Simulieren, Testen, Verifizieren –Alles oder Nichts?Alles oder Nichts?Systematische Funktionsabsicherung von elektronischen Fahrzeugsystemen

Innovationsforum Software Saxony“Innovationsforum „Software Saxony

Dr. Rocco Deutschmann

Dresden, 24.04.2009

engineering · software · test

ÜbersichtSimulieren Testen Verifizieren Alles oder Nichts?Simulieren, Testen, Verifizieren – Alles oder Nichts?

TraceTronic GmbHTraceTronic GmbH

Motivation

Simulation

EinsatzfelderEinsatzfelder

Techniken und Methoden im Absicherungsprozess

Testautomatisierung

GrenzenGrenzen

Semiformale Verifikation

Zusammenfassung, Fazit25.04.2009 2

Vorstellung TraceTronic GmbH

Über uns:Als ehemalige Ausgründung aus der TU Dresden bildet die TraceTronic GmbH ein interdisziplinäres Team aus Ingenieuren, Mathematikern und Informatikern zur Sicherung der Qualität Ihrer Produkte.

Kunden:

Leistungsspektrum/Know-How:Softwarewerkzeuge und Dienstleistungen für die Validierung eingebetteter Systeme

25.04.2009 3

Langjährige Erfahrung im Bereich des Tests und der Entwicklung automobiler Steuergerätesoftware

Motivation

MotivationN t di k it t ti h Ab i hNotwendigkeit systematischer Absicherung

25.04.2009 5

MotivationG ü d fü S t ti h Ab i hGründe für Systematische AbsicherungKosten für Fehlerbehebung am Beispiel eines (!) schweren Software Fehlers

25.04.2009 6

Quelle:• deutscher Automobilzulieferer, Erhebung aus dem Jahr 2000• method park, Safetronic 2004

MotivationV t il Si l ti t h ik b i T tVorteile von Simulationstechniken beim Testen

KostenKostenSpät entdeckte Fehler sind teure FehlerPrototypfahrzeuge sind sehr teueryp g

SicherheitsgedankenSimulationen zum Test von ABS ESP CrashsSimulationen zum Test von ABS, ESP, Crashs

Prozesse mit hoher ZeitkonstantefEinfaches Reset physikalischer Prozesse möglich

z. B. „Motorabkühlung auf Knopfdruck“

A i i b k iAutomatisierbarkeitSimulationen sind leichter steuerbar als echte Hardware

z B automatisiertes Abfahren eines virtuellen Testparcours“z. B. „automatisiertes Abfahren eines virtuellen Testparcours

25.04.2009 7

MotivationAb i h d Si l iAbsicherung und Simulation

Grundthese:Grundthese:

„Systematische und ökonomische Absicherung elektronischer Fahrzeugsysteme ist ohne Simulation nicht durchführbar!“

Simulation als das zentrale Mittel zur systematischen FunktionsabsicherungFunktionstests durchgängig in simulierten oder teilsimulierten UmgebungenSystematisches , frühzeitiges Testen ohne Simulationen nicht (mehr) möglich

25.04.2009 8

Simulation

EinsatzfelderEinsatzfelder

SimulationEi f ldEinsatzfelder

M h t i hM h t i h S tS tMechatronischesMechatronisches SystemSystem

Entwicklung und FunktionsEntwicklung und Auslegung

Funktions-absicherung

25.04.2009 10

SimulationIn der Entwicklung und AuslegungIn der Entwicklung und Auslegung

CrashsimulationQuelle: BMW

Simulation von VerbrennungsprozessenQuelle: www.cerfacs.fr

Mechanische ModelleFahrwerksentwicklung

Q

Strömungssimulation• Aerodynamik

M t t i kl

VerschleißsimulationAuslegung mechanischer Bauteile

Quelle: Mercedes

25.04.2009 11

• Motorenentwicklung

Simulation In der F nktionsabsicher ngIn der Funktionsabsicherung

Sensorrückmeldung

Sensormodelle

Streckenmodelle

Aktormodelle

TestobjektRestbusmodell

(Funktion, Steuergerät) Testumgebung

Aktoransteuerung

25.04.2009 12

g

Simulation

Techniken und MethodenTechniken und Methodenim Absicherungsprozess

SimulationenEinordnung der TechnikenEinordnung der Techniken

Was wird simuliert?Was wird simuliert?Funktionen

Rapidprototyping

Umgebung

simuliert realap dp ototyp g

Modellgetriebene Entwicklung Modelliert Model-in-the-Loop

RapidUmgebung

Model-in-the-Loop Software-in-the-Loop

Rapid prototyping

ImplementiertSoftware-in-the-Loop

Funk

tion

Software in the Loop Hardware-in-the-Loop

In Hardware integriert

Hardware-in-the-Loop Prototypp

25.04.2009 14

In-the-LoopSim lations mfangSimulationsumfang

Primäres Ziel: „Nur das nötigste Simulieren“Simulation nicht zum Selbstzweck

Beispiel einer Umgebungssimulation für eine Motorsteuerungstest:Viele Vereinfachungen:

K t t U b d k d T t- Konstanter Umgebungsdruck und Temperatur - Feste Kurve für Motortemperatur - Bremsunterdruck konstantBremsunterdruck konstant- Kennfelder für die notwendigen Aspekte des VerbrennungsprozessesBehandlung komplexer physikalische Zusammenhänge:- Verwendung echter Drosselklappen statt Simulation

25.04.2009 15

Testautomatisierung und SimulationEffi i t Ei t i d Ab i hEffizienter Einsatz in der Absicherung

Testautomatisieurung und SimulationMotivationMotivation

TestautomatisierungTestautomatisierungEinmalige Testerstellung und automatisierte TestdurchführungTestdurchführungRegressionstest für neue SoftwareständeR d i b k it d E b iReproduzierbarkeit der ErgebnisseAuslastung der SimulationsumgebungenKonzentration auf den kreativen Teil des Testprozesses

25.04.2009 17

Effizienter Einsatz von SimulationT t t ti i f kTestautomatisierungsframework

Zentrale Kontrolle aller Werkzeugeg

Testautomatisierung ECUECU--TESTTEST 4Testautomatisierung

SimulationsplattformSimulationsplattform

Simulationsplattform ECU Bus SonstigesSimulationsplattform ECU Bus Sonstiges

HiL-PlattformendSPACE

SiL-SystemeM hW k

Diagnosewerkzeuge &A lik ti k

Bus-Zugriff Spezialwerkzeuge• dSPACE• ETAS• MicroNova

(National Instruments)

• MathWorks MATLAB/Simulink

• National Instruments

Applikationswerkzeuge

• …

• … • …

25.04.2009 18

Instruments) Instruments LabVIEW

SimulationGrenzen beim praktischen Einsatz

Begrenzende FaktorenR h k ftRechenkraft

Rechenkraft ist trotz stetiger Weiterentwicklung immer begrenztg g g

25.04.2009 20

Quelle: Prof. Stefan Kurz, ETAS GmbH,Hardware-in-the-Loop Simulation

Begrenzende FaktorenKosten Nutzen Verhältnis und ManpowerKosten-Nutzen-Verhältnis und Manpower

Simulation nicht zum SelbstzweckSimulation nicht zum SelbstzweckVollständige Simulation oft nicht wirtschaftlich

Durchschnittliche Kosten pro entdecktem Fehler

Kostenentdecktem Fehler

Si l ti k tSimulationskostenabhängig u.a. von:- Simulationstiefe- Häufigen AnforderungsänderungenHäufigen Anforderungsänderungen

Zeitpunkt in der Entwicklung

25.04.2009 21

Begrenzende Faktoren P i t ti d Ak tProzessintegration und Akzeptanz

ProzessintegrationProzessintegrationSimulationsmodell-Entwicklung ist Software-EntwicklungNotwendige Prozessintegration:g g- Anforderungsmanagement- Milestone-Koordinierung (das richtige Modell zur richtigen Zeit)- Versionierung

AkzeptanzpHoher Initialaufwand + generell bestehender TermindruckWechselwirkung: Modellnutzung <-> Modellqualität- Modellqualität braucht Entwicklerinput und umgekehrt

Änderungen etablierter Strukturen oft schwierig

25.04.2009 22

Überwinden bestehender Grenzen

Positive Einflussfaktoren:Positive Einflussfaktoren:

Stetig steigende RechenleistungWiederverwendbarkeit und Erweiterbarkeit bestehender ModelleBessere ModellierungswerkzeugeBreiterer Einsatz von Modellierungswerkzeugen

25.04.2009 23

Semiformale VerifikationSemiformale Verifikation

Formale Verifikation

Scheitert aber schnell anKomplexitätAkzeptanz

25.04.2009 25

Semiformale Verifikation

VerifikationsweltKlassische Testwelt VerifikationsweltKlassische Testwelt

Formale SpezifikationenSiL,HiL Testfahrten

Aufgezeichnete MessreihenAufgezeichnete MessreihenT “T “

Verzicht auf:formale Funktions- und Umgebungsmodelle„Traces“„Traces“ Umgebungsmodelle

TraceSysTraceSys10100100110

25.04.2009 26

yy010100101001000101001010010101

www.tracesys.de

Semiformale VerifikationV h li hVeranschaulichung

Spezifikation (informal):[ ] Der Klemme50 HighPegel muss mindestens 500ms anhalten[…] Der Klemme50-HighPegel muss mindestens 500ms anhalten […]

Spezifikation (in formaler Logik):Spezifikation (in formaler Logik):

G{SignalChange}( “Signal==HIGH” -> G[0,0.5](“Signal==HIGH”))

25.04.2009 27

Fazit undFazit und Zusammenfassungg

Simulieren, Testen, VerifizierenAll d Ni ht ?Alles oder Nichts?

Systematische Absicherung:y gGelingt durch effektives und effizientes Zusammenspiel der einzelnen Techniken

Simulieren:Im Absicherungsprozess vorrangig fürIn-the-Loop-Umgebungssimulation

Testen:Testen:Testautomatisierung garantiert hohe Wirtschaftlichkeiteingesetzter In-the-Loop-SystemeWiederverwendbare Tests durch generischeWiederverwendbare Tests durch generischeTestfallbeschreibung

Semiformale Verifikation:

ECUECU--TESTTEST 4

Analyse auf bereits anfallenden Daten (keine Zusatzkosten)Gute Einbindung in Testautomatisierung

TraceTronicTraceTronic

25.04.2009 29

TraceCheckerTraceChecker

Vielen Dank