Sichere Funktionalität von digitalen Cockpits gewährleisten

Autor / Redakteur: Dan Joncas* / Michael Eckstein

Viele Funktionen in modernen digitalen Anzeigen müssen absolut zuverlässig arbeiten. Mit der Mali-G78AE GPU-IP von ARM und zertifizierten Software-Bibliotheken lässt sich dieses Ziel erreichen.

Firmen zum Thema

Digitales Cockpit: Moderne Armaturentafeln in Fahr- und Flugzugen integrieren immer mehr auch sicherheitsrelevante Funktionen – etwa Objektmarkierung in Head-up-Displays.
Digitales Cockpit: Moderne Armaturentafeln in Fahr- und Flugzugen integrieren immer mehr auch sicherheitsrelevante Funktionen – etwa Objektmarkierung in Head-up-Displays.
(Bild: Shutterstock)

Jedes neue Modelljahr bringt bei Fahrzeugen neue Designs für digitale Kombi-Instrumente mit sich. In diesen digitalen Clustern stecken Sicherheitsinhalte und Mechanismen, die gewährleisten sollen, dass die Elektronik, die das Display ansteuert, den Sicherheitsstandards der ISO 26262 ASIL B entspricht. Diese Designs haben sich bereits bei den analogen Kombi-Instrumenten für den gleichen Sicherheitsinhalt bewährt. Dieser bestand in erster Linie aus Kontrollleuchten und der Getriebeposition, die von einem kleineren Sicherheits-Mikrocontroller dargestellt wurden.

Die Sicherheitsmechanismen der aktuellen Designs für Kombi-Instrumente sind auf der Anzeigeseite angesiedelt und waren für diese Sicherheitsinhalte ausreichend. Fahrzeugdisplays der nächsten Generation jedoch werden komplexere Sicherheitsinhalte auf der Grundlage von Sensordaten integrieren, die in erster Linie von fortschrittlichen Fahrerassistenzsystemen (ADAS) stammen, die dem Bediener ein Echtzeit-Feedback des Wahrnehmungssystems liefern. Ein Beispiel hierfür wäre ein Rahmen um ein erkanntes Objekt oder Hindernis. Eine solche Anzeige könnte zum verbesserten Situationsbewusstsein des Fahrers beitragen.

Neue GPU lässt sich flexibel partitionieren

Auf die steigende Nachfrage nach komplexeren Sicherheitsinhalten hat ARM mit einem neuen Hochleistungs-Grafikprozessor (GPU) reagiert. Dieser integriert die neue Funktion Flexible Partitionierung sowie zusätzliche Unterstützung durch den Sicherheits-Software-Stack VkCore Functional Safety Suite. So entwickelte CoreAVI mit der Unterstützung von ARM eine umfangreiche Suite von Grafik- und Rechentreibern sowie Bibliotheken, die für den Einsatz in ISO 26262 ASIL D-Anwendungen für die neueste Mali-G78AE GPU IP von ARM zertifizierbar ist.

Ergänzt durch sicherheitsfähige Applikationsprozessoren bilden Mali-G78AE und die VkCore Functional Safety Suite die Grundlage für Automotive-Tier-1s und OEMs, um sichere Cockpit-HMIs mit einer sicherheitsfähigen GPU-Hardwarebeschleunigung zu erstellen. Mit den Fahrzeug-HMIs der nächsten Generation, die auf dieser sicherheitsfähigen Hard- und Software aufsetzen, zielen Fahrzeugentwickler darauf ab, das Vertrauen der Verbraucher in ADAS und autonome Systeme zu stärken.

Display-Entwicklung im Fahrzeugcockpit

Die Automobilindustrie und das Fahrzeugcockpit haben eine ähnliche Entwicklung durchlaufen. Multifunktions-Displays mit Touchscreen haben die Anzeigen und Geräte von früher ersetzt. Leistungsstarke SoCs (System-on-a-Chip) sollen dem Fahrer neben grundlegenden Informationen auch eine erhöhte Wahrnehmung und ein verbessertes Situationsbewusstsein in einer Mensch-Maschine-Schnittstelle (HMI) vermitteln, damit er eine Menge unterschiedlicher Informationen visuell interpretieren kann.

Ähnlich der Entwicklung im Avionik-Markt übernehmen GPUs und zugehörige Softwaretreiber, die in diesen hochzuverlässigen und sicherheitskritischen Automobilsystemen zum Einsatz kommen, Stück für Stück die sicherheitsqualifizierte Elektronik. Die neuen Systeme werden funktionale Sicherheitsstandards erfüllen und deterministische Berechnungen ermöglichen (etwa eine Statusabfolge liefert bei gleicher Eingabe stets die gleiche Ausgabe). Zudem wird die Software gemäß der MISRA-C-Richtlinie für sicherheitskritische Software in Übereinstimmung mit Sicherheitsstandards wie ISO 26262 geschrieben sein.

Anwendungsbeispiele

Ein aktueller Trend in der Automobilindustrie ist die Zusammenführung mehrerer Cockpit-Funktionen in einem Cockpit Domain Controller (CDC). Dabei handelt es sich um eine Plattform, auf der mehrere gängige Fahrzeugsteuergeräte als Software-Workloads auf einem einzigen Steuergerät konsolidiert werden können.

Ein weiteres Wertversprechen eines CDC ist die parallele Ausführung von Sicherheits- und Nichtsicherheits-Workloads (gemischte Kritikalität) auf einem einzigen System. Für einen Systemarchitekten bedeutet die Bereitstellung von Workloads auf einem CDC mit den entsprechenden Ressourcen für die Erfüllung der Leistungs- und Sicherheitsanforderungen immer eine Herausforderung.

Es ist wichtig, dass sie über die entsprechenden Quality-of-Service-(QoS)-Merkmale für die gemeinsam genutzten Ressourcen wie Speichercontroller und Geräte verfügen. Workloads mit deterministischen Rechenterminen besitzen oftmals nicht den Luxus, Ressourcen mit anderen Workloads zu teilen – wie bei deterministischen Sicherheits-HMI-Workloads. Die innovative ARM Mali-G78AE Flexible Partitioning-Funktion ermöglicht die HW-Trennung der GPU in ein, zwei oder vier entsprechend große GPUs beim Booten. Diese GPUs lassen sich den verschiedenen Workloads zuweisen.

Bild 1: Die Mali G78AE GPU von ARM lässt sich in vier separate GPU-Blöcke teilen.
Bild 1: Die Mali G78AE GPU von ARM lässt sich in vier separate GPU-Blöcke teilen.
(Bild: ARM)

Das nebenstehende Beispiel zeigt, wie sich die Mali G78AE GPU zum Zeitpunkt des Bootens mit vier GPUs konfiguriert lässt: Eine GPU kann für das sichere Wiedergeben des Kombi-Instruments zugewiesen werden, die zweite GPU könnte für das sichere Wiedergeben eines Augmented-Reality-Heads-up-Displays (HUD) zum Einsatz kommen, eine dritte GPU für sichere Berechnungen zur Unterstützung eines Fahrerüberwachungssystems (DMS) und die vierte GPU für das IVI-Betriebssystem, wie Automotive Grade Linux (AGL) oder Android Automotive (BIld 1).

Sichere HMI-Architekturen

Anwendungsfälle für nach ISO 26262 ASIL B zertifizierte Grafiken sind nicht neu und werden in bestehenden Designs unterstützt. Die Integration von Sicherheitsinhalten mit Nicht-Sicherheitsinhalten auf einem Kombi-Instrument ist weitverbreitet. In aktuellen Systemen lässt sich das Rendering durch ASIL Quality Managed (QM) Hard- und Software durchführen. Der vorhandene Sicherheitsmechanismus ist ein ASIL-B-Sicherheitsmonitor, der zur Bestätigung des korrekten Renderings und der Anzeige des Sicherheitsinhaltes verwendet wird.

Die gängigste Methode zur Umsetzung ist der Einsatz dedizierter Hardware im Display-Controller, der einen CRC für einen kleinen Bereich des Bildschirms erzeugt. Dieser CRC wird mit einem von der Anwendung gelieferten CRC-Referenzwert verglichen. Stimmen sie überein, bestätigt dies das korrekte Arbeiten des QM-Grafiksystems und die richtige Anzeige des sicherheitsrelevanten Inhalts.

Dieser Ansatz funktioniert für sehr einfache Inhalte wie Kontrollleuchten und die Getriebeposition des Antriebsstrangs gut. In solchen Fällen ist der Sicherheitsinhalt in der Ausgabe und Position vorhersehbar und wird in einem eigenen Bildschirmbereich dargestellt. Leider lässt sich der Ansatz nicht gut skalieren, wenn dieses Kriterium nicht erfüllt ist, beispielsweise bei animierten Kontrollleuchten, Kontrollleuchten über einem benutzerdefinierten Hintergrund und neuen Anwendungsfällen auf HMIs mit dynamischen Sicherheitsinhalten. Dies wird in zukünftigen ADAS und autonomen Wahrnehmungssystemen, die dem Betreiber erkannte und identifizierte Objekte über einen Rahmen anzeigen, gängige Praxis sein.

Um einen skalierbaren Ansatz für die Zukunft zu unterstützen, werden Designs zu Systemarchitekturen übergehen. Diese unterstützen Sicherheitsanwendungen, die auf sicherheitsqualifizierten Applikations-Kernen laufen. Dazu gehören auch ASIL B-qualifizierte Grafiksubsysteme, zum Beispiel sicherheitsqualifizierte GPU-Hardware und Softwaretreiber. Das bietet eine Grundlage für uneingeschränkte Innovationen bei HMIs mit ASIL-Anforderungen. Benutzeroberflächen lassen sich zuverlässig mit GPU-Beschleunigung in ihrer eigenen Domain (ASIL B oder ASIL QM) ausführen, bevor sich die endgültige HMI für eine sichere Anzeige zusammensetzen lässt.

Sichere Entwicklung von HMI-Anwendungen

Sicherheitsanwendungen in der Avionik profitieren von den Vorteilen der GPU-Beschleunigung, die durch die OpenGL Safety Critical (SC) API ermöglicht wird. Die VkCore Functional Safety Suite für Mali-G78AE unterstützt OpenGL SC 1.0.1, 2.0 sowie die Vulkan SC 1.0 API der Khronos Organisation. Moderne Fahrzeug-HMIs nutzen die Vorteile der OpenGL ES und Vulkan APIs.

Die Umstellung auf eine sichere Wiedergabe erfolgt ausschließlich für den Sicherheitsinhalt. HMI-Entwickler werden von HMI-Tools profitieren, die einen Workflow unterstützen, der die Kennzeichnung bestimmter Daten und/oder Oberflächen für Sicherheits- und Nichtsicherheits-Rendering-Domänen ermöglicht. Das Ökosystem von HMI-Tool-Partnern wird Workflows für einen einfachen Übergang von ASIL-QM-HMIs zu sicheren HMIs unterstützen, die sich zuverlässig mit nichtsicheren HMIs kombinieren lassen.

Partnerschaften sind in der Luft- und Raumfahrt unverzichtbar, um jedes Jahr Millionen von Menschen sicher um die Welt fliegen zu können. Diese Technologie ist so komplex, dass kein Unternehmen und keine Einrichtung „alles wissen“ oder „alles erledigen“ kann. In diesem Markt arbeiten Regierungen, Erstausrüster (OEMs) und zahlreiche Zulieferer eng zusammen, um gemeinsam die Ziele zu erreichen. Die Partnerschaften in der Automobilindustrie hingegen fokussieren sich eher auf die Koordination der Lieferkette als auf eine Harmonie bei den Technologien.

Genauso wie automobile Systeme autonomer werden und sich künstliche Intelligenz und maschinelles Lernen durchsetzen, gewinnen Technologie-Partnerschaften auch in der Automobilwelt an Normalität. Beispielsweise hat CoreAVI in seiner Rolle als Anbieter der Plattform-IP für sicherheitskritische Anwendungen Partnerschaften in der gesamten Avionik-Lieferkette geschlossen. Die Zusammenarbeit des Unternehmens mit ARM folgt dieser Tradition auch für den Automobilmarkt.

Fazit

Die Entwicklung von Flugzeug- und Automobilcockpits sowie die Evolution der Technologieübernahme basiert auf den Grundlagen der Interaktion von Mensch und Maschine. Durch die zunehmende Komplexität der Aufgaben des Piloten oder Fahrers und die wachsende Bedeutung der Sicherheit wird Technologie herangezogen, um diese Ziele zu erreichen. Analog zur wachsenden Komplexität der Technologie werden auch die Zertifizierungsprozesse, die mit der Entwicklung dieser Systeme verbundenen sind, zunehmend strenger. Schon immer haben die Märkte Automotive sowie Luft- und Raumfahrt voneinander gelernt. Inzwischen sind die Technologien so ausgereift und das Vertrauen der Anwender in diese Systeme ist derart gewachsen, dass der Austausch von Wissen und Erfahrungen zwischen Automobil und Luft- und Raumfahrt wichtiger denn je ist.

Automobilplattformen, welche die Sicherheit von Rendering, Berechnung, Zusammensetzen und Anzeige unterstützen, werden den Übergang zu einer sichereren Anwendungsverarbeitung für HMIs und andere Anwendungsfälle ermöglichen. Eine skalierbare, sicherheitszertifizierbare Hardware- und Software-Architektur mit standardbasierten Anwendungs-APIs wird für UI-Designer im Automobilbereich, die für die Übermittlung sicherheitsrelevanter Informationen für ein Situationsbewusstsein an den Fahrzeugführer verantwortlich sind, immer wichtiger werden.

Die Technologie und die Systemdesign-Patterns, die ASIL B-fähige Hardware und Software verwenden, tragen zur Auslieferung von sichereren Systemdesigns bei, ohne das Innovationstempo einzuschränken. ARM setzt sich für die Förderung eines Ökosystems mit offenen Standards und der notwendigen Hard- und Software für kostengünstige, skalierbare und sichere Cockpit- und Fahrzeugelektronik ein.

* Dan Joncas ist Chief Sales and Marketing Officer bei CoreAVI.

(ID:47580715)