Im vorliegenden Projekt hat Liebherr mit Tessy die Low-Level-Anforderungen einer Software nach DO-178B, Design Assurance Level A, getestet. Diese Software ermöglicht die Steuerung eines Flugzeugs an seinen Achsen (Flap Control Unit) auf verschiedenen Flugzeugen. Die Software wurde in der Programmiersprache C geschrieben und lief unter anderem auf einem Mikrocontroller vom Typ PowerPC MPC565 der Firma Freescale als Target. Sie wurde mit einem Diab-Compiler der Firma Wind River kompiliert.
Sämtliche Funktionen werden mit TESSY getestet
Die FCU ist ein digitaler Computer mit einem unabhängigen Kontroll-, Motorsteuerungs- und Überwachungskanal (CC, MCC und MC) und einer Leistungselektronik (PE). Der Steuerungskanal ist für die Ausführung aller Steuerungsanwendungen von Klappensystemen ausgelegt. Der Überwachungskanal übernimmt Überwachungsfunktionen zur Vermeidung kritischer Systemzustände.
Dies wird durch zwei direkte Hardwareverbindungen des Monitor Channels mit der Leistungselektronik erreicht, die es dem Monitor Channel ermöglichen, das System in einen ausfallsicheren Zustand zu versetzen. Im Fehlerfall schaltet der Überwachungskanal unabhängig vom Steuerkanal den Motor ab und bremst die Leistungselektronik ab. Unterschiedliche Soft- und Hardware für CC und MC schützen das System vor katastrophalen Einzelausfällen. Der Motor Control Channel mit seiner Leistungselektronik ist für die Steuerung des Elektromotors verantwortlich.
Die Betätigung des Klappensystems erfolgt in der Regel manuell. Bei der Handsteuerung setzt der Computer den Befehl des Piloten, der über den Flap Control Lever (FCL) im Cockpit empfangen wird, in eine entsprechende Bewegung der Klappen um. Wenn ein kritischer Fehler auftritt, sorgen eingebaute Monitore für eine sichere Abschaltung des Motorsteuerkanals. Das System sendet Status- und Fehlerinformationen an das Cockpit-Display und an das Onboard Maintenance System (OMS). Alle Funktionen der Systemanwendung sind softwaregesteuert und laufen nach dem Einschalten vollautomatisch ab. Die Kommunikation mit anderen Flugzeugsystemen und zwischen Flugsteuerungssystemanwendungen erfolgt über Hochgeschwindigkeits-ARINC-429-Busse. Die FCU verfügt über integrierte Testfunktionen (BIT), die eine effektive Systemdiagnose ermöglichen. Die BIT-Fähigkeit umfasst Einschalt- oder ereignisgesteuerte Tests und kontinuierliche Überwachung. Einschalt- oder ereignisgesteuerte Tests umfassen eine Reihe von Selbsttests zur Überprüfung der korrekten Funktion und Integrität der Systemhardware und -software, wobei diese Tests so ausgelegt sind, dass sie latente Fehler erkennen. Ein unabhängiges Bediengerät (RS232-Terminal) kann an die FCU angeschlossen werden, um einen einfachen Zugang zu Wartungs-, Montage- und Testfunktionen zu ermöglichen. Jeder der drei Kanäle verfügt über 500 Funktionen mit mehr als 5000 Testfällen. Sämtliche Funktionen werden mit TESSY getestet. Für die Entwicklung aller Testfälle wurde der Classification Tree Editor (CTE/ES) verwendet.
Testanforderungen für diese Art von Software sehr streng
Anormales Verhalten der Software auf Level A würde zu einem katastrophalen Ausfall des Flugzeugs führen. Daher sind die Testanforderungen für diese Art von Software sehr streng. Zum Beispiel muss die Strukturabdeckungsanalyse die modifizierte Zustands-/Entscheidungsabdeckung (MC/DC) messen, was mit Tessy ohne zusätzlichen Aufwand möglich ist. Darüber hinaus müssen Softwareverifikationswerkzeuge (wie Tessy), die am Testen von Software auf Level A beteiligt sind, für diesen Zweck qualifiziert sein, d.h. es muss nachgewiesen werden, dass das Werkzeug die Anforderungen an den Werkzeugbetrieb erfüllt. Der Qualifizierungsprozess wurde für Liebherr durch die Verwendung eines Tool Qualification Package (TQP) von Razorcat, dem Hersteller von Tessy, vereinfacht. Dieses TQP enthält Dokumente (z.B. die Betriebsanforderungen des Werkzeugs) und sorgfältig ausgearbeitete Testfälle, die die korrekte Funktion des Werkzeugs nachweisen sollen. Die Software wurde inzwischen erfolgreich nach DO-178B zertifiziert und ist seit 2010 in Produktion. Unsere von TESSY getestete Software aus anderen Projekten fliegt seit über 10 Jahren in verschiedenen Flugzeugen und Hubschraubern.