Fehlersimulation automatisieren Verbesserung der Software-Qualität

Zeitersparnis durch Automatisierung der Fehlersimulation.
Zeitersparnis durch Automatisierung der Fehlersimulation.

Elektronische Steuergeräte im Auto müssen im täglichen Betrieb mit allen denkbaren Fehlern fertig werden. Für den Test werden diese Fehler simuliert. Das benötigt viel Zeit, doch durch die Automatisierung der Fehlersimulation kann ein Großteil davon eingespart werden.

Das Testen von Motor-Steuergeräten, insbesondere von sicherheitsrelevanten Modellen, umfasst heutzutage sowohl Software- als auch Hardware-Tests – ausgelöst durch immer komplexere, intelligente Funktionen der Steuergeräte, die Bremsen steuern, Überschläge verhindern und dafür sorgen, dass die Antriebsleistung in kritischen Situationen auf die richtigen Räder übertragen wird. Automotive-Hersteller wie Magna Powertrain, Delphi und Continental haben die gleichen Interessen, was das Testen der sicheren Funktion ihrer Produkte betrifft.

Als Beispiel soll hier das Testen von Verteilergetrieben bei einem Steuergeräte-Hersteller dienen. Ein Verteilergetriebe ist ein elektromechanisches Gerät, das die Antriebsleistung des Schaltgetriebes der Vorder- und Hinterachse zuweist. Dabei überwacht es den Schlupf der Räder und stellt sicher, dass die Energie nur auf die Räder verteilt wird, die keinen Schlupf aufweisen. Ein Beispiel hierfür ist das zweistufige Verteilergetriebe ATC (Active Transfer Case).

Als Bestandteil des Verteilergetriebe-Steuermechanismus TCCM regelt das elektronische Verteilergetriebe-Steuergerät (ESG) das Betriebsverhalten. Es wird an die Sensoren und Aktuatoren im Verteilergetriebe sowie an das CAN-Netzwerk des Fahrzeugs angeschlossen. Wenn der Fahrer schaltet, bekommt das ESG des Verteilergetriebes das entsprechende Kommando und entscheidet, ob es diesen Schaltvorgang durchführen kann oder nicht. Sobald es den Schaltvorgang erfolgreich durchgeführt hat, gibt das ESG eine entsprechende Meldung an das Netzwerk ab.

Im Betrieb können verschiedene Fehler auftreten. Als Beispiel dient ein achtadriges Kabel, das die Sensoren und Aktuatoren im Verteilergetriebe mit dem Steuergerät verbindet. Diese Verbindungen können beispielsweise durch Unterbrechungen oder Kurzschlüsse benachbarter Adern ausfallen. Darüber hinaus können im Lauf der Zeit Verbindungen hochohmiger werden und relativ hochohmige Kurzschlüsse entstehen, aufgrund derer ein Verteilergetriebe im Feld ausfallen kann.

Fehler simulieren

Als Teil des Designprozesses führen Hersteller eine Reihe von Tests durch, um sicherzugehen, dass die Software, die ihre Verteilergetriebe steuert, auf Systemfehler auf vorhersagbare und sichere Weise reagiert. Das verbessert letztendlich die Kundenzufriedenheit und senkt Gewährleistungskosten. Das Testen nach dem Hardware-in-the-Loop- (HiL-)Prinizip hat sich als Konzept zum Testen von ESGs wie dem elektronischen Steuergerät für das Verteilergetriebe durchgesetzt. Ein HiL-Simulator kann alle Ein- und Ausgänge eines Fahrzeugs nachbilden, ohne dass ein Prototypen-Fahrzeug dafür erforderlich wäre. So sparen die Steuergeräte-Hersteller viel Geld. Nicht nur, weil sie keine Prototypen benötigen, sondern auch, weil sie umfassende Tests im Labor durchführen können und keine Versuchsstrecke oder Dynamometer benötigen.

Sie können ein ESG für Verteilergetriebe sogar testen, ohne tatsächlich über ein Verteilergetriebe zu verfügen. In diesem Modus simuliert das HiL-Testsystem das Verteilergetriebe zusätzlich zum relevanten Rest des Fahrzeugs.

Um die Software des ESG zu prüfen, entwerfen Entwickler eine Anzahl unterschiedlicher Betriebsszenarien. Diese beinhalten Start und Abschalten des Fahrzeugs sowie Fahrsituationen, die das Steuermodul des Verteilergetriebes auf Herz und Nieren prüfen. In einem Szenario bekommt ein Verteilergetriebe das Kommando, die gewünschte Position einzunehmen. Andere Szenarien spielen verschiedene andere Produktzustände durch (unterschiedliche Schaltszenarien, Kaltstart-Profile, Spannungs-Profile usw.).

Als der ESG-Hersteller unseres Beispiels damit begann, die Fehlersimulation in sein Testkonzept zu integrieren, baute er zunächst einen Testadapter, eine sogenannte Breakout Box, die es ermöglichte, Fehler manuell einzufügen. Diese Breakout Box wurde zwischen Verteilergetriebe und Steuergerät eingeschleift und ein Techniker schaltete die Fehler manuell zu und wieder weg.

(Zeit-)Aufwendig und unflexibel

Der Adapter erfüllte die ihm zugedachte Aufgabe sehr gut. Das manuelle Einschalten der simulierten Fehler war jedoch sehr zeitaufwendig, was die Anzahl durchführbarer Tests an einem Steuergerätetyp stark begrenzte. Manuelle Testadapter erfordern nicht selten häufigere Wartungen, wodurch die mittlere Testzeit weiter ansteigt. Schließlich war der Testprozess auch nicht ganz frei von Bedienerfehlern, die Testergebnisse teilweise in Frage stellen. Diese Methode war also ein erster Einstieg, aber es war schnell klar, dass noch viel Raum für Verbesserungen blieb.

Der wohl problematischste Aspekt des manuellen Einfügens von Fehlern ist der, dass das Durchführen einer Serie von Tests extrem lange dauert. Mit der Breakout Box dauerte ein einziger Einzeltest bis zu acht Minuten. Da aber Tausende von Testfällen geprüft wurden, war von Anfang an klar, dass ein Weg gefunden werden musste, um die Testzeiten zu reduzieren.

Ein weiterer Nachteil dieser Methode, Fehler manuell einzufügen, ist, dass nur Kurzschlüsse und Unterbrechungen als Fehler möglich sind. Um jedoch die elektronischen Steuergeräte der Verteilergetriebe noch genauer testen zu können, ist es erforderlich, sowohl resistive Fehler einzufügen als auch harte Unterbrechungen und Kurzschlüsse.

Ein drittes Problem der Methode, Fehler manuell einzufügen, beruht auf der festen Verdrahtung der Breakout Box, die deshalb sehr unflexibel ist. Um verschiedene Steuergeräte für Verteilergetriebe oder verschiedene Konfigurationen zu testen, müsste die Abteilung Prüfplanung weitere Breakout Boxes herstellen oder vorhandene umbauen. Beides wäre teuer und zeitaufwendig.