SCADE Suite 中的"SCADE"为"安全关键应用开发环境"的缩写。需说明的是,在时效性方面,下面的描述反映的是发展至2010年左右的情况。更详细的内容,可参考《Formal Methods - Industrial Use from Model to the Code》(ISBN 978-1-84821-362-3)。
控制工程师与软件工程师对高安全嵌入式系统的不同视角
控制工程师对高安全嵌入式系统的视角与软件工程师对高安全嵌入式系统的视角之间存在鸿沟,SCADE 产生的动机是想要填补两种视角之间的鸿沟。对控制工程师而言,系统中功能状态,状态间迁移条件以及控制律的设计,更习惯以块状图的形式表达。而对软件工程师而言,需要以数据结构和算法的形式表达功能描述。由于上面提到的两种视角的不同,使得从控制工程师定义的规约到软件设计表达的过程中,成本高且容易出错。
早期工业界中的探索
在八十年代,部分工业企业体会到填补鸿沟的需要。作为起步,对系统设计时使用的标记法进行了标准化的工作。与标准化标记法配套的仿真与代码生成的工具链支持也进行了研发。
比如在航空与核电产业领域产生了一些数据流形式的标记法,比如 GRAFCET(Petri网的一种变种)或通信领域的规约与描述语言(SDL)等。
在高安全实时软件领域的案例包括 SAO(计算机辅助规约) 与 SAGA (应用与生成规约)。SAO 由法国航空界法国宇航公司与泰勒兹航空电子公司设计与使用。空客在 A320 与 A340 系列的飞行控制系统设计中使用了 SAO 标记法。SAGA 由 Merlin Gerin 设计,并应用在核能仪器软件研发中。
在科研机构中产生的面向实时软件的同步语言
在产业界产生 SAO 与 SAGA 的同期,若干科研机构对实时软件的描述与研发的问题,从设计编程语言的角度进行了投入。
在相关工作中,有一类编程语言脱颖而出:同步编程语言。在发展早期,这类语言代表性工作包括:Lustre、Signal、Esterel。Lustre 是数据流风格的声明式同步语言,该语言是 SCADE 技术的主要基础的组成部分。Signal 是具备多时钟特性的数据流风格的声明式同步语言。Esterel 是命令式同步语言,是 Esterel Studio 的基础,其中的语言概念也被引入 SCADE 中。更详细的情况,可参考 Benveniste 对 1991 至 2003 期间同步语言发展的综述,《The synchronous languages 12 years later》。
SCADE 开发环境开始登上行业舞台
在上述发展的背景下,法国宇航公司、Merlin Gerin、VERIMAG组成合力,与Verilog 工具软件团队一道,组成了联合团队产生了 SCADE 开发环境的工作。
SCADE 技术的目标包括:
- 使得相关企业内部中,不是核心业务组成部分的内容能够外包化。
- 相关供应商通过掌握 SCADE 技术,能助力业务需求等内容的交流,更好地提升产业生态系统的生产力。实际上,SCADE 技术已成为空客生态系统中的“普通话”。在空客内部、与外部设备厂商、机载服务商、维护测试服务商的软件设计交流与设计方面,都以 SCADE 技术进行交流互动。
- 作为 SCADE 技术基础的的编程语言在初始时即具备形式化定义,避免二义性。这使得形式化方法应用在该技术上变得可行。