一种功能安全参数标定工具的置信度评估方法及评估装置

技术领域

本发明涉及安全开发过程的标定领域，尤其涉及一种功能安全参数标定工具的置信度评估方法及评估装置。

背景技术

ECU(Electronic Control Unit，汽车电控单元)是一个集成有高复杂度软件的电控系统，在产品的开发过程中，同一款产品，可能要适用于不同的场景、车型，或匹配不同的传感器、执行器等，这导致软件的参数需要有所不同，比如电流传感器的信号转换关系，过流错误的故障响应时间等。这些软件参数的确定过程，在汽车电子的开发过程中称为标定。

功能安全是指电子电器产品按照一定的标准来进行开发，以防止电子电器系统对人造成伤害。在汽车电子行业，这一标准就是ISO 26262，它将功能安全定义为：“避免因电气/电子系统故障而导致的不合理风险”。

产品开发过程中，需要用到很多的软件工具，如果关键软件工具在使用中出现异常，可能会影响功能安全目标的实现。因此，ISO 26262-part8的第11章特别针对软件工具的功能安全进行了规定。

目前国内主流的标定工具，如ToSUN、辉景等工具，能够满足基本的标定功能，但是传统的通用标定软件工具存在以下问题：并未考虑到功能安全，没有特定的安全机制，无法验证自身生成的Hex文件是否是按照预期生成的，在生成的过程中是否发生了非预期的更改；故按照ISO 26262要求，只能评估到工具错误探测TD3等级，无法满足功能安全对于软件工具的工具错误探测等级的要求(TD1等级)。

以上背景技术内容的公开仅用于辅助理解本发明的发明构思及技术方案，其并不必然属于本专利申请的现有技术，也不必然会给出技术教导；在没有明确的证据表明上述内容在本专利申请的申请日之前已经公开的情况下，上述背景技术不应当用于评价本申请的新颖性和创造性。

发明内容

本发明的目的是提供一种着重于满足功能安全的标定工具置信度的要求，对传统软件标定工具增加了安全机制，以保证生成的标定及代码满足功能安全要求的工具错误探测等级(TD1)。

为达到上述目的，本发明采用的技术方案如下：

一种功能安全参数标定工具的置信度评估方法，包括以下步骤：

获取原始Hex文件，所述原始Hex文件为不带功能安全标定的Hex文件；

更新与所述功能安全相关的参数标定值；

功能安全参数标定工具根据更新的参数标定值对所述原始Hex文件进行功能安全标定，得到标定后的Hex文件；

读取所述原始Hex文件和所述标定后的Hex文件，判断所述功能安全参数标定工具标定后的Hex文件相比于所述原始Hex文件是否存在非预期的改动；

根据两个Hex文件的对比结果，生成用于评估所述功能安全参数标定工具置信度的报告。

进一步地，承前所述的任一技术方案或多个技术方案的组合，若存在以下情况中的一种，则判定所述标定后的Hex文件相比于所述原始Hex文件存在非预期的改动：

所述标定后的Hex文件未按照所述更新的参数标定值进行标定；

或者，除了在参数标定以外的其他代码处发生了改动。

进一步地，承前所述的任一技术方案或多个技术方案的组合，通过以下方式读取所述标定后的Hex文件：对所述标定后的Hex文件按照Hex文件标准进行回读，生成标定值；

若生成的标定值与所述更新的参数标定值不一致，则判定所述标定后的Hex文件未按照所述更新的参数标定值进行标定。

进一步地，承前所述的任一技术方案或多个技术方案的组合，若所述标定后的Hex文件相比于所述原始Hex文件不存在非预期的改动，则所述报告评估得到所述功能安全参数标定工具的置信度为高级。

进一步地，承前所述的任一技术方案或多个技术方案的组合，若所述标定后的Hex文件相比于所述原始Hex文件存在非预期的改动的数量大于0且小于预设的数量阈值，则所述报告评估得到所述功能安全参数标定工具的置信度为中级；

若所述标定后的Hex文件相比于所述原始Hex文件存在非预期的改动的数量达到预设的数量阈值，则所述报告评估得到所述功能安全参数标定工具的置信度为低级。

进一步地，承前所述的任一技术方案或多个技术方案的组合，若所述报告评估得到所述功能安全参数标定工具的置信度为高级，则选择工具错误探测等级为TD1；若所述报告评估得到所述功能安全参数标定工具的置信度为中级，则选择工具错误探测等级为TD2；若所述报告评估得到所述功能安全参数标定工具的置信度为低级，则选择工具错误探测等级为TD3。

进一步地，承前所述的任一技术方案或多个技术方案的组合，若评估所述功能安全参数标定工具的置信度为高，则将所述标定后的Hex文件利用刷写设备刷写至ECU中。

进一步地，承前所述的任一技术方案或多个技术方案的组合，所述刷写设备与所述ECU之间通过XCP协议通讯。

根据本发明的另一方面，本发明提供了一种功能安全参数标定工具的置信度评估装置，包括以下模块：

原始Hex文件获取模块，其被配置为获取原始Hex文件，所述原始Hex文件为不带功能安全标定的Hex文件；

标定值获取模块，其被配置为获取更新后的与所述功能安全相关的参数标定值；

Hex标定文件获取模块，其被配置为获取由功能安全参数标定工具根据更新后的参数标定值对所述原始Hex文件进行功能安全标定而得到的Hex标定文件；

比对模块，其被配置为判断所述Hex标定文件相比于所述原始Hex文件是否存在非预期的改动；

报告模块，其被配置为根据两个Hex文件的对比结果，生成用于评估所述功能安全参数标定工具置信度的报告。

进一步地，承前所述的任一技术方案或多个技术方案的组合，所述比对模块包括第一比对子模块和第二比对子模块，其中，

所述第一比对子模块被配置为比对功能安全标定需要更改的代码部分，以判定所述Hex标定文件是否按照所述更新后的参数标定值进行标定；

所述第二比对子模块被配置为比对非功能安全标定需要更改的代码部分，以判定所述Hex标定文件是否在参数标定以外的其他代码处发生了改动。

本发明提供的技术方案带来的有益效果如下：

a.增加了检测功能安全标定是否按预期更新的安全机制，以及检测标定工具是否非预期更改了Hex内容的安全机制，提高标定工具置信度的水平(可以达到TD1等级)；

b.可以满足功能安全(ISO26262)对标定工具评估的要求；

c.有效降低产品开发成本。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一个示例性实施例提供的功能安全参数标定工具的置信度评估方法的流程示意图；

图2为本发明的一个示例性实施例提供的功能模块与置信度评估装置的交互示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他步骤或单元。

在功能安全的标准中，关于工具的功能安全需求是工具置信度水平(ToolConfidence Level，缩写TCL)。开发软硬件所用的软件工具需要被证明，能够支持、符合不同功能安全等级要求的开发活动。评估软件工具的置信度水平实际上针对的是下面两个项：

1)软件工具功能异常及其相应的错误输出，可导致或无法探测出正在开发的安全相关项或要素中的错误的可能性；

2)防止或探测软件工具相应输出中的这些错误的置信度。

评估软件工具的置信度水平是用于预防软件工具功能异常并产生相应错误输出的措施，或用于探测软件工具存在功能异常并已产生相应错误输出的措施。

置信度是通过工具错误探测(TD)等级表示的：

——当对预防或探测出功能异常及其相应错误输出具有高置信度时，应选择TD1；

——当对预防或探测出功能异常及其相应错误输出具有中等置信度时，应选择TD2；

——在其他情况下应选择TD3。

在本发明的一个实施例中，提供了一种功能安全参数标定工具的置信度评估方法，参见图1，评估方法包括以下步骤：

获取原始Hex文件，所述原始Hex文件为不带功能安全标定的Hex文件；

更新与所述功能安全相关的参数标定值；

功能安全参数标定工具根据更新的参数标定值对所述原始Hex文件进行功能安全标定，得到标定后的Hex文件；

读取所述原始Hex文件和所述标定后的Hex文件，判断所述功能安全参数标定工具标定后的Hex文件相比于所述原始Hex文件是否存在非预期的改动；

根据两个Hex文件的对比结果，生成用于评估所述功能安全参数标定工具置信度的报告。

如图2所示，若存在以下情况中的一种，则判定所述标定后的Hex文件相比于所述原始Hex文件存在非预期的改动：

所述标定后的Hex文件未按照所述更新的参数标定值进行标定；具体地，先对所述标定后的Hex文件按照Hex文件标准进行回读，生成标定值；若生成的标定值与所述更新的参数标定值不一致，则判定所述标定后的Hex文件未按照所述更新的参数标定值进行标定。

或者，除了在参数标定以外的其他代码处发生了改动，具体地，通过对比原始Hex内容中不是功能安全标定需要更改的部分与生成的Hex内容，判断标定工具是否非预期地更改了不需要更改的Hex。

按照以上规则判断，若所述标定后的Hex文件相比于所述原始Hex文件不存在非预期的改动，则所述报告评估得到所述功能安全参数标定工具的置信度为高级，则选择工具错误探测等级为TD1。

若所述标定后的Hex文件相比于所述原始Hex文件存在非预期的改动的数量大于0且小于3处，则所述报告评估得到所述功能安全参数标定工具的置信度为中级，则选择工具错误探测等级为TD2；

若所述标定后的Hex文件相比于所述原始Hex文件存在非预期的改动的数量大于或等于3处，则所述报告评估得到所述功能安全参数标定工具的置信度为低级，则选择工具错误探测等级为TD3。

若评估所述功能安全参数标定工具的置信度为高(工具错误探测等级为TD1)，则将所述标定后的Hex文件利用刷写设备刷写至ECU中，所述刷写设备与所述ECU之间通过XCP协议通讯。

功能安全标定检测的原理如下：

①通过标定工具将功能安全相关标定更新到相应VCU的Hex中；

②通过本安全机制回读Hex，并按照Hex的转换关系反推出Hex中的标定量值(比如扭矩监控的限值)；

③通过对比设定的扭矩监控限值与实际生成的Hex中的扭矩监控限值，判断需要更新的标定值否按预期更新了；

④通过对比原始Hex内容中不是功能安全标定需要更改的部分与生成的Hex内容，判断标定工具是否非预期地更改了不需要更改的Hex；

⑤通过查看生成报告，判断生成标定工具是否按预期功能执行，是否符合功能安全的要求。

在本发明的一个实施例中，提供了一种功能安全参数标定工具的置信度评估装置，包括以下模块：

原始Hex文件获取模块，其被配置为获取原始Hex文件，所述原始Hex文件为不带功能安全标定的Hex文件；

标定值获取模块，其被配置为获取更新后的与所述功能安全相关的参数标定值；

Hex标定文件获取模块，其被配置为获取由功能安全参数标定工具根据更新后的参数标定值对所述原始Hex文件进行功能安全标定而得到的Hex标定文件；

比对模块，其被配置为判断所述Hex标定文件相比于所述原始Hex文件是否存在非预期的改动；具体地，所述比对模块包括第一比对子模块和第二比对子模块，其中，所述第一比对子模块被配置为比对功能安全标定需要更改的代码部分，以判定所述Hex标定文件是否按照所述更新后的参数标定值进行标定；所述第二比对子模块被配置为比对非功能安全标定需要更改的代码部分，以判定所述Hex标定文件是否在参数标定以外的其他代码处发生了改动。

报告模块，其被配置为根据两个Hex文件的对比结果，生成用于评估所述功能安全参数标定工具置信度的报告。

本实施例提供的评估装置实施例与上述实施例提供的评估方法实施例属于同一构思，其具体实现过程详见方法实施例，即上述功能安全参数标定工具的置信度评估方法实施例中的所有特征都可以通过引用的方式引入本功能安全参数标定工具的置信度评估装置实施例。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本申请的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。