Grenzen überwinden Veränderungen der Software-Entwicklung durch Vehicle Computer

Autonomes Fahren, Vernetzung und Elektrifizierung lassen die Komplexität Software-gesteuerter Funktionen ansteigen. Herkömmliche E/E-Architekturen stoßen hier an Grenzen. Zentralisierte Ansätze mit Mikroprozessor-basierten Vehicle Computern ermöglichen die Fusionierung bisher verteilter Domänen.

Kamerasysteme und weitere Sensoren sollen das Fahrzeugumfeld während der Fahrt lückenlos überwachen. Fahrerassistenzsysteme übernehmen von Zeit zu Zeit die Fahrzeugführung. Autokäufer können ihre Fahrzeuge nachträglich mit Apps individualisieren und upgraden – spätestens in solchen Szenarien stoßen heutige E/E-Architekturen an Grenzen [1]. Die immer komplexeren, zunehmend domänenübergreifenden Funktionen sind schwer umsetzbar, wenn viele Dutzend dezentrale, hoch spezialisierte ECUs mit jeweils spezifischer Embedded-Software involviert sind.

Zudem setzt die Verarbeitung der stark steigenden Datenvolumina mehr Rechenleistung sowie breitbandige Datenübertragung an Bord voraus; und in Zukunft kommt es auch zur Auslagerung rechenintensiver Prozesse in die Cloud. Darüber hinaus stellt die Vernetzung moderner Fahrzeuge im Internet-of-Things (IoT) neue Security-Anforderungen. Und nicht zuletzt verlangt das veränderte Nutzerverhalten der Generation Smartphone nach praktikablen, sicheren Lösungen für (Over-the-Air) Software-Updates.

Um all diese Anforderungen zu erfüllen, setzt die Automobilbranche auf zwei zentrale Ansätze: Vehicle Computer auf Basis von Mikroprozessoren (µP) bringen mehr Rechenleistung an Bord und erlauben die Zentralisierung der Bordnetze, was auch die Domänenfusion vereinfacht (Bild 1). Passend dazu entsteht mit dem Standard AUTOSAR Adaptive ein Regelwerk für diese neuen, vernetzten Architekturen. Beides wird die Automotive Software-Entwicklung grundlegend verändern.

Zentralisierung mit Vehicle Computern

Anders als herkömmliche ECUs auf Basis von Mikrocontrollern (µC) arbeiten in Vehicle Computern (VC) Mikroprozessoren, System-on-a-Chip-Hardware-Architekturen mit mehreren Kernen in der Central Processing Unit sowie Co-Prozessoren. Durch den Rückgriff auf Hardware aus der IT-Welt schaffen VCs eine Basis, um komplexe Rechenprozesse an Bord auszuführen. Zugleich lassen sie sich per Hypervisor in jeweils gekapselte virtuelle Maschinen partitionieren. In Verbindung mit passender Basis-Software gewährleistet diese Kapselung umfassende Freedom from Interference, d.h. die Software-Teile beeinflussen sich nicht gegenseitig während ihrer Laufzeit. Jede virtuelle Maschine kann so die Funktion eines virtuellen Steuergeräts mit eigener Software übernehmen. Das erlaubt es, auf ein und demselben VC Software verschiedener Anbieter mit unterschiedlichem Automotive-Safety-Integrity-Level (ASIL) zu betreiben.

Für die effiziente Integration und ein reibungsloses Zusammenspiel der Software dienen übergreifende Posix- Betriebssysteme wie Blackberry QNX oder Linux. Und weil die neuen, zentralisierten Recheneinheiten im Betrieb auf externe Speicher, File-Systeme und in Zukunft möglicherweise auch auf Cloud-Services zugreifen, läuft der Datenverkehr über breitbandige Automotive-Ethernet-Busse.

Eine solche zentralisierte Struktur schafft die Voraussetzung, um die historisch gewachsene aber mittlerweile störende Trennung der Domänen zu überwinden [2]. So lassen sich beispielsweise für das automatisierte Fahren Funktionen von Powertrain und Chassis samt Bremse und Lenkung in Software-Paketen auf VCs fusionieren und dort als Software-basierte Controller ausführen. Eine solche zentralisierte Entscheidungsebene in der Fahrzeug-E/E- Architektur senkt die Komplexität, steigert die Flexibilität – und bietet die notwendige Basis, um künftig riesige Datenmengen der Radar-, Video- oder Lidar-Umfeldsensorik zusammenzuführen, abzugleichen und Entscheidungen im Sinne maximaler funktionaler Sicherheit zu plausibilisieren.

Doch eine komplette Umstellung auf die Zentralrechner wird es vorerst nicht geben. Zumindest übergangsweise müssen parallele Strukturen mit klassischen ECUs an Bord bleiben. Denn obwohl VC in aller Regel schneller rechnen als ECUs, sind nur die µC-basierten Steuergeräte mit Software nach dem AUTOSAR-Classic-Standard im engeren Sinne echtzeitfähig: Sie führen Regelungsalgorithmen in klar determinierten Zyklen aus, was sie für besonders sicherheitsrelevante Funktionen unverzichtbar macht. Dabei kommunizieren sie wie gehabt über CAN-, LIN- oder FlexRay-Busse. Es bedarf also hybrider Bordnetze.

Übersicht in hybriden Bordnetzen…

Das Nebeneinander der unterschiedlichen Hardware und Kommunikationspfade in den hybriden Bordnetzen gilt es zu koordinieren – und im Sinne der funktionalen Sicherheit und lückenloser Security abzusichern. Dabei müssen Entwickler vielfältige Anforderungen im Blick behalten: So stellen viele Bereiche der Branche zur verbesserten Entwicklungsdynamik im Software-Bereich vom etablierten V-Modell auf agile Software-Entwicklung um. Weiterentwickelte Software muss sich also schnell und sicher auf Fahrzeuge im Feld ausrollen lassen. Over-the-Air-Updates (OTA) und stationäre Upgrades sind das Mittel der Wahl und ebnen zugleich Wege für neue Datendienste und App-Stores, in denen auch branchenfremde Player ihre Software anbieten können. Wird diese auf die gekapselten virtuellen Maschinen mit der besagten Freedom from Interference aufgespielt, dann kann sie in virtualisierten Umgebungen entwickelt, erprobt sowie verifiziert und validiert werden.

Dennoch ist es unabdingbar, jegliche Software-Updates durch Authentifizierung der Anbieter und kryptografische Mittel abzusichern. Ohnehin schaffen Vehicle-to-X-Kommunikation und Vernetzung Verbindungen vom Fahrzeug zur Außenwelt, die zwangsläufig erhöhte Risiken mit sich bringen. Prävention gegen Cyberangriffe und unbefugte Zugriffe auf Bordnetze ist unverzichtbar. Die ETAS-Tochter Escrypt bietet dafür verschiedene Automotive-Lösungen an.

Damit all diese Anforderungen nicht in unbeherrschbarer Komplexität münden, sind neue Lösungen und neue methodische Ansätze gefragt. Bosch und ETAS haben diesen Bedarf frühzeitig erkannt und stellen schon jetzt Lösungen bereit, mit denen sich die Übergangszeit bis zur Einführung des Standards AUTOSAR Adaptive produktiv nutzen lässt.

…ist eine Frage der richtigen Werkzeuge

Herzstück der Lösung ist das Basis-Software-Framework RTA-VRTE. Das Kürzel steht für Realtime Application (RTA) – Vehicle Runtime Environment (VRTE). Dabei handelt es sich um eine Multi-Layer-Plattform, auf der sich unterschiedliche AUTOSAR-Adaptive-konforme Software-Funktionen aufsetzen lassen. Sie unterstützt also gezielt die Parallelstrukturen mit dezentralen ECUs und zentralen VCs. Zudem ermöglicht die bereits vorkonfigurierte Partitionierung per Hypervisor den sofortigen Einstieg in die hochgradig virtualisierte Entwicklungsmethodik der Zukunft. Die virtuellen Maschinen übernehmen in der RTA-VRTE die Funktion virtueller ECUs, die Entwickler auf herkömmlichen Desktop-PCs simulieren können. Sie sind per Ethernet vernetzt und können damit auch untereinander kommunizieren.

Herausforderungen angehen im Early Access Program

Eingebettet ist die ETAS RTA-VRTE in ein Early Access Program (Bild 2). Anwender können damit bereits jetzt ins Prototyping einsteigen, die hybriden Bordnetzarchitekturen durchdringen und dabei Software integrieren, erproben und debuggen. Auch lassen sich (noch) nicht AUTOSAR-Adaptive-konforme Software-Lösungen integrieren, wie etwa Firewalls oder Gateway-Management-Lösungen, die für den rundum abgesicherten Betrieb der hybriden, zunehmend vernetzten Bordnetze unabdingbar sind.

Letztlich erhält der Nutzer ein komplettes Virtualbox-Abbild des Vehicle Computers mit einer aus fünf Ebenen/Layern aufgebauten AUTOSAR-Adaptive-Architektur (Bild 3). Um das effizient umzusetzen, enthält das Software Development Kit Konfigurationswerkzeuge für die Integration eines Posix-konformen Betriebssystems. Ihre Subsysteme laufen auf den VMs wie auf einem eigenen Computer. Die Kontrolle der Interaktion findet auf einem anderen Layer statt. Dort gewährleistet eine Kommunikations-Middleware, dass bei Problemen einer Software-Funktion keinerlei ungewollte Rückwirkung auf ASIL-relevante Funktionen auftreten.

Bei Funktionen mit hoher ASIL-Relevanz werden Mikrocontroller aufgrund ihrer Vorteile bei strengen Echtzeit-Anforderungen und bei der Überwachung der Kommunikationsabläufe auch künftig Mittel der Wahl bleiben. Gemeinsam bieten Bosch, ETAS und deren Tochter Escrypt hierfür ein Gesamtpaket, das eine lückenlose Überwachung der CAN-Busse mithilfe geeigneter Intrusion Detection Systeme (IDS) sowie hochleistungsfähiger Ethernet Firewalls und Hardware-Security-Module (HSM) gewährleistet.

Ausblick: Gezügelte Komplexität

Die neuen Architekturen mit Vehicle Computern sind der Schlüssel, um domänenübergreifende Funktionen funktional sicher aufzusetzen. Zugleich ebnen sie einem völlig neuen, virtualisierten Entwicklungsablauf den Weg, in dem unterschiedliche Software-Lieferanten völlig unabhängig voneinander Software entwickeln und diese sicher auf virtuelle Maschinen der Vehicle Computer integrieren können. Trotz der hohen Heterogenität lassen sich dabei hohe Security-Standards gewährleisten. Einerseits, weil durch Partitionierung per Hypervisor im Zusammenspiel mit einer ausgefeilten Middleware die Freedom from Interference fest verankert ist – was nebenbei dafür sorgt, dass unbefugte Zugriffe maximal die jeweilige Partition aber nie das gesamte Bordnetz betreffen.

Software-Entwicklern verschafft diese neue Entwicklungswelt Werkzeuge mit Hebelwirkung. In Zukunft wird sich der Bedarf an spezifischer Embedded Software für ECUs, die bisher für jede Fahrzeuggeneration neu entwickelt werden musste, in Richtung der weit weniger spezifischen Software für Vehicle Computer verschieben. Mit dem Early Acess Program der ETAS RTA-VRTE können sich Unternehmen schon heute mit den neuen E/E-Architekturen, und den damit verbundenen Veränderungen der automobilen Software-Entwicklung vertraut machen.

Literatur

[1] Andreas Lock, Detlef Zerfowski: „Functional Architecture and E/E-Architecture – A Challenge for the Automotive Industry“, Tagungsband 19. Internationales Stuttgarter Symposium Automobil- und Motorentechnik 19.-20. März 2019, (Herausgeber: M. Bargende, H.-C. Reuss, A. Wagner, J. Wiedemann), Seiten 909-920, Verlag Springer Vieweg.
[2] Detlef Zerfowski: „Vertikalisierung versus Horizontalisierung? Die (R)Evolution der Automotive Software schreitet voran.“ Tagungsband Embedded Software Engineering Kongress 2018, Sindelfingen, 3.-7. Dezember 2018, Seiten 452-460.

Die Autoren