高可靠性飞行代码的自动化验证技术
从仿真模型自动生成代码是基于模型设计中的关键开发环节,可实质性地减少开发团队手写代码所花费的时间和工作量。要想成功开发高性能的嵌入式系统,就必须生成非常高效的代码。代码效率目标包括内存使用的最小化和执行速度的最大化。要想成功部署军用和国防系统,还需要严格的代码验证能力。代码验证目标包括需求符合性和标准符合性。
本文介绍如何使用2011b版MATLAB和Simulink产品系列(包括用于飞行代码生成的Embedded Coder)测量代码效率和进行代码验证。所讨论的开发和验证活动用于满足DO-178B和DO-178C要求,同时也用于满足与DO-178C更新一同发布的基于模型的开发和验证的补充说明。本文并非介绍产品系列中的每个工具或DO-178标准的所有条款;恰恰相反,本文关注的重点是新技术。
Qualification Kit可用于本文介绍的验证工具。
源代码评估
1. 代码效率
代码效率指标分为两个广泛的类别。第一个测量RAM、ROM的内存使用率和堆栈大小;第二个测量执行周期计数或速度。Embedded Coder在生成代码后生成代码指标报告,从而帮助软件工程师分析和优化所生成代码的内存占用率。此报告可根据源代码的静态分析和对目标硬件特性的了解(如整型字长)显示各行代码、全局RAM和堆栈大小。分析是静态的,因为它并不考虑交叉编译和代码执行。这样,工程师可以快速的根据源代码优化内存使用率,例如,通过尝试不同的数据类型或修改模型中的逻辑。但是,接下来的分析和优化阶段将需要完整的嵌入式工具链来进行板上内存利用和执行时间评估,如下文中的可执行目标代码评估中所述(图1)。
图 1:静态代码指标报告 。
2. 代码验证
源代码验证很大程度上依赖于代码审查和需求可追溯性分析。MathWorks的新产品Simulink Code Inspector可对生成的源代码自动执行结构化分析并评估代码是否符合详细设计(low-level
requirements)模型。该检查可检测每一行代码在模型中是否都具有相应的元素或模块。同样,它还可以检测模型中的元素以确定它们在结构上是否相当于生成代码中的操作、运算符和数据。然后,它会生成详细的模型到代码和代码到模型的可追溯性分析报告(图2)。
图 2:Simulink Code Inspector 报告。
其他源代码验证活动包括确保符合行业代码标准(如MISRA AC AGC:有关在自动代码生成过程中应用MISRA-C:2004的指南)。借助R2011a版,Embedded Coder允许开发人员基于MISRA-C标准影响代码生成器的输出。这样MISRA-C分析工具就可以应用于代码检查。例如,Polyspace代码验证产品可分析MISRA AC AGC和MISRA-C:2004代码。Polyspace还可检测代码是否具有除零和数组超出边界条件等运行时错误。Simulink Code Inspector结合Polyspace,可用于处理DO-178表A5中的所有涉及源代码分析的代码验证目标。最差情形执行时间等目标将需要使用可执行目标代码以及如下所述的其它技术和工具(图3)。
图 3:MISRA-C:2004 代码生成目标规格。
可执行目标代码评估
1. 代码效率
Simulink通过使用软件在回路(SIL)和处理器在回路(PIL)测试进行评估分析来支持可执行目标代码验证。借助SIL测试,可对生成的代码进行编译并在主机上运行,以便使用Simulink作为测试装置提供的测试数据进行代码执行的快速评估。通过PIL测试,可将生成的代码交叉编译成可执行目标代码(EOC),并且在真正的飞行处理器或指令集模拟器上运行,同样使用Simulink作为在环测试装置。
对于任何使用可定制API和参考实现的嵌入式处理器的裸机或实时操作系统执行,Embedded Coder 都支持处理器在回路(PIL)测试。有这样一个示例可供观看和下载,这个示例中用到Green Hills MULTI IDE和用于Freescale MPC8620处理器的Integrity RTOS(图4)。
评论