由于有了基于模型的設計，使得開發大量的汽車嵌入式系統時，可以由模型自動生成最終編譯的軟件。不過，這項工作需要一個軟件工程框架的支持。本文使用線控駕駛系統（steer-by-wire system）作為實例，給出了設計汽車嵌入式系統的過程、方法和測試工具的一個框架。

近來，有報道稱包括Denso、Motorola和Toyota在內的不同行業的多家公司都在產品代碼方面取得了成功。這項技術正日益成為軟件下一波演進發展中的一個重要組成部分。雖然總體而言，它對軟件工程化過程的影響已為業界所了解，但卻并沒有十分清楚地確立起來。對于早前類似演進發展（包括從機器代碼發展到匯編代碼，再發展到源代碼）的參與者而言，這一點尤為明顯。

隨著抽象與自動化程度的日益提高，新的過程、方法和工具接踵而來。瀑布式過程已讓位于螺旋式方法和迭代方法。實時方法已經出現并正在取代靜態流程設計。新的工具也出現了，如包含有調試器、優化編譯器和自動測試工具的IDE（集成開發環境）。

不過，由于難以使用、缺乏了解或是工具支持不足的原因，并非每一種好的思想都能開花結果。有跡象表明，這些方法和工具對于主流產品應用并非總是實用。例如，用驗證來確保軟件正確性的正規方法是使用一種全世界只有極少數專家才真正懂得的語言編寫的。此外，1980年代的實時用例工具可以輔助設計，但并未提供一條產生最終代碼的簡便途徑。

在早期應用階段，產品代碼生成的效果相當不錯，這主要是由于其實用性。不過，其進一步的發展還需要依靠集成過程、方法和工具的支持。一種新的過程只有在具備了所需支持方法和工具的條件下才會成功。如果這些條件有所欠缺，那么對一個公司成熟的嵌入式系統進行重新設計的努力就不會是可行和實用的。

本文給出了主要面向產品代碼生成的這樣一個框架：

* 基于模型的設計

* 建模、仿真、快速原型、產品代碼生成、模型測試和覆蓋、在環測試

* 開發工具、驗證與生效（V&V）工具、集成工具

模型的設計過程

通過提供一個共同的圖形規范和分析環境，基于模型的設計可以支持控制/DSP系統工程師和軟件開發人員的需要。在這個過程中，模型被創建并用來規定系統數據、接口、反饋控制邏輯、離散/狀態邏輯和實時行為。

基于模型的設計被應用在幾乎每個需要嵌入式控制系統的行業之中。而在大型汽車電子控制單元（ECU）等嵌入式應用的開發過程中，其應用更為廣泛。DSP和通信應用也采用這種方法，但它們更強調建模和原型，而不是產品代碼生成。

為了滿足這些不同的應用，基于模型的設計過程必須解決線控駕駛系統等安全關鍵系統的需求。它還必須產生最終的、可執行的代碼，而且必須特別緊湊、快速和能夠追蹤。這是由于在大批量生產的ECU中，必須使用低成本的定點微控制器部件和DSP。

基于模型的設計適合任何過程框架環境，包括那些在IEEE軟件工程化標準中描述過的過程框架。

IEEE Std. 730適用于任何通用軟件項目。為了很好地理解它的過程框架，有必要回顧一下它對“關鍵性”項目文檔所列出的需求。

IEEE Std. 730需求包括：

* 軟件需求規范（SRS）

* 軟件設計描述（SDD）

* 軟件驗證與生效計劃（SVVP）

* 軟件驗證與生效報告（SVVR）

* 用戶文檔

* 軟件配置管理計劃（SCMP）

* 包括軟件項目管理計劃（SPMP）在內的其他文檔

圖1：查看一個軟件過程的普通方法是借助于V形圖

查看一個軟件過程的普通方法是借助于圖1所示的V形圖。這個圖對應著大部分工程化過程，不過在開發生命周期中，這個過程是迭代性的，有許多反復的步驟。圖中的軟件過程包括以下幾個組成部分：

* 開發 （需求、設計、編碼和集成）

* 驗證和生效（V&V）

* 集成 （軟件配置管理、需求可追蹤性和文檔）

基于模型的設計非常注重過程迭代、早期測試和開發過程中的重用，這使得它既獨特而又功能強大。這一過程的內在實用性體現在V形圖的底部，產品代碼生成是來自設計的一種自動過渡。

在基于模型的設計中，方框圖或狀態圖模型可以用作系統和軟件需求、軟件設計，或者在稍作假設變換之后，用作源代碼。這個過程的另外一個獨特之處是，它在最終編譯之前要進行廣泛的驗證和生效操作。早期驗證和生效的好處很明顯：它將大大減少在最終系統集成和測試期間發現的bug數目，返工次數也會更少。

開發方法與工具

在軟件工程化過程中，采用了基于模型的設計方法

開發方法包括：1. 行為建模；2. 詳細軟件設計；3. 分布式結構設計；4. 產品代碼生成；5. 嵌入式目標集成。驗證與生效方法包括：1. 仿真與分析；2. 快速原型；3. 模型測試與覆蓋；4. 代碼追蹤與檢查；5. 硬件在環（HIL，Hardware-In-the-Loop）測試。集成方法包括：1. 源控制接口；2. 需求管理接口；3. 報告生成。

下面給出了對各種開發方法的簡潔描述，并提供有例子和工具支持信息。注意這里給出的所有工具都是商業上可以獲得的。其后的部分討論了開發行為，并包含有關鍵的驗證與生效方法。最后，本文將通過集成組件來進行總結。

1. 行為建模

模型用來為單個子系統（如線控駕駛）的各個方面規定需求和設計。

一個典型的系統包括：

* 輸入（如方向盤傳感器）

* 控制器或DSP模型

* 設備模型（直流馬達、齒條和小齒輪、車輪）

* 輸出（方向的改變）

圖2：用控制系統方框圖來表示反饋控制

在圖2和圖3中，通過使用控制系統方框圖來表示反饋控制、使用狀態圖來表示離散事件和條件邏輯，以及使用DSP模塊來表示濾波器，可以創建一個系統模型來表示所需的行為特性。

圖3：創建一個系統模型來表示所需的行為特性

2. 仿真與分析

然后，通過使用基于時間或基于事件的仿真以及頻域分析等方法，可以執行和分析模型，以確保其滿足需求。例如，一個線控駕駛系統必須對傳感器故障進行響應，并“將高頻響應衰減到3db以下，同時指令傳輸速率不能低于1.5Mbps”。

圖4A和B*中對線控駕駛系統的建模與仿真，可以確定這些需求是相互沖突的還是有效的。仿真是一個核心驗證行為，它確保可以實現一個系統來滿足這些需求。

圖4：線控駕駛系統

3. 快速原型

要在產品的芯片上實現一個可以工作的解決方案，設備模型還不夠精確，處理能力也不滿足要求，因此建模本身并不能提供完整的解決方案。

快速原型對于克服這些缺陷非常有用，因為它用物理設備來代替設備模型。在線控駕駛的例子中，設備有可能是一輛汽車，這時就使用一輛實際的汽車。不過，因為系統并未建立起來，一個實時或嵌入式平臺將負責運行控制器軟件并與設備進行交互作用。

有兩種形式的快速原型：功能性快速原型和目標性快速原型。功能性原型使用一臺功能強大的實時計算機，如多處理器浮點PowerPC或DSP系統，目的在于確定系統對物理汽車的控制是否如對模型汽車的控制一樣好。如果真的是這樣，則設備模型的不精確性就顯得無關緊要，并且控制策略也得到了驗證。

目標性快速原型在相同或相似的產品MCU或DSP，而不是高端PowerPC內核或其他專用高端快速原型硬件中執行軟件。目的是將代碼下載到實際產品目標之中，以便用物理設備進行快速測試。如果執行良好，則控制器不僅看似有效，而且可以在產品中加以實現。

軟件設計行為包括定點數據規范、實時任務、數據輸入、內建測試和診斷。通過基于模型的設計，用于算法規范和驗證的同一模型被軟件工程師加以改進和約束，作為產品代碼生成過程的一部分。

4. 模型測試

與將模型部署到硬件上去編譯和集成相比，在桌面計算機上測試模型具有更大的優勢。基于源代碼的測試已經存在許多年了，但是最近的方法允許進行模型測試和結構覆蓋。使用的場景假定是開發人員對控制器施加滿負荷壓力，以便用仿真和覆蓋來驗證其設計完備性。另一種測試類型是故障模式效應分析（Failure Mode Effect Analysis），用來確保故障情況下線控駕駛的救生操作，參見圖5*。

圖5：故障模式效應分析用來確保線控駕駛的救生操作

設計完備性不佳的例子是數值溢出和死碼（dead code）。使用最小或最大數值的模型壓力測試可以確保不發生溢出情況。使用仿真很容易進行這種測試，但死碼就沒有這么容易檢測出來了，因為檢測需要結構覆蓋。死碼與失效代碼不同，其區別在于后者是開發人員已知，并且出于某種原因而使其失效的。實際情況中的死碼意味著在確定規范期間遺漏了什么。

模型覆蓋用來評估一個測試件的累積結果，以確定哪些功能模塊未被執行，或者哪些狀態未被到達。源代碼語言（如C和C++）中建立了某些類型的覆蓋，但現在模型也可以進行覆蓋了。這項工作要求C語言所不需要（或不可能有）的新理論和新工具，因為這些語言沒有功能模塊或狀態這樣的構造。

修改條件/決策覆蓋（MC/DC）被FAA（美國聯邦航空管理局）認為是滿足安全關鍵系統所必需的最嚴格的覆蓋水平。現在，這種覆蓋在一種基于模型的設計框架和許多需要線控設計的場合中已經得到了實現。

5. 分布式結構設計

現代嵌入式系統包含一些分布式ECU，它們相互間通過一個象FlexRay這樣的容錯通信系統進行實時通信。寶馬（BMW）最新的DSC（動態穩定性控制）包含ABS作為其15個子功能之一。通過從DECOMSYS向單個子系統增加主機、任務和信號等網絡部件，嵌入式功能可以連接和映射到一個ECU結構之上。此外，它方便了OSEKtime/OS等時間觸發操作系統的任務激活時間行為的仿真。集群、主機、任務和連接是在MATLAB/Simulink環境下進行設計和仿真的。最后，整個設計與DECOMSYS：：DESIGNER產品實現了無縫集成，可以與FlexRay xCDEF設計數據倉庫進行互動。

Vector公司和Cadence公司提供的分布式網絡設計解決方案（分別為DaVinci和SysDesign）集成了Simulink/Stateflow的Real-Time Workshop/Real-Time Workshop Embedded Coder，由子系統產生代碼，并將它們映射到結構上進行驗證。

產品代碼生成 模型經過驗證并且生效之后，就該產生代碼了。使用編譯器時，這個過程是簡單的。這里存在著各種不同的優化設置和用戶配置選項。關鍵之處在于保持代碼的高效、精確并與原有的代碼或其他工具進行集成。另一個要點是保持代碼相對框圖的可追蹤性，以便進行檢查和驗證。

圖6：圖3中電源管理設計的測試覆蓋

1. 代碼追蹤和檢查

圖7顯示了一個自動鏈接的HTML報告。當開發人員選擇代碼中的求和模塊時，它將把該模塊在框圖中進行高亮顯示。

圖7：代碼回放

2. 嵌入式目標集成

圖6*中的應用使用了速率轉換模塊。不過，它與商用RTOS之間也存在著直接的聯系，包括VxWorks 和各種OSEK產品。如圖7*所示，還需要集成設備驅動程序。

3. 硬件在環測試

控制器建立起來之后，就可以在環路中使用實時設備模型來執行一系列開環和閉環測試了。有一種測試僅涉及處理器，稱作“處理器在環”測試。另一種測試使用實際建立的ECU硬件，叫做“硬件在環”測試。在這兩種測試中，都使用設備模型來對物理控制器進行測試。通過這一系列測試（或許與需求驗證中所用的是同種測試），控制器必須看來對于消費者是可以接受的。

4. 集成組件

在開發過程中，大部分軟件標準都要求需求追蹤能力，這或許源于其他需求工具。此外，還需要軟件配置管理（SCM）來對開發過程中的各種工件（artifact）進行存儲、版本維護和查找。由報告生成工具產生的文檔將確保管理者、消費者和供應商能夠看到模型。SCM的接口如圖8*所示。

圖8：器件驅動模塊庫

本文小結

當整個軟件工程化過程行為得到支持時，將會推動軟件的進步。但是，僅僅進行局部的、支離破碎的改進是不足夠。本文介紹了基于模型的設計和產品代碼生成的一個完整的軟件工程化框架，并且還給出了具體的方法和工具，意在表明它并非僅僅是一種理論，而是既實用又有效。