Hvordan kontrollere bilindustriens kompleksitet

Integrerte fører-cockpits blir viktigere for neste generasjon bilkjøpere, som ønsker å se informasjon fritt delt mellom forskjellige systemer inne i kjøretøyet, og ført oppmerksomhet til sjåføren når det er nødvendig.

I noen tilfeller kombineres de tradisjonelle separate instrumentklyngene og infotainment-skjermene allerede til en stor skjerm. I andre, som involverer flere skjermer, er det allerede et behov for å dele informasjon generert fra flere kilder i kjøretøyet, for eksempel navigasjonsbilder, kameradata, lydinnmatinger og avanserte førerassistansesystemer (ADAS) sensorer.

Disse kravene til deling av data har krevd nye designtilnærminger for de innebygde programvareplattformene som brukes, og nye tilnærminger til testing og sikkerhetsgodkjenning.

Digitale skjermer

Den kontinuerlige forbedringen i digital skjermteknologi, med skjermer med høyere oppløsning tilgjengelig til lavere pris, betyr at de blir tilgjengelige for massemarkedet innen applikasjoner.

Den nåværende generasjonen av instrumentklynger er såkalt hybrid, og kombinerer mekaniske ringer med små digitale innebygde paneler. Disse erstattes gradvis med heldigitale paneler, ettersom disse enhetene blir økonomisk levedyktige, med passende kvalitet og ytelse.

Det helt digitale panelet har flere fordeler i forhold til sin mekaniske forgjenger, inkludert dynamisk omkonfigurering for å støtte forskjellige kjøremoduser eller informasjonspreferanser, og rikelig med mulighet for fremtidig personalisering av kjøretøyet.

Programvareoppdateringer over kjøretøyets levetid betyr at skjermapplikasjonen kan oppgraderes for å tilby nye funksjoner og funksjonalitet, noe som potensielt åpner ekstra inntektsstrømmer for bilprodusenter. En typisk arkitekturstabel for en digital klynge er vist i figur 1 ovenfor.

Datakonsolidering for en enkelt skjerm

En stor skjerm, slik som eksemplet i figur 1, kan være visuelt attraktiv, men gir store utfordringer for den innebygde programvaredesigneren.
Når skjermoppløsningen øker, kreves en kraftigere grafikkbehandlingsenhet (GPU) for å holde skjermoppdateringen flimmerfri, med tilhørende optimalisert driverprogramvare.

En ytelse på 60 bilder per sekund er generelt anerkjent som det minimum som kreves for å gi komfortabel visning.
Å vise et bredt utvalg av komplekse grafiske objekter eller videofeeder fra forskjellige kilder er også en utfordring - hvordan man vellykket ordner informasjonen i en enkelt skjerm, og tillater riktig oppdeling av sikkerhetskritiske og såkalte data fra den normale verdenen.

Med en stadig økende vekt på sikkerhet blir berøringsskjermbaserte systemer mindre attraktive når det er mye visuell data å kommunisere til sjåføren. Systemkontroller gjennom rattknapper, bevegelse og stemmekommandoer foretrekkes da de reduserer distraksjon for sjåfører.

Organisering av den komplette applikasjonsstakken, fra maskinvare til styrepakker, operativsystemer og brukergrensesnitt (HMI) -applikasjoner innebærer vanligvis bidrag fra forskjellige teknologileverandører.

Sikkerhetskritiske arkitekturer

Når det gjelder den innebygde arkitekturen, må de sikkerhetskritiske elementene i ethvert design kjøres på isolerte sikkerhetssertifiserte operativsystemer, med tydelig skille fra funksjoner fra den 'normale verden' som kan kompromittere dem gjennom forstyrrelser.

Bilprodusenter vil vanligvis be om at ”sikkerhetsgjenstander” leveres av innebygde programvareleverandører, sammen med programvareleveranser. Disse gjenstandene kan inneholde bevis på testing, uttømmende dokumentasjon på alle driftsmåter, inkludert feilmodus, og sporbarhet tilbake til programvarekravene.

Jo høyere ASIL-sikkerhetsvurderingen er, desto strengere blir validerings- og sertifiseringsprosessen, og de resulterende kostnadene for de innebygde programvarekomponentene. For å oppfylle de strengeste ASIL D-sikkerhetskravene tilstrekkelig, er det nødvendig med en feiltolerant design med innebygd programvare og maskinvaredundans.

På systemnivå kan dette bety dupliserte tilkoblingsveier for signaler, duplikat maskinvare og feilsikre driftsmåter. På det innebygde programvarenivået vil sikkerhetsarkitekturen involvere atskilte operativsystemer, overvåking av prosessovervåking og varsler som utløses i tilfelle oppdagede uregelmessigheter eller feil.

Konsoliderte ECUer

En moderne luksusbil inneholder sannsynligvis 60 til 100 elektroniske styreenheter (ECUer); en rekke operativsystemer som strekker seg fra enkle planleggere; og sanntidsoperativsystemer (RTOS) til komplekse multifunksjons Linux TM-baserte operativsystemer eller lignende innebygde plattformer som støtter kommunikasjonsportaler, domenekontrollere, infotainment og driverinformasjonssystemer.

Trenden med å konsolidere funksjoner er godt i gang i bilindustrien, og ved å kombinere noen funksjoner kan ledningsnettvekt og tilkoblingskompleksitet optimaliseres. Det kan være mulig å eliminere noe ECU-maskinvare, noe som sparer totale kostnader og antall komponenter. Kompleksitet i programvareapplikasjoner gir en utfordring for testing og sertifisering - jo flere kodelinjer du skal teste, jo større er risikoen for å gå glipp av en brukstilfelle eller avsløre uventet oppførsel.

Ved å bruke nedbrytning på innebygd programvare kan sikkerhetskritiske komponenter kjøres isolert, på et frittstående sikkerhetssertifisert operativsystem, mens mer komplekse, normale komponenter kan kjøres på et komplekst operativsystem som Linux TM, som kan være vert rik grafikkstøtte og komplekse applikasjoner.

Å gi sikkerhetssertifisering for et operativsystem betyr å sjekke alle mulige svar for et gitt sett med innganger. For avanserte operativsystemer, som Linux, blir antallet mulige tilstander og svar veldig stort, og det er tidkrevende og kostbart å oppfylle krevende test- og sertifiseringsstandarder.

Ved å redusere størrelsen og omfanget av et operativsystem blir sikkerhetssertifiseringsprosessen mer håndterbar, og arkitekturer med blandet domene vil tillate at sikkerhetssertifiserbare operativsystemer med lite fotavtrykk fungerer sammen med mer komplekse domener basert på Linux eller andre multifunksjonelle operativsystemer systemer.

Applikasjoner som instrumentklyngedisplayer må integreres med kjøretøykommunikasjonssystemer, og sende data via CAN-, CAN-FD-, FlexRay- og Ethernet-kommunikasjonsnettverk.

Inkludert en autosar-programvarekommunikasjonsstabel som kjører som et separat, sikkert domene, gjør det mulig å samle inn informasjon om kjøretøyets ytelse og overføre til instrumentklyngen.

Kombinasjonen av forskjellige innebygde domener, med sikre kommunikasjonskanaler mellom dem, gir en skalerbar blandet sikkerhetsplattform som kan oppfylle de høyytelsesrike grafikkforventningene til forbrukerne, samt sikkerhetskritiske krav til bilindustrien.

Teknikker for informasjonsdeling

Det eksisterer flere mekanismer for å dele informasjon enten mellom separate fysiske ECUer, eller i en enkelt ECU som er vert for flere applikasjoner som konvergerer til en enkelt skjerm.

Bussarkitekturer med høy båndbredde i neste generasjon av kjøretøydesign gjør at video og andre store grafiske dataobjekter raskt kan flyttes mellom noder på kjøretøybussen.

Disse mekanismene inkluderer delt minne, tilgjengelig fra begge applikasjoner, en kommunikasjonsmekanisme mellom prosesser (IPC) eller en sikker meldingsprotokoll som DDS (datadistribusjonstjeneste) eller RPMsg (begrenset tillatelsesmelding).

En delt minnemetode gir høy datahastighet, og er ofte favorisert for grafikkbaserte applikasjoner.

Iøynefallende komplekse skjermer i biler blir et differensierende salgsargument for produsenter, og det er behov for nye teknikker for å kombinere 2D / 3D-grafikk med sikkerhetskritisk informasjon.

Bruk av nytenking i innebygde programvarerammer gjør det mulig å eksistere sikkerhetskritiske og normale verdensapplikasjoner.

Integrerte arkitekturer med blandet kritikk og dyktige HMI-løsninger har blitt veldig populære blant bildesignere, og er skalerbare for å imøtekomme behovene til neste generasjons - og stadig mer autonome kjøring - biler.

Mentor har samarbeidet med HMI-leverandøren Socionext for å lage sikkerhetssertifiserte konsoliderte informasjonsdisplayer.

Socionexts ISO26262-sertifiserbare funksjonelle sikkerhetsmodul Candera Safety kan brukes til å vise sikkerhetskritisk innhold i henhold til Automotive Safety Integrity Level (ASIL) A eller B og gir sikker gjengivelse av andre veier.

Alle medfølgende komponenter er utviklet i henhold til denne standarden, og Candera tillater gjengivelse av sikkerhetskritisk grafisk innhold til et visualiseringslag dedikert til funksjonell sikkerhet.

Skjermarkitekturen gjør at sikkerhetskritisk applikasjon kan utføres i Virtual Address Space (VAS) dedikert til ISO26262 ASIL B-gjengivelse.

Tabell 1: Tilkoblingsmekanismer for ECUer med høy datahastighet

Om forfatteren

Andrew Patterson er forretningsutviklingsdirektør for Mentors innebygde programvaredivisjon, som spesialiserer seg på billøsninger (Mentor Automotive)