汽车 ESCL 用于在车辆处于停泊状态时通过锁定转向轮来防止车辆被盗。鉴于这类系统如果在车辆行驶过程中被误锁定可能导致的危险性，ESCL 软件必须按照最高功能安全等级 ISO 26262 ASIL D 级进行开发。

要实现这一目标，科世达必须满足 ISO 26262 ASIL D 级认证的所有要求，在应用层软件方面需要对自动生成的代码进行对比测试来验证软件。这包括软件在环 (SIL) 和处理器在环测试 (PIL)，科世达工程师们需要获得快速建立必需的框架方面的协助。

科世达将使用基于模型的设计与 MATLAB^® 和 Simulink^® 结合使用来开发 ESCL 应用层软件并通过 ISO 26262 ASIL D 级认证。

该公司在 MathWorks 工程师们的协助下，共同搭建起 PIL 测试框架，并为初次使用基于模型的设计的软件开发团队提供培训。

借助 Simulink 和 Stateflow^®，科世达工程师开发出 ESCL 软件应用层的模型，其中包括一个有限状态机，用于定义时序决策逻辑。

该团队根据 MathWorks Automotive Advisory Board (MAAB) 指导原则制定了建模标准，并使用 Simulink Check™ 确保该模型符合标准。

然后他们在 Simulink 中运行仿真，以验证设计的功能性，并使用 Simulink Coverage™ 来测量功能测试的模型覆盖率。

借助 Simulink Design Verifier™，使用形式化方法来识别模型中的死逻辑和其他设计错误。

工程师们使用 Embedded Coder^® 从 ESCL 模型生成 C 代码，使用 Polyspace Code Prover™ 和 Polyspace Bug Finder™ 检查生成的代码和手写的代码是否有运行时错误。

然后使用生成的代码运行对比 PIL 测试，并在 MATLAB 中对比测试结果。

为了简化认证流程，工程师们使用了适用于 ISO 26262 和 IEC 61508 的 IEC Certification Kit。他们确定了几款适用于该认证的工具，包括 Embedded Coder、Simulink Design Verifier，Simulink Coverage、Polyspace Bug Finder 和 Polyspace Code Prover。

ESCL 已通过 ISO 26262 ASIL D 级认证，且已被批准由中国最大的汽车厂商之一投产。基于模型的设计现已成为科世达内部需要功能安全认证的项目的首选方法。

• 开发和认证时间缩短 30%. “没有基于模型的设计，我们至少需要多投入 30% 的时间才能完成 ESCL 应用层软件的开发和认证。”程晖说。“生成符合我们所有速度和内存要求的高效代码，让我们节省了不少的时间和人力。”
• 在建模阶段发现 80% 的错误. “使用基于模型的设计，我们在模型开发和仿真阶段就发现并解决了 80% 的应用层逻辑和功能错误。”程晖说。“这种早期验证与 Polyspace 静态分析相结合，节省了大量的验证和测试投入。”
• 搭建起适用于 ISO 26262 的对比测试框架. “我们使用了基于模型设计开发应用层软件，按照ISO 26262要求，这需要对自动生成的代码做PIL测试，在我们搭建对比PIL测试框架的过程中，MathWorks 的工程师向我们提供了出色的协助。”程晖说。“我们能够按时完成了 ISO 26262 认证，该框架起到了重要作用。”