Simulation unterstützt bei der Sicherheitsvalidierung

Ansys bietet eine offene Simulationsplattform für autonome Fahrzeuge, welche die Herausforderungen beim Aufbau und Test der Systeme und Embedded-Software für die Steuerung autonomer Fahrzeuge adressieren. Sie besteht aus dem modellbasierten Entwicklungswerkzeug SCADE und der Analysesoftware Medini für funktionale Sicherheit. Eine Integration von Physik, Elektronik, Embedded-Systemen und Softwaresimulation macht es möglich, vollständige autonome Fahrsysteme in einem Bruchteil der Zeit und im Kostenrahmen der erforderlichen Straßentests exakt zu simulieren. Die Plattform erzeugt das virtuelle Fahrzeug wie auch Fahrszenarien und modelliert die virtuelle Welt, in der das autonome Fahrzeug in Betrieb geht. Dies erfolgt mittels präziser Simulation von Sensoren und Fahrzeugdynamiken.

Das Integrity-Echtzeitbetriebssystem (RTOS) von Green Hills Software bietet eine zuverlässige sicherheitszertifizierte Plattform für den Einsatz der Target-Software im Automotive-Bereich. Die Ansys-Plattform kann sicherheitskritische Softwarekomponenten generieren und diese auf dem Integrity RTOS bereitstellen. Ebenfalls in die Plattform integriert ist die von Edge Case Research (ECR) entwickelte automatisierte Software Switchboard, welche die Robustheit prüft. Eine große Zahl von Simulationsszenarien mit steigendem Schwierigkeitsgrad versucht dabei kritische Randfälle zu finden, welche Systemausfälle verursachen. Diese integrierte Lösung kann somit durchgehende Sicherheit in Deep-Learning-basierten und anderen autonomen Fahrsystemen erzielen.

Signale und Systemantworten per Simulationsmodell

Ansys Medini hilft bei der Verwaltung des Sicherheits-Validierungsprozesses und bindet wichtige Sicherheitsanalyseverfahren wie die FMEA (Failure Modes and Effects Analysis) ein. Hinzu kommt Unterstützung für die Sicherheitsanalyse und die Entwicklung gemäß ISO 26262 für elektrische/elektronische Systeme und softwaregesteuerte sicherheitsbezogene Funktionen. Das Fahrszenariomodell animiert die Bewegung des Testfahrzeugs sowie anderer Fahrzeuge und Objekte in einer Testfahrt. Sensormodelle beobachten die Umgebung in der virtuellen Welt und geben Sensordaten aus. Signalverarbeitungsmodelle und Deep Learning identifizieren dann Objekte und Fahrzustände aus diesen Sensordaten.

Steuerungsalgorithmen treffen Steuerungsentscheidungen, erzeugen Aktuatorsteuersignale und zeigen dem Fahrer Informationen sowie Entscheidungen an. Fahrzeugkomponentenmodelle verwenden die Aktuatorsteuersignale und berechnen die Antwort von Fahrzeug-Subsystemen, wie beispielsweise Lenkung und Bremsen. Das Fahrdynamikmodell berechnet die Position, Geschwindigkeit und Ausrichtung des Testfahrzeugs. All diese integrierten Systeme ermöglichen es, jedes Fahrzeug mit jeder Sensorausstattung schnell und kostengünstig mit jedem Steuerungssystem in jedem Fahrszenario zu simulieren.

Maschine und Mensch mit schwierigen Fahrsituationen fordern

GHA704 Fig 5. screen capture CMYK

Bild 5: Per Simulationstool können Entwickler Objekte und Ereignisse anordnen, Sensormesswerte simulieren und feststellen, wie Wahrnehmungssysteme arbeiten oder wie das autonome Fahrsystem reagiert.

Weiterhin kann das ECR-Switchboard der Ansys-Plattform Wahrnehmungsfehler feststellen und detektiert beispielsweise, dass sich eine hohe Erkennungsrate nach kaum wahrnehmbaren Umgebungsveränderungen extrem verschlechtert. In solch einem Fall ist es möglich, den Deep-Learning-Algorithmus während des Testbetriebs um die vom Switchboard gefundenen Fehler anzulernen.

Ein Simulationstool (Bild 5) bietet den Entwicklern vielfältige Möglichkeiten. Sie können Objekte und Ereignisse gezielt anordnen, Sensormesswerte simulieren und feststellen, ob die Wahrnehmungssysteme Objekte und Ereignisse richtig erkannt haben oder nicht, ebenso auch, ob das autonome Fahrsystem richtig reagiert hat oder nicht. Um die Sicherheit der Wahrnehmungsfunktion beweisen zu können, ist eine großangelegte Erzeugung schwieriger Fahrsituationen erforderlich, die autonome Fahrsysteme sowie menschliche Fahrer herausfordern. Ein neuartiger Algorithmus des ECR-Switchboards findet dabei aus der potenziell endlosen Anzahl möglicher Tests diejenigen heraus, die zum Ausfall autonomer Fahrsysteme führen und hilft zu verstehen, warum der Fehler aufgetreten ist.

Eine Flut von Eingangsparametern provoziert Systemausfälle

Dieser Ansatz modelliert die Menge fehlerauslösender Eingangsgrößen als ein kartesisches Produkt und identifiziert sie durch aktive Abfrage des autonomen Fahrsystems. Das ECR-Switchboard bombardiert die Schnittstelle mit einem Gemisch aus nominalen und außergewöhnlichen Eingangsparametern, bis ein Fehler ausgelöst wird, der zu einem Systemfehler führt. Dieser Ansatz ist sehr effektiv bei der Suche nach Randfällen, die aufgrund nicht robuster Handhabung außergewöhnlicher Eingangsgrößen zu Systemausfällen führen. Der Strom von Eingangsgrößen lässt sich dann über eine Testfall-Reduzierungsstufe verringern, um einen minimalen Testfall zu isolieren, der den Fehler reproduziert.

Für geringdimensionale Eingangsgrößen ist es oft einfach, den Auslöser von Systemfehlern durch eine Überprüfung zu bestimmen. Autonome Fahrsysteme weisen aber hochdimensionale Eingangsgrößen auf, in denen selbst ein minimaler Testfall Hunderte von Eingangsparameter enthalten kann – viel zu viel, als dass ein Mensch den Auslöser für den Systemausfall einfach identifizieren könnte. Das Switchboard reagiert auf diese Herausforderung, indem es eine Reihe von fehlerauslösenden Eingangsgrößen erzeugt, die durch einfache, vom Menschen interpretierbare Regeln gekennzeichnet sind. Selbst wenn diese Vorschläge nicht perfekt sind, dienen sie als Hinweise, um einen Entwickler in den Bereich des Codes zu führen, der den Fehler enthält.

Mit vereinten Kräften in die Zukunft

Um serienreife, sichere autonome Fahrsysteme bereitzustellen, ist ein neuer Ansatz bei der Entwicklung, der Simulation und dem Test erforderlich. Bewährte sicherheitskritische Prozesse und Entwicklungstechniken aus den Automotive- und Avionikmärkten lassen sich mit herkömmlichen Methoden nicht ausreichend zuverlässig validieren und benötigen eine Erweiterung um neue Testsoftware. Ansys, Edge Case Research und Green Hills Software arbeiten daher zusammen, um heutige Forschungsprogramme zu übernehmen und damit Fertigungssysteme von morgen zu realisierbar zu machen.

Seite 2 von 212