日立新技術，自動驗證汽車控制系統(tǒng)的安全要求

日立制作所與日立汽車系統(tǒng)公司2016年9月26日宣布共同開發(fā)了一項新技術，該技術可針對設計開發(fā)汽車控制系統(tǒng)時制定的安全要求，用計算機自動驗證這些要求是否存在遺漏。第三方測試認證機構——德國TUV SUD已確認該技術可有效應對功能安全標準ISO26262。

安全要求的定位。圖片來自日立

此次開發(fā)的技術的要點。圖片來自日立

汽車控制系統(tǒng)開發(fā)中的要求定義包括主功能（自動駕駛系統(tǒng)等）相關要求，以及構成主功能的控制系統(tǒng)發(fā)生故障時也能確保安全的安全要求。這些安全要求一直是使用英語和日語記述，但由于一句話或一個單詞有多種意思和解釋，表達經常含糊不清，并不統(tǒng)一。而且，安全要求的記述還有可能發(fā)生遺漏，即便是專業(yè)技術人員，也要花費大量時間進行內容確認和驗證。

此次的技術在記述安全要求時，運用嚴密的數學性命題邏輯（推斷表達正確性的數學邏輯學之一）來定義，通過這種方法，使輸入到驗證工具里的內容更為明確。而且，還采用了能以簡單的公式書寫要求事項內容的章法結構，設計者可以輕松讀寫。安全要求方面，針對希望系統(tǒng)具備的安全，將概略作為“上游要求”記述，將實現安全所需要的動作及處理等詳細內容作為“下流要求”記述。下游要求包括ECU（電子控制單元）、傳感器、致動器、通信、軟件的構成及處理，如果詳細記述，就會導致要求事項的數量增加。因此，驗證工具會自動驗證上游要求和下游要求，并判斷是否存在遺漏。

另外，在相似系統(tǒng)之間或者同一系統(tǒng)內的構成部件之間，安全要求的記述內容往往十分相似，因此，將已經通過驗證工具證明“沒有遺漏”的部分邏輯公式作為常見模式進行再利用。比如，如果在相同條件下使用的傳感器B也需要進行傳感器A那樣的異常檢測，便可將傳感器B的參數輸入傳感器A生成的模式中，由此自動生成新要求事項的邏輯公式。通過對已驗證模式進行再利用，不僅可以防止新要求事項的遺漏，而且不需要增加新的書寫內容，可以提高作業(yè)效率。

據介紹，日立在電動助力轉向器的控制系統(tǒng)中采用此次的技術，結果證實，可以記述和驗證要求定義書中出現的所有安全要求事項。而且，與以前用英文記述時相比，記述量減少了30％，計算機自動驗證將用肉眼需要花費約60分鐘的驗證作業(yè)縮短到了約6分鐘。