图10. 在创建对安全至关重要的测试用例时,故障树分析是一个重要的参考文档。
使用FTA作为流程图,您可以为每个具有足够高风险的FMEA项目设计测试用例(“足够高”的阈值由产品管理人员设定)。考虑到一些故障的危险系数非常高,如果能在HIL仿真中对这些项目进行测试,那将是一项非常有价值的投资。
在验证安全要求时,必须确保测试准确无误,尤其是对于汽车和航空航天等必须符合功能安全标准的受管制行业。错误的验证可能导致项目在投入生产和处于安全关键状态时,产生极为不利的后果。另外,由于电子复杂性的不断增加,相同的时间内需要进行的测试增多,这就引入了自动化验证需求。但是,我们如何知道所使用的测试自动化工具是否如预期的那样正常工作?自行开发测试自动化工具的成本可能非常高,特别是在设计时需要确保工具的功能安全性。除此之外,还需要对整个验证过程进行详细且全面的文档记述。正确地创建该文档可能非常耗时,因此所使用的任何工具必须能够生成适当的工件,这使得许多人认为手动工具认证是唯一的方法。
使用在某些方面符合特定功能安全项目要求的COTS验证工具可以满足这一需求,且可让您对测试工具充满信心。 NI联盟合作伙伴CertTech针对NI测试自动化软件工具TestStand开发了一款资格鉴定包。 TestStand是一款随时可运行的测试管理软件,旨在帮助您更快地开发、执行和部署自动化测试系统。由于CertTech工程师对受监管行业和功能安全标准非常熟悉,他们很理解用户迫切需要使用符合DO-178C和ISO 26262等标准的合格工具。TestStand鉴定包全面覆盖了最常用功能的要求和测试种类,提供了验证指定要求的全套测试以及一个易于扩展的框架,因此用户可以根据需要扩展测试覆盖范围。此外,CertTech还使用工具生成了所需的文档,作为合规性的必要工件。这个文档是必不可少的,因为我们的总体目标是确保验证过程的完全透明性,以便测试可以快速地重建。 借助鉴定包,CertTech将生成该文档所需的时间缩短了95%。
一些较新的功能安全标准,如ISO 26262和DO-178C要求项目使用“合格工具”来完成一些不需要人工审核的验证和确认任务,这使得使用像TestStand这样的合格工具变得更为重要。这些标准需要您对未进行适当测试的工具的总体影响进行评估,然后判定一个TCL值,也就是ISO 26262等标准所称的工具置信度( Tool Confidence Level,TCL)。两个主要因素决定了TCL:工具影响(TI)和工具错误检测(TD)。 TI1和TI2是TI的两个级别。当故障软件工具不可能违反安全要求时,则选择TI1。其他所有情况均选择TI2。 TD分为TD1、TD2和TD3。 TD1表示工具检测错误的置信度很高,TD2表示置信度中等,TD3表示置信度很低。测试工具的不同TCL等级意味着用户所承担的额外负担也有所不同。