Fahrerassistenzsystem-Validierungskette Mit sicheren Daten auf Autopilot-Kurs

Abbildung 1: Ein im Testauto verbauter Messtechnik-Rechner „BRICK" (oben) in Kombination mit dem HPC DATALynx ATX2 (unten)

Bild: B-Plus
27.10.2017

Derzeitige Lösungen des Datentransfers bei Fahrerassistenzsystemen tendieren zu einer zentralen Entscheidungsplattform, die immer mehr Gigabits an Datenströmen aufnimmt. OEMs und Tier1 benötigen dafür adäquate Technologien und eine Werkzeugkette, die skalierbar sein muss.

Bevor das autonome Fahren real wird, gilt es, das Segment der Assistenzsysteme technologisch sicher umzusetzen. Fahrer vertrauen zunehmend auf Technologien, die sowohl eine leitende Funktion übernehmen, als auch Fahrentscheidungen stützen. Diese neuen Technologien zu beherrschen, wird für Autohersteller und Zulieferer erfolgsentscheidend sein.

Zu den großen Aufgaben auf dem Weg zum autonomen Fahren gehören das sichere, messtechnische Erfassen der Sensordaten und das Optimieren der Steuergerätefunktion anhand von Test- und Absicherungsmethoden dieser Systeme. B-Plus zeigt einen Weg auf, wie eine komplette und durchgängige Fahrerassistenzsystem-Validierungskette (ADAS, Advanced Driver Assistance Systems) aussehen kann. Dazu gehören das Debuggen und Testen von Multisensor-Applikationen, Testszenarien und die schnelle Steuergeräteanbindung zum Erfassen der Sensordaten.

Datenhandling nach ISO-26262

Es ist wichtig, die funktionale Sicherheit in der Validierungsphase nach der Norm ISO-26262 zu gewährleisten. Dafür müssen Datenströme während der Messung mit sogenannten Data Qualifiers vor Manipulation und Übertragungsfehlern gesichert sein. Gilt es, das Umfeld des Automobils schnell und sicher zu erfassen, sorgt ein zentrales Steuergerät mit entsprechender Rechenleistung für die Datenfusion und trifft Entscheidungen.

Um den Datenstrom abzusichern, müssen Prüfsummen und Botschaftszähler eingesetzt werden. Je nachdem wo genau in der Messkette angesetzt wird, kann die Kette komplett vom Steuergerät bis zum Messdatenrecorder abgesichert werden. Dadurch ist es möglich mit einem Messdatenservice direkt am Steuergerät anzusetzen. Alternativ können am Messdateninterface Prüfsummen und Botschaftszähler hinzugefügt werden. Dadurch kann der resultierende Datenstrom abgesichert und beim Empfangen, bei der Aufzeichnung und beim Abspielen auf Datenintegrität geprüft werden. Geschieht nun ein Übertragungsfehler in der Werkzeugkette wird das beim Öffnen des Datensatzes angezeigt. Das ist einer der Bausteine für eine erfolgreiche Absicherung nach ISO 26262.

Für die Validierungsphase eines Steuergeräts ist es ratsam, eine Schnittstelle für die Messtechnik zu berücksichtigen, die einen möglichst reibungslosen Übergang von den Entwicklungsmustern und deren Validierungsergebnissen gewährleistet. Für das Loggen von ECU-Rohdaten wird dafür ein gesonderter Mess-
technikumsetzer eingesetzt, der es ermöglicht, Daten, wie zum Beispiel CSI-2 (Camera Serial Interface), auszukoppeln, zeitlich zu stempeln, umzuwandeln und schließlich über 10-GBit-Ethernet in die Messtechnik zu transportieren. Der Einsatz eines Mess-
technikumsetzers hat den Vorteil, dass das Steuergerät selbst nur minimale Hard- oder Softwareausstattung braucht, um für die Messtechnik Rohdaten zur Verfügung zu stellen. In der Konsequenz sind zwei Dinge sichergestellt: die verlässliche Übertragung von hohen Bandbreiten aus dem Steuergerät und durch 10-GBit-Ethernet der verlustlose Transport über längere Dis-
tanzen.

Für das Erreichen von kürzeren Validierungszeiten sind leistungsstarke, aufnahmefähige Messtechniklösungen für das Aufzeichnen von Rohdaten unerlässlich. Für die Verarbeitung solcher großen Datenmengen ist, neben einer hohen Logging-Geschwindigkeit, die Skalierbarkeit dieser Systeme, inklusive entsprechender Speicherkapazitäten, nötig. Robuste Systemlösungen trotzen den wechselnden Umweltbedingungen im Fahrzeug und liefern somit konstant zuverlässige Daten für weitere Validierungsprozesse. Erst wenn diese Datenverarbeitung sicher funktioniert, kann die anschließende Bewertung und Optimierung der Algorithmen erfolgen.

Experten rechnen für die Absicherung eines autonom-agierenden Fahrzeug mit Datenraten von mehr als 60 Gbit/s. Verschiedene vernetzte Systeme und parallel geschaltete Rechner sind in zeitliche Korrelation zu setzen, damit systemübergreifend die Daten zeitsynchron erfasst und verarbeitet werden – eine essentielle Voraussetzung für die nachgelagerte Datenfusion. Diese Synchronität und damit Zuweisbarkeit von Daten erreichen Entwickler systemübergreifend durch Verfahren wie Ethernet Time Synchronization (IEEE1588, 802.1AS), systemintern über Hardware Zeitstempel. In zeitsynchronen Systemen lassen sich Daten, die zu unterschiedlichen Zeitpunkten in unterschiedlichen Systemen entstanden sind, mit einer Genauigkeit von ±500 ns direkt in Bezug zueinander bringen.

Verfahren zur Simulation von Fahrsituationen

Um teure Testfahrten zu minimieren, werden Situationen mithilfe von Simulationen oder Aufzeichnungen reproduzierbar nachgestellt, indem die im Labor entwickelten Funktionen auf Basis von aufgezeichneten Realdaten erprobt werden. Das erspart bei der immer höheren Komplexität von Soft- und Hardware bei anschließenden Testfahrten eine große Anzahl an Fehlermeldungen, welche im Nachgang aufwändig identifiziert und abgestellt werden müssten. Simulationsverfahren können bereits in der Entwicklungsphase beim Optimieren eines Algorithmus unterstützen. Hardware-in-the-Loop (HiL) und Software-in-the-Loop (SiL) sind hierfür gängige Verfahren. Sie basieren auf Rohdaten, die von der Messtechnik eingespeist werden.

Bei Software-in-the-Loop wird ein Teil der zu testenden Software auf einer anderen Hardware, einem Entwicklungsrechner oder Simulationsserver, ausgeführt. Dadurch lassen sich Softwaremodule und Funktionen ohne Echtzeit-Anforderungen prüfen. Anders bei der Reinjektions-Hardware-in-the-Loop: Hier ist es möglich zum Beispiel die Kamera zu ersetzen und die Sensorrohdaten wieder ins Steuergerät einzuspeisen. Um die realitätsnahe Fahrzeugumgebung und die Multibus-Systeme lückenlos nachzubilden, werden die aufgezeichneten Busdaten zeitsynchron zu den Bilddaten abgespielt. Des Weiteren ist die Vorhaltung der Sensorinitialisierung und deren Kommunikation über zum Beispiel I2C von großer Bedeutung, da das Steuergerät bei der Wiedergabe von aufgezeichneten Rohdaten nicht den erwarteten Input, vor allem in der Initialisierungsphase, bekommen würde. Hierbei wird zum Beispiel das „Grey Pattern“, aber auch der aufgezeichnete Bildzähler, mithilfe von Softwaremechanismen vorgehalten und abgeändert, um keine Fehlermeldungen im Steuergerät auszulösen.

Über eine 10-Gbit-Ethernet-Schnittstelle werden die aufgenommen Rohdaten in das kompakte, clusterfähige HiL-System eingespielt. Dabei ist es für genaue Werte wichtig, die Bilddaten mit den Busdaten zeitsynchron abzuspielen. Ein optimiertes HiL-System bietet dem Entwickler dafür die Möglichkeit, Bilddaten entweder zu „verlangsamen“ oder frameweise zu „beschleunigen“, um hier synchron zum restlichen Fahrzeugbus bleiben zu können. Ein kleines, kompaktes Gehäuse, welches all diese Fähigkeiten vereint und gleichzeitig mit den vielen Datenströmen umgehen kann, ermöglicht das Testen bereits am Entwicklertisch. Somit werden auftretende Fehler bereits in der frühen Entwicklungsphase erkannt und können noch vor den ersten Fahrzeugtests behoben werden. Das verringert die Kosten für die aufwändigen Testfahrten und ermöglicht, abgesicherte Produkte schneller in Serie zu bringen.

Egal ob SiL oder HiL – beide Verfahren setzen eine Datenverfügbarkeit voraus, die aus synthetischen oder aufgezeichneten Daten bestehen. Synthetische Daten, die über ein Modell und einen Datengenerator generierbar sind, decken in der Realität schwer abdeckbare Situationen ab, wie beispielsweise Geisterfahrer auf der Autobahn und das Notbremsverfahren bei Stauende. Zu beachten ist, dass synthetische Daten die Realität nur annähernd darstellen, sodass die Situationen zusätzlich immer mit real eingefahrenen Daten validiert werden müssen.

Liegt eine zeitsynchrone Visualisierung von Bus- und Bilddaten vor, lässt sich mit den Ergebnissen das Verhalten des Steuergeräts genau beobachten und für Testzwecke nutzen. Aktualisierte Codes oder Updates von Algorithmen können ohne Steuergeräte-Hardware getestet werden, was die Entwicklungslaufzeit beschleunigt und vereinfacht. Für das Design gilt es besonderes Augenmerk darauf zu legen, dass solche Systeme eine deterministische Entwicklung unterstützen, da nur so eine Reproduzierbarkeit im Test und in der Absicherung gewährleistet werden kann.

Daten visualisieren und Funktionen validieren

Einige Kernaspekte einer ADAS-Systemvalidierung sind hier aufgezeigt. Die ständig steigende Komplexität sicherheitskritischer Systeme verschärfen die Ansprüche an das Steuergerät für automatisiertes Fahren. Mit der Validierungstoolkette Aveto unterstützt B-Plus die Validierung von Multi-Sensorsystemen, bestehend aus beispielsweise Kameras, Radarsensoren oder anderen Sensorsystemen. Die Software Aveto.rec ermöglicht das Aufzeichnen der Sensordaten, ist dabei äußerst performant und eine gut ausgearbeitete Schnittstelle zur Hardware (Brick). Anspruchsvolle, messtechnische Aufgaben werden ermöglicht, um die generierten Daten im Anschluss zu validieren. Sehr wichtig ist es hierbei, die Datenintegrität nach ISO 26262-8 sowie die Inhaltsintegrität sicherzustellen. Die komplette Entwicklungskette umfasst das Aufzeichnen der Daten, ein Entwicklungs-Framework, Visualisierungsmöglichkeiten, Schnittstelle zum Abspielen der Daten in Drittanbieter-Frameworks, SiL- und HiL-Features, sowie Entwicklungs- und Validierungswerkzeuge.

Plattformen erleichtern Funktionsentwicklung

Der Blick auf den Datenverkehr unter den ADAS-Funktionswelten macht deutlich: Bei OEMs und den Tier1-Zulieferern in der Automobilindustrie bleibt es turbulent. Der Validierungsweg zu einem selbstentscheidenden System ist häufig gepflastert mit inselorientierten Einzellösungen. Wagen sie sich an eine komplette Entwicklungskette des Datentransfers für ADAS, so tendieren derzeitige Lösungen zu einer zentralen Entscheidungsplattform, die immer mehr Gigabits an Datenströmen zur Echtzeitverarbeitung aufnimmt. Bestehende Abläufe in der Funktionsentwicklung, gepaart mit dem genannten Datenaufkommen, benötigen dafür adäquate Technologien und eine zuverlässige Werkzeugkette, die für zukunftsorientierte Anforderungen skalierbar sein muss. Themen wie die Datenintegritätsprüfung im Testfahrzeug bei der Datenerfassung, Mechanismen für die Zeitsynchronisierung sowie Sensor-HiL-Systeme bieten die Möglichkeit, die Daten zu beherrschen, wiederzuverwenden und Testprozesse früher zu beginnen. Mit Hardware-Plattformen, die auf Messtechnik und Prototyping im Fahrzeug zugeschnitten sind, bietet B-Plus Aktionsfreiräume in der Funktionsdefinition des automatisierten Fahrens. Validierung, Messtechnik inklusive Betrieb von Software Frameworks für Prototyping und hochparallelen Rechenvorgängen sind mit den Plattformen gewährleistet, die die Komplexität auflösen und die Informationsdichte sicher verarbeiten.

Bildergalerie

  • Abbildung 2: Kreislauf von der Datengenerierung durch den Sensor über die Messtechnikaufnahme bis hin zum Reinjektion-Verfahren HiL

    Abbildung 2: Kreislauf von der Datengenerierung durch den Sensor über die Messtechnikaufnahme bis hin zum Reinjektion-Verfahren HiL

    Bild: B-Plan

Firmen zu diesem Artikel
Verwandte Artikel