Inhalt des Dokuments
zur Navigation
MCAS – Prüfverfahren für den modellbasierten Entwurf sicherheitskritischer Avionik‐Software
MCAS (Model Check Methodology for Avionic Software) ist ein für 33 Monate (01.08.2015 - 31.04.2018) angelegtes Kooperationsprojekt zur Entwicklung eines Prüfverfahrens, das den modellbasierten Avionik‐Sofware-Entwicklungsprozess absichert. Es wird vom Bundesministerium für Wirtschaft und Energie (BMWi) im Rahmen des Zentralen Innovationsprogramm Mittelstand (ZIM) gefördert.
Einleitung
Elektronische Steuerungs‐ und Regelungssysteme in Fahrzeugen enthalten Funktionen, die komplex und sicherheitskritisch sind. Beispiele sind elektronische Flugsteuerungen oder Fahrerassistenzsysteme im Auto. Ihr Entwicklungsprozess muss äußerst strukturiert ablaufen und strengen, branchenspezifischen Vorschriften gehorchen, damit sie von den Behörden zugelassen werden. Durch die modellbasierte Software‐Entwicklung lassen sich Risiko, Aufwand und letztendlich die Kosten der Entwicklung erheblich senken.
Modellbasierte Software‐Entwicklung ist dadurch gekennzeichnet, dass ein ausführbares Modell der zu entwickelnden Software erstellt wird. Das hat zwei Vorteile:
- aus dem Software‐Modell kann automatisch Code generiert werden und
- die entwickelten Funktionen können frühzeitig durch Simulation validiert werden.
Die im Dezember 2011 verabschiedete Richtlinie RTCA DO‐331 "Model‐Based Development and Verification Supplement to DO‐178C and DO‐278“ eröffnet die Nutzung der Modellbasierte Software‐Entwicklung in der Avionik‐Entwicklung – insbesondere im Zulassungsprozess – und fordert Verfahren zur Absicherung der eingesetzten Modelle. Weil diese Verfahren noch für marktgängige Werkzeuge weitgehend fehlen, ist die Eintrittsschwelle insbesondere für kleine und mittelständische Unternehmen im Bereich der allgemeinen Luftfahrt zu hoch.
Hauptsächliches Hindernis für die Einführung elektronischer Flugsteuerungen für kleinere Nutz- und Commuterflugzeuge die nach der Zulassungsvorschrift EASA CS-23 zugelassen werden, ist der Aufwand für die Qualifikation der Hard- und Software und für die Zulassung des Flugzeugs. Die zu entwickelnden Verfahren zur Überprüfung von Softwaremodellen sollen hier Abhilfe schaffen.
Ziele
Im Rahmen des MCAS-Projekts soll der Aufwand für die Entwicklung und Zertifizierung von Avionik-Software reduziert werden, um die Entwicklung und den Einsatz solcher Systeme in CS-23-Flugzeugen zu erleichtern. Ziel des Projekts ist die Entwicklung eines Prüfverfahrens, das den modellbasierten Avionik‐Software-Entwicklungsprozess gemäß den Anforderungen der RTCA DO-331 absichert. Durch die entwicklungsbegleitende, automatisierte, statische Prüfung von Modellen sollen mögliche Fehler bereits während der Modellierung erkannt und behoben werden.
Die praktische Umsetzung des Verfahrens baut auf MATLAB®/ Simulink®/ Stateflow®/ TargetLink® als weit verbreitete Werkzeugkette zur modellbasierten Entwicklung eingebetteter Software‐Systeme auf.
Projektplan
AP100 | Klassifizierung von Modellen, Ermittlung von Anforderungen | Ableitung spezifische Anforderungen für Spezifikations‐ und Entwurfsmodelle; Analyse des Bedarfs an höherwertigen Tests zum Prüfen der Modelle. |
AP200 | Prüfschritte zum Nachweis der geforderten Eigenschaften | Erstellung von Modell‐Mustern für Spezifikations‐ und Entwurfsmodelle sowie prototypische Prüfalgorithmen für Simulink®/Stateflow®. |
AP300 | Entwicklung des integrierten Prüfverfahrens | Integration aller zulassungsrelevanten Prüfschritte in ein dreistufiges Prüfverfahren zur Prüfung von Spezifikationsmodellen, Entwurfsmodellen und des generierten Quellcodes. |
AP400 | Validierung und Bewertung des Prüfverfahrens | Bewertung und Validierung des Prüfverfahrens anhand vorhandener, komplexer Avionik-Software-Modelle z.B. von Flugsteuerungssystemen. |
Aufgaben der TU Berlin
Das Fachgebiet Flugmechanik, Flugregelung und Aeroelastizität (FMRA) der TU Berlin ist für das Arbeitspakt AP300, sowie Unterarbeitspakete aus AP100 und AP400 zuständig. Im Einzelnen sind dies:
- Erstellung eines Anforderungskatalogs an Software-Modelle nach RTCA DO-331 (AP100).
- Definition und Erstellung eines Verfahrens, welches eine werkzeugunterstützte, automatische Prüfung von Spezifikationsmodellen, Entwurfsmodellen und des generierten Quellcodes ermöglicht (AP300).
- Bewertung und Validierung des Prüfverfahrens am Beispiel vorhandener, komplexer Modelle (AP400).