Adaptive Software-Architektur für E-Autos korrigiert selbständig Störungen

Pressemitteilung / 5.9.2013

Um Fehler in elektrisch betriebenen Fahrzeugen flexibel zu kompensieren, entwickeln Forscher in dem von der Europäischen Union geförderten Projekt SafeAdapt eine neue Software-Architektur für Fahrzeuge. Damit können Entwickler Software so entwerfen, dass Störungen im laufenden Betrieb vom System selbständig kompensiert werden. Dieses adaptive System baut auf dem Automotive-Standard AUTOSAR auf und unterstützt die Absicherung nach ISO 26262. Parallel erarbeitet das Konsortium unter der Führung des Fraunhofer ESK eine Entwicklungsmethodik, mit der die neue Architektur sofort eingesetzt werden kann. Das Projekt läuft noch bis Mitte 2016.

© Foto Fraunhofer ESK

In SafeAdapt wird die Software-Architektur von Fahrzeugen überarbeitet, so dass die vielen sicherheitskritischen Software-Funktionen auf wenigen Steuergeräten zuverlässig ausgeführt werden.

Um die Energieeffizienz von Fahrzeugen zu erhöhen, werden immer mehr mechanische Funktionen durch Elektronik ersetzt, sog. X-by-Wire Systeme. Da das zunehmend sicherheitskritische Funktionen betrifft, werden diese durch mehrfache Redundanz abgesichert, was die Kosten und den Energieverbrauch wieder erhöht. Deswegen hat sich das Fraunhofer ESK zusammen mit AWEFLEX, CEA LIST, Delphi Deutschland, Duracar, Fico Mirrors, Tecnalia, Pininfarina, Siemens und TTTech zum Ziel gesetzt, eine adaptive Softwarearchitektur für Fahrzeuge zu entwickeln. Mit dieser können Software-Entwickler bereits bei der Modellierung der Software die Sicherheitsanforderungen berücksichtigen.

Software-Architektur und Entwicklungsmethodik SafeAdapt

Durch die Software-Architektur werden Hardware-Redundanzen durch Software ersetzt, so dass zusätzliche Steuergeräte und damit Gewicht eingespart wird. Gleichzeitig unterstützt das Konzept die Wiederverwendung von ISO-konformen Software-Komponenten, wodurch Entwickler einzelne Komponenten in andere Fahrzeugtypen nahtlos einsetzten können. Ein generisches Fehlermanagement entlastet die Entwickler zusätzlich. Die Software-Architektur baut auf AUTOSAR auf und passt sich damit problemlos in bestehende Automotive-Strukturen ein.

Damit SafeAdapt sofort einsetzbar ist, wird parallel zur Software-Architektur die zugehörige Entwicklungsmethodik entworfen. Mit der Methodik definieren Entwickler bereits beim Entwurf der Software deren Adaptivität, d.h. deren Fähigkeit, Störfälle im laufenden Betrieb zu kompensieren. Zudem unterstützt sie mit einer frühen Abstraktion die Planung der Fahrzeug-Architektur.

Absicherung der Funktionen wird einfacher

Sicherheitskritische Funktionen wie Bremsen und Antrieb müssen absolut fehlerfrei funktionieren. Dafür wird die ISO 26262 verwendet, die die Software-Entwickler anleitet, was diese zur Absicherung ihrer Funktion überprüfen müssen. Ein aufwändiger Prozess, der die Entwicklung der eigentlichen Funktion begleitet. Mit SafeAdapt müssen Entwickler künftig nur noch den Variabilitätsgrad ihrer Funktion angeben, die Architektur setzt die notwendigen Mechanismen zur Fehlerbehandlung um.

Adaptivität macht Fahrzeuge robuster

Adaptivität ist ein Paradigma, das die Fehleranfälligkeit von Fahrzeugen während des Betriebs reduziert. Aktuell müssen Entwickler alle künftigen Fahrsituationen antizipieren und im Fahrzeugcode hinterlegen. Dieser hohe Aufwand limitiert die Flexibilität bezüglich neuer Situationen und Software, z.B. beim Nachrüsten eines Navigationssystems. Mit SafeAdapt definiert der Entwickler nur noch den Grad der Adaptivität und nicht jedes mögliche Szenario einzeln.

Bestehende Software-Architekturen unterstützen dieses Vorgehen nicht ausreichend, weshalb es bisher nicht eingesetzt wurde. SafeAdapt integriert das Vorgehen zuverlässig in die Software-Architektur zukünftiger Fahrzeuge.

Adaptivität ermöglicht die Reduktion von Hardware-Redundanzen, da bei Ausfall eines Steuergeräts nicht zwingend ein zweites im Standby-Modus gebraucht wird, sondern ein nicht ausgelastetes anderes Steuergerät die Ausführung der Software übernehmen kann. Dazu muss bei der Entwicklung bereits berücksichtigt werden, welche Parameter zur Ausführung einer Funktion auf einem Steuergerät notwendig sind.

Frühe Abstraktion hilft dem Systementwickler

Ein weiteres Feature von SafeAdapt ist die frühe Abstraktion. Bereits in der Entwicklungsphase kann der Entwickler feststellen, ob seine Funktion mit einer Software-Redundanz abgesichert werden kann. Ist dies nicht möglich, z.B. weil die Funktion besonders speicherhungrig ist, muss eine Hardware-Redundanz eingebaut werden. Wird dies schon früh im Entwicklungsprozess sichtbar, können auch die Systementwickler des Fahrzeugs früh darauf reagieren und kostspielige nachträgliche Änderungen werden überflüssig.

Dass die Konzepte nicht nur theoretisch funktionieren, zeigen die Partner an einem Fahrzeugprototypen, in den Softwarefunktionen integriert werden, die mit SafeAdapt entwickelt werden. Der Prototyp ist gegen Ende des Projekts in 2016 geplant.

Projektpartner

  • AWEFLEX Systems B.V. (Niederlande)
  • Commissariat á l’Energie Atomique et aux Energies Alternatives (CEA) LIST (Frankreich)
  • Delphi Deutschland GmbH (Deutschland)
  • Duracar Holding B.V. (Niederlande)
  • Fico Mirrors S.A. (Spanien)
  • Fraunhofer-Institut für Eingebettete Systeme und Kommunikationstechnik ESK (Deutschland)
  • Fundación Tecnalia Research & Innovation (Spanien)
  • Pininfarina SPA (Italien)
  • Siemens AG, Corporate Technology (Deutschland)
  • TTTech Computertechnik AG (Österreich)