高可靠性飛行代碼的自動化驗證技術

從仿真模型自動生成代碼是基于模型設計中的關鍵開發(fā)環(huán)節(jié)，可實質(zhì)性地減少開發(fā)團隊手寫代碼所花費的時間和工作量。要想成功開發(fā)高性能的嵌入式系統(tǒng)，就必須生成非常高效的代碼。代碼效率目標包括內(nèi)存使用的最小化和執(zhí)行速度的最大化。要想成功部署軍用和國防系統(tǒng)，還需要嚴格的代碼驗證能力。代碼驗證目標包括需求符合性和標準符合性。

本文介紹如何使用2011b版MATLAB和Simulink產(chǎn)品系列(包括用于飛行代碼生成的Embedded Coder)測量代碼效率和進行代碼驗證。所討論的開發(fā)和驗證活動用于滿足DO-178B和DO-178C要求，同時也用于滿足與DO-178C更新一同發(fā)布的基于模型的開發(fā)和驗證的補充說明。本文并非介紹產(chǎn)品系列中的每個工具或DO-178標準的所有條款；恰恰相反，本文關注的重點是新技術。

Qualification Kit可用于本文介紹的驗證工具。

源代碼評估

1. 代碼效率

代碼效率指標分為兩個廣泛的類別。第一個測量RAM、ROM的內(nèi)存使用率和堆棧大??；第二個測量執(zhí)行周期計數(shù)或速度。Embedded Coder在生成代碼后生成代碼指標報告，從而幫助軟件工程師分析和優(yōu)化所生成代碼的內(nèi)存占用率。此報告可根據(jù)源代碼的靜態(tài)分析和對目標硬件特性的了解(如整型字長)顯示各行代碼、全局RAM和堆棧大小。分析是靜態(tài)的，因為它并不考慮交叉編譯和代碼執(zhí)行。這樣，工程師可以快速的根據(jù)源代碼優(yōu)化內(nèi)存使用率，例如，通過嘗試不同的數(shù)據(jù)類型或修改模型中的邏輯。但是，接下來的分析和優(yōu)化階段將需要完整的嵌入式工具鏈來進行板上內(nèi)存利用和執(zhí)行時間評估，如下文中的可執(zhí)行目標代碼評估中所述(圖1)。

圖 1：靜態(tài)代碼指標報告 。

2. 代碼驗證

源代碼驗證很大程度上依賴于代碼審查和需求可追溯性分析。MathWorks的新產(chǎn)品Simulink Code Inspector可對生成的源代碼自動執(zhí)行結構化分析并評估代碼是否符合詳細設計(low-level

requirements)模型。該檢查可檢測每一行代碼在模型中是否都具有相應的元素或模塊。同樣，它還可以檢測模型中的元素以確定它們在結構上是否相當于生成代碼中的操作、運算符和數(shù)據(jù)。然后，它會生成詳細的模型到代碼和代碼到模型的可追溯性分析報告(圖2)。

圖 2：Simulink Code Inspector 報告。

其他源代碼驗證活動包括確保符合行業(yè)代碼標準(如MISRA AC AGC：有關在自動代碼生成過程中應用MISRA-C:2004的指南)。借助R2011a版，Embedded Coder允許開發(fā)人員基于MISRA-C標準影響代碼生成器的輸出。這樣MISRA-C分析工具就可以應用于代碼檢查。例如，Polyspace代碼驗證產(chǎn)品可分析MISRA AC AGC和MISRA-C:2004代碼。Polyspace還可檢測代碼是否具有除零和數(shù)組超出邊界條件等運行時錯誤。Simulink Code Inspector結合Polyspace，可用于處理DO-178表A5中的所有涉及源代碼分析的代碼驗證目標。最差情形執(zhí)行時間等目標將需要使用可執(zhí)行目標代碼以及如下所述的其它技術和工具(圖3)。

圖 3：MISRA-C:2004 代碼生成目標規(guī)格。

可執(zhí)行目標代碼評估

1. 代碼效率

Simulink通過使用軟件在回路(SIL)和處理器在回路(PIL)測試進行評估分析來支持可執(zhí)行目標代碼驗證。借助SIL測試，可對生成的代碼進行編譯并在主機上運行，以便使用Simulink作為測試裝置提供的測試數(shù)據(jù)進行代碼執(zhí)行的快速評估。通過PIL測試，可將生成的代碼交叉編譯成可執(zhí)行目標代碼(EOC)，并且在真正的飛行處理器或指令集模擬器上運行，同樣使用Simulink作為在環(huán)測試裝置。

對于任何使用可定制API和參考實現(xiàn)的嵌入式處理器的裸機或實時操作系統(tǒng)執(zhí)行，Embedded Coder 都支持處理器在回路(PIL)測試。有這樣一個示例可供觀看和下載，這個示例中用到Green Hills MULTI IDE和用于Freescale MPC8620處理器的Integrity RTOS(圖4)。