Come controllare la complessità automobilistica

I "cockpits" dei piloti integrati stanno diventando sempre più importanti per la prossima generazione di acquirenti di auto, che vogliono vedere informazioni distribuite liberamente tra diversi sistemi all'interno del veicolo e portati all'attenzione del conducente quando necessario.

In alcuni casi il tradizionale cluster di strumenti e le schermate di infotainment vengono già combinati in un grande display. In altri, con più schermate, c'è già la necessità di condividere informazioni generate da più fonti all'interno del veicolo, come immagini di navigazione, dati della fotocamera, feed audio e sensori ADAS (Advanced Driver Support System).

Questi requisiti di condivisione dei dati hanno richiesto nuovi approcci di progettazione per le piattaforme software embedded impiegate e nuovi approcci per l'approvazione di test e sicurezza.

Display digitali

Il miglioramento continuo della tecnologia di visualizzazione digitale, con schermi ad alta risoluzione disponibili a costi inferiori, significa che sono disponibili per il mercato di massa nelle applicazioni.

L'attuale generazione di cluster strumenti sono cosiddetti ibridi, combinando i quadranti meccanici con i piccoli pannelli digitali incorporati. Queste vengono gradualmente sostituite con pannelli completamente digitali, poiché queste unità diventano finanziariamente fruibili, con qualità e prestazioni adeguate.

Il pannello completamente digitale offre diversi vantaggi rispetto al suo predecessore meccanico, inclusa la riconfigurazione dinamica per supportare diverse modalità di guida o preferenze di informazione e un ampio spazio per la personalizzazione futura del veicolo.

Gli aggiornamenti software per tutta la durata del veicolo consentono di aggiornare l'applicazione di visualizzazione per offrire nuove funzionalità e potenzialità di apertura di flussi di entrate aggiuntivi per i produttori di veicoli. Uno stack di architettura tipico per un cluster digitale è mostrato nella Figura 1, sopra.

Consolidamento dei dati di visualizzazione singolo

Un display a grande schermo, come l'esempio di Figura 1, può essere visivamente attraente ma presenta grandi sfide per il progettista software embedded.
Aumentando la risoluzione dello schermo, è necessaria una più potente unità di elaborazione grafica (GPU) per mantenere lo schermo aggiornato senza sfarfallio, con software di driver ottimizzato associato.

Una prestazione di 60 fotogrammi al secondo è generalmente riconosciuta come il minimo necessario per consentire una visione comoda.
La visualizzazione di un'ampia gamma di oggetti grafici complessi o di feed video provenienti da diverse fonti è anche una sfida: come disporre correttamente le informazioni in un unico display e consentire la suddivisione appropriata dei dati critici di sicurezza e cosiddetti dati normali.

Con una sempre maggiore enfasi sulla sicurezza, i sistemi basati sul touch-screen diventano meno attraenti quando vi è una grande quantità di dati visivi per comunicare al conducente. I controlli del sistema tramite i pulsanti dello sterzo, i comandi di gesto e voce sono preferiti in quanto riducono la distrazione ai driver.

L'organizzazione dello stack completo di applicazioni, dai pacchetti di supporto hardware a quello di bordo, ai sistemi operativi e alle applicazioni di interfaccia utente (HMI), prevede tipicamente contributi di diversi provider tecnologici.

Architetture di sicurezza-critiche

Per quanto riguarda l'architettura embedded, gli elementi critici per la sicurezza di ogni progetto devono essere eseguiti su sistemi operativi isolati di sicurezza, con una chiara separazione dalle funzioni del mondo normale che potrebbero comprometterne l'interferenza.

I costruttori di veicoli chiederanno in genere che i "manufatti di sicurezza" siano forniti da fornitori di software embedded, insieme ai prodotti software forniti. Questi manufatti possono includere prove di prova, documentazione esaustiva su tutti i modi di funzionamento, inclusi modi di guasto e rintracciabilità ai requisiti del software.

Maggiore è il grado di sicurezza ASIL, più rigoroso il processo di convalida e certificazione e il costo risultante dei componenti software embedded. Per soddisfare adeguatamente i più rigorosi requisiti di sicurezza ASIL D, è necessario disporre di un design resistente agli errori con software integrato e ridondanza hardware.A livello di sistema, ciò può significare duplicati percorsi di connessione per i segnali, l'hardware duplicato e le modalità di funzionamento fail-safe. Al livello software incorporato, l'architettura di sicurezza coinvolgerà sistemi operativi separati, watchdog di monitoraggio dei processi e avvisi che vengono innescati in caso di anomalie o guasti rilevati.

ECU consolidati

Un'auto di lusso moderno può contenere 60-100 unità elettroniche di controllo (ECU); una varietà di sistemi operativi che vanno dai pianificatori semplici; e sistemi operativi in ​​tempo reale (RTOS) attraverso sistemi operativi complessi multifunzionali Linux TM o piattaforme embedded simili che supportano gateway di comunicazione, controller di dominio, infotainment e sistemi informativi per i driver.

La tendenza a consolidare le funzioni è già in corso nell'industria automobilistica e, combinando alcune funzioni, può essere ottimizzato il peso di cablaggio e la complessità dei collegamenti. Può essere possibile eliminare alcuni hardware ECU, risparmiando il costo totale e il numero di componenti. La complessità dell'applicazione software porta una sfida per il test e la certificazione - più linee di codice da testare, maggiore è il rischio di mancare un caso d'uso o esporre un comportamento imprevisto.

Applicando la decomposizione ai software embedded, i componenti critici di sicurezza possono essere eseguiti in isolamento, in un sistema operativo autonomo certificato di sicurezza, mentre componenti complessi più complessi possono essere eseguiti su un sistema operativo complesso come Linux TM, che può essere ospitato ricco supporto grafico e applicazioni complesse.

Per fornire una certificazione di sicurezza per un sistema operativo, significa controllare tutte le possibili risposte per un determinato insieme di input. Per i sistemi operativi di fascia alta, come Linux, il numero di stati e risposte possibili diventa molto elevato e l'adempimento di standard di test e di certificazione è durato e costoso.

Riducendo la dimensione e l'ambito di un sistema operativo, il processo di certificazione della sicurezza diventa più gestibile e le architetture a dominio misto permettono sistemi operativi certificati di sicurezza a piccole dimensioni per operare in aggiunta a domini più complessi basati su Linux o su altri sistemi operativi multifunzionali sistemi.

Le applicazioni quali i display per i cluster di strumenti devono integrarsi con i sistemi di comunicazione del veicolo, passando i dati tramite le reti di comunicazione CAN, CAN-FD, FlexRay e Ethernet.

Compresi una pila di comunicazioni software di architettura aperta automotive (Autosar) che funziona come un dominio separato e protetto, consente di raccogliere e passare le informazioni relative alle prestazioni del veicolo al cluster di strumenti.

La combinazione di diversi domini incorporati, con canali di comunicazione sicuri tra di loro, offre una piattaforma scalabile di sicurezza misti che soddisfa le aspettative grafiche ricche di prestazioni dei consumatori e le esigenze critiche di sicurezza dell'industria automobilistica.

Tecniche di condivisione delle informazioni

Esistono diversi meccanismi per la condivisione di informazioni tra ECU fisiche separate o all'interno di un'unica ECU che ospita applicazioni multiple che convergono su un singolo display.

Le architetture di bus ad alta larghezza di banda nella nuova generazione di modelli di veicoli consentono di spostare rapidamente video e altri oggetti dati grafici di grandi dimensioni tra i nodi sul bus del veicolo.

Questi meccanismi includono la memoria condivisa, accessibile da entrambe le applicazioni, un meccanismo di comunicazione interprocesso (IPC) o un protocollo di messaggistica sicura come DDS (servizio di distribuzione dei dati) o RPMsg (messaggio di autorizzazione limitata).

Un approccio di memoria condivisa offre un elevato throughput di velocità di dati e viene spesso favorito per applicazioni grafiche.

I display complessi accattivanti nei veicoli stanno diventando un punto vendita differenziato per i produttori e sono necessarie nuove tecniche per combinare grafica 2D / 3D con informazioni critiche sulla sicurezza.

Applicare un nuovo pensiero ai framework software embedded consente di coesistere le applicazioni mondiali di sicurezza e normali.

Le architetture embedded con criticità miste con soluzioni HMI capaci sono diventate molto popolari con i progettisti automobilistici e sono scalabili per soddisfare le esigenze dei veicoli di nuova generazione e sempre più autonomi.Mentor ha collaborato con il fornitore HMI Socionext per creare display informativi consolidati certificati.

Il modulo di sicurezza funzionale certificato ISO26262 di Socionext può essere usato per mostrare contenuti critici di sicurezza in base al livello di sicurezza di integrità (ASIL) A o B di Automotive e fornisce rendering sicuro di un secondo percorso.

Tutti i componenti inclusi sono stati sviluppati in base a questo standard e Candera consente di rendere contenuto grafico di sicurezza critico su uno strato di visualizzazione dedicato alla sicurezza funzionale.

L'architettura di visualizzazione consente di eseguire l'applicazione critica di sicurezza all'interno di Virtual Address Space (VAS) dedicata al rendering ISO26262 ASIL B.

Tabella 1: Meccanismi di connessione per ECU ad alta velocità di dati

Circa l'autore

Andrew Patterson è direttore di sviluppo commerciale per la divisione Software embedded di Mentor, specializzata in soluzioni automobilistiche (Mentor Automotive)