Integriertes und sicherheitsbezogenes Vorgehen zur Entwicklung eines Fahrdynamikregelsystems. Safety & Security 2010

Transkript

1 Integriertes und sicherheitsbezogenes Vorgehen zur Entwicklung eines Fahrdynamikregelsystems Safety & Security 2010 Dr. N. Zambou, Stuttgart

2 Motivation de Havilland DH82A Tiger Moth elevator and rudder control cables Bei der Innovation geht die Automobilindustrie durch verschiedene Entwicklungsschritte, die aus der Luftfahrt bekannt sind. 2 / Dr. N. Zambou / CETC-VF / Continental AG

3 Einführung (1/2) Elektronische Systeme im Automobilbereich Immer weiter steigender Einsatz (Prognose bestätigen dieser Trend auch in der Zukunft) Realisierung von Komfort- und Sicherheitssystemen Kürzeste Entwicklungszeit & kompakte Bauform Höhere Anforderungen an dem Produktentwicklungszyklus Steigende Komplexität Kostendruck Standardisierter Entwicklungsprozess ist notwendig Ist ein standardisierter Entwicklungsprozess auch für die Entwicklung von Sicherheitssystemen ausreichend? 3 / Dr. N. Zambou / CETC-VF / Continental AG

4 Einführung (2/2) Sicherheit Allgemein: Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird. Interpretation im Automobilbereich: Sicherheitsfunktion ist eine Funktion, die den Fahrzeugführer in kritischen Fahrsituationen passiv oder aktiv unterstützt. Sicherheit wird nur als relativer Zustand der Gefahrenfreiheit angesehen. Ziel bei der Entwicklung von Sicherheitssystemen: Relativer Zustand der Gefahrenfreiheit näher bzw. in Richtung gefahrenfreier Zustand zu halten, d.h. Risikoreduzierung (vollständige Ausschluss von Risiken ist unmöglich). Standardisierter Entwicklungsprozess ist erforderlich & Sicherheitsbezogener Entwicklungsprozess ist erforderlich 4 / Dr. N. Zambou / CETC-VF / Continental AG

5 Gliederung Entwicklungsprozess und Sicherheitsnormen in der Automobilindustrie Anwendungsfall aus der Continental AG Division, BU EBS Modellbasierte Umsetzung des sicherheitsbezogenen Entwicklungsprozess Integration der Architektur mit regelungstechnischen Werkzeugen Zusammenfassung 5 / Dr. N. Zambou / CETC-VF / Continental AG

6 Standardentwicklungsprozess Etablierter Entwicklungsprozess: V-Modell Iteratives Vorgehen Geeignet für die Entwicklung von Systemen mit mehreren Abstraktions- und Integrationsebenen. SYSTEM Entwicklung Analyse der Systemanforderungen und Spezifikation der logischen Systemarchitektur Analyse der logischen Systemarchitektur und Spezifikation der technischen Systemarchitektur SOFTWARE Entwicklung Specification top down - Analyse der Softwareanforderungen und Spezifikation der Softwarearchitektur Spezifikation der Software Komponenten Validation bottom up - Integrationstest der Software Integration der Software Komponenten Integrationstest des Systems Integration der Systemkomponenten SOFTWARE Entwicklung SYSTEM Entwicklung Design und Implementierung der Software Komponenten Test der Software Komponenten 6 / Dr. N. Zambou / CETC-VF / Continental AG

7 Sicherheitsnorm (generische): IEC Title: Ziel: Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer / programmierbarer elektronischer (E/E/PE) Systeme Beschreibt einen allgemeinen Lösungsweg für alle Tätigkeiten während des Sicherheitslebenszyklus von Systemen in allen Industriebereichen. Inhalt: Teil-1: Allgemeine Anforderungen Teil-2: Anforderungen an sicherheitsbezogene E/E/PE elektronische Systeme Teil-3: Anforderungen an Software Teil-4: Begriffe und Abkürzungen Teil-5: Beispiele zur Ermittlungen der Stufe der Sicherheitsintegrität (SIL) Teil-6: Anwendungsrichtlinie für die IEC und IEC Teil-7: Anwendungshinweise über Verfahren und Maßnahmen 7 / Dr. N. Zambou / CETC-VF / Continental AG

8 Sicherheitsnorm (branchenspezifische) Automobilindustrie: ISO DO-178 Aerospace ISO ISO ISO DIS Automotive ISO Road vehicles- Road CD Automotive Functional vehicles safety Functional safety IEC Firing EN Train IEC Generic IEC Machines IEC Nuclear Plants IEC Medicine IEC Process Industry 8 / Dr. N. Zambou / CETC-VF / Continental AG

9 Sicherheitsbezogener Entwicklungsprozess Erweiterter Entwicklungsprozess (gemäß ISO26262) Konzeptphase Item Definition Gefährdungs- und Risikoanalyse Funktionales Sicherheitskonzept Technisches Sicherheitskonzept System- Anforderungen Systemdesign Produktentstehungsphase: Systemebene Sicherheitsanalyse Safety Case Verifikation Validierung Integration Integrationstest Produktions- und Betriebsphase Produktion Wartung, Reparatur Demontage Produktentstehungsphase: Komponentenebene Komponententest Sicherheits- Anforderungen Komponenten- Architektur Komponenten- Design und Implementierung Sicherheitsanalyse Verifikation Validierung Integration Integrationstest 9 / Dr. N. Zambou / CETC-VF / Continental AG

11 Continental AG: Division Business Units 11 / Dr. N. Zambou / CETC-VF / Continental AG

12 Business Unit: Electronic Brake Systems (EBS) Business Structure Anwendungsfall: Traction Control System (TCS) 12 / Dr. N. Zambou / CETC-VF / Continental AG

13 Sicherheitsrelevante Aspekte in der Entwicklung des ausgewählten Fahrdynamikregelsystems (1/5) TCS Aufgabe TCS beeinflusst durch einen aktiven Bremsen- oder Motoreingriff das Antriebsmoment an einem oder mehrerer Rädern, so dass ein definierter Radschlupf nicht überschritten wird. Gefährdungs- und Risikoanalyse (GuR) (an einem Beispiel) Beispiel einer Gefährdung Während der Fahrt fordert TCS eine unmotivierte Anhebung des Antriebmomentes über den Fahrerwunsch. Folge Ungewolltes Selbstbeschleunigen des Fahrzeugs Im schlimmsten Fall: Kollision mit lebensgefährliche Verletzung eines Menschen Schadenausmaß: S3 (lebensbedrohliche und tödliche Verletzungen) Eintrittwahrscheinlichkeit: E4 (hohe Wahrscheinlichkeit) Beherrschbarkeit: C2 (Fahrer wäre noch fähig das Fahrzeug unter Kontrolle zu behalten) 13 / Dr. N. Zambou / CETC-VF / Continental AG

14 Sicherheitsrelevante Aspekte in der Entwicklung des ausgewählten Fahrdynamikregelsystems (2/5) ASIL Ermittlung (Worst Case) ISO S1 S2 S3 E1 E2 E3 E4 E1 E2 E3 E4 E1 E2 E3 E4 C1 Sicherheitsziel (für das Beispiel) A A B C2 A A B A B C Vermeidung einer Fahrzeug-Selbstbeschleunigung während normaler Fahrt aufgrund ungewollter hoher TCS-Motormomentenanforderung Sicherheitsziel Funkt. Sicherheitsanforderungen Funkt. Sicherheitskonzept C3 A B A B C A B C D 14 / Dr. N. Zambou / CETC-VF / Continental AG

15 Sicherheitsrelevante Aspekte in der Entwicklung des ausgewählten Fahrdynamikregelsystems (3/5) Systemdesign / Architektur der TCS-Funktion (Überblick) Funkt. Sicherheitskonzept wird in einem technischen Sicherheitskonzept überführt und im Systemdesign berücksichtigt. 15 / Dr. N. Zambou / CETC-VF / Continental AG

16 Sicherheitsrelevante Aspekte in der Entwicklung des ausgewählten Fahrdynamikregelsystems (4/5) Komponenten-Architektur (Beispiel eines Komponenten des Anwendungsfalls) Funktionale Sicherheitsbetrachtung ASIL-Dekomposition des Sicherheitsziels: Aufteilung in einen funktionalen und Sicherheitsanteil. Realisierung des Sicherheitsanteils: Einfache Architektur (Ausschalten der Funktion) High End Architektur (Komplexe mehrfache Auslegung von Überwachungspfaden mit voter) Lösungsansatz für das Beispiel: close loop actuation monitoring eines protected single channel Sensors Data Acquisition Data Integrity Check Processing Transformation Actuation Monitoring TCS / Output Control End Around Engine Wrap Around Actuation Results Sensors Diese Varianten werden bei der BU EBS Sicherheitsbarrieren genannt 16 / Dr. N. Zambou / CETC-VF / Continental AG

17 Sicherheitsrelevante Aspekte in der Entwicklung des ausgewählten Fahrdynamikregelsystems (5/5) Komponenten-Architektur (Beispiel eines Komponenten des Anwendungsfalls) Architektur mit Sicherheitsbarriere 17 / Dr. N. Zambou / CETC-VF / Continental AG

19 Entwicklungsprozess Beobachtungen in der Praxis (V-Modell) Nahtlose Übergang & traceability zwischen benachbarten Prozessschritten ist nicht gewährleistet. Demonstration des/r zu entwickelnden Systems/Funktion in den früheren Prozessschritten unmöglich (erst möglich nach erster SW-Implementierung Loop). Test von Funktionalitäten nur nach Implementierung (time consuming Prototype loops). Lösung: Modellbasierte Umsetzung des V-Modells Ein System/Software Entwicklung Vorgehen mit dem Fokus auf das Erstellen und Nutzen von expliziten Modellen, die die Entwicklungsaktivitäten und die Elemente des zu entwickelnden Systems beschreiben. Voraussetzungen: Modellierungsstandards sind definiert oder etabliert. Begleitende Werkzeugkette (tools chain) existiert. 19 / Dr. N. Zambou / CETC-VF / Continental AG

20 Modellbasierter Entwicklungsprozess (1/2) Nutzen Modellierungsstandards Strukturiertes Entwicklungsvorgehen Begleitende Werkzeugkette Automatisierte Entwicklungsaktivitäten Modellierungsstandards & begleitende Werkzeugkette Verschiebung von Aktivitäten von der rechten zu der linken Seite des V-Modells Vermeiden von Time consuming prototype loops Ermöglichung von Tests & Validierung in einer früheren Phase des V-Modells. 20 / Dr. N. Zambou / CETC-VF / Continental AG

21 Modellbasierter Entwicklungsprozess (2/2) Werkzeugkette für den Anwendungsfall (linke Seite des V-Modells) Prozessphasen Werkzeugkette Anforderungsverwaltung Systemarchitektur Software Architektur MDG Software Design Software Coding MATLAB Product Family Simulink Product Family Software Test 21 / Dr. N. Zambou / CETC-VF / Continental AG

23 Regelungstechnischer Ansatz Regelkreis: Konzept zur Realisierung des Sicherheitsanteils des Beispiel-Sicherheitsziel baut auf der Struktur des geschlossenen Regelkreises auf Konventionelle regelungstechnische Maßnahme tragen auch zur Realisierung des Sicherheitsziels bei, z. B.: Stellgrößenbegrenzung Anti Wind Up (AWU)-Maßnahme Actuation Monitoring TCS / Output Control End Around Engine Wrap Around Actuation Results Sensors 23 / Dr. N. Zambou / CETC-VF / Continental AG

24 Regelungstechnisches Werkzeug The Mathworks (TMW)-Tools chain Richtet sich nicht auf einen Standard wie Enterprise Architect-Tool Praxisbewährt, etabliert in mehreren Industriesektoren Meist eingesetzte Werkzeugkette in der Continental BU EBS MATLAB Product Family Simulink Product Family Funktionale und Sicherheitsanforderungen können parallel umgesetzt werden Arbeitsprodukte: Ausführbare Spezifikation (Simulink Modelle ggf. mit Skripten) Software Quellcode (Automatisch) Tests (von Modulen über Komponenten bis hin zu Systemen) 24 / Dr. N. Zambou / CETC-VF / Continental AG

26 Zusammenfassung Motivation/Einführung Notwendigkeit eines sicherheitsbezogenen Entwicklungsprozesses Entwicklungsprozess und Sicherheitsnormen Etabliertes V-Modell IEC (generische Norm) & ISO (spezifisch für den Automobilbereich) Sicherheitsbezogener Entwicklungsprozess Umsetzung Anwendungsfall aus der Continental Business Unit EBS (TCS) Konzeptphase Produktentstehungsphase Statement: Modellgestützte Umsetzung Mit dem ausgeführten Beispiel im diesem Beitrag stelle ich kein Anspruch auf eine vollständige Darstellung der TCS-Entwicklung bei der Continental BU EBS 26 / Dr. N. Zambou / CETC-VF / Continental AG