High-Performance-Computing-Plattformen im Auto - OTA beherrschen: Die Domänen Automotive und IT konvergieren - Vector
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Tools OTA
High-Performance-Computing-
Plattformen im Auto
OTA beherrschen: Die Domänen Automotive und IT konvergieren
Over-the-Air-Anwendungsfälle wie Software-Update, Live-Diagnose und Datensammeln verspre-
chen enorme Einsparpotenziale für Automobilhersteller und bieten neue Möglichkeiten zur Kun-
denbindung. Der Aufwand ist jedoch erheblich: eine gute Integration in die bestehende Prozess-
welt ist mitentscheidend für die Bewältigung der Aufgabe. Autoren: Udo Schifferdecker, Christoph Rätz
M
it dem Einzug von High Per- ist die Autosar-Classic-Plattform (Bild 1). Techniken und Werkzeuge Verwendung
formance Computing Plattfor- In zukünftigen Fahrzeuggenerationen finden, welche aus der klassischen IT-Welt
men (HPCs) ins Fahrzeug sind komplexere Funktionen zentral auf stammen. Die Verwendung objektorien-
wandeln sich auch die eingesetzten E/E- HPCs (Mikroprozessoren) implementiert. tierter Hochsprachen wie C++ wird mög-
Architekturen. Aktuell sind mehrere Diese Funktionscluster kommunizieren lich und ein neues Programmierparadig-
Domänen-Controller über ein zentrales über eine entsprechende Middleware mit- ma erlaubt eine dynamische Speicherver-
Gateway miteinander verbunden (Bild 1a). einander. Für die Sensorik und Aktorik waltung. Ein Beispiel für eine solche Archi-
Die Funktionen werden bereits zum Pro- kommen weiterhin klassische Steuerge- tektur ist die Autosar-Adaptive-Plattform.
duktionszeitpunkt konkreten Steuergerä- räte zum Einsatz (Bild 1b). Ziel ist eine
ten (Mikrocontrollern) zugeordnet. Dort serviceorientierte Architektur, die eine Software-Update
eingesetzte Software ist überwiegend in bessere Wartbarkeit und Erweiterbarkeit In der Telekommunikation sind Software-
embedded-C-Code geschrieben, der auf des Gesamtsystems – insbesondere auch Updates „Over the Air“ seit vielen Jahren
minimalen Ressourcenverbrauch hin opti- nach Start of Production (SOP) – ermög- üblich. Ein Smartphone erhält derzeit fast
miert ist. Das Programmierparadigma licht. Auf diesen HPCs kommen vielfach täglich ein Update für eine oder mehrere
erlaubt keine dynamische Speicherver- Posix-kompatible Betriebssysteme zum Applikationen. Im Automotive-Bereich
waltung. Ein Vertreter dieser Architektur Einsatz. Für diese Plattformen können sind diese Mechanismen noch nicht durch-
www.all-electronics.de
44 AUTOMOBIL ELEKTRONIK 01-02/2020
Tools OTA
gängig verbreitet. In der Regel wird die
Steuergerätesoftware immer noch in der
Werkstatt aktualisiert. Ein Grund hierfür
ist auch die höhere Komplexität eines Steu-
ergeräte-Updates in einem Fahrzeugnetz-
werk, verglichen mit dem Update einer App
auf dem Smartphone: Aktuelle Fahrzeuge
können über 100 Steuergeräte enthalten,
welche auf unterschiedlichen Plattformen
basieren und über verschiedene Update-
mechanismen verfügen. Sie kommunizie-
ren in einem heterogenen Netzwerk über
mehrere Bussysteme in einer vielschichti- Bild 1: Aktuell sind mehrere Domä-
gen Topologie miteinander. nen-Controller über ein zentrales
Außerdem muss sich das Fahrzeug für Gateway verbunden (a), während
zukünftig komplexe Funktionen
ein Software-Update in einem sicheren zentral auf HPCs implementiert
Zustand beziehungsweise einer gesicher- sind (b).
ten Umgebung befinden, da während des
Bild 2: Live-Diagnose-Abläufe kom-
Updates sicherheitsrelevante Funktionen
men der Komplexität klassischer
unter Umständen nicht verfügbar sind. Applikationssoftware immer nä-
Beispielsweise muss das Fahrzeug während her. Entwickler benötigen entspre-
chende Werkzeuge, die Effizienz
des Updates stillstehen und der Motor darf
und Qualität steigern. Ein Beispiel
nicht laufen. Diese Vorbedingungen sind dafür ist die Vector-Diagnostic-
in einer Werkstatt sehr einfach herstell- Scripting-Bibliothek (VDS).
und überprüfbar, indem zum Beispiel ein
externer Werkstatttester an das Fahrzeug
angeschlossen wird. Im OTA-Szenario
sind solche Vorbedingungen automatisiert
und unbeaufsichtigt zu prüfen und sicher- im Betrieb auf die inaktive Partition her- Zunächst wird die Kommunikation zum
zustellen. Dies erfordert Applikationen, u nterladen. Du rch a nsch l ießendes Zielsteuergerät über CAN oder DoIP auf-
welche im Fahrzeug die Rolle des Werk- Umschalten der Partitionen ist die neue gebaut. Anschließend wird das Steuerge-
statt-Testers und des Service-Technikers Software ohne nennenswerte Downtime rät entriegelt, beziehungsweise der Tester
übernehmen können. Der eigentliche aktivierbar. Über diesen Mechanismus ist führt eine Authentifizierung durch. Im
Flashablauf unterscheidet sich dabei aber auch ein verlässliches Rollback auf die Anschluss daran erfolgt die Ausführung
prinzipiell nicht von dem im Offboard- Vorversion unkompliziert möglich. Ein von Diagnosesequenzen. In diesen Skrip-
Szenario mit dem Werkstatt-Tester durch- zuverlässiges Rollback ist zwingend not- ten werden beispielsweise zunächst Wer-
geführten Ablauf. Für das Software- wendig, um ein Fahrzeug nach einem te aus dem Steuergerät ausgelesen und in
Update über OTA wird in neueren Steu- fehlgeschlagenen Update betriebsfähig Abhängigkeit der ermittelten Daten dann
ergeräten ein Softwaredownload im halten zu können. unterschiedliche Zweige durchlaufen.
Applikationskontext unterstützt. Diese Welche Sprache zur Implementierung
Steuergeräte halten hierzu intern den dop- Wiederverwendung von Flash- dieser Abläufe verwendet wird, ist hierbei
pelten Speicher vor. Während auf der akti- Containern zweitrangig. Relevant sind die flash- und
ven Partition die Applikation ausgeführt Der Flashablauf für ein Steuergerät ist diagnosespezifischen Bibliotheksfunkti-
wird, lässt sich die neue Softwareversion durch den Bootloader fest vorgegeben. onen, die der Anwendung zur Verfügung
stehen. Die Software-Update-Applikation
der Automotive-OTA-Lösung vConnect
Eck-DATEN von Vector verwendet Flash-Container,
welche mit dem Werkzeug vFlash erstellt
Der Einzug von HPCs im Fahrzeug mit den darauf verfügbaren Posix-Systemen erlaubt den Ein-
wurden. Die Wiederverwendung dieser
satz von Werkzeugen und die Übernahme von Programmiersprachen und -paradigmen aus der
klassischen IT. Auf dieser Basis lassen sich OTA-Applikationen effizienter und mit höherer Qualität Flash-Container im OTA-Kontext ist
implementieren. Durch die Entwicklung portabler Softwarekomponenten, die sowohl im Fahr- möglich, da diese neben den Flash-
zeug als auch in den Offboard-Werkzeugen einsetzbar sind, wird eine maximale Zuverlässigkeit Sequenzen auch alle Daten, Kommuni-
erreicht. Zusammen mit der Verwendung identischer Eingangs- und Ausgangsdaten, eines ge-
kationsparameter und Adressinformati-
meinsamen Datenerstellungsprozesses und der Weiterverarbeitung der Daten in bereits einge-
führten Werkzeugen, lässt sich eine Gesamtlösung darstellen, welche sowohl Offboard- als auch onen enthalten, die für eine Re-Program-
Onboard-Anforderungen optimal abdeckt. mierung erforderlich sind. Insbesondere
basieren die Flash-Skripte auf einer Dia-
www.all-electronics.de
AUTOMOBIL ELEKTRONIK 01-02/2020 45
Tools OTA
Bilder: Vector Informatik
Bild 3: Für Signale, welche auf dem CAN- hinter einem DoIP-CAN-Gateway an- Bild 4: Eine Ende-zu-Ende-Absicherung der Kommunikation bei OTA ist un-
liegen, existiert seit Autosar 4.4 eine Bus-Mirror-Komponente. erlässlich. Hier ist es sinnvoll, die Kommunikations- und Sicherheitskom-
ponenten für alle OTA-Applikationen gemeinsam in einem Framework be-
reitzustellen.
gnose- beziehungsweise Flash-Bibliothek, on mit unterschiedlichen Language-Bin- Kosten zu sparen. Technisch lässt sich hier
welche beiden Anwendungen gemeinsam dings verfügbar. Mittels einer Extension eine optimale Kodierung der Inhalte
ist. Die Flash-Container lassen sich so mit für die professionelle integrierte Entwick- anstreben und die Daten im Fahrzeug vor-
Standardwerkzeugen lokal entwickeln lungsumgebung (IDE) Microsoft Visual verarbeiten sowie aggregieren. Diese Vor-
und validieren. Studio lassen sich Flash- und Diagnose- verarbeitung erzeugt aber immer zusätz-
abläufe komfortabel auf dem PC in der liche Last auf den Steuergeräten, welche
Live-Diagnose Sprache C# entwickeln und testen. Die im Extremfall den laufenden Betrieb ein-
Um über die Diagnose Daten auslesen oder Extension unterstützt den Entwickler schränken kann. Dies gilt es unter allen
Routinen ausführen zu können, ist es oft durch Features, wie Intellisense auf Qua- Umständen zu vermeiden. Datensammel-
notwendig, mehrere Diagnoseservices in l i f ier-E bene, Sy nta x-H ig h l ig ht i ng , aufträge müssen daher strikt daraufhin
bestimmten Sequenzen auszuführen. Bei- Debugging und einem Test-Framework. ausgelegt sein, möglichst wenige, dafür
spiele sind das Auslesen des Fehlerspei- Dadurch ist es möglich, die erstellten aber die „richtigen“ Daten zu erfassen.
chers oder die Ausführung von Tests über Abläufe bereits zum Entwicklungszeit- Dies ist nur mit dem entsprechenden
die Diagnose. Für die Beschreibung dieser punkt gegen die zugrundeliegenden Domänenwissen möglich und erfordert in
Sequenzen kommt in der Live-Diagnose- Datenbasen zu validieren. Für den Einsatz der Regel ein Nachschärfen der Abfrage
Applikation von vConnect dieselbe Dia- im Fahrzeug werden diese Abläufe auto- nach Auswertung der ersten Ergebnisse.
gnose-Bibliothek zum Einsatz, welche matisch in die Skriptsprache LUA kon- Dazu ist es notwendig, Datensammelan-
auch im Diagnosewerkzeug Indigo und fragen dynamisch erstellen und modifi-
im Software-Update-Fall Anwendung fin- zieren zu können. Das Know-how, welches
det. Diese Bibliothek wird durchgängig für
die Anwendungsfälle Diagnose und Fla-
Eine Ende-zu- in eine Datensammelanfrage einfließt, ist
wertvoll. Diese Konfigurationen sind
shen sowohl Offboard als auch Onboard Ende-Absiche- daher auch einem Versionsmanagement
eingesetzt.
Die Komplexität dieser Abläufe kommt
rung bei OTA ist zu unterwerfen. Dies gilt gleichermaßen
für Logger-Konfigurationen, die mit klas-
der von klassischer Applikationssoftware unerlässlich. sischen Werkzeugen erstellt und validiert
immer näher. Es liegt also nahe, dem Ent- wurden.
wickler solcher Abläufe die entsprechen- Die auf den Fahrzeugbussen übertrage-
den Werkzeuge zur Verfügung zu stellen. vertiert. Warum LUA? Der LUA-Interpre- nen Signale liefern bereits einen tiefen
Hierzu zählt insbesondere eine professi- ter ist aufgrund seines geringen Ressour- Einblick in das Fahrzeugverhalten. Diese
onelle IDE und ein Test-Framework. Dies cenbedarfs, der Integrierbarkeit in C++- Signale sind außerdem mit minimalen
steigert die Effizienz und erhöht die Qua- Applikationen und den Möglichkeiten zur Seiteneffekten erfassbar. Annahme ist
lität der erstellten Abläufe. Für die Ablau- Abkapselung von Skripten sehr gut für hierbei, dass das HPC-System, auf dem
fumgebung im Fahrzeug sind auf der den Einsatz im Fahrzeug geeignet. die Applikation zum Sammeln der Daten
anderen Seite Aspekte wie Ressourcenef- läuft, über Ethernet angebunden ist. Es
fizienz und Sicherheit entscheidend Datensammeln gibt allgemein verfügbare Bibliotheken,
(Bild 2). Beim Sammeln von Daten über eine mit denen sich Ethernet-Kommunikation
Beispiel für einen solchen Ansatz ist die gesamte Fahrzeugflotte ist eine effiziente komfortabel mitschneiden lässt. Dies
Vector-Diagnostic-Scripting-Bibliothek Übermittlung der Daten an das Backend erzeugt auf dem Bus praktisch keine
(VDS). Diese ist in einer portablen Versi- eminent wichtig, um Bandbreite und somit zusätzliche Last. Für Signale, welche auf
www.all-electronics.de
46 AUTOMOBIL ELEKTRONIK 01-02/2020
Tools OTA
dem CAN- hinter einem DoIP-CAN- der Kommunikation ist unerlässlich. Hier len des Frameworks sind öffentlich. Es lässt
Gateway anliegen, existiert seit Autosar ist es sinnvoll, die notwendigen Kommu- sich daher auch zur Umsetzung neuer kun-
4.4 eine standardisierte Bus-Mirror-Kom- nikations- und Sicherheitskomponenten denspezifischer OTA-Anwendungen ein-
ponente. Diese verfügt über eine API für alle OTA-Applikationen gemeinsam in setzen (Bild 4). Das Framework ermöglicht
(Application Programming Interface), mit einem Framework bereitzustellen. Die aufgrund der Container-basierten Backend-
der zur Laufzeit eine Instrumentierung Automotive-OTA-Lösung vConnect bietet Architektur vielfältige unterschiedliche
möglich ist. Damit lassen sich ausgewähl- in ihrem Framework eine solche Security- Optionen für ein Deployment. Auf Fahr-
te CAN-Frames in DoIP-Pakete verpacken und Kommunikations-API an. Über diese zeugseite sorgen mehrere Abstraktions-
und die enthaltenen Signale über Ethernet API stehen komplexe Kommunikations- schichten unter anderem für Kommuni-
verfügbar machen (Bild 3). Muster, wie der Aufbau einer verschlüssel- kation, Datenablage und Mensch-Maschi-
Die Daten können dann zentral in der ten Sitzung oder Request/Response-Kom- ne-Schnittstelle für eine einfache Adap-
Datensammel-Applikation auf dem HPC munikation komfortabel anwendbar zur tierung auf verschiedene Posix-Derivate
vor der Übermittlung an das Backend Verfügung. und Hardwareumgebungen. (na) ■
gefiltert und aggregiert, oder über Trigger Verschiedene Sicherheitsmechanismen
in Beziehung gesetzt werden. Im Backend sind in dieser API ebenfalls bereits integ-
wird aus den empfangenen Datenreihen riert. Beispielsweise ein Replay-Schutz, Autoren
beispielsweise das standardisierte Daten- welcher es erlaubt, aufgezeichnete und Udo Schifferdecker
format MDF erzeugt. Dieses Format wird nochmals verschickte Nachrichten auf Projektleiter für das Projekthaus OTA
von vielen im Markt erhältlichen Mess- Empfängerseite zu erkennen und zu ver- bei Vector
und Analysewerkzeugen unterstützt. werfen. Sowohl auf Backend- als auch auf Christoph Rätz
Abteilungsleiter Diagnose und
Fahrzeugseite stellt das Framework Stan- SW-Update bei Vector
Framework dardmechanismen, wie die sichere Ablage
Sicherheit und Datenschutz sind eine fun- von Zertifikaten und Schlüsseln oder die
damentale Anforderung an eine OTA- Validierung von Signaturen, zur Verfügung.
Lösung. Eine Ende-zu-Ende-Absicherung Die Anwendungsprogrammierschnittstel- infoDIREKT 803ael0220
Sie können auch lesen
