对ISO 26262中的“验证范围”感到困惑?

Chuck Battikha，西门子EDA验证咨询公司功能安全解决方案架构师开云体育平台登录

你知道你需要验证什么来满足ISO 26262的要求吗?如果你的回答是“不”，这并不奇怪，因为ISO 26262提供了整整三页半的验证定义(第8部分第9条)。它还从标准中的六个地方引用了该条款:从需求的验证来对生成的度量的结果进行验证(SPFM, LFM, PMHF)设计的总体验证,集成设计的验证．简而言之，这一条款更像是一个规划框架。它指定了足够的内容，以便消费者能够使用所需的验证计划、规范和结果可能有足够的信息来确定验证是否充分地计划和执行。

那么如何确定什么ISO 26262需要验证吗?我们从实际标准中的5:7.4.4开始，硬件设计验证．在这里，标准指的是验证条款，但我们已经知道这一部分实际上是关于簿记的。在5:7.4.4中，它调用了包括模拟的方法，但它并没有真正调用什么在这里。的什么是基于问和回答这个问题，我的设计能实现功能安全吗?

在第11部分，ISO 26262应用于半导体的指南(具体来说，表31和表41(典型IC开发人员)中有额外的信息。在这些表格中，标准明确规定了系统故障的广度和深度(以及在5:7.4.4中规定的验证的意图)包括以下元素，具体取决于设计细节:

• 功能验证(数字、模拟、混合信号)
• 时机
• 物理设计，包括综合
• 权力
• 性能
• 集成
• DFT
• 实验室/验证
• 等。

因此，通过比较验证条款的需求和这些需求，很明显，简单地调用功能验证测试用例和它们的通过/失败状态，在与设计中潜在的系统故障进行比较时，将会出现不足。ISO 26262正在寻找计划和捕获所有可能导致系统故障的信息的项目。这包括:

• 功能测试用例状态
• 功能覆盖结果
• 代码覆盖率结果
• 静态计时结果
• 还有一长串……

然而，在考虑满足ISO 26262要求时，所有项目都应该努力完成的是高效地创建和维护ISO工作产品。开云体育KENO快乐彩一旦工作从项目的一个领域(例如:回归结果)“剪切和粘贴”到ISO 26262工作产品，无论是现在还是将来，项目和演示安全设计的能力都受到了影响。开云体育KENO快乐彩

构建工作产品

相反，将验证条款的要求视为管理良好的项目应该已经在做的事情的细化:计划工作，并确保工作按照计划完整而准确地完成，并且已经捕获结果。因此，ISO 26262中定义开云体育KENO快乐彩的工作产品可以被视为:

• 验证计划:一组高层次的文档，可以将验证工作组织到不同的领域，并根据需要设置通过/失败标准。
• 验证规范:说明计划如何实施的一组文件。
• 验证报告:在规范中捕获或引用测试要求的结果。这也包括任何豁免及其理由。例如:关于为什么100%的代码覆盖率是不可能实现的技术解释。

这些文档的组织如图2所示。

将验证计划和规范划分到不同的域可以改进:

1. 信息的可重用性
2. 技术为中心
3. Reviewability

然后编写验证规范以匹配其特定域的范围。例如，数字功能可能需要调用以下实现细节:

1. 随机刺激
2. 直接刺激
3. 功能覆盖
4. 预测器、记分牌和其他UVM结构
5. 通过回归和覆盖结果进行报告

同时，时间验证可能包括:

1. 美国疾病控制与预防中心测试
2. STA过程
3. 专用硬件的动态定时测试
4. 通过步骤检查表和生成报告的审查进行报告

在实践中，这些验证规范可以(也应该)以非常不同的方式编写。因此，没有必要将所有不同的验证文档“强制”为相同的样式。

构建验证文档

在构建和收集验证文档时需要考虑的其他关键点:

1. 避免将大量技术数据剪切和粘贴到验证文档中。尽可能多地使用你的项目创造的东西。参考主验证计划或安全案例中的这些文件。
2. 请记住，这些文档也受ISO 26262(分别为8:8、8:10、8:7)所要求的变更管理、文档和配置计划的约束。
3. 需求(或者，至少是与安全相关的需求)需要双向地跟踪这些文档。这意味着硬件安全需求(HSR)或软件安全需求(SSR)应该同时追溯到测试/检查机制和结果(通过/失败)。开云体育官网入口
   1. 结果可以以多种形式显示:正在运行的测试用例，正在完成并记录的检查表驱动的评审，正在执行的工具和验证的结果，等等。
   2. 双向可追溯性意味着每个需求都可以在验证任务中被验证，并且验证任务中的每个步骤都可以被证明支持一个或多个需求。
   3. 需求可以有多条通往结果的路径。在有约束的随机测试中尤其如此，其中需求的测试可能会追溯到测试(刺激)+记分牌+断言+覆盖率。类似地，一个结果，如功能覆盖覆盖点，可能会链接回多个需求。这就放大了双向需求可追溯性的重要性，并且使用应用程序(如Siemens Polarion)来实现这一功能变得至关重要。开云体育平台登录有关示例，请参见图3。
4. 复杂IP、IC和SoC项目的结果通常由EDA工具创建(例如:西门子EDA Questa验证运行管理器):从验证报告文档中引用这些输出。开云体育平台登录例如，如果您有100个测试用例的回归，不要将VRM输出剪切粘贴到Report中:而是引用应该检入源代码控制(根据配置管理计划)的工具输出，并在Report中总结结果。
   1. 示例:“由<工程师>在<日期>运行回归，结果位于<路径>，表明所有测试通过，覆盖率为100%，如位于<路径>…的覆盖率报告所示。”
   2. 当然，这些引用的报告应该像所有工作产品文档一样进行管理。

我们希望这能揭开ISO 26262标准中关于验证的一些语言的神秘面纱。

如果您需要更深入的指导，了解ISO 26262验证的复杂性，西门子EDA在与团队合作方面可提供丰富的经验，以顺利实现合规性。开云体育平台登录联系您的西门子EDA代表或开云体育平台登录给我们写信开云体育平台登录SiemensEDAServices.sisw@siemens.com