Bereits heute muss die elektronische und elektrische Infrastruktur eines modernen Fahrzeugs hohe Anforderungen an die funktionale Sicherheit – also den Schutz der Fahrzeuginsassen bei Unfällen – und an die Cybersicherheit erfüllen. Mit der Entwicklung von autonomen Fahrzeugen auf Level 4 und 5 werden diese noch einmal erheblich steigen. Dies schafft neue Herausforderungen auf unterschiedlichen Ebenen.

Ein vielversprechender Ansatz besteht darin, die Architektur der vernetzten Systeme im Fahrzeug neu zu gestalten. Nicht zuletzt aus Gewichtsgründen muss es gelingen, den Wildwuchs der heute bereits mehr als 100 separaten Steuergeräte einzudämmen und so eine weniger komplexe und damit preiswertere und leichtere E/E-Architektur (elektrisch/elektronisch) zu erhalten.

Das Erfolgsrezept auf dem Weg dorthin besteht aus standardisierten, modularen Komponenten sowie definierten Schnittstellen zwischen Hard- und Software. An einer solchen leistungsstarken, zukunftsorientierten Fahrzeugarchitektur arbeitet Aptiv zur Zeit unter dem Namen Smart Vehicle Architecture (SVA). Sie soll im Fahrzeug der Zukunft aus wenigen zentralen Multi-Domain-Rechnern und dezentralen Zonensteuergeräten bestehen.

In modernen Fahrzeugarchitekturen übernehmen diese Multi-Domain-Rechner unterschiedliche Aufgaben. Sie sammeln alle im Fahrzeug anfallende Sensordaten und dienen als Gateway für die externe Kommunikation, also mit der Cloud, der Infrastruktur und anderen Fahrzeugen. Zugleich können sie die automatisierten Fahrmanöver berechnen sowie das Antriebs-Management und das gesamte Infotainment übernehmen.

Dank ihrer Leistungsfähigkeit dienen diese Computing-Plattformen gegenseitig als Kontrollelemente und Rückfallebenen bei der funktionalen Sicherheit. Fällt eines der Geräte aus, dann übernimmt ein anderes dessen Funktionen. Dies ermöglicht beispielsweise Fahrzeugen, die künftig mit Level 4 oder Level 5 autonom fahren, im Fall eines Fehlers die sichere Weiterfahrt zu einer Werkstatt oder zum nächsten Parkplatz.

Die Computing-Plattformen im Auto von morgen werden ähnliche Betriebssysteme und Mechanismen (SOME/IP) übernehmen müssen, die es im IT-Bereich bereits heute gibt. Bild: Aptiv

Dabei kann dann gegebenenfalls in einer Notlaufsituation sogar das Entertainment-System auf die Berechnung der Fahrmanöver umschalten. Dies ermöglicht in der Smart-Vehicle-Architektur somit eine relative kostengünstige Implementierung einer Redundanzebene.

Vom Rechen- und Softwareumfang ähneln diese Systeme einem typischen PC. Allerdings sind die Anforderungen an die Funktion in einem Fahrzeug unter extremen Umgebungstemperaturen deutlich höher. So müssen Computing-Plattformen im Fahrzeug Temperaturen im Bereich von minus 40 bis plus 120 °C standhalten. Das Problem: Viele High-End-Prozessoren funktionieren zuverlässig nur bis maximal 100 °C Betriebstemperatur. Entsprechend wichtig ist eine effiziente Kühlung. Mit Blick auf den Energieverbrauch und die Geräuschentwicklung – gerade im leisen Elektrofahrzeug der Zukunft – kommt dafür im Prinzip nur die Wasserkühlung in Frage.

Aber auch hinsichtlich des allgemeinen Energieverbrauchs der Elektronik stellen sich neue Herausforderungen. Da es sich bei vielen High-End-Prozessoren um Varianten aus dem PC- und Server-Bereich handelt, steht bei diesen die Leistung und weniger die Energieeffizienz im Vordergrund. Dies schafft große Probleme. Denn ob Reichweite beim Elektroantrieb oder CO2-Ausstoß beim konventionellen Gefährt: In beiden Fällen soll die Bordelektronik nicht zu einem übermäßigen Verbrauch beitragen. Immerhin führen schon 100 Watt Mehrverbrauch an elektrischer Leistung zu einer Verbrauchserhöhung von 0,1 Liter pro 100 gefahrener Kilometer. Schätzungen gehen jedoch davon aus, dass Level-4-Systeme (Computing-Plattformen, Sensoren, Aktuatoren) sogar ein Kilowatt elektrische Leistung benötigen werden. Dies zeigt, wie wichtig der Einsatz neuer, energieeffizienterer Verfahren ist.

Ein weiterer wichtiger Faktor sind die strengen Anforderungen rund um die Sicherheit. Gemäß den Regularien des Automotive Safety Integrity Levels (ASIL) nach der ISO 26262 werden auftretende Fehler nach der Wahrscheinlichkeit des Gefahrenpotenzials, der Kontrollierbarkeit und der Unfallschwere bewertet. Dabei ist Level D die höchste Sicherheitsstufe. Aus den in dieser Norm festgelegten Standards lassen sich Anforderungen an IT-Systeme ableiten, die von den Lösungen der großen Chipanbieter derzeit nicht erfüllt werden. Zwar ist es möglich, aus den heute ASIL-B-konformen Chips mit Hilfe der Dekomposition ASIL-D-Systeme zu definieren. Dies ist allerdings mit einigen Schwierigkeiten verbunden: Die Entwicklung ist aufwendig und damit teuer. Außerdem haben solche Lösungen einen großen Energie- und Platzbedarf. Was in einer klassischen IT-Umgebung kein allzu großes Problem darstellt, ist in diesem Einsatzfeld alles andere als optimal.

Gleiches gilt für die Lebensdauer: Komponenten einer Server-IT-Landschaft werden nach wenigen Jahren überholt. Da sie in einer Server-Umgebung meist mehrfach redundant betrieben werden, ist auch ein Austausch vor dem Ende einer geplanten Laufzeit kein großes Problem. In einem klassischen Fahrzeug, das für mindestens zehn Jahre ausgelegt ist, gelten jedoch andere Ansprüche an Zuverlässigkeit und Qualität. Zudem muss die Ersatzteilversorgung noch weit über diesen Zeitraum garantiert sein.

Schutz vor Angriffen von außen

Mit der Entwicklung des automatisierten Fahrens und damit immer mehr vernetzten Systemen steigt die Gefahr, dass Hacker sich von außen Zugriff auf das Gefährt verschaffen. Doch während Intrusion-Detection-Systeme in der IT-Welt seit Langem weit verbreitet sind und kontinuierlich besser werden, fehlt es in diesem Bereich im Automobilsektor noch an einheitlichen Standards.

Komponenten für das automatisierte Fahren. Bild: Aptiv

Gefahr droht jedoch auch von innen: Angesichts des sich entwickelnden Markts für digitale Angebote und Dienste rund um die neue Mobilität werden wohl auch illegale Feature-Updates einige Fahrer zur Installation verlocken – ganz so, wie es heute schon in der sogenannten „Chip-Tuning-Szene“ verbreitet ist. Möglicherweise gefährden diese die Sicherheit des Fahrzeugs.

Lernen von der klassischen IT

Die Computing-Plattformen im Auto von morgen werden ähnliche Betriebssysteme und Mechanismen (SOME/IP) übernehmen müssen, die es im IT-Bereich bereits heute gibt. Vor allem Linux bietet ein großes Potenzial. Allerdings fehlt in diesem Bereich noch ein System von Sicherheitszertifizierungen, wie es in der Automobilbranche zwingend nötig sein wird. Mit dem Projekt SIL2LinuxMP gibt es jedoch ein vielversprechendes Projekt, das die Open-Source-Philosophie auch in diesem Umfeld voranbringen soll.

Eine offene und standardisierte Softwarearchitektur für elektronische Steuergeräte ist auch das Ziel der Entwicklungspartnerschaft Autosar, in der sich namhafte Automobilhersteller, Zulieferer und Unternehmen der Elektronik, Halbleiter und Softwareindustrie zusammengeschlossen haben. Eine interessante Entwicklung dieser Gruppe ist Autosar Adaptiv. Die Plattform basiert auf dem „Standard Portable Operating System Interface“ (POSIX) und bietet eine High-Performance-Umgebung für Autosar-Applikationen. Das Schlüsselfeature der Autosar-Adaptive-Plattform ist der Einsatz einer Service-orientierten Architektur (SOA), was die Installation von Anwendungen während der Laufzeit unterstützt. SOA ist damit ein weiterer Bereich, den künftige Computing-Plattformen von der konventionellen IT übernommen haben.

Vernetzung mit HD-Base-T

Dies gilt auch für die Vernetzung. Dort hat sich mittlerweile Ethernet als Standard etabliert. Es gibt jedoch auch Alternativtechnik, die ständig beleuchtet wird, um das leistungsfähigste System für die Zukunft zu finden. HD-Base-T könnte eine solche Alternative mit Übertragungsraten von 10 GBit/s sein. Systeme mit Raten von 20 bis 40 GBit/s sind bereits in der Entwicklung. Dies gilt als großer Sprung nach vorn, der jedoch angesichts von ständig steigender Auflösung und Datenrate der verbundenen Sensoren nur eine Episode auf dem Weg zu noch wesentlich schnelleren Standards ist.

Eine weitere Technik, die den Sprung in das Auto wohl erfolgreich schaffen wird, ist DDS-Middleware (Data-Distribution-Service), die heute in zeitkritischen Systemen außerhalb der Automobilindustrie zum Einsatz kommt. Sie basiert auf einer datenzentrischen Architektur – im Gegensatz zum klassischen signalbasierenden System. Schließlich muss die Kommunikation der Sensordaten und der Austausch über Car2Car- und Car2Cloud-Verbindungen zuverlässig und schnell in einem hochverteilten System erfolgen.

Auch mit Blick auf die Distribution von Software stehen große Veränderungen an. So werden sogenannte Software-over-the-Air-Anwendungen (SOTA) künftig eine sehr wichtige Rolle einnehmen. Mit zunehmendem Softwareumfang und einer immer höheren Komplexität sind Software-Updates in regelmäßigen Abständen erforderlich. In Zukunft werden sie jedoch nicht mehr über die Werkstätten, sondern per Cloud-Anbindung „over the Air“ eingespielt.

Dabei kommt es darauf an, die Downtime für das Fahrzeug möglichst gering zu halten und jeweils nur einzelne Komponenten des Codes auszutauschen. Schließlich wollen die Besitzer nicht auf ein Fahrzeug warten, das gerade ein Update durchführt. Zugleich wird es Situationen geben, in denen eine neue Version aus Sicherheitsgründen ohne Aufschub installiert werden muss.

Dr. Rainer Denkelmann ist Global Advanced Chief Engineer Vehicle Systems & Architecture bei Aptiv. Dipl.-Ing. Christian Schäfer ist im selben Unternehmen Director Electrical and Electronic Systems, www.aptiv.com.