9 research outputs found

    Integrierte modell- und simulationsbasierte Entwicklung zur dynamischen Bewertung automobiler Elektrik/Elektronik-Architekturen

    Get PDF
    Die Automobilbranche befindet sich seit einigen Jahren im Wandel. Trends wie autonomes Fahren, KonnektivitĂ€t, smarte MobilitĂ€t sowie die Elektrifizierung fĂŒhren zu einer drastischen Erhöhung der FahrzeugkomplexitĂ€t. Diese KomplexitĂ€t muss durch die zugrunde liegende Elektrik/Elektronik-Architektur (E/E-Architektur) beherrscht werden und ruft unmittelbare neue Herausforderungen an den Entwicklungsprozess hervor. Design-Entscheidungen der E/E-Architektur haben maßgeblichen Einfluss auf das Verhalten von Fahrzeugfunktionen und umgekehrt. Daher mĂŒssen sie möglichst frĂŒhzeitig analysiert und evaluiert werden, um kostspielige Fehlerkorrekturen in spĂ€ten Entwicklungsphasen zu minimieren. Eine frĂŒhzeitige Einbindung von Simulationsmethoden ist dabei zentral. Die modellbasierte Architekturentwicklung und Simulation sind jedoch weitestgehend getrennt voneinander laufende Prozesse. Dies erschwert eine effiziente Analyse sowie Bewertung der bidirektionalen AbhĂ€ngigkeiten zwischen Architektur und Verhalten. Um diese SchwĂ€chen zu adressieren, wird in dieser Arbeit eine integrierte Methodik zur modell- und simulationsbasierten Entwicklung von E/E-Architekturen vorgestellt, die sich in drei Teile gliedert. Es werden zunĂ€chst neue Methoden zur architekturzentrierten Verhaltensmodellierung eingefĂŒhrt. Eine nachfolgende Synthese generiert daraus ein Simulationsmodell, welches automatisiert mehrere Abstraktionsebenen der E/E-Architektur miteinander verknĂŒpft und so zu einer ganzheitlichen Betrachtung beitrĂ€gt. Mithilfe des integrierten Ansatzes wird zusĂ€tzlich ein Konzept entwickelt, das es gestattet, mehrere Architekturvarianten automatisiert bzgl. statischen und dynamischen Metriken gegenĂŒberzustellen. Die Konzepte werden in das in der Automobilindustrie etablierte E/E-Architekturwerkzeug PREEvisionÂź integriert, umgesetzt und anhand mehrerer AnwendungsfĂ€lle evaluiert

    Functional diversity with asymmetrically located comparison and its use for steering angle acquisition

    Get PDF
    Elektronik und Dutzende elektronische Steuereinheiten (ECUs) dominieren mittlerweile das Automobil und alle seine Funktionen. Ein Lenkwinkelsensormodul stellt beispielsweise verschiedensten Fahrzeugfunktionen die aktuelle Fahrtrichtung bereit. Fehlerbedingte Ausgabe falscher Winkel fĂŒhrt in einer verknĂŒpften Assistenzfunktion mit eigenstĂ€ndiger Beeinflussung der Quer- und LĂ€ngsdynamik des Fahrzeugs zu einem unvertretbaren Gefahrenrisiko. Zur Risikominderung werden sich bei Versagen gefĂ€hrlich auswirkende FunktionalitĂ€ten gemĂ€ĂŸ der Norm ISO 26262 entwickelt. Dazu werden in dieser Norm unter anderem ein geeignetes Sicherheitskonzept und seine Anwendung gefordert. Um die höchste normgemĂ€ĂŸe SicherheitsintegritĂ€tsstufe ASIL D zu erreichen, ist das altbewĂ€hrte Sicherheitskonzept EGAS in aller Regel zu schwach, weil es nur ein nichtredundantes Rechnersystem (MC) vorsieht. Unter der Bedingung, ebenfalls mit einem einzigen MC auszukommen, wird zur Lösung dieses Problems ein neuartiges Sicherheitskonzept entwickelt. Es sieht vor, von MC berechnete AusgangsgrĂ¶ĂŸen funktionell diversitĂ€r auf redundante SensorgrĂ¶ĂŸen umzurechnen. Die im zweiten Sensorbaustein integrierte und damit asymmetrisch angeordnete Vergleichseinrichtung (AAV) stellt unabhĂ€ngig von MC und fĂŒr jeden einzelnen von MC erarbeiteten Funktions- und Ausgabewert die IntegritĂ€t sowohl der Daten als auch der Rechner- und Sensorhardware sicher. Weiterhin vereinfacht dieser Aufbau den Verifikationsaufwand entscheidend, weil weder Sensoren noch umfangreiche MC-Software, sondern allein die Funktion der weit weniger komplexen AAV verifiziert werden muss. Die BeschrĂ€nkung auf neben MC nur zwei weitere integrierte Schaltungen (ICs) stellt ebenfalls eine fĂŒr die funktionale Sicherheit vorteilhafte Vereinfachung dar, denn zwei gleiche, jedoch funktionell diversitĂ€r erfassende Sensor-ICs verringern die KomplexitĂ€t des neuen Konzepts auf das Notwendigste. Im Gegensatz zum EGAS-Konzept ist allmĂ€hliche Leistungsabsenkung sowie Notlauf einzelner FunktionalitĂ€ten möglich. Dies wird durch von Ende zu Ende abgesicherte Freigabe- bzw. Abschaltbotschaften erreicht, die AAV nach Vergleichen unabhĂ€ngig von MC an die Aktorik sendet. Im konkreten Einsatz zur Lenkwinkelerfassung wird demonstriert, wie bzw. dass die höchsten normativen Anforderungen an die HardwaresicherheitsintegritĂ€t fĂŒr eine ECU mit nur einem Rechnersystem erfĂŒllt werden. Anschließend wird in einer tiefgreifenden und umfassenden Bewertung der SicherheitsintegritĂ€t in Systemen mit dem vorgestellten Sicherheitskonzept verallgemeinernd seine Eignung fĂŒr FahrzeugfunktionalitĂ€ten mit Sicherheitszielen bis ASIL D gezeigt und nachgewiesen

    Description, Analysis and Evaluation of a Novel Architecture Concept for Fault-Tolerant Control Systems

    Get PDF
    Die Frage, wie sicherheitskritische Steuerungen fehlertolerant gestaltet werden können, kann als grundsĂ€tzlich beantwortet angesehen werden (Echtle, 1990). Teils seit Jahrzehnten existieren Verfahren zur Fehlererkennung, Wiederholung misslungener Rechenoperationen oder paralleler ProgrammausfĂŒhrung auf mehreren Rechnern. Auf ein Gesamtsystem, wie z. B. ein Automobil bezogen, wurde jedoch bislang meist jedes einzelne Teilsystem (Lenkanlage, Bremsen etc.) isoliert betrachtet, was im Ergebnis zu massiver, aus Fehlertoleranzsicht aber entbehrlicher, struktureller Redundanz fĂŒhrte. Aus dieser Überlegung heraus entstand das Konzept der "Entfernten Redundanz", welches es erlaubt, im Gesamtsystem vorhandene Ressourcen unabhĂ€ngig vom Ort ihres Vorhandenseins nutzbar zu machen. Als Folge können Hardwarekomponenten durch auf einem fremden Teilsystem ausgefĂŒhrte Software ersetzt werden, was im Hinblick auf die fĂŒr das Gesamtsystem entstehenden Kosten ein wesentliches Einsparpotenzial darstellt. Aber auch in Bezug auf ein einzelnes Teilsystem ermöglicht es der Einsatz Entfernter Redundanz, aufwĂ€ndige (und darĂŒber hinaus fehleranfĂ€llige) Verkabelungsstrukturen in betrĂ€chtlichem Umfang zu reduzieren. Die durch Entfernte Redundanz entstehende Systemarchitektur ist dabei nahezu frei skalierbar und nicht etwa auf einen bestimmten Fehlertoleranzgrad eingeschrĂ€nkt. Realisierbar sind dementsprechend neben den beiden in der Praxis hĂ€ufigsten Anforderungen − Ausfallsicherheit und Einfehlertoleranz − beliebige n-von-m-Systeme.The general problem of designing safety-critical control systems in a fault-tolerant manner may be regarded as largely solved (Echtle, 1990). Methods allowing for fault detection, forward/backward error recovery or fault masking using redundant computers partly exist since decades. As to a complete system, e. g. an automobile, usually each subsystem (steering system, brakes etc.) has, however, been treated and analyzed separately so far, leading to massive, but, from a fault tolerance point of view, superfluous, structural redundancy. Against this background, the concept of "remote redundancy" has been developed in order to enable the use of computing resources regardless of the location of their presence. As a consequence, formerly necessary hardware components may be replaced by a piece of software running on a different node, leading to a substantial savings potential for the production of the overall system. Even with regard to a single subsystem, remote redundancy allows to reduce complex and error-prone wiring structures to a considerable degree. The system architecture resulting from the appliance of remote redundancy is highly scalable and not at all restricted to a certain degree of fault tolerance. In addition to the most common requirements of single-fault tolerance and fail-safe behavior, any n-out-of-m-system is feasible

    Funktionale Sicherheit nach ISO 26262 in der Konzeptphase der Entwicklung von Elektrik/Elektronik Architekturen von Fahrzeugen

    Get PDF
    Die Entwicklung von softwarebasierten Fahrzeugsystemen unter Befolgung des neuen Standards IO 26262 erfordert ein gemeinsames VerstĂ€ndnis sowie die Verzahnung des Vorgehens in beiden DomĂ€nen. Ziel dieser Arbeit ist die BerĂŒcksichtigung von Anforderungen der funktionalen Sicherheit wĂ€hrend der Modellierung von Elektrik/Elektronik Architekturen, ihre formale Zuteilung zu Modellinhalten sowie die UnterstĂŒtzung nebenlĂ€ufiger und nachfolgender AktivitĂ€ten der Fahrzeugentwicklung

    BeitrĂ€ge zur Automatisierung der frĂŒhen Entwurfsphasen verteilter Systeme

    Get PDF
    With the rapid increasing speed of electronic devices systems with highercomplexity, interconnectedness and heterogeneity can be developed. The developmentof such systems can only be done by teams of specialists. Atthe same time the development needs to happen in parallel to ensure anearly time to market. Therefore in the traditional design process the designis described in form of a written specification of the common system andpartitioned to several teams. This takes place in early design stages at highproduct uncertainty. Sub system development assumptions and decisions aremade without being able to evaluate the effect on the common system. Thusmany critical errors, especially those, caused by coupling effects, are discoveredduring system integration at the end of the design process. Furthermorean optimization of the common system is not possible, because of the lack ofa common system model. Hence the traditional design process is a high riskdevelopment process. In the Mission Level Design approach, an executable specification of thecommon system instead of a written specification is developed after conceptdevelopment. These is validated and optimized against the requirements ofthe common system. The such validated specification of the coupled systemis then passed on to specialist teams for sub system development. The subsystems are then integrated. In this manner integration problems can besolved in the early design stages. Development time and risk can be reducedsignificantly. To increase the specification quality and speed while developing common systemmodels, in the present work, standardized methods for specification andperformance evaluation of distributed systems and methods for automatedmapping of function into architecture are developed. This allows architectureoptimization of the common system in the early design stages. In addition,methods for transformation of the abstract design into implementations aredeveloped.Mit der rapide steigenden Geschwindigkeit elektronischer Bauelemente könnenSysteme mit erhöhter KomplexitĂ€t, Vernetzung und HeterogenitĂ€t entwickeltwerden. Dies hat zur Folge, dass eine Entwicklung nur durch Teamsvon Spezialisten durchfĂŒhrbar ist. Gleichzeitig muss die Entwicklung parallelerfolgen, um eine möglichst frĂŒhzeitige ProdukteinfĂŒhrung zu ermöglichen.Im traditionellen Entwurfsprozess wird daher der Entwurf in Form einer geschriebenenSpezifikation des Gesamtsystems erfasst und anschließend aufmehrere Teams aufgeteilt. Dies erfolgt in den frĂŒhen Entwurfsphasen, welchedurch eine hohe Unsicherheit ĂŒber das Produkt gekennzeichnet sind. DabeimĂŒssen bei der Entwicklung der Subsysteme Annahmen und Entscheidungengetroffen werden, ohne den Einfluss auf das Gesamtsystem abschĂ€tzenzu können. Kopplungseffekte werden weitestgehend ignoriert. Viele kritische,insbesondere durch Kopplungseffekte hervorgerufene Fehler, können folglicherst bei der Integration am Ende der Entwicklung entdeckt werden. Zudem isteine Optimierung des Gesamtsystems nicht möglich, da kein Gesamtsystemmodellvorliegt. Der traditionelle Entwurfsprozess besitzt daher ein hohesEntwicklungsrisiko. Beim Entwurfsansatz Mission Level Design wird nach dem Konzeptentwurfanstatt einer geschriebenen eine ausfĂŒhrbare Spezifikation des Gesamtsystemsentwickelt. Diese wird gegen die Gesamtsystemanforderungen validiertund optimiert. Daraufhin wird die Spezifikation des gekoppelten Gesamtsystemsan mehrere Teams zur Entwicklung der Subsysteme weitergegeben,welche dann wieder zu einem Gesamtsystem integriert werden. Integrationsproblemewerden so schon in den frĂŒhen Entwurfsphasen gelöst, was einewesentliche Verringerung von Entwicklungszeit und -risiko bewirkt. Um die SpezifikationsqualitĂ€t und -geschwindigkeit bei der Entwicklung vonGesamtsystemmodellen zu erhöhen, werden im Rahmen der Arbeit standardisierteMethoden zur Beschreibung und Leistungsbewertung verteilterSysteme, sowie zum automatisierten Mapping von Funktion in Architekturentwickelt. Dies ermöglicht bereits in den frĂŒhen Entwurfsphasen eine Architekturoptimierungdes Gesamtsystems. ZusĂ€tzlich werden Methoden zurÜberfĂŒhrung des abstrakten Entwurfs in Implementationen entwickelt

    Fehlertoleranz gegenĂŒber Entwurfsfehlern

    No full text
    corecore