Für die Entwicklung der nächsten Generation elektrischer Servolenkungen setzt die HELLA auf neue Teststrategien und -systeme. Parallel zu dem Lenksystem entwickelt HELLA zusammen mit dSPACE Consulting eine innovative Teststrategie, die höchste Sicherheitsanforderungen erfüllt und kompromisslos auf automatisierte Testabläufe setzt – dies erfordert Erfahrung und Expertise.
ELLA hat in den letzten Jahren verschiedene EPS (Electrical Power Steering)-Steuergeräte entwickelt, die millionenfach weltweit im Einsatz sind. Insbesondere die steigende Nachfrage nach Steuergeräten für das teilautomatisierte Fahren (ab Level 2 des autonomen Fahrens) war der Anlass, zusammen mit dem dSPACE Consulting eine automatisierte Absicherungswerkzeugkette einzurichten. Diese Toolkette musste dem Standard für funktionale Sicherheit von E/E-Systemen in Straßenfahrzeugen (ISO 26262) entsprechen und soll schon heute die Möglichkeit zur Entwicklung von Lenksystemen bieten, die für das hochautomatisierte Fahren bis Level 4 geeignet sind (Abbildung 1). Hierfür mussten der Testprozess und die Toolkette die ISO 26262 bis ASIL D erfüllen (Abbildung 2). Die ISO 26262 empfiehlt den Einsatz von Hardware-in-the-Loop (HIL)-Tests zum Testen von sicherheitskritischen Funktionen, Komponenten, einzelnen Steuergeräten und Steuergeräte-Verbunden, weil HIL-Tests seit Jahren Stand der Technik sind. Fast genauso lange setzt man sie zum Testen sicherheitskritischer Funktionen ein. Teststrategie und Testumgebung müssen nahtlos ineinander greifen und aufeinander abgestimmt sein, damit sicherheitskritische Systeme getestet und freigegeben werden können und die dafür notwendige Testabdeckung erreicht werden kann. Für den Nachweis, dass dieses Zusammenspiel standardkonform ist, ist es notwendig, regelmäßig zu überprüfen, dass alle am Test beteiligten Komponenten und Prozesse dafür geeignet sind. Dies reicht von Kalibrierstrategien für die eingesetzte Hardware bis hin zur Qualifizierung der Software-Toolkette nach ISO 26262. So kristallisierten sich schnell vier Themenbereiche heraus, bei denen dSPACE Experten HELLA unterstützen konnten:
- Erstellung eines technischen Sicherheitskonzeptes
- Konzeptionierung und Aufbau einer Testinfrastruktur bestehend aus mehreren HIL-Systemen
- Entwicklung einer Werkzeugkette für automatisierte Tests
- Einhaltung des Standards ISO 26262
Mit Hilfe von dSPACE ließen sich diese Aufgaben parallel zur Steuergeräteentwicklung durchführen und die Testsysteme schon vor den eigentlichen Tests in Betrieb nehmen und prüfen – inklusive der Anbindung an bereits vorhandene Konfigurations- und Anforderungsmanagement-Werkzeuge. “Dieses Vorgehen spart enorm viel Zeit, weil es Umwege und Sackgassen vermeidet. Das Ergebnis ist ein nachvollziehbarer, standardkonformer Prozess, der auch zukünftige, komplett neue Kundenprojekte, die ganz andere Anforderungen haben, erheblich erleichtert“, erklärt Andreas Brentrup von HELLA.
… von Anfang an dabei
“Da die Berater von dSPACE schon zu einem sehr frühen Zeitpunkt eingebunden waren, konnten bereits die Testziele zusammen mit HELLA erarbeitet werden”, ergänzt Biju Kollody von HELLA. Das EPS-Steuergerät befand sich zu Beginn des Projektes noch in der Vorentwicklungsphase. Das Testkonzept wurde komplett neu erstellt, was in diesem Fall detaillierte Kenntnisse sowohl im Bereich der funktionalen Sicherheit als auch für das Testen erfordert. Dazu wurden alle involvierten Personengruppen, seien es Tester, Entwickler, Systemarchitekten oder Testingenieure, mit einbezogen. Die gemeinsam erarbeitete Absicherungsstrategie erfüllt alle Anforderungen der funktionalen Sicherheit für EPS-Systeme und wurde mit dem Fokus auf einfache Testbarkeit ausgelegt (Abbildung 3).
Simulatoren und Prüfstand – Fit-for-Purpose
Nicht nur bei den Vorarbeiten, sondern auch bei den konkreten Tests mit Simulatoren und Prüfständen setzt HELLA auf dSPACE. Die Test-Hardware besteht aus zwei Simulatoren: einem SCALEXIO Standard-Rack-System, das auf Signalebene auf ein speziell vorbereitetes Steuergerät zugreift, und einem SCALEXIO Full-Size-Simulator, der das Steuergerät auf Leistungsebene stimuliert. Dieser kann außerdem mit einem dSPACE Lenkungsprüfstand verbunden werden. Der Prüfstand kann als ein drittes Testverfahren den realen Motor des EPS-Steuergeräts stimulieren. Die FPGA-basierten Motormodelle von dSPACE erlauben sowohl eine realistische Motorsimulation für Tests auf Signal- und Leistungsebene als auch einen Closed-Loop-Betrieb des Steuergeräts.
Durch diesen flexiblen Aufbau der Testinfrastruktur ist es möglich, verschiedene Systemkomponenten flexibel einzeln oder im Verbund zu testen. Dadurch ist der von der ISO 26262 geforderte Integrations- und Testprozess effizient umsetzbar. Die ISO 26262 fordert eine regelmäßige Kalibrierung der Testsysteme. Hierfür hat dSPACE ein projektspezifisches Kalibrierhandbuch verfasst.
Integration von bestehenden Tools
“Eine wichtige Anforderung zum Projektstart war, dass die Software-Toolkette in der Lage ist, „von DOORS zu DOORS“ zu arbeiten. Das heißt, dass eine Testspezifikation aus IBM Rational DOORS von der dSPACE Toolkette geprüft und das Ergebnis wieder nach DOORS importiert werden kann”, berichtet Biju Kollody von HELLA. Dazu wurde die dSPACE Datenmanagement-Software SYNECT mit DOORS verbunden. Die Anbindung ermöglicht die automatisierte Überführung der Testspezifikation aus DOORS in die Testautomatisierungsumgebung von dSPACE. Dadurch können Testentwickler und Testingenieure die dort geforderten Tests implementieren und ausführen, ohne dabei zu irgendeinem Zeitpunkt die Rückverfolgbarkeit zu den Anforderungen zu verlieren. Dadurch ist eine Verlinkung von Anforderungen, Testspezifikationen und Testergebnissen jederzeit sichergestellt. Anschließend führt SYNECT die Tests automatisch rund um die Uhr auf den HIL-Simulatoren aus und stellt die Ergebnisse dar. Ein Steuergerät so hochautomatisiert zu testen, ist besonders effizient, erfordert aber Vertrauen in die Simulation und die eingesetzten Werkzeuge (Abbildung 4).
Funktionale Sicherheit
Die Sicherheitsstufe des EPS-Systems entspricht ASIL D (Automotive Safety Integrity Level D), der höchstmöglichen Sicherheitsstufe für ein automotives E/E-System. Um die Anforderungen der ISO 26262 zu erfüllen, haben die Berater im dSPACE Consulting ein Safety Manual zusammengestellt, in dem Arbeitsabläufe für den Verifikationsprozess spezifiziert werden. Die Software und der definierte Workflow (Abbildung 3) wurden fit-for-purpose qualifiziert.
Fazit und Ausblick
“Mit Hilfe der Berater von dSPACE konnte Hella schon früh die Herausforderungen, die ein sicherheitsrelevantes Projekt sowohl an Prozess, Toolkette und Testequipment stellt, meistern”, bestätigt Andreas Brentrup von HELLA. Die dSPACE Toolkette wurde erfolgreich eingesetzt, um Fehler schon in der Vorentwicklungsphase zu finden. Dass zu dem Zeitpunkt bereits ein automatisiertes Testsystem zur Verfügung stand, erleichterte den Übergang zur kundenspezifischen Entwicklung für HELLA erheblich. In Zukunft wird dSPACE HELLA bei den Anpassungen der Toolkette an die Anforderungen von Kundenprojekten unterstützen und dabei sicherstellen, dass die Arbeitsweisen weiterhin ISO-26262-konform sind.
Mit freundlicher Genehmigung der HELLA GmbH & Co.KGaA
Über die Autoren
Andreas Brentrup
Leiter des Testlabors bei der HELLA GmbH & Co. KGaA, Lippstadt, Deutschland, ist verantwortlich für die globale Teststrategie der Lenkungssteuergeräte
Biju Kollody
Testmanager bei der HELLA GmbH & Co. KGaA, Lippstadt, Deutschland, ist verantwortlich für das gesamte Testmanagement der Lenkungssteuergeräte