fail safe

故障注⼊测试（FaultInjectionTest）⽅法

这周新⼀篇技术⽂章来袭，今天要分享的技术⽂章是《故障注⼊测试（FaultInjectionTest）⽅法》

过去只被归类为机械装置的汽车，现在变成了包括许多电⼦控制装置在内的尖端产品。最近上市的汽车上基本上都搭载了100个以上的控制

器，由此也增加了过去没有发⽣过的与HW及SW有关的问题。2007年10⽉20⽇，在美国发⽣了⼀起因丰⽥凯美瑞（Camry）的突然加速

⽽导致⼈员伤亡的事故。嵌⼊式软件专家迈克尔·巴教授分析该事故原因并发表了Report，该教授在Report中指出该汽车软件源代码存在

缺陷，但整个系统中却没有应对该缺陷的设计，次缺陷最终对ThrottleValve控制产⽣了影响，导致汽车突然加速。最终该Report在法庭上

被采纳为证据，当时丰⽥被处罚款12亿美元，召回费⽤24亿美元，赔偿消费者16亿美元。

这⾥的主要内容是，所有控制器都必须对缺陷进⾏Fail-Safe设计，故障注⼊测试(FaultInjectionTest)则是验证这些Fail-Safe功能的⽅

法。Fault具有HW和SW两种类型，并具有验证系统FailSafe[1]功能的特点。故障注⼊测试(FaultInjectionTest)是评价控制器系统可靠

性的重要⽅法，在ISO26262[2]的软件及硬件开发阶段的测试⽅法(Part5,6)和系统开发阶段的测试⽅法(Part4)中均有所规定。

FailSafe[1]:系统发⽣故障⽽导致运转错误或性能下降时，为维持主要功能，防⽌Error（要求的动作和偏差）发展为Failure（功能运⾏失败）⽽进⾏的设计。ISO26262[2]:ISO26262或汽车功能安全国际标准是为有效

防⽌因汽车搭载的E/E(Electric&Electronic)系统错误⽽发⽣事故，由ISO制定的汽车功能安全国际标准。

测试⽅法按以下顺序进⾏：

1.根据Fault对象⽣成Fault根据Fault对象选定类型，并据此确定发⽣时间和发⽣次数，⽣成Fault。

图1Fault⽣成⽅法

2.监控系统发⽣Fault时的运⾏状态

按照制定的Fault⽅法，监控运⾏中的Target系统发⽣Fault时的动作状态。

图2防⽌⽣成Failure策略

3.测试结果

通过2次运⾏状态监测，发⽣与Taskschedule相关的Fault及CPU寄存器、软件组件、变量污染和代码变异、BitFlip、内存不⾜等Fault

时，系统中检测出Error后，如转换到SafeState则为正常;若处于Failure状态，则有可能导致错误操作及性能下降，故应重新设计Fail-

Safe，修改⾄不再发⽣Failure

正如前⾯所说，如果车辆系统发⽣严重错误，⼈的⽣命和财产将遭受巨⼤损失。为了预防这些缺陷，需通过故障注⼊测试充分测试系统的

Fail-Safe功能，确保安全性。

青岛硕索福特科技有限公司的FIT故障注⼊测试⼯具将为您提供在进⾏测试时所需的所有功能，为您的软件安全保驾护航，关于FIT的更多信

息请关注往期⽂章→

往期精彩回顾