Entwicklung + Test
IIII Software-Verifikation
Operation am offenen Herzen Teil 1: Entwicklung und Test von Steuergerätefunktionen mit der Bypass-Methode
(Foto: pixelio.de)
drehzahlsynchronen Task, zusammengefasst) der Steuergeräte-Software zusätzliche Serviceroutinen eingefügt (Bild 2, oberer Teil). Mit Hilfe dieser Bypass-Services können Ein- und Ausgabewerte zwischen Steuergeräte- und Bypass-Funktionen ausgetauscht werden. Ein Bypass-Service schreibt entweder die Werte von Steuergerätegrößen in Zellen des Speicherbereichs, Von Markus Gebhardt, Dr. rer. nat. Ulrich Lauff und Kilian Schnellbacher der von der Bypass-Funktion gelesen wird (Eingangswerte der Bypass-Funktion) oder – umgekehrt – die Werte der ie neu zu entwickelnde oder ergebnisse der Bypass-Funktion und Größe aus dem Speicherbereich der zu adaptierende Bypass- der Steuergerätefunktion miteinander Bypass-Funktion in Speicherzellen, Funktion verwendet existie- vergleichen und aufzeichnen. Darüber die von der bestehenden Steuergeräterende Signale im Steuergerät als Ein- hinaus stehen so jederzeit sinnvolle Al- Software verwendet werden (Ausgagangswerte und schreibt die berechne- ternativwerte für den Fall bereit, dass bewert der Bypass-Funktion). Die Verwendung des servicebasierten Ergebnisse wieder in das Steuer- der Bypass zur Laufzeit unterbrochen oder beendet wird (Rückfallebene). ten Bypass hat den Vorteil, dass der gerät zurück (Bild 1). Funktionscode im Steuergerät nicht verändert werden muss. Mit Hilfe der Servicebasierter Bypass-Austausch Instrumentierung Bypass-Services können alle bekannvon Einund Ausgabewerten der Steuergeräte-Software ten Steuergerätegrößen gelesen oder Die Implementierung einer Bypass- Beim servicebasierten Bypass werden geschrieben werden. Die Bypass-SerFunktion erfordert eine geeignete In- in den Prozesslisten (Tasks – eine Men- vices können zur Laufzeit des Steuerstrumentierung des Steuergerätecodes. ge von verschiedenen Aufgabenein- geräts aktiviert oder deaktiviert werDie Auswahl der Steuergerätegrößen heiten (Prozessen) mit identischen den und damit der Bypass an- oder abfür den Bypass kann entweder statisch Echtzeit-Anforderungen werden in ei- geschaltet werden. Der Nachteil des servicebasierten im Steuergerätecode festgelegt sein ner Task, zum Beispiel in einer 10-msoder flexibel über etablierte Mechanis- Task, einer 100-ms-Task oder in einer Bypass besteht darin, dass Dateninkonsistenzen nicht men ähnlich wie beim Messen von ausgeschlossen werSteuergerätegrößen erfolgen. Dabei Bypassfunktion den können. Ein Wert, werden die Adressen der zu erfassender von einer Steuerden Größen vom Entwicklungswerkgerätefunktion bezeug aus der Steuergerätebeschreirechnet wurde, kann bungsdatei (A2L) gelesen und die Wer+ gelesen werden, bete in den Speicherzellen dieser Adresvor er durch den Aussen vom Steuergerät angefordert bzw. gabewert der Bypassbeschrieben. Steuergerätefunktion 1 Steuergerätefunktion 2 Steuergerätefunktion 3 Funktion überschrieNormalerweise werden im Bypassben wird. Das ist mögBetrieb die Steuergerätefunktionen, I Bild 1. Die neu zu entwickelnde oder zu adaptierende Bypasslich, da in Fahrzeugwelche durch die Bypass-Funktion erFunktion verwendet existierende Signale im Steuergerät als Einsteuergeräten mehrere setzt werden, weiterhin berechnet. Dagangswerte und schreibt die berechneten Ergebnisse wieder in Tasks um Rechenzeit durch lassen sich die Berechnungsdas Steuergerät zurück.
Die Software von Steuergeräten komplexer mechatronischer Systeme im Automobil ist sehr umfangreich. Aus Gründen der Kosten, der Entwicklungszeit und der Zuverlässigkeit dieser Systeme wird die Software von Steuergeräten nur im Ausnahmefall komplett neu entwickelt. In der Regel wird der Funktionsumfang existierender, bereits im Feld erprobter Software angepasst, verändert oder erweitert. Dabei kommt die Bypassmethode zum Einsatz.
D
34
Elektronik automotive 6.2008
www.elektroniknet.de
Software-Verifikation IIII
konkurrieren – das heißt, Tasks mit niederer Priorität können durch höher priorisierte Tasks unterbrochen werden. Bei dem aus diesem Grund häufig verwendeten Message-Konzept werden zu Beginn einer Task lokale Kopien der globalen Steuergerätegrößen angelegt, die von Prozessen dieser und mindestens einer weiteren Task gelesen und beschrieben werden. Dadurch werden konsistente Ein- und Ausgangsgrößen (Messages) von Prozessen innerhalb einer Task gewährleistet. Am Ende der Task werden die Werte der Messages in die Speicherzellen der globalen Größen zurückgeschrieben. Im normalen Betrieb ohne Bypass hat das Arbeiten mit lokalen Kopien den Vorteil, dass Dateninkonsistenzen bei der Unterbrechung einer Task durch eine höher priorisierte Task vermieden werden. Wenn die Werte von Messages in Speicherzellen, deren Adressen nicht deklariert sind, auf dem
www.elektroniknet.de
Servicebasierter Bypass: BypassFunktion r r r / / / Proc 1 w Proc 2 w Proc 3 w Proc 4 time Servicebasierter Bypass bei Verwendung eines Message-Konzepts: BypassFunktion w r i t e
M S G c p Proc 1
r e a d Proc 2
Start of task
r e a d Proc 3
r e a d Proc 4
time
Legende: Warteschleife
Prozess
Bypass-Service
Alternativer Pfad
I Bild 2. Beim servicebasierten Bypass werden in den Prozesslisten (Tasks) der Steuergeräte-Software zusätzliche Service-Routinen eingefügt.
Entwicklung + Test
Stack gespeichert werden, können Bypass-Services nicht auf Messages zugreifen. In diesem Fall sollte der Bypass-Service deshalb unmittelbar vor oder nach dem Erstellen der lokalen Kopie eingefügt werden (Bild 2, untere Bildhälfte). Dabei ist es notwendig, dass die Eingangswerte der BypassFunktion bereits bei Beginn der Task zur Verfügung stehen und nicht innerhalb der Task berechnet werden.
Freischnittbasierter Bypass Um Dateninkonsistenzen beim Bypass auszuschließen, muss sichergestellt sein, dass die Ausgabewerte der Bypass-Funktion nicht von den Steuergerätefunktionen überschrieben werden können. Um dies zu garantieren, werden Schalter in die betreffenden Steuergerätefunktionen eingebaut: Bei aktivem Bypass wird das jeweilige Berechnungsergebnis der Bypass-Funktion als Ausgabewert der Steuergerätefunktion zur Verfügung gestellt. Bei
Elektronik automotive 6.2008
35
Entwicklung + Test
IIII Software-Verifikation
Freischnittbasierter Bypass: Bypass w r i t Proc 1 e Proc 2 Proc 3 time Freischnittbasierter Bypass bei Verwendung eines Message-Konzepts: Bypass w r i t e
M S G c p Proc 1 Proc 2 Proc 3 Start of task time
I Bild 3. In Bezug auf den freischnittbasierten Bypass besteht die optimale Lösung in Bezug auf die Datenkonsistenz darin, den Bypass-Service, der die Eingangswerte der Bypass-Funktion beschreibt, direkt vor demjenigen Prozess einzuhängen, der die freigeschnittene Funktion beinhaltet.
inaktivem Bypass wird das Berechnungsergebnis der Steuergerätefunktion verwendet. Alternativ zum Ersatzwert kann bei aktivem Bypass auch das Ergebnis einer Verrechnung – typischerweise einer Addition – der Resultate von Bypass- und Steuergerätefunktion ausgegeben werden (Bild 3). Unabhängig davon, ob eine TaskUmschaltung stattfindet und damit unabhängig von der Priorität der Tasks, sorgt dieser Mechanismus dafür, dass die Speicherzellen der Steuergerätegrößen entweder mit den Ausgabewerten der Bypass-Funktion oder der Steuergerätefunktionen beschrieben werden. Die Instrumentierung der Steuergerätefunktionen mit Schaltern wird Freischneiden von Steuergerätegrößen oder einfach Freischnitt genannt. Beim so genannten Funktionsfreischnitt werden alle von einem Prozess beschriebenen Speicherzellen freigeschnitten. In Bezug auf die Datenkonsistenz besteht die optimale Lösung darin, den Bypass-Service, der die Eingangswerte der Bypass-Funktion beschreibt, direkt vor demjenigen Prozess einzuhängen, der die freigeschnittene Funktion beinhaltet (Bild 3, oben). Das Verfahren erfordert auf Kosten der Rechenzeit einen separaten Schreibvorgang
36
Elektronik automotive 6.2008
pro Bypass. Bei Verwendung eines Message-Konzepts werden die Eingangswerte der Bypass-Funktion zu Beginn einer Task beschrieben. Dabei lassen sich alle Werte in einem Schreibvorgang en bloc übergeben, wodurch sich die Beeinflussung des EchtzeitVerhaltens minimieren lässt (Bild 3, unten). Eine Variante des Freischnittverfahrens besteht darin, die Berechnung der Bypass-Funktion erst nach der Übergabe der Eingangswerte anzustoßen. Daraufhin wartet das Steuergerät bis zum Ende der Bypass-Berechnung und kopiert dann die Ergebnisse in die Speicherzellen der betreffenden Steuergerätegrößen. Diese Variante sorgt für absolut synchrone Daten. Wegen der damit einhergehenden Verzögerung ist diese Variante allerdings nur für zeitlich unkritische Bypass-Funktionen geeignet.
Die Bypass-Funktion muss an die Steuergeräte-Hardware angepasst sein und in den Berechnungsablauf des Steuergeräts eingebunden werden. Für viele Steuergeräte muss die BypassFunktion in Festkomma-Arithmetik implementiert werden. Da die Bypass-Funktion vom Steuergerät berechnet wird, kann – mit Ausnahme von Steuergeräten mit Multicore-Prozessoren – keine parallele Ausführung erfolgen. Der interne Bypass ist nicht ausfallsicher. Ein Fehlverhalten der BypassFunktion kann zu einem Absturz des Steuergeräts führen. Aufgrund der knappen Ressourcen von Fahrzeugsteuergeräten sind dem Bedarf der Bypass-Funktion an Rechenzeit und Speicher enge Grenzen gesetzt. Durch Deaktivierung der Originalfunktion können Ressourcen für die Bypass-Funktion gewonnen werden.
Bypass-System
HardwareKosten
Anschluss von zusätzlichen Sensoren, Aktoren und Bussen
Möglicher Umfang der BypassFunktion
Konfiguration
Steuergerät
gering
nicht möglich
gering
komplex, BuildUmgebung notwendig
Entwicklungssteuergerät mit zusätzlichem Speicher
moderat
nicht möglich
moderat
komplex, BuildUmgebung notwendig
Experimentiersystem
hoch
einfach möglich
hoch
unabhängig von der Steuergeräte-Softeware, schnelle Turn-aroundZeiten bei Änderungen der Funktion
I Vor- und Nachteile von Bypass-Systemen
Der Vorteil der Datenkonsistenz wird beim freischnittbasierten Bypass dadurch erkauft, dass jede Größe, die ersetzt werden soll, für den Bypass vorbereitet werden muss.
Bypasssysteme Die Bypass-Funktion kann entweder intern auf dem Steuergerät (interner Bypass) oder extern auf einem separaten, über eine Datenschnittstelle mit dem Steuergerät verbundenen System (externer Bypass) berechnet werden (Tabelle).
Am Steuergerät ohne zusätzliche Hardware durchführbar Der steuergeräte-interne Bypass erfordert keine zusätzliche Hardware.
Bei einer Änderung der BypassFunktion muss eine neue Version der Steuergeräte-Software generiert werden. Dazu ist die Build-Umgebung für das Steuergerät erforderlich. Im zweiten Schritt muss der Flash-Speicher des Steuergeräts mit dem geänderten Steuergerätecode neu programmiert werden. Wegen der Verwendung der ZielHardware kann der interne Bypass zum Test der Integrierbarkeit der BypassFunktion in die Steuergeräte-Software dienen. Aufgrund der genannten Einschränkungen wird der steuergeräteinterne Bypass typischerweise als Variablen-Bypass eingesetzt (s.u.). Dabei werden Variablen im Steuergerät, beispielsweise Sensorsignale, von außen bedatet und zu einem einstellbaren Parameter gemacht.
www.elektroniknet.de
Software-Verifikation IIII
Steuergerät mit zusätzlichem Speicher Um den verfügbaren Speicher für den internen Bypass zu erhöhen, kann im Entwicklungssteuergerät ein Mikrocontroller mit größerem internen Speicher oder zusätzlich externer Speicher eingebaut werden. Alternativ wird auch der Speicher eines im Entwicklungssteuergerät vorhandenen Speicheremulators, zum Beispiel eines Emulatortastkopfs (ETK) [1], verwendet. Wenn die Ressourcen des Steuergeräts für die Bypass-Funktion nicht ausreichen, muss zusätzliche Hardware eingesetzt werden. Dabei kommen parallel betriebene Steuergeräte oder Mikrocontroller oder spezielle Experimentiersysteme zum Einsatz.
Experimentiersysteme Experimentiersysteme stellen eine hohe Rechenleistung und Speicherkapazität zur Verfügung. Sie ermöglichen
www.elektroniknet.de
die Integration zusätzlicher Signale von Sensoren, Aktoren oder Fahrzeugbussen. Prozessoren mit Fließkomma-Arithmetik ermöglichen eine physikalische Simulation von BypassFunktionen in der realen Umgebung. In einem zweiten Schritt kann diese Simulation mit dem Verhalten der Bypass-Funktion in der späteren Implementierung verglichen werden. Bei einer Änderung der Bypass-Funktion benötigt der Download in den RAMSpeicher über die leistungsfähige PCSchnittstelle des Experimentiersystems nur einen Bruchteil der Zeit des Flash-Vorgangs beim internen Bypass. Um die Ausgabewerte der BypassFunktion und der Steuergerätefunktion direkt vergleichen zu können, wird die Steuergerätefunktion bei aktivem Bypass parallel auf dem Steuergerät ausgeführt. Die Anbindung des Experimentiersystems an das Steuergerät erfolgt entweder über eine echtzeit-fähige Schnittstellen-Hardware, bei-
Entwicklung + Test
Entwicklungswerkzeug
BypassFunktionen
Experimentiersystem Datenschnittstelle
Aktoren, Sensoren
ETK ECU
Steuergerätefunktionen CAN, LIN, FlexRay
I Bild 4. Um die Ausgabewerte der Bypass-Funktion und der Steuergerätefunktion direkt vergleichen zu können, wird die Steuergerätefunktion bei aktivem Bypass parallel auf dem Steuergerät ausgeführt. Die Anbindung des Experimentiersystems an das Steuergerät erfolgt entweder über eine echtzeit-fähige Schnittstellen-Hardware oder über eine leistungsfähige Busschnittstelle des Steuergeräts.
spielsweise einen ETK, oder über eine leistungsfähige Busschnittstelle des Steuergeräts (Bild 4).
Elektronik automotive 6.2008
37
IIII Software-Verifikation
Umgebung
Fahrzeug Regelstrecke/ HIL-System Funktions-Bypass
Eingabetreiber
Signalkonditionierung
Ausgabetreiber
Fahrer
Signalkonditionierung
Entwicklung + Test
Variablen-Bypass (Slewing)
Test- oder Diagnosezwecke können mit dieser Methode gezielt Werte von Sensorsignalen vorgegeben oder Einträge im Fehlerspeicher gesetzt werden. Wenn ein Variablen-Bypass steuergeräteintern implementiert ist, kann er mit gängigen Kalibrationswerkzeugen, wie zum Beispiel INCA, bedient werden.
+ Proc 2 Proc 2
Proc 3 Proc 3
Ausgabetreiber
c o p y
Signalkonditionierung
Signalkonditionierung
Eingabetreiber
Funktions-Bypass – der „Klassiker“ M S c M G + oc GS p c Proc 1 y p Proc 1
Echtzeit-Betriebssystem Steuergeräte-Hardware Applikations-Bypass Fullpass Strecken-Bypass
I Bild 5. Je nach Art und Umfang der Bypass-Funktion lassen sich verschiedene Arten von BypassMethoden unterscheiden.
Bypass-Methoden Je nach Art und Umfang der BypassFunktion lassen sich verschiedene Arten von Bypass-Methoden unterscheiden (Bild 5).
Variablen-Bypass wird auch Slewing genannt Im einfachsten Fall überschreibt eine Bypass-Funktion nur eine Speicherzel-
Dipl.-Ing. Markus Gebhardt studierte Elektrotechnik an der TU Darmstadt und arbeitet seit 1995 als Ingenieur bei ETAS. Er sammelte langjährige Erfahrung in Kundenprojekten zur Steuergeräte-Software- und -funktionsentwicklung. Seit 2005 ist er als technischer Experte im Marketing mit der Entwicklung neuer Methoden für die Steuergeräte-Software-Entwicklung betraut.
[email protected]
38
Elektronik automotive 6.2008
le mit einem Wert, ohne dass eine Berechnung stattfindet. Diese Variante wird als Variablen-Bypass oder auch als „Slewing“ bezeichnet. Typische Anwendungsfälle für diese BypassMethode sind das Festhalten einer Steuergerätevariablen auf einem bestimmten Wert, beispielsweise zur Kalibrierung von Steuergerätefunktionen, oder die Deaktivierung eines Berechnungspfads durch das Setzen eines neutralen Wertes („0“ oder „1“). Für
Dr. rer. nat. Ulrich Lauff studierte Physik an den Universitäten Heidelberg und Stuttgart und ist in der Unternehmenskommunikation der ETAS GmbH für die Anwendungsfelder Software Engineering, Applikation, Messtechnik und Steuergerätediagnose verantwortlich.
[email protected]
Der klassische Bypass, der im Rahmen der Weiterentwicklung von vorhandenen Steuergerätefunktionen zum Einsatz kommt, wird auch als FunktionsBypass bezeichnet. Neue Funktionen werden per Bypass mit den bestehenden Funktionen des Steuergeräts gekoppelt. Die bestehende Software des Steuergeräts übernimmt zum überwiegenden Teil die Steuerung und Regelung des Fahrzeugsystems und wird durch die neuen Funktionen erweitert. Wenn die Bypass-Funktion extern auf einem Experimentiersystem berechnet wird, können über dieses System zusätzliche Signale von Sensoren oder von Fahrzeugbussen eingebunden werden.
Applikations-Bypass mit einem Seriensteuergerät als Vehikel Beim Applikations-Bypass werden die Ein- und Ausgangssignale der BypassFunktion direkt an den Schnittstellen
Dipl.-Ing. Kilian Schnellbacher studierte Elektrotechnik mit dem Schwerpunkt Technik der Informationsverarbeitung an der Universität Karlsruhe. Er ist im Strategischen Marketing der ETAS GmbH im Bereich Messen, Kalibrieren und Steuergerätediagnose tätig.
[email protected]
www.elektroniknet.de
der Plattform-Software zur Applikationsschicht abgegriffen. Bei der Methode werden Hardware, Treiber und Betriebssystem eines vorhandenen Steuergeräts genutzt, um eine neue Funktion ohne Einbeziehung von bestehender Applikations-Software zu entwickeln. Der Vorteil dieser Methode besteht darin, eine neue Funktion auf Basis von existierender Seriensteuergeräte-Hardware zu entwickeln. Beispielsweise können die originalen Ein- und Ausgangssignale des Steuergeräts verwendet werden, welche die Reaktion der Treiberschicht des Steuergeräts enthalten, zum Beispiel der Diagnoseprotokolle. Mit Hilfe eines Experimentiersystems können gegebenenfalls zusätzliche Sensoren, Aktoren oder Fahrzeugbusse eingebunden werden.
Fullpass auf dem Experimentiersystem Beim Fullpass wird das Steuergerät vollständig durch ein Experimentiersystem ersetzt. Zusätzlich zur Applikations-Software integriert das Fullpass-System auch Treiber für die Schnittstellen und das Steuergeräte-Betriebssystem sowie Schnittstellen für Sensoren, Aktoren und Fahrzeugbusse, wie zum Beispiel CANController. Fullpass-Systeme werden typischerweise bei Neuentwicklungen eingesetzt, bei denen entweder die SteuergeräteHardware oder die Plattform-Software noch nicht zur Verfügung stehen. Die Signalkonditionierung im Experimentiersystem und im späteren Seriensteuergerät ist in der Regel nicht identisch. Jedoch sollten die Schnittstellen zur Treiberschicht ähnlich sein, damit die neu entwickelten Funktionen später ohne größere Änderungen auf das Zielsystem portiert werden können. Fullpass-Systeme werden häufig auch bei der Restbussimulation verwendet. Dabei wird das Verhalten eines oder mehrerer Steuergeräte an einem Fahrzeugbus nachgebildet. Mit einem Fullpass-System kann die Simulation durch reale Signale von Sensoren, Aktoren und vom Fahrzeugbus gespeist und das Systemverhalten eines Steuergeräteverbunds getestet werden.
Strecken-Bypass – für den fließenden Übergang In einer Hardware-in-the-Loop-Umgebung (HiL), in der das Steuergerät mit einer simulierten Regelstrecke gestestet wird, kann die Bypass-Funktion einen Teil der Regelstrecke abbilden. Dadurch lassen sich einzelne Funktionen des Steuergeräts im geschlossenen Regelkreis ohne Austausch von Signalen über die Schnittstellen-Hardware von Steuergerät und HiL-System testen. Die Methode erlaubt einen fließenden Übergang zwischen Software-in-the-Loop-Simulationen (SiL) ohne elektrische Streckensimulation und HiL-Simulationen. In einer der kommenden Elektronik-automotive-Ausgaben werden in einem zweiten Beitrag die vielfältigen Einsatzmöglichkeiten von Bypassmethoden bei der Entwicklung und beim Test von Steuergerätefunktionen diskutiert. go
Literatur [1] Triess, B.; Müller, Ch.; Lauff, U.; Mößner, C.: Entwicklung und Applikation von Motor- und Getriebesteuerungen mit der ETK-Steuergeräteschnittstelle. ATZ Automobiltechnische Zeitschrift 109 (2007), Heft 1.
www.elektroniknet.de
Elektronik automotive 6.2008
39
