(Bild: Inchron)
Die enorme Menge unterschiedlicher Echtzeit-Anforderungen lässt sich weder manuell handhaben, noch lässt sie sich durch Tests von Funktionseinheiten abdecken. Es braucht verantwortliche Personen und Rollen, die die ganzheitliche Verantwortung für E2E-Echtzeit-Anforderungen (Ende-zu-Ende) sowie für Fahrzeug- und ECU-übergreifende Datenfluss-Wirkketten übernehmen. Design- und Verifikations-Tools helfen, das dynamische Verhalten eines Systems in allen Phasen des Entwicklungszyklus zu bewerten und zu optimieren. Die Wichtigkeit hierbei auch Wirkketten zu betrachten, nimmt beim automatisierten Fahren exponentiell zu.
SAE International definiert ein Klassifizierungsschema für automatisierte Fahrsysteme, das den Grad der Automatisierung in sechs verschiedenen Stufen von 0 bis 5 unterteilt. Bereits auf Stufe 2 können Fahrzeuge je nach gewähltem Fahrmodus sowohl Lenk- als auch Beschleunigungs- oder Verzögerungsvorgänge autonom ausführen.
Eckdaten
Sensoren, Aktoren und Regler in Steuergeräten erlauben in Kombination mit Sensordatenfusion oder ähnlichen komplexen Funktionen die Realisierung von autonomen Fahrsystemen. Allerdings führt das zu verschiedenen Prozessen und Kommunikationen und folglich zu kompletten Wirkketten. Um diese im Laufe eines Projekts richtig zu managen, braucht es Verantwortliche, die Anforderungen an Wirkketten und andere übergreifende Eigenschaften definieren, kontrollieren und auswerten.
Ein Beispiel hierfür ist der Staupilot von Audi. In Übereinstimmung mit SAE-Level 3 erlaubt er autonomes Fahren in Staus mit einer Geschwindigkeit von bis zu 60 km/h. Seine Realisierung erfordert eine Vielzahl von hoch sicherheitskritischen, komplexen Funktionen. Um in Echtzeit zuverlässig zu kommunizieren, integriert Audi insgesamt 28 Steuergeräten in das Fahrzeug. Diese sind über mehrere Netzwerke mit verschiedenen Sensoren und Aktuatoren verbunden, um so in Echtzeit zuverlässig zu kommunizieren.
Komplexität und Risiko managen
Bild 1: Mehrere überlappende Sensoren. Inchron
Entwickler und Architekten solcher automatisierten Fahrsysteme müssen ein hohes Maß an inhärenter Funktions-, Technologie- und Organisationskomplexität bewältigen, was auf das komplexe dynamische Verhalten und die durch die Echtzeitverfügbarkeit auferlegten Beschränkungen zurückzuführen ist. Darüber hinaus müssen automatisierte Fahrsysteme aufgrund der möglichen Gefahren und Risiken, die mit ihrem Betrieb einhergehen, strengen funktionalen Sicherheitsanforderungen genügen. Sie müssen Fehlfunktionen frühzeitig erkennen und entsprechende Korrekturmaßnahmen ergreifen, bevor tatsächlich Gefahren auftreten.
Verständnis des dynamischen Verhaltens
Beim hochautomatisierten Fahren steht Fahrerlebnis und Insassensicherheit in direkter Verbindung mit der Qualität und Zuverlässigkeit der zugrundeliegenden dynamischen System-, Soft- und Hardwarearchitektur. Das richtige Zeitverhalten dieser Systeme hängt zum einem ab von der zeitgerechten Ausführung ihrer verschiedenen verteilten Funktionen auf den verschiedenen ECUs und zum anderen vom Kommunikationsfluss zwischen diesen Funktionen über das Fahrzeugnetzwerk. Methoden und Werkzeuge zur Behandlung von Zeitproblemen auf Systemebene müssen deshalb Mittel zur Analyse bereitstellen, die beide Aspekte mit angemessener Genauigkeit behandeln und kombinieren.
Wirkketten sind Sequenzen von Ereignissen, die sich in einem System beobachten oder messen lassen. Im Bereich des autonomen Fahrens können Entwickler dieses Konzept dazu verwenden, die vielen verschiedenen Sequenzen von korrelierten Funktionsausführungen und deren Kommunikation entlang des Datenflusses von den Sensoreingängen über die Verarbeitungseinheiten bis hin zu den betroffenen Aktuatoren zu spezifizieren. Auch Wirkketten unterliegen Sicherheits- und Echtzeitanforderungen, die der OEM in Zusammenarbeit mit seinen Lieferanten definieren und verifizieren muss.
Wie man Projektrisiken reduzieren kann, erfahren Sie auf der nächsten Seite.
Definition von Schlüsselmetriken
Bild 2: Darstellung eines Wirkkettenpfades am Beispiel eines Notbremsassistenzsystems. Inchron
Schlechtes Anforderungsmanagement ist eine der Hauptursachen für Projektverzug und kann sogar zum Scheitern von Projekten führen. Die Praxis des Software-Engineerings hat auch gezeigt, dass Designprobleme, die durch schlechtes Anforderungsmanagement entstehen, zunehmend schwieriger und teurer zu lösen sind, je weiter ein Projekt voranschreitet. Bei der Entwicklung neuer Funktionen für das autonome Fahren sollte die Definition und Formalisierung von Anforderungen an die Dynamik von Wirkketten von Beginn des Entwicklungsprozesses erfolgen.
Für die Auswertung von Wirkketten haben sich folgende Metriken bewährt:
- Ende-zu-Ende-Latenz: Im Zusammenhang mit eingebetteten Systemen ist die Ende-zu-Ende-Latenz definiert als die Zeitdauer, die ein von einem Sensor (Quelle) erfasstes Signal benötigt, um das System zu durchlaufen und eine Antwort im angeschlossenen Aktuator (Ziel) zu erzeugen. Ein typischer Ende-zu-Ende-Latenzpfad für ein Notbremsassistenzsystem ist in Abbildung 2 dargestellt.
- Datenkonsistenz: Im Allgemeinen hängt die funktionale Korrektheit und Qualität automatisierter Fahranwendungen von der exakt durchgeführten Verschmelzung von Daten aus mehreren Sensorquellen (Sensor Data Fusion; SDF) ab. Der Verlust, die Mehrfachverarbeitung oder die Verarbeitung inkonsistenter Daten kann zu Fehlfunktionen führen.
- Ausführungsreihenfolge: Die Ausführungsreihenfolge von Funktionen folgt normalerweise dem Datenfluss. Die Zerlegung und Zuordnung von Funktionen zu Prozessen wird jedoch auch von Sicherheitseinschränkungen geleitet. Diese erfordern möglicherweise einen Prozessarchitekturentwurf, der mit Echtzeitanforderungen, die eine funktionale Domäne auferlegt, in Konflikt steht.
Reduzierung von Projektrisiken
Simulation und Worst-Case-Analyse, die auf einem virtuellen Prototyp des Systems basieren, können dazu beitragen, Design-Alternativen auf effiziente und kosteneffektive Weise zu untersuchen und zu bewerten. Zeitmodelle zur Beurteilung des dynamischen Echtzeitverhaltens können ein einzelnes Steuergerät oder ganze Systeme und Kommunikationsnetze umfassen. Der auf Modellen basierende Ansatz befasst sich mit vielen verschiedenen Entwurfsproblemen auf der logischen und technischen Architekturebene. Dabei ermöglicht er, Entwicklern gleich zu Beginn des Entwicklungsprozesses, Echtzeitanforderungen vor dem Aufbau des Systems zu prüfen und so Designentscheidungen zu evaluieren und Fehler im Echtzeitverhalten zu vermeiden.
Aktuelle Softwaretools liefern realistische Vorhersagen über das dynamische Ende-zu-Ende-Verhalten einer Anwendung. Dabei berücksichtigen sie die gesamte Planung und Interkommunikation der Prozesse auf allen Prozessorkernen, Mikrocontrollern, Peripheriegeräten und Bussen. Die modellbasierte Simulation bietet eine erhöhte Testabdeckung in Kombination mit einer intuitiven Visualisierung, die zu einem besseren Verständnis des Systemverhaltens und seiner potenziellen Schwächen führt. Dahingegen kann die Worst-Case-Analyse dabei helfen, bestimmte Randfälle zu finden und die Einhaltung der harten Echtzeitanforderungen zu überprüfen.
Thema auf der nächsten Seite: Integration und Test von Wirkketten.
Integration und Test von Wirkketten
Bild 3: Workflow eine Gesamtentwicklung mit virtueller Verifikation. Inchron
Heutzutage nutzen die meisten OEMs Black-Box-Test für ECUs, indem sie das Kommunikationsverhalten der verbindenden Bus-Netzwerke untersuchen. In der Regel werten Entwickler das dynamische Ende-zu-Ende-Verhalten von Wirkketten nur während des Systemtests ausreichend aus, was angesichts der Komplexität automatisierter Fahrsysteme nicht mehr ausreicht. Die Überprüfung der Qualität und Zuverlässigkeit von Wirkketten für das autonome Fahren ist ein Querschnittsthema. Dafür müssen die Projektpartner die OEMs stärker mit in die Integration und das Testen einzelner Steuergeräte und Teilsysteme einbeziehen.
Abbildung 3 zeigt den gesamten Workflow der Entwicklung mit Fokus auf Timing und Performance. Der erste Schritt beschreibt die Anforderungen an Wirkketten anhand der Fahrzeug- und Kundenfunktionen. Außerdem simulieren und testen die Entwickler hier auf hohem Abstraktionsniveau. Im zweiten Schritt kommen Network, ECU, CPU und Core zum System hinzu, wodurch sich der Detailgrad erhöht. Der dritte Schritt umfasst die Ebene der Tasks und Scheduler. Mittels eines Prototyps lassen sich im Schritt 4 die Netto-Ausführungszeiten mit einem Trace-Tool messen, die in den Schritten 1 bis 3 abgeleitet, abgeschätzt und budgetiert wurden. In Schritt 4 kann dann auch die Analyse des Zeitverhaltens aus den Messspuren erfolgen, die aus einem komplett implementierten System stammen. Schritt 5 ersetzt die Schritte 1 bis 3 durch eine automatische Modellerstellung, falls der Entwickler auf Basis von 4 und nicht auf Basis von 1 bis 3 beginnen will. Schließlich ist es notwendig, den kompletten Ablauf in einen automatisierten Workflow zu integrieren, damit sich der Test der virtuellen und realen Steuergeräte kontinuierlich durchführen lässt. Eine iterativ-inkrementelle Vorgehensweise wird zur kontinuierlichen Optimierung des Gesamtsystems genutzt.
Wirkketten-Experten übernehmen Verantwortung
Wer sollte also die Verantwortung für Wirkketten als Teil der Gesamtsystemfunktionalität übernehmen? Generell müssen die Stakeholder beim OEM, die für eine Kundenfunktion verantwortlich sind, auch die Anforderungen an Wirkketten und andere übergreifende Eigenschaften definieren, die direkten Einfluss auf die jeweilige Funktion haben können. Viele Unternehmen haben bereits erkannt, dass es notwendig ist, das Bewusstsein und das Wissen von Wirkketten auf Systemebene zu stärken. Sie haben damit begonnen, dedizierte Experten-Rollen zu etablieren, die ausschließlich für Wirkketten Verantwortung übernehmen. Diese Experten sind befugt, Anforderungen wie Zeitplanung und Leistung auf der Systemebene zu definieren und die erforderlichen Maßnahmen zu ergreifen, um die Einhaltung durch alle Beteiligten durchzusetzen.
Tier-1-Lieferanten spielen eine entscheidende Rolle beim Entwurf und der Entwicklung von automatisierten Fahrzeugen. In enger Zusammenarbeit mit dem OEM übernehmen sie die Verantwortung für die Qualität und die funktionale Sicherheit einiger Schlüsselfunktionen. Um die Anforderungen des OEMs hinsichtlich Ende-zu-Ende-Timings und -Performance zu gewährleisten, müssen Entwickler den Daten- und Kontrollfluss der Wirkketten innerhalb der Steuergeräte detailliert analysieren, planen und testen. Der Lieferant muss sicherstellen, dass die verfügbaren Hardwareressourcen zur Verfügung stehen und sie möglich effizient zum Einsatz kommen. Für diese Aufgaben sollten Lieferanten deshalb von Beginn des Entwicklungsprozesses an modellbasierte Simulations- und Worst-Case-Analysetools verwenden, die eine Möglichkeit bieten, die wichtigsten Kennzahlen der Wirkkette kontinuierlich zu testen und zu verifizieren.
Schließlich übernimmt der Integrator oder Integrationspartner in einem Projekt eine herausfordernde Schlüsselrolle. Er muss sicherstellen, dass der OEM und alle Tier-1- und Tier-2-Lieferanten die dynamische Architektur und das Design der Wirkkette verstehen und sich darauf einigen. Daher müssen alle beteiligten Parteien zusammenarbeiten, um die Wirkkettenmetriken nach jedem Zwischen- oder Integrationsschritt gegenseitig zu überwachen und zu bewerten.
Zusammenfassung
Zunehmend komplexere automatisierte Fahrsysteme umfassen eine drei- oder sogar vierstellige Anzahl von Wirkketten, von denen jede spezifischen zeitlichen Anforderungen unterliegen. Umfassende Testabdeckung des dynamischen Verhaltens und ausgereifte Integration der notwendigen Methoden und Werkzeuge in den Entwicklungsprozess sind der Schlüssel für erfolgreiche, zeitig abgeschlossene Projekte, die das Budget nicht überschreiten. Inchron bietet mit seiner Tool-Suite modell-basierte-Simulation, Worst-Case-Analyse, Optimierung, mess-basierte Visualisierung und automatisiertes Testen in einer umfassenden Lösung.
Olaf Schmidt
Mesut Özhan
Dr. Ralf Münzenberger
(prm)
