30.6.2009

Eingebettete SystemeQualität und Produktivität

Prof. Dr. Holger SchlingloffInstitut für Informatik der Humboldt Universität

und

Fraunhofer Institut für Rechnerarchitektur und Softwaretechnik

30.6.2009 Folie 2H. Schlingloff, Eingebettete Systeme

War wir bislang hatten

1. Einführungsbeispiel (Mars Polar Lander)2. Automotive Software Engineering3. Anforderungsdefinition und -artefakte4. Modellierung

• physikalische Modellierung• Anwendungs- und Verhaltensmodellierung• Berechnungsmodelle, zeitabhängige & hybride Automaten• Datenflussmodelle (Katze und Maus)

5. Regelungstechnik• PID-Regelung• HW für Regelungsaufgaben• speicherprogrammierbare Steuerungen

6. Fehler und Fehlertoleranz7. Qualitätsnormen und Reifegradmodelle

30.6.2009 Folie 3H. Schlingloff, Eingebettete Systeme

Kenngrößen

• Zuverlässigkeit (reliability) R(t)=e-t

• Ausfallwahrscheinlichkeit F(t) = 1 - R(t)

• Ausfallrate (innerhalb eines Intervalls ) (t)= F(t+)-F(t) / *R(t)

• Hazard-Rate z(t) = F´(t) / R(t)

• mittlere Betriebsdauer MTBF = 1 / (falls konstant)

• Verfügbarkeit (availability) A(t) = (MTBF/(MTBF+MTTR))

• Versagenswahrscheinlichkeit p(n)=1-(1-p)n

bei Festplatten MTBF-Werte von 1,2*106 Stunden = 137 Jahren. Wahrscheinlichkeit, dass es während 5 Jahren zum Ausfall jährlich kommt = 0,37%

30.6.2009 Folie 4H. Schlingloff, Eingebettete Systeme

A CB

Seriell

A

Parallel

Was soll man duplizieren?

Ventilausfall auf: Wasser fliesst ab

Ventilausfall zu: Ablauf blockiert

sicher gegen einzelnen Ausfall

A

30.6.2009 Folie 5H. Schlingloff, Eingebettete Systeme

30.6.2009 Folie 6H. Schlingloff, Eingebettete Systeme

30.6.2009 Folie 7H. Schlingloff, Eingebettete Systeme

Triple Modular Redundancy (TMR)

• Unabhängiges Voting Externe Komponente oder logisch getrennt Software-Voting: getrennte Speicher, geschütztes

Betriebssystem 2-aus-3 Mehrheitsentscheid single fault fail operational, double fault fail silent (erster

Ausfall kann toleriert, zweiter erkannt werden) bei 4-fach Replikation können byzantinische Fehler behoben

werden

Beispiel: p(n)=1,2*10-4 pTMR= ?

30.6.2009 Folie 8H. Schlingloff, Eingebettete Systeme

30.6.2009 Folie 9H. Schlingloff, Eingebettete Systeme

RAM-Analyse

30.6.2009 Folie 10H. Schlingloff, Eingebettete Systeme

Ausfallrate mit Fehlertoleranz

•gefordert durch Normen:

30.6.2009 Folie 11H. Schlingloff, Eingebettete Systeme

Verallgemeinerung

30.6.2009 Folie 12H. Schlingloff, Eingebettete Systeme

30.6.2009 Folie 13H. Schlingloff, Eingebettete Systeme

Dynamische Redundanz

•Vorteile geringerer Ressourcenverbrauch Möglichkeit der Nutzung der Reserven

•Nachteile Verzögerung beim Umschalten Standby-Komponenten

30.6.2009 Folie 14H. Schlingloff, Eingebettete Systeme

Aufgaben der FT-Komponenten

• Fehlerdiagnose (Selbstdiagnose / Fremddiagnose) Ist ein Fehler aufgetreten? Fehlermodell! Welche Komponente ist fehlerhaft? Protokollierung

• Rekonfiguration Erbringung der Funktion mit den intakten

Komponenten Umschalten bzw. Ausgliedern / Neustarten

• Recovery Reparatur bzw. Wiedereingliedern Rückwärts (Rollback, Recovery Points) Vorwärts (Wiederaufsatzpunkte)

30.6.2009 Folie 15H. Schlingloff, Eingebettete Systeme

Stand der Praxis

•Sensorik, Aktuatorik z.B. Lenkwinkelgeber (Bosch), Bremsmotoren

•Verkabelung, Bussysteme z.B. TTP/C, FlexRay

•Controller, Hardware redundante integrierte modulare Controller

(IMCs) Zukunftsmusik: fehlertolerante Prozessoren, SoC

•Software diversitäre Entwicklungen bislang nur für wenige

Systeme bekannt (Fly-by-wire)

30.6.2009 Folie 16H. Schlingloff, Eingebettete Systeme

fehlertolerante Mehrprozessorarchitekturen

• Lock-step versus loosely-synchronized

• Lock-step effizienter, loosely-synchronized sicherer• Sicherung der Datenintegrität mittels CRC-Speicher• Prototypen verfügbar, Serie nicht in Sicht

Quelle: Baleani, Ferrari, Mangeruca, SangiovanniVincentell, Peri, Pezzini

30.6.2009 Folie 17H. Schlingloff, Eingebettete Systeme

Forschungsfragen

• Fehlertoleranz und Selbstorganisation kann ein Netz redundanter Knoten so angelegt

werden, dass fehlerhafte Komponenten selbsttätig ausgegliedert werden?

z.B. Sensornetze

• Fehlertolerante System-on-Chip (SoC), Network-on-Chip (NoC) (wie) können multiple Recheneinheiten auf einem

Chip für Fehlertoleranz genutzt werden? Welche Common-Cause-Fehler sind möglich?

z.B. Multi-Core-Architekturen

30.6.2009 Folie 18H. Schlingloff, Eingebettete Systeme

Fehlertolerante System-on-chip

• Dual-Core: eine CPU rechnet, die andere überwacht (selbstprüfendes Paar) Synchronisation?

• Problem Abfangen von „äußeren“ Fehlern Common-cause-Fehler (z.B. thermisch)

- Common-Cause: Eine Ursache bewirkt verschiedene Ausfälle

- Common-Mode: Ein Ausfall durch verschiedene Ursachen bewirkt

• Trend Network-on-Chip Selbstprüfung (BIST), sanfte Degradierung

30.6.2009 Folie 19H. Schlingloff, Eingebettete Systeme

Sensor Fusion

• Zusammenführung von bruchstückhaften und unzuverlässigen Sensordaten in ein homogenes Gesamtbild, Ziel: die fusionierte Information ist besser als die Einzelinformation Information aging: Extrapolation von (erwarteten)

Sensordaten auf Grund unterschiedlicher Sampling-Zeiten und Ausfallmöglichkeit

Information priorization: Berücksichtigung der Zuverlässigkeit von Daten (z.B. inertiale Navigation)

Indirect fusion: Berücksichtigung von a-priori-Information, z.B. Umgebungszustand; Informationsfusion