Como controlar a complexidade automotiva

Os "cockpits" de driver integrados estão se tornando mais importantes para a próxima geração de compradores de carros, que desejam ver informações compartilhadas livremente entre os diferentes sistemas dentro do veículo e levadas à atenção do motorista quando necessário.

Em alguns casos, o tradicional conjunto de instrumentos separado e as telas de infotainment já estão sendo combinados em uma grande tela. Em outros, envolvendo múltiplas telas de exibição, já existe a necessidade de compartilhar informações geradas por várias fontes dentro do veículo, como informações de navegação, dados da câmera, feeds de áudio e sensores ADAS (Advanced Driver Assistance System).

Esses requisitos de compartilhamento de dados exigiram novas abordagens de design para as plataformas de software incorporado empregadas e novas abordagens para testes e aprovação de segurança.

Displays digitais

A melhoria contínua na tecnologia de exibição digital, com telas de alta resolução disponíveis a menor custo, significa que estão se tornando disponíveis para o mercado de massa em aplicativos.

A geração atual de clusters de instrumentos é o chamado híbrido, combinando mostradores mecânicos com pequenos painéis digitais embutidos. Estes são gradualmente substituídos por painéis totalmente digitais, pois essas unidades tornam-se financeiramente viável, com qualidade e desempenho adequados.

O painel totalmente digital oferece várias vantagens em relação ao seu antecessor mecânico, incluindo a reconfiguração dinâmica para suportar diferentes modos de condução ou preferências de informação, e muito espaço para a futura personalização do veículo.

As atualizações de software ao longo da vida do veículo significam que o aplicativo de exibição pode ser atualizado para oferecer novos recursos e funcionalidades, potencialmente abrindo fluxos de receita adicionais para fabricantes de veículos. Uma pilha de arquitetura típica para um cluster digital é mostrada na Figura 1 acima.

Consolidação de dados de exibição única

Uma exibição de tela grande, como o exemplo na Figura 1, pode ser visualmente atrativa, mas apresenta grandes desafios para o designer de software incorporado.
À medida que a resolução da tela aumenta, uma unidade de processamento de gráficos (GPU) mais poderosa é necessária para manter a atualização da tela sem cintilação, com software de driver otimizado associado.

Um desempenho de 60 quadros por segundo geralmente é reconhecido como o mínimo necessário para permitir uma visualização confortável.
A exibição de uma ampla seleção de objetos gráficos complexos ou feeds de vídeo de diferentes fontes também é um desafio - como organizar as informações com sucesso em uma única exibição e permitir o compartilhamento adequado de dados críticos de segurança e os chamados dados do mundo normal.

Com uma ênfase cada vez maior na segurança, os sistemas à base de tela sensível ao toque tornam-se menos atraentes quando há uma grande quantidade de dados visuais para se comunicar com o driver. Os controles do sistema através dos botões do volante, o gesto e os comandos de voz são preferidos, pois reduzem a distração para os drivers.

Organizar a pilha completa de aplicativos, de pacotes de suporte de hardware para placa, sistemas operacionais e aplicativos de interface de usuário (IHM) normalmente envolve contribuições de diferentes provedores de tecnologia.

Arquiteturas de segurança crítica

No que diz respeito à arquitetura incorporada, os elementos críticos para a segurança em qualquer projeto precisam ser executados em sistemas operacionais certificados de segurança isolados, com clara separação das funções de "mundo normal" que podem comprometer-se através de interferências.

Os fabricantes de veículos normalmente solicitarão que os "artefatos de segurança" sejam fornecidos por provedores de software embutidos, juntamente com produtos fornecidos por software. Esses artefatos podem incluir prova de teste, documentação exaustiva em todos os modos de operação, incluindo modos de falha e rastreabilidade de volta aos requisitos de software.

Quanto maior a classificação de segurança do ASIL, mais rigoroso o processo de validação e certificação e o custo resultante dos componentes do software incorporado. Para satisfazer adequadamente os requisitos de segurança ASIL D mais rigorosos, é necessário um design tolerante a falhas com software interno e redundância de hardware.No nível do sistema, isso pode significar caminhos de conexão duplicados para sinais, hardware duplicado e modos de operação de segurança. No nível de software incorporado, a arquitetura de segurança envolverá sistemas operacionais separados, monitoradores de monitoramento de processos e alertas que serão disparados em caso de anomalias ou falhas detectadas.

ECUs consolidadas

Um carro de luxo moderno provavelmente conterá de 60 a 100 unidades de controle eletrônico (ECUs); uma variedade de sistemas operacionais que vão desde agendadores simples; e sistemas operacionais em tempo real (RTOS) através de sistemas operacionais complexos multifunções baseados em Linux TM ou plataformas embutidas semelhantes que suportam gateways de comunicação, controladores de domínio, infotainment e sistemas de informação de driver.

A tendência de consolidar funções está bem encaminhada na indústria automotiva e, ao combinar algumas funções, o peso do arame e a complexidade da conexão podem ser otimizados. Pode ser possível eliminar algum hardware ECU, economizando o custo total e a contagem de componentes. A complexidade do aplicativo de software traz um desafio para testes e certificação - quanto mais linhas de código para testar, maior o risco de perder um caso de uso ou expor um comportamento inesperado.

A aplicação da decomposição ao software incorporado permite que os componentes críticos de segurança sejam executados em isolamento, em um sistema operacional autônomo certificado de segurança, enquanto componentes mais complexos do mundo normal podem ser executados em um sistema operacional complexo, como o Linux TM, que pode hospedar suporte gráfico rico e aplicações complexas.

Fornecer a certificação de segurança para um sistema operacional significa verificar todas as respostas possíveis para qualquer conjunto de entradas. Para os sistemas operacionais de ponta, como o Linux, o número de possíveis estados e respostas torna-se muito grande e o cumprimento de padrões de teste e certificação rigorosos é demorado e dispendioso.

Ao reduzir o tamanho e o alcance de um sistema operacional, o processo de certificação de segurança torna-se mais gerenciável e as arquiteturas de domínios mistos permitirão que os sistemas operacionais de pequena pegada e certificação de segurança operem ao lado de domínios mais complexos com base em Linux ou outro funcionamento multifuncional sistemas.

Aplicações como displays de conjuntos de instrumentos precisam se integrar aos sistemas de comunicação do veículo, passando dados via CAN, CAN-FD, FlexRay e redes de comunicação Ethernet.

A inclusão de uma plataforma de comunicação de software de arquitetura de sistema aberto automotiva (Autosar) que funciona como um domínio separado e seguro permite que as informações de desempenho do veículo sejam coletadas e passadas para o conjunto de instrumentos.

A combinação de diferentes domínios integrados, com canais de comunicação seguros entre eles, oferece uma plataforma escalável de segurança mista que pode atender às expectativas gráficas de alto desempenho dos consumidores, bem como os requisitos críticos de segurança da indústria automotiva.

Técnicas de compartilhamento de informações

Existem vários mecanismos para compartilhar informações entre ECUs físicas separadas ou dentro de uma única ECU hospedando várias aplicações que convergem para uma única exibição.

As arquiteturas de barramento de largura de banda na próxima geração de projetos de veículos permitem que o vídeo e outros objetos de dados gráficos de grande porte sejam movidos rapidamente entre nós no ônibus do veículo.

Esses mecanismos incluem memória compartilhada, acessível a partir de ambas as aplicações, um mecanismo de comunicação interprocesso (IPC) ou um protocolo de mensagem segura, como DDS (serviço de distribuição de dados) ou RPMsg (mensagem de permissão restrita).

Uma abordagem de memória compartilhada oferece alta taxa de transferência de dados, e muitas vezes é favorecida para aplicativos baseados em gráficos.

Exibições complexas atraentes nos veículos estão se tornando um ponto de venda diferenciado para os fabricantes, e novas técnicas são necessárias para combinar gráficos 2D / 3D com informações de segurança crítica.

A aplicação de novos pensamentos para frameworks de software incorporados permite que as aplicações críticas de segurança e normais coexistam.

Arquiteturas embutidas de criatividade mista com soluções de HMI capazes tornaram-se muito populares com os designers automotivos e são escaláveis ​​para atender às necessidades da próxima geração - e veículos cada vez mais autônomos de condução.A Mentor colaborou com o provedor de HMI Socionext para criar displays de informações consolidadas certificados de segurança.

O módulo de segurança funcional certificável ISO25262 da Socionext, Candera Safety, pode ser usado para exibir conteúdo crítico de segurança de acordo com o nível de integridade da segurança automotiva (ASIL) A ou B e fornece uma renderização segura do segundo caminho.

Todos os componentes incluídos são desenvolvidos seguindo este padrão e a Candera permite a renderização de conteúdo gráfico crítico de segurança para uma camada de visualização dedicada à segurança funcional.

A arquitetura de exibição permite que o aplicativo crítico de segurança seja executado no Virtual Address Space (VAS) dedicado à renderização ISO26262 ASIL B.

Tabela 1: Mecanismos de conexão para ECUs de alta taxa de dados

Sobre o autor

Andrew Patterson é diretor de desenvolvimento de negócios para a divisão de software incorporado da Mentor, especializado em soluções automotivas (Mentor Automotive)