Eine kunden- und lebenszyklusorientierte Produktfamilienabsicherung für die Automobilindustrie

In der vorliegenden Arbeit wird eine automotive-geeignete Absicherungsstrategie entwickelt, die erstmals den kompletten Variantenumfang eines massengefertigten eingebetteten Systems inklusive der Versionierung dessen Einzelkomponenten im Lebenszyklus systematisch betrachten und empirisch bewerten kann. Die Realisierung der Strategie bietet statistisch insbesondere Vorteile durch die Steigerung der vom Kunden wahrgenommenen Qualität aufgrund einer optimierten Absicherung von Systemvarianten

Hardwaregestützte Energieoptimierung von Elektrik/Elektronik-Architekturen durch adaptive Abschaltung von verteilten, eingebetteten Systemen

Mit der steigenden Bedeutung des Kraftstoffverbrauchs von Fahrzeugen geriet in den letzten Jahren auch die elektrische Leistungsaufnahme eines Fahrzeugs in den Blickpunkt. Diese ist durch den Zuwachs von Umfang und Komplexität von automobilen Elektrik/Elektronik-Systemen über die letzten Fahrzeuggenerationen hinweg stark angestiegen. Die vorliegende Arbeit befasst sich daher mit Ansätzen zur Energieoptimierung automobiler Elektrik/Elektronik-Architekturen aus Sicht eines Fahrzeugherstellers

A comprehensive description of a model-based, continous development process for AUTOSAR systems with integrated quality assurance

Der AUTOSAR-Standard definiert neben einer durchgängig werkzeuggestützten und modellbasierten Methodik zur Entwicklung von Steuergeräte-Software eine technische Infrastruktur als standardisierte Steuergeräte-Basissoftware zur Implementierung dieser Systeme im Automobil. Die wesentlichen Herausforderungen in der Entwicklung automotiver Systeme ergeben sich dabei nicht nur aus der stetig steigenden Menge korrekt umzusetzender Funktionalität, sondern auch aus der wachsenden Anzahl zusätzlich zu erfüllender Qualitätsanforderungen, wie z.B. Sicherheit, Performanz oder Kosten. Die Integration von Ansätzen zur frühzeitigen, Entwicklungsphasen begleitenden Überprüfung von Korrektheits- und Qualitätskriterien kann dabei maßgeblich zur Beherrschbarkeit der Komplexität dieser Systeme beitragen. Es wird ein entsprechend durchgängig werkzeuggestützter und modellbasierter Entwicklungsprozess, basierend auf dem V-Modell sowie dessen Integration in die AUTOSAR-Methodik definiert. Neben der Überprüfung der funktionalen Korrektheit durch systematische Testverfahren sieht das erweiterte Prozessmodell die Bewertung beliebiger Qualitätskriterien für das zu entwickelnde System vor. Es wird beschrieben, wie insbesondere im AUTOSAR-Kontext der Entwurf der Systemarchitektur die hierfür entscheidende Design-Phase darstellt und als Grundlage für Qualitätsabschätzungen durch Architektur-Evaluation dienen kann. Die Vorgehensweise in den einzelnen Entwicklungsschritten wird detailliert anhand einer umfangreichen, vollständig AUTOSAR-konformen Fallstudie, bestehend aus einem vereinfachten PKW-Komfortsystem, demonstriert. Die durchgängige Toolkette umfasst alle Phasen von der Anforderungsspezifikation bis zur Implementierung auf einem prototypischen Hardware-Demonstrator bestehend aus vier über CAN vernetzten Steuergeräten und HIL-Schnittstellen für die Testdurchführung. Es wird auf ausgewählte Implementierungsdetails, notwendige Workarounds und Besonderheiten der prototypischen Umsetzung eingegangen.The AUTOSAR standard defines a seamless tool supported and model based methodology for ECU software design and engineering. Furthermore, the standard specifies a technical infrastructure by means of standardized basic software modules for ECU networks, serving as a uniform implementation platform for AUTOSAR systems. The major challenges in automotive systems development not only arise as a result of the contiuously growing amount of functionality to be realized correctly, but also from the increasing number of quality requirements to be taken into account, e.g. safety, performance, and costs. The integration of approaches for early checking of correctness and quality criteria accompanying the different development phases makes a significant contribution towards coping with the complexity of such systems. We describe such a model based development process and a corresponding tool chain based on the V-modell and its embedding into the AUTOSAR methodology. For the validation of functional correctness systematic testing approaches are applied, and for quality criteria according evaluation methods are used. We discuss that especially in the context of AUTOSAR, the phase of architectural system design is crucial for the quality properties of the system under development, and to what extent architecture evaluation can be used for quality estimation. The practices in the different development steps are illustrated in detail by means of a comprehensive, AUTOSAR compliant case study, i.e. a body comfort system. The tool chain proposed comprises all development stages, starting from the requirements specification, and concluding with the system implementation on a hardware demonstrator prototype. The demonstrator consists of ECUs coupled via CAN, as well as HIL interfaces for test case applications. We give detailled insights in selected impl. issues, workarounds required, and the configuration steps needed for the AUTOSAR operating system. A discussion of the pro's and con's regarding the potential of AUTOSAR concludes

On Interdisciplinary Development of Safety-Critical Automotive Assistance and Automation Systems

Assistenz- und Automationssysteme im Automobil zeichnen sich verstärkt durch eine große Komplexität und einen hohen Vernetzungsgrad aus. Weiterhin existiert eine Vielzahl von Anforderungen anderer Fachdisziplinen an die Funktionsentwicklung, beispielsweise im Bereich der funktionalen Sicherheit. Somit ergibt sich für Entwickler nicht nur eine gestiegene Komplexität der Systeme, sondern auch der einzuhaltenden Entwicklungsprozesse. Die vorliegende Arbeit liefert eine neue Methode, die Entwickler bei der Bewältigung dieser Komplexität unterstützt. Dabei wird ihnen problemorientiert und zielgerichtet relevantes Wissen anderer Fachdisziplinen aufbereitet und zur Verfügung gestellt. Somit können Entwurfsalternativen früher als bisher im Kontext der Gesamtentwicklung bewertet werden, was sich positiv auf Produktqualität und Entwicklungszeit auswirkt. Die Basis dieser Methode ist die offen und flexibel gestaltete Formalisierung des Entwicklungsprozesses unter Verwendung der Web Ontology Language (OWL). Darauf aufbauend werden interdisziplinäre Entwicklungsaktivitäten verknüpft und die Analysierbarkeit des formalisierten Wissens wird für automatische Schlussfolgerungen genutzt. So werden insbesondere Einflussanalysen möglich, um über die eigene Domäne hinaus Änderungen bezüglich des Gesamtentwicklungsprozesses zu bewerten. Im Rahmen dieser Arbeit wurde eine prototypische Werkzeugkette implementiert, die die beschriebene Methode umsetzt und deren technische Realisierbarkeit demonstriert. Als Anwendungsbeispiel dient die angedeutete Weiterentwicklung eines radarbasierten Abstandsregeltempomaten zu einem Notbremssystem. Dabei wird insbesondere der Einfluss der funktionalen Sicherheit auf die Funktionsentwicklung beleuchtet, indem aus einem formalisierten Wissensmodell des Standards ISO 26262 notwendige Anforderungen und Methoden für den Gesamtentwicklungsprozess abgeleitet werden.Automotive assistance and automation systems increasingly present high levels of complexity and connectivity. In addition, more and more specific requirements in disciplines like functional safety have to be considered during functional development. Thus, developers have to cope with increasing levels of product complexity, but also complexity of the development process. This thesis presents a new method which supports developers in handling these dimensions of complexity. Therefore relevant knowledge of other disciplines is presented to them in a solution-oriented way. Thus, design alternatives can be assessed much earlier in the overall development process which has a positive impact on product quality and development cycles. The method’s base is an open and flexible formalization of the development process using the Web Ontology Language (OWL). OWL is used to link different interdisciplinary development activities whereas the analyzability of formalized knowledge enables automated reasoning. This especially introduces an impact analysis to assess major cross-cutting changes to the product in the context of the overall development process. For this thesis a prototype toolchain has been developed which implements the described method and demonstrates its technical feasibility. The extension of a radar-based adaptive cruise control system towards an emergency braking system is sketched as an example for the prototype toolchain. In this example, the impact of functional safety on the functional development is focused, involving a formalized model of requirements and methods from ISO 26262

Integrierte modell- und simulationsbasierte Entwicklung zur dynamischen Bewertung automobiler Elektrik/Elektronik-Architekturen

Die Automobilbranche befindet sich seit einigen Jahren im Wandel. Trends wie autonomes Fahren, Konnektivität, smarte Mobilität sowie die Elektrifizierung führen zu einer drastischen Erhöhung der Fahrzeugkomplexität. Diese Komplexität muss durch die zugrunde liegende Elektrik/Elektronik-Architektur (E/E-Architektur) beherrscht werden und ruft unmittelbare neue Herausforderungen an den Entwicklungsprozess hervor. Design-Entscheidungen der E/E-Architektur haben maßgeblichen Einfluss auf das Verhalten von Fahrzeugfunktionen und umgekehrt. Daher müssen sie möglichst frühzeitig analysiert und evaluiert werden, um kostspielige Fehlerkorrekturen in späten Entwicklungsphasen zu minimieren. Eine frühzeitige Einbindung von Simulationsmethoden ist dabei zentral. Die modellbasierte Architekturentwicklung und Simulation sind jedoch weitestgehend getrennt voneinander laufende Prozesse. Dies erschwert eine effiziente Analyse sowie Bewertung der bidirektionalen Abhängigkeiten zwischen Architektur und Verhalten. Um diese Schwächen zu adressieren, wird in dieser Arbeit eine integrierte Methodik zur modell- und simulationsbasierten Entwicklung von E/E-Architekturen vorgestellt, die sich in drei Teile gliedert. Es werden zunächst neue Methoden zur architekturzentrierten Verhaltensmodellierung eingeführt. Eine nachfolgende Synthese generiert daraus ein Simulationsmodell, welches automatisiert mehrere Abstraktionsebenen der E/E-Architektur miteinander verknüpft und so zu einer ganzheitlichen Betrachtung beiträgt. Mithilfe des integrierten Ansatzes wird zusätzlich ein Konzept entwickelt, das es gestattet, mehrere Architekturvarianten automatisiert bzgl. statischen und dynamischen Metriken gegenüberzustellen. Die Konzepte werden in das in der Automobilindustrie etablierte E/E-Architekturwerkzeug PREEvision® integriert, umgesetzt und anhand mehrerer Anwendungsfälle evaluiert

Modellbasierte Design-Space-Exploration nicht-funktionaler Auslegungskriterien des Fahrzeugenergiebordnetzes

Diese Arbeit analysiert mit Hilfe einer modellbasierten Design Space Exploration (DSE) gleichzeitig den Einfluss mehrerer Freiheiten des Energieversorgungsnetzes auf die Bewertungskriterien Energieverbrauch und Gesamtbetriebskosten (Total Cost of Ownership, TCO) unter Berücksichtigung der Spannungsstabilität als Randbedingung. Statt nur einzelne Aspekte des Energieversorgungsnetzes zu optimieren wird so ein Systemoptimum gesucht. Die betrachteten Freiheiten sind die Topologie des Energieversorgungsnetzes sowie die Anzahl, Kapazität und Position der integrierten Batterien. Sowohl die Auswahl der Freiheiten im Entwurf als auch die Erweiterung der Bewertungskriterien Gewicht und Stückkosten hin zu Energieverbrauch und TCO beruhen dabei auf den Ergebnissen eines Experteninterviews. Außerdem wird eine Änderung der Informations- und Kommunikationstechnik im Fahrzeug hin zu einer Plattform mit systemweiter Trennung von Funktion und Hardware, um der wachsenden Vernetzung, Datenmenge und neuen Anforderungen wie Erweiterbarkeit gerecht zu werden, als Randbedingung der Entwürfe vorausgesetzt. Der Vorteil der generischen DSE ist die Möglichkeit, die Modelle flexibel anpassen zu können, um neben den genannten Freiheiten auch verschiedene Fahrzeugmodelle, Antriebsvarianten, Verbraucherkonfigurationen, Umgebungsbedingungen oder Randbedingungen des Entwurfs zu untersuchen. Die Ergebnisse der DSE demonstrieren, dass eine Umgestaltung der etablierten Stern- hin zu einer Bustopologie mit zwei Batterien trotz der Zunahme des Gewichts und der Stückkosten den Energieverbrauch und damit die Betriebskosten eines Verbrennungsfahrzeugs deutlich senkt und deshalb die TCO betrachtet wirtschaftlich sinnvoll ist. Zusätzlich dazu erhöht die damit erreichte fail-operational Auslegung mittels zweier unabhängiger Energiequellen die Sicherheit des Energieversorgungsnetzes. Aufgrund der fehlenden Emissionsstrafen und Steuern sowie der höheren Effizienz des Antriebsstranges haben die Materialkosten im Elektrofahrzeug einen höheren Einfluss auf die TCO, weshalb eine Umgestaltung nur für hohe Laufleistungen oder eine durchweg hohe Last der Nebenverbraucher in einer deutlichen Kostenreduktion resultiert

Skalierbarkeit einer Szenarien- und Template-basierten Simulation von Elektrik/Elektronik-Architekturen in reaktiven Umgebungen

Die Automobilindustrie befindet sich in einem Wandel. Zukünftige Fahrzeuge sind elektrisch, autonom, vernetzt, werden geteilt und regelmäßig aktualisiert. Die Auswirkung davon ist ein starkes Wachstum der Software in zukünftigen Fahrzeugen, das vor allem auf die Implementierung von autonomen Fahrerverhalten und herstellerspezifischen Betriebssystemen zurückzuführen ist. Zur sicheren Ausführung dieser Software werden leistungsstarke Zentralrechner benötigt. Daneben führen ein steigender Bedarf an Sicherheitsmechanismen gegen Cyberangriffe, der Einzug von Leistungselektronik und die notwendige Gewährleistung der Ausfallsicherheit zu einem Anstieg der Komplexität bei der Entwicklung von automobilen Elektrik/Elektronik-Architekturen (E/E-Architekturen). Im Bereich der Leistungselektronik liegt dies etwa an der benötigten Realisierung einer galvanischen Trennung zwischen Hochvolt- und Niedervoltnetz, um die Unversehrtheit der Insassen zu gewährleisten. Außerdem erfordert der Einsatz von permanenterregten Synchronmaschinen die sichere Auslegung und das Design entsprechender Schaltungen zur Ansteuerung. Cyberangriffe erfordern hingegen Mechanismen zur Abwehr und Gewährleistung der Informationssicherheit. Dazu zählen präventive Firewalls oder proaktive Angriffserkennungssysteme. Eine Ausfallsicherheit wird dagegen durch Komponenten- oder Informationsredundanz ermöglicht. Um entsprechende Ausfallmaßnahmen einzuleiten, kann zusätzlich die Implementierung eines entsprechenden Monitorings nötig sein. Im Zuge des Wandels wachsen die E/E-Architekturmodelle und weisen einen höheren Vernetzungsgrad auf. Dadurch haben E/E-Architekten mehr Designentscheidungen zu treffen, wobei Lösungen mehr Freiheitsgrade aufweisen und Auswirkungen schwieriger zu beurteilen sind. Jedoch müssen frühestmöglich im Entwicklungsprozess überprüfbar richtige Entscheidungen getroffen werden. Die Einführung frühzeitiger Tests in zukünftigen Zulassungsprozessen gibt dieser Anforderung ein weiteres Gewicht. In existierenden Arbeiten wurde gezeigt, dass eine in E/E-Architekturentwicklungswerkzeugen integrierte Simulationen einen Mehrwert für E/E-Architekten bei der frühzeitigen Findung von Designentscheidungen bietet. In dieser Arbeit werden dagegen die Grenzen der Skalierbarkeit einer solchen Simulation untersucht. Dies geschieht mithilfe von industriell relevanten Anwendungsfällen. Ein bestehender Ansatz zur automatisierten Synthese von Simulationsmodellen aus PREEvision-E/E-Architekturmodellen wird dabei unter Berücksichtigung der Anforderungen bei großmaßstäblichen Modellen erweitert und angepasst. Hierzu werden zunächst Simulatoren hinsichtlich ihrer Eignung für einen Einsatz im industriellen Umfeld untersucht. Dies erfolgt anhand in der Arbeit definierten Auswahlkriterien sowie mithilfe von synthetischen und skalierbaren Benchmarks. Im Anschluss werden Konzepte untersucht, welche die Erhöhung der Skalierbarkeit einer E/E-Architektursimulation adressieren. Zu den Aspekten der Skalierbarkeit gehören neben der Performanz auch die Anwendbarkeit und die Validierbarkeit, welche von der Emergenz generierter Modelle beeinflusst werden. Als Lösung werden in dieser Arbeit ausführbare Szenarienmodelle zur zustandsabhängigen Generierung von Stimuli und der reaktiven Evaluierung von Signalwerten verwendet. Durch deren Schnittstellen können gezielt die für einen Anwendungsfall relevanten Modellkomponenten der E/E-Architektur identifiziert werden, welche in Summe das sogenannte “System of Interest“ bilden. Auf diese Weise kann die Simulationsmodellgröße reduziert werden. Darüber hinaus werden parametrisierbare, pre-validierte und performanzoptimierte Teilmodelle, sogenannte „Templates“, bei der Generierung verwendet. Neben einer manuellen Zuweisung der Templates zu E/E-Architekturmodellkomponenten über die in dieser Arbeit verwendeten Template And Layer Integration Architecture (TALIA), haben spezifische Komponenten auf der Leistungssatzebene, wie Batterien, Stecker oder Kabel, bereits Standard-Templates zugewiesen. Simulationsmodelle können dadurch ohne manuelle Verhaltensmodellierung und zugehörige Validierung generiert werden. Damit Standard-Templates verwendet werden können, wird eine Hardware-zentrierte Abbildung verfolgt. Die physikalische E/E-Architektur aus der Realität bildet dabei die Grundlage für die generierten Simulationsmodelle. Softwaremodelle werden ergänzend über die Modelle der Steuergeräte bzw. ECUs integriert. Ebenso sind die Szenarienmodelle nach der Generierung ein Teil der Simulationsmodelle. Damit findet die Integration unterschiedlicher E/E-Architekturebenen statt, wodurch hybride Simulationsmodelle entstehen. Für die Evaluation werden Anwendungsfälle für Simulationen aus möglichen Designentscheidungsfragen abgeleitet und anhand definierter Kriterien für die weitere Betrachtung ausgewählt. Designentscheidungsfragen ergeben sich beim Technologieentscheid, der Dimensionierung von Komponente oder bei Optimierungen. Die Anwendungsfälle bestimmen das benötigte Testmodell, bestehend aus dem zu evaluierenden System of Interest und dem Prüfstandmodell, realisiert als Szenariomodell. Da das Testmodell die Basis des Simulationsmodells bildet und damit dessen Komplexität bestimmt, lässt sich anhand der Anwendungsfälle die Skalierbarkeit der E/E-Architektursimulation beurteilen. Insbesondere wird in dieser Arbeit der Einfluss emergenter Modelleigenschaften auf die Skalierbarkeit untersucht

Funktionale Sicherheit nach ISO 26262 in der Konzeptphase der Entwicklung von Elektrik/Elektronik Architekturen von Fahrzeugen

Die Entwicklung von softwarebasierten Fahrzeugsystemen unter Befolgung des neuen Standards IO 26262 erfordert ein gemeinsames Verständnis sowie die Verzahnung des Vorgehens in beiden Domänen. Ziel dieser Arbeit ist die Berücksichtigung von Anforderungen der funktionalen Sicherheit während der Modellierung von Elektrik/Elektronik Architekturen, ihre formale Zuteilung zu Modellinhalten sowie die Unterstützung nebenläufiger und nachfolgender Aktivitäten der Fahrzeugentwicklung