關(guān)于Alenia Aermacchi開(kāi)發(fā)自動(dòng)駕駛儀軟件分析和介紹

Alenia Aermacchi M-346具有與最新戰(zhàn)斗機(jī)相似的飛行特性，使飛行員可以在生命周期成本較低的飛機(jī)上安全地訓(xùn)練。M-346飛行控制系統(tǒng)(FCS)配有四余度計(jì)算機(jī)，支持電傳控制和高級(jí)自動(dòng)駕駛儀功能。Alenia Aermacchi使用基于模型的設(shè)計(jì)開(kāi)發(fā)自動(dòng)駕駛儀軟件并通過(guò)DO-178B A級(jí)認(rèn)證。

Alenia Aermacchi的FCS應(yīng)用軟件團(tuán)隊(duì)負(fù)責(zé)人Massimiliano Campagnoli說(shuō)：“憑借基于模型的設(shè)計(jì)，可將所有內(nèi)容銜接起來(lái)。我們的Simulink系統(tǒng)模型是可執(zhí)行的模型，能夠在開(kāi)發(fā)早期對(duì)需求進(jìn)行驗(yàn)證。為符合DO-178B建模標(biāo)準(zhǔn)而更新了該模型，可用它來(lái)生成飛行代碼。”

挑戰(zhàn)

由于M-346自動(dòng)駕駛儀系統(tǒng)是該工程團(tuán)隊(duì)開(kāi)發(fā)的第一個(gè)系統(tǒng)，主要目標(biāo)是快速發(fā)現(xiàn)問(wèn)題并融合來(lái)自測(cè)試飛行員的反饋。最終的自動(dòng)駕駛儀軟件需要獲得DO-178B A級(jí)認(rèn)證。

該團(tuán)隊(duì)決定使用兩個(gè)途徑來(lái)探求開(kāi)發(fā)方法：即實(shí)驗(yàn)和認(rèn)證。

實(shí)驗(yàn)途徑：他們將利用不太嚴(yán)格的DO-178B D級(jí)標(biāo)準(zhǔn)來(lái)著重于快速開(kāi)發(fā)，采用架構(gòu)解決方案來(lái)保護(hù)整個(gè)系統(tǒng)的可靠性和安全性。

認(rèn)證途徑：重復(fù)利用和完善設(shè)計(jì)的實(shí)驗(yàn)版本，以開(kāi)發(fā)完全符合DO-178B A級(jí)認(rèn)證的軟件。

Alenia Aermacchi需要一個(gè)開(kāi)發(fā)環(huán)境來(lái)支持這兩種途徑的活動(dòng)和目標(biāo)，其中包括設(shè)計(jì)仿真、需求可追溯性、模型覆蓋度分析、代碼生成與分析以及報(bào)告生成。

解決方案

Alenia Aermacchi工程師使用Simulink基于模型的設(shè)計(jì)為M-346開(kāi)發(fā)了自動(dòng)駕駛儀軟件。

系統(tǒng)和控制工程師團(tuán)隊(duì)在Simulink和Stateflow中為ARP-4754開(kāi)發(fā)了一個(gè)系統(tǒng)模型，使用Stateflow定義六個(gè)主要的自動(dòng)駕駛儀狀態(tài)、這些狀態(tài)之間的轉(zhuǎn)移以及其他控制邏輯。他們通過(guò)運(yùn)行仿真來(lái)驗(yàn)證系統(tǒng)行為。

該團(tuán)隊(duì)通過(guò)細(xì)化系統(tǒng)模型來(lái)創(chuàng)建自動(dòng)駕駛儀軟件模型，對(duì)該模型進(jìn)行優(yōu)化以提升性能，將模型和安全標(biāo)準(zhǔn)集成起來(lái)滿(mǎn)足認(rèn)證的限制條件。他們?cè)谲浖Ｐ蜕线\(yùn)行了附加仿真，使用Simulink Verification and Validation的模型覆蓋度分析確保100%覆蓋這些測(cè)試的軟件需求，并在需求管理界面將IBM Rational DOORS中的軟件需求與他們模型中的Simulink和Stateflow對(duì)象進(jìn)行關(guān)聯(lián)。通過(guò)Simulink Report Generator，他們生成了需求可追溯性報(bào)告以供認(rèn)證之用。

對(duì)于我們來(lái)說(shuō)，基于模型的設(shè)計(jì)的一個(gè)關(guān)鍵優(yōu)勢(shì)，是可以專(zhuān)注于設(shè)計(jì)和開(kāi)發(fā)，而不是將精力放在低級(jí)編碼、驗(yàn)證和認(rèn)證任務(wù)上。其結(jié)果是獲得了更高的質(zhì)量、DO-178B認(rèn)證的軟件和更快的迭代。

——assimiliano Campagnoli

Alenia Aermacchi

他們利用Model Advisor檢查軟件模型是否符合DO-178B高完整性標(biāo)準(zhǔn)和Alenia Aermacchi自己的自定義規(guī)則。

利用Embedded Coder，該團(tuán)隊(duì)通過(guò)其軟件模型生成了大約17,000行C代碼并使用Polyspace靜態(tài)分析工具檢查代碼中是否存在運(yùn)行時(shí)錯(cuò)誤，確保符合MISRA C編碼標(biāo)準(zhǔn)，并創(chuàng)建用于取證的材料。他們利用面向DO-178的DO Qualification Kit，證明Polyspace代碼驗(yàn)證工具及Simulink Verification and Validation是符合認(rèn)證的。

該團(tuán)隊(duì)基于在Simulink中創(chuàng)建的軟件測(cè)試模型為生成的代碼創(chuàng)建了測(cè)試組件。在運(yùn)行這些測(cè)試后，對(duì)代碼覆蓋結(jié)果和從Simulink Verification and Validation獲取的模型覆蓋結(jié)果進(jìn)行比較。

M-346飛機(jī)（包括自動(dòng)駕駛儀功能）已獲得美國(guó)國(guó)防部和意大利國(guó)防部的機(jī)型認(rèn)證。在Alenia Aermacchi的一個(gè)項(xiàng)目中，所有軟件組件(CSCI)都將使用基于模型的設(shè)計(jì)進(jìn)行開(kāi)發(fā)，并通過(guò)DO-178C認(rèn)證。

結(jié)果

認(rèn)證的需求審核時(shí)間最高縮短了30%。Campagnoli說(shuō)：“在處理以前的項(xiàng)目時(shí)，都是基于主觀評(píng)估手動(dòng)進(jìn)行需求覆蓋分析。Simulink和Simulink Verification and Validation使我們可以將此分析自動(dòng)化并提供客觀的覆蓋指標(biāo)，這有助于將認(rèn)證的需求審核時(shí)間縮短高達(dá)30%?！?/p>

首飛行時(shí)間縮短了20%。Campagnoli說(shuō)：“基于模型的設(shè)計(jì)使我們可以基于飛行員和飛行工程師的反饋快速改進(jìn)設(shè)計(jì)。我們將首飛時(shí)間縮短了約20%。更重要的是，在縮短首飛時(shí)間的同時(shí)提高了軟件質(zhì)量?！?/p>

實(shí)現(xiàn)了低級(jí)認(rèn)證活動(dòng)的自動(dòng)化。Campagnoli說(shuō)：“我們實(shí)現(xiàn)了許多低級(jí)認(rèn)證活動(dòng)的自動(dòng)化，包括需求覆蓋度分析、運(yùn)行時(shí)錯(cuò)誤檢查和標(biāo)準(zhǔn)一致性檢查。自動(dòng)化使我們可以有更多時(shí)間來(lái)完善需求、優(yōu)化系統(tǒng)、改善測(cè)試并執(zhí)行其他具有更高價(jià)值的任務(wù)。”