飞行控制软件单元测试方法研究

摘 要：结合飞行控制软件特点，介绍使用自动生成测试用例的软件测试工具Cantata6.2快速完成飞行控制软件单元测试的方法。结合实践经验，提出使用Cantata6.2进行飞行控制软件单元测试的策略，以及对开发编码的要求。

关键词：飞行控制软件；单元测试；动态测试

中图分类号：TP301

文献标识码：A 文章编号：1672-7800（2015）005-0029-03

作者简介：刘思思（1985-），女，陕西商洛人，硕士，上海机电工程研究所工程师，研究方向为飞行控制软件开发、系统集成与验证；刘迪（1985-），男，黑龙江哈尔滨人，硕士，上海机电工程研究所工程师，研究方向为制导控制系统设计与仿真。

0 引言

在飞行控制软件（简称飞控软件）开发过程中，单元测试环节必不可少。其中，静态度量指标可以用专门的工具很方便得出其具体数值，而动态测试虽然也有专门的工具，但编写测试用例需要花费大量时间和精力。当前，航天多型号开发任务重，迫切需要应用自动化的测试工具软件来提高动态测试的工作效率。

本文结合飞控软件的特点，论述通过自动生成测试用例的工具软件Cantata6.2进行单元动态测试的方法。

1 飞行控制软件特点

飞控软件的主要功能是完成相关设备之间的实时信息交互与控制解算，从而实现飞行过程中姿态和位置的控制。飞控软件主要分为应用层软件、接口协议层软件和底层驱动软件3个部分，软件架构如图1所示。

应用层软件由实现姿态和位置控制的各功能模块组成；接口协议层软件主要为飞行控制设备与其它设备之间通信的协议模块；底层驱动软件主要由飞行控制设备的接口驱动模块以及硬件输入输出模块组成。

飞控软件嵌入在飞控设备中，具有实时性高、时序和逻辑复杂、可靠性高的特点。首先，要确保底层驱动软件和接口协议软件的正确性，使得各类信号得以正确传输；其次，要确保软件与控制算法模型的一致性，输入输出及解算正确；最后，要确保软件时序和逻辑的正确性。只有这样才能保证飞行控制系统正常工作。

2 飞行控制软件单元测试的意义

对飞控软件的最小组成单位――函数进行测试的目的在于检验其能否正确地实现其功能，满足性能指标和接口要求。通过语句（SC）、条件（DC）、修正条件判断（MC/DC）等覆盖率指标评价程序结构，及早发现软件代码中的编码和逻辑错误。

对控软件来说，被测函数已经完成了编码和调试，能够通过编译和链接进行单元测试。此外，不考虑每个模块与其它模块之间的关系，为每个模块设计驱动模块和桩模块，每个模块进行独立的单元测试，各模块的单元测试可以并行进行，能够提高测试效率，也较容易实现100%的覆盖率指标要求[1]。

3 Cantata6.2测试工具

3.1 Cantata6.2简介

Cantata6.2采用先进的代码分析器和AutoTest技术，智能分析被测代码，扫描代码的所有可能路径，根据选定的覆盖率标准，自动生成满足100%覆盖率的测试用例。对全局变量、返回值自动赋期望值，并包含对全局变量、返回值、调用函数参数传递等进行检查。对形参为复杂类型，如结构体指针的情况，能自动生成相应的测试对象，即构造一个结构体数组，将结构体数组的地址赋给形参。自动生成桩函数，在测试工程中替代真实的外部函数。使用Cantata6.2进行单元测试的原理如图2所示。

用户可以使用Cantata6.2工具AutoTest选择相应的覆盖率规则集，通常航天A级软件要满足修正条件判断（MC/DC）覆盖率100%，B级软件要满足分支判断（DC）覆盖率指标100%，C级软件要满足语句（SC）覆盖率指标100%。飞控软件通常均为A级软件，选择DO-178B/ED-12B Level A Coverage规则，自动生成满足SC、DC、MC/DC3个覆盖率指标要求的测试脚本文件。

3.2 含有桩函数的测试实例

本文以飞控软件的指令形成函数模块为例，检验Cantata6.2的动态测试功能。该函数模块的主要功能是形成稳定控制系统姿态控制等的指令信号。代码框架如下：

void Instruction （C_INSTRCUTION *C_）

{

……； //定义局部变量

if（C_->fInTT < t1）

{

……； //控制解算

}

else

{

……； //控制解算

Function1（C_）；

……；

if（C_-> fInTT < t2） //注①

{

……；

}

else

{

……；

}

……；

}

}

利用Cantata6.2进行动态测试。自动生成10个测试用例并执行完后，语句覆盖率和分支判断覆盖率都没有达到100%，源代码中注①处标注的条件判断的假分支没有得到执行。于是，手动添加一个测试用例，使得在给定的输入条件下结构体变量C_-> fInTT的值落在[t2，∞）的区间内，接着重新执行该测试用例，结果还是执行不到该假分支。仔细分析代码后发现，该分支中的条件判断表达式中的结构体变量C_-> fInTT的值已被桩函数Function1（C_）修改。

处理方法如下：第一步，在Cantata6.2的调用接口控制界面中，为该桩函数添加一个新的桩函数实例，并手动修改结构体变量C_-> fInTT的值，该数值应大于或等于t2；第二步，在Cantata6.2测试用例界面，将调用序列更改为新的桩函数实例。至此，执行全部11个测试用例之后，满足语句和分支判断覆盖率全达到100%的指标要求。

3.3 编译器对测试结果的影响

飞行控制软件的编译器目前主要使用CCS2.2或CCS3.3，在用Cantata6.2进行单元测试时，CCS被设置为Simulator模式，Cantata6.2会自动调用CCS，执行编译好的测试中间文件，进而生成测试结果文件。测试过程中，笔者发现对于如下代码段，Cantata6.2自动生成的测试用例对X自动赋值为0.9999，调用CCS2.2执行用例后，代码运行的实际路径与期望路径不一致，测试结果不能达到100%的分支覆盖率指标要求。

#define ZEROP 0.00001

void Function2 （void）

{

if（X

{

……；

}

else

{

……；

}

……；

}

笔者分别在CCS2.2和CCS3.3编译器环境下，验证了该代码段的运行情况，最终得出结论如下：①在CCS2.2编译器下，程序执行真分支，与期望不一致，结果不正确；②在CCS3.3编译器下，程序执行假分支，与期望一致，结果正确。上述结果表明，不同的编译器版本影响程序实际执行路径的正确性。

4 基控软件的Cantata6.2使用策略

4.1 Cantata6.2使用策略

飞控软件中包含很多复杂的结构体数据类型，Cantata6.2能够对结构体类型自动赋值，不用手动一一赋值；而且飞控软件涉及大量数学计算，Catata6.2的测试脚本是开放的纯C代码，可在其脚本管理器界面或测试脚本中直接修改某个测试用例的变量值，提高测试效率。Cantata6.2测试工具是通用的，而飞控软件具有其特殊性，就二者的融合使用，笔者总结出如下经验：

（1）飞控软件中一般都包含do while（1）的死循环结构，测试时需要将这类死循环放开，测试用例才能执行完毕。

（2）飞控软件中包含有很多类似“x=x”的赋值操作，本义是在某些特定条件下，x的值不变，测试时要将这类语句注释起来，否则Cantata6.2会报错。

（3）当被测函数包含子函数时，Cantata6.2会自动作打桩处理，但桩函数有可能会修改某些全局变量的值，进而导致某个分支始终无法覆盖。这时，可以在该桩函数的调用接口添加一个桩函数实例，并手动修改该变量的值，再将调用序列更改为新的桩函数实例，如3.2小节所述实例。

（4）飞控软件作为嵌入式软件，最终是固化在飞控设备中，构成飞控系统运行。因此，软件一般都包含对硬件端口地址的操作，如果是从端口输出数据，测试时需要将这些代码注释起来，如果是读取某个地址的值，则可以自己定义一个变量代替该数值，否则将导致不能自动生成测试用例。

（5）飞控软件中的控制算法一般都包含有积分计算，开发人员一般习惯定义静态的局部变量，遇到这种情况时，应该将这些变量移到函数外部定义，否则会导致不能自动生成测试用例。

4.2 测试驱动开发

Cantata6.2测试工具能够自动生成测试用例，即使不满足语句、分支判断、修正条件判断覆盖率100%要求，测试人员也能很快根据覆盖率结果图示手动添加新的测试用例，使得该用例执行后覆盖到上一次未覆盖到的分支。但是，就笔者的使用经验而言，Cantata6.2对被测代码的要求比较高，被测代码要符合标准C要求，其头文件不能相互嵌套重复引用，否则一个.c文件和其相关的.h文件加载进去就会出现错误提示和警告，而且必须将这些错误提示解决完并通过编译后，才能进行下一步生成测试用例的工作。此外，由控软件具有逻辑复杂、运算量大的特点，要借助Cantata6.2的自动生成测试用例的功能快速完成飞控软件测试，这也对飞控软件的代码质量和框架结构提出了比较高的要求。在飞控软件框架结构和代码质量比较高的情况下，可以加载整个.c文件，一次性生成整个.c的全部测试用例，而不用单个函数去建测试工程，从而加快测试速度。笔者总结使用经验如下：

（1）飞控软件的自动驾驶仪模块根据控制系统的模型编写，模型中包含滚动、偏航、俯仰三通道控制解算算法，该模块代码最好拆成3个函数模块，单个模块代码行数要在200行以内，便于测试，代码结构也更加清晰。

（2）由控软件的特殊功能需求，同一个函数中包含多个条件表达式“与”或者“或”，再进行逻辑（即if else）判断的用法非常多，譬如if（条件表达式1&&条件表达式2||条件表达式3），开发人员在编写代码时，最好将这些条件表达式的计算在if判断之前完成，以有利于测试用例能够正常覆盖到期望的分支。

（3）依据航天软件工程化标准要求，飞控软件的安全关键性等级一般为A级，单元测试必须满足语句（SC）、分支判断（DC）、修正条件判断（MC/DC）覆盖率均达到100%。MC/DC要求每个判定中的每个条件都曾至少一次独立影响判定结果。由控系统的特殊算法需求，模型中涉及分段函数计算比较多，选择MC/DC覆盖率标准后，某些代码会覆盖不到。代码结构如下，斜体加粗部分为未覆盖到的代码：

if（（x1>x2）&&（x1< （x2+const1）））

{

……；

}

else if（ （x1>（x2+ const2））&&（x1< （x2+const3））） //注2：0

{

……；

}

else

{

……；

}

分析上述代码，笔者认为由于选择了修正条件判断覆盖率标准MC/DC，Cantata6.2认为第一个判断条件“x1>x2”的假分支不应再包含“x1>（x2+const2）”的判断条件。类似情况，建议控制系统设计师修改模型文件，或者软件开发人员优化程序结构。

（4）通过3.3小节中的实例，建议开发人员应该选择升级版本的编译器作为开发工具。此外，笔者尝试了将ZEROP定义为局部变量0.00001，结果程序无论在CCS2.2还是CCS3.3编译器下，均执行不到期望的正确分支，这对编码质量提出了较高要求。

5 结语

利用Cantata6.2自动生成测试用例的功能能够快速完成单元动态测试，促进开发人员提高编码质量，提高飞控软件的可移植性和可维护性，满足当前航天多型号软件开发和单元测试的工作需求。同时，工具内置的很多规则集能够帮助测试人员快速定位软件编码错误和框架问题，进而帮助开发人员更好的优化程序结构，进一步提高航天软件研制水平。

参考文献：

[1] 张猛，毛亮.航天嵌入式软件的单元测试方法探讨[J].航天器工程，2006（7）：32-35.

[2] 陶幸辉，宋志刚.嵌入式飞控软件测试方法研究及实践[J].软件导刊，2011（8）：14-16.

[3] 马飒飒，赵守伟，肖小峰.基于覆盖与故障注入的飞控软件测试技术研究[J].计算机测量与控制，2005，13（3）：291-293.

[4] 王泉，张学宏，周敏刚，等.无人机飞控软件测试方法研究[J].航空计算技术，2008（3）：78-81.

[5] 杨海成.航天型号软件工程[M].北京：中国宇航出版社，2011.