Comparison of fail-operational software architectures from the viewpoint of an automotive application

摘要

Due to the trend towards advanced driver assistance functions and fully automated driving, many future automotive systems have to provide fail-operational behaviour, maintaining certain functions for a certain time even in case of certain faults. Such behaviour is well-known in other domains where the availability of certain functions is important due to safety or financial reasons. The ability to tolerate faults and failures in systems, hardware and software therefore becomes increasingly important. Since there are topologies already available to cope with these new requirements, it is the task of the automotive industry to select the ones that fit to its specific constraints. These constraints include a high cost pressure, the scarcity of packaging space, limited resources for software, and requirements of the ISO 26262:2011 (i.e. the functional safety standard in the automotive industry). In order to support the decision on selecting the right software architecture, the strengths and weaknesses of topologies used by other industrial sectors have to be known thoroughly. This paper investigates three typical fault tolerant software architectures by use of a structured analysis technique, and by applying a set of criteria specific for the automotive domain. The intention of this paper is twofold: The primary goal is to gain an understanding related to the properties of the compared architectures. The second goal is to prove that the chosen software architecture comparison method is suitable to compare schematic, high level topologies.%Aufgrund der Tendenz in Richtung fortschrittlicher Fahrerassistenzsysteme und autonomes Fahren müssen zukünftige Kraftfahrzeugsysteme ein so genanntes Fail-operational-Verhalten aufweisen. Dies bedeutet, dass gewisse Funktionen nach dem Auftreten von einem kritischen Fehler für eine gewisse Zeit aufrechterhalten bleiben. Diese Verhaltensmuster sind woN bekannt in anderen Industriesektoren, wo die Verfügbarkeit gewisser Funktionen sicherheits-oder kostenrelevant ist. Die Fähigkeit von Systemen, Hardware und Software, Fehler zu tolerieren, gewinnt dadurch immer mehr an Bedeutung. Da andere Domänen fehlertolerante Architekturen bereits in Anwendung haben, ist es die Aufgabe der Automobilindustrie, die geeignetsten für die spezifischen Bedingungen dieser Branche auszuwählen. Diese Einsatzbedingungen sind durch hohen Kostendruck, Knappheit des Bauraums, begrenzte Ressourcen für Software und durch die technischen Anforderungen aus der ISO 26262:2011 (Norm zur funktionalen Sicherheit in Kraftfahrzeugen) geprägt. Um die Entscheidungsfindung bezogen auf das Auswählen der richtigen Softwarearchitektur zu unterstützen, müssen die Stärken und Schwächen typischer fehlertoleranter Topologien bekannt sein. Dieser Beitrag untersucht drei solche Architekturvarianten mittels einer strukturierten Softwarearchitekturanalysemethode. Für diese Analysemethode werden Kriterien eingesetzt, die aus typischen Bedingungen und Schwerpunkten der Kraftfahrzeugbranche abgeleitet wurden. Der vorliegende Beitrag hat zwei Hauptintentionen: einerseits ein Verständnis bezüglich der Eigenschaften der verglichenen Architekturen zu gewinnen, anderseits nachzuweisen, dass die angewandte Methodik auch für den Vergleich schematischer, grober Architekturen geeignet ist.