SCADE在航空發(fā)動機FADEC軟件開發(fā)中的應用

方　偉，周彰毅

（中航工業(yè)航空動力控制系統(tǒng)研究所，江蘇無錫214063）

SCADE在航空發(fā)動機FADEC軟件開發(fā)中的應用

方偉，周彰毅

（中航工業(yè)航空動力控制系統(tǒng)研究所，江蘇無錫214063）

為了探索SCA D E開發(fā)環(huán)境在基于模型設計（M BD）的軟件開發(fā)中的優(yōu)勢，理解其建模和自動代碼生成機制，研究其在基于模型的測試和覆蓋率分析中的實現方法，基于某型航空發(fā)動機FA D EC系統(tǒng)的健康管理軟件開發(fā)，應用了SCA D E開發(fā)環(huán)境的建模、仿真、測試及覆蓋率分析、代碼生成與集成的全流程的M BD開發(fā)方法，并進行了完整的系統(tǒng)測試，測試用例全部通過。系統(tǒng)測試的結果驗證了基于SCA D E開發(fā)環(huán)境進行FAD EC軟件開發(fā)的正確性和可靠性，為SCA D E開發(fā)環(huán)境在航空發(fā)動機FA D EC軟件開發(fā)中的應用提供了技術指導和工程借鑒。

MBD；覆蓋率分析；自動代碼生成；SCA D E；航空發(fā)動機

0　引言

傳統(tǒng)的軟件開發(fā)是以代碼為中心的V型開發(fā)流程，軟件生命周期的重點是編碼。以編碼為核心的軟件開發(fā)嚴重依賴編碼者的項目經驗和編碼水平，容易引入語法和邏輯錯誤，可靠性和效率較低，在軟件開發(fā)早期很難及時發(fā)現軟件中潛在的錯誤；調試工作繁瑣復雜，開發(fā)周期長，且需要借助復雜的專業(yè)工具軟件進行單元測試和覆蓋率分析，增加了軟件開發(fā)的成本。驗證工作在軟件開發(fā)的后期進行，工作量大、難度高，且無法對驗證工作進行定量評價，導致軟件交付的周期長、成本高。

在基于模型的開發(fā)（MBD）中，設計人員根據系統(tǒng)需求建立模型，并對模型進行仿真測試，及早發(fā)現其中的缺陷并不斷進行修正和驗證迭代，最后直接通過模型生成和移植可執(zhí)行的嵌入式代碼。基于模型的開發(fā)在設計階段就能不斷暴露軟件缺陷并進行封閉，且省去了手工編碼和單元測試的工作，開發(fā)人員把更多精力集中到軟件設計和控制算法優(yōu)化上。

SCADE（Safety Critical Application Development Environment）是1個基于模型的應用開發(fā)環(huán)境，專注于高安全性系統(tǒng)的開發(fā)［1］。GE、PW和RR公司基于SCADE開發(fā)了多款航空發(fā)動機的FADEC系統(tǒng)。在基于SCADE進行航空發(fā)動機FADEC系統(tǒng)開發(fā)方面，國內尚未見使用，探索SCADE在航空發(fā)動機控制領域的應用，建立1套以SCADE為核心的FADEC軟件開發(fā)方法具有十分重要的意義。

本文深入分析SCADE開發(fā)環(huán)境的建模機制，并結合其在某型航空發(fā)動機健康管理軟件中的具體應用，探索了基于SCADE進行FADEC軟件開發(fā)的基本流程和技術要點，驗證了基于SCADE進行FADEC軟件開發(fā)的正確性和可靠性，為其在航空發(fā)動機FADEC軟件開發(fā)中的應用提供了工程借鑒。

1　SCADE的優(yōu)勢及其機制分析

1.1SCADE的優(yōu)勢

SCADE作為高安全性嵌入式軟件開發(fā)環(huán)境，覆蓋了嵌入式開發(fā)的整個流程：需求建模、圖形化模型搭建、靜態(tài)檢查、模擬仿真、形式驗證、覆蓋率分析、代碼自動生成、文檔生成等［2］。多個客戶的實踐經驗表明，使用SCADE工具，可以生成70%以上的嵌入式代碼，節(jié)約50%以上的開發(fā)時間［3］。相比于傳統(tǒng)的手工編碼開發(fā)流程，其具有如下的特點和優(yōu)勢：

（1）采用形式化設計方法［4］，以嚴格的數學理論保證了設計的完整性和無二義性；

（2）使用圖形化建模方式［5］，易學易用，降低了對開發(fā)人員編程經驗和熟練度的依賴，也減少了開發(fā)人員的工作量；

（3）通過DO-178B質量認證的代碼生成器KCG，可以自動生成高質量的產品級C代碼，代碼與模型嚴格一致。簡化了傳統(tǒng)開發(fā)模式中的編碼過程，且避免了手工編寫代碼引入的人工錯誤，提高了軟件的可靠性。此外，無需對所生成的代碼進行單元測試，節(jié)省了開發(fā)時間，提高了開發(fā)效率［6］；

（4）提供高效可靠的仿真和測試手段，可對各軟件開發(fā)階段進行定量的驗證［7］。

1.2SCADE的建模機制

SCADE建模的核心是同步設計程序語言LUSTRE。LUSTRE語言基于反應式系統(tǒng)和同步假設的概念，構成了SCADE建模的基礎，在此之上進行模型構建、靜態(tài)檢查、模擬仿真、形式驗證、覆蓋率分析、代碼自動生成等工作［8］。SCADE提供建模的方式主要有2種：數據流圖和安全狀態(tài)機。

采用面向過程的思想描述系統(tǒng)數據流圖。首先將系統(tǒng)模型描述為從輸入到輸出的信息流和數據變換過程，然后應用圖形化的操作符搭建模型。這種方式適合于連續(xù)控制系統(tǒng)的建模，以用戶定義的輸入輸出變量為接口，采用類似于C語言中函數概念的操作符為基本功能單元，在操作符內部選擇使用圖形或文本方式實現邏輯處理。操作符之間通過運算符，如算術運算符、邏輯運算符、比較運算符、時序運算符、選擇操作符等組成更加復雜的層次結構，相互連接組成大的節(jié)點，最終實現以圖形化的方法搭建軟件模型。

安全狀態(tài)機是有限狀態(tài)機的圖形化實現。通過引入豐富的形式化方法［9］來處理復雜的狀態(tài)結構，適用于離散化控制邏輯。它提供了順序、優(yōu)先級、層次、并行的狀態(tài)結構。安全狀態(tài)機的圖形化方法可以很好地對反應系統(tǒng)建模，用一系列的狀態(tài)、轉移和信號來表示反應系統(tǒng)的控制邏輯。用狀態(tài)間的轉移來表示系統(tǒng)的進展，用外部中斷或內部事件處理結果來觸發(fā)轉移。狀態(tài)代表系統(tǒng)的模式，分為“激活”和“不激活”2種狀態(tài)。不同的狀態(tài)之間有互斥和并行2種組合關系：互斥意味著同一時刻僅有1個狀態(tài)處于激活狀態(tài)；并行則代表所有的狀態(tài)都可能在同一時刻處于激活狀態(tài)。并行的狀態(tài)應該在其父狀態(tài)被激活時同時被激活，激活順序一般按照“從外至里，從上至下”的規(guī)則進行［10］。

1.3SCADE的代碼生成機制

SCADE代碼自動生成的原理是根據建模平臺的當前目標系統(tǒng)模型，由代碼生成器KCG自動生成某種語言的源代碼［11］。具體來說，生成代碼的信息來源有2個：模型屬性（控制代碼生成方式）和元素規(guī)范（控制代碼生成內容）［12］。由SCADE圖形開發(fā)界面生成高質量的嵌入式代碼。先將圖形轉換為LUSTRE語言［13］，如前文所述，SCADE的圖形描述符實質上是建立在LUSTRE語言基礎上的，這一步就是把參數塊、方程式等圖形轉化為LUSTRE語言描述，后刪除圖形信息，并將多個文件進行整合；再將LUSTRE描述文件轉換為C代碼，并生成可追蹤文件。

可控制的生成過程如圖1所示。將用于生成代碼的SCADE模型作為KCG的輸入文件，根據目標平臺選擇相應的KCG版本及所需的優(yōu)化選項，最后一鍵式或者用命令行方式生成代碼，其間會同時產生代碼生成日志和錯誤信息以供參考。

2　SCADE基于模型的測試及覆蓋率分析

根據高層需求建立的可視化SCADE模型，是對控制邏輯和控制算法的詳細描述，模型可用于早期的驗證和測試，并進行覆蓋率分析［14］。SCADE基于模型的測試與基于源代碼的測試不同?；谠创a的測試中，測試者忽視需求，僅確認代碼完成其行為（甚至是錯誤行為），不能找出未實現的需求。SCADE基于模型的測試則是基于高層需求的測試，測試者基于高層需求編寫測試場景，通過SCADE的工具集QTE（Qualified Testing Environment）和MTC（Model Test Coverage）對模型進行測試和覆蓋率分析。覆蓋率分析包括模型對系統(tǒng)需求的覆蓋（驗證所有系統(tǒng)需求已通過SCADE模型實現）和SCADE模型的結構覆蓋（驗證SCADE沒有實現非預期的功能）。在軟件級別為A級的航空發(fā)動機控制軟件中，DO-178B要求的模型結構覆蓋目標為MC/DC準則100%覆蓋。模型測試和覆蓋率分析流程如圖2所示。

圖1　KCG生成代碼過程

圖2　模型測試和覆蓋率分析流程

3　基于SCADE的發(fā)動機健康管理模塊應用層軟件開發(fā)

某項目的健康管理模塊主要實現發(fā)動機故障診斷、監(jiān)視告警、壽命統(tǒng)計等功能，是發(fā)動機全權限數字電子控制系統(tǒng)控制軟件的重要組成部分。健康管理模塊分為應用層（AS）和操作系統(tǒng)層（OS），應用層作為控制律層，實現發(fā)動機健康管理和壽命統(tǒng)計功能。本節(jié)基于SCADE環(huán)境，采用基于模型設計的開發(fā)方式對AS層進行開發(fā)，探索SCADE在基于模型設計中的建模、仿真驗證、測試及覆蓋率分析、代碼生成和集成驗證的完整MBD解決方案。

3.1控制律建模

首先利用SCADE提供的基本模塊，搭建所需的自定義模型庫，主要包括計數器模型（Counter）、故障確認和清除模型（Confirm And Restore）。故障確認和清除模型，用于監(jiān)視告警模塊中的故障確認和故障清除，利用計數器模型，當輸入連續(xù)Confirm Periods個周期都為True時，輸出結果為True，確認故障；當輸入值連續(xù)Restore Periods個周期都為False時，輸出結果為False，清除故障。其結構如圖3所示。

圖3　故障確認和清除模型

應用層模型采用層級結構，自底向上建模，底層使用自定義的模塊庫或SCADE自帶的模塊庫，對各層級的模型進行封裝，形成功能清晰的操作符，每個操作符對應嵌入式代碼的1個源文件。頂層模型分為Life Manage和Monitor2大模塊，如圖4所示。對于控制軟件中常用的可調整參數，在SCADE模型用Sensor類型參數來定義。

圖4　頂層模型結構

3.2基于需求的模型仿真

SCADE的仿真器能仿真調試SCADE模型。SCADE仿真是1種基于后臺代碼的仿真，在起動仿真前，SCADE首先將模型生成代碼，在代碼層級上進行仿真，而不是在對模型解析基礎上的仿真［15］。針對健康管理模塊中壽命統(tǒng)計模塊的起動工作時間，根據需求設置對應的輸入，仿真結果如圖5所示。

圖5　起動工作時間模塊仿真結果

3.3模型測試和覆蓋率分析

仿真結束后，針對AS層的軟件需求，編寫測試場景，對模型進行測試和覆蓋率分析，覆蓋率準則為MC/DC覆蓋準則，部分測試場景腳本如圖6所示。根據獲取的覆蓋率數據，針對未覆蓋的分支增加測試場景，對確定不需要經過的分支增加說明。根據MC/DC覆蓋率準則，AS層模型需要覆蓋的分支為651個，滿足100%覆蓋率編寫的測試腳本為812行，并需增加46個說明。

圖6　測試腳本

3.4代碼生成和集成驗證

SCADE的代碼生成器KCG通過了航空航天與防務領域的DO-178B A級標準。在經過模型仿真和測試后，通過KCG生成的代碼與模型保持嚴格的一致性，生成的代碼不需要作軟件單元測試，可直接用于代碼集成和系統(tǒng)驗證。在KCG的配置時，為減少代碼規(guī)模，對頂層模型外的所有模塊進行擴展，以頂層模型的操作符為根節(jié)點，輸入輸出變量作為參數傳遞給根節(jié)點函數，只生成1個源文件。為輸入輸出變量配置接口函數，Sensor類型的參數在生成的代碼中沒有定義，只進行了聲明，所以需對該類型的參數進行定義。生成的代碼作為嵌入式軟件的一部分直接集成到軟件中，在數控系統(tǒng)地檢驗證環(huán)境中對健康管理模塊進行系統(tǒng)測試，應用層軟件需求對應的測試用例全部通過驗證，驗證了模型和代碼的正確性。

4　結束語

（1）通過對SCADE開發(fā)環(huán)境的機理分析，驗證了SCADE開發(fā)環(huán)境所具備的易學易用、設計完整無二義的特點，加之其擁有通過DO-178B A級標準認證的代碼生成器和完整可靠的仿真測試工具鏈等優(yōu)勢，極大的提高了軟件開發(fā)效率、提升了軟件安全性。

（2）在具體項目上的應用也證實了基于SCADE開發(fā)環(huán)境進行FADEC軟件開發(fā)的正確性和可靠性，對其應用于FADEC軟件開發(fā)具有工程指導意義。

［1］Jean-Louis C.Efficient development of airborne software with SCADE auite［M］.Elancourt：Esterel Technologies，2003：1-2.

［2］Berry G.The constructive semantics of pure esterel draft V3［M］.Elancourt：Esterel Technologies，1999：4-6.

［3］林楓.基于SCADE的形式化驗證技術研究［J］.測控技術，2011，30（12）：71-74. LIN Feng.Research on SCADE-based formal verification technology［J］. Measurement andControl Technology，2011，30（12）：71-74.（in Chinese）

［4］李耀，郭進，孔令晶，等.基于SCADE的形式化驗證技術的改進研究［J］.計算機工程與設計，2013，34（6）：2026-2030. LI Yao，GUO Jin，KONG LingJing，et al.Research on improvement of SCADE-based formal verification technology［J］.Computer Engineering and Design，2013，34（6）：2026-2030.（in Chinese）

［5］吳成富，侯曉梅，段曉軍.基于SCADE的機載余度管理軟件開發(fā)［J］.電子設計工程，2013，21（3）：96-98. WU Chengfu，HOU Xiaomei，DUAN Xiaojun.Development of the redundancy management software based on SCADE［J］.Electronic Design Engineering，2013，21（3）：96-98.（in Chinese）

［6］林楓.基于模型的民用飛機軟件開發(fā)技術研究［J］.工業(yè)控制計算機，2011，24（12）：37-41. LIN Feng.Research for model-based development technology of civil aircraft's software［J］.Industrial Control Computer［J］.2011，24（12）：37-41.

［7］胡鋼偉，李振水，高亞奎.SCADE軟件開發(fā)方法研究［J］.系統(tǒng)仿真學報，2009（20）：286-288. HU Gangwei，LI Zhenshui，GAO Yakui.A research on software development methods with SCADE［J］.Journal of System Simulation，2009（20）：286-288.（in Chinese）

［8］杜道山，李從心.模型驅動在數控系統(tǒng)開發(fā)中的應用研究［J］.青島大學學報（工程技術版），2005，20（3）：53-59. DU Daoshan，LI Congxin.Application of model-driven development technology in open CNC system［J］.Journal of Qingdao University（Engineering and Technology Edition），2005，20（3）：53-59.（in Chinese）

［9］石剛，王生原，董淵，等.同步數據流語言可信編譯器的構造［J］.軟件學報，2014，25（2）：341-356. SHI Gang，WANG Shengyuan，DONG Yuan，et al.Construction for the trustworthy compiler of a synchronous data-flow language［J］.Journal of Software，2014，25（2）：341-356.（in Chinese）

［10］陳淑珍，陳榮武，李耀.基于SCADE的安全軟件開發(fā)方法研究［J］.鐵路計算機應用，2015，24（3）：14-18. CHEN Shuzhen，CHEN Rongwu，LI Yao.Method of SCADE-based safety software development［J］.Railway Computer Application，2015，24（3）：14-18.（in Chinese）

［11］金平.基于SCADE的余度管理軟件開發(fā)方法研究［J］.軟件導刊，2012，11（10）：14-16 JIN Ping.Research on the development methods of redundancy management software based on SCADE［J］.Software Guide，2012，11（10）：14-16.（in Chinese）

［12］章曉春，金平，孫全艷.SCADE平臺下的圖形化設計和代碼自動生成［J］.軟件，2011，32（5）：74-77. ZHANG Xiaochun，JIN Ping，SUN Quanyan.Modeling and autogeneration of C code on SCADE bench［J］.Software，2011，32（5）：74-77.（in Chinese）

［13］張合軍，陳欣.基于SCADE的無人機自主導航飛行軟件設計［J］.計算機測量與控制，2007，15（10）：1400-1402. ZHANG Hejun，CHEN Xin.Software design of autonomous navigation Flight for UAV based on SCADE［J］.Computer Measurement and Control，2007，15（10）：1400-1402.（in Chinese）

［14］張雅妮，李巖，李小勛.基于SCADE的飛控軟件的適航驗證與確認［J］.飛行力學，2012，30（1）：34-37. ZHANG Yani，LI Yan，LI Xiaoxun.Airworthiness validation and accreditation for SCADE-based flight control software［J］.Flifht Dynamics，2012，30（1）：34-37.（in Chinese）

［15］顏雯清，李秀娟.SCADE平臺下C代碼的自動生成［J］.計算機仿真，2007，24（10）：264-267. YAN Wenqing，LI Xiujuan.Auto-generation of C code on SCADE bench［J］.Computer Simulation，2007，24（10）：264-267.（in Chinese）

（編輯：趙明菁）

Research on SCADE for Aeroengine FADEC Software

FANG Wei，ZHOU Zhang-yi
（AVIC Aeroengine Control System Institute，Wuxi Jiangsu 214063，China）

To explore the advantage of Safety Critical Application Development Environment（SCADE）development environment in software development using Model Based Development（MBD）method，apprehend its modeling and auto-code generation mechanism，research its implement method of test and coverage analysis based on models，the full MBD development processes，include modeling，simulation，test and coverage analysis，code generation and integration were used based on the health-monitor software development of an aeroengine.The totally system test was completed and all the test scripts were passed.The correctness and reliability of FADEC software development，based on SCADE development environment，were verified according to the results of the system test.The technique and project guidance of SCADE development environment on aeroengine FADEC software development are supplied by these researches.

MBD；coverage analysis；auto-code generation；SCADE；aeroengine

V 233.7

Adoi：10.13477/j.cnki.aeroengine.2016.05.008

2016-03-01基金項目：國家重大基礎研究項目資助

方偉（1987），男，碩士，從事FADEC軟件研發(fā)工作；E-mail：fangwei1702@163.com。

引用格式：方偉，周彰毅.SCADE在航空發(fā)動機FADEC軟件開發(fā)中的應用初探［J］.航空發(fā)動機，2016，42（5）：43-47.FANGWei，ZHOUZhangyi.Researchon SCADEforaeroengineFADECsoftware［J］.Aeroengine，2016，42（5）：43-47.