Anpassungsfähig für die Zukunft Adaptive AUTOSAR für Hochleistungsrechner im Auto

Mehr Flexibilität bei Steuergerätesoftware
Mehr Flexibilität bei Steuergerätesoftware

Adaptive AUTOSAR bereitet den Weg für mehr Flexibilität bei der Steuergerätesoftware im Auto. Die Systeme werden erweiterbar – ein wichtiger Schritt in Richtung voll automatisiertes und vernetztes Fahren. Adaptive AUTOSAR ersetzt dabei nicht das klassische AUTOSAR.

Entwicklungen wie der Trend zu alternativen Antriebskonzepten und zum automatisierten Fahren stellen hohe Anforderungen an die E/E-Architektur im Fahrzeug. Gerade automatisierte Fahrfunktionen benötigen immer leistungsfähigere Steuergeräte. Zusätzlich nimmt die Vernetzung der Funktionen untereinander und mit angebundener Infrastruktur wie Backend-Systemen zu (Bild 1). Aus Daten von verschiedenen Fahrzeugsensoren sowie externen Quellen, wie etwa hochgenauem Kartenmaterial, erstellt die Software beispielsweise präzise Umfeldmodelle, die von mehreren Fahrfunktionen gleichzeitig genutzt werden. Gleichzeitig muss die Software im Laufe des Fahrzeuglebenszyklus aktualisiert werden können, um neue Funktionen oder neue Sicherheitsrisiken zu berücksichtigen. Je mehr Fahraufgaben die Software übernimmt und je mehr Verbindungen zur Außenwelt bestehen, desto höher sind die Anforderungen an funktionale und Informationssicherheit, Zuverlässigkeit und Integrität der Steuergeräte.

In diesem Spannungsfeld geraten aktuelle, weitgehend statische Systeme schnell an ihre Grenzen. Daher lösen einige wenige, sehr leistungsfähige Steuergeräte die bewährten Domain-Controller-Architekturen ab. Das erhöht die Flexibilität und erlaubt eine dynamische Verteilung von Funktionen über Domaingrenzen hinweg.

Ermöglicht wird diese neue Architektur auf Hardware-Seite durch die Entwicklung immer besserer (Multi-Core-) Prozessoren sowie die Verfügbarkeit von Automotive Ethernet, das die Bandbreiteneinschränkungen beim Informationsaustausch zwischen einzelnen Modulen aufhebt.
 

Software muss flexibler werden

Die dazugehörige Software benötigt eine entsprechend flexiblere Architektur, die diese Dynamik abbilden kann. Deshalb wird Classic AUTOSAR, das sich als Standardarchitektur für Steuergeräte etabliert hat, ergänzt um die Adap¬tive AUTOSAR Platform. Sie ermöglicht eine dynamische Software-Konfiguration und stellt mit servicebasierter Kommunikation und heterogenem Rechnen die Mechanismen zur Verfügung, die die benötigte Leistung sicherstellen. Zudem lassen sich Software-Funktionen leichter aktualisieren oder hinzufügen, ohne dass ein Neustart des gesamten Systems notwendig ist.

Classic AUTOSAR ist dennoch nicht obsolet. Der Standard wurde ausgelegt auf Steuergeräte mit limitierter Rechenkapazität und bietet im Gegensatz zu Adaptive AUTOSAR nur eine statische Konfiguration des Betriebssystems. Neben den Nachteilen des hohen Konfigurationsaufwands und der eingeschränkten Möglichkeiten für Software-Erweiterungen bietet diese statische Konfiguration allerdings viele Vorteile bei der Implementierung von sicherheitsrelevanten Software-Teilen.

Es liegt also nahe, ein Classic-AUTOSAR-System mit Adaptive AUTOSAR zu kombinieren, um sowohl die notwendige Leistung als auch die Sicherheit der E/E-Architektur für Technologien wie das autonome Fahren zu erreichen. Doch wie können die beiden Standards auf einem zentralen Steuergerät sinnvoll zusammenarbeiten? Elektrobit hat in einem Pilotprojekt für die Serienentwicklung bereits Erfahrungen mit dieser Kombination gesammelt.

Multi-Core-Architektur mit Performance- und Safety-Kernen

Die Kombination besonders sicherheitsrelevanter sowie rechenintensiver Funktionen beginnt auf Hardware-Ebene. Das zentrale Steuergerät, das Software von Elektrobit einsetzt, enthält einen Hochleistungsrechner, der aus einer Kombination von mehreren Multi-Core-Prozessoren besteht (Bild 2). Diese Prozessoren unterteilen sich in sogenannte Performance-Kerne mit integrierter Security-Hardware sowie Safety-Kerne. Auf den Performance-Kernen laufen mehrere Performance-Partitionen, in denen rechenintensive Fahrzeug- und Anwenderfunktionen ausgeführt werden. Zudem verfügen sie über eine Security-Partition, die unter anderem sicheres Hochfahren und die Authentifizierung von Anwendungen gewährleistet.

Die Safety-Kerne ermöglichen wiederum die Ausführung sicherheitskritischer Funktionen und die Plausibilisierung, das Monitoring sowie die Ergebnisvalidierung der Performance-Kerne. Die Anzahl und Zusammensetzung von Performance- und Safety-Kernen ist prinzipiell flexibel und richtet sich nach den Projektanforderungen des Steuergerätes. Das zentrale Steuergerät ist außerdem über einen Ethernet-Switch mit mehreren GBit-Ethernet-Kanälen mit anderen Steuergeräten verbunden.

Für ein solches hochleistungsfähiges, zentrales Steuergerät existieren bereits erste Hardware-Lösungen wie der Renesas R-Car H3, Intel Denverton oder der Nvidia Parker (T186), die eine Kombination aus rechenstarken Performance-Prozessoren mit einem Safety-Controller integrieren.

Ein solches zentrales Steuergerät bildet die Grundlage für eine Software-Architektur, die fünf wichtige Anforderungen erfüllt:

  • die Integration von Fahrzeugfunktionen auf einem Steuergerät
  • die Ausführung sicherheitskritischer Funktionen
  • das sichere Hochfahren des gesamten Systems
  • eine optimierte Kommunikation
  • die spätere Aktualisierung und Ergänzung von Fahrzeugfunktionen.

Integration von Fahrzeugfunktionen auf einem Steuergerät

Funktionen, die bisher auf verschiedenen (einzelnen) Steuergeräten liefen, lassen sich nun auf einem zentralen Gerät bündeln. Durch einen Hypervisor werden die Hardware-Ressourcen der Performance-Kerne separiert, indem der Hypervisor die Hardware virtualisiert und damit die Partitionen als virtuelle Maschinen bereitstellt. Auf diese Weise legt der Integrator verschiedene Adaptive-AUTOSAR-Partitionen sowie eine Classic-AUTOSAR-Partition an. In letzterer kommen ein Betriebssystem und eine Basissoftware zum Einsatz, die auf Classic AUTOSAR basieren. Fahrzeugfunktionen, die als Software-Komponenten (SWC) vorhanden sind, können wie in einem klassischen AUTOSAR-Steuergerät integriert werden. Die Adaptive-AUTOSAR-Partitionen nutzen ein POSIX-kompatibles Betriebssystem und eine Adaptive-AUTOSAR-Basissoftware. Diese Struktur ermöglicht die Integration von Classic-AUTOSAR- sowie Adaptive-AUTOSAR-basierten Fahrzeugfunktionen auf einem Steuergerät.

Im Unterschied zu den Performance-Kernen ist die Hardware des Safety-Kerns für ein höheres Sicherheitslevel (Automotive Safety Integrity Level, ASIL) gemäß ISO 26262 ausgelegt und bietet spezielle Mechanismen zur Fehlererkennung. Dabei werden etablierte Sicherheitskonzepte bestehender Classic-AUTOSAR-Steuergeräte angewandt.

Bei auf ASIL D ausgelegten Controllern in Kombination mit einem Safety-zertifizierten Betriebssystem und weiteren zertifizierten Basissoftware-Komponenten zur Laufzeitüberwachung und zur Absicherung der Kommuni¬kation wird die Integration von Funktionen mit höchsten Sicherheitsanforderungen nach dem Level ASIL D ermöglicht. Durch ein übergeordnetes Konzept zur Überwachung der Performance-Kerne können diese leistungsstarken, aber nicht auf Safety ausgelegten Performance-Kerne ebenso die erforderlichen Sicherheitsanforderungen erfüllen.