MCAS – Prüfverfahren für den modellbasierten Entwurf sicherheitskritischer Avionik‐Software

Elektronische Steuerungs‐ und Regelungssysteme in Fahrzeugen enthalten Funktionen, die komplex und sicherheitskritisch sind. Beispiele sind elektronische Flugsteuerungen  oder Fahrerassistenzsysteme im Auto. Ihr Entwicklungsprozess muss äußerst strukturiert ablaufen und strengen, branchenspezifischen Vorschriften gehorchen, damit sie von den Behörden zugelassen werden. Durch die modellbasierte Software‐Entwicklung lassen sich Risiko, Aufwand und letztendlich die Kosten der Entwicklung erheblich senken.
Modellbasierte Software‐Entwicklung ist dadurch gekennzeichnet, dass ein ausführbares Modell der zu entwickelnden Software erstellt wird. Das hat zwei Vorteile:

1. aus dem Software‐Modell kann automatisch Code generiert werden und
2. die entwickelten Funktionen können frühzeitig durch Simulation validiert werden.

Die im Dezember 2011 verabschiedete Richtlinie RTCA DO‐331 "Model‐Based Development and Verification Supplement to DO‐178C and DO‐278“ eröffnet die Nutzung der Modellbasierte Software‐Entwicklung in der Avionik‐Entwicklung – insbesondere im Zulassungsprozess – und fordert Verfahren zur Absicherung der eingesetzten Modelle. Weil diese Verfahren noch für marktgängige Werkzeuge weitgehend fehlen, ist die Eintrittsschwelle insbesondere für kleine und mittelständische Unternehmen im Bereich der allgemeinen Luftfahrt zu hoch.
Hauptsächliches Hindernis für die Einführung elektronischer Flugsteuerungen für kleinere Nutz- und Commuterflugzeuge die nach der Zulassungsvorschrift EASA CS-23 zugelassen werden, ist der Aufwand für die Qualifikation der Hard- und Software und für die Zulassung des Flugzeugs. Die zu entwickelnden Verfahren zur Überprüfung von Softwaremodellen sollen hier Abhilfe schaffen.

Im Rahmen des MCAS-Projekts soll der Aufwand für die Entwicklung und Zertifizierung von Avionik-Software reduziert werden, um die Entwicklung und den Einsatz solcher Systeme in CS-23-Flugzeugen zu erleichtern. Ziel des Projekts ist die Entwicklung eines Prüfverfahrens, das den modellbasierten Avionik‐Software-Entwicklungsprozess gemäß den Anforderungen der RTCA DO-331 absichert. Durch die entwicklungsbegleitende, automatisierte, statische Prüfung von Modellen sollen mögliche Fehler bereits während der Modellierung erkannt und behoben werden.
Die praktische Umsetzung des Verfahrens baut auf MATLAB®/ Simulink®/ Stateflow®/ TargetLink® als weit verbreitete Werkzeugkette zur modellbasierten Entwicklung eingebetteter Software‐Systeme auf.

Das Fachgebiet Flugmechanik, Flugregelung und Aeroelastizität (FMRA) der TU Berlin ist für das Arbeitspakt AP300, sowie Unterarbeitspakete aus AP100 und AP400 zuständig. Im Einzelnen sind dies:

1. Erstellung eines Anforderungskatalogs an Software-Modelle nach RTCA DO-331 (AP100).
2. Definition und Erstellung eines Verfahrens, welches eine werkzeugunterstützte, automatische Prüfung von Spezifikationsmodellen, Entwurfsmodellen und des generierten Quellcodes ermöglicht (AP300).
3. Bewertung und Validierung des Prüfverfahrens am Beispiel vorhandener, komplexer Modelle (AP400).

• Model Engineering Solutions GmbH
• Fachgebiet für Flugmechanik, Flugregelung und Aeroelastizität (FMRA) der Technischen Universität Berlin