运用ARM处理器系列软件工具可加速遵循安全至上的规范

1、运用arm处理器系列软件工具可加速遵循安全至上的规范越来越多程序设计人员在设计平安相关应用程序时采纳处理器，范围遍及医疗、运送、航空与工业领域。因此，透过这些处理器所执行的软件也受到更为严格的检查，由于任何一个小错误都有可能导致严峻后果。为了避开导致这样的后果，包括iec 61508，还有最近才通过的汽车业iso 26262等平安标准应运而生，以确保开发人员与客户在软件方面能符合业界最先进的最佳实务准则。即便如此，要打算标准当中有哪些元素适用，哪些不适用，接下来还要确保整体设计符合标准，囫囵过程十分耗时以致于令人却步。因为消费类器件的设计周期极短且逐渐与汽车平安系统整合，开发人员也因此濒临更大

2、的时光压力，必需在日益紧迫的设计周期期限前完成设计改动。所幸针对软件开发工具与相关作业，软件系列工具厂商具备普通软件开发人员所没有的信息与学问，因此在市场中具有独特定位，能为全部平安相关软件开发人员提供支持。对编译器来说更是如此，由于编译器能挺直影响系统平安性，而且其有可能产生的注入错误，后续功能设计测试却无法检测。因此，系列软件工具组很适合那些用法基于arm核心处理器的开发人员，能使开发人员确保系统符合规矩规范，并同时对付日益增强的产品上市时光的压力。arm 处理器逐渐拓展应用陪同移动的风潮，加上持续扩展的生态系统提供支持，基于arm核心处理器的应用已从智能手机与等器件，拓展到基础架构设备及

3、数据服务器。现在，设计人员也逐渐开头将它们导入平安相关的应用。这类应用涵盖了工业（马达控制、工厂、远距监控）；汽车（底盘控制、车身与平安、仪表板、智能、引擎控制、防抱死刹车）；医疗（注入泵、起搏器、病患监控）；铁路（信号与通讯控制）；核能（控制面板、马达控制、系统监控）与航空电子等领域。图 1 ： arm处理器横跨消费类与数据服务器应用领域，打入、工业电子等各种产业，然而在这些领域当中，iec 61508、iso 26262等标准所规范的功能性平安需求，为微控制器软件开发社群带来了新的压力。整体而言，系统对智能功能的需求增强，带动了arm处理器为市场所广泛采纳，但这也要求业者必需具备整合能力与

4、弹性以降低成本，提供更多功能，并随时更新系统。与此同时，许多采纳硬编码规律来提供各种功能的设计，现在都逐渐整合到由软件所控制的32位微控制器，从而又产生出新的问题。设计重心逐渐移转至微控制器与程序编码功能，也同时将平安问题推向软件领域，让平安应用程序符合iec 61508标准的责任，也因此落在软件开发人员的肩上。这套标准原本规范的是电气与或电子系统的功能平安性，现在则同时涵盖平安系统的电子组件。图 2 ： iec 61508及相关产业专用标准，能帮助平安相关的电气、电子与可编程系统符合最新要求。功能性平安能让平安相关系统针对输入做出正确响应，进而避开不须要的挺直或间接风险以及损伤。因为iec

5、61508标准用语含糊，因此衍生出各种产业专用的标准，例如专供铁路运送用法的en50126/8/9、医疗器件专用的iec 60601、核能专用的iec 60880，还有陆上交通工具专用的iso 26262。 iso 26262适用于3,500公斤以下量产客用车的平安相关系统，但不包括残障专用等特别用途车辆。普通汽车里的微控制器往往多达150个，而随着消费者导向的导航系统被整合到驾驶辅助、运动检测系统、推动、车载动态控制与主动被动平安系统时，汽车逐渐成为运算装置涉足平安系统的一个讨论案例。平安系统开发人员所濒临的压力与日俱增，汽车也成为典型案例。相较于过去动辄长达3到10年的产品生命周期，现在还

6、得协作消费类装置（12到18个月）的设计周期。汽车里的150个微控制器都仰赖软件程序运转，有时甚至像编译器这样的基本组件也会造成系统故障，只因注入了不简单发觉的错误，并在功能测试阶段有可能无法检测。这会对系统持续造成风险，但只要符合iec 61508标准，再加上iso 26262，就能将风险降至可以容忍的程度。举例来说，iec 61508最佳实务准则建议一开头就要用法可以信赖的工具。普通普遍认为编译器是t3分类的离线支持工具，表示编译器会挺直或间接影响平安系统的可执行代码，因此挑选编译器“是有其正值性的”。iec 61508-3 section 7.4.4.3我们可以藉由通过验证且正在用法的实

7、证，来呈现工具的成熟度与稳定性，再加上来自业界专家的第三方评估以及厂商担保，藉此证实挑选的正值性。最佳实务准则还能加以延长，用来验证输出以及语言子集的用法，像是misra c/c+。测试目标所用法的软件自然重要，但要如何得知已经测试了每种可能发生的情况？究竟没有执行的程序代码就无法测试。这时就要利用代码笼罩率分析，来辨识尚未执行的程序代码，进而确保囫囵应用程序均已测试完毕。分析代码笼罩率可利用源代码插装或跟踪数据，由于串流跟踪的影响程度最小。至于语言子集，在许多案例当中，高阶程序设计语言的定义不完整或含糊不清，造成不同编译器的行为也有所不同。“严格模式”，还有misra c/c+之类的语言子集

8、，就是为了消退这些模棱两可的情况所设计，同时还能：确保用法的语言与标准语言全都；替未定义的行为设定规章；移除免工具用法选项；强制统一编码式样（例如：/*.*/ versus /）；充实可读性；并缩小整体所需测试范围。iso 26262比iec 61508更进一步，提供的架构更考究详情，在这样的架构下可考虑采纳以其它技术为基础所开发的平安系统。涵盖范围从产品周期管理到供货商关系，但对于软件开发人员来说，它提供了一种专为汽车设计、以风险为基础的办法来评判完整性，而这套办法就称为汽车平安完整性等级（automotive safety integrity levels; asils）。用法asils明

9、确定义iso 26262的适用要求，以避开不合理的剩余风险，同时提供验证需求与确认措施，以确保达到足够且可接受的平安程度。建议：遵守默认标准好消息是，在iso 26262公布后才开头的设计，并不一定要遵循其设计指南，才干成就“最先进”的设计准则并取得法律庇护。不过聪慧的业者会强制遵循其广泛的标准，由于传统上说这的确是一种好的做法也能确保全都性，同时还能降低成本，由于目前不包括在标准里的要求，很可能明天就会被列入，所以最好从一开头就加以制度化。但要同时符合iec 61508与iso 26262，每个步骤都必需预备解释文件，从离线工具用法的合理性，向来到工具行为、手册、危急分析、编译器缺失报告、历

10、史版本、测试报告，还有实际及预期结果的差异报告，都只是其中少数几个项目。这样的解释文件需要投入极大心力，花费时光且成本昂贵，这时软件系列工具供货商就能派上用场。他们是工具的专家。举例来说，他们熟知编译器如何运作、如何利用平安应用程序，也了解如何利用它来取得既定输出并利于平安相关开发。arm compiler系列软件工具就是一个很好的用法案例，它最近取得了德国平安技术检验机构tüv süd的认证。取得该认证后客户便能将arm compiler建立工具应用在平安相关开发，最高可达平安完整性等级第三级(sil3, iec 61508)以及汽车sild(asild, iso 26262)，而无须举行其他合格验证。还有arm compiler 规范套件可扩充tüv süd验证功能，其中包括平安手册、缺失报告、测试报告与开发程序报告做为支持数据。图 3 ： 对于生产汽车应用程