD软件开发方法 ❖ SCADE定位于安全关键领域的嵌入式软件开发 S afety 架构设计 C ritical Develop qualified, AUTOSAR compliant safety critical control and HMI software with model based development tools. Fulfill ISO 26262 requirements 控制软件 设计 测试验证 环境 人机交互 界面设计 A pplication D evelopment E nvironment 26 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
27. SCADE for Model-based Software Development (2/5) • 基于SCADE的MBD软件开发过程 Embeded Software Develop qualified, AUTOSAR compliant safety critical control and HMI software with model based development tools. Fulfill ISO 26262 requirements 系统需求 系统需求 确认测试 确认测试 System SSoyfsttweamre Traceability Document Project Data Generator Monitor 0)以需Software 求为核心 1)设计 编码合并 为一个活 动 软件需关求键词: 软硬件集成 软件需求模型化T:imAen工a&lySs作tiasck对SDi象mebuula不gtio&n再V是eFriof文ircmaatil档on 和代软硬码件和集试测成试和测 SC架架A构构提消D设E设除前模计计型::实消现除了过模查编程型和和码仿检 验过程证S和过imCu代程ola-t单i码的on元M测提IL集/P试前I成L/H和IL 测试3)需要关 SCADE模 型详细设计 详细设计 真 模型黑 合白盒 测试 目标机测 试 单元测试 注设计和 测试的完 备性 2)以模型为 核心的验证 Model Coverage Host Checker Test Testing SCADE KCG Qualified Code Generator SCADE 自动编代码码生成 Target Testing Adaptor for RTRT, LDRA, VectorCAST Object Code & Compiler Verification 27 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
28. SCADE for Model-based Software Development (3/5) • 满足ISO 26262的ASIL C\D软件开发要求 Embeded Software ❖ 模型语言——直接满足ISO 26262 中对建模和编码的考虑和要求 SCADE语言是同步且形式化的语言(起源于同步语言Lustre)  SCADE语言简单稳定,确定性、强类型、明确的语义  SCADE模型的解释不依赖于读者和运行环境,仅由数学逻辑唯一确定 Develop qualified, AUTOSAR compliant safety critical control and HMI software with model based development tools. Fulfill ISO 26262 requirements 包含安全结构和表述的语言子集(Correct/Safety by construction)  完全符合安全关键软件的编码要求  内嵌的防御性建模机制  模块化、低耦合的建模机制 经过30年的验证研究 absRollRate > kFailSof tRoll Nominal 1 <SMOn> Failsof t nominal Condition mode f ailsof t 1 absRollRate >= kFailSof tRoll <If Block1> 1 X F1 Y mode 图形化的表述,无需学习语言 Y = F2(X); 28 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
29. SCADE for Model-based Software Development (4/5) Embeded Software • 满足ISO 26262的ASIL C\D软件开发要求 ❖ 测试验证——完全支持ISO 26262 中的测试验证要求 语法检查:确保语言语法正确 仿真调试:软件功能仿真和调试 Develop qualified, AUTOSAR compliant safety critical control and HMI software with model based development tools. Fulfill ISO 26262 requirements 时间堆栈分析:与目标平台的符合性 形式化验证:安全性需求验证 黑盒功能测试:确保单元功能的正确性 模型和代码覆盖率:评估验证的完备程度 29 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
30. SCADE for Model-based Software Development (5/5) Embeded Software • 满足ISO 26262的ASIL C\D软件开发要求 ❖ 认证级工具链——获得ISO 26262 ASIL D、IEC50128、DO-178C认证  生成工具(TCL3) ❖ SCADE Suite C/ADA Code Gneration 代码生成器 ✓消除代码的人工走查工作 ✓消除代码级的单元、集成测试工作 ✓消除代码级的覆盖率测试工作 Develop qualified, AUTOSAR compliant safety critical control and HMI software with model based development tools. Fulfill ISO 26262 requirements HLR F1 F2 30 © 2017 ANSYS, Inc. 功能测试和模型覆 盖率测试 消除非预期设计 July 17, 2017 LLR F1 F2 F3 unintended Codes K f1a C G f1b f2 f3 unintended KCG代码生成器 消除非预期代码 ANSYS UGM 2017
31. SCADE for Model-based Software Development (5/5) • 满足ISO 26262的ASIL C\D软件开发要求 ❖ 认证级工具链——获得ISO 26262 ASIL D、IEC50128、DO-178C认证 Embeded Software Develop qualified, AUTOSAR compliant safety critical control and HMI software with model based development tools. Fulfill ISO 26262 requirements  生成工具(TCL3) ❖ SCADE Suite C/ADA Code Gneration 代码生成器 ✓消除代码的人工走查工作 ✓消除代码级的单元、集成测试工作 ✓消除代码级的覆盖率测试工作  验证工具 ❖ SCADE Reporter 详细设计文档生成器 ❖ SCADE MTC 模型覆盖率分析工具 ❖ SCADE Test Environment 模型集成测试环境 ✓消除以上工具执行结果与输入的人工走查工作 ❖ 从而减少开发、验证时间,减少认证风险(可减少30%~50%) ❖ 具备极高的认证信用,远大于100个设备级项目的认证 31 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
32. 总结 32 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
33. Completed MBD for Automotor E/E System 条例法规 用户需求 Functional Safety Architect Imported Architect Updated Model Level Product Codes AUTOSAR System Development Logic Architect Imported Embeded Software ISO 26262 Compliance 子系统安 全性需求 子系统 功能需求 软件需求 33 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
34. Benefit for Automotor Development Saving Times for Safety & System & Software Development Promote Quality of Embeded Software Saving Times & Reducing Risks for ISO 26262 Certification 34 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017
35. 感谢聆听 35 © 2017 ANSYS, Inc. July 17, 2017 ANSYS UGM 2017