9 research outputs found
Integrierte modell- und simulationsbasierte Entwicklung zur dynamischen Bewertung automobiler Elektrik/Elektronik-Architekturen
Die Automobilbranche befindet sich seit einigen Jahren im Wandel. Trends wie autonomes Fahren, KonnektivitĂ€t, smarte MobilitĂ€t sowie die Elektrifizierung fĂŒhren zu einer drastischen Erhöhung der FahrzeugkomplexitĂ€t. Diese KomplexitĂ€t muss durch die zugrunde liegende Elektrik/Elektronik-Architektur (E/E-Architektur) beherrscht werden und ruft unmittelbare neue Herausforderungen an den Entwicklungsprozess hervor.
Design-Entscheidungen der E/E-Architektur haben maĂgeblichen Einfluss auf das Verhalten von Fahrzeugfunktionen und umgekehrt. Daher mĂŒssen sie möglichst frĂŒhzeitig analysiert und evaluiert werden, um kostspielige Fehlerkorrekturen in spĂ€ten Entwicklungsphasen zu minimieren. Eine frĂŒhzeitige Einbindung von Simulationsmethoden ist dabei zentral. Die modellbasierte Architekturentwicklung und Simulation sind jedoch weitestgehend getrennt voneinander laufende Prozesse. Dies erschwert eine effiziente Analyse sowie Bewertung der bidirektionalen AbhĂ€ngigkeiten zwischen Architektur und Verhalten.
Um diese SchwĂ€chen zu adressieren, wird in dieser Arbeit eine integrierte Methodik zur modell- und simulationsbasierten Entwicklung von E/E-Architekturen vorgestellt, die sich in drei Teile gliedert. Es werden zunĂ€chst neue Methoden zur architekturzentrierten Verhaltensmodellierung eingefĂŒhrt. Eine nachfolgende Synthese generiert daraus ein Simulationsmodell, welches automatisiert mehrere Abstraktionsebenen der E/E-Architektur miteinander verknĂŒpft und so zu einer ganzheitlichen Betrachtung beitrĂ€gt. Mithilfe des integrierten Ansatzes wird zusĂ€tzlich ein Konzept entwickelt, das es gestattet, mehrere Architekturvarianten automatisiert bzgl. statischen und dynamischen Metriken gegenĂŒberzustellen. Die Konzepte werden in das in der Automobilindustrie etablierte E/E-Architekturwerkzeug PREEvisionÂź integriert, umgesetzt und anhand mehrerer AnwendungsfĂ€lle evaluiert
Functional diversity with asymmetrically located comparison and its use for steering angle acquisition
Elektronik und Dutzende elektronische Steuereinheiten (ECUs) dominieren mittlerweile das Automobil und alle seine Funktionen. Ein Lenkwinkelsensormodul stellt beispielsweise verschiedensten Fahrzeugfunktionen die aktuelle Fahrtrichtung bereit. Fehlerbedingte Ausgabe falscher Winkel fĂŒhrt in einer verknĂŒpften Assistenzfunktion mit eigenstĂ€ndiger Beeinflussung der Quer- und LĂ€ngsdynamik des Fahrzeugs zu einem unvertretbaren Gefahrenrisiko. Zur Risikominderung werden sich bei Versagen gefĂ€hrlich auswirkende FunktionalitĂ€ten gemÀà der Norm ISO 26262 entwickelt. Dazu werden in dieser Norm unter anderem ein geeignetes Sicherheitskonzept und seine Anwendung gefordert. Um die höchste normgemĂ€Ăe SicherheitsintegritĂ€tsstufe ASIL D zu erreichen, ist das altbewĂ€hrte Sicherheitskonzept EGAS in aller Regel zu schwach, weil es nur ein nichtredundantes Rechnersystem (MC) vorsieht.
Unter der Bedingung, ebenfalls mit einem einzigen MC auszukommen, wird zur Lösung dieses Problems ein neuartiges Sicherheitskonzept entwickelt. Es sieht vor, von MC berechnete AusgangsgröĂen funktionell diversitĂ€r auf redundante SensorgröĂen umzurechnen. Die im zweiten Sensorbaustein integrierte und damit asymmetrisch angeordnete Vergleichseinrichtung (AAV) stellt unabhĂ€ngig von MC und fĂŒr jeden einzelnen von MC erarbeiteten Funktions- und Ausgabewert die IntegritĂ€t sowohl der Daten als auch der Rechner- und Sensorhardware sicher. Weiterhin vereinfacht dieser Aufbau den Verifikationsaufwand entscheidend, weil weder Sensoren noch umfangreiche MC-Software, sondern allein die Funktion der weit weniger komplexen AAV verifiziert werden muss. Die BeschrĂ€nkung auf neben MC nur zwei weitere integrierte Schaltungen (ICs) stellt ebenfalls eine fĂŒr die funktionale Sicherheit vorteilhafte Vereinfachung dar, denn zwei gleiche, jedoch funktionell diversitĂ€r erfassende Sensor-ICs verringern die KomplexitĂ€t des neuen Konzepts auf das Notwendigste. Im Gegensatz zum EGAS-Konzept ist allmĂ€hliche Leistungsabsenkung sowie Notlauf einzelner FunktionalitĂ€ten möglich. Dies wird durch von Ende zu Ende abgesicherte Freigabe- bzw. Abschaltbotschaften erreicht, die AAV nach Vergleichen unabhĂ€ngig von MC an die Aktorik sendet. Im konkreten Einsatz zur Lenkwinkelerfassung wird demonstriert, wie bzw. dass die höchsten normativen Anforderungen an die HardwaresicherheitsintegritĂ€t fĂŒr eine ECU mit nur einem Rechnersystem erfĂŒllt werden. AnschlieĂend wird in einer tiefgreifenden und umfassenden Bewertung der SicherheitsintegritĂ€t in Systemen mit dem vorgestellten Sicherheitskonzept verallgemeinernd seine Eignung fĂŒr FahrzeugfunktionalitĂ€ten mit Sicherheitszielen bis ASIL D gezeigt und nachgewiesen
Description, Analysis and Evaluation of a Novel Architecture Concept for Fault-Tolerant Control Systems
Die Frage, wie sicherheitskritische Steuerungen fehlertolerant gestaltet werden können, kann als grundsĂ€tzlich beantwortet angesehen werden (Echtle, 1990). Teils seit Jahrzehnten existieren Verfahren zur Fehlererkennung, Wiederholung misslungener Rechenoperationen oder paralleler ProgrammausfĂŒhrung auf mehreren Rechnern.
Auf ein Gesamtsystem, wie z. B. ein Automobil bezogen, wurde jedoch bislang meist jedes einzelne Teilsystem (Lenkanlage, Bremsen etc.) isoliert betrachtet, was im Ergebnis zu massiver, aus Fehlertoleranzsicht aber entbehrlicher, struktureller Redundanz fĂŒhrte.
Aus dieser Ăberlegung heraus entstand das Konzept der "Entfernten Redundanz", welches es erlaubt, im Gesamtsystem vorhandene Ressourcen unabhĂ€ngig vom Ort ihres Vorhandenseins nutzbar zu machen. Als Folge können Hardwarekomponenten durch auf einem fremden Teilsystem ausgefĂŒhrte Software ersetzt werden, was im Hinblick auf die fĂŒr das Gesamtsystem entstehenden Kosten ein wesentliches Einsparpotenzial darstellt. Aber auch in Bezug auf ein einzelnes Teilsystem ermöglicht es der Einsatz Entfernter Redundanz, aufwĂ€ndige (und darĂŒber hinaus fehleranfĂ€llige) Verkabelungsstrukturen in betrĂ€chtlichem Umfang zu reduzieren.
Die durch Entfernte Redundanz entstehende Systemarchitektur ist dabei nahezu frei skalierbar und nicht etwa auf einen bestimmten Fehlertoleranzgrad eingeschrĂ€nkt. Realisierbar sind dementsprechend neben den beiden in der Praxis hĂ€ufigsten Anforderungen â Ausfallsicherheit und Einfehlertoleranz â beliebige n-von-m-Systeme.The general problem of designing safety-critical control systems in a fault-tolerant manner may be regarded as largely solved (Echtle, 1990). Methods allowing for fault detection, forward/backward error recovery or fault masking using redundant computers partly exist since decades.
As to a complete system, e. g. an automobile, usually each subsystem (steering system, brakes etc.) has, however, been treated and analyzed separately so far, leading to massive, but, from a fault tolerance point of view, superfluous, structural redundancy.
Against this background, the concept of "remote redundancy" has been developed in order to enable the use of computing resources regardless of the location of their presence. As a consequence, formerly necessary hardware components may be replaced by a piece of software running on a different node, leading to a substantial savings potential for the production of the overall system. Even with regard to a single subsystem, remote redundancy allows to reduce complex and error-prone wiring structures to a considerable degree.
The system architecture resulting from the appliance of remote redundancy is highly scalable and not at all restricted to a certain degree of fault tolerance. In addition to the most common requirements of single-fault tolerance and fail-safe behavior, any n-out-of-m-system is feasible
Funktionale Sicherheit nach ISO 26262 in der Konzeptphase der Entwicklung von Elektrik/Elektronik Architekturen von Fahrzeugen
Die Entwicklung von softwarebasierten Fahrzeugsystemen unter Befolgung des neuen Standards IO 26262 erfordert ein gemeinsames VerstĂ€ndnis sowie die Verzahnung des Vorgehens in beiden DomĂ€nen. Ziel dieser Arbeit ist die BerĂŒcksichtigung von Anforderungen der funktionalen Sicherheit wĂ€hrend der Modellierung von Elektrik/Elektronik Architekturen, ihre formale Zuteilung zu Modellinhalten sowie die UnterstĂŒtzung nebenlĂ€ufiger und nachfolgender AktivitĂ€ten der Fahrzeugentwicklung
BeitrĂ€ge zur Automatisierung der frĂŒhen Entwurfsphasen verteilter Systeme
With the rapid increasing speed of electronic devices systems with
highercomplexity, interconnectedness and heterogeneity can be developed.
The developmentof such systems can only be done by teams of specialists.
Atthe same time the development needs to happen in parallel to ensure
anearly time to market. Therefore in the traditional design process the
designis described in form of a written specification of the common system
andpartitioned to several teams. This takes place in early design stages at
highproduct uncertainty. Sub system development assumptions and decisions
aremade without being able to evaluate the effect on the common system.
Thusmany critical errors, especially those, caused by coupling effects, are
discoveredduring system integration at the end of the design process.
Furthermorean optimization of the common system is not possible, because of
the lack ofa common system model. Hence the traditional design process is a
high riskdevelopment process.
In the Mission Level Design approach, an executable specification of
thecommon system instead of a written specification is developed after
conceptdevelopment. These is validated and optimized against the
requirements ofthe common system. The such validated specification of the
coupled systemis then passed on to specialist teams for sub system
development. The subsystems are then integrated. In this manner integration
problems can besolved in the early design stages. Development time and risk
can be reducedsignificantly.
To increase the specification quality and speed while developing common
systemmodels, in the present work, standardized methods for specification
andperformance evaluation of distributed systems and methods for
automatedmapping of function into architecture are developed. This allows
architectureoptimization of the common system in the early design stages.
In addition,methods for transformation of the abstract design into
implementations aredeveloped.Mit der rapide steigenden Geschwindigkeit elektronischer Bauelemente
könnenSysteme mit erhöhter KomplexitÀt, Vernetzung und HeterogenitÀt
entwickeltwerden. Dies hat zur Folge, dass eine Entwicklung nur durch
Teamsvon Spezialisten durchfĂŒhrbar ist. Gleichzeitig muss die Entwicklung
parallelerfolgen, um eine möglichst frĂŒhzeitige ProdukteinfĂŒhrung zu
ermöglichen.Im traditionellen Entwurfsprozess wird daher der Entwurf in
Form einer geschriebenenSpezifikation des Gesamtsystems erfasst und
anschlieĂend aufmehrere Teams aufgeteilt. Dies erfolgt in den frĂŒhen
Entwurfsphasen, welchedurch eine hohe Unsicherheit ĂŒber das Produkt
gekennzeichnet sind. DabeimĂŒssen bei der Entwicklung der Subsysteme
Annahmen und Entscheidungengetroffen werden, ohne den Einfluss auf das
Gesamtsystem abschÀtzenzu können. Kopplungseffekte werden weitestgehend
ignoriert. Viele kritische,insbesondere durch Kopplungseffekte
hervorgerufene Fehler, können folglicherst bei der Integration am Ende der
Entwicklung entdeckt werden. Zudem isteine Optimierung des Gesamtsystems
nicht möglich, da kein Gesamtsystemmodellvorliegt. Der traditionelle
Entwurfsprozess besitzt daher ein hohesEntwicklungsrisiko.
Beim Entwurfsansatz Mission Level Design wird nach dem
Konzeptentwurfanstatt einer geschriebenen eine ausfĂŒhrbare Spezifikation
des Gesamtsystemsentwickelt. Diese wird gegen die Gesamtsystemanforderungen
validiertund optimiert. Daraufhin wird die Spezifikation des gekoppelten
Gesamtsystemsan mehrere Teams zur Entwicklung der Subsysteme
weitergegeben,welche dann wieder zu einem Gesamtsystem integriert werden.
Integrationsproblemewerden so schon in den frĂŒhen Entwurfsphasen gelöst,
was einewesentliche Verringerung von Entwicklungszeit und -risiko bewirkt.
Um die SpezifikationsqualitÀt und -geschwindigkeit bei der Entwicklung
vonGesamtsystemmodellen zu erhöhen, werden im Rahmen der Arbeit
standardisierteMethoden zur Beschreibung und Leistungsbewertung
verteilterSysteme, sowie zum automatisierten Mapping von Funktion in
Architekturentwickelt. Dies ermöglicht bereits in den frĂŒhen Entwurfsphasen
eine Architekturoptimierungdes Gesamtsystems. ZusÀtzlich werden Methoden
zurĂberfĂŒhrung des abstrakten Entwurfs in Implementationen entwickelt