Comment contrôler la complexité automobile

Les postes de pilotage intégrés deviennent de plus en plus importants pour la prochaine génération d'acheteurs qui souhaitent voir les informations librement partagées entre les différents systèmes à l'intérieur du véhicule et portées à la connaissance du conducteur lorsque c'est nécessaire.

Dans certains cas, les groupes d'instruments et les écrans d'infodivertissement traditionnels sont déjà combinés en un seul grand écran. Dans d'autres, impliquant plusieurs écrans d'affichage, il est déjà nécessaire de partager les informations générées à partir de plusieurs sources dans le véhicule, telles que les images de navigation, les données de caméra, les flux audio et les capteurs ADAS (Advanced Assistance System).

Ces exigences de partage des données ont nécessité de nouvelles approches de conception pour les plates-formes logicielles embarquées utilisées, ainsi que de nouvelles approches en matière d'essais et d'approbation de sécurité.

Affichage numérique

L'amélioration continue de la technologie d'affichage numérique, avec des écrans à plus haute résolution disponibles à moindre coût, signifie qu'ils deviennent disponibles pour le marché de masse dans les applications.

La génération actuelle de grappes d'instruments est dite hybride, combinant des cadrans mécaniques avec de petits panneaux numériques intégrés. Ceux-ci sont progressivement remplacés par des panneaux entièrement numériques, car ces unités deviennent financièrement viables, avec une qualité et des performances appropriées.

Le panneau entièrement numérique offre plusieurs avantages par rapport à son prédécesseur mécanique, y compris la reconfiguration dynamique pour prendre en charge différents modes de conduite ou préférences d'information, et offre de nombreuses possibilités de personnalisation du véhicule.

Les mises à jour logicielles sur la durée de vie du véhicule signifient que l'application d'affichage pourrait être améliorée pour offrir de nouvelles fonctionnalités et fonctionnalités, ce qui ouvrirait potentiellement des sources de revenus supplémentaires pour les constructeurs automobiles. Une pile d'architecture typique pour un cluster numérique est représentée sur la figure 1 ci-dessus.

Consolidation unique des données d'affichage

Un grand écran, tel que l'exemple de la figure 1, peut être visuellement attrayant, mais présente de grands défis pour le concepteur de logiciels embarqués.
Au fur et à mesure que la résolution de l'écran augmente, une unité de traitement graphique (GPU) plus puissante est nécessaire pour garder le rafraîchissement de l'écran sans scintillement, avec un logiciel pilote optimisé associé.

Une performance de 60 images par seconde est généralement reconnue comme le minimum requis pour permettre une visualisation confortable.
L'affichage d'une large sélection d'objets graphiques complexes ou de flux vidéo provenant de différentes sources représente également un défi: comment réussir à organiser les informations sur un seul écran et à partitionner les données critiques et les données dites normales.

Avec un accent de plus en plus important sur la sécurité, les systèmes à écran tactile deviennent moins attrayants quand il y a une grande quantité de données visuelles pour communiquer au conducteur. Les commandes du système via les boutons du volant, les commandes gestuelles et vocales sont préférables car elles réduisent la distraction des conducteurs.

L'organisation de la pile complète d'applications, du matériel aux cartes de support, aux systèmes d'exploitation et aux applications d'interface utilisateur, implique généralement des contributions de différents fournisseurs de technologie.

Architectures critiques pour la sécurité

En ce qui concerne l'architecture embarquée, les éléments essentiels à la sécurité de toute conception doivent fonctionner sur des systèmes d'exploitation certifiés isolés, avec une séparation claire des fonctions «normales» susceptibles de les compromettre par interférences.

Les fabricants de véhicules demandent généralement que les fournisseurs de logiciels embarqués fournissent des «artefacts de sécurité», ainsi que des livrables logiciels. Ces artefacts peuvent inclure des preuves de tests, une documentation exhaustive sur tous les modes de fonctionnement, y compris les modes de défaillance, et la traçabilité des exigences logicielles.

Plus la cote de sécurité ASIL est élevée, plus le processus de validation et de certification est rigoureux et le coût des composants logiciels embarqués. Pour répondre de manière adéquate aux exigences de sécurité ASIL D les plus strictes, une conception tolérante aux pannes avec une redondance matérielle et logicielle intégrée est nécessaire.Au niveau du système, cela peut signifier des chemins de connexion en double pour les signaux, le matériel en double et les modes de fonctionnement à sécurité intégrée. Au niveau du logiciel embarqué, l'architecture de sécurité impliquera des systèmes d'exploitation séparés, des surveillances de surveillance des processus et des alertes déclenchées en cas d'anomalies ou d'échecs détectés.

ECU consolidés

Une voiture de luxe moderne est susceptible de contenir 60 à 100 unités de contrôle électronique (ECU); une variété de systèmes d'exploitation allant de simples ordonnanceurs; et les systèmes d'exploitation en temps réel (RTOS) jusqu'aux systèmes d'exploitation Linux TM multifonctions complexes ou aux plates-formes embarquées similaires prenant en charge les passerelles de communication, les contrôleurs de domaine, les systèmes d'infodivertissement et d'information du conducteur.

La tendance à consolider les fonctions est bien engagée dans l'industrie automobile et, en combinant certaines fonctions, le poids du faisceau de câbles et la complexité de la connexion peuvent être optimisés. Il peut être possible d'éliminer certains équipements ECU, ce qui permet d'économiser le coût global et le nombre de composants. La complexité des applications logicielles pose un défi pour les tests et la certification - plus il y a de lignes de code à tester, plus le risque de manquer un cas d'utilisation ou d'exposer un comportement inattendu est élevé.

L'application de la décomposition à des logiciels embarqués permet aux composants critiques de fonctionner isolément, sur un système d'exploitation certifié par la sécurité, tandis que des composants plus complexes peuvent fonctionner sur un système d'exploitation complexe tel que Linux TM qui peut héberger un support graphique riche et des applications complexes.

Fournir une certification de sécurité pour un système d'exploitation signifie vérifier toutes les réponses possibles pour un ensemble donné d'entrées. Pour les systèmes d'exploitation haut de gamme, tels que Linux, le nombre d'états et de réponses possibles devient très important et le respect des normes de test et de certification est long et coûteux.

En réduisant la taille et la portée d'un système d'exploitation, le processus de certification de la sécurité devient plus facile à gérer et les architectures à domaines mixtes permettront aux systèmes d'exploitation certifiés de sécurité de fonctionner avec des domaines plus complexes basés sur Linux ou sur d'autres fonctionnements multifonctionnels systèmes.

Les applications telles que les afficheurs d'instruments de bord doivent s'intégrer aux systèmes de communication du véhicule, transmettant les données via les réseaux de communication CAN, CAN-FD, FlexRay et Ethernet.

L'intégration d'une pile de communications logicielles de l'architecture ouverte du système automobile (Autosar) fonctionnant en tant que domaine distinct et sécurisé permet de collecter les informations sur la performance du véhicule et de les transmettre au tableau de bord.

La combinaison de différents domaines embarqués, avec des canaux de communication sécurisés entre eux, fournit une plate-forme de sécurité mixte évolutive qui peut répondre aux attentes graphiques riches et performantes des consommateurs, ainsi qu'aux exigences critiques de l'industrie automobile.

Techniques de partage de l'information

Il existe plusieurs mécanismes de partage d'informations entre des calculateurs physiques séparés ou au sein d'une même calculatrice hébergeant plusieurs applications convergeant vers un seul écran.

Les architectures de bus à bande passante élevée dans la prochaine génération de conceptions de véhicules permettent de déplacer rapidement des objets de données graphiques de grande taille entre des noeuds sur le bus du véhicule.

Ces mécanismes comprennent la mémoire partagée, accessible à partir des deux applications, un mécanisme de communication inter-processus (IPC) ou un protocole de message sécurisé tel que DDS (service de distribution de données) ou RPMsg (message d'autorisation restreint).

Une approche de mémoire partagée offre un débit de données élevé et est souvent privilégiée pour les applications graphiques.

Les affichages complexes accrocheurs dans les véhicules deviennent un point de vente différenciateur pour les fabricants, et de nouvelles techniques sont nécessaires pour combiner les graphiques 2D / 3D avec des informations critiques pour la sécurité.

Appliquer une nouvelle approche aux frameworks logiciels embarqués permet de coexister avec des applications critiques et normales.

Les architectures embarquées à criticité mixte avec des solutions IHM performantes sont devenues très populaires auprès des concepteurs automobiles et sont évolutives pour répondre aux besoins des véhicules de prochaine génération - et de plus en plus autonomes -.Mentor a collaboré avec le fournisseur d'IHM Socionext pour créer des écrans d'information consolidés certifiés en sécurité.

Module de sécurité fonctionnelle certifiable ISO26262 de Socionext Candera Safety peut être utilisé pour afficher le contenu critique de sécurité selon le niveau d'intégrité de sécurité automobile (ASIL) A ou B et fournit un rendu de second chemin sûr.

Tous les composants inclus sont développés suivant cette norme et Candera permet de rendre le contenu graphique critique sur une couche de visualisation dédiée à la sécurité fonctionnelle.

L'architecture d'affichage permet à l'application critique de sécurité d'être exécutée dans Virtual Address Space (VAS) dédié au rendu ISO26262 ASIL B.

Tableau 1: Mécanismes de connexion pour les ECU à haut débit

A propos de l'auteur

Andrew Patterson est directeur du développement commercial de la division des logiciels embarqués de Mentor, spécialisée dans les solutions automobiles (Mentor Automotive)