面向 ISO 26262 的三層一體功能安全驗證:從功能到監控到 MCU(Vector 全工具鏈)方案介紹

in 技術文章 on

1、我們解決什麼問題

  • 證據化驗證:圍繞 ISO 26262 與產業三層最佳實踐(功能層 L1|功能監控層 L2|控制器監控層 L3),把診斷覆蓋率(DC)、檢測與反應時間窗(DTI/FTTI)及失效反應一致性做成可審計證據包; 其中 TA Tool Suite將時序約束(TIMEX)轉為可測可證的在板證據,Safety 諮詢則將證據口徑與評審清單一一校準。
  • 一條龍工具與方法:以 Vector 全工具鏈打通「模擬→台架→實車」的用例·注入·量測·重播·報告閉環; 同時將“時間”此關鍵非功能需求貫穿全週期(設計→模擬→在板驗證→CI 監督):D YNA4/CANoe/vTESTstudio 編排與執行,VT System 硬注入,CANape/VX1000 高頻寬採集,TA Tool Suite校驗並出時序報告,Safety 諮詢固化流程與標準映射,確保結果既可測得、更可清楚說明。

2、方案總覽(L1/L2/L3 × Vector 工具族)

  • L1 功能層:驗證功能自檢、限幅、感測執行鏈路及演算法邊界。 工具組合:CANoe(系統模擬與自動化重播)+vTESTstudio(用例/腳本)+VT System(硬注入)+CANape/VX1000(變數與波形測量)。
  • L2 功能監控層:驗證冗餘估算與合理性監控,確認獨立性、容差帶、降級觸發時序。 工具組合:CANoe+vTESTstudio(失配場景編排與Trace比對)+DYNA4/vADASdeveloper(場景批量構造與快速原型)。
  • L3 控制器監控層:驗證看門狗、問答監控、啟動自檢與可靠關斷,MCU/OS 級時間合規為重點。 工具組合:VT System(電源/時脈/IO 故障注入)+CANape/VX1000(高頻寬在板時序)+CANoe(統一時間軸報告)。

2.1 TA Tool Suite在三層中的角色:把“時間約束(如 TIMEX 定義)→目標機 Trace 校驗→CI/CD 持續監督”連成閉環,直接產出 L2/L3 的 DTI/FTTI 與回應分佈證據。

2.2關鍵拼圖一:TA Tool Suite|時間視窗變成審計證據

2.2.1定位:覆蓋 ECU 全開發週期的“時序”非功能需求; 從設計到在板驗證,統一到一套工具鏈中。

  • 設計期(TA.Design):可視化系統依賴與通訊依賴; 基於 AUTOSAR TIMEX 定義、分解時序約束,指導可運作體部署並用於品質/回歸評估。
Figure 1 TA.Design 通訊依賴 與 TIMEX 約束
Figure 1 TA.Design 通訊依賴 與 TIMEX 約束
  • 在板驗證(TA.Inspection:對應用與操作系統的時序行為進行驗證,基於目標機調度 Trace產出回應、負載、抖動分佈等可視化證據(甘特/負載/直方圖/指標表)。
Figure 2 分析時間行為
Figure 2 分析時間行為

2.2.2數據與整合

  • Trace 輸入:支持來自 VX1000 等測量工具的在板調度/事件 Trace; 也支援 TASKING、Lauterbach等Trace工具,支援BTF、OT1、MDF、CSV等常見的Trace檔格式。
  • DaVinci 的工程一致性:專案設計數據與 TA Tool Suite 可直接進出,保證“設計—實現—驗證”的口徑一致。
  • CI/CD 持續監督:將 TA. Inspection 接入流水線,自動監督關鍵時序指標與約束,常見用法是回歸閾值告警+自動導出報告。

小結:TA Vector 工具鏈裡「測到的時間」變成能過審的證據——TIMEX 約束→Trace 校驗→CI 監管,全鏈打通。

2.3關鍵拼圖二:Safety 諮詢|將流程、方法與證據口徑一次到位

Vector Safety Consulting 為你的團隊提供貫穿生命週期的安全方法與能力加持:標準化流程導入、概念/架構評審、供應商評估、Interim Safety Manager(過渡/外援安全經理)、以及 SafetyCheck 快速差距分析與改進路線。

  • 為什麼需要諮詢並行?
    • 全生命週期對齊:把 ISO 26262 / IEC 61508 等方法與流程嵌入日常工程,確保安全產物持續可維護。
    • SafetyCheck:360° 快速評估方法/流程/能力差距,輸出改進建議與正式報告(COMPASS)。
    • Interim Safety Manager:現場引導與教練式賦能,優化安全管理、用好標準並覆蓋全生命週期。
    • FUSA/SOTIF 與培訓:導入FUSA/ SOTIF 方法,提供實戰培訓與教練,尤其適配 ADAS 等場景。

小結:工具鏈提供數據與證據,Safety 諮詢把證據和流程說成審計聽得懂的話

Figure 3 功能安全
Figure 3 功能安全

工作流

  1. 差距評估與目標定義:基於SafetyCheck工作坊,凍結評審口徑與度量閾值(DC/FTTI等),並綁定到用例、注入、時序規則。
  2. 場景與用例編排:用 vTESTstudio 建立等價類/邊界場景庫; CANoe 統一執行; DYNA4 先行篩選大場景。
  3. 台架與在板驗證:VT System 做硬注入; CANape/VX1000 抓 MCU/OS 調度與關鍵變數; TA. Inspection 校驗時序與產出報告。
  4. 認證打包:導出故障庫、用例與腳本、Trace/波形、TA 報告、評審映射清單,一次打包提交。
Figure 4 測試系統
Figure 4 測試系統

3 選擇這套(工具+方法)組合的理由

  • 時序閉環能力:TIMEX 約束定義→模擬→在板 Trace 校驗→CI 監管,統一在TA裡完成,避免“測得出但證不了”的尷尬。
  • 諮詢即落地:Safety 諮詢將 ISO 26262 / SOTIF / ASPICE 的要求,翻譯成你的流程範本、里程碑清單和評審口徑。
  • 數據到證據:VX1000/調試器 Trace → TA 甘特/分佈/指標表 → 審計映射清單,一鍵打包可重播。

4 下一步

預約聯合PoC(工具+SafetyCheck):用一個功能點跑通“虛擬→台架→在板→報告”的閉環,產出可審計證據。

與FSG功能安全專家們繼續深入探討

本文由Vector提供

延伸閱讀⎟

使用經過認證的工具鏈,加速汽車功能安全產品開發和ISO 26262標準認證
在 Zephyr 中進行靜態程式碼分析:透過 IAR C-STAT 建立更安全、更乾淨的程式碼