Fail-operational strategies for highly-integrated automotive ECUs

Abstract

The ongoing transition towards fully automated systems for on-road vehicles requires highly available and reliable Electrical and/or Electronic (E/E) systems. When an Automated Driving System (ADS) is supposed to monitor the driving environment, Fail-Operational (FO) systems providing high availability and reliability need to be developed. If a single failure occurs, specific systems must remain operational for a certain amount of time to either hand over control to a human driver or automatically manoeuvre the vehicle into a safe state. Various approaches on architecture level exist to develop systems capable of FO behaviour. Depending on the application, some approaches are more qualified compared to others. However, it is always a trade-off between the degree of redundancy and diversity added on hardware or software level and economic requirements. This thesis is based on state-of-the-art approaches to build FO ADSs and on a detailed analysis. For this purpose, e.g. failure modes, Automotive Safety Integrity Levels (ASILs)or Fault Containment Regions (FCRs) are considered. Several design concepts were elaborated in this thesis. Based on the evaluation of the proposed concepts, one of them was selected for the implementation because it addresses the main challenges defined by automotive industry. The implemented FO concept was successfully integrated in a lab demonstrator using existing Electronic Control Units (ECUs), containing proper safety controllers, number crunching processors and communication links. The FO behaviour is demonstrated by using fault injection. Finally, the overall performance of the demonstrator is evaluated by measuring the fail-over time of the system which shows acceptable performance for real-world application scenarios.

Der derzeit stattfindende technologische Übergang zu voll autonomen Systemen für Straßenfahrzeuge erfordert E/E-Systeme mit entsprechend hohen Verfügbarkeits- und Zuverlässigkeitskennzahlen. Die Überwachung der Umgebung durch autonome Systeme erfordert die Entwicklung fehlertoleranter Systeme, die den notwendigen Grad an Verfügbarkeit und Zuverlässigkeit liefern. Beim Auftreten eines einzelnen Fehlers müssen gewisse Systeme zumindest für eine gewisse Zeitspanne weiterhin funktionsfähig bleiben, um entweder die Kontrolle an den Fahrer zu übergeben oder das Fahrzeug in einen sicheren Zustand zu manövrieren. Für die Entwicklung von fehlertoleranten Systemen existieren verschiedene Architekturen, wobei deren Verwendbarkeit anwendungsspezifisch ist und immer ein Kompromiss zwischen dem Grad der Redundanz bzw. Diversität und den wirtschaftlichen Vorgaben gefunden werden muss. In dieser Arbeit liegt der Fokus auf einer State-of-the-Art-Recherche und einer detaillierten Untersuchung von fehlertoleranten autonomen Systemen. Dabei werden unter anderem Konzepte wie Fehler-Modes, ASILs oder FCRs berücksichtigt. Von den untersuchten Architekturen wird ein ausgewählter Ansatz mithilfe von existierenden ECUs, bestehend aus Safety-Prozessoren, Number-Crunching-Prozessoren und geeigneten Kommunikationsverbindungen in Form eines Prototypen implementiert. Mithilfe von Fehlerinjektionen wird das Fehlertoleranzverhalten demonstriert und dessen Leistungsfähigkeit durch Messung der Fail-Over-Zeit evaluiert. Die Auswertung der Messergebnisse zeigt akzeptable Werte für den Einsatz in realen Anwendungsszenarien.