Search Icon
Elektroniknet Logo
Search Icon
Startseite > Embedded > Entwicklungstools > Wenn Open Source auf den Standard DO-178C trifft

Softwareentwicklung für Aerospace

Wenn Open Source auf den Standard DO-178C trifft

12. Juni 2026, 07:30 Uhr | Andreas Knoll
Avionik-Software unterliegt strengen Anforderungen an die Konstruktionssicherung im Rahmen der Luft- und Raumfahrtzertifizierung.
© mstaniewski / stock.adobe.com

Seit kurzem TÜV-Süd-zertifiziert, kann das Unit-Testing-Framework »GoogleTest« die Verifikation von Bordsoftware in der Luft- und Raumfahrt neu gestalten. Parasoft hat jetzt eine TÜV-Süd-zertifizierte Implementierung von GoogleTest in seiner Software-Testumgebung »C/C++test CT« bereitgestellt.

Diesen Artikel anhören

In der Softwareentwicklung für die Luft- und Raumfahrt muss jedes Tool, das mit der Verifizierung zu tun hat, zuverlässig, rückverfolgbar und kritisch qualifiziert sein. Gemäß dem Standard DO-178C, nach dem die FAA, die EASA und andere Behörden Software für die Luftfahrt zertifizieren, ist die Tool-Qualifizierung verpflichtend – und sie ist zeitaufwendig.

GoogleTest ist ein bevorzugtes Unit-Testing-Framework für Embedded-C- und C++-Entwickler in jeder sicherheitskritischen Branche. Seine niedrige Speicherbelastung, seine API und seine nahtlose Integration in CI/CD-Pipelines machen es zu einem festen Bestandteil moderner Embedded-Toolchains, einschließlich der Luft- und Raumfahrt. Es lässt sich in Cross-Compiler, Hardware-in-the-Loop-Umgebungen und die Art von eingeschränkten, komplexen Builds integrieren, die in der Avionik-Entwicklung Standard sind. Allerdings ist GoogleTest Open Source und möglicherweise im Verifikationsprozess für Luft- und Raumfahrtprogramme gemäß DO-178C qualifizierungsbedürftig.

Dies ändert sich nun, und die Auswirkungen für Entwicklungsteams in der Luft- und Raumfahrt sind enorm.

Der Qualifizierungsaufwand - ein versteckter Kostenfaktor jedes Programms

DO-178C-Programmmanager erzählen immer die gleiche Geschichte zur Tool-Qualifizierung: DO-330 ist der Standard für die Qualifizierung von Software-Tools, ergänzt durch DO-178C. DO-330 schreibt vor, den Verwendungszweck des Tools zu definieren, eine Risikoanalyse durchzuführen, eine Validierungstestsuite zu entwickeln und auszuführen sowie jeden Aspekt des Toolverhaltens zu dokumentieren. Darüber hinaus müssen die Teams diese Qualifizierungsnachweise über den gesamten Software-Lebenszyklus hinweg pflegen.

Automatisierte Anforderungsverfolgbarkeit und MC/DC-Abdeckung innerhalb eines modernen Arbeitsablaufs.

Automatisierte Anforderungsverfolgbarkeit und MC/DC-Abdeckung innerhalb eines modernen Arbeitsablaufs.

© Parasoft

Für ein Framework mit so breitem Funktionsumfang wie GoogleTest ist dieser Prozess nicht trivial. Entwicklerteams berichten, dass sie Monate damit verbracht haben, Qualifizierungskits zu erstellen, spezielle Testkampagnen durchzuführen und Fragen von Auditoren zu beantworten. In manchen Fällen haben die Kosten für die Qualifizierung eines Open-Source-Tools die Kosten für die Anschaffung einer zertifizierten kommerziellen Alternative überschritten. Als Folge bleibt, entweder den Aufwand zu akzeptieren, GoogleTest für jedes Programm zu qualifizieren, oder zu einem kommerziellen Tool zu migrieren.

Keine dieser Optionen ist gut. Die erste Option verlangsamt die Programme und verursacht Kosten, ohne die Software selbst zu verbessern. Die zweite Option stört etablierte Arbeitsabläufe und bringt neue Risiken mit sich. Die Branche braucht einen dritten Weg, um GoogleTest in einer qualifizierten Umgebung zu nutzen, ohne die Qualifizierungsarbeit bei jedem Projekt selbst übernehmen zu müssen.

Der Beginn eines Durchbruchs

Parasoft hat die branchenweit erste TÜV-Süd-zertifizierte Implementierung von GoogleTest für sicherheitskritische Entwicklungsabläufe bereitgestellt. Die Zertifizierung umfasst die gesamte C/C++test-CT-Toolchain einschließlich ihrer Instrumentierungsschicht und des GoogleTest-Frameworks, das innerhalb der validierten C/C++test-CT-Umgebung betrieben wird. Diese integrierte Umgebung bietet:

- die automatisierte strukturelle Abdeckung einschließlich Anweisungen, Verzweigungen / Entscheidungen sowie MC/DC,

- die durchgängige Rückverfolgbarkeit der Anforderungen sowie

- eine konformitätsgerechte Berichterstellung, die den Zertifizierungsanforderungen entspricht.

Entwickler nutzen weiterhin Unit-Tests mit der Standard-GoogleTest-API und den gleichen Assertions, Fixtures und Mocking-Konstrukten wie bisher. Die zertifizierte Umgebung verbessert diesen Workflow, indem sie die Testausführung in einen formal validierten Verifizierungsprozess umwandelt.

Entwickler Safety-kritischer Software können jetzt die Software-Testlösung »C/C++test CT« von Parasoft zusammen mit dem GoogleTest-Framework nutzen.

Entwickler Safety-kritischer Software können jetzt die Software-Testlösung »C/C++test CT« von Parasoft zusammen mit dem GoogleTest-Framework nutzen.

© Parasoft

Die Software-Testumgebung C/C++test CT von Parasoft ist für Luft- und Raumfahrtprogramme mit hoher Sicherheitsanforderung zertifiziert, einschließlich DAL-A. Durch die Erweiterung dieser Zertifizierung auf GoogleTest steht eine validierte Verifizierungsumgebung zur Verfügung, die den Aufwand für die Vertrauenswürdigkeit der Tools erheblich reduziert. DO-178C erfordert zwar eine projektspezifische Qualifizierung, doch können Teams auf einer bewährten Grundlage aufbauen.

Die Zertifizierung umfasst die Ausführungsumgebung und das Verhalten des Frameworks innerhalb dieser Umgebung sowie die von ihr erstellten Berichte. Diese Unterscheidung ist bei einem DO-178C-Audit von entscheidender Bedeutung, weil die Begründung des Tool-Verhaltens dort evidenzbasiert sein muss.

Zertifizierung versus Qualifizierung – ein entscheidender Unterschied

Für Teams in der Luft- und Raumfahrt ist es wichtig, zu wissen, was eine TÜV-Süd-Zertifizierung leistet. Eine Zertifizierung belegt, dass die Toolchain unabhängig auf die Anforderungen der funktionalen Sicherheit hin überprüft wurde. Sie stärkt das Vertrauen in die Zuverlässigkeit der Verifizierungsumgebung und reduziert den Aufwand für ihre Begründung. Allerdings ersetzt eine Zertifizierung nicht die DO-178C-Toolqualifizierung, die je nach Einsatz des Tools innerhalb eines bestimmten Projekts weiterhin erforderlich ist. Der Unterschied besteht darin, dass eine zertifizierte Umgebung eine validierte Grundlage bietet, was Unsicherheiten verringert und den Qualifizierungsprozess beschleunigt.

Um die Anforderungen von DO-178C vollständig zu erfüllen, plant Parasoft ein Toolqualifizierungskit, das GoogleTest umfasst. Dies ist ein entscheidender Schritt für Luft- und Raumfahrtprogramme, die eine effiziente Skalierung anstreben. Das Qualifizierungskit wird voraussichtlich Folgendes umfassen:

- definierte Betriebsanforderungen,

- Validierungstestsuites,

- Dokumentation gemäß DO-330 sowie

- Leitlinien für die Integration der Qualifizierung in Zertifizierungsabläufe.

Mit diesen Elementen können Teams von der Erstellung individueller Qualifizierungsnachweise zu einem strukturierten, wiederholbaren Ansatz übergehen. Dadurch verbessern sich die Konsistenz und die Audit-Bereitschaft.

Was bedeutet dies für die Einhaltung von DO-178C?

Gemäß DO-178C steigen die Anforderungen an die strukturelle Abdeckung mit dem Design Assurance Level (DAL): von der Anweisungsabdeckung bei DAL C über die Entscheidungsabdeckung bei DAL B bis hin zu MC/DC bei DAL A. Dabei muss jede Bedingung die Ergebnisse unabhängig beeinflussen. Ein manueller Nachweis ist zeitaufwändig und fehleranfällig. C/C++test CT automatisiert dagegen die Erfassung der Testabdeckung, die Rückverfolgbarkeit und die Berichterstellung innerhalb eines einheitlichen Workflows. Während der Testausführung werden Abdeckungsmetriken erfasst, Anforderungen direkt mit Testfällen verknüpft und die Ergebnisse in zertifizierungsfähigen Formaten generiert, die sich in ALM-Ecosystems integrieren lassen. Dies beschleunigt die Verifizierung und stärkt sie. Lücken werden früher sichtbar, und es gibt konsistente Nachweise.

Ebenso wichtig ist, dass die Arbeitsabläufe der Entwickler unverändert bleiben. Ingenieure nutzen GoogleTest weiterhin, ohne dass eine Umschulung oder ein Wechsel des Frameworks erforderlich ist. Bestehende Testsuites bleiben intakt, die Ergebnisse werden zu artefaktbezogenen Formaten aufgewertet. Dies beseitigt den Zielkonflikt zwischen Produktivität und Konformität und verringert Störungen und Programmrisiken.

Schließlich lässt sich C/C++test CT in heutige CI/CD-Umgebungen und verteilte Entwicklungsworkflows integrieren und bietet Berichtsunterstützung für verschiedene Formate. In Kombination mit einer auf MISRA, AUTOSAR, CERT und JSF abgestimmten statischen Analyse bietet es eine einheitliche Grundlage für die Vollständigkeit der Verifizierung und die Codequalität in DO-178C-Programmen.

Fazit für Luft- und Raumfahrtprogramme

Die Verifizierung nach DO-178C wird zusehends komplizierter, Software spielt eine immer größere Rolle. Die Komplexität steigt, die Zeitpläne werden enger, und Fehler sind sehr teuer. Daher ist jede Effizienzsteigerung wichtig. Die TÜV-Süd-Zertifizierung von GoogleTest in C/C++test CT erhöht die Effizienz: Sie ermöglicht die Nutzung eines vertrauenswürdigen Open-Source-Frameworks in einem validierten Workflow ohne Qualifizierungsaufwand.

Ricardo Camacho, Director of Safety & Security Compliance bei Parasoft
© Parasoft

Bei der Verifizierung geht es nicht darum, Tests zu bestehen, sondern nachzuweisen, dass die Software sicher ist. Mit einer TÜV-Süd-zertifizierten Verifizierungsumgebung und einem geplanten DO-178C-Tool-Qualifizierungskit unterstützt Parasoft Teams in der Luft- und Raumfahrt dabei, diesen Nachweis schneller zu erbringen, ihn effektiver zu verteidigen und ihn vertrauensvoll auf verschiedene Programme zu übertragen.

Der Autor

Ricardo Camacho, Director of Product Strategy, Embedded & Safety Compliance, Parasoft

passend zum Thema

Verifysoft Technology GmbH, Offenburg
Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Lesen Sie mehr zum Thema

Parasoft Parasoft Corp. Software/Entwicklung Echtzeit-/Embedded Software