马勇刚:汽车电子控制单元软件质量如何保障?

  “智能网联汽车的发展,给汽车企业带来了深远的影响,汽车行业的变革带来了汽车软件的快速发展,但软件及其复杂度的增大带来了质量事故和召回的增多,汽车电子控制单元软件的质量如何保障?”9月23日晚,在《中国汽车报》与广州智能网联汽车示范区运营中心联合推出的“2020智能网联汽车精品课”第29讲中,广州赛宝认证中心技术经理马勇刚以“智能网联背景下的汽车软件发展——汽车软件开发过程之ASPICE标准导读”为主题,介绍了智能网联汽车电子电气架构及软件的发展情况,以及如何保障汽车软件质量的思路,并解读了ASPICE(汽车软件过程改进及能力评定)标准。

  ►汽车电子电器架构的三种趋势

  “汽车电子电气架构的发展趋势,主要有车辆集中式架构、域集中电子电气架构、分布式电子电气架构。”马勇刚分别讲述了汽车电子电器架构的三种趋势。

  首先是车辆集中式架构,其包括三个特点,一是位置分布替代传统功能分布,解决了分布式架构方案的不足;二是成本方面,ECU数量增加、现有机械结构重新设计生产等;三是软件开发难度增大。

  其次是域集中电子电气架构,有两个特点,一是小型控制器不再关注复杂算法,而是更多地关注硬件和驱动;冗余软件的开发量大幅度缩减,非常多的控制器可以被精简。二是本质仍然是原有的功能划分,模块间的壁垒仍然没有被打破,而且有很强的硬件捆绑特性。

  再者是分布式电子电气架构,具备两个特点,一是功能划分明确,模块与模块之间严格明确界限,没有干扰;二是传输信号的带宽局限,导致资源无法共享,大量运算资源浪费。

  马勇刚表示,汽车软件主要分为四大类。一是安全类软件,主要是指实现ACC(自适应巡航)/AEB(自动刹车)等ADAS(辅助自动驾驶)功能,服务于自动驾驶的软件;二是网联类软件,将智能手机功能整合,并应用于V2X车路协同;三是信息娱乐软件,将可配置功能用于多屏互动;四是数据分析软件,功能可实现由车辆监控到综合数据服务。

  ►汽车软件质量及其解决思路

  结合主题,马勇刚分别介绍了1987年至2017年制定的国际软件有关研发标准和过程模型、IATF16949:2016推荐的方法和ASPICE与CMMI的过程映射。

  国际软件有关研发标准和过程模型,包括ISO(国际标准化组织)/IEC(国际电工委员会)标准、CMMI(能力成熟度模型集成)研究院标准、Automotive SIG(汽车技术联盟)标准。

  其中,ISO/IEC的ISO15288:2002、ISO15288:2008、ISO15288:2015、ISO/IEC15504-7:2008应用于系统工程;ISO/IEC15504-5:2006、ISO TR15504:1998、ISO/IEC15504:2003、ISO/IEC330XX:2015以及ISO12207:1995、AMD1:2002&AMD2:2004、ISO12207:2008、ISO12207:2017应用于软件行业;TS16949:1999、TS16949:2002、TS16949:2009、TS16949:1999、IATF16949:2016应用于汽车行业;ISO9000:1987、ISO9000:1994、ISO9000:2000、ISO9000:2008、ISO9000:2015应用于任何行业。

  IATF16949:2016推荐的方法的设计初衷,是帮助软件企业进行管理和改进,开发出高质量的软件,也是为了改善汽车电子控制单元(ECU)软件的质量。指定机构是卡内基-梅隆大学下属的软件工程研究中心,并由欧洲主要汽车制造商参与。应用方面是行业通用,目前欧洲和北美主要汽车制造商已经应用于供应商选择和检查。

  ►ASPICE的追溯性和一致性

  在解读了ASPICE标准时,马勇刚讲解了SPICE与ASPICE、ASPICE过程评估模型、审核和过程评估的区别、评估指标、过程评估模型、过程属性可接受定级值、定级举例、ASPICE过程组与过程、工程过程关系,以及ASPICE的关键概念、ASPICE的追溯性和一致性等内容。

  ASPICE过程评估模型包括两个维度,维度一是过程参考模型(过程维度)定义的过程来提供;维度二是进一步细分到过程属性的能力等级(能力维度)构成;过程属性提供了过程能力可度量的特性。

  就审核和过程评估的区别,马勇刚介绍,过程评估主要包括专注于项目层面的产品开发;详细的开发过程;按6个能力等级进行评定,无认证;评估的范围是可选的,其中有过程、能力等级、项目、组织单元。审核主要包括整个公司端到端的业务流程;更抽象的过程;审核结果有通过及不通过;固定的范围。

  过程属性可接受定级值包括未达到目标(N)、部分达到目标(P)、大部分达到目标(L)、完全达到目标(F)。

  ASPICE的关键概念之一是插件,指顶层包含所有以系统“V”字模型组织的系统工程过程。取决于所开发的产品,相应工程领域的特定过程(如:硬件工程HWE,机械工程MEE或软件工程SWE)可以被加入到评估范围。其他的所有过程(如:管理过程和支持过程)不依赖于领域,因此被设计为可在系统级别和领域级别进行应用。

  ASPICE的追溯性和一致性中,追溯性指的是在工作产品之间存在引用或链接,由此可以进一步支持覆盖率、影响分析、需求实施状态跟踪等。相反,一致性关注内容和语义。此外,双向可追溯性可被明确地定义在,一方面是测试用例和测试结果之间;二是变更请求和受这些变更请求影响的工作产品之间。

  ►精彩问答

  在讲座之后,马勇刚还与网友进行了问答互动。记者撷取精华,以飨读者。

  Q:您认为汽车软件是否能定义电子电气架构?理由是什么?

  A:软件定义电气电气架构其内涵我理解是从用户对智能汽车的实际业务需求出发,通过软件功能实现,改变现有电子电气系统的聚合方式,实现新的产品功能,从而满足用户需求。

  Q:汽车软件质量评判的关键是什么?依据主要是基于哪些因素构建的?

  A:软件质量的评估,可以按照国家标准GB8566一级级去拆分,包括功能特性、可靠性、易用性、效率特性、可维护性和可移植性等6个方面。其中在功能特性指标上,要考虑其完备性、正确性;在可靠性方面要考虑到它的可用度、故障率,包括有初期故障率和偶然故障率,以及平均失效的恢复时间等;易用性主要是指易理解、易学习、易操作;效率特性主要是输出结果的时间周期、代码规模等。

  Q:ASPICE标准的关键概念中,追溯性与一致性的意义能否重点讲解一下?

  A:汽车软件及汽车电子,是强安全性的产品,所以追溯性和一致性显得尤为重要。在工程过程中,可追溯性基础实践域V模型左侧过程的受影响的工作产出之间;V模型右侧的相应过程域左侧过程的工作产出之间;V模型右侧的测试用例与测试结果之间;而工程过程中的一致性主要用于V模型左侧过程的受影响的工作产出之间;V模型右侧的相应过程域左侧过程的工作产出之间;在变更和项目管理两个过程中,也需要考虑追溯性与一致性问题。

  Q:ASPICE标准如何帮助汽车软件开发?

  A:宏观层面,要以ASPICE标准约束企业在汽车软件开发过程中制定一系列的规则和要求。具体层面,要从用户的需求作为导入,通过对需求的分析,进行剥离和重组,一直到制定解决方案和架构,再到软件子系统。在整个产品研发过程中,用户的需求都能去层层追溯,这是对工程领域的系统开发和软件开发的帮助。同样,它还可以支持保障这个过程,包括质量保证、配置管理、变更管理等,服务于整个的研发过程。

  

发表评论

电子邮件地址不会被公开。 必填项已用*标注