ECU-Software sicher in Serie bringen Wegbereiter eines komplexen System- und Daten-Managements

Zusammenspiel von Entwicklungsstandards- und -Prozessen sind die Herausfordungen.
Zusammenspiel von Entwicklungsstandards- und -Prozessen sind die Herausfordungen.

Komplexe Funktionen, vielfältige Algorithmen, ein riesiges Datenaufkommen und der Bedarf nach leistungsfähigen Steuergeräten begleiten die Entwicklung des autonomen Fahrzeugs. Das Zusammenspiel von Steuergeräte-Software und -Hardware samt Steuergeräte-Integration ins Auto sind die Herausforderungen.

Das Streben nach autonomem Fahren hat sich in sehr kurzer Zeit zu einem der wichtigsten Themen in der Automobilindustrie entwickelt. Immer mehr Daten und Informationen für verschiedene Funktionen fließen im Fahrzeug. Die komplexer werdenden Funktionen und Algorithmen benötigen zuverlässige Lösungsmethoden und den Entwicklungsprozess begleitende Werkzeuge, die mit den rasant entstehenden Herausforderungen Schritt halten können. Dazu gehören auch der Einsatz zentraler und leistungsfähiger Steuergeräte (Electronic Control Unit, ECU) und deren Inte¬gration in die verschiedenen Fahrzeugplattformen. Hierfür wird sowohl die Bereitstellung einer zuverlässigen ECU-Basis-Software als auch eine leistungsfähige, abgesicherte Werkzeugkette für die Validierung vorausgesetzt.

Die komplexen Fahrfunktionen eines autonomen Fahrzeugs werden durch eine Vielzahl von Algorithmen realisiert. Die sicherheitskritischen Anforderungen an diese Algorithmen stellen die Software-Entwickler vor große Herausforderungen bei der Systemintegration.

Die Bereitstellung einer ECU-Basis-Software ist dafür essenziell und dient mit ihren vielen Basisfunktionen als „Grundgerüst“ für das Steuergerät. Damit sich die Funktionsentwickler auf Ihre Kernkompetenzen der Algorithmus-Entwicklung konzentrieren und dem Kunden trotzdem ein breitenerprobtes, zuverlässiges Software- und Hardware-Paket bieten können, unterstützt das Uternehmen b-plus sowohl bei der ECU-Basis-Software-Entwicklung als auch bei den darauffolgenden Validierungs- und Entwicklungsprozessen bis zur Serienreife eines Steuergeräts. Einige der wesentlichen Herausforderungen werden nachfolgend dargestellt (Bild 1).

Funktionale Sicherheit nach ISO 26262

Die ISO-26262-Norm beschreibt die Anforderungen an ein sicheres System.

Software-Ebene

Auf dieser Basis erarbeiten Manager und Entwickler, die für die funktionale Sicherheit zuständig sind, ein passendes Safety-Konzept und setzen die daraus abgeleiteten Anforderungen in der Software um. Dank der Vielfalt an Methoden und Maßnahmen zur Vorbeugung aller denkbaren Fehlerszenarien wird ein solches System mit der Zeit robust gegen jeden möglichen Funktions- oder Systemfehler abgesichert.

Hardware-Ebene

Um den Datenstrom abzusichern, müssen beispielweise Prüfsummen und Botschaftszähler zum Einsatz kommen (Bild 2). Je nachdem, wo dabei angesetzt wird, kann die Kette komplett – End-2-End – vom Steuergerät bis zum Messdatenrekorder abgesichert werden.

Zum einen ist es möglich, mit einem Messdatenservice direkt am Steuergerät anzusetzen, zum anderen können am Messdateninterface Prüfsummen und Botschaftszähler hinzugefügt werden. Somit lässt sich der resultierende Datenstrom absichern sowie beim Empfang, bei der Aufzeichnung und beim Abspielen auf Datenintegrität prüfen. Geschieht nun ein Übertragungsfehler in der Werkzeugkette, wird das beim Öffnen des Datensatzes angezeigt. Die Detektion der Korrektheit der Information ist ein wichtiger Baustein für eine erfolgreiche Absicherung nach ISO 26262.

Error Management

Die Komplexität und die Interaktion verschiedener Steuergeräte erfordern strukturierte und aussagekräftige Diagnose- und Fehlerinformationen. Werden undefinierte Zustände erreicht oder essenzielle Warnungen nicht korrekt weitergegeben, können wichtige Fahrerassistenzsysteme nicht mehr zuverlässig unterstützen oder sogar ausfallen. Für das Handling dieser Fehler im Fahrzeug werden unterschiedliche Überwachungsmaßnahmen in die Software integriert. Relevante Daten werden dabei gesammelt, analysiert und in bereitgestellten Speichern abgelegt. Je besser eine Überwachung und folglich deren Datenauswertung erfolgt, desto weniger undefinierte oder wertlose Daten fallen an. Mit Hilfe eines entsprechenden Monitorings steht Entwicklern und vor allem auch Werkstätten eine Überwachungs- und Fehlerbehandlungsfunktion zur Verfügung, die entsprechende Reaktionen ermöglicht sowie Lösungsansätze im Sinne einer Predictive Maintenance beinhaltet. Je nach auftretendem Fehler erhält auch der Fahrer essenzielle Informationen über den aktuellen Fahrzeugzustand, betroffene Komponenten können neu gestartet werden oder aus Sicherheitsgründen bis zum nächsten Werkstattbesuch deaktiviert werden.

Anbindung per Buskommunikation

Bei der Integration eines Steuergeräts ins Fahrzeug ist die Anbindung der Busse und Netzwerke ein weiterer wichtiger Baustein. Welche Botschaften an andere Bus- und Netzwerkteilnehmer geschickt werden, welche empfangen werden und in welchem Bereich sie gültig sind, definiert man bei der Konfiguration des sogenannten COM-Stacks in der Basis-Software. Im COM-Stack konfiguriert der Software-Entwickler die verschiedenen Kommunikationsnetzwerke passend für das Fahrzeug und das entsprechende Steuergerät. Eine sichere und stabile Kommunikation ist hierbei wichtig. Mithilfe einer angepassten Test- und Simulationsumgebung wird die reale Situation im Fahrzeug nachgestellt und der COM-Stack dabei validiert. Diese realitätsnahen Erkenntnisse ermöglichen eine zielgerichtete Optimierung. So wird eine sichere und korrekte Kommunikation der AUTOSAR-Umgebung mit dem Technikträger sichergestellt.