高可靠性飛行代碼的自動化驗證技術

從仿真模型自動生成代碼是基于模型設計中的關鍵開發環節，可實質性地減少開發團隊手寫代碼所花費的時間和工作量。要想成功開發高性能的嵌入式系統，就必須生成非常高效的代碼。代碼效率目標包括內存使用的最小化和執行速度的最大化。要想成功部署軍用和國防系統，還需要嚴格的代碼驗證能力。代碼驗證目標包括需求符合性和標準符合性。

本文介紹如何使用2011b版MATLAB和Simulink產品系列(包括用于飛行代碼生成的Embedded Coder)測量代碼效率和進行代碼驗證。所討論的開發和驗證活動用于滿足DO-178B和DO-178C要求，同時也用于滿足與DO-178C更新一同發布的基于模型的開發和驗證的補充說明。本文并非介紹產品系列中的每個工具或DO-178標準的所有條款；恰恰相反，本文關注的重點是新技術。

Qualification Kit可用于本文介紹的驗證工具。

源代碼評估

1. 代碼效率

代碼效率指標分為兩個廣泛的類別。第一個測量RAM、ROM的內存使用率和堆棧大小；第二個測量執行周期計數或速度。Embedded Coder在生成代碼后生成代碼指標報告，從而幫助軟件工程師分析和優化所生成代碼的內存占用率。此報告可根據源代碼的靜態分析和對目標硬件特性的了解(如整型字長)顯示各行代碼、全局RAM和堆棧大小。分析是靜態的，因為它并不考慮交叉編譯和代碼執行。這樣，工程師可以快速的根據源代碼優化內存使用率，例如，通過嘗試不同的數據類型或修改模型中的邏輯。但是，接下來的分析和優化階段將需要完整的嵌入式工具鏈來進行板上內存利用和執行時間評估，如下文中的可執行目標代碼評估中所述(圖1)。

圖 1：靜態代碼指標報告 。

2. 代碼驗證

源代碼驗證很大程度上依賴于代碼審查和需求可追溯性分析。MathWorks的新產品Simulink Code Inspector可對生成的源代碼自動執行結構化分析并評估代碼是否符合詳細設計(low-level

requirements)模型。該檢查可檢測每一行代碼在模型中是否都具有相應的元素或模塊。同樣，它還可以檢測模型中的元素以確定它們在結構上是否相當于生成代碼中的操作、運算符和數據。然后，它會生成詳細的模型到代碼和代碼到模型的可追溯性分析報告(圖2)。

圖 2：Simulink Code Inspector 報告。

其他源代碼驗證活動包括確保符合行業代碼標準(如MISRA AC AGC：有關在自動代碼生成過程中應用MISRA-C:2004的指南)。借助R2011a版，Embedded Coder允許開發人員基于MISRA-C標準影響代碼生成器的輸出。這樣MISRA-C分析工具就可以應用于代碼檢查。例如，Polyspace代碼驗證產品可分析MISRA AC AGC和MISRA-C:2004代碼。Polyspace還可檢測代碼是否具有除零和數組超出邊界條件等運行時錯誤。Simulink Code Inspector結合Polyspace，可用于處理DO-178表A5中的所有涉及源代碼分析的代碼驗證目標。最差情形執行時間等目標將需要使用可執行目標代碼以及如下所述的其它技術和工具(圖3)。

圖 3：MISRA-C:2004 代碼生成目標規格。

可執行目標代碼評估

1. 代碼效率

Simulink通過使用軟件在回路(SIL)和處理器在回路(PIL)測試進行評估分析來支持可執行目標代碼驗證。借助SIL測試，可對生成的代碼進行編譯并在主機上運行，以便使用Simulink作為測試裝置提供的測試數據進行代碼執行的快速評估。通過PIL測試，可將生成的代碼交叉編譯成可執行目標代碼(EOC)，并且在真正的飛行處理器或指令集模擬器上運行，同樣使用Simulink作為在環測試裝置。

對于任何使用可定制API和參考實現的嵌入式處理器的裸機或實時操作系統執行，Embedded Coder 都支持處理器在回路(PIL)測試。有這樣一個示例可供觀看和下載，這個示例中用到Green Hills MULTI IDE和用于Freescale MPC8620處理器的Integrity RTOS(圖4)。