作者：JEREMY VANDOMELEN，BENJAMIN BROSGOL

預計國防平臺的使用壽命長達數十年。開發經久耐用的高可靠性、安全關鍵型軟件需要來自值得信賴的行業合作伙伴的綜合工具。強大的軟件開發解決方案可以幫助工程師設計和開發新的長壽命無人系統，并可以在當前部署的無人平臺上升級系統，以延長其生命周期。

國防和航空航天平臺一直是“經久耐用”的，但在當今時代，各種此類車輛 - 陸地，海洋，空中和太空 - 預計將在長達數十年的使用壽命內運行。例如，波音B-52同溫層堡壘軍用飛機自1952年首飛以來，已經在美國空軍服役了半個多世紀。波音公司于1962年停止生產亞音速噴氣動力轟炸機，但2013年和2015年進行的升級預計將延長B-52的使用壽命至2045年或2050年。

設計、開發、制造、測試和認證新平臺的時間和成本密集型過程通常可以盡可能長時間地避免。因此，我們的注意力集中在確保系統（無論是正在開發的還是已經部署的）能夠在更長的使用壽命內運行。

無人駕駛飛行器——包括無人駕駛飛機系統（UAS）、無人地面飛行器（UGV）和無人水下航行器（UUV）——現在正保持與載人飛行器相同的壽命標準。美國宇航局的旅行者1號和2號無人航天器在1977年發射到惡劣，富含輻射的太空環境整整40年后，仍然每天運行，探索和通信。回到地球上的無人駕駛車輛遭受著不同的命運。

無人過期

兩個對美國軍方很重要的早期UAS平臺現在已經接近二十年的服役 - 以色列航空航天工業公司（IAI）的RQ-5獵人以及諾斯羅普格魯曼公司以及通用原子公司的MQ-1捕食者。RQ-5于1995年投入使用，于2015年與美國陸軍進行了最后一次飛行，但據說國防承包商正在海外運營退役部隊。

MQ-1是過去20年的主力，將于2018年退役于美國空軍服役。退役原定于2015-2017年，但由于中東需要其監視技能而被推遲。

軟件和硬件工程師已經對MQ-1進行了多次更新，以延長其使用壽命并增加其功能，以跟上軍事任務的需求和要求。MQ-9 Reaper在1995年首次推出時嚴格來說是一種監視無人機，同樣由通用原子公司制造，此后通過軟件和硬件升級演變為武裝機載武器。

政府和軍方領導人表示希望從MQ-1平臺中獲得更多收益，但他們認識到從軟件和硬件的角度來看，它不再可行。退役后，預計這些無人機將被剝奪其可用組件，然后填充飛機骨頭。然而，其軟件DNA將在后續無人駕駛車輛中繼續存在，所吸取的經驗教訓有助于制定設計靈活，功能強大，長壽命無人系統的最佳實踐。

軟件審查

軟件是長壽命拼圖的重要組成部分，因為軍隊正在努力延長無人平臺的能力和壽命。軟件開發環境、編程語言和驗證/測試/分析工具都是確保無人系統在較長的使用壽命內跟上不斷變化的威脅環境、不斷發展的認證和任務要求以及用戶需求的關鍵組件。

強大的軟件解決方案可以幫助工程師設計和開發新的長壽命無人系統，以及升級當前現場或改裝無人平臺上的系統，以延長其生命周期。軟件代碼的使用壽命遠遠超過無人駕駛車輛本身。在軍用車輛退役很久之后，其軟件代碼可以繼續為后續平臺奠定基礎并投入使用——就像MQ-1“捕食者”一樣。因此，選擇最佳軟件工具至關重要，但不一定具有挑戰性，尤其是在選擇過程中首先考慮幾個因素的情況下。

長壽命無人系統的軟件開發和驗證工具注意事項包括：

可擴展性，以適應可以處理附加功能、多任務有效載荷、不斷變化的認證要求和新威脅的增量軟件/硬件更新;

定期更新以保持相關性，與用戶需求和行業/應用程序需求保持同步，并提高效率和生產力;

在過去的高保證計劃方面取得了成功的記錄;和

全面的功能，包括完整的軟件開發套件和集成開發環境 （IDE），提供編譯器、調試器、靜態分析和測試工具等元素，并支持基于模型的開發和形式化方法。

靈活開發

長壽命無人系統必須保持最新和相關性。隨著任務要求的變化，它們的特性和功能也必須改變。軍事領導人——他們專注于準備——必須部署能夠滿足當前和未來需求的靈活、多任務系統。軟件開發環境和工具集應有助于確保無人系統能夠跟上不斷發展的戰斗空間環境的步伐。

模塊化和可擴展性是當今幾乎所有軟件和硬件解決方案的關鍵屬性。最終用戶、項目經理和工程師都非常重視系統適應增量更新的能力，以增加功能、更改有效載荷、修復問題、解決安全漏洞和集成最新的技術創新 - 所有這些都是以延長使用壽命的名義。

無人系統設計可以通過重用前代車輛的軟件代碼啟用的特定功能來節省開發時間和資金。軟件開發環境應有助于保持和保護對軟件的大量投資，同時保持當前和未來增長所需的靈活性和可擴展性。語言功能在這里可以提供幫助（例如，一種面向對象的方法，其中可以將新組件添加為現有組件的擴展，而無需修改甚至重新編譯舊代碼）。工具支持也很有用，例如瀏覽器和代碼分析工具。

新舊

將舊系統與新系統混合總是有點挑戰，但正確的軟件開發流程和工具可以提供幫助。

一個問題：舊代碼可能存在潛在的錯誤或漏洞，這些錯誤或漏洞可能會在添加新功能或更改操作環境時觸發。例如，一個最初被認為是獨立的應用程序，幾年前設計時安全性不那么重要，現在可能是遠程訪問的，因此成為對手的潛在目標。檢測潛在問題的靜態分析工具是一項值得的投資;例如，靜態分析工具可以標記在常見弱點枚舉 （CWE） 中表現出弱點的構造。

現實世界的軟件是用多種語言編寫的：它可以是用于安全關鍵組件的Ada，用于低級例程的C，以及用于用戶界面的Java或C++。軟件開發環境應支持多種語言的組件的無縫互操作性，并在可能的情況下在組件接口上進行檢查和實用檢查。

系統升級通常需要更改目標平臺。編寫代碼應簡化可移植性，編寫舊版軟件所使用的語言可能會影響此過程的難易程度。例如，Ada 包括對并發（任務）的標準支持，因此可以可移植地編寫用戶代碼，而不是直接訪問操作系統的線程服務。

新組件和現有組件之間的交互可能會對安全性和可行性產生影響，但軟件開發環境可以幫助檢測和避免這種不受歡迎的副作用和不兼容問題。有效的驗證、測試和靜態分析工具可以幫助發現和消除不準確的屬性、驗證和保留所需的屬性、確定升級有意失效的過時屬性以及驗證更新的屬性，從而簡化升級。隨著軟件和系統的規模和復雜性隨著時間的推移而增長，工具和流程應具有良好的擴展性并集成新組件。

處理過時問題

軟件過時可能有多種原因，包括硬件不兼容或供應商停止支持或推進其產品。為了幫助解決過時問題和更好的面向未來的無人系統，開發團隊應該投資由長期行業合作伙伴和全球用戶社區支持的軟件工具，所有這些都致力于繼續使用和增強軟件語言、開發框架和工具集。如果供應商不支持項目中使用的語言的最新版本，那么這可能是一個警告信號，表明他們的長期承諾是值得懷疑的。

為了促進面向未來的軟件開發，所使用的編程語言應該具有長期和經過驗證的成功使用記錄，同時還應表現出穩定和可控的發展 - 即穩定性/兼容性但不是停滯不前。此外，編譯器同樣應該具有成功的使用歷史，并在功能和代碼質量方面定期升級。

如果特定的嵌入式電子元件（如處理器）升級、過時或不再受支持，借助開放、可移植、可互操作的軟件解決方案，可以避免昂貴的端口或重寫。為了促進變革，軟件開發框架（包括編程語言）應該可以在一系列硬件選項中移植，包括尖端和專用嵌入式處理器。開放、模塊化、可擴展且全面的開發平臺有助于而不是阻礙硬件/軟件集成和互操作性。

悠久的遺產

過去的經驗通常是未來行為的最大預測指標，因此選擇長期表現良好且可靠的軟件解決方案是有利的。

從事UAS項目的設計人員應投資于專門為需要高完整性和保證的安全和任務關鍵型應用而設計和使用的語言和工具。尋找行業領導者在國防、航空航天和其他重視安全性和可靠性的市場中備受矚目、復雜甚至類似的項目中成功采用的軟件開發和驗證工具非常有用。

軟件開發框架的強大程度取決于其背后的提供商，因此請尋找值得信賴的行業合作伙伴，該合作伙伴在生產、支持和增強強大、功能強大、功能齊全的工具方面有著悠久的傳統。

軟件開發和驗證工具，以及不斷增強和支持的編程語言通常更面向未來。

整套

軟件開發環境和工具集的質量和有效性會對最終的軟件產生深遠的影響，進而影響整個無人系統。無人駕駛車輛開發的整體方法需要一個強大、直觀的集成開發環境 （IDE），以支持從設計和編碼到系統集成、測試、調試和代碼分析的完整開發工作流程。

軟件問題可能會導致生產計劃出現重大延遲，從而導致已部署環境中出現大量不必要的停機。對于程序進度和軟件質量而言，必須在開發周期的早期發現錯誤，而糾正這些錯誤的成本最低。對于最關鍵的組件，通過形式化方法實現的保證 - 基于數學的確信已滿足部分程序屬性（例如沒有運行時錯誤） - 非常值得投資。

語言和工具技術可以幫助無人系統開發人員應對這些挑戰。一個例子是 Ada 語言及其相關的工具支持。Ada 提供廣泛的檢查，甚至在程序運行之前幫助檢測錯誤，并發功能可有效地映射到現代實時操作系統 （RTOS） 和目標硬件，完整的面向對象的編程功能和多語言互操作性。

Ada 自成立以來不斷發展，以反映用戶體驗和要求以及技術趨勢。該標準的當前版本（Ada 2012）包括對基于合約的編程（前置和后置條件）的支持，這有助于驗證，并實際上將需求嵌入到源代碼中，可以靜態或動態地檢查它們。Ada目前部署在各種現代防御平臺和設備上，包括陸地，海上，空中和太空的軍事嵌入式系統。

支持 Ada 語言的是各種工具和開發環境，這些工具和開發環境已用于生成最高安全關鍵級別的軟件（DO-178B/C 中的設計保證級別 A）。AdaCore提供了兩個這樣的工具：GNAT Pro開發環境，其版本特別適用于需要繼續使用特定維護技術分支的長期系統;以及 CodePeer 靜態分析工具，該工具可以發現新代碼或現有代碼中的漏洞（包括檢測 CWE 中的各種弱點）。

審核編輯：郭婷