Elektroniknet Logo

Effizient Absichern

Virtueller Prüfstand zum Verifizieren eines Lenkungssteuergeräts

Komplexere elektronische Steuergeräte in der Automotive-Anwendung erfordern neue Strategien bei Absicherung der Software z.B. Lenkungssoftware
© gomolach | Shutterstock

Elektronische Steuergeräte für Automotive-Anwendungen werden zunehmend komplexer – dementsprechend sind neue Strategien bei der Absicherung der Software erforderlich. MicroNova entwickelt daher mit der VW Group ein virtuelles Testverfahren für die zuverlässige Absicherung von Lenkungssoftware.

Für die Validierung neuer Fahrerassistenzsysteme, bis hin zum autonomen Fahren, benötigen Automobilhersteller und -zulieferer neue Herangehensweisen und Testsysteme. Ziel der Volkswagen Group Components ist die umfassende und effiziente Absicherung der Software eines Steuergeräts für die Lenkung.

Basierend auf ihrer langjährigen Zusammenarbeit im Bereich Hardware-in-the-Loop-Tests (HiL) und Testautomatisierung entwickeln Volkswagen und MicroNova bereits seit 2016 verschiedene Ansätze für virtuelles Testen, also für eine PC-basierte Simulation zur Absicherung von Steuergerätesoftware. Bei allen Ansätzen stand und steht immer das virtuelle Steuergerät (virtual Electronic Control Unit, vECU) im Mittelpunkt. Das gemeinsam erarbeitete Konzept bildet eine Erweiterung zu bisherigen HiL- oder Software-in-the-Loop-Prüfständen.

Die neuartige Vorgehensweise bietet entscheidende Vorteile: Die Lenkungssoftware kann bereits sehr früh im Entwicklungsprozess in dynamischen Tests bis zu einer Einstufung nach ASIL D (Kasten) abgesichert werden. Zudem lassen sich Fehler früher und somit kostengünstiger identifizieren. Eine lineare Skalierung über mehr Rechenleistung ermöglicht es außerdem, Tests parallel auszuführen. Auf dieser Basis lassen sich weitere identische Teststände dynamisch und kosteneffizient installieren oder in die Cloud auslagern. Zudem können Testfälle komplexer aufgebaut sein als bei herkömmlichen Systemen, da der gesamte Prüfstand bei Bedarf einfach angehalten werden kann – etwa um Datenspeicher auszulesen oder Konfigurationen anzupassen.

Virtueller Test und Virtualisierung der ECU

Die Begriffe Software-in-the-Loop, virtuelles Testen oder auch virtueller Prüfstand sind in der Steuergeräteentwicklung vielfach besetzte Schlagwörter. Das Kernelement aller Umsetzungen in diesen Bereichen bildet die Trennung des Softwaretests von der Zielhardware, also dem Steuergerät. Die Testausführung erfolgt dabei in der Regel auf PC-Systemen, wobei sich gegebenenfalls auch Berechnungen auf weitere Hardware wie Grafikkarten oder FPGAs auslagern lassen. Diese Systeme werden lokal oder in Cloud-Rechenzentren betrieben.

Wird diese Art der Virtualisierung auf weitere angebundene Peripherie ausgedehnt, wie Aktoren, Sensoren und den Fahrzeug-Bus, so entsteht ein Prüfstand, der sich ebenso als HiL-System umsetzen ließe. Aufgrund der hohen Anforderungen bei der Überprüfung von Steuergeräten für automatisierte Fahrzeuge ist nach Ansicht von MicroNova ein solcher Ausbau der verwendeten Testsysteme unumgänglich. Das von Volkswagen und MicroNova entwickelte Konzept ermöglicht die Ausführung von Testfällen auf einem virtuellen Prüfstand, mit nur minimalen Anpassungen gegenüber herkömmlichen Hardwareprüfständen. HiL-Systeme lassen sich damit ergänzen und Testkapazitäten deutlich erweitern.

Umsetzung des virtuellen Prüfstands

Der virtuelle Prüfstand basiert auf einer Co-Simulation von drei Softwareprodukten: Im Mittelpunkt steht dabei die Simulation des Steuergeräts auf Instruktionsebene innerhalb eines System-C-Modells, das den Datentransfer der einzelnen Komponenten modelliert. Die verwendeten Prozessormodelle reichen abhängig von der gewünschten Simulationstiefe von einer Prozessoremulation bis hin zu einer Register-Transfer-Level-Simulation (RTL). Die einzelnen Komponenten werden in Bild 1 dargestellt.

Übersicht virtueller Teststand mit Testautomatisierung
Bild 1. Übersicht virtueller Teststand mit Testautomatisierung.
© MicroNova

Das System zum Test der Lenkungssoftware von Volkswagen basiert auf einer Nachbildung des Prozessors sowie weiterer angebundener Bausteine zur Systemüberwachung, Motoransteuerung (GDU) und Buskommunikation. Die Simulationstiefe umfasst in diesem Fall neben der Ausführung der einzelnen Instruktionen des Prozessors auch die Implementierung aller als Hardware vorlie- genden Register sowie die Simulation des Prozessor-Timings. Durch die detail- getreue Darstellung von Cache-Zu- griffen und Speicherbereichen können Testingenieure tief im System liegende Fehler identifizieren.

Der virtuelle Teststand besteht aus zwei redundant aufgebauten Strängen mit jeweils einem Mehrkernprozessor. Der Prozessor kommuniziert mit dem Fahrzeugbussystem, führt die Inter-ECU-Kommunikation (IEC) durch und empfängt Sensorsignale aus Nutzereingaben für Lenk- und Komfortfunktionen. Außerdem stellt er die Ansteuerung des Motors (PS) bereit. Das Motormodell wurde in Form einer Schaltungssimulation umgesetzt, die teilweise auch transiente Schaltvorgänge der Motoransteuerung berücksichtigt. Die Restbussimulation stammt aus einem Hardwareprüfplatz und wird in minimal modifizierter Form über einen simulierten Fahrzeugbus angebunden.

Zu Beginn startet eine Testautomatisierungslösung, zum Beispiel EXAM, die Simulation für das Testobjekt, also in diesem Fall die unmodifizierte Lenkungssoftware (in Bild 1 grün markiert). Die notwendigen Kalibrier- oder Lerndaten werden beim Start automatisch mitgeladen. Aufgrund der Simulationseigenschaften besteht die Möglichkeit, an jeder beliebigen Stelle des virtuellen Prüfstands Daten aufzuzeichnen oder zu manipulieren.

Das können innerhalb des Prozessormodells Speicherbereiche, Register der Hardware oder Ein-/Ausgabeleitungen des Mikrocontrollers sein. Zudem werden an den Sensoren und im Motormodell physikalische Größen vorgegeben und gemessen. Weil das externe System keinen Einfluss hat, gewährleistet dieses Vorgehen die maximale Reproduzierbarkeit des Tests, und sichert so eine gleichbleibend hohe Testqualität sowie zuverlässige Überprüfbarkeit der Ergebnisse.

Funktionale Sicherheit nach ISO 26262
Innerhalb der Risikobewertung nach ISO 26262 wird eine Einstufung nach Automotive Safety Integrity Level (ASIL) A bis D vorgenommen. Hierbei stellt ASIL D die höchsten Anforderungen dar, wie sie zum Beispiel für das autonome Fahren notwendig sind. Mit dem neuen Konzept des virtuellen Teststands kann die Lenkungssoftware bereits sehr früh im Entwicklungsprozess bis zu einer Einstufung nach ASIL D abgesichert werden.

 

Anwendungsmöglichkeiten des Systems

Die Testmöglichkeiten des virtuellen Prüfstands sind vielfältig und lassen sich an die jeweilige Anforderung anpassen. Bild 1 zeigt beispielhaft mögliche Anregungspunkte in Blau dargestellt. Diese werden wie in realen Prüfständen über das Bussystem oder über Sensoreingänge getriggert. Da- rüber hinaus bietet der Prüfstand eine Vielzahl von Schnittstellen, um gezielt Störungen hervorzurufen und zu messen, ob die zu testende Software die gewünschte Reaktion zeigt.

Zusätzlich lassen sich erhebliche Eingriffe in den Prüfstand vornehmen: Dadurch können Speicherbereiche modifiziert werden und es besteht die Möglichkeit, unsichere Zustände oder Mani- pulationen der Ein- und Ausgänge des Mikrocontrollers hervorzurufen. An herkömmlichen Hardwareprüfständen sind solche Veränderungen gar nicht oder nur mit hohem finanziellem Aufwand machbar. Gleiches gilt beispielsweise für Timeouts bei Überwachungsfunktionen oder bewegte mechanische Teile. Das Systemverhalten des virtuellen Prüfstands entspricht hier idealerweise vollständig dem eines Hardwareprüfstands.

Beim virtuellen Teststand bestehen noch vereinzelt Einschränkungen aufgrund des Modellcharakters der verwendeten Komponenten: Während beispielsweise die ECU-Simulation bereits äußerst genau ist, beschränkt sich die Genauigkeit der Motorsimulation bislang auf das grundsätzliche Motorverhalten in ausgewählten Betriebszuständen. Ein Beispieltestfall besteht darin, die Sensoren „Sensoreingabe 1“ und »Sensoreingabe 2« mit unplausiblen oder ungültigen Werten zu versehen und gleichzeitig die Strangkommunikation (IEC) zu stören. Das System muss auch in diesem Extremfall einen sicheren Ausgangszustand erreichen.

Verbessertes Testvorgehen

Der virtuelle Prüfstand, den MicroNova für VW entwickelt hat, kam bereits in mehreren Testschleifen der Lenkungssoftware zum Einsatz. Die dynamischen Tests gingen dabei über die Möglichkeiten vieler Hardwareprüfstände hinaus.

Für die Absicherung sicherheitskritischer Softwaresysteme ist es notwendig, die unmodifizierte Software auf einem vollständig simulierten Prozessor auszuführen
Bild 2. Für die Absicherung sicherheits- kritischer Softwaresysteme ist es notwendig, die unmodifizierte Software auf einem vollständig simulierten Prozessor auszuführen. Bezogen auf einen AUTOSAR-konformen Aufbau der Software wird dieses Vorgehen auch Level 4 vECU genannt und erfordert keine Bewertung der Unterschiede zwischen Zielsoftware und Teststand
© MicroNova

»Die virtuelle ECU Level 4 war für uns ein neuer innovativer Weg, um hochverfügbare Lenkungen für autonomes Fahren abzusichern«, erläutert Matthias Glück, Projektleiter virtuelle ECU Volkswagen. »Viele Tests wurden dadurch einfacher und wesentlich effizienter. Das Potenzial und die Möglichkeiten, die wir mit der vECU L4 (Bild 2) sehen, werden wir zum Ausbau und zur Verbesserung unserer Testvorgehen weiter nutzen und vorantreiben.«

Damit lässt sich eine umfassende Absicherung der sicherheitskritischen Komponenten zu verschiedenen Zeitpunkten der Entwicklung sicherstellen. Vor allem in Hinblick auf das autonome Fahren ist die hohe Verfügbarkeit des Lenksystems unerlässlich und muss im Test belegbar nachgewiesen werden. Virtuelle Teststände sind in Zukunft unumgänglich für diese technischen Anforderungen, wie die hohe Skalierbarkeit und die Vielzahl an Testvariablen, die das autonome Fahren mit sich bringt.

 

Die Autoren

 

 

Robert Evert von MicroNova
Robert Evert von MicroNova.
© MicroNova

Dr. Robert Evert

ist Consultant im Bereich Testing Solutions bei MicroNova. Sein Schwerpunkt liegt auf der Integration und Erweiterung der Kernkomponenten des virtuellen Prüfstands beim Kundenunternehmen. Er besitzt einen Master of Science Elektrotechnik und eine abgeschlossene Promotion im Bereich Materialforschung.

Andreas Drews von MicroNova
Andreas Drews von MicroNova.
© MicroNova

Andreas Drews

ist Teilprojektleiter Consulting & Services im Bereich Testing Solutions bei MicroNova. Mit langjähriger Erfahrung in der Entwicklung und im Test von Software koordiniert er Projektaufgaben und unterstützt mit seinem Fachwissen. Drews besitzt den Bachelor of Engineering in Elektrotechnik und Informationstechnik.

Stephan-Schmidt von MicroNova
Stephan-Schmidt von MicroNova.
© MicroNova

Stephan Schmidt

betreut als Standortleiter bei MicroNova seine Teams in Kundenprojekten vor Ort. Die Experten unterstützen und begleiten komplexe Testprozesse in der Automobil- und Windenergieanlagenentwicklung. Schmidt ist Dipl. Ingenieur (FH) Elektrotechnik mit Vertiefungsmodul technische Informatik. Sein Schwerpunkt liegt in der Umsetzung von virtuellen Steuergeräten mit einem sehr hohen Detailgrad.


Das könnte Sie auch interessieren

Verwandte Artikel

MicroNova AG