Modul für moderne Kfz-Kombiinstrumente Die Entwicklung beschleunigen

Kombiinstrumente müssen dem Fahrer die richtige Information zum richtigen Zeitpunkt geben. Der Artikel diskutiert eine Lösung, in der die High-End-Grafikfunktionalität der Software-Entwicklungsplattform CGI Studio von Socionext in die Embedded-Betriebssysteme von Mentor Automotive einfließt.

Wenn das rote „P“ leuchtet, sollte die Feststellbremse greifen. Aber tut sie das auch wirklich? Ja, sie greift – dafür sorgt die funktionale Sicherheit. Funktionale Sicherheit – was genau ist das? Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der dafür sorgt, dass ein System oder ein Betriebsmittel korrekte und verlässliche Antworten auf Ereignisse liefert. Dazu gehört auch der sichere Umgang mit möglichen Bedienungsfehlern, Hardware-Ausfällen und veränderten Umgebungsbedingungen.

Allesamt extrem wichtige Faktoren, wenn man sich die heutige Abhängigkeit von Elektronik und Software am Automotive-Markt vergegenwärtigt und – noch entscheidender – an das Zukunftsprojekt autonomes Fahren denkt. Ein Design, das von Anfang alle Sicherheitsaspekte berücksichtigt, ist für den Erfolg eines Systems in der modernen Automobilindustrie entscheidend. Andererseits bereitet es Zulieferern am Automotive-Markt Probleme, sicherheitsrelevante Fahrerinformationen verzögerungsfrei und grafisch überzeugend auf voll funktionsfähigen digitalen Kombiinstrumenten zu realisieren, ohne die Kosten in die Höhe zu treiben. Die Branche braucht eine dedizierte Spezial-Software, dass heißt eine Embedded-Software-Architektur für Kombiinstrument-Anwendungen, mit der Automobilhersteller und Zulieferer die Anforderungen von ISO 26262 einhalten können.

Sicheres Rendern mit Candera Safety

Moderne Fahrzeuge müssen heute mit Kombiinstrumenten ausgestattet sein, die wichtige Warnhinweise des Autos, aber auch Basisdaten wie Geschwindigkeit, Drehzahl, Motorleistung und den allgemeinen Fahrzeugstatus simultan grafisch darstellen. Sicherheitsrelevante Informationen, zum Beispiel Statusanzeigen für automatische Getriebe oder Warnungen von Assistenzsystemen, müssen dem Fahrer unverzüglich und klar verständlich mitgeteilt werden.

Die Software-Entwicklungsplattform CGI Studio von Socionext ist explizit mit einem ISO-26262-konformen Modul für funktionale Sicherheit ausgestattet: Candera Safety. Dieses Modul ermöglicht die simultane grafische Darstellung von sicherheitsrelevanten (kritischen) und nicht sicherheitsrelevanten (unkritischen) Daten in einheitlichem Design auf einem gemeinsamen Display. Candera Safety wurde gemäß den Anforderungen der Sicherheitsnorm ISO 26262 zur sicheren Darstellung sicherheitsrelevanter Grafikinhalten der Klassen ASIL A und B entwickelt. Sie bietet sicheres „Second Path Rendering“ bei normgerechter Entwicklung der zugehörigen Komponenten. Zudem können sicherheitsrelevante Grafikinhalte auf einen Hardware Layer gerendert werden, der mit funktionaler Sicherheit ausgestattet ist. Candera Safety wurde architektonisch zur Ausführung in einem separaten (virtuellen) Adressraum (VAS) für ISO-26262-konformes ASIL-B-Rendering konzipiert.

Das Safety-HMI, also die sichere Mensch-Maschine-Schnittstelle mit Candera Safety als zentrale Komponente, wird in einem vom Restsystem abgeschotteten Adressraum ausgeführt. Candera Safety wird von einer „Safety HMI App“ gesteuert, die über abgesicherte Kommunikationskanäle mit der unsicheren Außenwelt interagiert und die Ablauflogik der sicheren Darstellung implementiert. Das Werkzeug rendert im Verbund mit dem „Safety Graphic Driver“ sicherheitsrelevante Inhalte. Diese Architektur stellt sicher, dass das gesamte Safety-HMI und somit auch Candera Safety frei von Interferenzen mit anderen, nicht sicheren Komponenten oder Subsystemen ist. Diesen Komponenten ist damit der Zugang zur „sicheren Welt“ des Tool verwehrt.

Candera Safety rendert kontinuierlich sicherheitsrelevante Inhalte und stellt durch laufende Überprüfungen sicher, dass der Render-Pfad korrekt ausgeführt wird. Verglichen mit der reaktiven Prüfung von bereits gerenderten Inhalten senkt dieser proaktive Ansatz das Ausfallrisiko durch Fehlalarme („false positives“) und unterstützt ein nahtloses, elegantes visuelles Design. Das Verfahren gewährleistet, dass sicherheitsrelevante Daten auf dem Display jederzeit grafisch sichtbar sind. Zudem ermöglicht diese Lösung die Weiterverwendung komplexer Module oder Alt-Software, deren ISO-26262-Zertifizierung sehr aufwändig bis unmöglich wäre, und macht reaktive Rendering-Prüfungen entbehrlich. Bild 1 zeigt die Einbettung des Candera Safety-Moduls in den Safety-HMI-Adressraum sowie weitere relevante Komponenten und Schnittstellen wie Safety Graphic Driver und die Candera Safety Asset Library.