符合d0-178b的飞机自动代码开发案例
前言
拥有着新战斗机飞行特性,阿莱尼亚-马基公司的m-346使飞行员在飞机的低生命周期成本中安全培训。配有四个冗余计算机,m-346飞行控制系统(fcs)支持遥控驾驶控制和先进的自动驾驶功能。阿莱尼亚-马基公司使用基于模型的设计开发自动驾驶仪软件,并通过了do-178b a级认证。“使用基于模型的设计,一切都联系在一起,” massimiliano campagnoli,fcs的应用软件组组长这样说道,“我们的simulink系统模型是可执行的,是可实现早期验证的需求。这些模型经过更新后,符合do-178b建模标准,并用于生成飞行代码”。
挑战
由于m-346自动驾驶系统是工程团队开发的项目,一个主要目标是快速发现问题并结合试飞员的反馈。最终的自动驾驶仪软件需要通过do-178b a级认证。
该小组决定沿着两条路径进行开发:实验和认证。对于实验路径,他们将专注于快速开发,使用不太严格的do-178b d级标准,并采取稳健的凯发娱乐登录的解决方案,以保障整个系统的可靠性和安全性。对于验证路径,他们会重用和完善实验版的设计开发软件以通过do-178b a级认证。阿莱尼亚-马基公司需要一个开发环境,能够支持这两种路径的行动和目标,包括设计仿真、需求跟踪、模型覆盖率分析、代码生成和分析、报告生成。
凯发娱乐登录的解决方案
阿莱尼亚-马基公司的工程师们使用基于模型的设计方法,开发了m-346的自动驾驶仪软件。
开发团队的系统和控制工程师使用simulink和stateflow®开发了arp-4754的一个系统模型,采用stateflow定义了六个主要自动飞行状态,各自之间的转换,以及其它控制逻辑。他们通过仿真验证了系统的行为。该团队细化了系统模型来创建自动驾驶仪软件模型,同时进行了优化以提高性能,并纳入建模和安全标准,以满足认证的限制。他们对软件模型进行了额外仿真,使用simulink verification and validation™生成的测试来确保软件需求的100%覆盖率。
他们使用simulink verification and validation™的需求管理接口将ibm® rational® doors®中的需求与他们的模型中simulink和stateflow对象进行链接。使用simulink report generator™,他们产生了需求跟踪报告以用于认证。
他们用model advisor核对软件模型是否符合do-178b高可靠标准和阿莱尼亚-马基自己的自定义规则。使用embedded coder™从他们的软件模型产生约17,000行c代码。他们使用green hills® adamulti®编译器来编译这些代码以用在power pc处理器中。
该团队使用polyspace®静态分析工具检查代码的运行时错误,确保符合misra c®编码标准,并为认证评级创建产物。通过使用do qualification kit for do-178来增强polyspace代码验证器和simulink verification and validation。
该团队基于simulink软件模型创建的测试用例基础上创建了测试套件。运行这些测试之后,他们比较了从simulink verification and validation获得的模型覆盖率结果和代码覆盖率结果。
m-346飞机(包括自动驾驶功能)已获得由国防部和国家军备局国防部意大利部内总秘书处授予的正式认证。阿莱尼亚-马基公司的工程师目前正在努力进行一个项目,将所有的软件组件(cscis)使用基于模型的设计开发来通过do-178c的认证。
结果
• 需求的审查认证缩短可达30%
“在以前的项目中,以手动方式进行覆盖率分析,并根据主观评估。” campagnoli说,“simulink和simulink verification and validation使我们能够自动完成这一分析并提供了客观评价的指标,帮助我们缩短需求的认证审查高达30%。”
• 由设计到飞行的时间减少了20%
“基于模型的设计使我们在飞行员和飞行工程师反馈的基础上,能够迅速提高设计效率。campagnoli说,“我们由设计到飞行的时间缩短约20%。更重要的是,我们这样做的同时,提高了软件的质量。”
• 低级别的认证工作自动化
“我们将许多低级别的认证活动实现了自动化,包括需求覆盖率分析,运行时错误检查和标准符合性检查,”campagnoli说,“自动化使我们有更多的时间来细化需求,优化系统,改进我们的测试,以及执行其他更高价值的任务。”