• 软件工具出故障的可能性,以及错误输出对安全相关项目或开发中的元件会造成何种危害;
• 在输出中预防或检测该错误的可能性。
工具置信度分为TCL1、TCL2、TCL3和TCL4,其中TCL4为最高置信度,TCL1为最低置信度。
工具认证过程
要根据ISO 26262对工具进行认证,需要满足多项要求。例如,ASIL必须已经确定。工具必须包含用户手册、独特的标识及版本号、功能描述、安装过程以及环境(仅举几例)。ISO 26262要求提供以下工具认证材料:
• 软件工具认证计划
• 软件工具文档
• 软件工具分类分析
• 软件工具认证报告
1.软件工具认证计划
软件工具认证计划(STQP)是在安全相关项目开发生命周期的早期创建的。它主要关注两个方面:计划软件工具的认证,以及能证明该工具符合所需置信度的用例。
STQP必须包含的项目有:软件工具独特的标识及版本号、用例、环境、描述、用户手册以及预先确定好的ASIL。
2.软件工具分类分析
软件工具分类分析(STCA)的主要目的是确定工具置信度。确定TCL有两个主要因素。第一个因素是工具影响(TI)。第二个因素是工具错误检测(TD)。根据这两个因素,选择合适的TCL。
工具影响分为TI1和TI2两类。当确定发生故障的软件工具绝对不会违反安全要求时,选择TI1。对于所有其他情况,选择TI2。
例如,假设某工具在执行特定软件功能时,会在文档中产生错误字符。这仅仅是一个小错误,并不违反测试时的安全要求。该错误造成的是TI1类别的工具影响。若工具造成的错误以任何形式改变了系统行为,则选择TI2。
工具错误检测分为TD1至TD3几类。TD1代表对工具检测错误的能力有高度的置信,而TD3则代表很低的置信度,即只能随机检测出错误。
例如,假设某工具用于检测设计模型的错误。该工具对模型执行静态分析。当静态分析良好时,该工具不能检测模型中的所有可能违规行为。还有一点值得注意的是,这并不一定意味着该模型不正确,仅表明需要进行额外测试。这种情况属于中等程度的置信度,即TD2。
