Integration of highly-automated driving functions with fail-operational properties

In Hinblick auf die aktuellen Bestrebungen den Straßenverkehr zu automatisieren, wird die Verfügbarkeit der beteiligten elektronischen Fahrfunktionen zu einem zentralen Sicherheitsaspekt. Bei zukünftigen Anwendungen, wie dem Autobahnpiloten, sollen Fahrzeuge in der jeweiligen Fahrsituation, ohne permanente manuelle Überwachung durch den Fahrer, automatisiert geführt werden. Aktuelle teilautomatisierte Funktionen, wie Einparkassistenten, setzen demgegenüber auf den Fahrer als Rückfallebene um ein Fehlverhalten des Systems zu erkennen und entsprechend einzugreifen. Bei Fahrszenarien mit höheren Geschwindigkeiten ist dieser Ansatz jedoch nicht tragfähig, da ein Übergang zwischen automatisiertem und manuellem Fahren je nach Situation etlichen Sekunden in Anspruch nimmt. Zur Erreichung eines höheren Automatisierungsgrads ist es folglich unumgänglich eine ununterbrochene Funktionsverfügbarkeit auch im Falle eines Komponentenversagens sicherzustellen. Durch die Vielzahl der potentiellen Fehlerursachen, den neuen Anforderungen von hochintegrierten Mehrkern-Steuergeräten und aufgrund der benötigten deterministischen Latenzzeiten von wenigen Millisekunden zwischen dem Erfassen von Umweltinformation durch Sensoren und das Regeln der Aktuatoren, wird der Entwurf dieser Systeme zur komplexen Herausforderung. Durch die Notwendigkeit jede Systemkonfiguration für jeden Fehlermodus während der Systemintegration einzeln zu prüfen, stoßen aktuelle Entwicklungsmethoden dabei an ihre Grenzen. Nicht selten sind sporadische Probleme im Zeitverhalten mit schwer lokalisierbaren Grundursachen das Ergebnis dieser Vorgehensweise. Um den Wandel von einer ""Fail-Safe""- zu einer ""Fail-Operational""-Systemarchitektur in der Automobilbranche zu vereinfachen, wird eine neue Synthesemethodik vorgestellt, die bereits beim Systementwurf ein korrektes zeitliches Verhalten in allen antizipierten Fehlerfällen garantiert. Hierfür werden durch Erweiterungen des AUTOSAR-Austauschformats Verfügbarkeitsanforderungen für unterschiedliche Systemfehlermodi deklarativ spezifiziert und im Sinne des ""Frontloading""-Prinzips durch ein toolgestütztes Verfahren frühzeitig zur formalisierten Schnittstellenbeschreibung verfeinert. Im Detail wird für jede Softwareinstanz und jedes Bussignal automatisiert ein gültiges Ausführungsfenster pro Fehlermodus berechnet. Durch korrekte Implementierung dieser Schnittstellenanforderungen in den einzelnen Steuergeräten wird garantiert, dass das Gesamtsystem ohne weiteren Aufwand auch ein korrektes Zeitverhalten aufweist. In Summe werden somit Integrations- und Testaufwände erheblich reduziert und das latente Risiko von systematischen Zeitfehlern vollständig eliminiert. Zur Aufrechterhaltung der Fahrfunktionen während eines Fehlers baut die Methodik hierbei auf einem Ressourcen-effizienten Laufzeitverfahren zur generischen Verfügbarkeitsverwaltung auf, welcher im Vortrag auch kurz erläutert wird.