Как управлять автомобильной сложностью

Интегрированные «кабины пилотов» становятся более важными для покупателей нового поколения, которые хотят видеть информацию, которая свободно делится между различными системами внутри транспортного средства, и при необходимости доводится до сведения водителя.

В некоторых случаях традиционные отдельные комбинации приборов и информационно-развлекательные экраны уже объединены в один большой дисплей. В других случаях, связанных с несколькими экранами дисплея, уже необходимо обмениваться информацией, полученной из нескольких источников в транспортном средстве, например, изображениями навигации, данными камеры, аудио-каналами и расширенными системами помощи водителю (ADAS).

Эти требования к совместному использованию данных потребовали новых подходов к проектированию используемых встроенных программных платформ и новых подходов к тестированию и утверждению безопасности.

Цифровые дисплеи

Постоянное совершенствование технологии цифровых дисплеев с экранами более высокого разрешения, доступными по более низкой цене, означает, что они становятся доступными для массового рынка в приложениях.

Современное поколение кластеров приборов является так называемым гибридным, сочетающим механические циферблаты с небольшими цифровыми встроенными панелями. Они постепенно заменяются полностью цифровыми панелями, поскольку эти устройства становятся финансово жизнеспособными с соответствующим качеством и производительностью.

Полностью цифровая панель обладает несколькими преимуществами перед своим механическим предшественником, включая динамическую реконфигурацию для поддержки различных режимов движения или информационных предпочтений, а также множество возможностей для будущей персонализации автомобиля.

Обновления программного обеспечения в течение всего срока службы транспортного средства означают, что приложение для отображения можно было бы модернизировать, чтобы предлагать новые функции и функции, потенциально открывая дополнительные потоки доходов для производителей автомобилей. Типичный стек архитектуры для цифрового кластера показан на рисунке 1 выше.

Объединение данных с одним дисплеем

Большой экран, такой как пример на рисунке 1, может быть визуально привлекательным, но представляет большие проблемы для разработчика встроенного программного обеспечения.
По мере увеличения разрешения экрана требуется более мощный графический процессор (GPU), чтобы поддерживать обновление экрана без мерцания, с соответствующим оптимизированным программным обеспечением драйвера.

Обычно считается, что производительность 60 кадров в секунду минимальна для комфортного просмотра.
Отображение широкого набора сложных графических объектов или видеопотоков из разных источников также является проблемой - как успешно организовать информацию на одном дисплее и обеспечить соответствующее разделение критически важных и так называемых нормальных данных.

С постоянно увеличивающимся акцентом на безопасность системы на основе сенсорного экрана становятся менее привлекательными, когда имеется большое количество визуальных данных для связи с водителем. Системные элементы управления с помощью кнопок на рулевом колесе, жесты и голосовые команды предпочтительнее, поскольку они уменьшают отвлечение водителей.

Организация полного стека приложений, от пакетов поддержки аппаратного обеспечения до настольных систем, операционных систем и приложений пользовательского интерфейса (HMI) обычно включает в себя вклад от разных поставщиков технологий.

Критически важные для безопасности архитектуры

Когда дело доходит до встроенной архитектуры, критически важные для безопасности элементы в любом дизайне должны работать на изолированных сертифицированных по безопасности операционных системах, с четким разделением от функций «нормального мира», которые могут скомпрометировать их посредством помех.

Производители автомобилей, как правило, запрашивают, чтобы «артефакты безопасности» предоставлялись встроенными поставщиками программного обеспечения вместе с результатами программного обеспечения. Эти артефакты могут включать доказательство тестирования, полную документацию по всем режимам работы, включая режимы отказа и прослеживаемость, обратно к требованиям к программному обеспечению.

Чем выше рейтинг безопасности ASIL, тем более строгий процесс проверки и сертификации, а также стоимость встроенных программных компонентов. Для адекватного соответствия самым строгим требованиям безопасности ASIL D необходим отказоустойчивый дизайн со встроенным программным и аппаратным резервированием.На системном уровне это может означать дублирование путей соединения для сигналов, дублирования аппаратных средств и отказоустойчивых режимов работы. На уровне встроенного программного обеспечения архитектура безопасности будет включать разделенные операционные системы, контрольные контрольные точки процесса и предупреждения, которые запускаются в случае обнаружения обнаруженных аномалий или сбоев.

Консолидированные ECU

Современный роскошный автомобиль, вероятно, будет содержать от 60 до 100 электронных блоков управления (ECU); различные операционные системы, начиная от простых планировщиков; и операционные системы реального времени (RTOS) через сложные многофункциональные операционные системы на базе Linux TM или аналогичные встроенные платформы, поддерживающие шлюзы связи, контроллеры домена, информационно-развлекательные системы и информационные системы для водителей.

Тенденция консолидации функций хорошо развивается в автомобильной промышленности, и, объединяя некоторые функции, вес провода и сложность соединения могут быть оптимизированы. Возможно, удастся устранить некоторые аппаратные средства ECU, экономя общую стоимость и количество компонентов. Сложность прикладного программного обеспечения ставит под угрозу тестирование и сертификацию - чем больше строк кода проверяется, тем выше риск отсутствия прецедента или непредвиденного поведения.

Применение декомпозиции к встроенному программному обеспечению позволяет изолировать критически важные компоненты безопасности на автономной сертифицированной по безопасности операционной системе, в то время как более сложные, нормальные компоненты могут работать в сложной операционной системе, такой как Linux TM, которая может размещать богатая графическая поддержка и сложные приложения.

Для обеспечения сертификации безопасности для операционной системы подразумевается проверка всех возможных ответов на любой заданный набор входных данных. Для высокопроизводительных операционных систем, таких как Linux, количество возможных состояний и ответов становится очень большим, и соответствие строгим стандартам тестирования и сертификации требует больших затрат времени и затрат.

Уменьшая размер и объем операционной системы, процесс сертификации безопасности становится более управляемым, а архитектуры с смешанными доменами позволят работать с небольшими нагрузками, защищенными от угроз операционными системами вместе с более сложными доменами на основе Linux или других многофункциональных операционных систем системы.

Такие приложения, как дисплеи кластера приборов, должны интегрироваться с системами связи с автомобилем, передавая данные через сети CAN, CAN-FD, FlexRay и Ethernet.

В том числе сетевой стек системной архитектуры (Autosar), работающий как отдельный безопасный домен, позволяет собирать и передавать данные о характеристиках транспортных средств в приборную группу.

Комбинация различных встроенных доменов с защищенными каналами связи между ними обеспечивает масштабируемую платформу со смешанной безопасностью, которая может удовлетворять высокопроизводительным графическим ожиданиям потребителей, а также критически важным требованиям автомобильной промышленности.

Методы обмена информацией

Существует несколько механизмов для обмена информацией либо между отдельными физическими ECU, либо внутри одного ECU, на котором размещаются несколько приложений, сходящихся на один дисплей.

Архитектура шины с высокой пропускной способностью в конструкции нового поколения автомобилей позволяет быстро и быстро перемещать видео и другие объекты графического объекта большого размера между узлами шины транспортного средства.

Эти механизмы включают общую память, доступную из обоих приложений, механизм межпроцессного взаимодействия (IPC) или протокол защищенного сообщения, такой как DDS (служба распространения данных) или RPMsg (сообщение с ограниченным разрешением).

Подход с разделяемой памятью обеспечивает высокую скорость передачи данных и часто используется для графических приложений.

Привлекательные комплексные дисплеи в транспортных средствах становятся отличительной точкой продаж для производителей, и необходимы новые методы для объединения 2D / 3D-графики с критичной для безопасности информацией.

Применение нового мышления для встроенных программных фреймворков позволяет сосуществовать с критическими для безопасности и нормальными мировыми приложениями.

Интегрированные архитектуры с высокой критичностью с поддержкой решений HMI стали очень популярны среди дизайнеров автомобильной промышленности и масштабируемы для удовлетворения потребностей следующего поколения - и все более автономных транспортных средств.Mentor сотрудничает с поставщиком HMI Socionext для создания консолидированных информационных дисплеев, сертифицированных по безопасности.

Сертификационный функциональный модуль безопасности от ISO26262 от Socionext может использоваться для отображения критически важных для безопасности материалов в соответствии с уровнем безопасности автомобильной безопасности (ASIL) A или B и обеспечивает безопасную визуализацию второго пути.

Все перечисленные компоненты разработаны в соответствии с этим стандартом, и Candera позволяет визуализировать критически важный для безопасности графический контент на уровне визуализации, предназначенном для функциональной безопасности.

Архитектура дисплея позволяет выполнять критически важное для безопасности приложение в виртуальном адресном пространстве (VAS), посвященном рендерингу ISO26262 ASIL B.

Таблица 1: Механизмы подключения для высокоскоростных ECU

Об авторе

Эндрю Паттерсон (Andrew Patterson) - директор по развитию бизнеса подразделения встроенного программного обеспечения Mentor, специализирующегося на автомобильных решениях (Mentor Automotive)