Luftfahrt

Avionik und Flugzeugsicherheit

Die LDRA Werkzeugreihe ist die erste Wahl, wenn es darum geht Qualität in sicherheitskritische Zivil- und Militärluftfahrtsoftware einzubringen. Die meisten Flugzeuge der aktuellen und der zukünftigen Generationen enthalten mehrere Systeme, einschließlich des F-35 Lightning II (Joint Strike Fighter) Projektes, für das die LDRA Werkzeugreihe als Softwaretestwerkzeug ausgewählt wurde.

Wann immer ein Avionik-System für kommerzielle oder militärische Flugzeuge entwickelt wird, stellt die Sicherheit für die Besatzung, die Passagiere und die Leute auf dem Boden für die Entwicklung des System ein herausragender Faktor dar. Daher haben internationale Zivilluftfahrtsbehörden wie die Federal Aviation Administration in den Vereinigten Staaten von Amerika (FAA), die European Aviation Safety Agency (EASA) in Europa und die Civil Aviation Authority (CAA) im Vereinigten Königreich verschiedene Prozeduren installiert um zu zertifizieren, dass das Avionik-System ihre sicherheitskritischen Ziele erreicht.

Auf höchster Ebene verlangen diese Behörden, dass das ganze Flugzeug zertifiziert ist, und, damit dies erreicht werden kann, muss jedes einzelne Teilavionik-System diese Zertifizierung erlangen. Innerhalb jedes Avionik-Systems muß die Software auch unabhängig zertifiziert werden und Richtlinien werden vorgegeben, wann und wie die Software zertifiziert werden muss. Bezüglich der Software verwenden die meisten Luftfahrtbehörden das RTCA Inc. Dokument DO-178B, Software Considerations in Airborne Systems and Equipment Certification als Referenz ihrer Richtlinien. 

Avionics Software und DO-178B

DO-178B ist eigentlich ein Prozessdokument; Es legt die Schlüsselelemente fest für die Entwicklung sicherheitskritischer Software. Die LDRA Werkzeugreihe ist die vollständigste Validierungslösung für die Entwicklung von Avionik-Software. Sie unterstützt den vollständigen DO-178B Prozess von den Anforderungen bis zum Einsatz und hilft bei der Eliminierung oder der Reduktion arbeitsintensiver und fehleranfälliger Elemente des Prozesses:

1. Anforderungsverfolgung - DO-178B befürwortet einen anforderungsgetriebenen Prozess, bei dem alle Komponenten der eingesetzten Software zurück verfolgt werden können auf die ursprünglichen auf hoher Ebene festgelegten Anforderungen, so dass eine 100% Anforderungsüber- deckung erreicht und eine Anforderungsüber- deckungsmatrix erzeugt werden kann. TBreq ist die einzige Anforderungsverfol- gungslösung, die das Verfolgen von Anforderungen durch den ganzen Entwicklungsprozess hindurch unterstützt. Mit TBreq können Anforderungen auf Systemebene durch die einzelnen Softwarekomponenten hindurch verfolgt werden. Dies gilt auch für die einzelnen Verifizierungskomponenten wie Testfälle und strukturierte Überdeckungsdaten, die zum Nachweis der Vollständigkeit der Tests erzeugt wurden. TBreq stellt daher die von DO-178B geforderte anforderungsbasierte Testüberdeckungsanalyse zur Verfügung und erzeugt automatisch eine Anforderungsverfolgungsmatrix. 

2. Nachweis von Codierstandards - Eine der Hauptlehren des DO-178B Software Codierprozesses ist die Definition eines Software-Codierstandards und der Nachweis, dass dieser von den Softwaresystemen erfüllt wird. Die statischen Analysemöglichkeiten des LDRA Testbed Produktes können zum Nachweis der Erfüllung eines Codierstandards verwendet werden, ebenso zur Erzwingung eines eigenen Codierstandards, wobei die standardmäßig im Produkt vorhandenen Codierstandards als Referenz benutzt werden können. 

3. Strukturierte Überdeckungsanalyse - Systemtests müssen erzeugt werden um den Nachweis der Abdeckung der Anforderungen auf Systemebene zu erbringen, daher erfordert Do-178B, dass eine Überdeckungsanalyse durchgeführt wird um die Testeffektivität einzuschätzen und sicherzustellen, dass eine 100% der Software Codestruktur ausgeführt wurde. Überdeckungsanalyse wird gefordert zum Nachweis der drei kritischsten Avionk-Sicherheitsebenen, die als Sicherheitsebenen A bis C benannt werden, wobei A die sicherheitskritischste Ebene darstellt während Ebene B, die am wenigsten sicherheitskritischste Ebene repräsentiert. Ebene A Systeme erfordert Modifizierte Bedingungs-/Entscheidungsüberdeckung (Modified Condition/Decision Coverage (MC/DC)), Ebene B Systeme Entscheidungsüberdeckung (Decision Coverage (DC)) und Ebene C Anweisungsüberdeckung (Statement Coverage (SC)). Die Werkzeugreihe erspart somit endlose Stunden um von Hand nicht getesteten von getestetem Code abzugrenzen durch die automatische Überdeckungsanalyse aller drei Ebenen. 

4. Objektcodeüberdeckung - Für Ebene A Systeme ist die MC/DC Überdeckungsanalyse auf hoher Sprachebene nicht ausreicht. Es ist notwendig, dass 100% des Objektcodes, der vom Compiler erzeugt wird auch nachgewiesen wird. Das LDRA Werkzeugreihe Objekt-Box Überdeckungsmodul erlaubt die automatische Messung des ausgeführten Objektcodes und hilft so sicherzustellen, dass die DO-178B Zielsetzung auch erreicht wird. 

5. Kontroll- und Datenflusskopplung - Eine Komponente der Anforderung für die strukturierte Überdeckungsanalyse in DO-178B ist, dass die Daten- und Kontrollkopplung zwischen den einzelnen Komponenten klar herausgestellt wird. Die LDRA Werkzeugreihe ist in der Lage den Daten- und Kontrollfluss zwischen den einzelnen Komponenten sichtbar zu machen und diese Anforderung somit abzudecken. 

6. Werkzeugqualifizierung - Damit die Ergebnisse der strukturierten Überdeckungsanalyse von einem Werkzeug als gültige Daten für die Zertifizierung anerkannt werden können, definiert DO-178B einen Prozess um ein Überdeckungsanalysewerkzeug als Software-Verifizierungswerkzeug zu qualifizieren, der verifiziert, dass das Werkzeug wenigstens so vertrauenswürdige Ergebnisse produziert. LDRA stellt ein Werkzeugqualifizierungspaket, welches die Dokumentation und Testprozeduren enthält, die notwendig sind, um sicherzustellen, dass Testbed in der Kundenumgebung qualifiziert werden kann. 

7. Sicherer Code - Eine neu sich herauskristallisierende Anforderung in Avionik-Systemen ist, dass für die Kommunikation mit dem Boden sicherer Code benötigt wird. Die Werkzeugreihe von LDRA beinhaltet die notwendigen Codestandardfunktionen um nachzuweisen, ob der untersuchte Code dem sicheren Codestandard CERT C genügt, der aktuell der sicherste Codestandard darstellt.

Eine Auswahl von Kunden, die die LDRA Lösungen eingesetzt haben:

Luftfahrtprojekte

Projekte in denen die LDRA Lösungen eingesetzt wurden:

• Airbus A320/A330/A340/A380
• Boeing 777/787
• C-5 RERP
• De Haviland DASH-8
• EH101 Merlin
• Eurocopter
• Eurofighter Typhoon
• Eurojet
• Extended Air Defence Testbed EADTB
• F/A-22 Raptor
• F-35 Lightning II (Joint Strike Fighter)
• F-16 Fighting Falcon
• HAL Light Attack Aircraft
• Hawk
• Hüygens Satellite
• Nimrod 2000
• Short Range UAV
• T-50 Golden Eagle
• Tornado