Jak řídit složitost automobilu

Integrované „kokpity“ řidiče se stávají důležitějšími pro další generaci kupujících automobilů, kteří chtějí vidět informace volně sdílené mezi různými systémy uvnitř vozidla a v případě potřeby je upozornit na řidiče.

V některých případech jsou tradiční oddělené obrazovky přístrojů a obrazovky infotainmentu již kombinovány do jednoho velkého displeje. V jiných, zahrnujících více obrazovek, již existuje potřeba sdílet informace generované z více zdrojů ve vozidle, jako jsou navigační obrazy, data z kamer, zvukové kanály a snímače ADAS (Advanced Assistance Systems).

Tyto požadavky na sdílení dat vyžadovaly nové designové přístupy pro použité vestavěné softwarové platformy a nové přístupy k testování a schválení bezpečnosti.

Digitální displeje

Neustálé zdokonalování technologie digitálních displejů s dostupností obrazovek s vyšším rozlišením za nižší cenu znamená, že se stávají dostupnými pro masový trh aplikací.

Současná generace přístrojových klastrů je tzv. Hybridní, kombinující mechanické číselníky s malými digitálními zabudovanými panely. Ty jsou postupně nahrazovány plně digitálními panely, protože se tyto jednotky stávají finančně životaschopnými s odpovídající kvalitou a výkonem.

Plně digitální panel nabízí oproti svému předchůdci několik výhod, včetně dynamické rekonfigurace, která podporuje různé jízdní režimy nebo informační preference, a spoustu prostoru pro budoucí personalizaci vozidla.

Aktualizace softwaru po celou dobu životnosti vozidla znamenají, že je možné upgradovat zobrazovací aplikaci tak, aby nabízela nové funkce a funkce, což potenciálně otevírá další zdroje příjmů pro výrobce vozidel. Typický zásobník architektury pro digitální klastr je zobrazen na obrázku 1 výše.

Konsolidace dat na jednom displeji

Velkoplošný displej, jako je příklad na obrázku 1, může být vizuálně atraktivní, ale představuje velké výzvy pro návrháře vestavěného softwaru.
Jak se zvyšuje rozlišení obrazovky, je nutná výkonnější grafická procesorová jednotka (GPU), která udrží obrazovku obnovenou bez blikání, s přidruženým optimalizovaným softwarem ovladače.

Výkon 60 snímků za sekundu je obecně uznáván jako minimum požadované pro pohodlné sledování.
Výzvou je také zobrazení širokého výběru složitých grafických objektů nebo video kanálů z různých zdrojů - jak úspěšně uspořádat informace do jediného displeje a umožnit vhodné rozdělení bezpečnostně kritických a takzvaných dat normálního světa.

Se stále rostoucím důrazem na bezpečnost se systémy založené na dotykové obrazovce stávají méně atraktivními, když existuje velké množství vizuálních dat pro komunikaci s řidičem. Upřednostňují se ovládací prvky systému pomocí tlačítek na volantu, gesta a hlasových příkazů, protože snižují rozptýlení řidičů.

Organizace kompletního zásobníku aplikací, od hardwaru po balíčky podpory, operační systémy a aplikace uživatelského rozhraní (HMI), obvykle zahrnuje příspěvky od různých poskytovatelů technologií.

Bezpečnostní architektury

Pokud jde o vestavěnou architekturu, prvky kritické z hlediska bezpečnosti v jakémkoli designu musí běžet na izolovaných bezpečnostně certifikovaných operačních systémech s jasným oddělením od funkcí „normálního světa“, které by je mohly narušit interferencí.

Výrobci vozidel obvykle požadují, aby „artefakty bezpečnosti“ dodávali poskytovatelé zabudovaného softwaru spolu s dodávkami softwaru. Tyto artefakty mohou zahrnovat důkaz o testování, vyčerpávající dokumentaci o všech režimech provozu, včetně režimů selhání, a sledovatelnost zpět k požadavkům na software.

Čím vyšší je hodnocení bezpečnosti ASIL, tím přísnější je proces validace a certifikace a výsledné náklady na integrované softwarové komponenty. Aby bylo možné adekvátně splnit ty nejpřísnější bezpečnostní požadavky ASIL D, je zapotřebí design odolný vůči chybám s integrovanou redundancí softwaru a hardwaru.

Na úrovni systému to může znamenat duplicitní cesty připojení pro signály, duplicitní hardware a provozní režimy bezpečné proti selhání. Na úrovni integrovaného softwaru bude bezpečnostní architektura zahrnovat oddělené operační systémy, hlídací psy pro sledování procesů a výstrahy, které se spustí v případě zjištěných anomálií nebo selhání.

Konsolidované ECU

Moderní luxusní automobil pravděpodobně obsahuje 60 až 100 elektronických řídicích jednotek (ECU); různé operační systémy od jednoduchých plánovačů; a operační systémy v reálném čase (RTOS) až po složité multifunkční operační systémy založené na Linuxu TM nebo podobné vestavěné platformy podporující komunikační brány, řadiče domén, informační a zábavní systémy a ovladače.

Trend konsolidace funkcí je v automobilovém průmyslu v plném proudu a kombinací některých funkcí lze optimalizovat hmotnost kabelového svazku a složitost připojení. Je možné vyloučit některý hardware ECU, což šetří celkové náklady a počet komponent. Složitost softwarových aplikací přináší výzvu pro testování a certifikaci - čím více řádků kódu je třeba otestovat, tím vyšší je riziko ztráty případu použití nebo odhalení neočekávaného chování.

Uplatnění rozkladu na integrovaný software umožňuje, aby komponenty kritické z hlediska bezpečnosti fungovaly izolovaně, na samostatném operačním systému certifikovaném z hlediska bezpečnosti, zatímco složitější komponenty v normálním světě mohou běžet na komplexním operačním systému, jako je Linux TM, který může být hostitelem bohatá podpora grafiky a složité aplikace.

Poskytnout bezpečnostní certifikaci pro operační systém znamená zkontrolovat všechny možné odpovědi na danou sadu vstupů. U špičkových operačních systémů, jako je Linux, se počet možných stavů a ​​odpovědí stává velmi velkým a splnění náročných testovacích a certifikačních standardů je časově náročné a nákladné.

Zmenšením velikosti a rozsahu operačního systému se proces certifikace bezpečnosti stane lépe zvládnutelným a architektury se smíšenými doménami umožní malým operačním systémům s certifikací bezpečnosti fungovat vedle složitějších domén založených na Linuxu nebo jiných multifunkčních operacích systémy.

Aplikace, jako jsou displeje sdružených přístrojů, se musí integrovat do komunikačních systémů vozidla a předávat data prostřednictvím komunikačních sítí CAN, CAN-FD, FlexRay a Ethernet.

Zahrnutí softwarového komunikačního zásobníku automobilové otevřené systémové architektury (Autosar) běžícího jako samostatná zabezpečená doména umožňuje shromažďovat a předávat informace o výkonu vozidla a předávat je do sdruženého přístroje.

Kombinace různých integrovaných domén se zabezpečenými komunikačními kanály mezi nimi poskytuje škálovatelnou platformu pro smíšenou bezpečnost, která dokáže splnit vysoce výkonná grafická očekávání spotřebitelů i bezpečnostní požadavky automobilového průmyslu.

Techniky sdílení informací

Existuje několik mechanismů pro sdílení informací buď mezi samostatnými fyzickými ECU, nebo v rámci jedné ECU hostující více aplikací konvergujících na jeden displej.

Architektury sběrnice s velkou šířkou pásma v příští generaci návrhů vozidel umožňují rychle přesouvat video a další velké datové grafické objekty mezi uzly na sběrnici vozidla.

Mezi tyto mechanismy patří sdílená paměť přístupná z obou aplikací, meziprocesní komunikační mechanismus (IPC) nebo zabezpečený protokol zpráv, jako je DDS (služba distribuce dat) nebo RPMsg (zpráva s omezeným oprávněním).

Přístup sdílené paměti nabízí vysokou propustnost dat a je často upřednostňován pro grafické aplikace.

Poutavé složité displeje ve vozidlech se stávají pro výrobce odlišujícím se prodejním místem a je zapotřebí nových technik, jak kombinovat 2D / 3D grafiku s informacemi důležitými pro bezpečnost.

Uplatnění nového myšlení na vestavěné softwarové rámce umožňuje koexistenci aplikací kritických z hlediska bezpečnosti a běžného světa.

Integrované architektury se smíšenou kritičností a schopná řešení HMI se staly velmi oblíbenými u automobilových designérů a jsou škálovatelné tak, aby vyhovovaly potřebám nové generace - a stále více autonomních - vozidel.

Mentor spolupracoval s poskytovatelem HMI Socionext na vytváření bezpečnostních certifikovaných konsolidovaných informačních displejů.

Certifikovaný funkční bezpečnostní modul společnosti Socionext ISO26262 Candera Safety lze použít k zobrazení obsahu kritického pro bezpečnost podle úrovně integrity bezpečnosti automobilového průmyslu (ASIL) A nebo B a poskytuje bezpečné vykreslování druhé cesty.

Všechny zahrnuté komponenty jsou vyvíjeny podle tohoto standardu a Candera umožňuje vykreslování grafického obsahu kritického z hlediska bezpečnosti do vizualizační vrstvy věnované funkční bezpečnosti.

Architektura displeje umožňuje spuštění aplikace kritické z hlediska bezpečnosti ve virtuálním adresním prostoru (VAS) vyhrazeném pro vykreslování ISO26262 ASIL B.

Tabulka 1: Mechanismy připojení pro ECU s vysokou datovou rychlostí

O autorovi

Andrew Patterson je ředitelem pro rozvoj obchodu v divizi embedded softwaru společnosti Mentor se specializací na automobilová řešení (Mentor Automotive)