Die Bedeutung elektronischer Systeme in Kfz ist in den letzten Jahrzehnten stetig gewachsen. Künftige Innovationen aber werden zunehmend durch Neuentwicklungen und Konsolidierungen im Bereich der Software geprägt werden. Ein Architekturwandel hin zur zonalen Architektur ist unauweichlich.
Die Elektrik und Elektronik heutiger Autos basiert meist auf einer Domänenarchitektur. Das heißt, dass elektronische Steuergeräte (Electronic Control Units, ECUs) und die zugehörige Verkabelung nach ihrer Funktion (beispielsweise Antriebsstrang, Karosserie, Komfort usw.) gegliedert sind. Im Gegensatz dazu werden bei der zonalen Architektur viele, wenn nicht gar alle Funktionen anhand ihrer physischen Lage im Fahrzeug unterteilt (Bild 1).
Der Umstieg von der Domänen- zur Zonenarchitektur ermöglicht es, die Abhängigkeit der einzelnen Sensoren und Aktoren vom zentralen Rechenknoten im Fahrzeug zu reduzieren. Außerdem kommen zonale Architekturen mit weniger ECUs und kürzeren Kabelstrecken aus, und die Fahrzeugarchitektur vereinfacht sich ebenso wie die zugehörige Systemvalidierung. Zonale Architekturen geben den OEMs deutlich mehr Kontrollmöglichkeiten in die Hand – von der übergeordneten Softwarepflege mit Over-the-Air-Updates (OTA) über OTA-Updates der Firmware bis hin zu ständig aktiven Cloud-Verbindungen, um beispielsweise neue Funktionen freizuschalten.
Unter anderem können Echtzeit-Regelkreise an die Zonenmodule ausgelagert werden. Zudem besteht die Möglichkeit zur Schaffung optimierter Stromversorgungs-Topologien und zum Herunterfahren zeitweilig ungenutzter Module, was insbesondere bei Hybrid- und Elektrofahrzeugen von Vorteil ist.
Den erheblichen Verbesserungen, die mit zonalen Architekturen möglich werden, stehen allerdings Herausforderungen bezüglich der Stromversorgung, der Sensoren und Aktoren sowie der Daten-Topologien gegenüber. Zum Beispiel wird die bislang zentralisierte Stromversorgung mithilfe von intelligenten Sicherungen in den Zonenmodulen dezentral organisiert werden, und einige Funktionen, wie zum Beispiel Regelkreise, werden in die Zonenmodule ausgelagert werden, um die Kommunikation weniger signalbasiert, sondern zunehmend dienstbasiert abzuwickeln. Die Datenkommunikation schließlich wird vermehrt über Hochgeschwindigkeits-Netzwerke erfolgen.
Die meisten der auf das gesamte Fahrzeug verteilten ECUs müssen von der Batterie mit Strom versorgt werden. Dies geschieht in Domänenarchitekturen mithilfe von Verteilerkästen, in denen sich Schmelzsicherungen und Relais befinden. Die Schmelzsicherungen weisen, angepasst an die verschiedenen Kabel und Verbraucher im Fahrzeug, unterschiedliche Zeit-Strom-Kennlinien auf.
Bei den Verteilerkästen vollzieht sich ein Wandel: Mechanische Relais werden durch Halbleiterrelais ersetzt und anstelle der Steuerleitungen kommen Kommunikations-Schnittstellen wie CAN (Controller Area Network) oder LIN (Local Interconnect Network) zum Einsatz. Vorteile des zunehmenden Halbleitereinsatzes in den Verteilerkästen sind die verbesserten Diagnose-Features, selbstrückstellende Sicherungen, kleinere Abmessungen und das reduzierte Gewicht der Kabelbäume.
Die Gateways, die in zonalen Architekturen zur Verteilung von Daten an die intelligenten Sensoren, Aktoren und ECUs der betreffenden Zone sowie zum Konsolidieren der Daten zur Weiterleitung an die zentralen Rechenmodule dienen, können auch die Stromversorgung der Module in der betreffenden Zone übernehmen. In diesem Fall muss von der Batterie nur noch eine Haupt-Versorgungsleitung an das Zonenmodul verlegt werden. Von diesem aus werden dann die einzelnen Module gespeist, die früher jeweils eigene Stromversorgung-Leitungen zur Batterie benötigt hätten. Der Verkabelungsaufwand reduziert sich dadurch immens, was nicht zuletzt eine große Gewichtsersparnis bewirkt.
Eine Herausforderung ist das Design von Verteilerkästen, die in jeder Zone einsetzbar sind, denn dies vereinfacht das Design und die Lagerhaltung. Die Lösung sind intelligente Verteilerkästen mit Mikrocontrollern, High-Side-Schaltern und Transceivern, die sich per Software konfigurieren und an die Verbraucher der jeweiligen Zone anpassen lassen.
Herkömmliche Schmelzsicherungen schützen die angeschlossenen Verbraucher, indem sie bei zu hoher Stromstärke durchschmelzen und damit die elektrische Verbindung trennen. Das Ansprechverhalten wird durch so genannte Zeit-Strom-Diagramme veranschaulicht (Bild 2). Abhängig vom nominellen Strom, dem Betriebstemperaturbereich und anderen Faktoren kann der Nennstrom einer Sicherung beispielsweise um 25 % gemindert werden, um ein ungewolltes Ansprechen zu verhindern.
Die Verkabelung muss unter Umständen überdimensioniert werden, um die höheren Ströme, die die Schmelzsicherungen unter bestimmten Temperaturbedingungen durchlassen, zu berücksichtigen. Optimieren lässt sich der Leiterquerschnitt durch den Einsatz von High-Side-Schalter-ICs, die mit einer I²t-Charakteristik versehen sind. Während der Überstromschutz dieser ICs einen zu hohen Strom normalerweise begrenzt oder den Stromkreis ganz unterbricht, erfolgt die Unterbrechung des Stromkreises bei einem I²t-Feature nach unterschiedlich langen Zeitspannen abhängig vom Quadrat des Stroms. Dies geschieht hier außerdem wesentlich präziser als bei Schmelzsicherungen, sodass eine weitergehende Optimierung der Leiterquerschnitte möglich ist.
Wie Bild 3 veranschaulicht, wurden bei den früheren Domänenarchitekturen die ECUs stets in der Nähe der jeweiligen Sensoren oder Aktoren platziert, während diese vielen ECUs bei zonalen Architekturen in Zonenmodulen zusammengefasst sind. Die Sensoren und Aktoren verbleiben dagegen an ihren jeweiligen Orten. Dies führt zu der in der Abbildung gezeigten Separierung von physischer und logischer I/O-Funktionalität.
Die Mikrocontroller in den Zonenmodulen müssen die Anforderungen aller angeschlossenen I/O-Funktionen abdecken und deshalb über eine hohe Echtzeit-Performance, viel Programm- und Datenspeicher, schnelle Kommunikations-Schnittstellen zum Anschluss an den Backbone und mehrere Interfaces zum Anschließen der Sensoren und Aktoren verfügen. Nicht zuletzt müssen durch Virtualisierung Funktionen mit unterschiedlichen Safety Integrity Levels unterstützt werden.
Die angesprochene Separierung der logischen und physischen I/O-Funktionen wirkt sich auf die Sensoren und Aktoren aus. Bild 4 zeigt verschiedene Implementierungsvarianten.
In Bild 5 ist ein typisches Zonenmodul mit High-Speed-Kommunikationsschnittstellen zu sehen. Benötigt werden neben Gigabit Ethernet und möglicherweise PCIe auch schmalbandigere Verbindungen zu Sensoren und Aktoren, wofür sich Bussysteme wie etwa LIN anbieten.
Die Netzwerk-Topologie sollte insbesondere bei der Verbindung zwischen Zonenmodul und zentraler Recheneinheit mit genügend großen Bandbreiten-Reserven angelegt werden, um unter Beibehaltung der bestehenden und bereits validierten Hardware problemlos Upgrades an der Software vornehmen zu können.
Um unterschiedlichen Anforderungen in Sachen Latenz und Dienstqualität gerecht zu werden, sind Ethernet-basierte TSNs (Time Sensitive Networks) eine gute Option. Tabelle 1 bietet eine Übersicht über einige TSN-Standards des Institute of Electrical and Electronics Engineers (IEEE).
Standard | Titel | Beschreibung |
IEEE 802.1AS | Timing und Synchronisation | Sorgt für Zeitsynchronisation auf Layer 2 |
IEEE 802.1Qbv | Time Aware Shaper (jetzt: Ergänzungen für Scheduled Traffic) | Bearbeitet die 8-Port-Ausgangs-Queues einer Brücke nach einem rotierenden Schema. Anhand eines Zeitplans werden bis auf einen alle Ports blockiert, um Verzögerungen während geplanter Übertragungen zu vermeiden. |
IEEE 802.3br | Interspersed Express Traffic | Unterbricht zeitweilig die Übertragung eines »normalen« Frames zur Übertragung eines »Express-Frames«. |
IEEE 802.1Qbu | Frame Preemption | Verbessert die Unterbrechung nicht-zeitkritischer Frames zur Steigerung des Durchsatzes zeitkritischer Frames. |
IEEE 802.1CB | Redundanz | Nachrichten werden kopiert und parallel über separate Wege übertragen. Redundante Duplikate werden empfängerseitig verworfen. |
IEEE 802.1Qch | Cyclic Queuing and Forwarding | Pakete werden anhand ihrer Traffic-Klasse gesammelt und in einem Zyklus weitergeleitet. Einfache Möglichkeit zur Nutzung von TSN, wenn kontrolliertes Timing hohe Priorität hat, es aber nicht auf die Verringerung der Latenz ankommt (kann durch IEEE 802.1AS und IEEE 802.1Qbv abgedeckt werden). |
IEEE 802.1Qci | Per-Stream Filtering and Policing | Frames werden an den Eingangs-Ports nach Ankunftszeiten, Raten und Bandbreite gefiltert, um Schutz vor übermäßiger Bandbreitenauslastung und Burstgröße sowie fehlerhaften oder böswilligen Endpunkten zu bieten. |
IEEE 802.1Qav | Trafficbasierter Credit Shaper | Unterbindet Frame-Bursts (gleiche Klasse oder Stream); Änderung der Prioritäten zwischen Traffic-Klassen oder Streams. |
Tabelle 1. Auswahl relevanter TSN-Standards für Echtzeit-Anwendungen im Automobilbereich.
Abgesehen von Eigenschaften wie Latenz und Jitter verlangen Zonenarchitekturen nach Kommunikationswegen, die sicher sind, denn auf Ethernet basierende, im Internet übliche Angriffsmethoden und Tools werden großenteils auch in Fahrzeugen anwendbar sein. Sobald aber die Sicherheit in einem Fahrzeug-Netzwerk nicht mehr gewährleistet ist, ist keine vertrauensvolle Kommunikation mehr möglich, und das gesamte Konzept der Trennung von I/O- und Recheneinheiten bricht in sich zusammen.
Es geht somit nicht ohne einen ganzheitlichen Ansatz für das Thema Cybersecurity, zumal ein schlichtes Nachrüsten der Sicherheit angesichts der Vielzahl der Datentypen ausscheidet. Das klassische Absichern von IP-Paketen per IPsec eignet sich für Steuerungs- und Sensordaten mit geringem Bandbreitenbedarf. Streams beispielsweise von Bild- oder Radar-Daten müssen zumindest per Authentifizierung abgesichert werden, was bei softwaremäßiger Umsetzung jedoch enorme Prozessor-Ressourcen beansprucht. Die Lösung liegt in neuen Verschlüsselungs- und Authentifizierungs-Konzepten auf einer niedrigeren Ebene. Zum Beispiel kann MACsec auf Level 1 oder 2 eines Ethernet-Protokolls angewendet werden und ist in das MAC-IP oder den Ethernet-PHY integrierbar.
Das ultimative Ziel, das mit der Umstellung auf zonale Architekturen angestrebt wird, ist ein vollständig softwaredefiniertes Fahrzeug, in dem ideal standardisierte Komponenten für Sensoren, Aktoren, Zonenmodule und Datenverbindungen miteinander kombiniert werden. Mit diesem Ziel vor Augen, werden unterschiedlichste Ideen aus zahlreichen verschiedenen Bereichen auf ganzheitliche Weise gebündelt, um den Weg für die softwarebasierte Innovation in den kommenden Jahrzehnten zu ebnen.
Arun Vemuri
ist Sector General Manager für Automotive Body Electronics & Lighting bei Texas Instruments. Vemuri hat mehr als 20 Jahre Erfahrung in der Entwicklung von Systemlösungen für Automobilanwendungen. Vor seiner jetzigen Tätigkeit war er für den Entwurf und die Definition von integrierten Mixed-Signal-Signalkonditionierungsschaltungen für Automobil- und Industriesensoren verantwortlich.
Vemuri hat einen Doktortitel in Elektrotechnik von der University of Cincinnati, Ohio, einen Master in Systemwissenschaften vom IISc Bangalore, Indien, und einen Bachelor of Science in Elektrotechnik vom IIT Roorkee, Indien, sowie einen Master in Betriebswirtschaft von der University of Texas in Austin.