Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
Autonomes Fahren | STandards 40 40 Elektronik automotive 10 2020 Die Funktion divide wird sowohl von f0 als auch von f1 aufgerufen es gibt also zwei Aufrufpaare Es ist offensichtlich dass der Aufruf von divide aus f1 heraus zu einer Division durch 0 führen wird beim Aufruf aus f0 heraus besteht diese Gefahr nicht Im unteren Teil von Bild 2 ist das Ergebnis der Strukturüberdeckungsmessung des Werkzeugs Tessy 3 zu sehen einem Werkzeug zum automatisierten Unitund Integrationstest von eingebetteter Software Links ist die Funktionenüberdeckung dargestellt Alle drei Units sind mit einem grünen Häkchen versehen was bedeutet dass sie alle beim Test mindestens einmal aufgerufen wurden und somit insgesamt eine Funktionenüberdeckung von 100 Prozent erreicht wurde In der Mitte von Bild 2 erkennt man dass die Aufrufpaarüberdeckung von divide 50 Prozent beträgt Das liegt daran dass beim Testen zwar ein Aufruf aus f0 heraus erfolgt ist von Zeile 12 Spalte 12 aber kein Aufruf aus f1 heraus von Zeile 18 Spalte 16 Dieser nicht erfolgte Aufruf ist hervorgehoben Offenbar war bei Aufruf von f1 der Parameter k gleich 0 und der then-Zweig der if-Anweisung wurde nicht ausgeführt Will man durch weitere Tests dafür sorgen dass die Aufrufpaarüberdeckung ebenfalls 100 Prozent erreicht muss man f1 mit dem Parameter k ungleich 0 aufrufen und wird dann bemerken dass der Aufruf von divide 7 0 zu einem Problem nämlich zu einer Division durch 0 führt Aus dem Beispiel geht klar hervor dass es sich bei der Aufrufpaarüberdeckung um ein stärkeres Maß als bei der Funktionenüberdeckung handelt Aus der Aufrufpaarüberdeckung von 100 Prozent folgt eine hundertprozentige Funktionenüberdeckung Man sagt auch dass die Aufrufpaarüberdeckung die Funktionenüberdeckung subsumiert Das gilt wie das Beispiel gezeigt hat umgekehrt nicht Für eine vollständige Aufrufpaarüberdeckung braucht man mindesten so viel Testfälle wie für eine hundertprozentige Funktionenüberdeckung üblicherweise sind es jedoch mehr und damit besteht die Chance mehr Defekte in der Software zu finden als lediglich beim Erreichen von 100 Prozent Funktionenüberdeckung Betrachtet man nun die Tabelle in Bild 1 so zeigt sich in ihr dieser Unterschied in der Stärke der beiden Strukturüberdeckungsmaße nicht Beide Maße besitzen für jeden Automotive Safety Integrity Level ASIL denselben Grad der Empfehlung also + empfohlen oder ++ besonders empfohlen Durch die Nummerierung der Methoden mit 1a und 1b wird ausgedrückt dass die Methoden alternativ zueinander sind Bei alternativen Methoden soll eine Kombination der Methoden oder auch nur eine Methode allein angewendet werden Es können auch Methoden zum Einsatz kommen die nicht in der betreffenden Tabelle aufgeführt sind Wenn eine Methode für einen bestimmten ASIL eine stärkere Empfehlung hat soll diese Methode für diesen ASIL bevorzugt werden Die Wahl der Methode n muss begründet werden Aus der Tabelle in Bild 1 ergibt sich jedoch keine Bevorzugung für eine Methode für einen bestimmten ASIL Das ist unterschiedlich zu Tabelle 9 in Teil 6 von ISO 26262 Bild 3 in der die Strukturüberdeckungsmaße für die Software-UnitEbene angegeben werden Dort werden auf niedrigen ASIL also Aund Bschwächere Überdeckungsmaße wie Anweisungsüberdeckung besonders empfohlen während beispielsweise auf dem höheren ASIL Ddas starke Überdeckungsmaß modifizierte Bedingungs-Entscheidungsüberdeckung MC DC besonders empfohlen ist Das schwache Maß der Anweisungsüberdeckung ist auf ASIL Dlediglich empfohlen Eigentlich würde man erwarten dass in der Tabelle in Bild 1 ähnlich zur Tabelle in Bild 3 die beiden unterschiedlich starken Maße auch unterschiedliche Empfehlungen je nach ASIL haben würden zum Beispiel dass das schwache Maß Funktionenüberdeckung besonders empfohlen ist auf ASIL Aund Bund lediglich empfohlen auf ASIL Cund Dund Aufrufpaarüberdeckung besonders empfohlen ist auf ASIL Cund Dund lediglich empfohlen auf ASIL Aund B Was enthüllt die Strukturüberdeckungsanalyse? Die ISO 26262 übernimmt offensichtlich Informationen aus DO-178 4 Abschnitt 6 4 4 3 und führt aus dass die Untersuchung der Strukturüberdeckung verschiedene Dinge aufdecken kann Beispielsweise Testfälle die bei der Testfallerstellung aus den Anforderungen vergessen wurden ebenso Unzulänglichkeiten in den Anforderungen toten Code deaktivierten Code oder ungewollte Funktionen Letzteres kann man leicht nachvollziehen denn wurde eine Funktion implementiert für die es keine Anforderung gibt wird sich bei der Ableitung der Testfälle aus den Anforderungen auch kein Testfall dafür ergeben und somit dürfte die betreffende Implementierung bei den Tests auch nicht ausgeführt werden Das müsste durch die Strukturüberdeckung aufgedeckt werden Ebenfalls unmittelbar einleuchtend ist der Hinweis auf fehlende Testfälle die die Strukturüberdeckung gegebenenfalls gibt Wurde eine Anforderung zwar implementiert aber es gibt keinen Testfall für diese Anforderung so wird der Code der betreffenden Implementierung voraussichtlich nicht ausgeführt werden Deaktivierten Code so wie ihn die DO-178 versteht würde man ebenfalls durch die Strukturüberdeckungsanalyse finden Leider steht die DO-178 eine Norm aus dem Luftfahrtbereich in Bezug auf toten Code im Widerspruch zu den MISRABATTERIELADET FÜR AUTOMOTIVE & INDUS � Entwicklungsunterstützung bis zur Serienreife nach ISO 26262 � Onund Offboard � Wireless oder kabelgebunde � Uniund Bidirektional � Si-SiCoder GaNbasiert ENGINEERING TION www finepower com AZ Ladetechnik elektronik automotive 90 x 62 mm Satzspiegel TEC ST ENGINEERIN en NG & DISTRIBU CHNIK TRIE n ERING DISTRIBUT Finepower_EKauto_10_20 pdf S 1 Format 90 00 x 62 00 mm 22 Sep 2020 10 11 22