Anpassungsfähig für die Zukunft

Adaptive AUTOSAR für Hochleistungsrechner im Auto

21. November 2017, 9:58 Uhr | Von Dr. Roman Pallierer und Börge Schmelz

Fortsetzung des Artikels von Teil 1

Sicherer Systemstart

Ein übergreifendes Boot-Konzept erlaubt das sichere Hochfahren (siehe Bild 2: Secure Boot) des zentralen Steuergeräts in einem festgelegten Zeitfenster. Dabei sind die Reihenfolge und das Zusammenspiel der Einheiten im Boot-Prozess von besonderer Bedeutung, um den zeitlichen Anforderungen an die Verfügbarkeit der Systeme gerecht zu werden und eine möglichst frühe Konfiguration der Sicherheitsvorgaben vornehmen zu können. Dazu werden die Rollen einzelner Kerne so festgelegt, dass ausgehend von einem Hauptkern (Master) die weiteren Kerne (Slaves) und deren zugewiesene Komponenten gestartet werden.

Aufgrund seiner Überwachungsfunktion und kürzeren Startzeit wird sinnvollerweise der Safety-Kern zuerst gestartet. Der Bedarf, mehrere Ethernet-Ports bereitzustellen, erfordert den Einsatz eines leistungsfähigen Ethernet-Switches. Dieser wird über den Safety-Controller angebunden, um eine schnelle Verfügbarkeit der Ethernet-Kommunikation zu ermöglichen. Im Anschluss werden die Performance-Kerne gestartet, und zwar zunächst die Security-Partition, die den Ankerpunkt zum Schutz aller nach- und höhergelagerten Anwendungen bildet.

Anbieter zum Thema

zu Matchmaker+

Optimierte Kommunikation

Zur besseren Kommunikation zwischen den Fahrzeugfunktionen wird sowohl bei Classic AUTOSAR als auch bei Adaptive AUTOSAR das servicebasierte Kommunikationskonzept SOME/IP verwendet. Um einen geregelten Zugriff der verschiedenen Partitionen auf den Ethernet-Hardware-Switch innerhalb des zentralen Steuergerätes zu gewährleisten, ist ein spezieller virtueller Ethernet-Switch-Treiber nötig. Dieser regelt nicht nur die Kommunikation zu anderen Steuergeräten, sondern gleichzeitig auch die effiziente interne Kommunikation zwischen den Partitionen (Bild 3).

Ein virtueller Ethernet-Switch-Treiber regelt die Kommunikation zu anderen Steuergeräten und zwischen den Partitionen
Bild 3. Ein virtueller Ethernet-Switch-Treiber regelt die Kommunikation zu anderen Steuergeräten und zwischen den Partitionen.
© Elektrobit

Eines der wesentlichen Merkmale von Adaptive AUTOSAR ist die Möglichkeit, einzelne Funktionen auf dem Steuergerät nachträglich und zur Laufzeit zu aktualisieren. Dies ist im Gegensatz zum klassischen AUTOSAR möglich, ohne die gesamte Software des Steuergeräts auszutauschen und neu zu starten. Es muss jedoch auf eine kontrollierte Art und Weise erfolgen, um fehlerhafte oder sogar schädliche Updates zu verhindern. Daher werden für alle Adaptive-AUTOSAR-Anwendungen kryptographische Verfahren eingesetzt, die auf der Security-Partition laufen. Sie überprüfen die Signatur der zu ladenden Funktionen und erlauben die Aktualisierung nur nach erfolgreicher Authentifizierung.

Flexiblere Software-Entwicklung mit Embedded Linux?

Während in Classic AUTOSAR auch das Betriebssystem spezifiziert wurde, ist die Verwendung bestehender POSIX-Betriebssysteme ein elementarer Bestandteil von Adaptive AUTOSAR. Dieser bildet die Grundlage für eine flexible Software-Entwicklung. Die standardisierte Programmierschnittstelle ermöglicht es den Entwicklern, Anwendungen unabhängig voneinander zu entwickeln und sie beliebig auf die Steuergeräte im Fahrzeug zu verteilen. Vorausgesetzt wird dabei, dass das Betriebssystem den Anwendungen die Schnittstellen gemäß dem POSIX Profile PSE51 des IEEE1003.13 bereitstellt. Neben proprietären Betriebssystemen wie Wind River VxWorks, Green Hills Integrity oder QNX ist Linux als freie Software eine vielversprechende Alternative. Doch ist es geeignet für den Einsatz in Adaptive-AUTOSAR -Systemen?

Im Gegensatz zu kommerziellen POSIX-Betriebssystemen, die üblicherweise vorkompiliert als Binärcode angeboten werden, ist Linux als Quellcode während der Entwicklung und zur Integration verfügbar. Dies ermöglicht eine transparentere Entwicklung, unter anderem durch besseres Debugging für den Kunden. Der Linux-Kernel ist zudem offen für Erweiterungen, sodass Kunden beispielsweise die Möglichkeit haben, eigene Kernel-Module hinzuzufügen. Linux bietet außerdem eine große Funktionalität, die weit über den geforderten POSIX-Standard hinausgeht. Darüber hinaus ist Linux bereits branchenübergreifend im Einsatz und wird anhand des Feedbacks von Milliarden von Installationen und Anwendern optimiert.

Auch im Automobilsektor wird Linux bereits verwendet, bisher mit Fokus auf Infotainment und Mensch-Maschine-Schnittstellen.

Beim Einsatz von Linux mit Adaptive AUTOSAR müssen einige automobil-spezifische Anforderungen erfüllt werden
Bild 4. Beim Einsatz von Linux mit Adaptive AUTOSAR müssen einige automobil-spezifische Anforderungen erfüllt werden.
© Elektrobit

Der Kernel selbst wird ständig durch die Linux-Community optimiert und umfassend erweitert. Linux unterliegt einer freien Software-Lizenz (GPLv2), daher werden keine Lizenzgebühren erhoben. Kosten entstehen dem Kunden durch Dienstleistungen wie Konfiguration, Anpassung und Bereitstellung sowie die Qualifizierung und Wartung angepasster Auslieferungen. Die Verwendung von Linux mit Adaptive AUTOSAR stellt allerdings einige automobilspezifische Herausforderungen, denen Elektrobit in seinem Pilotprojekt begegnet (Bild 4).

Software-Aktualisierung und -Sicherheit

Ein Steuergerät mit Anbindung an das Internet ist ständigen Angriffen ausgesetzt. Diese können sowohl von außen als auch durch schadhafte Anwendungen auf dem Steuergerät selbst ausgelöst werden. Neben den oben beschriebenen kryptographischen Verfahren werden unter anderem dem Kernel spezielle Erweiterungen wie seccomp-bpf hinzugefügt, um die Systemaufrufe der Anwendungen zu beschränken.

Neben den Entwicklungsständen erscheint jährlich eine spezielle Version des Linux-Kernels, die für zwei Jahre in die Langzeitwartung übernommen wird. Für ein Fahrzeug mit einem typischen Entwicklungszyklus von vier Jahren muss das Fahrzeugsystem vom Hersteller und Lieferanten so ausgelegt sein, dass der Kernel während der Entwicklung und im späteren Betrieb ausgetauscht werden kann und das System trotzdem binärkompatibel zu bestehenden Anwendungen bleibt. Der Einsatz von Linux-Containern garantiert die Konsistenz auf Ebenen wie Speicher, CPU und für geteilte Ressourcen. Zu¬-dem ermöglicht er den individuellen Austausch einzelner Container. Diese Lösung hat sich in anderen Branchen bewährt und wird in diesem Projekt von Elektrobit erstmalig im Automobil eingesetzt.

Viele sensible Funktionen und Anwendungen im Fahrzeug, wie beispielsweise Tachometer und Rückfahrkamera, müssen in einer Zeitspanne von deutlich unter zwei Sekunden verfügbar sein oder ausgeführt werden. Erreicht wird das durch Konfiguration und Optimierung des Linux-Kernels, Streichung nicht benötigter Dienste und der Anordnung des Startprozesses nach Dringlichkeit bzw. Anforderung an die Verfügbarkeit.

Die Möglichkeit zum Testen und Absichern derart komplexer Systeme ist Voraussetzung für den Einsatz von Linux im Automobil. In Frage kommen dabei frei verfügbare und kommerzielle Testumgebungen oder auch die Vergabe an darauf spezialisierte Unternehmen. Dabei bieten Organisationen wie beispielsweise das Open Source Automation Development Lab (OSADL) unterstützende Leistungen.

Mit Adaptive AUTOSAR zur Serienreife

Mit seinen vier Hauptversionen ist Classic AUTOSAR über zehn Jahre gereift. Ziel ist es, Adaptive AUTOSAR wesentlich schneller zu einem reifen Standard zu entwickeln. Dazu gibt es zu jeder Auslieferung der Spezifikation gleichzeitig eine Referenzimplementierung, die als „proof of concept“ verwendet wird. Außerdem spart der Einsatz von vorhandenen und teils freien Implementierungen wie Linux zusätzlich Aufwand.

Die Herausforderung ist nun, die Implementierungsteile von Adaptive AUTOSAR in eine serientaugliche Software zu überführen. Um die Qualität der Implementierungsteile zu prüfen, werden etablierte Methoden aus Classic AUTOSAR verwendet. Dazu gehören das Anforderungsmanagement und die Definition der Qualitätsmerkmale zur Code- und Testabdeckung, nach denen die Implementierungsteile laut Freigabeprozess geprüft werden müssen. Basierend auf diesen Ergebnissen erfolgt die Entscheidung zur Übernahme und Erweiterung oder auch zum Einsatz eigener Implementierungen von Adaptive-AUTOSAR-Anteilen.
Der Adaptive-AUTOSAR-Standard befindet sich noch in der Entwicklung. Für den Einsatz in einem Serienprojekt ist die fristgerechte Bereitstellung der nötigen funktionalen Komponenten entscheidend, weil sich Verzögerungen oder das Ausbleiben dieser Elemente in den geplanten AUTOSAR-Releases auf den Fortschritt der Projekte auswirken. Weitere oder noch nicht vollständig ausspezifizierte Anforderungen müssen den Projekten bereitgestellt werden und in den Standard zurückfließen.

Entscheidend ist es, die für Adaptive AUTOSAR notwendigen Neuentwicklungen und deren Einsatzmöglichkeiten schnell mit dem Kunden zu evaluieren, um die Entwicklung des Standards weiter voranzutreiben. Am zentralen Steuergerät, das Software von Elektrobit einsetzt, wird das Potenzial einer klugen Kombination von Classic und Adaptive AUTOSAR deutlich. Gleichzeitig kommen viele etablierte Lösungen aus Classic AUTOSAR zum Einsatz, wie beispielsweise das zertifizierte Safety-Betriebssystem. Dadurch wird die Einführung von Adaptive AUTOSAR für Hochleistungsrechner zukünftiger Fahrzeuggenerationen entscheidend beschleunigt.

 

Die Autoren

 

Borge Schmelz von Elektrobit
Borge Schmelz von Elektrobit
© Elektrobit

Börge Schmelz

studierte Elektrotechnik an der TH Köln. Seit 2005 ist er bei Elektrobit in die Entwicklung von AUTOSAR-Steuergeräten eingebunden. Im Jahr 2010 übernahm er die Leitung globaler Dienstleistungsprojekte, um mit dem Einsatz der EB-Produkte weltweit Serienanläufe erfolgreich zu realisieren. 2017 wechselte er in das Produktmanagement für Hochleistungsrechner und Adaptive AUTOSAR.

 

Roman-Pallierer von Elektrobit
Roman-Pallierer von Elektrobit
© Elektrobit

Dr. Roman Pallierer

studierte technische Informatik an der TU Wien und promovierte auf dem Gebiet der Validierung von eingebetteten Kommunikationsprotokollen. Ab 2002 war er bei Elektrobit für die Werkzeugentwicklung bei FlexRay-Projekten zuständig, seit 2007 ist er für die AUTOSAR-Basissoftware als Produkt- und Solutionmanager tätig.

 


  1. Adaptive AUTOSAR für Hochleistungsrechner im Auto
  2. Sicherer Systemstart

Das könnte Sie auch interessieren

Verwandte Artikel

Elektrobit Automotive GmbH