無人飛行系統(tǒng)（UAS）在情報、監(jiān)視和偵察（ISR）任務(wù)方面的應(yīng)用已呈現(xiàn)爆炸性增長。隨著無人飛行系統(tǒng)的價值不斷提升，這一增長絲毫沒有顯示放緩的跡象。UAS領(lǐng)域在開發(fā)自動控制航空器方面必須解決一系列關(guān)鍵技術(shù)和人力難題。來自比亞喬航空公司的工程師面臨著將公司的傳統(tǒng)載人P.180 AvantiII行政噴氣機(jī)改造成UAS的挑戰(zhàn)。該航空器的指揮控制架構(gòu)需通過第一代要求的認(rèn)證，同時按照設(shè)計路線圖的要求能夠在將來不斷擴(kuò)充功能，從而為不同配置提供支持。為了限制經(jīng)費并在很短的時間內(nèi)取得成功，這項工作必須由數(shù)量嚴(yán)格受限的工程師來完成。比亞喬的工程師通過使用新的開發(fā)流程實現(xiàn)了上述目標(biāo)，在該開發(fā)流程中，工程師從頭創(chuàng)建了全新的ANSYS SCADE模型，或在有Matlab/Simulink?模型可用的情況下，使用SCADE Suite Gateway for Simulink?將其轉(zhuǎn)換成ANSYSSCADE模型。

    首次飛行中的P.1HH HammerHead

    工程師根據(jù)SCADE模型，使用SCADE KCG資格認(rèn)證代碼生成器自動生成嵌入式源代碼。然后先后在模型階段、主機(jī)以及目標(biāo)環(huán)境中連續(xù)測試航空器控制管理系統(tǒng)（VCMS），即執(zhí)行航空器命令和控制的數(shù)字基礎(chǔ)設(shè)施，這樣工程團(tuán)隊就能夠盡早地發(fā)現(xiàn)問題并加以更正。

    比亞喬航空工業(yè)公司是一家總部位于意大利熱那亞的跨國航空航天制造公司。該公司從事航空器、航空發(fā)動機(jī)和航空器結(jié)構(gòu)組件的設(shè)計、開發(fā)、建造和維護(hù)工作。比亞喬最新開發(fā)的P.1HH HammerHead無人機(jī)采用兩臺普拉特·惠特尼加拿大（Pratt&Whitney Canada）公司生產(chǎn)的PT6-66B渦輪螺旋槳發(fā)動機(jī)，能為任何偵察和安保需求提供頂級對峙能力（在一定距離上部署）。該VCMS可用于管理飛行控制、推進(jìn)、發(fā)電和配電、起落架、制動、結(jié)冰檢測和防護(hù)、導(dǎo)航和通信系統(tǒng)。使用分區(qū)技術(shù)創(chuàng)建分隔環(huán)境，可讓每種功能的軟件應(yīng)用都在其中運行而彼此又不會產(chǎn)生干擾，進(jìn)而避免造成故障擴(kuò)散。

    軟件開發(fā)要求

    在項目的開始幾個月里，團(tuán)隊先開發(fā)發(fā)動機(jī)和飛行控制規(guī)則；同時項目組還制定了針對嵌入式軟件的其它要求。VCMS的高級要求以多種不同格式提供。系統(tǒng)工程師還以文本方式采集了一些有關(guān)功能、界面和冗余等方面的要求。其它要求則以文本方式從諸如P.180飛行員操作手冊等操作指南中摘錄。駕駛該飛機(jī)所涉及的控制規(guī)則、算法和方程則在MathWorks?Simulink中完成編寫、仿真和驗證。隨后在IBM? Rational?DOORS?要求管理環(huán)境中生成各項要求。此外，測試案例也在DOORS中完成編寫，并使用SCADE要求管理網(wǎng)關(guān)連接到操作要求。最后針對每個測試案例定義測試步驟和預(yù)期結(jié)果。

    對該項目而言， 軟件必須符合DO-178B標(biāo)準(zhǔn)，即FAA、EASA和其它認(rèn)證機(jī)構(gòu)用于認(rèn)證所有航空電子軟件的事實標(biāo)準(zhǔn)。由于SCADE能夠從模型自動生成源代碼，并最大限度地減少驗證對應(yīng)于系統(tǒng)模型的源代碼的工作量，因此比喬亞選擇ANSYS SCADE作為VCMS的開發(fā)環(huán)境。ANSYS SCADE KCG代碼生成器是經(jīng)DO-178B認(rèn)證的開發(fā)工具，因此代碼對應(yīng)輸入模型的一致性非?？煽?，無需在編碼階段開展驗證工作。SCADE基于模型的方法可幫助系統(tǒng)工程師為每一項功能自動建模，并在制作真實硬件之前在主機(jī)上檢查其性能狀況。

    創(chuàng)建模型

    在有文本文檔的情況下，SCADE 模型是由工程師根據(jù)功能要求徹底從頭創(chuàng)建而成，而在有可用的Simulink模型的情況下，SCADE模型則是通過Simulink Gateway自動創(chuàng)建而成。SCADE要求管理網(wǎng)關(guān)可用于連接要求和SCADE模型中的嵌入式系統(tǒng)。工程師采用SCADE語義檢查器來驗證模型的語義。問題的發(fā)現(xiàn)和解決均在PC環(huán)境中的主機(jī)上完成，而非在成本和復(fù)雜程度更高的目標(biāo)硬件環(huán)境中進(jìn)行。有一小部分代碼（主要是輸入/輸出等低級代碼）是使用傳統(tǒng)方式在C語言環(huán)境中完成開發(fā)的。

    為確保Simulink模型正確地轉(zhuǎn)換到SCADE環(huán)境中，需要將Simulink測試矢量轉(zhuǎn)換到SCADE 環(huán)境。測試案例則被轉(zhuǎn)換到SCADE輸入情景中。隨后在Simulink和SCADE上同時運行測試矢量，并對比結(jié)果，以確保轉(zhuǎn)換后的SCADE模型具備與原始Simulink模型相同的功能行為。

    軟件驗證

    DO-178B認(rèn)證標(biāo)準(zhǔn)需要證明，由測試矢量執(zhí)行的功能測試可全面覆蓋整個模型功能。SCADE Model Test Coverage工具可用于檢查模型覆蓋情況并發(fā)現(xiàn)未被覆蓋的區(qū)域。此外工程師還設(shè)計和開展了更多測試，以提供所需的覆蓋范圍。

    隨著模型數(shù)量及各模型輸入數(shù)量不斷增多，驗證工作量也呈指數(shù)增加。在項目初期階段，測試矢量的生成、驗證和配置曾存在問題。SCADELifeCycle資格認(rèn)證測試環(huán)境（QTE）可在主機(jī)環(huán)境中自動運行測試、比較預(yù)期值的結(jié)果并突出顯示任何誤差，從而解決了上述問題。

    工程師在目標(biāo)計算機(jī)上也執(zhí)行了類似工作，同時把測試矢量發(fā)送到模型生成的可執(zhí)行代碼中。比喬亞的工程師編寫了一個簡單的測試應(yīng)用工具，該工具能夠在目標(biāo)計算機(jī)上運行并發(fā)揮與QTE類似的作用。具體做法是先使用SCADE輸入情景運行該應(yīng)用，然后將得到的結(jié)果與在主機(jī)上使用相同應(yīng)用和輸入所生成的輸出進(jìn)行比較。

    系統(tǒng)集成

    把用于處理VCMS各項不同功能的模型逐步集成到主機(jī)上以構(gòu)建虛擬VCMS，從而在系統(tǒng)集成之前就提前檢查應(yīng)用的互操作性。該驗證工作的目的是：在實際硬件上執(zhí)行系統(tǒng)集成之前發(fā)現(xiàn)并解決大部分集成問題。這樣，在系統(tǒng)集成階段發(fā)現(xiàn)的問題數(shù)量就會大幅減少，而且其原因?qū)⒅饕怯布?軟件/子系統(tǒng)集成問題，而非設(shè)計錯誤。當(dāng)系統(tǒng)集成完成，且最終測試執(zhí)行結(jié)束后，來自實際測試的數(shù)據(jù)將被饋送到測試矢量中，用于進(jìn)一步驗證模型。

    整個項目從系統(tǒng)工程師直接執(zhí)行模型開發(fā)開始，到構(gòu)成VCMS的12.5萬行源代碼的編譯、集成和驗證完成，總共用時大約18個月。工作小組以全職成員計算，規(guī)模不超過20名工程師（系統(tǒng)和軟件）。為實現(xiàn)該項目頗具挑戰(zhàn)性的目標(biāo)，他們從設(shè)計階段初期起就開始緊密協(xié)作，直至最終系統(tǒng)集成成功完成。最終，該VMCS的開發(fā)及驗證時間僅為采用純手動編碼所需時間的三分之一左右。

    該無人機(jī)于2013年11月成功完成首次飛行，此時距項目啟動不足兩年時間。VCMS運行得非常成功。P.1HH的配置將隨著后續(xù)補(bǔ)充軟件版本的發(fā)布而不斷豐富，新增功能將使P.1HH具備更多的任務(wù)能力。