Warum benötigt man eigentlich SiL-Tests und eine V-ECU? Fehlerhaftes Fahrzeugverhalten gefährdet Menschenleben, der Rückruf von Fahrzeugen kostet Geld und schadet dem Image. Bei immer stärker vernetzten Funktionen der Fahrzeuge ist es deshalb umso wichtiger, sie vor Auslieferung umfangreich zu testen. Die adaptive Geschwindigkeitsregelung (ACC) dient im Folgenden als vereinfachtes Beispiel, bei dem die Regelung unabhängig von der Streckenführung eine vorgegebene Geschwindigkeit halten soll. Dazu kommuniziert das ACC-Steuergerät über einen CAN-Bus mit dem Motorsteuergerät und gibt Motormomente vor. Kommt es nun zu einem Bremseingriff des Fahrers, sendet das Bremsensteuergerät die Bremsnachricht sowohl an das ACC- als auch an das Motorsteuergerät. Das ACC-Steuergerät schaltet die automatische Geschwindigkeitsregelung daraufhin aus.

Man kann sich nun folgende Fehlersituation vorstellen: Besteht während der Bremssituation eine Überlastung des CAN-Busses, empfängt das ACC-Steuergerät die Bremsnachricht nicht und sendet deshalb weiterhin Motormomentvorgaben an das Motorsteuergerät. Durch einen Software-Fehler im Motorsteuergerät wird weiterhin diese Vorgabe umgesetzt - der Motor beschleunigt gegen die Bremseinwirkung des Fahrers, und es kommt zu einer Gefahrensituation.

Fehler dieser Art lassen sich bereits im Rahmen einer SIL-Absicherung finden. Hierbei wird der Produktiv-Code der abzusichernden Funktionen ohne Verwendung von Hardware-Prototypen getestet. Zum Einsatz kommen Tests, wie sie auch im HiL-Betrieb (HiL: Hardware-in-the-Loop) von Prototyp-Steuergeräten Anwendung finden. Im Unterschied zu reinen Funktionstests einzelner Steuergeräte-Funktionen können im SIL-Betrieb auch Fehler gefunden werden, die erst durch die Vernetzung mehrerer Steuergeräte auftreten, wie es im Beispiel durch die Kombination von Busüberlast und fehlerhaftem Code auf dem Motorsteuergerät der Fall ist. Voraussetzung hierfür ist, dass die Steuergeräte-Software bereits vorliegt. In Form eines virtuellen Steuergeräts (V-ECU) kann sie dann als Testobjekt in unterschiedlich komplexen Tests dienen.

Will man exakt diesen Fehlerfall im SIL-Kontext nachstellen, kann man die Überlastung des Busses PC-basiert simulieren. Dafür ist jeweils die Software des Motor- und des ACC-Steuergeräts erforderlich, die als V-ECUs an der Simulation beteiligt sind. Beide müssen in der Lage sein, über einen virtuellen CAN-Bus miteinander zu kommunizieren. Außerdem muss eine Simulationsumgebung vorliegen, die sowohl die Ausführung der Steuergeräte-Software übernimmt, als auch das Verhalten des CAN-Busses simuliert (siehe Bild 1b).

In diesem Beispiel bestehen sowohl die V-ECU für das ACC als auch die V-ECU für das Motorsteuergerät aus mehreren Teilen. Zum einen enthalten sie den Code der Applikationsschicht, also die Implementierung der eigentlichen Funktion. Zum anderen enthalten sie Basissoftware wie insbesondere den COM-Stack, der die Übersetzung der signalbasierten Kommunikation in CAN-Nachrichten übernimmt. Beide Anteile werden mit einem Betriebssystem kombiniert, das für die Ausführung auf einem Simulator (im Gegensatz zur Zielplattform) gedacht ist.

Die Überlastung des CAN-Busses löst den eingangs genannten Fehler aus, aber die eigentliche Fehlerursache liegt im Motorsteuergerät. Daher ließe er sich auch finden, wenn die Anteile der Buskommunikation - also der COM-Stack und die Kommunikationsmatrix des Busnetzwerks - nicht in die V-ECU integriert werden. Die V-ECUs könnten auf Signalebene statt auf Busebene miteinander verbunden werden. In diesem Fall wäre es möglich, den Verlust des Signals des Bremsensteuergeräts direkt am ACC-Steuergerät einzuspeisen und so den Fehler im Motorsteuergerät zu provozieren. Dieser Testaufbau ist bereits mit V-ECUs möglich, die lediglich die relevanten Funktionalitäten der Applikationsschicht enthalten; ein COM-Stack ist hierfür nicht erforderlich.

Bereits an diesem Beispiel wird ...

