Una flota de helicópteros de largo alcance AW101 desarrollada por Leonardo permite al servicio de la Real Fuerza Aérea Noruega realizar misiones de búsqueda y rescate diurnas y nocturnas en todo tipo de condiciones meteorológicas en zonas del Alto Ártico. Cada avión está equipado con un sistema de radar de barrido electrónico activo (AESA) Leonardo Osprey 30 que proporciona a la tripulación una cobertura de 360 grados para la vigilancia y la cartografía terrestre.
Los ingenieros de Leonardo utilizaron el diseño basado en modelos con MATLAB y Simulink para acelerar el desarrollo del software de navegación integrado para el sistema de radar Osprey 30 y satisfacer los requisitos de certificación de nivel C de garantía de diseño DO-178C. «Aunque teníamos poca experiencia en la certificación de software desarrollado con Model-Based Design with MATLAB, Simulink y DO Qualification Kit, fuimos capaces de alcanzar los objetivos DO-178C y satisfacer a la autoridad de certificación», afirma Andrew Tortolano, ingeniero principal de sistemas de Leonardo. «Esto es un testimonio de la documentación, los casos de prueba y los procedimientos descritos en DO Qualification Kit; la automatización que permite el diseño basado en modelos; y el apoyo que recibimos de los ingenieros de MathWorks.»
«DO Qualification Kit eliminó gran parte de las conjeturas relacionadas con la certificación. Nos ayudó a entender cómo utilizar las herramientas de MathWorks para el diseño basado en modelos y a emplear la automatización para cumplir los objetivos DO-178, lo que nos permitió presentar artefactos a la autoridad de certificación mucho más rápido de lo que era posible anteriormente», asegura Calum Brown, de Leonardo.
El reto
Durante una revisión de ingeniería de sistemas en fase inicial, el caso de seguridad puso de relieve que, dado que el sistema de radar Osprey proporcionaría indicaciones de navegación incidentales a la tripulación del helicóptero, su software estaba sujeto a las directrices de seguridad DO-178. El equipo de ingeniería de sistemas de radar no había desarrollado anteriormente software de acuerdo con las directrices DO-178, por lo que necesitaba ampliar su proceso de desarrollo existente para permitirles entregar código fuente certificable en el proceso de software. Esto implicaba identificar las actividades o pasos necesarios para respaldar la certificación.
El equipo también tuvo que identificar las herramientas adicionales que necesitarían para completar estas actividades y, a continuación, cualificar las herramientas para el trabajo DO-178. Querían integrar las herramientas cualificadas en su proceso de desarrollo aumentado para poder rastrear requisitos, generar código, aumentar la automatización de pruebas y reutilizar modelos y código en todos los proyectos
La solución
Los ingenieros de Leonardo desarrollaron el software de navegación del sistema de radar Osprey utilizando el diseño basado en modelos con los productos MATLAB y Simulink que calificaron para DO-178. En colaboración con los consultores de MathWorks, el equipo revisó el diseño del sistema existente y desarrolló una hoja de ruta para reestructurar tanto el diseño como el flujo de trabajo con el fin de cumplir las directrices DO-178.
Siguiendo la documentación y los procedimientos detallados en el kit de cualificación DO, el equipo cualificó los siguientes productos para DO-178: Polyspace Bug Finder™, Polyspace Code Prover™, Simulink Check™, Simulink Coverage™, Simulink Report Generator™ y Requirements Toolbox™.
Mediante la interfaz de gestión de requisitos de Requirements Toolbox, vincularon requisitos del sistema y de alto nivel en IBM Rational DOORS con los elementos correspondientes de un modelo de Simulink que capturaba los requisitos de bajo nivel del sistema.
Con Simulink Test, los ingenieros crearon y llevaron a cabo pruebas basadas en simulaciones, utilizando Simulink Coverage para medir y analizar la cobertura del modelo e identificar los elementos del modelo no probados. También identificaron infracciones de normas y directrices en sus modelos, utilizando Simulink Check para realizar comprobaciones específicas de DO-178.
El equipo generó casi 10.000 líneas de código C legible y conforme con MISRA a partir de su modelo con Embedded Coder. Verificaron este código mediante pruebas de software en bucle (SIL) y de procesador en bucle (PIL), comparando los resultados de la simulación con los de las pruebas. También realizaron un análisis estático del código con Polyspace Code Prover y Polyspace Bug Finder para asegurarse de que el código no contenía errores de desbordamiento, división por cero y otros errores de ejecución.
Con Simulink Report Generator, el equipo generó documentación, incluidos parámetros de cobertura y resultados de pruebas, que entregó al representante de ingeniería designado (DER) de la autoridad de certificación.
La función de la solución de navegación por radar Osprey 30 se evaluó según el nivel C de la norma DO-178 y ya está en servicio en los aviones de búsqueda y rescate de la Real Fuerza Aérea Noruega. Leonardo está reutilizando modelos y casos de prueba del Osprey 30 en otros proyectos, incluidos los sistemas de navegación terrestres, y espera una reducción del 60-80% en los costes de ingeniería no recurrentes (NRE) para proyectos similares.
Los resultados
Los tiempos de los ciclos de recertificación se redujeron en más de un 90%. «Tras una primera prueba de vuelo, se actualizaron los requisitos de nuestro software», explica Tortolano. «Antes, un cambio así habría llevado tres meses a un equipo formado por un ingeniero de sistemas y dos ingenieros de software. Con el diseño basado en modelos no necesitábamos pruebas de regresión. Simplemente rehicimos todo el proceso con generación automatizada de código, pruebas y documentación, lo que hizo posible que un solo ingeniero completara el trabajo en tres semanas».
El ritmo de las pruebas se cuadruplicó. «Antes, podíamos realizar un máximo de unas 50 pruebas presenciales al día y eso requería dos ingenieros», afirma Calum Brown, ingeniero jefe de sistemas de Leonardo UK. «Gracias a la automatización que permiten Simulink Test y otras herramientas de MathWorks, ahora podemos realizar 1.500 pruebas a la semana y las pruebas superadas no necesitan ser presenciadas por un ingeniero de SQA porque hemos cualificado las herramientas para DO-178″.
«En total, hemos generado el equivalente a unas 250.000 páginas de informes de pruebas y otra documentación con enlaces interactivos utilizando Simulink Test y Simulink Report Generator», señala Brown. «Como la autoridad de certificación tiene carta blanca para revisar lo que quiera, nos pareció más fácil poder aportar pruebas de todo lo que habíamos hecho. Si la DER quería ver algún resultado concreto, lo tenía a su disposición y totalmente vinculado a nuestro modelo, lo que realmente generó su confianza.
El reto: Desarrollar software de navegación por radar para su uso en helicópteros de búsqueda y rescate y certificarlo según la norma DO-178. La solución: Utilizar el diseño basado en modelos para rastrear los requisitos hasta los elementos de diseño; generar código certificable; ejecutar pruebas automatizadas basadas en simulación, SIL y PIL; y generar informes y documentación.
– La duración de los ciclos de recertificación se ha reducido en más del 90%
– Cuadruplicación del índice de pruebas
– Se generaron 250.000 páginas de documentación vinculada interactivamente
