So steuern Sie die Komplexität von Fahrzeugen

Integrierte Fahrer-Cockpits werden für die nächste Generation von Autokäufern, die Informationen, die frei zwischen verschiedenen Systemen innerhalb des Fahrzeugs frei geteilt werden sollen, sehen wollen und bei Bedarf auf den Fahrer aufmerksam gemacht werden.

In manchen Fällen werden die traditionellen, separaten Kombi-Kombi und Infotainment-Bildschirme bereits zu einem großen Display kombiniert. In anderen Bereichen, die mehrere Anzeigebildschirme einschließen, müssen bereits Informationen, die aus mehreren Quellen innerhalb des Fahrzeugs erzeugt werden, wie Navigationsbilder, Kameradaten, Audiozuführungen und ADAS-Sensoren (Advanced Driver Assistance Systems), gemeinsam genutzt werden.

Diese Anforderungen an die gemeinsame Nutzung von Daten erfordern neue Design-Ansätze für die eingesetzten Embedded-Software-Plattformen und neue Ansätze für Tests und Sicherheitsgenehmigungen.

Digitalanzeigen

Die kontinuierliche Verbesserung der digitalen Anzeigetechnologie mit höher auflösenden Bildschirmen, die zu geringeren Kosten verfügbar sind, bedeutet, dass sie für den Massenmarkt in Anwendungen verfügbar werden.

Die gegenwärtige Generation von Instrumentenclustern ist ein sogenannter Hybrid, der mechanische Skalen mit kleinen digitalen eingebauten Panels kombiniert. Diese werden schrittweise durch volldigitale Panels ersetzt, da diese Einheiten mit angemessener Qualität und Leistung finanziell tragfähig werden.

Das volldigitale Panel bietet mehrere Vorteile gegenüber seinem mechanischen Vorgänger, einschließlich der dynamischen Rekonfiguration zur Unterstützung verschiedener Fahrmodi oder Informationspräferenzen und viel Raum für zukünftige Fahrzeugpersonalisierung.

Software-Updates während der gesamten Lebensdauer des Fahrzeugs bedeuten, dass die Display-Anwendung aktualisiert werden kann, um neue Funktionen und Funktionen anzubieten, wodurch zusätzliche Einnahmequellen für Fahrzeughersteller eröffnet werden können. Ein typischer Architekturstapel für einen digitalen Cluster ist in 1 oben gezeigt.

Einzelne Displaydatenkonsolidierung

Eine große Bildschirmanzeige, wie das Beispiel in Abbildung 1, kann visuell attraktiv sein, stellt jedoch für den Entwickler der eingebetteten Software große Herausforderungen dar.
Mit zunehmender Bildschirmauflösung ist eine leistungsfähigere Grafikprozessoreinheit (GPU) erforderlich, um die Bildschirmaktualisierung mit der zugehörigen optimierten Treibersoftware flimmerfrei zu halten.

Eine Leistung von 60 Bildern pro Sekunde wird allgemein als das Minimum angesehen, das für eine bequeme Betrachtung erforderlich ist.
Eine große Auswahl an komplexen grafischen Objekten oder Video-Feeds aus verschiedenen Quellen ist ebenfalls eine Herausforderung - wie man die Informationen in einem einzigen Display anordnet und eine entsprechende Aufteilung von sicherheitskritischen und so genannten Normal-World-Daten ermöglicht.

Auf der Grundlage von immer mehr Sicherheitsaspekten werden Touchscreen-basierte Systeme weniger attraktiv, wenn eine große Menge an visuellen Daten für den Fahrer zur Verfügung steht. Systemsteuerungen durch Lenkradknöpfe, Gesten- und Sprachbefehle werden bevorzugt, da sie die Ablenkung für Fahrer reduzieren.

Die Organisation des gesamten Anwendungsstapels von Hardware- zu Board-Support-Paketen, Betriebssystemen und Benutzerschnittstellen (HMI) umfasst typischerweise Beiträge von verschiedenen Technologieanbietern.

Sicherheitskritische Architekturen

Wenn es um die Embedded-Architektur geht, müssen die sicherheitskritischen Elemente in jedem Design auf isolierten, sicherheitszertifizierten Betriebssystemen laufen, wobei eine klare Trennung von "normalen" Funktionen, die sie durch Interferenzen beeinträchtigen könnten, besteht.

Die Fahrzeughersteller fordern normalerweise, dass "Sicherheitsartefakte" von eingebetteten Softwareanbietern zusammen mit den Softwareprodukten geliefert werden. Diese Artefakte können einen Testnachweis, eine umfassende Dokumentation aller Betriebsarten, einschließlich Fehlermodi, und eine Rückverfolgbarkeit zurück zu den Softwareanforderungen enthalten.

Je höher die ASIL-Sicherheitsbewertung ist, desto strenger ist der Validierungs- und Zertifizierungsprozess und die daraus resultierenden Kosten für die eingebetteten Softwarekomponenten. Um die strengsten Sicherheitsanforderungen von ASIL D zu erfüllen, ist ein fehlertolerantes Design mit integrierter Software- und Hardware-Redundanz erforderlich.Auf Systemebene kann dies doppelte Verbindungswege für Signale, doppelte Hardware und fehlersichere Betriebsarten bedeuten. Auf der Ebene der eingebetteten Software umfasst die Sicherheitsarchitektur getrennte Betriebssysteme, Prozessüberwachungs-Watchdogs und Warnmeldungen, die bei festgestellten Anomalien oder Fehlern ausgelöst werden.

Konsolidierte Steuergeräte

Ein modernes Luxusauto wird wahrscheinlich 60 bis 100 elektronische Steuergeräte (ECUs) enthalten; eine Vielzahl von Betriebssystemen reicht von einfachen Schedulern; Echtzeit-Betriebssysteme (RTOS) bis hin zu komplexen Multi-Funktions-Linux TM-basierten Betriebssystemen oder ähnlichen Embedded-Plattformen, die Kommunikationsgateways, Domänencontroller, Infotainment- und Fahrerinformationssysteme unterstützen.

Der Trend zur Konsolidierung von Funktionen ist in der Automobilindustrie weit fortgeschritten. Durch die Kombination einiger Funktionen kann das Kabelgewicht und die Verbindungskomplexität optimiert werden. Es kann möglich sein, einige ECU-Hardware zu eliminieren, was die Gesamtkosten und die Anzahl der Komponenten verringert. Die Komplexität der Software-Anwendung stellt eine Herausforderung für das Testen und die Zertifizierung dar. Je mehr Codezeilen getestet werden, desto höher ist das Risiko, dass ein Anwendungsfall fehlt oder unerwartete Verhaltensweisen auftreten.

Durch die Anwendung der Dekomposition auf eingebettete Software können sicherheitskritische Komponenten auf einem eigenständigen, sicherheitszertifizierten Betriebssystem isoliert ausgeführt werden, während komplexere Komponenten der normalen Welt auf einem komplexen Betriebssystem wie Linux TM ausgeführt werden können. umfangreiche Grafikunterstützung und komplexe Anwendungen.

Um die Sicherheitszertifizierung für ein Betriebssystem zu gewährleisten, müssen alle möglichen Antworten für eine bestimmte Menge von Eingaben überprüft werden. Für High-End-Betriebssysteme wie Linux wird die Anzahl möglicher Zustände und Antworten sehr groß und anspruchsvolle Test- und Zertifizierungsstandards sind zeitaufwändig und kostenintensiv.

Durch die Reduzierung der Größe und des Umfangs eines Betriebssystems wird der Prozess der Sicherheitszertifizierung leichter verwaltbar, und Architekturen mit gemischten Domänen ermöglichen es, mit geringem Platzbedarf und sicherheitszertifizierbaren Betriebssystemen zusammen mit komplexeren Domänen basierend auf Linux oder anderen multifunktionalen Betriebssystemen zu arbeiten Systeme.

Anwendungen wie Instrumentencluster-Displays müssen in Fahrzeugkommunikationssysteme integriert werden und Daten über CAN-, CAN-FD-, FlexRay- und Ethernet-Kommunikationsnetze weiterleiten.

Durch den Einsatz eines Autosar-Software-Kommunikationsstapels, der als separate, sichere Domäne läuft, können Informationen zur Fahrzeugleistung gesammelt und an das Kombiinstrument weitergeleitet werden.

Die Kombination verschiedener eingebetteter Domänen mit sicheren Kommunikationskanälen zwischen ihnen bietet eine skalierbare Mixed-Safety-Plattform, die die hohen Anforderungen an die Grafikleistung der Verbraucher sowie die sicherheitskritischen Anforderungen der Automobilindustrie erfüllen kann.

Techniken für den Informationsaustausch

Es existieren verschiedene Mechanismen zum Teilen von Informationen entweder zwischen separaten physischen Steuergeräten oder innerhalb einer einzigen Steuerzentrale, die mehrere Anwendungen bewirtet, die auf ein einzelnes Display konvergieren.

Busarchitekturen mit hoher Bandbreite in der nächsten Generation von Fahrzeugdesigns ermöglichen es, dass Videos und andere große graphische Datenobjekte schnell zwischen Knoten auf dem Fahrzeugbus bewegt werden können.

Diese Mechanismen umfassen gemeinsam genutzten Speicher, auf den von beiden Anwendungen aus zugegriffen werden kann, einen Interprozess-Kommunikationsmechanismus (IPC) oder ein sicheres Nachrichtenprotokoll wie DDS (Datenverteilungsdienst) oder RPMsg (eingeschränkte Berechtigungsnachricht).

Ein Shared-Memory-Ansatz bietet einen hohen Datenraten-Durchsatz und wird häufig für grafikbasierte Anwendungen bevorzugt.

Auffällige komplexe Displays in Fahrzeugen werden zu einem differenzierten Verkaufsargument für die Hersteller, und es werden neue Techniken benötigt, um 2D / 3D-Grafiken mit sicherheitskritischen Informationen zu kombinieren.

Durch die Anwendung neuer Denkansätze für Embedded-Software-Frameworks können sicherheitskritische und normale Weltanwendungen koexistieren.

Mixed-Criticality-Embedded-Architekturen mit fähigen HMI-Lösungen sind bei Autodesignern sehr beliebt und auf die Bedürfnisse der nächsten Generation - und zunehmend autonomer fahrender Fahrzeuge - skalierbar.Mentor hat mit dem HMI-Anbieter Socionext zusammengearbeitet, um sicherheitszertifizierte konsolidierte Informationsdisplays zu erstellen.

Das nach ISO26262 zertifizierbare Funktionssicherheitsmodul Candera Safety von Socionext kann zur Anzeige von sicherheitskritischen Inhalten gemäß der Sicherheitsstufe ASIL (Automated Safety Integritätslevel) (AIL) A oder B verwendet werden und stellt sicheres Zweitweg-Rendering bereit.

Alle enthaltenen Komponenten werden nach diesem Standard entwickelt und Candera ermöglicht die Darstellung von sicherheitskritischen grafischen Inhalten auf einer Visualisierungsebene, die der funktionalen Sicherheit dient.

Die Darstellungsarchitektur ermöglicht die Ausführung der sicherheitskritischen Anwendung innerhalb des Virtual Address Space (VAS), der dem ISO 26262 ASIL B-Rendering gewidmet ist.

Tabelle 1: Verbindungsmechanismen für Steuergeräte mit hoher Datenrate

Über den Autor

Andrew Patterson ist Business Development Director für Mentors Embedded-Software-Bereich, spezialisiert auf Automotive-Lösungen (Mentor Automotive)