不吃豬頭肉隨著汽車(chē)電動(dòng)化與智能化的不斷深入，基于模型的開(kāi)發(fā)（Model-based Development，MBD）已成為復(fù)雜系統(tǒng)開(kāi)發(fā)的核心范式。在此背景下，模型靜態(tài)測(cè)試憑借其早期缺陷檢測(cè)能力，以及企業(yè)對(duì)開(kāi)發(fā)效率、功能安全及ASPICE合規(guī)的日益重視，在汽車(chē)電子系統(tǒng)開(kāi)發(fā)中得到廣泛應(yīng)用。本文將從開(kāi)發(fā)效率提升和行業(yè)合規(guī)實(shí)踐兩個(gè)維度，系統(tǒng)闡述模型靜態(tài)測(cè)試的技術(shù)必要性。通過(guò)分析其在質(zhì)量保障體系中的關(guān)鍵作用，幫助開(kāi)發(fā)者深入理解該技術(shù)在智能汽車(chē)開(kāi)發(fā)流程中的戰(zhàn)略地位。

從高效 MBD 開(kāi)發(fā)視角：模型質(zhì)量是效率基石在 MBD 中，模型是功能實(shí)現(xiàn)的載體，需求通過(guò)模型轉(zhuǎn)化為可執(zhí)行邏輯，代碼由模型自動(dòng)生成，且模型本身是早期測(cè)試驗(yàn)證的原型。因此，保障了模型質(zhì)量，MBD效率也會(huì)得到基本保障。

模型質(zhì)量需從雙維度考量

設(shè)計(jì)質(zhì)量：關(guān)注模型的內(nèi)在結(jié)構(gòu)特性，模塊化、可讀性、穩(wěn)健性等等。功能質(zhì)量：模型是否符合功能需求。

二者相輔相成，并且設(shè)計(jì)質(zhì)量的好壞會(huì)影響功能的實(shí)現(xiàn)，以及后續(xù)對(duì)功能的驗(yàn)證。那么我們?nèi)绾未_保設(shè)計(jì)質(zhì)量呢？首先我們可以通過(guò)遵循業(yè)內(nèi)權(quán)威機(jī)構(gòu)發(fā)布的建模規(guī)范，如MAB、MISRA AC SL/SF，這些規(guī)范源自專(zhuān)家專(zhuān)業(yè)知識(shí)的“最佳實(shí)踐”。

圖1 建模規(guī)范其有助于提高模型的可讀性、可維護(hù)性、防止使用風(fēng)險(xiǎn)結(jié)構(gòu)、避免常見(jiàn)錯(cuò)誤、增強(qiáng)魯棒性和提高建模效率并能夠改進(jìn)生成的代碼。

如：db_0141-Signal flow in Simulink models 對(duì)信號(hào)流的檢測(cè)，遵守可提高可讀性。

示例：

圖2 規(guī)范db_0141示例

sdt_sc004-Strong Data Typing of Arithmetic Blocks對(duì)算數(shù)模塊涉及到的信號(hào)的數(shù)據(jù)類(lèi)型的檢測(cè)：必須設(shè)置選項(xiàng)“Require all inputs to have the same data type”、輸入信號(hào)的縮放和最小/最大值必須一致、輸出數(shù)據(jù)類(lèi)型的數(shù)據(jù)范圍必須足以容納四則運(yùn)算的任何結(jié)果。遵守此規(guī)范可以改進(jìn)生成的代碼，增強(qiáng)代碼魯棒性。示例：

圖3 規(guī)范sdt_sc004示例另外可以通過(guò)分析模型的復(fù)雜度和耦合程度等，了解模型對(duì)于可測(cè)性和可維護(hù)性的支持程度。上述內(nèi)容均屬于模型靜態(tài)測(cè)試的范疇，所以只有通過(guò)靜態(tài)測(cè)試提前筑牢設(shè)計(jì)質(zhì)量，才能實(shí)現(xiàn) MBD 流程的高效運(yùn)轉(zhuǎn)，避免后期因模型缺陷導(dǎo)致的反復(fù)返工。

從ASPICE和功能安全視角：靜態(tài)測(cè)試是合規(guī)的重要保障2.1ASPICE 合規(guī)性在 ASPICE SWE.4 中，明確要求對(duì)軟件單元實(shí)施靜態(tài)驗(yàn)證，并建立軟件單元與靜態(tài)驗(yàn)證結(jié)果之間的雙向可追溯性。盡管標(biāo)準(zhǔn)未明確提及模型靜態(tài)測(cè)試，但如前文所述，模型靜態(tài)測(cè)試可以顯著提升軟件質(zhì)量、降低缺陷率，因此將其納入實(shí)踐，是確保符合 ASPICE 要求的重要保障。

圖4 ASPICE標(biāo)準(zhǔn)概覽

2.2功能安全合規(guī)性在功能安全中明確推薦將MBD方法應(yīng)用在安全關(guān)鍵型軟件的開(kāi)發(fā)當(dāng)中，并要求模型設(shè)計(jì)應(yīng)具有一致性、可理解性、適用性、正確性、簡(jiǎn)潔性、魯棒性和可驗(yàn)證性。為實(shí)現(xiàn)這些模型屬性，ISO 26262:2018第6部分軟件級(jí)產(chǎn)品開(kāi)發(fā)中提出了系統(tǒng)的設(shè)計(jì)原則，具體體現(xiàn)在三個(gè)表格中：表一，建模和編碼指南應(yīng)該涵蓋的主題；表三，軟件架構(gòu)設(shè)計(jì)的原則；表六，軟件單元設(shè)計(jì)和實(shí)現(xiàn)的設(shè)計(jì)原則。

圖5 IS0 26262系列標(biāo)準(zhǔn)概述其中軟件架構(gòu)設(shè)計(jì)原則中提到的軟件組件的有限大小和復(fù)雜性，接口的有限大小，軟件組件內(nèi)的強(qiáng)內(nèi)聚，組件間的松散耦合等等，需要了解相關(guān)的模型屬性之后才能去遵守。

示例：MXAM分析當(dāng)前子系統(tǒng)復(fù)雜度為470，復(fù)雜程度較高。

圖6 更改前模型

經(jīng)過(guò)更改之后復(fù)雜程度降為165，模型的可讀性隨之變高。

圖7 更改后模型建模和編碼指南應(yīng)該涵蓋的主題和軟件單元設(shè)計(jì)和實(shí)現(xiàn)的設(shè)計(jì)原則則可以通過(guò)遵循建模規(guī)范去滿(mǎn)足。      

如建模規(guī)范jc_0642-Integer rounding mode setting對(duì)應(yīng)的是表T1.1b Use of Language Subsets 的設(shè)計(jì)原則。jc_0650-Block input/output data type with switching function符合的是表T6.1g No Implicit Type Conversions 的設(shè)計(jì)原則。當(dāng)然上述內(nèi)容均屬于模型靜態(tài)測(cè)試的范疇，所以想要符合功能安全模型靜態(tài)分析是重要保障。

專(zhuān)業(yè)工具賦能：MXAM 助力靜態(tài)測(cè)試高效落地面對(duì)復(fù)雜的建模規(guī)范與安全要求，手動(dòng)檢查和修復(fù)模型效率低且易漏判，所以我們推薦使用靜態(tài)模型分析工具M(jìn)XAM ，其可以幫您解決軟件開(kāi)發(fā)過(guò)程中的痛點(diǎn)：

1.提供全面的定制化，支持更多來(lái)自MAB、MISRA、dSPACE、MES等行業(yè)機(jī)構(gòu)發(fā)布的建模規(guī)范。

2.交互式報(bào)告頁(yè)面可指導(dǎo)用戶(hù)直達(dá)模型出現(xiàn)問(wèn)題的部分，且可自動(dòng)修復(fù)部分不符合規(guī)范的建模。

自動(dòng)修復(fù)示例：mes_slsf_1301 Redundant Condition Actions 具有相同目的地的不同轉(zhuǎn)換線不應(yīng)該包含相同的條件動(dòng)作。

圖8 自動(dòng)修復(fù)示例

3.更豐富的模型度量指標(biāo)并且包含模型重構(gòu)功能，幫助您快速重構(gòu)您的模型。

圖9 MXAM工作流程

總結(jié)

模型靜態(tài)測(cè)試不僅是 MBD 開(kāi)發(fā)提效的 “加速器”，更是ASPICE和功能安全合規(guī)的 “關(guān)鍵基石”，通過(guò)模型靜態(tài)測(cè)試企業(yè)可在開(kāi)發(fā)早期筑牢質(zhì)量根基，避免后期高額返工成本。MXAM 的應(yīng)用，讓靜態(tài)測(cè)試從 “人工經(jīng)驗(yàn)驅(qū)動(dòng)” 升級(jí)為 “數(shù)據(jù)與工具驅(qū)動(dòng)”，助力企業(yè)在智能化浪潮中實(shí)現(xiàn)高效開(kāi)發(fā)與安全合規(guī)的雙重目標(biāo)。如需了解 MXAM 工具的實(shí)際應(yīng)用案例或定制化解決方案，歡迎聯(lián)系我們獲取詳細(xì)資料。