Pattern-Oriented Transformations between Analysis and Design Models (POTAD)

One answer to many current challenges in the electronic domain of automotive development, is a continuous model-based engineering process that integrates models of system and software development. A system model describes by the use of the logical system architecture the func-tions of a vehicle and through the technical system architecture the realising electronics, such as control units, sensors/actuators and data busses. During software development, a software design model for selected functions of the logical system architecture must be constructed with consideration of the technical architecture and further requirements. Current model-based development approaches claim to automate the transition between different development phases by the concept of model transformations. This concept lends itself to generate a skele-ton of the software design model from the system architecture model, thereby automating a part of the software engineering activities. The analysis of this work shows that the collected domain specific requirements, which must be made on a model transformation mechanism for such a scenario, are not fulfilled by current approaches. The approach taken in this work, the Pattern-Oriented Transformations between Analysis and Designmodels (POTAD) uses the system architecture as an analysis model within software development and systemizes the connection with the design model on the basis of analysis and design patterns. By means of this systematisation, a POTAD transformation rule instantiates for an analysis pattern different design patterns under consideration of non-functional requirements and the technical system architecture. At the same time, links between an analysis and design pattern are created, which are used to trace design decision later. The feasibility of the solution is shown by a prototype, which follows the POTAD development process and executes the transformation rules formulated in the POTAD transformation lan-guage.POTAD was verified by several student works based on a case study, which covers typical characteristics of the examined domain. The results of these works showed the suitability and improved the methodology as well as the transformation language and pointed out the limits of the approach taken.Eine Antwort auf viele aktuelle Anforderungen im Elektrik/Elektronik-Bereich der Fahrzeugent-wicklung ist ein durchgängig modellbasierter Entwicklungsprozess, der Modelle der System- und Softwareentwicklung integriert. Ein Systemmodell beschreibt mit der logischen System-architektur die Funktionen eines Fahrzeugs und mit der technischen Systemarchitektur die realisierende Elektrik/Elektronik, wie z. B. Steuergeräte, Sensoren/Aktoren und Bussysteme. Im Rahmen der Softwareentwicklung muss für einzelne Funktionen aus der logischen System-architektur unter Berücksichtigung der technischen Systemarchitektur und weiterer An-forderungen ein Softwaredesignmodell erstellt werden. Aktuelle modellbasierte Entwicklungs-ansätze versprechen mit Hilfe des Konzepts der Modelltransformation den Übergang zwischen Modellen unterschiedlicher Entwicklungsphasen automatisieren zu können. Dieses Konzept bietet sich dazu an, aus einem Systemarchitekturmodell ein Grundgerüst eines Softwaredesign-modells zu erzeugen und damit einen Teil der Softwareentwicklungsaktivitäten zu auto-matisieren.Die Analyse dieser Arbeit zeigt, dass die erarbeiteten domänenspezifischen Anforderungen, die für solch ein Szenario an einen Modelltransformationsmechanismus gestellt werden müssen, durch aktuelle Ansätze nicht vollständig erfüllt werden. Der eigene Ansatz Pattern-Oriented Transformations between Analysis and Designmodels (POTAD) verwendet die logische Systemarchitektur im Rahmen der Softwareentwicklung als Analysemodell und systematisiert dessen Zusammenhang mit dem Designmodell auf der Basis von Analyse- und Designmustern. Für ein im Analysemodell gefundenes Analysemuster instanziiert eine POTAD-Transformationsregel mit Hilfe dieser Systematik in Abhängigkeit nichtfunktionaler An-forderungen und der technischen Systemarchitektur unterschiedliche Designmuster im Design-modell. Gleichzeitig werden Verknüpfungen zwischen den Analyse- und Designmustern angelegt, die zur späteren Verfolgung von Designentscheidungen genutzt werden. Anhand eines dem POTAD-Entwicklungsprozess folgenden Prototyps, der die in der POTAD-Transformationssprache formulierten Regeln ausführen kann und die Verfolgbarkeit werkzeug-seitig unterstützt, wird die Realisierbarkeit des Lösungsansatzes gezeigt. POTAD wurde durch studentische Arbeiten anhand einer Fallstudie überprüft, die typische Eigenschaften der betrachteten Domäne abdeckt. Die Ergebnisse dieser Arbeiten haben die Tauglichkeit von POTAD gezeigt, die Methodik und die Transformationssprache verbessert und Grenzen aufgezeigt

Virtualisierung eingebetteter Echtzeitsysteme im Mehrkernbetrieb zur Partitionierung sicherheitsrelevanter Fahrzeugsoftware

Die Automobilindustrie verzeichnete innerhalb der letzten Jahre einen enormen Zuwachs an neuen elektrischen und elektronischen Fahrzeugfunktionen. Dies führt gleichzeitig zu einer Mehrung der Softwareumfänge in eingebetteten Systemen. Nicht-funktionale Anforderungen wie Sicherheit, Performanz, Verlässlichkeit und Wartbarkeit stellen zusätzliche Herausforderungen an die Entwicklung zukünftiger Fahrzeugsysteme dar. Um die Anzahl der Steuergeräte zu reduzieren, sollen Fahrzeugfunktionen auf gemeinsamen Integrationssteuergeräten konsolidiert werden. Systemvirtualisierung kann hierfür eine zielführende Herangehensweise darstellen, um die Softwaremigration auf Integrationssteuergeräte zu erleichtern und gleichzeitig den geforderten Isolationsansprüchen neuer Sicherheitsstandards gerecht zu werden. In dieser Arbeit wird die Partitionierung sicherheitsrelevanter Fahrzeugfunktionen auf einer gemeinsamen Hardwareplattform fokussiert. Unter Verwendung von Methoden zur Bewertung sozialer Netzwerke wird eine graphenbasierte Herangehensweise vorgestellt, um die Partitionierbarkeit von Softwarenetzen mit sicherheitsrelevanten Anteilen abschätzen zu können. Zur Realisierung der Systempartitionierung wird eine Methodik zur Auswahl der geeignetsten Kernelarchitektur eingeführt. Dabei werden aus gewählten nicht-funktionalen Eigenschaften potentielle technische Lösungskonzepte innerhalb einer Baumstruktur abgeleitet und ingenieurmäßig bewertet. Darauf aufbauend wird ein Hypervisor für eingebettete Echtzeitsysteme der Firma ETAS Ltd. evaluiert. Um die Kosten einer zusätzlichen Hypervisorschicht beurteilen zu können, werden in diesem Rahmen Laufzeitmessungen durchgeführt. Somit werden die Auswirkungen einer zusätzlichen Virtualisierungsschicht auf Fahrzeugsoftwaresysteme zur Erfüllung ausgewählter nicht-funktionaler Eigenschaften aufgezeigt. Die Anbindung virtualisierter Systeme an die Kommunikationsschnittstellen des Hypervisors stellt einen weiteren Schwerpunkt dar. Virtuelle Steuergeräte tauschen sich weiterhin über bereits implementierte Kommunikationskanäle aus und greifen auf gemeinsame Hardwareressourcen zu. Es wird somit ein Konzept eingeführt, um sicherheitsrelevante Anteile des AUTOSAR Microcontroller Abstraction Layers zu entkoppeln. Der Hypervisor selbst wird hierzu an relevanten Stellen erweitert und ein verlässliches Kommunikationskonzept implementiert. Ein Demonstratoraufbau, zur Konsolidierung von produktiver Fahrzeugsoftware auf einer gemeinsamen Hardwareplattform, finalisiert die Arbeit. Hierfür werden unabhängige Softwarestände paravirtualisiert. Als Resümee der Arbeit erhält der Leser sowohl einen technischen Überblick über den Mehrwert als auch der Kosten paravirtualisierter Fahrzeugplattformen, welche auf Kleinststeuergeräten integriert sind.Within the automotive industry, electric and electronic functionality is rapidly rising within the last few years. This fact yields an increase of software functionality of embedded systems within the car. Non-functional requirements like safety, performance, reliability or maintainability represent additional challenges for future vehicle system development. Vehicle functionality is consolidated on common hardware platforms, to reduce the amount of electronic control units. System virtualization can act as a proper approach, to ease the migration of different vehicle applications to a consolidated system and achieve additional demands for functional isolation. Within this thesis, the partitioning of safety-related automotive applications on a common hardware platform is focused. To assess the partitioning of safety-related automotive systems, methods for social network evaluation with a graph-oriented approach are proposed. For realizing the system partitioning, a decision-making model is introduced, which results in the most appropriate kernel architecture. From a chosen set of non-functional requirements, technical solutions are derived and rated from a tree structure. As a result, a hypervisor for embedded real-time systems, supplied by ETAS Ltd., is evaluated. For that purpose, timing measurements are performed to estimate the costs of virtual electronic control units. The impact of an additional virtualization layer for automotive software systems to achieve non-functional requirements is analyzed. A further main focus is the integration of virtualized systems to the communication interfaces of the hypervisor. Virtual ECUs further exchange information over already implemented communication channels and use common hardware ressources. Thus, a concept to decouple the safety-related parts of the AUTOSAR Microcontroller Abstraction Layer is introduced. The hypervisor itself will be enhanced by a reliable communication concept. A demonstrator to consolidate already productive automotive applications on a common hardware platform finalizes the work. Here, independent software parts are paravirtualized. This thesis concludes with a technical overview of the benefits and costs for integrating paravirtualized electronic control units on less capable hardware platforms

Domänenübergreifende Anwendungskommunikation im IP-basierten Fahrzeugbordnetz

In heutigen Premiumfahrzeugen kommunizieren bis zu 80 Steuergeräte über bis zu sechs verschiedene Vernetzungstechnologien. Dabei öffnet sich die Fahrzeugkommunikation nach außen: Das Fahrzeug kommuniziert auch mit dem Smartphone des Fahrers und dem Internet. Für die Kommunikation über verschiedene Anwendungsdomänen im Fahrzeug müssen heute Gateways eingesetzt werden, die zwischen den nicht-kompatiblen Protokollen übersetzen. Deswegen geht der Trend auch in der Fahrzeugkommunikation zum Internet Protocol (IP), das für technologie- und domänenübergreifende Kommunikation entwickelt wurde. Neben dem durchgängigen Protokoll auf der Vermittlungsschicht ist für die effiziente Entwicklung eines komplexen, verteilten Systems wie einem Fahrzeug auch eine entsprechende Kommunikationsmiddleware notwendig. Die Kommunikation in einem Fahrzeug stellt spezielle Anforderungen an die Kommunikationsmiddleware. Zum einen werden in Fahrzeugen unterschiedliche Kommunikationsparadigmen genutzt, beispielsweise signalbasierte und funktionsbasierte Kommunikation. Zum anderen können sich die Kommunikationspartner in einem Fahrzeug hinsichtlich ihrer Ressourcen und ihrer Komplexität erheblich unterscheiden. Keine existierende IP-basierte Kommunikationsmiddleware erfüllt die in der vorliegenden Arbeit identifizierten Anforderungen für den Einsatz im Fahrzeug. Ziel dieser Arbeit ist es daher, eine Kommunikationsmiddleware zu konzipieren, die für den Einsatz im Fahrzeug geeignet ist. Die vorgestellte Lösung sieht mehrere interoperable Ausprägungen der Middleware vor, die den Konflikt zwischen unterschiedlichen funktionalen Anforderungen einerseits und den sehr heterogenen Kommunikationspartnern andererseits auflösen. Ein weiterer elementarer Teil der Lösung ist die Umsetzung der im Fahrzeug erforderlichen Kommunikationsparadigmen. Das funktionsbasierte Paradigma wird durch einfache Remote Procedure Calls implementiert. Das signalbasierte Paradigma wird durch ein darauf aufbauendes Notification-Konzept implementiert. Somit wird eine stärker am aktuellen Informationsbedarf orientierte Umsetzung ermöglicht, als dies im heutigen Fahrzeugbordnetz durch das einfache Verteilen von Daten der Fall ist. Es wird gezeigt, dass sich prinzipiell beide Kommunikationsparadigmen durch einen einzigen Mechanismus abbilden lassen, der abhängig von den beteiligten Ausprägungen mit dynamischen oder nur statischen Daten operiert. Ein skalierbares Marshalling berücksichtigt darüber hinaus die unterschiedlichen Anforderungen der Anwendungen und die unterschiedliche Leistungsfähigkeit der beteiligten Steuergeräte. Hiermit wird die Kommunikation zwischen allen Anwendungen im IP-basierten Fahrzeugbordnetz durchgängig ermöglicht. Auf dieser Basis wird die Lösung um wichtige Systemdienste erweitert. Diese Dienste implementieren Funktionen, die nur in der Kooperation mehrerer Komponenten erbracht werden können oder kapseln allgemeine Kommunikationsfunktionalität zur einfachen Wiederverwendung. Zwei für die Anwendung im Fahrzeug wichtige Systemdienste werden prototypisch dargestellt: Ein Service-Management ermöglicht die Verwaltung von Diensten in unterschiedlichen Zuständen, ein Security-Management bildet Security-Ziele auf die bestmögliche Kombination von implementierten Security-Protokollen der beteiligten Kommunikationspartner ab. Diese Systemdienste sind selbst skalierbar und lassen sich damit an das Konzept unterschiedlicher Ausprägungen der Kommunikationsmiddleware anpassen. Durch Leistungsmessungen an den im Rahmen dieser Arbeit entstandenen Prototypen wird gezeigt, dass die konzipierte Kommunikationsmiddleware für den Einsatz auf eingebetteten Systemen im Fahrzeug geeignet ist. Der Versuchsaufbau orientiert sich an typischen Anwendungsfällen für die Fahrzeugkommunikation und verwendet Automotive-qualifizierte, eingebettete Rechenplattformen. Insbesondere wird nachgewiesen, dass mit dem beschriebenen Konzept auch leistungsschwache Steuergeräte ins System eingebunden werden können. Die IP-basierte Kommunikationsmiddleware ist damit auf allen relevanten Steuergeräten im Fahrzeug durchgängig einsetzbar.In today's premium cars, up to 80 electronic control units communicate over up to six networking technologies. Additionally, vehicle communication opens to off-board: the car connects to the driver's smartphone and the Internet. The communication between different application domains within the vehicle builds on additional hardware components as application layer gateways to translate between the incompatible protocols. Thus, also for in-car communication, the trend goes towards networking over the Internet Protocol (IP) that has been developed for being independent of technologies and application domains. Besides the universal protocol at the network layer, an efficient development of a complex distributed system requires communication middleware. In-car communication makes special demands on the communication middleware. On the one hand, a variety of communication paradigms are used for in-car communication, such as signal-based and function-based communication. On the other hand, the communication partners differ considerably in terms of computing resources and complexity of the hosted applications. No existing IP-based middleware fulfils the identified requirements for in-car communication. The objective of this research is to design a middleware that is suitable for IP-based in-car communication. The presented solution provides multiple interoperable specifications of the middleware which resolves the conflict between different functional requirements on the one hand and the very heterogeneous communication partners on the other hand. Another fundamental part of the solution is the implementation of required communication paradigms. The function-based paradigm is implemented by simple remote procedure calls. The signal-based paradigm is implemented by a notification concept that allows for a more demand-oriented communication compared to today's practice. It is shown, how both communication paradigms can be implemented through a single mechanism that operates on dynamic or static data -- depending on the involved middleware specifications. A scalable marshalling considers the different requirements and performance levels of the participating electronic control units. Scalable specifications of the communication middleware enable seamless operations on restricted embedded and more powerful platforms. On this basis, the solution is enhanced with important system services. Such services implement functionality that can only be provided in cooperation of multiple components or that encapsulate general communication functionality for easy reuse. Two essential services are prototyped: a service management allows the management of services in different operational states. A security management matches security objectives in the best possible combination of implemented security protocols that two given communication partners have in common. These system services are designed to be scalable and can therefore be adapted to the concept of different specifications of the communication middleware. Performance measurements using the implemented prototypes show that the designed communication middleware is suitable for the application on embedded systems in the vehicle. The experimental set-up is based on typical use cases for in-car communication and uses automotive-qualified, embedded computing platforms. In particular, the set-up practically demonstrates that the concept also incorporates low-performance electronic control units into the system. The IP-based communication middleware enables communication between all applications in the IP-based in-car communication system

Domänenübergreifende Anwendungskommunikation im IP-basierten Fahrzeugbordnetz

In heutigen Premiumfahrzeugen kommunizieren bis zu 80 Steuergeräte über bis zu sechs verschiedene Vernetzungstechnologien. Dabei öffnet sich die Fahrzeugkommunikation nach außen: Das Fahrzeug kommuniziert auch mit dem Smartphone des Fahrers und dem Internet. Für die Kommunikation über verschiedene Anwendungsdomänen im Fahrzeug müssen heute Gateways eingesetzt werden, die zwischen den nicht-kompatiblen Protokollen übersetzen. Deswegen geht der Trend auch in der Fahrzeugkommunikation zum Internet Protocol (IP), das für technologie- und domänenübergreifende Kommunikation entwickelt wurde. Neben dem durchgängigen Protokoll auf der Vermittlungsschicht ist für die effiziente Entwicklung eines komplexen, verteilten Systems wie einem Fahrzeug auch eine entsprechende Kommunikationsmiddleware notwendig. Die Kommunikation in einem Fahrzeug stellt spezielle Anforderungen an die Kommunikationsmiddleware. Zum einen werden in Fahrzeugen unterschiedliche Kommunikationsparadigmen genutzt, beispielsweise signalbasierte und funktionsbasierte Kommunikation. Zum anderen können sich die Kommunikationspartner in einem Fahrzeug hinsichtlich ihrer Ressourcen und ihrer Komplexität erheblich unterscheiden. Keine existierende IP-basierte Kommunikationsmiddleware erfüllt die in der vorliegenden Arbeit identifizierten Anforderungen für den Einsatz im Fahrzeug. Ziel dieser Arbeit ist es daher, eine Kommunikationsmiddleware zu konzipieren, die für den Einsatz im Fahrzeug geeignet ist. Die vorgestellte Lösung sieht mehrere interoperable Ausprägungen der Middleware vor, die den Konflikt zwischen unterschiedlichen funktionalen Anforderungen einerseits und den sehr heterogenen Kommunikationspartnern andererseits auflösen. Ein weiterer elementarer Teil der Lösung ist die Umsetzung der im Fahrzeug erforderlichen Kommunikationsparadigmen. Das funktionsbasierte Paradigma wird durch einfache Remote Procedure Calls implementiert. Das signalbasierte Paradigma wird durch ein darauf aufbauendes Notification-Konzept implementiert. Somit wird eine stärker am aktuellen Informationsbedarf orientierte Umsetzung ermöglicht, als dies im heutigen Fahrzeugbordnetz durch das einfache Verteilen von Daten der Fall ist. Es wird gezeigt, dass sich prinzipiell beide Kommunikationsparadigmen durch einen einzigen Mechanismus abbilden lassen, der abhängig von den beteiligten Ausprägungen mit dynamischen oder nur statischen Daten operiert. Ein skalierbares Marshalling berücksichtigt darüber hinaus die unterschiedlichen Anforderungen der Anwendungen und die unterschiedliche Leistungsfähigkeit der beteiligten Steuergeräte. Hiermit wird die Kommunikation zwischen allen Anwendungen im IP-basierten Fahrzeugbordnetz durchgängig ermöglicht. Auf dieser Basis wird die Lösung um wichtige Systemdienste erweitert. Diese Dienste implementieren Funktionen, die nur in der Kooperation mehrerer Komponenten erbracht werden können oder kapseln allgemeine Kommunikationsfunktionalität zur einfachen Wiederverwendung. Zwei für die Anwendung im Fahrzeug wichtige Systemdienste werden prototypisch dargestellt: Ein Service-Management ermöglicht die Verwaltung von Diensten in unterschiedlichen Zuständen, ein Security-Management bildet Security-Ziele auf die bestmögliche Kombination von implementierten Security-Protokollen der beteiligten Kommunikationspartner ab. Diese Systemdienste sind selbst skalierbar und lassen sich damit an das Konzept unterschiedlicher Ausprägungen der Kommunikationsmiddleware anpassen. Durch Leistungsmessungen an den im Rahmen dieser Arbeit entstandenen Prototypen wird gezeigt, dass die konzipierte Kommunikationsmiddleware für den Einsatz auf eingebetteten Systemen im Fahrzeug geeignet ist. Der Versuchsaufbau orientiert sich an typischen Anwendungsfällen für die Fahrzeugkommunikation und verwendet Automotive-qualifizierte, eingebettete Rechenplattformen. Insbesondere wird nachgewiesen, dass mit dem beschriebenen Konzept auch leistungsschwache Steuergeräte ins System eingebunden werden können. Die IP-basierte Kommunikationsmiddleware ist damit auf allen relevanten Steuergeräten im Fahrzeug durchgängig einsetzbar.In today's premium cars, up to 80 electronic control units communicate over up to six networking technologies. Additionally, vehicle communication opens to off-board: the car connects to the driver's smartphone and the Internet. The communication between different application domains within the vehicle builds on additional hardware components as application layer gateways to translate between the incompatible protocols. Thus, also for in-car communication, the trend goes towards networking over the Internet Protocol (IP) that has been developed for being independent of technologies and application domains. Besides the universal protocol at the network layer, an efficient development of a complex distributed system requires communication middleware. In-car communication makes special demands on the communication middleware. On the one hand, a variety of communication paradigms are used for in-car communication, such as signal-based and function-based communication. On the other hand, the communication partners differ considerably in terms of computing resources and complexity of the hosted applications. No existing IP-based middleware fulfils the identified requirements for in-car communication. The objective of this research is to design a middleware that is suitable for IP-based in-car communication. The presented solution provides multiple interoperable specifications of the middleware which resolves the conflict between different functional requirements on the one hand and the very heterogeneous communication partners on the other hand. Another fundamental part of the solution is the implementation of required communication paradigms. The function-based paradigm is implemented by simple remote procedure calls. The signal-based paradigm is implemented by a notification concept that allows for a more demand-oriented communication compared to today's practice. It is shown, how both communication paradigms can be implemented through a single mechanism that operates on dynamic or static data -- depending on the involved middleware specifications. A scalable marshalling considers the different requirements and performance levels of the participating electronic control units. Scalable specifications of the communication middleware enable seamless operations on restricted embedded and more powerful platforms. On this basis, the solution is enhanced with important system services. Such services implement functionality that can only be provided in cooperation of multiple components or that encapsulate general communication functionality for easy reuse. Two essential services are prototyped: a service management allows the management of services in different operational states. A security management matches security objectives in the best possible combination of implemented security protocols that two given communication partners have in common. These system services are designed to be scalable and can therefore be adapted to the concept of different specifications of the communication middleware. Performance measurements using the implemented prototypes show that the designed communication middleware is suitable for the application on embedded systems in the vehicle. The experimental set-up is based on typical use cases for in-car communication and uses automotive-qualified, embedded computing platforms. In particular, the set-up practically demonstrates that the concept also incorporates low-performance electronic control units into the system. The IP-based communication middleware enables communication between all applications in the IP-based in-car communication system

A comprehensive description of a model-based, continous development process for AUTOSAR systems with integrated quality assurance

Der AUTOSAR-Standard definiert neben einer durchgängig werkzeuggestützten und modellbasierten Methodik zur Entwicklung von Steuergeräte-Software eine technische Infrastruktur als standardisierte Steuergeräte-Basissoftware zur Implementierung dieser Systeme im Automobil. Die wesentlichen Herausforderungen in der Entwicklung automotiver Systeme ergeben sich dabei nicht nur aus der stetig steigenden Menge korrekt umzusetzender Funktionalität, sondern auch aus der wachsenden Anzahl zusätzlich zu erfüllender Qualitätsanforderungen, wie z.B. Sicherheit, Performanz oder Kosten. Die Integration von Ansätzen zur frühzeitigen, Entwicklungsphasen begleitenden Überprüfung von Korrektheits- und Qualitätskriterien kann dabei maßgeblich zur Beherrschbarkeit der Komplexität dieser Systeme beitragen. Es wird ein entsprechend durchgängig werkzeuggestützter und modellbasierter Entwicklungsprozess, basierend auf dem V-Modell sowie dessen Integration in die AUTOSAR-Methodik definiert. Neben der Überprüfung der funktionalen Korrektheit durch systematische Testverfahren sieht das erweiterte Prozessmodell die Bewertung beliebiger Qualitätskriterien für das zu entwickelnde System vor. Es wird beschrieben, wie insbesondere im AUTOSAR-Kontext der Entwurf der Systemarchitektur die hierfür entscheidende Design-Phase darstellt und als Grundlage für Qualitätsabschätzungen durch Architektur-Evaluation dienen kann. Die Vorgehensweise in den einzelnen Entwicklungsschritten wird detailliert anhand einer umfangreichen, vollständig AUTOSAR-konformen Fallstudie, bestehend aus einem vereinfachten PKW-Komfortsystem, demonstriert. Die durchgängige Toolkette umfasst alle Phasen von der Anforderungsspezifikation bis zur Implementierung auf einem prototypischen Hardware-Demonstrator bestehend aus vier über CAN vernetzten Steuergeräten und HIL-Schnittstellen für die Testdurchführung. Es wird auf ausgewählte Implementierungsdetails, notwendige Workarounds und Besonderheiten der prototypischen Umsetzung eingegangen.The AUTOSAR standard defines a seamless tool supported and model based methodology for ECU software design and engineering. Furthermore, the standard specifies a technical infrastructure by means of standardized basic software modules for ECU networks, serving as a uniform implementation platform for AUTOSAR systems. The major challenges in automotive systems development not only arise as a result of the contiuously growing amount of functionality to be realized correctly, but also from the increasing number of quality requirements to be taken into account, e.g. safety, performance, and costs. The integration of approaches for early checking of correctness and quality criteria accompanying the different development phases makes a significant contribution towards coping with the complexity of such systems. We describe such a model based development process and a corresponding tool chain based on the V-modell and its embedding into the AUTOSAR methodology. For the validation of functional correctness systematic testing approaches are applied, and for quality criteria according evaluation methods are used. We discuss that especially in the context of AUTOSAR, the phase of architectural system design is crucial for the quality properties of the system under development, and to what extent architecture evaluation can be used for quality estimation. The practices in the different development steps are illustrated in detail by means of a comprehensive, AUTOSAR compliant case study, i.e. a body comfort system. The tool chain proposed comprises all development stages, starting from the requirements specification, and concluding with the system implementation on a hardware demonstrator prototype. The demonstrator consists of ECUs coupled via CAN, as well as HIL interfaces for test case applications. We give detailled insights in selected impl. issues, workarounds required, and the configuration steps needed for the AUTOSAR operating system. A discussion of the pro's and con's regarding the potential of AUTOSAR concludes

Methoden und Ansätze für die Entwicklung und den Test prädiktiver Fahrzeugregelungsfunktionen

In dieser Arbeit werden das aktuelle Vorgehen und die Prozesse in der automobilen Produktentwicklung sowie die etablierten Methoden für die Entwicklung, Verifikation und Validierung von Fahrzeugregelungsfunktionen analysiert. Dem wird eine Taxonomie und Analyse aktueller Serienanwendungen und Forschungskonzepte gegenüber gestellt. Ziel ist es, durch eine ganzheitliche Betrachtung die aktuellen Rahmenbedingungen und Herausforderungen bei der Entwicklung innovativer Funktionen für die Automatisierung der Fahraufgabe zu identifizieren. Auf dieser Grundlage wird ein neuartiges Konzept für die Entwicklung und den Test prädiktiver Fahrzeugregelungsfunktionen erarbeitet. Das Kernstück des entwickelten Konzepts stellt die Reactive-Replay Methode dar. Sie ermöglicht eine enge Verzahnung von Erprobungsfahrten in der realen Welt mit der Ausführung der entwickelten Fahrzeugfunktion innerhalb einer Simulationsumgebung. Die adaptive Wiedergabe von während der Erprobung aufgezeichneten Daten des fahrzeuginternen Kommunikationsnetzes ermöglicht einen nahtlosen Übergang von der realen Welt im Fahrzeug in die Simulation im Büro. Auf diese Weise können in der Realität aufgetretene Situationen und Szenarien detailliert und unter Laborbedingungen untersucht und für Tests wiederverwendet werden. Darüber hinaus ermöglicht dieser Ansatz eine effiziente Generierung valider Testszenarien, die durch ihre Vielfältigkeit und Varianz zu einer verbesserten Testabdeckung beitragen. Um die entwickelte Methode systematisch in den produktiven Alltag der Funktionsentwicklung zu integrieren, wird ein schlankes, iteratives Vorgehen zur prozessualen Integration der Reactive-Replay Methode vorgeschlagen. Die Verifikation in der Simulationsumgebung wird so mit der Validierung in der Fahrzeugerprobung gekoppelt. Dies unterstützt die frühzeitige und durchgängige Qualitätsbewertung der entwickelten Fahrzeugfunktion. Weiter wird eine Methode zur kontinuierlichen Überprüfung von Anforderungen während der Simulationsausführung untersucht. Ein Ansatz zur effizienten Auswahl von Testszenarien auf Basis der innerhalb eines Szenarios erreichten Parameterüberdeckung rundet die Arbeit ab

Dynamische Rekonfigurationsmethodik für zuverlässige, echtzeitfähige Eingebettete Systeme in Automotive

Currently, dynamically reconfigurable systems are not used in automotive and there is no process model for their development. The focus of this dissertation is to explore methods and approaches for the development of such systems. One major architectural driver is autonomous driving, another is functional high integration on central computing platforms. Taking these into account, dynamic reconfiguration is classified and explored

Diagnosis of automotive electronic systems by structure analyses

In heutigen Fahrzeugsystemen ist ein großer Anteil der Funktionalität auf den Wunsch nach hoher Sicherheit, großem Komfort und der Reduktion der Schadstoffemissionen zurückzuführen. Diese Funktionen werden durch den Einsatz von immer mehr Elektrik und Elektronik realisiert, die im Rahmen der Fahrzeugdiagnose in der Werkstatt aufgrund der unübersehbaren Anzahl von Abhängigkeiten und Varianten nur schwer beherrscht werden können. Um diesen Problemen zu begegnen, werden in der Arbeit unterschiedliche Diagnoseverfahren miteinander verglichen und unter den Aspekten der effizienten Einbindung in den Entwicklungsprozess bei insgesamt guten Diagnoseergebnissen und Beherrschung der Variantenvielfalt bewertet. Dabei wurde ermittelt, dass kein bisher bekanntes Verfahren direkt diese Anforderungen erfüllt, und ein neuer Ansatz gefunden werden musste. Dieses Problem wurde gelöst, indem aus der Kombination der erkannten Stärken bekannter Diagnoseverfahren ein passendes neues Konzept entwickelt wurde. Für die neue Diagnoselösung wurde die bei probabilistischen Netzwerken verwendete Systemstruktur als wesentliches Element verwendet. Der wechselseitige Einfluss zwischen Funktionen und Steuergeräten wird systematisch betrachtet, indem die Fehlerfortpflanzungsmöglichkeiten direkt aus dem Entwicklungsprozess bestimmt werden. Dabei werden neben den üblicherweise für die Diagnose verwendeten elektrischen Abhängigkeiten auch logische Beziehungen in die Diagnoselösung einbezogen, die sich aus der Software und der Kommunikation der Steuergeräte untereinander ergeben. Wichtiger Aspekt der Betrachtungen ist die Frage "Wie hängen die Systemkomponenten voneinander ab?" um an sich völlig unterschiedliche Teilsysteme miteinander zu verbinden und diese Informationen für die Diagnose nutzbar zu machen. Gleichzeitig ist die praxisnahe Definition einer Anbindung an den Softwareentwicklungsprozess für eingebettete Systeme wesentlicher Bestandteil der Arbeit.In todays automotive systems a high percentage of the functionality is a result of the customers wish for security, comfort and reduced emissions. These functions are realized by more and more electric and electronic components. Existing garages' diagnostic systems insufficiently deal with the resulting systems because of the innumerable dependencies and variants. In order to address this problem, this paper compares different diagnostic approaches concerning their efficiency of the integration into the development process, diagnosis quality and variant management. As a result it is stated that no well-known method completely meets these requirements. Therefore a new approach has been developed consisting of a combination of the identified advantages of the known methods. As a basic element the new diagnostic system includes the system structure used by probabilistic networks. The reciprocal influence between functions and electronic control units is orderly addressed by deduction of the paths of error propagation from development models. Additionally to the derived electrical structures commonly used by diagnostic systems also logic dependencies are integrated into the diagnostic system. These logic dependencies are derived from software functions and communication links between electronic control units. In order to combine physically different parts of the system, an important question is "What are the system components interdependencies?" By answering this question, these dependencies can be used by a diagnosis system as part of a combined system structure. At the same time the practical definition of a connection to the development process for embedded systems is an essential part of the work

Entwurfsoptimierung von selbst-adaptiven Wartungsmechanismen für software-intensive technische Systeme

Diese Arbeit stellt neuartige Konzepte zur effizienten Entscheidungsunterstützung in der Rekonfiguration software-intensiver technischer Systeme mit limitiertem Wartungszugriff vor. Entgegen rein redundanzorientierter Ansätze, basiert die verfolgte Methodik auf der prädiktiven Vorausberechnung adäquater Konfigurationsalternativen im relevanten Lösungsraum. Das Wissen über Konfigurationsbeziehung wird frühzeitig manifestiert und zur autarken kosteneffizienten Abwägung der Alternativen eingesetzt