Hoe de complexiteit van auto's te beheersen

Geïntegreerde 'cockpits' voor de bestuurder worden steeds belangrijker voor de volgende generatie autokopers, die informatie vrijelijk willen delen tussen verschillende systemen in het voertuig en indien nodig onder de aandacht van de bestuurder willen brengen.

In sommige gevallen worden de traditionele afzonderlijke instrumentencluster en infotainmentschermen al gecombineerd tot één groot display. In andere, waarbij meerdere beeldschermen betrokken zijn, is er al behoefte aan het delen van informatie die is gegenereerd vanuit meerdere bronnen in het voertuig, zoals navigatiebeelden, cameragegevens, audiofeeds en sensoren voor geavanceerde rijhulpsystemen (ADAS).

Deze vereisten voor het delen van gegevens vereisten nieuwe ontwerpbenaderingen voor de gebruikte ingebedde softwareplatforms en nieuwe benaderingen voor testen en veiligheidsgoedkeuring.

Digitale displays

De voortdurende verbetering van de digitale weergavetechnologie, met schermen met een hogere resolutie die tegen lagere kosten verkrijgbaar zijn, betekent dat ze beschikbaar komen voor de massamarkt in toepassingen.

De huidige generatie instrumentenclusters is zogenaamd hybride, waarbij mechanische wijzerplaten worden gecombineerd met kleine digitale ingebouwde panelen. Deze worden geleidelijk vervangen door volledig digitale panelen, aangezien deze eenheden financieel levensvatbaar worden, met de juiste kwaliteit en prestaties.

Het volledig digitale paneel biedt verschillende voordelen ten opzichte van zijn mechanische voorganger, waaronder dynamische herconfiguratie om verschillende rijmodi of informatievoorkeuren te ondersteunen, en veel ruimte voor toekomstige voertuigpersonalisatie.

Software-updates gedurende de levensduur van het voertuig betekenen dat de display-applicatie kan worden geüpgraded om nieuwe functies en functionaliteit te bieden, waardoor mogelijk extra inkomstenstromen voor autofabrikanten ontstaan. Een typische architectuurstapel voor een digitaal cluster wordt getoond in figuur 1 hierboven.

Consolidatie van gegevens op één display

Een groot scherm, zoals het voorbeeld in figuur 1, kan visueel aantrekkelijk zijn, maar levert grote uitdagingen op voor de ontwerper van embedded software.
Naarmate de schermresolutie toeneemt, is een krachtigere grafische verwerkingseenheid (GPU) vereist om het scherm zonder flikkering te vernieuwen, met bijbehorende geoptimaliseerde stuurprogramma's.

Een prestatie van 60 frames per seconde wordt algemeen erkend als het minimum dat vereist is om comfortabel te kunnen kijken.
Het weergeven van een brede selectie van complexe grafische objecten of videofeeds uit verschillende bronnen is ook een uitdaging - hoe de informatie met succes in een enkel scherm te ordenen en een juiste verdeling van veiligheidskritische en zogenaamde normale wereldgegevens mogelijk te maken.

Met een steeds grotere nadruk op veiligheid, worden op touchscreen gebaseerde systemen minder aantrekkelijk wanneer er een grote hoeveelheid visuele gegevens is om met de bestuurder te communiceren. Systeembediening via stuurwielknoppen, gebaren en spraakopdrachten hebben de voorkeur omdat ze afleiding voor bestuurders verminderen.

Het organiseren van de complete applicatiestack, van hardware tot board-ondersteuningspakketten, besturingssystemen en gebruikersinterface (HMI) -applicaties, omvat doorgaans bijdragen van verschillende technologieleveranciers.

Veiligheidskritische architecturen

Als het gaat om de embedded architectuur, moeten de veiligheidskritische elementen in elk ontwerp worden uitgevoerd op geïsoleerde veiligheidscertificerende besturingssystemen, met een duidelijke scheiding van 'normale wereld'-functies die deze door interferentie in gevaar kunnen brengen.

Voertuigfabrikanten zullen doorgaans vragen dat ‘veiligheidsartefacten’ worden geleverd door leveranciers van embedded software, samen met softwareleveringen. Deze artefacten kunnen bestaan ​​uit testbewijzen, uitgebreide documentatie over alle werkingsmodi, inclusief storingsmodi, en herleidbaarheid naar de softwarevereisten.

Hoe hoger de ASIL-veiligheidsclassificatie, hoe strenger het validatie- en certificeringsproces en de daaruit voortvloeiende kosten van de embedded softwarecomponenten. Om adequaat te voldoen aan de strengste ASIL D-veiligheidseisen, is een fouttolerant ontwerp met ingebouwde software- en hardware-redundantie nodig.

Op systeemniveau kan dit betekenen dat er dubbele verbindingspaden voor signalen, dubbele hardware en storingsveilige werkwijzen zijn. Op het niveau van embedded software omvat de veiligheidsarchitectuur gescheiden besturingssystemen, waakhonden voor procesbewaking en waarschuwingen die worden geactiveerd in het geval van gedetecteerde anomalieën of storingen.

Geconsolideerde ecu's

Een moderne luxeauto bevat waarschijnlijk 60 tot 100 elektronische regeleenheden (ECU's); een verscheidenheid aan besturingssystemen, variërend van eenvoudige planners; en real-time besturingssystemen (RTOS) tot en met complexe multifunctionele op Linux TM gebaseerde besturingssystemen of vergelijkbare embedded platforms die communicatiegateways, domeincontrollers, infotainment- en driverinformatiesystemen ondersteunen.

De trend om functies te consolideren is in volle gang in de auto-industrie, en door een aantal functies te combineren, kunnen het gewicht van de kabelboom en de complexiteit van verbindingen worden geoptimaliseerd. Het is misschien mogelijk om bepaalde ECU-hardware te elimineren, waardoor de totale kosten en het aantal componenten worden bespaard. De complexiteit van softwareapplicaties brengt een uitdaging met zich mee voor het testen en certificeren: hoe meer regels code moeten worden getest, hoe groter het risico dat een use-case wordt gemist of onverwacht gedrag wordt onthuld.

Door decompositie toe te passen op embedded software kunnen veiligheidskritische componenten geïsoleerd werken, op een stand-alone veiligheidscertificaat besturingssysteem, terwijl complexere, normale componenten kunnen draaien op een complex besturingssysteem zoals Linux TM, dat gehost kan worden rijke grafische ondersteuning en complexe applicaties.

Om veiligheidscertificering voor een besturingssysteem te bieden, betekent het controleren van alle mogelijke reacties voor een bepaalde set invoer. Voor geavanceerde besturingssystemen, zoals Linux, wordt het aantal mogelijke toestanden en reacties erg groot, en het voldoen aan veeleisende test- en certificeringsnormen is tijdrovend en kostbaar.

Door de omvang en reikwijdte van een besturingssysteem te verkleinen, wordt het veiligheidscertificeringsproces beter beheersbaar, en architecturen met verschillende domeinen zullen het mogelijk maken om kleinschalige, veiligheidscertificeerbare besturingssystemen te gebruiken naast complexere domeinen op basis van Linux of andere multifunctionele besturingssystemen. systemen.

Toepassingen zoals instrumentenclusters moeten worden geïntegreerd met voertuigcommunicatiesystemen, waarbij gegevens worden doorgegeven via CAN, CAN-FD, FlexRay en Ethernet-communicatienetwerken.

Door een auto-open systeemarchitectuur (Autosar) softwarecommunicatiestack op te nemen die als een afzonderlijk, beveiligd domein werkt, kan informatie over voertuigprestaties worden verzameld en doorgegeven aan het instrumentenpaneel.

De combinatie van verschillende embedded domeinen, met beveiligde communicatiekanalen ertussen, biedt een schaalbaar mixed-safety platform dat kan voldoen aan de high-performance rich graphics-verwachtingen van consumenten, evenals aan de veiligheidskritieke eisen van de auto-industrie.

Technieken voor het delen van informatie

Er bestaan ​​verschillende mechanismen voor het delen van informatie tussen afzonderlijke fysieke ECU's of binnen een enkele ECU die meerdere applicaties host die op een enkel scherm samenkomen.

Busarchitecturen met hoge bandbreedte in de volgende generatie voertuigontwerpen zorgen ervoor dat video en andere grote grafische gegevensobjecten snel tussen knooppunten op de voertuigbus kunnen worden verplaatst.

Deze mechanismen omvatten gedeeld geheugen, toegankelijk vanuit beide toepassingen, een inter-process communicatiemechanisme (IPC), of een beveiligd berichtenprotocol zoals DDS (data distributiedienst) of RPMsg (bericht met beperkte toestemming).

Een benadering met gedeeld geheugen biedt een hoge doorvoersnelheid en wordt vaak geprefereerd voor grafische toepassingen.

Opvallende complexe displays in voertuigen worden een onderscheidend verkoopargument voor fabrikanten en er zijn nieuwe technieken nodig om 2D / 3D-graphics te combineren met veiligheidskritieke informatie.

Door nieuwe denkwijzen toe te passen op embedded softwareframeworks, kunnen veiligheidskritische en normale wereldtoepassingen naast elkaar bestaan.

Ingebouwde architecturen met gemengde kritikaliteit en capabele HMI-oplossingen zijn erg populair geworden bij auto-ontwerpers en zijn schaalbaar om te voldoen aan de behoeften van de volgende generatie - en in toenemende mate autonoom rijdende - voertuigen.

Mentor heeft samengewerkt met HMI-provider Socionext om veiligheidsgecertificeerde geconsolideerde informatiedisplays te creëren.

De ISO26262-certificeerbare functionele veiligheidsmodule Candera Safety van Socionext kan worden gebruikt om veiligheidskritieke inhoud weer te geven volgens Automotive Safety Integrity Level (ASIL) A of B en biedt een veilige second-path rendering.

Alle meegeleverde componenten zijn ontwikkeld volgens deze norm en Candera maakt het mogelijk om veiligheidskritische grafische inhoud weer te geven op een visualisatielaag die is gewijd aan functionele veiligheid.

Dankzij de display-architectuur kan de veiligheidskritische applicatie worden uitgevoerd binnen Virtual Address Space (VAS) die is toegewijd aan ISO26262 ASIL B-rendering.

Tabel 1: Verbindingsmechanismen voor ECU's met hoge datasnelheid

Over de auteur

Andrew Patterson is directeur bedrijfsontwikkeling voor de divisie embedded software van Mentor, gespecialiseerd in auto-oplossingen (Mentor Automotive)