Systemmodellierung zur Fehlereffektsimulation Andreas Burger, Sebastian Reiter, Alexander Viehl FZI Forschungszentrum Informatik Haid-und-Neu-Str. 10-14 D-76131 Karlsruhe, Germany [aburger, sreiter, viehl]@fzi.de Oliver Bringmann, Wolfgang Rosenstiel Universit¨ at T¨ ubingen Sand 13 D-72076 T¨ ubingen, Germany [bringman, rosenstiel]@informatik.uni-tuebingen.de Zusammenfassung—Funktionale Sicherheit gewinnt in der Entwicklung elektrischer/elektronischer Systeme im Kraftfahr- zeug immer mehr an Bedeutung. Insbesondere die steigende Sys- temkomplexit¨ at erh¨ oht den Aufwand zur Durchf¨ uhrung und Do- kumentation simulationsgest ¨ utzter Zuverl¨ assigkeitsanalysen. Der in dieser Arbeit vorgestellte modell-basierte Ansatz zur Spezifika- tion und Ableitung von Simulationsmodellen reduziert den manu- ellen Aufwand von simulationsgest¨ utzten Analysen erheblich. Mit- tels des modellgetriebenen Entwicklungsansatzes wird eine ganz- heitliche Schnittstelle zwischen der Zuverl¨ assigkeitsbeurteilung und den Systemsimulationen geschaffen. Der Einsatz dieser Me- thodik und dem dar ¨ uber liegenden Framework wird beispielhaft an einer Evaluierung der Fehlerrobustheit einer Applikation zur Verkehrszeichenerkennung gezeigt. I. EINLEITUNG Funktionale Sicherheit ist ein Schl ¨ usselthema f ¨ ur die Entwicklung zuk ¨ unftiger elektrischer/elektronischer Systeme imKraftfahrzeug. Weiterentwicklungen im Bereich der Fah- rerassistenz, der aktiven und passiven Sicherheit sowie neue Antriebskonzepte bei Elektrofahrzeugen erh ¨ ohen dieSystem- komplexit ¨ at und erschweren die Beurteilung derfunktionalen Sicherheit. Systemsimulationen in Kombination mit Fehler- injektion sind ein Ansatz zur Zuverl ¨ assigkeitsbewertung von Systemen bzw.T eilkomponenten. Anwendung finden siez.B. zur Unterst ¨ utzung der Failure Mode and Effects Analysis (FMEA). Auch die ISO26262 [1], als anerkannter Standard zurfunktionalen Sicherheit von Kraftfahrzeugen, empfiehlt Simulationen zur Absch ¨ atzung des erreichten Automotive Safety Integrity Levels (ASIL). Betrachtet man die dabei durchgef ¨ uhrten Prozesse, so zeigt sich, dass die Zuverl ¨ assigkeitsbewertung in gesonderten Au- ditsstattfindet, welche oft losgel ¨ ostvon der eigentlichen Fehlereffektsimulation sind. Die steigende Systemkomplexit ¨ at verbunden mit komplexeren Systeminteraktionen manifestiert sich in zwei Aspekten: Zum einen erh ¨ oht sich der Aufwand zur Erstellung und Durchf ¨ uhrung der Fehlereffektsimulationen, zum anderen wirddie Datenbasis f ¨ ur das nachfolgende Audit zur Bewertung der funktionalen Sicherheit immer komplexer. Derim Folgenden vorgestellte Ansatz verwendetT echniken des Model Driven Development(MDD) zur Spezifikation der Fehlereffektsimulation. Dies umfasst die Spezifikation der Simulationsmodelle, des Fehlerverhaltens aber auch der Simula- tionsergebnisse. Der Ansatz reduziert den manuellen Aufwand der Fehlereffektsimulation durch automatisierte Codegenerie- rung und durch das effizienteWiederverwenden von Simulati- onsmodellen mittelseiner Komponentenbibliothek. Zus ¨ atzlich ber ¨ ucksichtigt der Ansatz den immer wichtiger werdenden Aspekt der Modellierung von V ariabilit ¨ atin der Systementwick- lung. Dies alles schafft eine ganzheitliche Werkzeugumgebung, Modell-basierte Systemspezifikation [UML, EAST-ADL, MARTE, IP-XACT, ...] FES Modellierungsumgebung [Teile der UML mit SC_Profil, VP_Profil] Fehlereffektsimulation (FES) [C++/SystemC] Komponenten- Bibliothek Ableitung [M2M, ...] Codegenerierung C++/SystemC Variantengenerierung von Simulationsinstanzen Simulations- instanzen Dokumentation der Fehlereffekte Abbildung 1. Modellierungsansatz f¨ ur Fehlereffektsimulation welche eine umfangreiche und wohlstrukturierte Informati- onsbasis zur Durchf ¨ uhrung von Zuverl ¨ assigkeitsbewertungen bereitstellt. Des Weiteren wird der Aufwand zur Durchf ¨ uhrung der Analysen reduziert und die von derISO26262 geforderte Dokumentation erleichtert. In Abschnitt II wird der Model- lierungsansatz vorgestellt. Dieser umfasst die Spezifikation der Systemsimulation mit ihrerinh ¨ arenten V ariabilit ¨ at, die Fehlerinjektion sowiedie Analyseergebnisse. Abschnitt III zeigt auszugsweise die Modellierung und Durchf ¨ uhrung der Fehlereffektsimulation f¨ ur eine Verkehrszeichenerkennung. II. MODELLIERUNG Dervorgestellte Ansatz basiert auf einerT eilmenge der Unified Modeling Language (UML)[2]. UML wurde als Basis gew¨ ahlt, da es sich hierbei um eine standardisierte und leicht zu adaptierende Modellierungssprache handelt. Des Weiteren bietet die UML bereitseine Vielzahlvon Erweiterungen, wiez.B. SysML[3], MARTE[4] oder EAST-ADL[5], die erfolgreich in der Systementwicklung im Automobilbereich eingesetzt werden und sich direkt mit dem vorgestellten Ansatz verkn ¨ upfen lassen, siehe Abbildung 1. Weiterenicht UML basierte Modellierungsans ¨ atze, wiez.B.IP-XACT[6] zur Sys- tembeschreibung, k ¨ onnen mit dem gezeigten Ansatz gekoppelt werden. Die im Folgenden gezeigte FES-Modellierung umfasst die Spezifikation der Simulationsmodelle, die V ariabilit ¨ at des Systems und das zu injizierende Fehlerverhalten. A. Simulationsmodellspezifikation Die Modellierung des strukturellen Anteils der Simulati- onsmodelleerfolgt mit Elementen der standardisierten UML. Hierbei kommen Klassendiagramm mit Klassen, Attribute und Methoden zur Beschreibung der Module der C++/SystemC