Die E/E-Architektur des Jahres 2019 steht unter dem Einfluss des Autonomen Fahrens. Die bisherige Domänenarchitektur stößt an ihre Grenzen und fordert eine Weiterentwicklung.
E/E-Architektur: der prägende Stempel des Autonomen Fahrens
Neue Fahrzeugarchitektur für komplexere Systeme
Im Jahr 2020 werden 75% der bis dahin zugelassenen Fahrzeuge zu den Connected Cars zählen. Die Entwicklung der Fahrzeugtechnik wird hier nicht stillstehen und sich das Autonome Fahren als nächstes Ziel vornehmen. Damit stehen der E/E-Architektur jedoch Veränderungen ins Haus.
Change #1: Sensoren produzieren sehr hohe Datenvolumen
Ein Connected Car, das vollständig mit Sensoren ausgestattet ist, steigert das produzierte Datenvolumen pro Stunde schnell auf über 20 TB, so Maurice Geraets, Geschäftsführer bei NXP Semiconductors Netherlands B.V. Die Menge an Daten wird benötigt, die Umwelt des Fahrzeugs vollständig zu erfassen, wozu viele bildgebende Sensoren eingesetzt werden. Die Angabe von 20 TB bezieht sich auf unkomprimierte Daten.
Change #2: Verarbeitung der Datenvolumina in Echtzeit
Für die Verarbeitung der Daten reicht die aktuelle Rechenleistung nicht mehr aus. Die Verarbeitung der rasant steigenden Datenvolumen muss in Echtzeit erfolgen, damit in einem autonom fahrenden Auto die Fahrerersatzlogik die Umgebung erkennen und folgerichtig die Aktuatoren in den verschiedenen Domänen steuern kann.
Change #3: Schnelle und sichere Datenübertragung
Die Übertragung der steigenden Datenvolumen lässt die Anforderung an die Bandbreite von 1 Mbit/s auf 1 Gbit/s, 10 Gbit/s und sogar darüber hinaus steigen. Doch die höhere Übertragungsgeschwindigkeit alleine ist noch nicht ausreichend. Die E/E-Architektur muss eine Datenübertragung in der genannten Größenordnung sicher bereitstellen. Die Sicherheit in der Datenübertragung schließt dabei sowohl die fehlerfreie Datenübertragung als auch die Aspekte der Cyber Security ein.
Die aktuelle E/E-Architektur: Basis für die Weiterentwicklung
Während in der Vergangenheit Fahrzeuge größtenteils aus mechanischen Systemen bestanden, brachten die letzten Jahrzehnte bereits einen Wechsel hin zum mechatronischen System. Ein ständiges Mehr an Elektronik und Software in der Steuerung der Systeme führte zu komplexen IT-Systemen im Fahrzeug. Die heutige E/E-Architektur nach dem Domänenprinzip bildet eine Modularisierung und eine funktionale Clusterung der Einheiten ab.
Die Modularisierung baut auf individuellen Electronic Control Units (ECUs) auf, welche voneinander isoliert sind. Die Steuergeräte wurden konsolidiert und innerhalb der Domänen wie beispielsweise Fahrwerk, Antrieb, Infotainment und Karosserieelektronik durch eine Domain Control Unit (DCU) zentralisiert. Die DCU ermöglicht eine einheitliche Steuergerätearchitektur und schirmt zugleich die ECUs der Domäne gegenüber der Außenwelt ab. Dies schließt die Bussysteme der Domäne mit ein, was gleichzeitig zu einer verbesserten Cyber Security führte.
Die Verbindung zwischen den DCUs – oder wenn man so will, zwischen den Domänen – nimmt ein Gateway wahr.
Software defined Car
Der Trend führt hin zur Fusion und Hochintegration der DCUs und zu leistungsstarken Fahrzeugcomputern, welche Domänen des Fahrzeugs steuern. Defacto existiert bereits heute ein hoher Konnektivitätsgrad, der eine Auslagerung der Steuergerätefunktionen in das Backend der Fahrzeughersteller ermöglicht.
Die steigende Menge an Lines of Code in den ECUs und an Softwarekomponenten im Fahrzeug generell führt zu einer Notwendigkeit von häufigen Softwareupdates. Eine bedeutende Neuerung ist auch die Option, erweiterte Funktionen nach der Auslieferung ins Fahrzeug einzubringen. Dies kann Funktionen umfassen, die sogar zum Zeitpunkt der Auslieferung des Fahrzeugs noch gar nicht entwickelt sind. Eine mögliche Anwendung wäre hier eine gesteigerte Motorleistung für ein sportlicheres Fahrerlebnis.
Ein sehr nachvollziehbarer Use Case für eine „an das Fahrzeug auszuliefernde“ Software ist ein Sicherheitspatch, der potentielle oder erkannte Security-Lücken schließt und das Fahrzeug so vor Hackern schützt.
Das Over-The-Air-Update (OTA) bildet hier die Infrastruktur für Aktualisierungen von Software und Funktionen im Fahrzeug. Grundvoraussetzung hierfür ist ein in die E/E-Architektur integrierter leistungsstarker Computer, der auch eine Verteilung an die ECUs in den Domänen ermöglicht und ein leistungsstarkes Backend beim Fahrzeughersteller.
Zur Zeit sind die meisten Fahrzeughersteller noch gar nicht in der Lage, alle Softwarekomponenten in den ECUs und DCUs ihrer Fahrzeuge per OTA zu aktualisieren. Einziger Vorreiter ist Tesla.
Der High-Performance Computer: the missing link
Der abzusehende Leistungsengpass der bestehenden E/E-Architektur erfährt mit dem High-Performance Computer des Automobilzulieferers Continental eine deutliche Weitung. Der High-Performance Computer nimmt den bisherigen Platz des Gateways ein. Er fungiert als Router zwischen den DCUs, die weiterhin stand alone oder auch paarweise zusammenarbeiten können. Der High-Performance Computer steuert auch den Fluss der Daten zwischen den Domänen. Sogar in den veralteten klassischen E/E-Architekturen ist der High-Performance Computer einsetzbar. Hier bildet er simpel die Routerfunktion ab. Die Details zum High-Performance Computer von Continental findet man hier.
High-Performance Computer: Mehr Cyber Security im Fahrzeug
Continental hat in den High-Performance Computer auch Features für ein Mehr an Cyber Security integriert. Hier tragen die Töchter Elektrobit und Argus mit dem Konzept der Ende-zu-Ende Verbindungen bei. Sicherheitsfunktionen von Argus werden ins Gateway integriert. So kann der Fahrzeughersteller in der laufenden Überwachung Cyberangriffe erkennen und von seinem Backend aus reagieren und die Sicherheitslücken schließen.
Risikofreie OTA-Updates
Das Einspielen von Sicherheits-Updates muss sicher geschehen. Der Vorgang der Übertragung muss für Hacker unangreifbar sein. Das Software-Patch muss im Fahrzeug so eingespielt werden, dass der laufende Betrieb nicht gefährdet wird. Auch die Auswahl und das Ausspielen ausschließlich der richtigen Patches ist wichtig.
Zwei Komponenten stellt der Automobilzulieferer Continental für ein risikofreies Over-The-Air-Update bereit. Da ist zum einen der Sicherheitsmaster im Gateway/High-Performance Computer. Der Sicherheitsmaster koordiniert das sichere Ausrollen der Updates zu ECUs, DCUs oder anderen Einheiten der E/E-Architektur. Für die Steuerung und Planung der Over-the-Air-Updates stellt die Conti-Tochter Elektrobit cadian Sync bereit. cadian Sync fügt sich als ein Tool in das Backend der Fahrzeughersteller ein.
Mehr Hintergrundinformationen im Netz
- High-Performance Computer von Continental
Mehr über den High-Performance Computer von Continental findent sich hier in den Details zum Hochleistungsrechner als Netzwerkmanager und Kommunikationsschnittstelle.
- Aktuelle E/E-Architektur
Der Artikel auf elektroniknet.de zeichnet die bislang gültige E/E-Architektur ab.
- Retrospektive
Im Jahr 2016 war die Entwicklung zur heutigen E/E-Architektur bereits erkennbar. Der Artikel auf heise.de sieht den Server schon damals als Hero im Fahrzeug.
Trend Studie belegt steigenden Bedarf an OTA-Updates
Subir Halder, Amrita Ghosal and Mauro Conti veröffentlichten im April diesen Jahres ihre Trend Survey. Die Trend Survey betrachtet insbesondere die Entwicklung der Produktrückrufe der Automobilhersteller. Die Kurve nimmt ab dem Jahr 2014 einen steilen Anstieg nach oben.
Parallel betrachten die drei Forscher die Entwicklung der Gründe für Produktrückrufe. Auch diese Zahl steigt seit dem Jahr 2014 sprunghaft an. Setzt man den Kurvenverlauf mit der Zahl der verkauften Fahrzeuge mit komplexer E/E-Architektur in Relation, kann man den Eindruck gewinnen, dass die Automobilhersteller das Zusammenspiel aller Komponenten in der E/E-Architektur nicht hinreichend einem Integrationstest unterzogen haben. Offensichtlich haben die Fahrzeuge der neuen Generation einen Komplexitätsgrad erreicht, der nicht mehr so einfach zu händeln ist, wie dies in der Fahrzeugarchitektur der letzten Generation der Fall war.
Doch gerade die neue E/E-Architektur ist Fluch und Segen zugleich. Sorgt sie einerseits für ein komplexeres System im Fahrzeug, stellt sie gerade mit den immer stärker vereinheitlichten Komponenten in der E/E-Architektur in Verbindung mit dem Over-the-Air-Update auch die Grundlage für eine einfachere Behebung der auftretenden Probleme bereit. Lässt sich eine Fehlfunktion auf ein Software- oder Konfigurations-Problem zurückführen, kann ein OTA-Update das Problem lösen, ohne das Fahrzeug in eine Werkstatt rufen zu müssen. Dies hält die Kosten für die Lösung niedrig, während die Zahl der Vorfälle stark angestiegen ist.
Die Herausforderung der Automobilhersteller wird es in der Zukunft sein, die OTA-Updates sorgfältig zu planen und mit ihnen die Problemlösungen in die Flotten zu geben, bevor die Probleme bei einer großen Zahl von Fahrzeugen auftreten. Dies gilt für Fehlfunktionen ebenso wie für erkannte Eindringversuche von Hackern.
Voraussetzung hierfür ist allerdings, dass die Fahrzeughersteller alle ihre ECUs und DCUs auf ein flächendeckendes OTA-Update vorbereiten. Aktuell kann nur Tesla seine sämtlichen Car Features per OTA-Update ansprechen. Einzelne Hersteller bereiten sich allerdings mittlerweile sogar auf OTA-Updates für Firmware (FOTA) vor.
E/E-Architektur-Ausblick: Kommunikation wird im Vordergrund stehen
In den vergangenen Jahren bedienten die Fahrzeughersteller mit der „Connectivity“ ihrer Fahrzeuge vor allem die Einbindung der Fahrzeuge in das eigene Servicenetz – oder den Spieltrieb der Fahrer. Mit dem Ziel, die Zahl der Verkehrstoten weiter zu senken, wird das Fahrzeug von morgen noch mehr mit seiner Umgebung kommunizieren. Dies betrifft den Bereich V2V – die Kommunikation mit anderen Fahrzeugen, um im Fahrbetrieb das Unfallrisiko zu minimieren. Es reicht jedoch auch in den Bereich V2I bzw. V2X hinein, bei dem das Fahrzeug mit der umgebenden Infrastruktur kommuniziert und wichtige Informationen austauscht.
Damit gewinnt die neue Konnektivitätsdomäne an Bedeutung, welche die Kommunikation des Fahrzeugs mit seiner Umwelt steuert. Neben den dem Infotainment zuzuordnenden Schnittstellen wie Radio, Mobilfunk, WiFi, Bluetooth Low Energy (BLE) und GPS nimmt die Antennendomäne auch weitere Schnittstellen auf, wenn diese für bestimmte Kommunikationsvorgänge benötigt werden.
Eine Schnittstelle, die an Bedeutung gewinnt, ist DSRC (Dedicated Short Range Communication). Zwar gibt es drei DSRC-Varianten, doch dienen sie dem gleichen Zweck. Die europäische Version der DSRC gehorcht dabei den Normen von CEN und ETSI. Die amerikanische Version von DSRC nutzt den Protokollstapel WAVE als Grundlage. Zusätzlich gibt es noch die japanische Version des DSRC.
Die europäische DSRC ist eine semi-passive Transpondertechnik, welche nur eine sehr kleine Kommunikationszone ermöglicht. Durch ihren Einsatz bei der Mauterhebung hat sich diese europäische Variante jedoch auch außerhalb Europas sofort zur De-facto-Norm entwickelt.
Die amerikanische DSRC-Variante setzt mit WAVE ein Fahrzeug-Ad-hoc-Netz (VANET, Vehicular Adhoc NETworking) um. Die Kommunikation spielt sich dabei zwischen Fahrzeugen (V2V) und zwischen Fahrzeug und Baken bzw. Sendestationen am Straßenrand (V2X/V2I) um.
DSRC wird zur Kollisionsverhütung, zur Übermittlung von Verkehrsflussinformationen und Navigationsdaten und zur Mauterfassung eingesetzt und begründet sich auf der eindeutigen Indentifikation der an der Kommunikation teilnehmenden Fahrzeuge.
Bildnachweis: © Foto: shutterstock – Titelbild ParabolStudio, #2 Andrey Suslov, #4 Continental AG