Modellbasierte Softwareentwicklung mit SCADE für den … · A Joint Diehl Thales Company...

www.diehl-aerospace.com A Joint Diehl Thales Company

Modellbasierte Softwareentwicklung mit SCADE für den A350 XWB Slat Flap Control Computer

Dr. Paul Linder, Diehl Aerospace

Workshop: Modellbasierte Softwareentwicklung in der Luft- und Raumfahrt, 06.10.2015

A Joint Diehl Thales Company | Copyright Diehl Aerospace GmbH 1

Einführung in den A350 XWB SFCC | Modellbasiertes Entwicklungsvorgehen | Modellierungsregeln und Verifikationsmethoden | Ergebnisse und Erfahrungen

1 Einführung in den A350 XWB SFCC

2 Modellbasiertes Entwicklungsvorgehen

3 Modellierungsregeln und Verifikationsmethoden

4 Ergebnisse und Erfahrungen

Agenda


Slat Flap Control Computer


A320 Hochauftriebssystem Quelle: M. Recksieck: Advanced High Lift System Architecture with Distributed Electrical Flap Actuation. Workshop on Aviation System Technology (AST) 2009.

• Slat Flap Control Computer (SFCC)

– Fly-by-Wire Steuerung mit Sicherheitsverantwortung (Secondary Flight Control)

– Steuert und überwacht das Hochauftriebssystem

• Hochauftriebssystem

– Vorrichtung zur Erhöhung des Auftriebs bei geringen Geschwindigkeiten


A350 XWB Hochauftriebssystem


Quelle: D. Hills:The Airbus Challenge : EADS Engineering Europe, Budapest 9-10th May 08.

• Technologies

– Droop-nose device on inboard wing

– Multifunctional trailing edge flap system: Adaptive Dropped Hinge Flap

– Integrated use as high-lift device and for in-flight adaptation of cruise wing shape

• Benefits

– Fuel burn reduction through drag saving

– Load alleviation functions and cruise efficiency enhancement


A350 XWB Slat Flap Control Computer


Hinweis: A350 XWB SFCC ähnlich wie dargestellter A380 SFCC.

• Funktionsumfang

– Steuerung der A350 XWB Tragflächenklappen inkl. Entlastungsfunktionen

– Überwachung des Hochauftriebssystems und dessen Komponenten (z.B. Aktuatoren)

– Integrierte Selbsttest- und Wartungsfunktionalität (BITE)

– SW Update per AFDX

• Merkmale

– 2 austauschbare SFCCs mit je 2 unabhängige Kanälen (Slat/Flap)

– Einsatz von Redundanz und Diversität

– 4 x 4 Mikrocontroller und mehrere DSPs

– Level A Entwicklungsvorgehen



1 Einführung: Der A350 XWB SFCC




Agenda


Projektkontext


• Projektkontext A350 XWB SFCC

– Entwicklung und Fertigung durch Diehl Aerospace (DAs) laut Airbus Spezifikationen

– Systementwicklungsprojekt gemäß ARP-4754 / DO-254 / DO-178B Level A

– Projektdauer DAs: 07/2008 – heute (Zulassung A350 XWB am 30.09.2014)

• SCADE-Einsatz

– Verwendung von SCADE für Applikationssoftware (Level A)

» Parallel zu manuell entwickelter Systemsoftware (z.B. Scheduling, Treiber, etc.)

» Ca. 150 Applikationssoftware-Module (z.B. Regler, Prozessüberwachungsfunktionen)

– Einsatz von SCADE Version 5.1

» Modellierung mit Datenflussdiagrammen

» Keine Zustandsdiagramme (wg. Toolqualifizierungsvorgaben), keine Funktionen höherer Ordnung


Modell-simulation

Tool-gestütztes

Review

DAs SCADE Entwicklungsvorgehen


SW Architekturbeschreibung

HW/SW Integration Tests

manueller Source Code

„manueller“ Objekt Code

High-level REQ (HLR)

Qualifizierte gemeinsame

Codegenerierung

Low-level REQ (konventionell)

HLR (konventionelle

Entwicklung)

HLR (modellbasierte

Entwicklung)

SW Entwurf

DAs SCADE Standard

SCADE Modelle (= Low-level REQ)

Spezifizierung individueller SW-Module (vgl. DO-178C/ DO-331 “Design Model” Ebene)

Aufsplittung: konventionell vs. modellbasiert


• High-level REQ

• Low-level REQ / SCADE Modell

DAs SCADE Modellierung (1/2)



• High-level REQ

• Low-level REQ / SCADE Modell

DAs SCADE Modellierung (2/2)


Library Aufruf

(non-expansion) DAs

Libraries







Agenda


DAs SCADE Modellierungsstandard


• Themen:

– Vorgaben zur Sicherstellung der SCADE-Toolqualifizierungsvorgaben

» z.B. Verbot der Unären Minus Operation gemäß SCADE 5.1 Wartungseintrag CR ID 5137

– Modellierungskonventionen zur Unterstützung des Verifikationsvorgehens

» z.B. Namens- und Traceability-Konventionen, Komplexitätsbeschränkungen, Algorithmus-Vorgaben

• Übersicht:

– 16 “Mandatory” Regeln zur Vermeidung von undefiniertem und fehlerbehaftetem Verhalten (vgl. Toolqualifizierung)

– 23 “Required” Regeln gemäß Modellierungskonventionen Abweichung mit Begründung erlaubt

– Keine optionalen Regelungen oder Empfehlungen


DAs SCADE StyleChecker (1/2)


• Automatische Prüfung von 26 Regeln des DAs SCADE Modellierungsstandards

– Codegenerierungs-Einstellungen, Modellierungselemente, Komplexitätsbeschränkungen, Namenskonventionen, Konsistenz von Modell/Report/Autocode

– Verbleibende 13 Regeln werden manuell geprüft (anhand des SCADE-Reports)

• Verwendung von TCL und Python

– Aufruf SCADE API mit TCL Skripte

» E.g. MapRole $model node CountForbiddenModelOperators

– Code/Report-Generierungsprüfung und Prüfberichterzeugung mit Python

• Qualifizierung als Verifikations-Tool

– Qualifizierter “Batch Mode”

– Engineering “GUI Mode” (s. Bild)


DAs SCADE StyleChecker (2/2)


• HTML Prüfbericht

Übersicht

Prüfbericht


DAs Modellsimulation

Company Presentation | Introduction to the A350 XWB SFCC | Development Procedure | Modeling Guidelines and Verification Methods | Experiences

Simulationsfälle

High-level REQ

DAs Test Script Formatter

DAs Test Result Comparator

PASS/FAIL Modell-

überdeckung

Qualifizierte Toolchain

Simulation mit SCADE QMTC

SCADE Modell

*.in

*.out







Agenda


Ergebnisse


• Erfolgreiche Zertifizierung von Level A Software!

– EASA Type Certification des Airbus A350 XWB am 30.09.2014

• Effizienzsteigerung der SW-Modulentwicklung um Faktor 2+

– Wegfall der Source-Code-Verifikation aufgrund qualifizierter Codegenerierung

– Vermeidung aufwandsbehafteter Low-Level-Spezifikation und Modultests

– Beherrschbare Auswirkungen auf höhere Entwicklungs- und Verifikationsebenen

• Toolgestützte statische Modellprüfung hat sich bewährt

– Klare Herausstellung relevanter Kriterien durch Modellierungsstandard

– Entwickler können sich auf inhaltliche Themen konzentrieren


Erfahrungen


• Codegenerierungs-Optionen müssen mit Simulationsansatz harmonieren

– 100% Modellüberdeckung bei voller Expansion von Libraries kaum möglich

– Empfehlung: Keine Expansion von nicht-trivialen Library Operationen

• Konfigurationsmanagement ist zu beachten

– Nicht nur SCADE Modelle und zugehörige Anforderungen sondern auch Traceability und Reviewbefunde benötigen Versionsverwaltung

– Gemeinsame Codegenerierung erschwert Branching

• Modellierungssemantik ist zu beachten

– Vorsicht: Unterschiedliche Bedeutung gleicher Syntax auf unterschiedlicher Ebene (vgl. DO-178C/DO-331 “Design Model” vs. “Specification Model”)

– Qualitätsanforderungen und Design Constraints nicht unterschlagen

– Aufsplittung der HLR verursacht implizites Design auf Spezifikationsebene und erhöht Komplexität der Traceability zu den Systemanforderungen

Contact

Diehl Aerospace GmbH

Alte Nussdorfer Str. 23

88662 Ueberlingen

Phone +49 7551 891 0

Fax +49 7551 891 4001

www.diehl.com/aerosystems

Die Weitergabe sowie Vervielfältigung dieses Dokuments, Verwertung und Mitteilung seines Inhalts sind verboten, soweit dies nicht ausdrücklich gestattet ist. Zuwiderhandlungen verpflichten zu Schadenersatz. Alle Rechte für den Fall der Patent-, Gebrauchsmuster- oder Geschmacksmustereintragung vorbehalten. The reproduction, distribution and utilization of this document as well as the communication of its contents to others without express authorization is prohibited. Offenders will be held liable for the payment of damages. All rights reserved in the event of the grant of a patent, utility model or design.

Modellbasierte Softwareentwicklung mit SCADE für den … · A Joint Diehl Thales Company...

Documents

Transcript of Modellbasierte Softwareentwicklung mit SCADE für den … · A Joint Diehl Thales Company...