ECU Software sicher in Serie bringen - b-plus.com

Newsansicht

Home / News & Events /

Aktuelle News

Zwei Messen - eine b-plus

Freitag, 15.06.2018

Letzte Woche galt es auf der Messe Stuttgart alles rund um die neuen Innovationen und Technologien...



Mittwoch, 11.10.2017

ECU Software sicher in Serie bringen

Wegbereiter komplexen Systeme- u. Datenmanagements (Titelstory Elektronik automotive)

Komplexe Funktionen, vielfältige Algorithmen, ein riesiges Datenaufkommen und der Bedarf nach leistungsfähigen Steuergeräten begleiten die Entwicklung des autonomen Fahrzeugs. Das Zusammenspiel von Steuergeräte-Software und -Hardware samt Steuergeräte-Integration ins Fahrzeug sind die Herausforderungen.

Das Streben nach autonomem Fahren hat sich in sehr kurzer Zeit zu einem der wichtigsten Themen in der Automobil Industrie entwickelt. Immer mehr Daten und Informationen für verschiedenste Funktionen fließen im Fahrzeug. Die komplexer werdenden Funktionen und Algorithmen benötigen zuverlässige Lösungsmethoden und den Entwicklungsprozess begleitende Werkzeuge, die mit den rasant entstehenden Herausforderungen Schritt halten können. Dazu gehören auch der Einsatz zentraler und leistungsfähiger Steuergeräte und deren Integration in die verschiedenen Fahrzeugplattformen. Hierfür wird sowohl die Bereitstellung einer zuverlässigen ECU Basis Software als auch eine leistungsfähige, abgesicherte Validierungswerkzeugkette vorausgesetzt.

Die b-plus GmbH bezeichnet sich selbst als Wegbereiter neuer Mobilität und beleuchtet in diesem Artikel das Zusammenspiel von Steuergeräte (ECU) Software und Hardware sowie die Herausforderungen der Steuergeräteintegration ins Fahrzeug. Aufgrund der mehr als 15-jährigen Erfahrung im Bereich Automotive Dienstleistung und Soft- und Hardwareentwicklung gilt b-plus für OEM´s und Tier1´s als kompetenter Partner.

Die komplexen Fahrfunktionen eines autonomen Fahrzeugs werden durch eine Vielzahl an Algorithmen realisiert. Die sicherheitskritischen Anforderungen an diese Algorithmen stellen die Software-Entwickler vor große Herausforderungen bei der Systemintegration. Die Bereitstellung einer ECU Basis Software ist dafür essentiell und dient mit ihren vielen Basisfunktionen als „Grundgerüst“ für das Steuergerät. Damit sich die Funktionsentwickler auf Ihre Kernkompetenzen der Algorithmus-Entwicklung konzentrieren können und dem Kunden trotzdem ein breitenerprobtes, zuverlässiges Software und Hardware-Paket bieten können, unterstützt b-plus sowohl bei der ECU Basis Softwareentwicklung als auch bei den darauffolgenden Validierungs- und Entwicklungsprozessen bis zur Serienreife eines Steuergeräts. Einige der wesentlichen Herausforderungen werden hier in der Folge kurz dargestellt (Bild1).

Funktionale Sicherheit nach ISO 26262

Die ISO 26262 Norm beschreibt die Anforderungen an ein sicheres System.

Software-Ebene:

Auf dieser Basis erarbeiten FUSI-Manager und Entwickler ein passendes Safety Concept und setzt die daraus abgeleiteten Anforderungen in der Software um. Dank der Vielfalt von Methoden und Maßnahmen zur Vorbeugung aller denkbaren Fehlerszenarien wird ein solches System mit der Zeit robust gegen jeden erdenklichen Funktions- oder Systemfehler abgesichert.

Hardware-Ebene:

Um den Datenstrom abzusichern, müssen beispielweise Prüfsummen und Botschaftszähler zum Einsatz kommen (Bild2). Je nach dem wo hier angesetzt wird, kann die Kette komplett – End 2 End - vom Steuergerät bis zum Messdatenrecorder abgesichert werden. Zum einen ist es möglich mit einem Messdatenservice direkt am Steuergerät anzusetzen, zum anderen können am Messdateninterface Prüfsummen und Botschaftszähler hinzugefügt werden. Somit kann der resultierende Datenstrom abgesichert werden und beim Empfang, bei der Aufzeichnung und beim Abspielen auf Datenintegrität geprüft werden. Geschieht nun ein Übertragungsfehler in der Werkzeugkette wird dies beim Öffnen des Datensatzes angezeigt. Die Detektion der Korrektheit der Information ist ein wichtiger Baustein für eine erfolgreiche Absicherung nach ISO26262.

Errormanagement

Data Qualifier als Methode zur Überwachung der Datenintegrität Errormanagement: Die Komplexität und die Interaktion verschiedener Steuergeräte erfordert strukturierte und aussagekräftige Diagnose- und Fehlerinformationen. Werden undefinierte Zustände erreicht oder essentielle Warnungen nicht korrekt weitergegeben, können wichtige Fahrerassistenzsysteme nicht mehr zuverlässig unterstützen oder sogar ausfallen. Für das Handling dieser Fehler im Fahrzeug werden unterschiedliche Überwachungsmaßnahmen in die Software integriert. Relevante Daten werden dabei gesammelt, analysiert und in bereitgestellten Speichern abgelegt. Umso besser eine Überwachung und folglich deren Datenauswertung erfolgt, desto weniger undefinierte oder wertlose Daten fallen an. Mit Hilfe eines entsprechenden Monitorings steht Entwicklern und vor allem auch Werkstätten eine Überwachungs- und Fehlerbehandlungsfunktion zur Verfügung, welche entsprechende Reaktionen ermöglicht und Lösungsansätze im Sinne einer Predictive Maintenance beinhaltet. Je nach auftretendem Fehler erhält auch der Fahrer essentielle Informationen über den aktuellen Fahrzeugzustand, betroffene Komponenten können neu gestartet werden oder aus Sicherheitsgründen bis zum nächsten Werkstattbesuch deaktiviert werden.

Anbindung per Buskommunikation

Bei der Integration eines Steuergeräts ins Fahrzeug ist die Anbindung der Busse und Netzwerke ein weiterer wichtiger Baustein. Welche Botschaften an andere Bus- und Netzwerkteilnehmer geschickt werden, welche empfangen werden und in welchem Bereich sie gültig sind, definiert man bei der Konfiguration des sogenannten COM-Stacks in der Basissoftware. Im COM-Stack konfiguriert der Software-Entwickler die verschiedensten Kommunikationsnetzwerke passend für das Fahrzeug und das entsprechende Steuergerät. Eine sichere und stabile Kommunikation ist hierbei essentiell. Mithilfe einer angepassten Test- und Simulationsumgebung wird die reale Situation im Fahrzeug nachgestellt und der COM-Stack dabei validiert. Diese realitätsnahen Erkenntnisse ermöglichen eine zielgerichtete Optimierung. So wird eine sichere und korrekte Kommunikation der AUTOSAR Umgebung mit dem Technikträger sichergestellt.

Auskopplung von Messdaten

Die Serientauglichkeit eines Steuergeräts und dessen Software muss anhand von verschiedenen Tests verifiziert werden. Die dazu notwendige hohe Anzahl für eine ausreichende Testabdeckung zu fahrender Kilometer liegt typisch bei 100.000 km bis über 1 Mio. km bezogen auf die Fahrfunktion. Unter anderem werden im Entwicklungsprozess zur Validierung von Algorithmen auch Rohdaten der entsprechenden Sensorik benötigt. Dafür ist das Auskoppeln und Aufzeichnen von Rohdaten mithilfe hoch performanter Messtechnik ein essentieller Teil der Validierungskette. Um die hohen Datenmengen eines autonomen Systems für die Messsysteme zur Verfügung zu stellen müssen sowohl Software- als auch Hardwareaspekte betrachtet und geeignete Schnittstellen / Interfaces definiert werden.

Software-Ebene:

Unter Beachtung aller ECU-spezifischen Gegebenheiten müssen die hohen Datenmengen z.B. von Kamera und Radarsensoren möglichst schnell und gesichert an die Messtechnik übertragen werden. Die benötigten Mess-und Diagnosedaten werden dabei zu einem Datenstrom gebündelt und für die Messtechnik-Kommunikation passend aufbereitet. Eines der Software-Module der Steuergeräte–Software fungiert hierbei als Schnittstelle.

Hardware-Ebene:

Neben der Software-Schnittstelle wird meist auch eine Hardware-Schnittstelle zur Messtechnik benötigt. Hierbei werden gezielt Rohdatenströme von Spezialschnittstellen wie z.B. der CSI-2 Schnittstelle eines Kamera Imagers ausgekoppelt. Ein spezieller Messtechnikumsetzer ermöglicht es, Daten auszukoppeln, mit einem hochpräzisen Zeitstempel zu versehen, umzuwandeln und schließlich über 10 GBit Ethernet zum Messrechner zu transportieren. Der Einsatz eines Messtechnikerumsetzers hat den Vorteil, dass das Steuergerät selbst nur minimale Hard- oder Softwareausstattung braucht, um für die Messtechnik Rohdaten zur Verfügung zu stellen. In der Konsequenz sind zwei Dinge sichergestellt: die verlässliche Übertragung von hohen Bandbreiten aus dem Steuergerät und durch 10 GBit Ethernet der verlustlose Transport über längere Distanzen.

Test und Simulation

Für die entwicklungsbegleitenden Tests von Software-Requirements sind leistungsfähige, Tools unerlässlich. Bevor ein Steuergerät im Fahrzeug getestet wird, werden bereits in der Entwicklungsphase Tests anhand von Simulationsverfahren durchgeführt. Die verschiedenen Simulationsarten, wie z.B. Hardware-in-the-Loop oder Software-in-the-Loop, helfen dabei ECU Hard-und Software mit einem höheren Reifegrad im Versuchsträger auf die Straße zu bringen und verringern somit Anzahl und Kosten für aufwendige Testfahrten. Der reale Fahrversuch ist zwar unabdingbar, jedoch können Testfahrten durch die frühzeitige Fehlerminimierung während der Entwicklung auf das Nötigste minimiert werden.

Fehlerminimierung mit HiL-Simulationsverfahren

Hardware-in-the-Loop Simulationsverfahren Im Hardware-in-the-Loop Test kann bei einem Kamerasystem z.B. das Imager-Frontend abgekoppelt und die Sensorrohdaten können direkt ins Steuergerät eingespeist werden. Um realitätsnahe Fahrzeugumgebung und Multibus-Systeme lückenlos nachzubilden, werden die aufgezeichneten Busdaten zeitsynchron zu den Bilddaten abgespielt. Des Weiteren ist die Vorhaltung der initialen und szenenbezogenen Sensorinitialisierung und deren Kommunikation über z.B. I2C von großer Bedeutung. Das Steuergerät würde sonst bei der Wiedergabe von aufgezeichneten Rohdaten nicht den erwarteten Input, vor allem in der Initialisierungsphase, bekommen. Hierbei wird z.B. das „Grey Pattern“, aber auch der aufgezeichnete Bildzähler mithilfe von Softwaremechanismen vorgehalten und abgeändert, um den Realfall mit einem Imager zu simulieren und keine Fehlermeldungen im Steuergerät auszulösen.

Über eine 10 Gbit Ethernet Schnittstelle werden die aufgenommenen Rohdaten in das kompakte, clusterfähige HiL-System eingespielt. Dabei ist es für genaue Werte sehr wichtig die Bilddaten mit den Busdaten zeitsynchron abzuspielen. Ein optimiertes HiL-System (Bild3) bietet dem Entwickler dafür die Möglichkeit, Bilddaten entweder zu „verlangsamen“ oder frameweise zu „beschleunigen“, um hier synchron zum restlichen Fahrzeugbus bleiben zu können. Ein kleines, kompaktes Gehäuse, welches all diese Fähigkeiten vereint und gleichzeitig mit den vielen Datenströmen umgehen kann, ermöglicht das Testen bereits am Entwicklertisch. Somit werden auftretende Fehler bereits in der frühen Entwicklungsphase erkannt und können noch vor den ersten Fahrzeugtests behoben werden. Dies verringert die Kosten für die aufwendigen Testfahrten und ermöglicht es, abgesicherte Produkte schneller in Serie zu bringen.

Logging/Recording realer Daten

Egal, ob SiL oder HiL – beide Verfahren setzen eine Datenverfügbarkeit voraus, die aus synthetischen oder aufgezeichneten Daten besteht. Synthetische Daten, die über ein Modell und einen Datengenerator generiert werden, decken in der Realität schwer abdeckbare Situationen sowie Szenarien bei denen eine möglichst genaue Reproduzierbarkeit einer hohen, granularen Variantenvielfalt über verschiedenen Testreihen erforderlich ist ab. Hierzu zählen beispielsweise Geisterfahrer auf der Autobahn und das Notbremsverfahren bei Stauende. Allerdings ist die Generierung von synthetischen Daten nur eine Annäherung an die Realität, so dass die Validierung zusätzlich immer mit real eingefahrenen Daten durchzuführen ist.

Für das Erreichen von kürzeren Validierungszeiten sind leistungsstarke, Messtechniklösungen für das Bus- und Rohdaten-Recording unerlässlich. Die Verarbeitung solcher großen Datenmengen benötigt neben einer hohen Logging-Geschwindigkeit auch die Skalierbarkeit dieser Systeme inklusive entsprechender Speicherkapazitäten. Robuste Systemlösungen trotzen den wechselnden Umweltbedingungen im Fahrzeug und liefern somit konstant zuverlässige Daten für weitere Validierungsprozesse. Erst wenn diese Datenverarbeitung sicher funktioniert, kann die anschließende Bewertung und Optimierung der Algorithmen erfolgen.

Auf dem Weg zum optimalen System

Verschafft man sich einen Blick in die ADAS-Funktionswelten und fokussiert den Datenverkehr, so bleibt es bei OEM und Tier1s der Automobilindustrie turbulent. Der Validierungsweg zu einem selbstentscheidenden System ist häufig gepflastert mit inselorientierten Einzellösungen. Wagt man sich an eine komplette Entwicklungskette des Datentransfers für ADAS, so tendieren aktuelle Lösungen zu einer zentralen Entscheidungsplattform, die immer mehr Gigabits an Datenströmen zur Echtzeitverarbeitung aufnimmt. Bestehende Abläufe in der Funktionsentwicklung, gepaart mit dem genannten Datenaufkommen, benötigen adäquate Technologien und eine zuverlässige Werkzeugkette, die für zukunftsorientierte Anforderungen skalierbar sein muss.

Themen wie die Datenintegritätsprüfung im Testfahrzeug bei der Datenerfassung, Mechanismen für die Zeitsynchronisierung sowie Sensor-HIL-Systeme bieten die Möglichkeit, die Daten zu beherrschen, wiederzuverwenden, sowie Test- und virtuelle Integrationsprozesse früher zu beginnen. Mit innovativen Hardware-Plattformen, die ideal auf Messtechnik und Prototyping im Fahrzeug zugeschnitten sind, bietet b-plus Aktionsfreiräume in der Funktionsentwicklung des automatisierten Fahrens. Validierung, Messtechnik inklusive dem Betrieb von Software Frameworks für Prototyping im Sinne hochparalleler Rechenvorgänge sind mit diesen Plattformen darstellbar.