軟件架構(gòu)設(shè)計(jì)是功能安全軟件開(kāi)發(fā)過(guò)程中的關(guān)鍵階段����,作為實(shí)現(xiàn)軟件安全需求和軟件需求的載體,它定義了軟件架構(gòu)要素并將其細(xì)化到能夠識(shí)別出軟件單元的程度。
ISO26262 Part6 Clause7中要求:軟件架構(gòu)設(shè)計(jì)應(yīng)描述軟件架構(gòu)要素的靜態(tài)設(shè)計(jì)方面和動(dòng)態(tài)設(shè)計(jì)方面���。接下來(lái)���,我們將通過(guò)“功能安全之軟件架構(gòu)設(shè)計(jì)”專(zhuān)題分別從功能安全軟件靜態(tài)架構(gòu)設(shè)計(jì)、動(dòng)態(tài)架構(gòu)設(shè)計(jì)�����、多核和部署三個(gè)方面進(jìn)行介紹�。
本文中,我們將重點(diǎn)介紹軟件架構(gòu)的定義和描述方法�、軟件架構(gòu)的設(shè)計(jì)原則、軟件架構(gòu)的靜態(tài)設(shè)計(jì)和軟件架構(gòu)設(shè)計(jì)的注意事項(xiàng)�����。
軟件架構(gòu)是軟件要素的結(jié)構(gòu)化表征��,通過(guò)將軟件需求分配給軟件組件���,從而識(shí)別并劃分軟件組件及其邊界和信號(hào)交互。軟件架構(gòu)設(shè)計(jì)是指全部軟件組件及其在層次結(jié)構(gòu)中的交互��,既要滿足軟件安全需求,又要滿足其它軟件需求�����。因此�,軟件架構(gòu)包括安全相關(guān)的軟件組件和非安全相關(guān)的軟件組件。
軟件架構(gòu)設(shè)計(jì)的描述方法如下表所示:
表1 軟件架構(gòu)設(shè)計(jì)描述方法
1b. 語(yǔ)法和語(yǔ)義定義均不完整的描述方法�;
1c. 語(yǔ)法定義完整、但語(yǔ)義定義不完整的描述方法���,如SysML�����、UML��、Simulink和Statefolw等�����;
1d. 語(yǔ)法和語(yǔ)義均被完整定義的描述方法�����,如Zed����、NuSMV、PVS��、VDM和數(shù)學(xué)公式等���。
注:盡管ISO26262 要求ASIL C及以上等級(jí)的軟件架構(gòu)設(shè)計(jì)描述方法要采用半形式化描述法�����,但是沒(méi)必要對(duì)所有ASIL C及以上等級(jí)的軟件架構(gòu)設(shè)計(jì)都使用半形式化描述方法���。
在進(jìn)行軟件架構(gòu)設(shè)計(jì)時(shí),我們需要考慮軟件架構(gòu)的簡(jiǎn)單性�����、一致性�、封裝性、可理解性��、可驗(yàn)證性和可維護(hù)性等����,同時(shí)結(jié)合軟件架構(gòu)的設(shè)計(jì)原則對(duì)軟件架構(gòu)進(jìn)行開(kāi)發(fā)和設(shè)計(jì)����。軟件架構(gòu)設(shè)計(jì)原則如下表所示:
表2 軟件架構(gòu)設(shè)計(jì)原則
1a. 軟件組件需要采用分層架構(gòu)����,如AUTOSAR架構(gòu)或類(lèi)AUTOSAR架構(gòu)��;
1b. 每個(gè)軟件組件都不能太大��,邏輯不能太復(fù)雜�,圈復(fù)雜度不能太高,具體詳見(jiàn)“功能安全之執(zhí)行低復(fù)雜性”�����;
1c. 軟件組件的接口數(shù)量不能太多���,接口數(shù)量的增加會(huì)導(dǎo)致軟件組件復(fù)雜度的升高���;
1d&1e. 軟件組件內(nèi)部要實(shí)現(xiàn)功能內(nèi)聚,軟件組件之間要降低耦合���;
1f. 軟件的調(diào)度要合理�����,確保所有的Task能夠被操作系統(tǒng)有條不紊的調(diào)度并正確執(zhí)行��;
1g. 少使用中斷����,如果必須使用,需要先定義中斷的優(yōu)先級(jí)����;
1h. 需要對(duì)軟件組件進(jìn)行內(nèi)存分區(qū)與訪問(wèn)權(quán)限保護(hù),確保軟件組件之間免干擾�����;
1i. 要對(duì)共享資源進(jìn)行管理���,常見(jiàn)的共享資源包括:供電�、時(shí)鐘和驅(qū)動(dòng)等�����。
軟件架構(gòu)的靜態(tài)設(shè)計(jì)本文以VCU扭矩計(jì)算中加速踏板相關(guān)的軟件安全需求為例�����,通過(guò)半形式化方法描述功能安全軟件靜態(tài)架構(gòu)中“加速踏板合理性校驗(yàn)”軟件組件的數(shù)據(jù)接口和函數(shù)接口。接口信息如下圖所示:
圖1 “加速踏板合理性校驗(yàn)”靜態(tài)架構(gòu)
將所有的軟件安全需求和其它軟件需求按照軟件架構(gòu)設(shè)計(jì)原則進(jìn)行設(shè)計(jì)后��,得到的應(yīng)用層軟件架構(gòu)�、系統(tǒng)服務(wù)層架構(gòu)�、ECU抽象層架構(gòu)和MCU抽象層架構(gòu)如下圖所示:
圖2 應(yīng)用層軟件架構(gòu)
圖3 系統(tǒng)服務(wù)層軟件架構(gòu)
圖4 ECU抽象層軟件架構(gòu)
圖5 MCU抽象層軟件架構(gòu)
最后,將應(yīng)用層����、RTE、系統(tǒng)服務(wù)層�����、ECU抽象層和MCU抽象層軟件架構(gòu)匯總到一起�����,即可得到VCU的軟件總體架構(gòu)���,如下圖所示:
圖6 VCU軟件總體架構(gòu)
軟件架構(gòu)設(shè)計(jì)的注意事項(xiàng)在進(jìn)行軟件架構(gòu)設(shè)計(jì)時(shí)����,有一些常見(jiàn)的注意事項(xiàng),主要包括:
a. 軟件架構(gòu)設(shè)計(jì)既要考慮軟件安全需求�,又要考慮其它軟件需求;
b. 軟件架構(gòu)設(shè)計(jì)是對(duì)整體軟件架構(gòu)的設(shè)計(jì)����,不一定局限于某個(gè)微控制器或ECU;
c. 軟件組件應(yīng)按照分配給它的所有需求的最高的ASIL等級(jí)來(lái)進(jìn)行開(kāi)發(fā)�;
d. 軟件架構(gòu)設(shè)計(jì)應(yīng)被開(kāi)發(fā)到能夠識(shí)別出軟件單元的程度;
e. 如果嵌入式軟件的最高等級(jí)為ASIL D�,需要對(duì)軟件組件行適當(dāng)?shù)目臻g隔離;
f. 應(yīng)該對(duì)嵌入式軟件所需資源進(jìn)行上限預(yù)估�����,包括:時(shí)間資源����、內(nèi)存資源和通信資源等;
g. 一個(gè)軟件分區(qū)內(nèi)的Task�����,彼此之間不能免于干擾��;
h. 一個(gè)軟件分區(qū)不能改變其它軟件分區(qū)的代碼或數(shù)據(jù),也不能控制其它軟件分區(qū)的非共享資源���。
