Die Fachausschüsse L6.3 Flugregelung und Q3.4 Software Engineering der DGLR veranstalten am 10. Oktober 2013 einen eintägigen Workshop zum Thema

"Durchgängige Entwicklung von GNC Funktionen – vom Algorithmus zur Embedded Software"

Ort: Institut für Luft- und Raumfahrt, TU München, Garching bei München

Call for Paper

Klassische Vorgehensweisen bei der Konzeption, Entwicklung und Umsetzung von GNC (Guidance, Navigation and Control) Algorithmen leiden an mangelnder Durchgängigkeit infolge von Brüchen an Werkzeug-, Disziplin- und Domänengrenzen. So wird etwa die Entwicklung von Flugregelungsgesetzen von Spezialisten aus dem Bereich Flugdynamik und Regelungstechnik bestritten, während bei der Umsetzung in eingebetteten Systemen vorwiegend elektro- und informationstechnische Expertise eingebracht wird. Eine frühzeitige Berücksichtigung der Anforderungen der komplementären Domänen bei den eigenen Arbeitsanteilen birgt das Potenzial großer Effizienzsteigerungen. Vor allem in die modellbasierte Entwicklung werden hier große Hoffnungen gesetzt.

Der gemeinsame Workshop der DGLR Fachausschüsse Q3.4 und L6.3 widmet sich der Durchgängigkeit von der Anforderungsdefinition bis zur Abnahme und Zulassung der eingebetteten Software auf dem Zielsystem in den Bereichen Flugführung, Flugregelung und Navigation (GNC).

Dabei sollen unter anderen die folgenden Themen besprochen werden:

• durchgängige Verfolgbarkeit (Traceability) von Anforderungen, Algorithmen, Implementierung auf verschiedenen Ebenen und Verifikation
• frühzeitige simulations- und modellbasierte Anforderungsdefinition und -validierung
• frühzeitige Einbindung von Sicherheits- und Zulassungsaspekten in den Entwicklungsprozess
• a priori Berücksichtigung von Randbedingungen und Anforderungen der Zielhardware bei der Funktionsentwicklung und Algorithmenmodellierung
• Sicherstellung von Durchgängigkeit und Qualität durch Modellierungsrichtlinien
• Methoden für die Bewertung und Freigabe von GNC Funktionen und derer Umsetzung (FCL Assessment / Clearance)
• Berücksichtigung der Verifizierbarkeit von Algorithmen im Allgemeinen und deren (hochautomatisierten) Testbarkeit im Besonderen
• Sicherstellung von Vollständigkeit, Konsistenz und Kohärenz der Entwicklungsartefakte über den gesamten Entwicklungsprozess

Geplant ist ein reger Erfahrungsaustausch auf Fachspezialistenebene. Dazu suchen wir Vorträge und Erfahrungsberichte aus der industriellen Praxis oder der industrienahen Forschung, die sich mit den dargestellten Themen befassen.

Jeder Vortrag sollte ca. 30 Minuten dauern, anschließend sind 15 Minuten Diskussion vorgesehen. Zwecks Vorbereitung des Workshops wird um die Zusendung einer Kurzfassung des Vortrags bis spätestens 30. April 2013 gebeten.

Der Workshop findet am 10. Oktober 2013 an der Technischen Universität München in Garching statt. Die Teilnahme ist kostenlos.

Für weitere Informationen und zur Vortragsanmeldung stehen Ihnen die Obleute der Fachausschüsse L6.3 und Q3.4 zur Verfügung.

Termine

Vortragsanmeldung: 30. April 2013

Programm und Benachrichtigung der Vortragenden: 2. August 2013

Anmeldung: bis 30. September 2013

Workshop: 10. Oktober 2013

Programm

Bei Bedarf können die Dokumente zu den jeweiligen Vorträgen bei den Obleuten des Fachausschuss angefordert werden.

Bericht

Am 10. Oktober fand ein gemeinsamer Workshop der Fachausschüsse L6.3 Flugregelung und Q3.4 Softwareengineering zum Thema „Durchgängige Entwicklung von GNC Funktionen – vom Algorithmus zur Embedded Software“ am Institut für Luft- und Raumfahrt der Technischen Universität München in Garching statt.

Zu Beginn begrüßten die Obleute der einladenden Fachausschüsse, Dr. Philipp Krämer und Richard Seitz, die etwa 60 Workshopteilnehmer aus Forschung, Industrie und von der Bundeswehr. 

Prof. Dr. Klaus Schilling vom Zentrum für Telematik beschrieb im ersten Vortrag des Workshops die Verwendung von Navigationsfunktionen für die Koordination von teilautonomen Land- und Luftrobotern. Bei der Entwicklung werden frühzeitig Simulationstechniken und -werkzeuge wie USARSim eingesetzt, für die Verifikation Hardware-in-the-Loop (HiL) sowie Software-in-the-Loop (SiL) Tests. Mögliche Anwendungsszenarien für kooperative autonome Systeme sind Netze von Pico-Satelliten, Umweltmonitoring und die Überwachung von Containerverladeplätzen.

Dr. Martin Momberg von Cassidian hob in seinem Vortrag den Paradigmenwechsel von Source-Code-basierten zu modellbasierten Entwurfs- und Verifikationsprozessen hervor sowie dessen Einfluss auf die Nachweisführung bei der Zulassung. Er stellte die Zulassungsbasis und den Entwicklungsprozess der Barracuda Flight Control Computer Software vor und betonte die Wichtigkeit von Modellsimulation, der Anwendung von Modellierungsstandards und der Model Coverage Analysis.

Georg Walde von der Technische Universität Berlin stellte den Entwicklungsprozess der sicherheitskritischen und zulassungsfähigen Flugsteuerungssoftware für das Luftarbeitsflugzeug Stemme S15 im Projekt LAPAZ (Luft-Arbeits-Plattform für die Allgemeine Zivilluftfahrt) vor. Besonderes Augenmerk wurde in diesem Projekt auf das Software-Konfigurationsmanagement und die Software Verifikation gelegt. Hr. Walde erläuterte die eingesetzten Verifikationsmethoden und -Werkzeuge über die verschiedenen Teststufen bis zur Flugversuchsfreigabe.

Christoph Torens vom Deutschen Zentrum für Luft- und Raumfahrt (DLR) stellte das Testkonzept für den UAV Missionsplaner im Projekt ARTIS (Autonomous Research Testbed for Intelligent Systems) vor. Er gab einen Überblick über die eingesetzten Teststrategien und ihre Bewertung hinsichtlich verschiedener Kriterien wie Aufwand, Größe des zu testenden Systems, der Szenario-Komplexität, der erreichbaren Testüberdeckung, der Antwortzeit und des Automatisierungsgrades. Die seiner Ansicht nach wichtigsten Kriterien Automatisierungsgrad und Antwortzeit werden am besten durch Software-in-the-Loop-Tests, statische Analyse und formale Methoden erfüllt.

Martin Gestwa, ebenfalls vom DLR, beschrieb die Architektur des Hubschrauber-Flugversuchsträgers ACT/FHS und den daraus abgeleiteten Entwicklungsprozess für die Experimentalsoftware. Die Architektur ist so ausgelegt, dass für die Experimentalsoftware kein formaler Entwicklungs- und Nachweisprozess notwendig ist. Das Sicherheitskonzept basiert auf der Trennung von zugelassenem Kernsystem und flexiblen Experimentalsystem sowie dem Einsatz eines Sicherheitspiloten. Die Entwicklung des Experimentalsystems erfolgt modellbasiert und ist über Projektstandards geregelt, die Verifikation der Experimentsoftware durchläuft die Schritte Offline-Simulation durch den Entwickler, ACT/FHS System Simulator mit Versuchspilot und Flugversuchsingenieur, interner Fugversuch und abschließend offizieller Flugversuch.

Dr. Heiko Dörr von Model Engineering Solutions GmbH gab einen Erfahrungsbericht über bestehende Richtliniensammlung für Matlab/Simulink. Da Modelle zunehmend Bestandteil des formalen Entwicklungsprozesses sind, müssen sie die gleichen Anforderungen hinsichtlich Produktqualität erfüllen wie der Source Code in der traditionellen Software-Entwicklung. Richtlinien sind dabei nicht als Gesetze zu verstehen, sondern als Best Practices zur Erhöhung der Lesbarkeit und Wartbarkeit sowie zur Vermeidung strukturell fehlerhafter Modelle. Modellierungsrichtlinien sollen helfen, spezifische Fehler der nachfolgenden Toolkette zu umgehen.

Markus Hornauer und Falko Schuck von der Technischen Universität München stellten einen Prozess für die Entwicklung von GNC Software vor, der auch für kleine und mittelständische Unternehmen geeignet ist. Der Prozess beinhaltet die Erstellung von Modellen für das Requirements Assessment, für die Reglerauslegung und für die Software-Entwicklung. Das Designmodell dient als Schnittstelle zwischen dem Regelungsentwicklungsprozess und dem Software-Entwicklungsprozess. Die Validierung der Requirements und die Parameterschätzung für die Algorithmen erfolgt frühzeitig über modellbasierte Simulation.

Otto Alber von Silver Atena stellte die Gemeinsamkeiten und Unterschiede von ISO 26262 und DO-178C vor. Anhand von im eigenen Unternehmen ermittelten Zahlen belegte er die Zeit- und Kostenersparnis, die durch den Einsatz modellbasierter Entwicklungstechniken möglich sein können. Nach seiner Erfahrung lohnt sich die Qualifizierung von Code Generatoren entsprechend DO-178C erst ab einem Umfang von etwa 60.000 Zeilen generierten Source Codes.

Jean-Marc Bonillo von AES Aerospace Embedded Solutions stellte zwei Projekte vor, die Matlab/Simulink zur Modellierung verwenden. Die Modelle entstehen dabei auf der detaillierten Software-Entwurfsebene und bedingen die Einbindung von Regelungstechnikern in den Softwareerstellungsprozess. In einem der Projekte wurde ein Gateway zwischen Matlab/Simulink und SCADE entwickelt, da SCADE zur Projektlaufzeit bereits über einen qualifizierbaren Code Generator verfügte.

Guido Weber von der Liebherr-Aerospace Lindenberg gab einen Erfahrungsbericht zur Entwicklung der Fly-by-Wire-Flugsteuerung eines Regionaljets für einen russischen Luftfahrzeughersteller. Die russischen Flugregelungsexperten übergaben ein analoges Matlab/Simulink-Modell an die Software-Entwicklungsabteilung von Liebherr-Aerospace. Dieses Modell wurde in diskrete Modelle als Eingang in die Software-Entwicklung transformiert. Die diskreten Modelle wurden anschließend durch Simulation und in interdisziplinären Workshops mit den Flugregelungsexperten beider Firmen sowie den Software-Experten validiert. Aufgrund des Projekterfolgs werden modellbasierten Verfahren für zukünftige Projekte bei Liebherr-Aerospace verwendet werden.

Andreas Graf von der itemis AG erläuterte den Übergang von der komponentenbasierten Vorgehensweise zur funktionsorientierten, der gerade in der Automobilindustrie vollzogen wird. Das funktionsorientierte Paradigma ist allerdings noch so neu, dass es noch keine ausgereiften Methoden und Organisationsstrukturen und keine vollständige Werkzeugunterstützung gibt. Das Forschungsprojekt IMES soll hier Abhilfe schaffen und hat die Entwicklung einer Eclipse-basierten Werkzeugkette für die funktionsorientierte Entwicklung zum Ziel. Hr. Graf stellte die zugrundeliegenden Konzepte vor und demonstrierte die im Projekt entstandenen Tools.

Dr. Philipp Krämer vom DGLR Fachausschuss L6.3 und Richard Seitz vom Fachausschuss Q3.4 beschlossen gemeinsam die Veranstaltung.

Die Vorträge wurden von umfangreichen Fragen und engagierten Diskussionen begleitet, die in den beiden Kaffeepausen und während des Mittagessens fortgesetzt wurden. Die Teilnehmer nutzten auch intensiv die Gelegenheit zu einem allgemeinen Informations- und Gedankenaustausch, welches ja ebenfalls eines der Ziele der Fachausschüsse ist. Viele Teilnehmer haben überdies das Angebot von Prof. Dr. Holzapfel wahrgenommen, während der Mittagspause die Einrichtungen und Simulatoren des Lehrstuhls für Flugsystemdynamik zu besichtigen und mit den Mitarbeitern des Lehrstuhls zu sprechen.

Ein herzliches Dankeschön geht an die Vortragenden für ihre hervorragenden Präsentationen. Ein ganz besonderer Dank geht an die Mitarbeiter des Lehrstuhls für Flugsystemdynamik von Prof. Dr. Holzapfel für ihre tatkräftige und sehr engagierte Unterstützung bei der Vorbereitung und Durchführung des Workshops. Wir möchten uns auch bei den Firmen Cassidian, ESG und Eurocopter Deutschland für die Übernahme der Kosten für die Verpflegung in den Pausen bedanken sowie bei der Technischen Universität München für die Überlassung des Hörsaals. Schließlich möchten wir uns bei allen Teilnehmern des Workshops bedanken, die durch ihre rege Beteiligung die Veranstaltung erst zu einem Workshop gemacht haben.

Allgemeine Informationen

Kurzfassung der Vorträge

Georg Walde: Entwicklung und Verifikation von GNC - Funktionen im Projekt LAPAZ

Am Fachgebiet Flugmechanik, Flugregelung und Aeroelastizität (FMRA) des Instituts für Luft- und Raumfahrttechnik der TU Berlin wird zusammen mit den Projektpartnern der Stemme AG und dem Institut für Luftfahrtsysteme der Uni Stuttgart an der Entwicklung eines hochzuverlässigen, automatischen Flugsteuerungssystem für das Luftarbeitsflugzeug Stemme S15 gearbeitet. Das Forschungsprojekt LAPAZ (Luft-Arbeits-Plattform für die Allgemeine Zivilluftfahrt) läuft seit dem Jahr 2007 und wird im Rahmen des nationalen Luftfahrtforschungsprogramms (LuFo IV) vom Bundesministerium für Wirtschaft und Technologie (BMWi) gefördert. Das FMRA ist in diesem Projekt für die Entwicklung der Autopilotenbedieneinheit und der sicherheitskritischen Flugsteuerungsgesetze zuständig.

Für Entwicklungsprozesse komplexer Luftfahrtsysteme und -software existieren Standards, wie etwa SAE ARP 4754 und RTCA DO-178B. Diese sind sehr personal- und kostenintensiv und erfordern einen großen Dokumentationsaufwand. Ein Teil der Vorgaben dieser Standards sind ohne Werkzeugunterstützung praktisch kaum durchführbar. Umso wichtiger ist es, dass die eingesetzten Werkzeuge und Prozesse optimal ineinandergreifen und aufeinander abgestimmt sind.

In diesem Vortrag soll der Entwicklungsprozess der sicherheitskritischen Software der Flugsteuerungsgesetze für das Luftarbeitsflugzeug Stemme S15 vorgestellt werden. Zwei wesentliche Prozesse zur Sicherstellung der Qualität und Nachvollziehbarkeit im Lebenszyklus der Software sind die integralen Prozesse des Software Konfigurationsmanagements und der Software Verifikation. Auf diese soll im Vortrag das Hauptaugenmerk gelegt werden. Insbesondere werden Methoden und Werkzeuge der Verifikation der GNC Funktionen und die verschiedenen Teststufen, welche bis zur Flugversuchsfreigabe und dem Flugversuch durchlaufen werden, vorgestellt. Weiterhin soll auf die Erfahrung mit eingesetzten Werkzeugen und deren Verzahnung eingegangen werden.

Markus Hornauer und Florian Holzapfel: Wechselwirkungen zwischen GNC Algorithmus und Software

Typischerweise werden GNC Algorithmen und Software getrennt von einander betrachtet - und entwickelt - obgleich beide unmittelbar mit einander verbunden sind. Die Trennung von Systemalgorithmus und Software ist nicht zuletzt durch separate Entwicklungsstandards erwünscht. Eine zu isolierte Betrachtung der beiden Darstellungsformen von ein und der  selben Funktionalität kann jedoch zu erheblichen Mehraufwand bis hin zu ungewolltem funktionalen Verhalten führen.

Wird der Algorithmus isoliert von seiner späteren Target-Umgebung entwickelt, treten häufig ungeplante Latenz- und Laufzeiteffekte auf, welche zusammen mit numerischen Ungenauigkeiten die Stabilität des Systems gefährden können. Wird Software ohne das Hintergrundwissen des Systemkontexts entwickelt können aus Safety Sicht gefährliche Robustness und Diagnose Funktionen entstehen, oder im einfachsten Fall der Testaufwand unnötig erhöht werden.

Im Rahmen dieses Vortrags sollen aktuelle Ergebnisse aus der industrienahen Forschung am Beispiel eines Flugsteuerungssystems präsentiert werden. Neben modellbasiertem Requirements Assessment, modellbasierter Reglerauslegung und modellbasierter Software Entwicklung soll vor allem auf die Abhängigkeiten und Wechselwirkungen zwischen GNC Algorithmus und Embedded Software eingegangen werden.
 

Michael Fritscher, Doris Aschenbrenner, Klaus Schilling: GNC für die Koordination von teilautonomen Robotergruppen aus Land- und Luftfahrzeugen

Der Einsatz komplexer Multi-Robotersysteme mit heterogener Dynamik stellt interessante Herausforderungen an GNC-basierte Simulationstechniken, die hier am Beispiel kooperierender Luft- und Landfahrzeuge diskutiert werden. Dabei bieten Navigationsinformationen die entscheidende Grundlage für die Koordination der verschiedenen Fahrzeuge. Frühzeitiger Einsatz solcher Simulationen ist ein Schlüsselelement bei der erfolgreichen Entwicklung von GNC-Algorithmen, die den erforderlichen hohen Sicherheitsanforderungen genügen. Mögliche unausgereifte Bedienaspekte führen zu sehr kostenträchtigen Abstürzen oder Kollisionen, die bestmöglich durch entsprechende Tests in der Simulationsumgebung vorherzusehen und zu lösen sind. Insbesondere erschwert hier beschränkter Zugriff auf Zustandsvariablen (Spannungsschwankungen, hochgenaue Positionen, Geschwindigkeiten, Beschleunigungen etc.) die Ursachenforschung bei Fehlverhalten. In Simulationen können neben dem Test dieser Problemsituationen für spezifische Umgebungs- und Startbedingungen eine Vielzahl kritischer Parametervariationen in Tests vollautomatisch durchgeführt werden und gegebenenfalls mit stochastischen Störungen überlagert werden.

Im Forschungsprojekt SiNafaR (Sichere Navigation für autonome Roboterfahrzeuge) wurde das komplexe Umfeld eines Container-Verladeplatzes als Anwendungsszenario für die Situationserfassung mit Helikoptern und Roboterfahrzeugen gewählt. Für den autonomen Hubschrauber wurden SIL (Software in the Loop) und HIL (Hardware in the Loop) Systeme eingesetzt, um die Navigation, die Erkennung von Markierungen, sowie die Missionsplanung zu testen. Für das autonome Bodenfahrzeug wurde USARSim verwendet. Damit können realistische Welten, Videostreams und auch Sensordaten (GPS, Laserscanner, RFID-Scanner, Funkreichweiten) simuliert werden. Neben der Entwicklung der Algorithmen für den teilautonomen Roboter wurde die Simulation auch für die Implementierung der Bodenstation und der Mensch-Maschine Schnittstelle eingesetzt, um frühzeitig realitätsnahe Eindrücke von der Software zu bekommen und dem zukünftigen Anwender die Möglichkeit zu geben, frühzeitig fundierte Änderungswünsche zu äußern.

Abschließend wurden die Algorithmen auf die Roboterhardware portiert und getestet. Um reproduzierbare und verwertbare Testergebnisse zu erhalten, wurden hochgenaue Tracking-Systeme zur Messung der Positionen und Geschwindigkeiten im sub-mm Bereich eingesetzt.

Dr. Martin Momberg: Goals in Simulation and Testing of Model-Based Functional Design of the Barracuda Flight Control Software

When using the guidance contained in the recently released documents ED-12C/DO-178C for airborne software certification aspects in general and ED-216/DO-331 for model-based design and verification in particular, the automated generation of source code from equipment- or system-level models comes along with the opportunities to perform tool qualification on the code generator and to create evidence from model simulation and model coverage analysis but also with the need to apply the normal range and robustness test objectives to simulation case creation.

The Flight Control Computer of the Barracuda Unmanned Aerial Vehicle (UAV) Technology Demonstrator employs software that has been mostly generated directly from textual and graphical models, designed in the equipment and system development processes based on corresponding higher-level textual requirements.

This presentation details on the paradigm shift from the source code to the model in the design and verification process of Barracuda Flight Control Computer Software, the changed goals to be achieved in collecting certification evidence, and the hurdles to be cleared.

Andreas Graf: Function-Oriented Development - Results from the IMES Research Project in Automotive

Currently, the development processes for software in automotive are focused on the concept of "components". However, due to the increasing complexity and interdependence, this approach is reaching its limits. Modern customer functions, like driving assistance, are distributed over a number of software components and ECUs. A component-oriented process does not provide a comprehensive view on a function.

OEMs see function-oriented processes as a solution to the challenge. Function orientation is an emerging strategic topic in automotive. However, in terms of methodology, tool support and organizational issues, the industry is only taking its first steps.

In the public sponsored research project "IMES" we are building an Eclipse-based toolchain for function-oriented development. Based on the open source project "EATOP", which provides a basic model-implementation of the EAST-ADL standard, the IMES tool supports the modeling of logical functions, the traceability both to requirements as well as implementation (based on Eclipse RMF). It includes editors for feature models and variant specification (an extension to Eclipse featuremodel) as well as tooling for AUTOSAR models (based on Artop) and can be connected to change management systems.

The presentation will include an introduction to function oriented development, a demonstration of the tooling and a explanation of the impact on processes, tools and organization.

M. Gestwa, M. Höfinger, R. Lantzsch, Dr. K. Alvermann: The Software Development Environment of the DLR Research Rotorcraft ACT/FHS

Das Deutsche Zentrum für Luft- und Raumfahrt e.V. betreibt mit dem ACT/FHS einen einzigartigen Flugversuchsträger im Bereich der Hubschraubertechnologie. Im Rahmen dieses Vortrages wird zuerst das System ACT/FHS mit seinen Experimentalkomponenten vorgestellt. Aufbauend auf dieser Systembeschreibung wird dann der Entwicklungsprozess der Experimentsoftware erläutert. In Zentrum dieser Betrachtung steht zum einen der Software-Entwicklungsprozess und zum anderen die vom DLR aufgebaute Software-Architektur, um selbst entwickelte Experimentfunktionen unter realen Bedingungen im Flugversuch zu erproben. Am Ende des Vortrags werden dann einige aktuell Anwendungen exemplarisch vorgestellt. 

Otto Alber: Effizienter Einsatz von Codegeneratoren in der modellbasierten Software-Entwicklung

Die normativen Vorgaben zur Entwicklung sicherheitsrelevanter SW in der Luftfahrt und Automobilindustrie können im Wesentlichen durch einen SW-Entwicklungsprozess abgedeckt werden. Dadurch und durch den modellbasierten Ansatz lässt sich die SW-Entwicklung optimieren. Es entstehen Synergie-Effekte, die zu einer Steigerung der Qualität und zur Reduzierung der Entwicklungskosten führen.

Sicherheitsrelevante SW für die zivile Luftfahrt muss heute nach DO-178C entwickelt werden. Für die Automobilindustrie definiert die ISO26262 für sicherheitsrelevante SW den derzeit anzuwenden Stand der Technik. Im Vergleich werden die Gemeinsamkeiten der Normen sichtbar. Nur für eine nachweislich deterministische SW können die geforderten Nachweise erbracht werden. Zudem zeigt die Praxis, je statischer die SW, umso geringer ist der Aufwand für die geforderten Analysen und Tests. Hingegen wird die Nachweisführung bei Verwendung von z.B. dynamischer Verwaltung von Speicher oder dynamischem Tasking beliebig schwer. Die Unterschiede zwischen der Luftfahrt und der Automotive Norm fallen vergleichsweise gering aus. So verlangt die ISO26262 ausdrücklich SW Unit Tests zum Nachweis der Structural Coverage während dies in der Luftfahrt durch HW/SW Integrationstests, SW Integrationstests oder Low-Level Testing erfolgen kann. D.h. in der Regel muss hier nur ein kleiner Teil der SW Tests auf SW Unit Ebene, zur Erreichung der Structural Coverage, durchgeführt werden. Zusätzlich gibt es noch nicht zu unterschätzende Unterschiede in den verwendeten Begriffen, die Einfluss auf die zu erstellende Dokumentation haben.

Im Vortrag wird zudem gezeigt, wie sich der Einsatz Modell-basierter SW-Entwicklung auf den gesamten SW-Entwicklungsprozess auswirkt. Abschließend das Thema Toolqualifikation behandelt. Es wird gezeigt wie Kosten und Nutzen der Toolqualifikation betrachtet werden können, als Entscheidungshilfe Verifikations- oder Entwicklungsschritte zu automatisieren.

Christoph Torens, Florian Adolf: Testkonzept eines UAV Missionsplaners

Das DLR betreibt mit der „Autonomous Research Testbed for Intelligent Systems“-Plattform (ARTIS) eine Flotte unbemannter Luftfahrtzeuge im Bereich der Gewichtsklassen von 0,5kg bis 150kg. Der Kern der Arbeit ist dabei die Erforschung und Entwicklung hoch-automatisierter Funktionen. Eine für die Autonomie besonders wichtige Komponente ist der Missionsplaner, der Flugtrajektorien und Aktionen in bekannter, sowie teilweiser unbekannter Umgebung plant. Dabei entscheidet die Software selbstständig über Abläufe (offline Planer) und darauf aufbauend, wie erkannte Hindernisse optimal umflogen werden können (online Planer). Ein solcher Einsatz autonomer Softwarefunktionen erfordert eine rigorose Nachweisführung.

Der Vortrag stellt den aktuellen Stand des Missionsplaners, sowie das Konzept zur Nachweisführung vor, das derzeit einen Kompromiss zwischen optimaler Theorie (DO-178 B/C, Level A-D, mit umfassender Traceability) und handhabbarer Praxis darstellt. Neben Reviews, statischen Tests und Unit-Tests sieht das Konzept vor allem simulierte Testszenarien vor. Eine qualitative Evaluierung analysiert die verschiedenen Testarten, die in logischen Schichten aufeinander aufbauen. Insbesondere die Software-in-the-loop-Tests bieten einerseits einen hohen Grad an Testmöglichkeiten sowie direkte Rückkopplung mit Entwicklern. Hardware-in-the-loop-Tests und Flugtests sind demgegenüber seltener, dennoch sind auch diese Tests aufgrund ihrer Hardwarenähe unverzichtbar. Insgesamt muss daher bei der Entwicklung eines Testkonzepts darauf geachtet werden, alle Testachsen möglichst umfassend abzudecken. Die betrachteten Testachsen: SUT-Größe, Testaufwand, Szenario Komplexität, Abdeckungsrate, Rückkopplungs- und Automatisierungsgrad werden im Vortrag näher erläutert.

Dr. Heiko Dörr, Dr. Ingo Stürmer: Richtlinie für die Modellbasierte SW-Entwicklung - Ein Erfahrungsbericht

Die modell-basierte Entwicklung von Software für eingebettete Systeme setzt sich als Paradigma verstärkt durch. Der wesentliche Vorteil, gerade auch für komplexe Steuerungssysteme, besteht im Frontloading. Abstimmung der Funktionalität, aber auch die Qualitätssicherung der Software können deutlich früher erfolgen - eben auch wenn noch kein Gesamtsystem erstellt wurde. Die Verfügbarkeit von Generatoren, die aus den funktional ausentwickelten Modellen den Code für Steuergeräte erzeugen, verstärkt die gegebenen Vorteile der virtuellen Entwicklung noch. Durch den Einsatz von Code-Generatoren steigen jedoch auch die Anforderungen an Modelle. Diese werden nun nicht nur als Prototypen eingesetzt, sondern müssen auch die langfristig gültigen Aspekte der Produktqualität erfüllen.

In der klassischen Entwicklung haben sich über mehrere Jahrzehnte hinweg best-practices etabliert, die als strukturelle Anforderungen an die erstellte Software zu berücksichtigen sind. Die Bedeutung der best-practices wird so hoch eingeschätzt, dass selbst Standards wie IEC 61508 oder ISO 26262 den Einsatz von best-practices fordern. Die ISO 26262 verlangt zum Beispiel den Einsatz von Codierungs- bzw. Modellierungsrichtlinien. So sollen etwa Risiken strukturell fehlerhafter Modelle vermieden werden.

Der Vortrag gibt eine Übersicht über bestehende Richtliniensammlungen für den Einsatz von Simulink für die Entwicklung eingebetteter Software. Verschiedene Beispiele machen deutlich, welche Qualitätsaspekte durch Modellierungsrichtlinien erfasst werden können. Die automatisierte Prüfung ist zudem für die meisten Richtlinien möglich, sodass kurze Verbesserungszyklen die Qualität von Modellen sichern - Frontloading at its best. Viele der gezeigten Richtlinien sind unabhängig von der Modellierungssprache Simulink und können auf andere Sprachen übertragen werden.

Guido Weber: Model Based Control Law Implementation

A case study on the development of a regional Jet Fly-by-wire flight controls system is presented. First, a short introduction to the aircraft and the FCS architecture in general is given. Further the presentation concentrates on the transfer of aircraft-level functions and top-level requirements to the flight control system design utilizing model-based design approaches, in contrast to traditional approaches. Special emphasis is put on the model-based flight control law implementation and verification. The challenges of realizing robust and high-performing asynchronous multi-computer systems are presented and realized solutions are briefly discussed. Finally, based on the experiences made in the Superjet-100 FCS project, a conclusion with respect to the feasibility and the advantages of model-based design is given.