面向航天領(lǐng)域的模型驅(qū)動(dòng)軟件設(shè)計(jì)開(kāi)發(fā)方法*

張 濤 秦 凱 王 楠 王海鵬 梁運(yùn)暢 王智飛

1.西北工業(yè)大學(xué)軟件與微電子學(xué)院，西安 710072 2.北京神舟航天軟件技術(shù)有限公司，北京 100094

面向航天領(lǐng)域的模型驅(qū)動(dòng)軟件設(shè)計(jì)開(kāi)發(fā)方法*

張 濤1秦 凱1王 楠2王海鵬1梁運(yùn)暢1王智飛1

1.西北工業(yè)大學(xué)軟件與微電子學(xué)院，西安 710072 2.北京神舟航天軟件技術(shù)有限公司，北京 100094

針對(duì)航天嵌入式任務(wù)關(guān)鍵軟件特點(diǎn)，研究基于AADL模型，實(shí)現(xiàn)對(duì)其結(jié)構(gòu)模型、行為模型、故障模型和執(zhí)行模型的多維度描述。通過(guò)構(gòu)造其代碼規(guī)則模板，實(shí)現(xiàn)從模型到源程序的自動(dòng)化映射，降低編程工作量。研究將AADL模型轉(zhuǎn)換為故障樹(shù)模型和時(shí)間自動(dòng)機(jī)模型，分析驗(yàn)證軟件安全性與可調(diào)度性；通過(guò)構(gòu)建航天領(lǐng)域模型庫(kù)，支持大規(guī)模軟件復(fù)用。最后，基于所開(kāi)發(fā)的航天型號(hào)軟件模型驅(qū)動(dòng)開(kāi)發(fā)平臺(tái)，對(duì)航天飛行器GNC系統(tǒng)的軟件開(kāi)發(fā)進(jìn)行了初步驗(yàn)證，結(jié)果表明模型驅(qū)動(dòng)的軟件開(kāi)發(fā)方法能有效提高航天型號(hào)軟件開(kāi)發(fā)效率和質(zhì)量。

模型驅(qū)動(dòng)軟件開(kāi)發(fā)；軟件代碼生成；軟件安全性分析；軟件可調(diào)度性分析

隨著探月工程、空間站等國(guó)家重大航天工程的實(shí)施，航天型號(hào)軟件的規(guī)模與復(fù)雜度也在指數(shù)級(jí)增加，這對(duì)傳統(tǒng)航天型號(hào)軟件開(kāi)發(fā)方法與技術(shù)提出了嚴(yán)峻的挑戰(zhàn)[1]。例如，航天型號(hào)軟件屬于典型的安全關(guān)鍵軟件，其質(zhì)量將直接影響航天器和航天員安全，而如何系統(tǒng)、全面地分析與測(cè)試軟件安全性、實(shí)時(shí)性等質(zhì)量屬性是其技術(shù)難點(diǎn)。隨著航天型號(hào)軟件研發(fā)工作量劇增，如何提高軟件研發(fā)效率，保證軟件研發(fā)質(zhì)量與進(jìn)度是目前面臨的挑戰(zhàn)。航天型號(hào)軟件研發(fā)過(guò)程中通常需要多次迭代，如何保證需求、設(shè)計(jì)和代碼的一致性，是軟件管理難點(diǎn)。

模型驅(qū)動(dòng)的軟件開(kāi)發(fā)方法是一種以模型為核心的軟件開(kāi)發(fā)方法，已經(jīng)在航空、航天及核電等眾多領(lǐng)域得到廣泛應(yīng)用[2]。該方法將模型定義為系統(tǒng)在外部環(huán)境下完成設(shè)計(jì)功能的描述或者規(guī)范，著重關(guān)注軟件設(shè)計(jì)正確性，支持盡早分析和驗(yàn)證系統(tǒng)設(shè)計(jì)的軟件屬性，并支持不同級(jí)別模型之間的映射與抽取，以及代碼的自動(dòng)生成。研究和應(yīng)用模型驅(qū)動(dòng)的軟件開(kāi)發(fā)方法，有助于提高航天型號(hào)軟件開(kāi)發(fā)效率和質(zhì)量，促進(jìn)我國(guó)航天型號(hào)軟件技術(shù)水平的進(jìn)步。

本文首先給出了模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法的基本概念，并與傳統(tǒng)軟件開(kāi)發(fā)方法進(jìn)行了對(duì)比分析；然后針對(duì)航天領(lǐng)域軟件開(kāi)發(fā)需求，詳細(xì)討論了模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法的關(guān)鍵技術(shù)；最后介紹了模型驅(qū)動(dòng)軟件開(kāi)發(fā)平臺(tái)框架，并以航天飛行器GNC系統(tǒng)為例，說(shuō)明了方法的有效性。

1 模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法概述

模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法是由OMG組織提出的一種軟件開(kāi)發(fā)框架，其核心思想是以模型，而非代碼為中心的軟件開(kāi)發(fā)模式。通過(guò)開(kāi)發(fā)模型，達(dá)到分離問(wèn)題域、業(yè)務(wù)邏輯以及具體實(shí)現(xiàn)平臺(tái)的目標(biāo)[3]。如圖1所示，模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法包括4個(gè)層次模型：計(jì)算獨(dú)立模型(CIM)、平臺(tái)獨(dú)立模型(PIM)、平臺(tái)相關(guān)模型(PSM)和代碼模型。其中，CIM是從用戶視角描述特定領(lǐng)域所面臨的問(wèn)題即系統(tǒng)需求，例如UML中的用例模型；PIM是與實(shí)現(xiàn)平臺(tái)無(wú)關(guān)的軟件系統(tǒng)結(jié)構(gòu)和功能的高度抽象設(shè)計(jì)模型；PSM描述了與特定平臺(tái)技術(shù)相關(guān)的軟件詳細(xì)設(shè)計(jì)模型；代碼模型即軟件源程序代碼，通常由PSM模型自動(dòng)生成。

模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法支持PIM到PSM，PSM到源程序代碼之間的雙向映射與抽取。通過(guò)映射，基于上層模型自動(dòng)生成下層模型和源程序代碼，提高軟件開(kāi)發(fā)效率。而通過(guò)抽取，保證下層模型變化后仍能與上層模型保持一致。因此，模型驅(qū)動(dòng)的軟件開(kāi)發(fā)方法有效解決了軟件開(kāi)發(fā)各個(gè)階段間不同層次抽象模型之間的一致性問(wèn)題，使得開(kāi)發(fā)人員集中關(guān)注系統(tǒng)業(yè)務(wù)與設(shè)計(jì)，減少實(shí)現(xiàn)細(xì)節(jié)干擾，并且通過(guò)映射PIM到不同的PSM，實(shí)現(xiàn)在不同平臺(tái)上的快速適配。

圖1 模型驅(qū)動(dòng)軟件開(kāi)發(fā)過(guò)程框架

如圖2所示，與傳統(tǒng)軟件開(kāi)發(fā)方法相比，模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法具有顯著優(yōu)勢(shì)。首先，通過(guò)構(gòu)造模型，使得軟件開(kāi)發(fā)參與者能可視化的理解所開(kāi)發(fā)的軟件系統(tǒng)，減少因溝通引發(fā)的軟件故障；其次，通過(guò)構(gòu)造形式化、半形式化軟件模型，避免傳統(tǒng)軟件文檔描述的模糊性。并且，基于模型，可以在軟件開(kāi)發(fā)的初期階段，分析驗(yàn)證軟件行為、安全性和可調(diào)度性等重要質(zhì)量屬性，盡早發(fā)現(xiàn)軟件設(shè)計(jì)缺陷，降低軟件故障修正成本；最后，基于模型軟件開(kāi)發(fā)方法，支持自動(dòng)化的代碼生成，減輕編程工作量，提高軟件開(kāi)發(fā)效率，避免了軟件設(shè)計(jì)與實(shí)現(xiàn)的不一致。

2 航天領(lǐng)域模型驅(qū)動(dòng)軟件開(kāi)發(fā)關(guān)鍵技術(shù)

體系架構(gòu)分析與設(shè)計(jì)語(yǔ)言AADL是由CMU等機(jī)構(gòu)提出的一種嵌入式軟件標(biāo)準(zhǔn)建模方法，已在國(guó)外成功應(yīng)用于航天、航空和核電等嵌入式任務(wù)關(guān)鍵領(lǐng)域[4-5]。本文以AADL模型為基礎(chǔ)，研究針對(duì)航天型號(hào)軟件的結(jié)構(gòu)、行為、安全性和調(diào)度性等特征的建模方法，以及基于模型的航天型號(hào)軟件質(zhì)量分析與驗(yàn)證，代碼和文檔自動(dòng)生成等關(guān)鍵技術(shù)。

圖2 模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法與傳統(tǒng)軟件開(kāi)發(fā)方法比較

2.1 基于AADL的航天嵌入式軟件建模方法

模型是對(duì)軟件結(jié)構(gòu)、行為、以及其他質(zhì)量特性的抽象描述。在航天型號(hào)軟件開(kāi)發(fā)過(guò)程中，針對(duì)各個(gè)階段的需求，需要設(shè)計(jì)和開(kāi)發(fā)不同抽象級(jí)別和類(lèi)型的軟件模型。主要的航天嵌入式軟件模型包括：硬件環(huán)境模型、軟件結(jié)構(gòu)模型、行為模型、錯(cuò)誤模型及執(zhí)行模型等。

在嵌入式系統(tǒng)中，軟硬件是緊密耦合的，AADL支持構(gòu)造軟硬件一體的系統(tǒng)結(jié)構(gòu)模型。AADL定義了3類(lèi)構(gòu)件:軟件構(gòu)件、執(zhí)行平臺(tái)構(gòu)件以及系統(tǒng)構(gòu)件。軟件構(gòu)件用于軟件體系結(jié)構(gòu)建模，包括數(shù)據(jù)(data)、線程(thread)、線程組(thread group)、進(jìn)程(process)和子程序(subprogram)構(gòu)件；執(zhí)行平臺(tái)構(gòu)件用于硬件體系結(jié)構(gòu)建模,包括處理器(processor)、虛擬處理器(virtual processor)、存儲(chǔ)器(memory)、總線(bus)、虛擬總線(virtual bus)和外設(shè)(device)構(gòu)件；系統(tǒng)構(gòu)件組合所有的構(gòu)件,層次化地建立系統(tǒng)的體系結(jié)構(gòu)。

AADL行為附件則基于狀態(tài)機(jī)，描述線程、子程序構(gòu)件的具體行為。行為附件通過(guò)定義構(gòu)件的狀態(tài)、變遷、觸發(fā)條件和動(dòng)作等詳細(xì)建模構(gòu)件行為。行為附件支持的動(dòng)作包括：接受/發(fā)送數(shù)據(jù)、子程序調(diào)用、異步訪問(wèn)、執(zhí)行時(shí)間和延遲時(shí)間等。

AADL提供錯(cuò)誤模型附件(Error Model Annex)，用于建模和描述構(gòu)件、連接等系統(tǒng)故障。AADL錯(cuò)誤附件的本質(zhì)是一個(gè)隨機(jī)自動(dòng)機(jī)，通過(guò)聲明潛在的故障狀態(tài)、故障事件以及故障傳播等，支持分析系統(tǒng)發(fā)生故障的概率。AADL錯(cuò)誤附件也可以與故障樹(shù)分析、馬爾科夫鏈和依賴(lài)圖等方法相互集合，支持對(duì)系統(tǒng)的可靠性、安全性和可用性等的定量分析。

AADL提供執(zhí)行模型用于描述系統(tǒng)的運(yùn)行環(huán)境，管理和支持構(gòu)件的同步或者異步執(zhí)行，包括構(gòu)件分發(fā)、同步/異步通信、調(diào)度和模式演化等行為。AADL默認(rèn)調(diào)度模式為帶同步通信的搶占式調(diào)度?；趫?zhí)行模型，支持對(duì)系統(tǒng)的可調(diào)度性分析與驗(yàn)證。針對(duì)航空領(lǐng)域，已經(jīng)擴(kuò)展了對(duì)應(yīng)的ARINC653調(diào)度模型。針對(duì)航天嵌入式系統(tǒng)的具體應(yīng)用特性，需要擴(kuò)展開(kāi)發(fā)相應(yīng)的調(diào)度策略與可調(diào)度性分析模型。

2.2 模型驅(qū)動(dòng)的軟件代碼生成方法

AADL模型到代碼的自動(dòng)生成，有助于提高嵌入式實(shí)時(shí)系統(tǒng)軟件開(kāi)發(fā)的自動(dòng)化水平，縮短軟件開(kāi)發(fā)周期，減少人工寫(xiě)代碼的工作量和編碼過(guò)程中出錯(cuò)的可能性。目前，AADL代碼生成方法主要采用基于規(guī)則的代碼生成方法，即如圖3所示，通過(guò)模型解析，按照線程、子程序等構(gòu)件和連接件的代碼轉(zhuǎn)化規(guī)則，由模板引擎實(shí)現(xiàn)從模型到代碼的自動(dòng)化映射與轉(zhuǎn)換。

圖3 基于模板的自動(dòng)代碼生成工具結(jié)構(gòu)圖

2.3 模型驅(qū)動(dòng)的航天型號(hào)軟件安全性分析方法

模型驅(qū)動(dòng)的航天型號(hào)軟件安全性分析方法，通常是將系統(tǒng)的AADL模型轉(zhuǎn)換為軟件故障樹(shù)、馬爾科夫鏈及廣義隨機(jī)Petri網(wǎng)等模型，分析和計(jì)算軟件的安全性[6]。這里以故障樹(shù)分析為例，具體描述基于模型的軟件安全性分析方法。

故障樹(shù)是航天領(lǐng)域廣泛使用的軟件安全性分析方法。傳統(tǒng)基于故障樹(shù)的安全性分析，由人工完成，難以保證故障樹(shù)的完備性與一致性。模型驅(qū)動(dòng)的軟件安全性分析方法，則通過(guò)將軟件模型直接映射為軟件故障樹(shù)，支持基于割集的軟件安全性定性分析[7]。在AADL模型中，根據(jù)其結(jié)構(gòu)模型和錯(cuò)誤模型，通過(guò)所定義的映射規(guī)則，生成軟件故障樹(shù)模型，然后采用最小割集方法定性分析。

軟件故障樹(shù)的生成步驟如下：

1)系統(tǒng)錯(cuò)誤模型實(shí)例提取: 系統(tǒng)錯(cuò)誤模型實(shí)例包括構(gòu)件錯(cuò)誤模型實(shí)例、通信錯(cuò)誤模型實(shí)例以及系統(tǒng)實(shí)例。在生成故障樹(shù)時(shí)，需要提取其構(gòu)件的Model_Hierarchy, Derived_State_ Mapping, Occurrence 和 Guard_In等屬性。并進(jìn)一步根據(jù)其傳播路徑，以有向圖方式描述其故障傳播路徑；

2)生成中間故障樹(shù): 基于故障傳播有向圖，可以生成中間故障樹(shù)。在中間故障樹(shù)中可能存在多余操作符號(hào)、崩潰門(mén)及故障傳播循環(huán)路徑等問(wèn)題，需要進(jìn)行處理；

3)優(yōu)化中間故障樹(shù)：針對(duì)同一故障樹(shù)的共享子樹(shù)問(wèn)題，以及不同故障樹(shù)之間的共享子樹(shù)問(wèn)題，進(jìn)行故障樹(shù)優(yōu)化處理。

2.4 模型驅(qū)動(dòng)的航天型號(hào)軟件可調(diào)度性分析方法

航天嵌入式軟件多屬于強(qiáng)實(shí)時(shí)軟件系統(tǒng)，可調(diào)度性是其重要屬性。在標(biāo)準(zhǔn)AADL模型中，支持對(duì)帶同步通信的搶占式調(diào)度策略分析；而航天型號(hào)軟件可調(diào)度性分析則更為復(fù)雜和困難，其根據(jù)CPU架構(gòu)分為：?jiǎn)翁幚砥髡{(diào)度和多處理器調(diào)度。針對(duì)多處理器，又包括局部調(diào)度和全局調(diào)度。調(diào)度算法又包括：固定優(yōu)先級(jí)調(diào)度和最短截止時(shí)間調(diào)度等。

UPPAAL是一種常用的實(shí)時(shí)系統(tǒng)模擬與驗(yàn)證工具，其模型是時(shí)間自動(dòng)機(jī)[8]。通過(guò)將AADL模型映射為UPPAAL的時(shí)間自動(dòng)機(jī)模型，可以基于該工具自動(dòng)仿真和驗(yàn)證系統(tǒng)的可調(diào)度性。這里，時(shí)間自動(dòng)機(jī)定義為一個(gè)六元組，TA=，其中：

L是自動(dòng)機(jī)狀態(tài)(Location)的集合；

l0(l0∈L)表示自動(dòng)機(jī)的初始狀態(tài)；

C是時(shí)鐘(Clock)的集合，時(shí)鐘默認(rèn)從0開(kāi)始，不斷自增1，可以在任意時(shí)刻被重新賦值；

Var是一系列變量的集合；

E是邊(Edge)的集合，E?L×G×Act×U×L，其中，G(有可能為空)表示約束條件(guards)，只有滿足約束條件才能發(fā)生狀態(tài)轉(zhuǎn)移；Act表示同步信號(hào)，構(gòu)成了觸發(fā)轉(zhuǎn)移的使能條件；U表示對(duì)時(shí)鐘變量或整型變量的更新操作，即在觸發(fā)轉(zhuǎn)移的同時(shí)完成變量的賦值操作；

I表示不變條件(invariant)，是狀態(tài)轉(zhuǎn)移約束函數(shù)的集合。

為了實(shí)現(xiàn)從AADL模型到UPPAAL模型的自動(dòng)化映射與轉(zhuǎn)換，需要為其典型任務(wù)、調(diào)度策略等設(shè)計(jì)映射模板。轉(zhuǎn)換工具則基于映射模板，將AADL模型中的線程等元素轉(zhuǎn)換為UPPAAL模型，再采用UPPAAL分析工具實(shí)現(xiàn)自動(dòng)化仿真分析，在圖4中，給出了AADL-UPPAADL映射模板示例。

圖4 AADL-UPPAAL任務(wù)模板示例

2.5 面向航天領(lǐng)域模型的軟件可復(fù)用技術(shù)

模型驅(qū)動(dòng)的軟件開(kāi)發(fā)方法支持基于模型的大規(guī)模軟件復(fù)用?；鸺?、衛(wèi)星等航天產(chǎn)品具有大量的相似特征，這使得開(kāi)發(fā)面向火箭、衛(wèi)星等典型航天產(chǎn)品線的領(lǐng)域模型成為可能。如圖5所示，在航天領(lǐng)域模型中主要包括2類(lèi)領(lǐng)域模型：1)通用航天組件模型，如典型航天CPU、總線等硬件組件模型；2)面向航天產(chǎn)品族的領(lǐng)域模型，如面向火箭、衛(wèi)星等，設(shè)計(jì)開(kāi)發(fā)其軟件組件模型、體系結(jié)構(gòu)模型及故障模型等。

圖5 航天領(lǐng)域軟件模型

在新型號(hào)軟件研發(fā)過(guò)程中，可以直接復(fù)用領(lǐng)域

模型庫(kù)中的已有模型。通過(guò)復(fù)用已有模型，不僅復(fù)用了軟件設(shè)計(jì)，同時(shí)也復(fù)用了軟件代碼、測(cè)試用例及軟件安全性報(bào)告等模型派生的相關(guān)軟件資產(chǎn)。并且，這些模型已經(jīng)得到了充分驗(yàn)證，保證了航天型號(hào)軟件質(zhì)量與可靠性。

3 航天型號(hào)軟件模型驅(qū)動(dòng)開(kāi)發(fā)平臺(tái)設(shè)計(jì)

航天型號(hào)軟件模型驅(qū)動(dòng)開(kāi)發(fā)平臺(tái)采用開(kāi)放式Eclipse框架設(shè)計(jì)，支持動(dòng)態(tài)集成和擴(kuò)展模型驅(qū)動(dòng)軟件開(kāi)發(fā)工具，其系統(tǒng)框架如圖6所示。在系統(tǒng)框架中，航天領(lǐng)域模型庫(kù)提供航天通用組件模型庫(kù)、火箭模型庫(kù)和衛(wèi)星模型庫(kù)。設(shè)計(jì)人員在開(kāi)發(fā)軟件模型時(shí)，可以從領(lǐng)域模型庫(kù)中直接復(fù)用已有產(chǎn)品和組件模型，提高軟件建模效率和質(zhì)量。根據(jù)軟件規(guī)格說(shuō)明中的功能和安全性等質(zhì)量需求，分別構(gòu)造其結(jié)構(gòu)模型、行為模型、環(huán)境模型、執(zhí)行模型和故障模型。然后應(yīng)用代碼轉(zhuǎn)換規(guī)則模板，由代碼生成引擎自動(dòng)生成軟件源程序。通過(guò)將其環(huán)境模型和執(zhí)行模型轉(zhuǎn)換為時(shí)間狀態(tài)機(jī)，集成已有分析工具開(kāi)展可調(diào)度性分析驗(yàn)證。通過(guò)將故障模型自動(dòng)映射為故障樹(shù)模型，應(yīng)用最小割集等方法開(kāi)展安全性定性分析。

圖6 航天型號(hào)軟件模型驅(qū)動(dòng)開(kāi)發(fā)平臺(tái)框架

4 模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法的航天應(yīng)用實(shí)例

本文以航天飛行器GNC系統(tǒng)為例，初步驗(yàn)證模型驅(qū)動(dòng)的軟件開(kāi)發(fā)方法的有效性。GNC系統(tǒng)主要包含4個(gè)周期性任務(wù)：控制任務(wù)、系統(tǒng)管理任務(wù)、遙測(cè)任務(wù)和空閑任務(wù)。圖7給出了GNC系統(tǒng)的結(jié)構(gòu)模型，其主要構(gòu)件包括進(jìn)程構(gòu)件、全局共享數(shù)據(jù)、處理器構(gòu)件、存儲(chǔ)器構(gòu)件和總線構(gòu)件等。在結(jié)構(gòu)模型之上，附加其行為描述、錯(cuò)誤附件、調(diào)度信息及資源信息等，形成完整的GNC系統(tǒng)模型。

圖8給出了GNC系統(tǒng)中處理器構(gòu)件的錯(cuò)誤狀態(tài)轉(zhuǎn)移過(guò)程。根據(jù)分析,處理器構(gòu)件中存在6個(gè)故障狀態(tài)和8個(gè)故障事件,使用錯(cuò)誤附件子語(yǔ)言對(duì)處理器構(gòu)件進(jìn)行錯(cuò)誤建模，如圖9所示?；谠撓到y(tǒng)模型，實(shí)現(xiàn)了對(duì)GNC子系統(tǒng)設(shè)計(jì)一致性檢查，以及對(duì)安全性、可調(diào)度性的分析驗(yàn)證，共發(fā)現(xiàn)重大設(shè)計(jì)缺陷和故障7處。最后，基于模型自動(dòng)生成了82%的源程序代碼，有效減輕了編程工作量。通過(guò)本實(shí)例證明了在航天領(lǐng)域中使用模型驅(qū)動(dòng)的軟件開(kāi)發(fā)方法能夠有效提高航天型號(hào)軟件開(kāi)發(fā)效率和質(zhì)量。

圖7 GNC系統(tǒng)AADL結(jié)構(gòu)模型

圖8 處理器錯(cuò)誤狀態(tài)轉(zhuǎn)移過(guò)程

圖9 處理器錯(cuò)誤模型

5 結(jié)論

針對(duì)當(dāng)前航天型號(hào)軟件開(kāi)發(fā)遇到的挑戰(zhàn)與問(wèn)題，探討了模型驅(qū)動(dòng)軟件開(kāi)發(fā)方法在航天領(lǐng)域的應(yīng)用。針對(duì)航天嵌入式任務(wù)關(guān)鍵軟件特點(diǎn)，分別研究了基于AADL的航天型號(hào)軟件建模方法、模型驅(qū)動(dòng)的軟件代碼生成、安全性分析及可調(diào)度分析等關(guān)鍵技術(shù)。提出了構(gòu)建航天領(lǐng)域模型庫(kù)，實(shí)現(xiàn)大規(guī)?；谀Ｐ偷能浖?fù)用思想。最后，描述了面向航天領(lǐng)域的模型驅(qū)動(dòng)軟件開(kāi)發(fā)平臺(tái)框架，并通過(guò)GNC系統(tǒng)實(shí)例初步驗(yàn)證了模型驅(qū)動(dòng)方法在航天型號(hào)軟件開(kāi)發(fā)中的有效性。

[1] 李曉涼. 航天型號(hào)可靠性分析及軟件的實(shí)現(xiàn)[D]. 電子科技大學(xué), 2014.

[2] France R, Rumpe B. Model-driven Development of Complex Software: A Research Roadmap [C]// Future of Software Engineering. IEEE, 2007:37-54.

[3] Vanzandt L L. Intentions and Issues of Model-driven Development and an Introduction to the OMG MARTETMProfile[C]// Aerospace Conference. IEEE, 2009:1-13.

[4] Blouin D, Giese H. Combining Requirements, Use Case Maps and AADL Models for Safety-Critical Systems Design[C]// Euromicro Conference on Software Engineering and Advanced Applications. 2016:266-274.

[5] Liu Y, Shen G, Wang F, et al. Research on AADL Model for Qualitative Safety Analysis of Embedded Systems[J]. International Journal of Multimedia & Ubiquitous Engineering, 2016, 11(6):153-170.

[6] Liu Y, Shen G, Huang Z, et al. Quantitative Risk Analysis of Safety-critical Embedded Systems[J]. Software Quality Control, 2016, 40:1-25.

[7] Banach R, Bozzano M. The Mechanical Generation of Fault Trees for Reactive Systems Via Retrenchment II: Clocked and Feedback Circuits[J]. Formal Aspects of Computing, 2013, 25(4):609-657.

[8] Hessel A, Larsen K G, Nielsen B, et al. Time-Optimal Real-Time Test Case Generation Using Uppaal[J]. Lecture Notes in Computer Science, 2003, 2931:114-130.

ResearchonModel-DrivenAerospaceSoftwareDevelopmentMethod

Zhang Tao1， Qin Kai1，Wang Nan2，Wang Haipeng1， Liang Yunchang1，Wang Zhifei1

1. Software College, North-west Industrial University, Xi′an 710072, China 2. Beijing Shenzhou Aerospace Software Technology Ltd.Co., Beijing 100094, China

Somekeytechniquesarediscussedforusingthemodel-deriveddevelopmentmethodinaerospacedomain.TheAADLisusedtobuildarchitecturemodel,environmentmodel,behaviormodel,errormodelandexecutionmodelforaerospacesoftware.BasedonAADLmodel,thesourcingcodesaregeneratedautomatically,whichlightenstheprogrammingworkload.TheauthormanagestoanalyzeandcheckitssafetyandsustainabilitybytransformingADDLmodeltofaulttreeandfiniteautomatamachinemodel.Aaerospacedomainmodelsdatabasecanbedevelopedtosupportlarge-scalere-usebysoftwaremodels.Theframeworkofaerospacemodel-drivensoftwaredevelopmentplatformisalsoprovided.AndthespaceGNCsystemisusedtoverifytheeffectivenessofmodel-derivedapproach.

Model-drivensoftwaredevelopment;Softwarecodegeneration;Softwaresafetyanalysis;Softwareschedulerisk

TP311.5

A

1006-3242(2017)05-0074-06

* 航天科技支撐計(jì)劃(2014HTXGD)；載人航天工程軟件工程化基礎(chǔ)預(yù)研課題(2016XXXX)；上海航天科技創(chuàng)新基金(2017XXXX)；航天科學(xué)技術(shù)基金項(xiàng)目(17XXXX)；西北工業(yè)大學(xué)研究生創(chuàng)意創(chuàng)新種子基金(Z2016191)；陜西省科技攻關(guān)項(xiàng)目(2016GY-100)

2017-03-27

張濤(1976-)，男，陜西人，博士，副教授，主要研究方向?yàn)檐浖こ?；秦凱(1994-)，男，山西人，碩士，主要研究方向?yàn)檐浖こ?；王?1980-)，男，陜西人，碩士，高級(jí)工程師，主要研究方向?yàn)槟Ｐ万?qū)動(dòng)；王海鵬(1975-)，男，山西人，博士，副教授，主要研究方向?yàn)槟Ｐ万?qū)動(dòng)；梁運(yùn)暢(1993-)，男，山西人，碩士，主要研究方向?yàn)檐浖こ?；王智飛(1991-)，男，山西人，碩士，主要研究方向?yàn)槟Ｐ万?qū)動(dòng)。