E/E-Entwicklung für Entscheider · tion fotografierten) Bilder 2 und 3 entstanden bei jeweils...

11-12 / 2016 B 61060 · Dezember 2016 · Einzelpreis 19,50 € · www.automobil-elektronik.de

Connectivity mitSafety und SecurityInterview mit Jeremy Flannund Jörg Zimmer, Green Hills Software 14

E/E-Entwicklung für Entscheider

ETHERNETGanzheitliche Konzepte: Chance und Herausforde-rung für die Security 18

CAR-TO-X/OTARemote-Analysen bei der Fahrzeugentwicklung und Produktp� ege 36

LICHTActive-Matrix-LED-Licht (Pixellicht) und die „digitale LED“ für Ambiente-Licht 32

01_Titelseite.indd 2 22.11.2016 15:18:00

02_U2.indd 2 18.11.2016 13:40:16

In diesem Jahr ist viel passiert; allein schon die Konsequenzen der Wahlen des Jahres 2016 werden die Welt

durchaus auch in wirtschaftlicher Hin-sicht verändern – von den Plänen Chinas in punkto Elektromobilitäts-Rahmenbe-dingungen ganz zu schweigen. Aber es soll hier nicht um Politik gehen, sondern um einen Rück- und Ausblick auf die Elektronik im Automobil. Da hat sich zum Beispiel mit Ralf Milke von Volkswagen erstmals ein Vertreter eines OEMs auf die Bühne gestellt, um die Bedeutung der Cyber-Security für die Branche hervorzu-heben; das war im Juni in Ludwigsburg auf dem 20. Fachkongress „Fortschritte in der Automobil-Elektronik“ (siehe info-DIREKT 306ael1016).

Wir berichten bereits seit vielen Jahren intensiv über die Notwendigkeit von Datensicherheit sowie über Methoden und Produkte zur Absicherung, aber in dieser Ausgabe zeigt sich, wie sehr das Thema Security alle Bereiche der Entwicklung erfasst hat. Quasi als Einstimmung auf das Thema untermauert Klaus Meder von Bosch im ZVEI-Standpunkt auf Seite 6 sehr deutlich, wie sich in unserer Branche die „Blechbieger“ (Originalzitat eines E/E-Leiters!) zu Elektronik- und vor allem Soft-ware-Unternehmen verändert haben. Auf Seite 12 kommt Security erneut zur Spra-

che, und im Cover-Interview auf Seite 14 ist es gar das Hauptthema.

Ob bei der Nutzung von Ethernet im Fahr-zeug (Seite 18), beim Betriebssystem (Sei-te 22) oder bei der Fahrerassistenz (Seite 26): Immer steht derzeit die Datensicher-heit im Vordergrund. Da ist es nicht ver-wunderlich, dass Intel zusammen mit Uber und anderen Unternehmen das ASRB für Security in autonomen Fahrzeu-gen gegründet hat (Seite 30).

Wir werden das Jahr 2017 ab dem 5.1. mit Berichten von der CES in Las Vegas begin-nen – mit Sicherheit! Auf www.all-elect-ronics.de finden Sie dann gleich erste Live-Berichte aus den USA. Übrigens: in Lud-wigsburg wird im Juni 2017 auch die Secu-rity wieder mit auf dem Programm stehen, aber die Besucher werden dort auch diver-se andere Vorträge von Top-Referenten hören und intensiv netzwerken.

Das gesamte Redaktionsteam wünscht Ihnen und Ihren Familien frohe Weih-nachten sowie einen guten Rutsch in ein sicheres und gutes Jahr 2017.

Editorial

editorial

Was für ein Jahr!

Active-Matrix-LED-Scheinwerfer

(Pixellicht) und die „digitale LED“Mehr Sicherheit und Komfort

32

von Chefredakteur Alfred Vollmer

[email protected]

Deterministic Ethernet – Die Echtzeit-Evolution von Ethernet

• Evaluationsplattform für unterschiedliche Kommunikationsstandards, inkl. AVB, TSN und Time-Triggered Ethernet

• Prototyp-Unit für die Evaluation der Zusammenführung von Steuerungs-Traffic über Ethernet für Sicherheitsanwendungen sowie Backbone-Architekturen im Fahrzeug

• Leistungsstarke Switch-Management CPU auf AUTOSAR-Basis

• Schnittstellen für BroadR-Reach®, CAN, FlexRay, digitale und analoge I/Os

DESwitch Hermes

analoge I/Os

[email protected]

www.tttech.com/ Hermes-Switch

03_Editorial.indd 3 22.11.2016 14:47:29

Dezember 2016

4 Automobil ElEktronik 11-12/2016 www.automobil-elektronik.de

Märkte + technologien

06 ZVEI-StandpunktQuo vadis, Automotive?

08 Top 5

09 News und Meldungen

12 „Security aus der Schmuddelecke holen“Warum es wichtig ist, offen über Datensicherheit im Fahrzeug zu reden

coverstory

14 Connectivity mit Safety und SecurityExklusiv-Interview mit Jeremy Flann und Jörg Zimmer von Green Hills Software

ethernet

18 Automotive-Ethernet: Chance und Herausforderung für die SecurityGanzheitliche Konzepte sind gefragt

21 HighlightAtmes

BetrieBssysteMe

22 Eine für alle Einheitliche Hardware-Plattformen für alle Autofunktionen

Fahrerassistenz

26 Effiziente ImplementierungSOTA – Sichere Software-Updates Over the Air

30 Security für autonome FahrzeugeDe-facto-Sicherheitsstandard

31 Hardware-VirtualisierungSicherheit durch Isolation im Automotive-Markt

32 Matrix-ReloadedActive-Matrix-LED-Licht (Pixellicht) für Frontscheinwerfer: 2020 in Serie

44 HighlightInova Semiconductor

car-to-X /ota

36 Game-Changer ConnectivityRemote-Analysen bei der Fahrzeugent-wicklung und Produktpflege

39 Worauf es ankommtInternet der Dinge (IoT) im vernetzten Fahrzeug

tools

42 Moderne E/E-Architekturen optimierenModellbasierte Werkzeuge für die nächste Architekturgeneration

Licht32 Pixellicht und

digitale leD Das Licht der Zukunft heißt LED-Licht – im Frontschein-werfer wie im Ambiente-Licht. Wir stellen die beiden brandneuen Top-Technologi-en für diese Bereiche vor.

14

Titelb

ild: C

hesk

y_ Fo

tolia

und A

lfred

Vollm

er

04_Inhalt.indd 4 23.11.2016 11:24:40

www.automobil-elektronik.de

RUBRIKEN

03 EditorialWas für ein Jahr!

46 Neue Produkte

49 Mein Weihnachtswunsch:Wirksamkeit! Dr. Lederers Management-Tipps

50 Impressum

50 Inserenten-/Personen- undUnternehmensverzeichnis

18 36

IHR ZUHAUSEAUCH UNTERWEGS.

Die intelligente Vernetzung von Fahrzeugen wird den Straßenverkehr revolutionieren. Für diesen Mobilitätswandel spielen Informationsaustausch und Kommunikation eine Rolle. Werden Sie Teil dieser automobilen Revolution – mit Produkten von MD ELEKTRONIK.

Für MD ELEKTRONIK stehen nicht nur Sicherheit, Qualität und Effi zienz im Fokus – unsere Kunden sind bei uns im Mittelpunkt. Wir begleiten Sie im gesamten Prozess und unterstützen Sie bei der Umsetzung Ihrer Ideen.

Wir setzen Impulse, die verbinden.

www.md-elektronik.de

RZ_AE_Ausgabe_11-12-2016_Sujet Weltkarte_99x297mm + 3 mm Beschnitt_2016-11-14.indd 1 14.11.16 09:55

Automotive-Abkürzungen

Erklärungen zu derzeit über 800 Abkürzungen rund um die Automobil-Elektronik finden Sie auf www.all- electronics.de im Bereich „Abkürzungen“ (oben Mitte).

04_Inhalt.indd 5 22.11.2016 14:48:06


Märkte + Technologien ZVEI-Standpunkt

Auf der Electronica 2016 konnte man wieder eindrucksvoll sehen, dass die Elektronikindustrie in

vielen Branchen und im Besonderen im Automobilsektor eine hohe Innovations-kraft besitzt. Über 80 & der Innovationen im Automobil kommen aus der Elektronik und Software.

Auf Basis von Vernetzung und Mikro-elektronik gibt es zunehmend fortge-schrittene Fahrassistenzsysteme: vom automatischen Parken in Parkhäusern (Self-Parking) bis hin zu Advanced Driver Assistance Systems (ADAS) für das teil-automatisierte Fahren auf der Autobahn (Highway-Pilots). Diese erzeugen eine gewisse Euphorie bei den Kunden analog dem Smartphone.

RahmenbedingungenFür die schnelle Einführung von hochau-tomatisierten Fahrfunktionen fehlen jedoch noch die notwendigen gesetzliche Rahmenbedingungen sowie die Festle-gung geeigneter Validierungs- und Zulas-sungsverfahren. Auch sind ganz neue Ansätze nötig, wie sie bereits in der IT-Welt Anwendung finden. So lässt sich die Vielfalt der komplexen Fahrsituation nicht mehr analytisch mit festgeschriebenen Reaktionen lösen, sondern es ist der Ein-satz von neuralen Netzwerken und einem Vielfachen der heute im Auto verfügbaren Rechenleistung notwendig.

Die deutsche Automobil- und Zuliefer-industrie ist heute bei Fahrerassistenzsys-temen führend und verfügt über eine brei-te Anwendererfahrung, Mikroelektronik- und Sensor-Kompetenz sowie System-Know-how. Von der klassischen Automo-

bilindustrie kommen 90 % der Patentan-meldungen für selbstfahrende Autos. Deutsche Hersteller halten 58 % der welt-weiten Patente seit 2010 in diesem Bereich.

Diese Innovationskraft wird durch Investitionen in F&E erreicht. So planen die deutsche Automobilindustrie und die

Zulieferer, bis 2020 16 bis 18 Milliarden Euro in die Entwicklung zum vernetzten und automatisierten Fahren zu investieren.

SoftwareGleichzeitig verändern sich die Wert-schöpfungsanteile: Der Anteil der Soft-ware am Wert eines Fahrzeugs wird von heute 10 % auf 40 % steigen, der der Hard-ware von 90 % auf 40 % fallen; der Rest wird Content. Zudem ist die Digitalisie-rung disruptiv für die herkömmlichen Geschäftsmodelle, und es gelten neue Spielregeln: Uber besitzt keine Fahrzeuge, Facebook erzeugt keinen Content, Aliba-ba hat keine Lagerbestände, und Air-BnB besitzt keine Immobilien.

Folglich drängen neue Player aus der IT-Welt in den Automotive-Markt. Diese besitzen die notwendige Big-Data-Erfah-rung und verstehen es besser, aus Daten

Werte zu schaffen (Smart Data). Die New-comer sind finanzstark und verfügen über ein enormes Entwicklungsbudget. So hat Apple 216 Milliarden US-$ Finanzreser-ven, Microsoft 114 Milliarden US-$, Alphabet 80 Milliarden US-$, und Volks-wagen hat einen Börsenwert von gut 60 Milliarden Euro. Die Kompetenz für die Fahrzeugentwicklung, -stabilität und -sicherheit zu erwerben ist andererseits komplex. Folglich suchen Sie den Dialog mit den traditionellen Autoherstellern und der Zulieferindustrie aufgrund deren lang-jähriger Erfahrungen.

Voneinander lernenBeide Welten bewegen sich dabei auf ein-ander zu und lernen voreinander, sodass neue Geschäftsfelder entstehen. Over-the-Air-Updates ermöglichen beispielsweise neue planbare Services mit weniger Werk-stattbesuchen für den Kunden, aber auch weniger Inspektionspersonal. Neue Ser-vice-Provider am Beispiel Car-Sharing mit Online-Buchung für Autos werden zuneh-mend in Großstädten genutzt; das eigene Auto verliert an Bedeutung.

Mit Platooning ergibt sich eine Ratio-nalisierung der Transportlogistik durch Ruhezeiten an Bord im „mitfahrenden“ Fahrzeug. Heute sind Ruhezeiten für ein Drittel der durch den Fahrer verursachten Transportkosten verantwortlich.

Fazit: Automatisiertes Fahren ist die Zukunft und beschleunigt den Wandel in der Automobilbranche, indem eine hohe Innovationskraft durch Verknüpfung der Technologien aus beiden Welten entsteht, die somit neue attraktive Produkte und Ser-vices für die Kunden ermöglicht. (av) n

Quo vadis, Automotive?

Klaus Meder ist Vorsitzender der Themenplattform Automotive im ZVEI und Vorsitzender des Bereichsvorstands des Geschäfts-bereiches Automotive Electronics der Robert Bosch GmbH.

Automatisiertes Fahren ist die Zukunft und

beschleunigt den Wandel in der

Automobilbranche.

Bild:

ZVEI

06_Zvei.indd 6 22.11.2016 14:48:31

www.dspace.com

Innovative Fahrerassistenzsysteme – auf dem Weg zum autonomen Fahren

Die Vision vom autonomen Fahren bietet wesentliches Innovationspotential.

Trotz hoher Komplexität muss der Entwicklungsaufwand aber beherrschbar bleiben.

Die Lösung: eine abgestimmte Werkzeugkette für die Entwicklung von Multisensor-

Anwendungen. Sei es bei Funktionsentwicklung, virtueller Absicherung oder

Hardware-in-the-Loop-Simulation. Profi tieren Sie von Tools aus einem Guss, die über

alle Entwicklungsschritte hinweg reibungsfrei zusammenarbeiten. Egal ob es gilt,

Umfeldsensoren und V2X-Kommunikation einzubinden, Fahrzeuge und Verkehrs-

szenarien zu modellieren oder Testfahrten virtuell zu simulieren.

Bringen Sie Ihre autonomen Fahrfunktionen sicher auf die Straße!

Multisensor-Anwendungen erleben!www.dspace.de/rtmaps

ADAS-Anzeige_210x297mm_01_160429_D.indd 1 01.08.2016 13:31:3307_1_1 Anzeigenlayout.indd 7 18.11.2016 13:40:58

Märkte + Technologien Meldungen


Savari und SAIC MotorsGroßauftrag für V2X-Pilotprojekte in China

Der Fahrzeugvernetzungsspezialist Savari und der führende chinesische Automobilhersteller SAIC Motors haben einen Vertriebs- und Pro-duktionsvertrag unterzeichnet. Gemeinsam wollen sie unter anderem im Rahmen eines Großauftrags einen Teil von Shanghai breitflä-chig mit V2X-Technologie ausstatten. Ziel der Kooperation von Savari und SAIC Motors ist es, Autos mit anderen Fahrzeugen und mit der Straßenverkehrsinfrastruktur zu vernetzen und so selbstfahrende Automobile schneller in den Markt zu bringen. Savari wird dafür seine V2X-Kommunikationslösungen in China sowie in ausgewählten asiatischen Ländern herstellen und vertreiben. SAIC fungiert als Value-Added Reseller der Savari-Technologie und vertreibt

diese in der chinesischen Region und an ausge-wählte asiatische Staaten.Beide Unternehmen arbeiten bereits daran, ei-nen Großauftrag zweier renommierter Kunden zu erfüllen – der Shanghai Automobile City und der Tonji University. Beide sind Pioniere im Be-reich des autonomen Fahrens, bei intelligentem Verkehrswesen und Smart City. So planen die Stadt Shanghai und die Tonji University, einen Teil der Stadt breitflächig mit V2X-Technologie auszustatten. Dabei sollen sowohl Mobilfunklö-sungen (LTE-V) als auch Direktfunklösungen (DSRC) eingesetzt werden.

infoDIREKT 409ael1216

Vernetzte Fahrzeuge (V2X) sind eine wichtige Voraussetzung für autonomes Fahren.

Top-FIVE

Der Datendolmetscher

242ael1016 Here Deutschland1 2

3

4

GTC II: 48-V-Hybridfahrzeug senkt Kraftstoffverbrauch

315ael1216 Beitrag der Redaktion

ISCAD: Hochleistungsantrieb mit 48 V

967ael1216 Universität der Bundeswehr

Virtualisierte ECUs im Fahrzeug

249ael1016 Renesas

Active-Matrix-LED-Licht (Pixellicht) für Frontscheinwerfer

249ael1016 Beitrag der Redaktion5

Die Zeitschrift AUTOMOBIL-ELEKTRONIK finden Sie jeweils als Komplett-PDF jeder Druckausgabe zeitverzögert und permanent archiviert unter www.automobil-elektronik.de. Zusätzlich stellen wir die einzelnen Beiträge unter www.all-electronics.de online. Über den Filter „Automotive“ oder den Channel „Applikationen / Automotive“ fokussieren Sie die Auswahl auf Themen rund um

die Automobilelektronik. Die folgenden neuen automotive-rele-vanten Beiträge wurden im Herbst 2016 am häufigsten aufgeru-fen. Eintippen des Info DIREKT-Codes auf all-electronics.de führt Sie direkt zum Beitrag. Das Abkürzungsverzeichnis erreichen Sie jetzt ganz komfortabel, indem Sie ganz oben auf der Homepage „Abkürzungen“ anklicken.

TERMINEKongress Vernetzte Mobilität 18. bis 21.1.2017, Salzburg autozum.at

IT-Safety & IT-Security im Fahrzeug 23. und 24.1.2017, Stuttgart vdi-wissensforum.de

Embedded World 14. bis 16.3.2017, Nürnberg embedded-world.de

PCIM 16. bis 18.05.2017, Nürnberg mesago.de

21. Internationaler Fachkongress Fortschritte in der Automobil-Elektronik 27. bis 28.6.2017, Ludwigsburg automobil-elektronik-kongress.de

Lighting Technology 10. bis 12.10.2017, Essen lighting-technology.com

Bild:

Cont

inent

al

08_News.indd 8 22.11.2016 14:50:10

Märkte + Technologien Meldungen


Warum Infineon Innoluce gekauft hatSchlüsseltechnik Lidar

Alle wollen Lidar: Denso beteiligt sich am Lidar-Startup Trilumina , ZF steigt bei Ibeo ein, Conti über-nimmt das Lidar-Geschäft von Ad-vanced Scientific Concepts – und nun kauft Infineon den niederländi-schen Lidar-Spezialisten Innoluce. Was macht die laserbasierte Sen-sortechnik so begehrenswert?Light Detection and Ranging (Lidar) gilt als entscheidende Technologie der Umfeld- und Objekterkennung und damit auch als Schlüsseltech-nik für das vollautomatisierte Fah-ren. Während Radartechnologie auf hochfrequenten elektromagneti-schen Schwingungen basiert, arbei-tet Lidar mit Laserstrahlen, um im Nahbereich des Fahrzeugs den Ab-stand zu Objekten zu bestimmen. Lidar wird vor allem genutzt, um kleinere Objekte auf der Straße zu erkennen. Mit der Übernahme von Innoluce verfügt Infineon nun über Expertise nicht nur bei Radar- und Kamerasystemen, sondern auch bei der anspruchsvollen Lidartechnik und damit bei drei komplementä-ren Sensortechnologien. Innoluce ist ein Halbleiterunternehmen ohne eigene Fertigung, mit Sitz in Nim-wegen. Seine Kompetenz liegt vor allem bei mikro-elektromechani-schen Systemen (MEMS). Das Unter-nehmen hat sich auf Miniatur-Laser-Scanning-Module mit integrierten MEMS-Mikrospiegeln auf Silizium-basis spezialisiert. Diese Mikrospie-gel sind erforderlich zum Bündeln und Feinjustieren der Laserstrahlen in Fahrzeug-Lidar-Systemen. Mit dem Know-how von Innoluce will Infineon Chiplösungen für Lidarsys-teme entwickeln.In den nächsten Jahren werden ers-te Lidarsysteme in Oberklasse-Fahr-zeugen zum Einsatz kommen. Da-bei werden die Lichtstrahlen noch durch mechanisch einstellbare Spiegel ausgerichtet, wodurch die Systeme verhältnismäßig sperrig und teuer werden. Um sich als Stan-dard in allen Fahrzeugklassen zu etablieren, sind Lidarsysteme auf Grundlage von Halbleitern erfor-derlich. Dadurch werden die Syste-me deutlich kompakter, preisgüns-tiger und robuster. „Unser Ziel ist es, Lidar zu einer preisgünstigen Opti-on für jeden Neuwagen weltweit zu machen,“ sagt Peter Schiefer, der den Geschäftsbereich Automobil-elektronik bei Infineon leitet.Infineon nimmt für sich in An-spruch, Radartechnologie als Si-

Peter Schiefer , Präsident der Automotive Division von Infineon.

Das laserbasierte Lidar-Verfahren (Light De-tection and Ranging) gilt als Schlüsseltechnik für das vollautomatisierte Fahren.

EVERY CONNECTION COUNTS

DRIVING THECONNECTED CARFORWARD

MATE

net,

TE C

onne

ctivit

y, TE

, TE

conn

ectiv

ity (L

ogo)

und

EVER

Y CO

NNEC

TION

COUN

TS si

nd M

arken

. TE

Conn

ectiv

itys (

TEs)

einzig

e Verp

flicht

unge

n sind

diej

enige

n, we

lche i

n den

Allg

emein

en G

esch

äftsb

eding

unge

n (ww

w.te.

com/

usa-e

n/po

licies

-agree

ment

s/ter

ms-o

f-use

-te-co

m/ter

ms-co

nditio

ns-sa

le.ht

ml) d

argele

gt si

nd. T

E leh

nt au

sdrü

cklic

h jed

e Haft

ung a

ufgru

nd st

illsch

weige

nder

Zusic

heru

ngen

hins

ichtlic

h der

hier e

ntha

ltene

n Info

rmati

onen

ab.

TE Connectivity Germany GmbHProduktinformations-Center:+800 0440 5100 (gebührenfrei)

Für welche Technologien sich OEMs künftig im vernetzten Auto auch entscheiden - mit unseren hochleistungsfähigen Verbindungs- und Sensortechnologien sind wir Ihr Partner für innovative Lösungen und neue Herausforderungen einer interaktiven Welt.

Wir sorgen für die fehlerlose Datenübertragung von Onboard-Sensoren, ADAS sowie Antennentechnologie und bieten Ihnen modulare und skalierbare MATEnet Lösungen zur Unterstützung von Ethernet- Netzwerken und steigenden Anforderungen an Datenübertragungsraten.

Setzen Sie sich mit uns in Verbindung: www.TE.com/MATEnet

TE_MATEnet_Automobil-Elektronik 11-12/2016.indd 1 03.11.16 09:08

cherheitsmerkmal für alle Fahr-zeugklassen möglich gemacht zu haben: Durch Fertigungstechnolo-gien der Chipvolumenproduktion und eine neue Chip-Gehäusetech-nologie wurden Radarsysteme sig-nifikant preisgünstiger und kleiner. Mit dem Kauf von Innoluce soll sich dieser Erfolg nun bei der Lidar-Technik wiederholen.


Bild:

Infi n

eon

Bild:

Cont

inent

al

08_News.indd 9 22.11.2016 14:50:13

Märkte + Technologien

10 AUTOMOBIL ELEKTRONIK 11-12 / 2016 www.automobil-elektronik.de

CO2-Reduktion

Akku oder Brennstoffzelle?

Zwar sind sich viele Experten einig, dass Elekt-romobilität einen wichtigen Baustein für eine grünere Zukunft darstellt. Offen ist aber, was genau die optimale Lösung ist, um den CO

2-

Ausstoß durch den Straßenverkehr zu drosseln: batteriebetriebene Elektroautos oder Wasser-stoff-Brennstoffzellen-Autos? Ein Team der Stanford University hat daher in Zusammenar-beit mit der TU München für die 8000-Einwoh-ner-Stadt Los Altos Hills in der San Francisco Bay Area verschiedene Entwicklungsszenarien für die Zeit bis 2035 verglichen und dabei den Gesamteinfluss auf den Energieverbrauch der Kommune erfasst.Das Ergebnis ist eindeutig: In punkto Gesamt-kosten sind akkubetriebene Elektrofahrzeuge besser für die Emissionsreduktion als Brenn-stoffzellen-Fahrzeuge. Ein wesentlicher Nach-teil von Wasserstoff-Brennstoffzellen ist der Studie zufolge, dass die nötige Tank-Infrastruk-tur keinen wirklichen Mehrwert bringt. Um die entstehenden Mehrkosten aufzuwiegen, müssten letztlich die Fahrzeuge selbst merk-lich günstiger ausfallen. Doch das sei laut Stu-die auf absehbare Zeit nicht zu erwarten.Ein anderer vermeintlicher Vorteil von Wassers-stoff – das Zwischenspeichern überschüssiger Solarenergie – hat sich in der Analyse auch nicht dargestellt. 2035 würde Los Altos Hills nur sehr wenig der in Wasserstoff gespeicher-ten Energie für Heizung oder Beleuchtung nut-zen. Dabei sollte eben das ein Vorteil sein, der die Anschaffung von Elektrolyseuren zur Was-serstoffgewinnung mittels Solarenergie recht-fertigt. Ohne diese hätten Brennstoffzellen ei-nen schlechten Öko-Stand. Denn die klassische Wasserstoffgewinnung erfolgt aus Erdgas und setzt CO

2 frei. Der Einsatz von Akkus dagegen

wird CO2-neutraler, sobald es die Netzstromge-

winnung wird. Mit Los Altos Hills hat die Studie allerdings ein sonniges, wohlhabendes Städt-chen betrachtet, das hohe Solarstrom-Kapazi-täten hat und in einem Landkreis mit schon jetzt hohem Elektroauto-Anteil liegt. Doch das Forscher-Team geht davon aus, dass die Ergeb-nisse zumindest für viele Gemeinden im sonni-gen Kalifornien relevant sind. (ku)


Auf der CES 2016 zeigte Toyota die FCV Plus ge-nannte Designstudie eines Wasserstoff-EVs. Die Studie hat nun untersucht, wie diese Technik im Vergleich zu Batterie-Autos abschneidet.

Kurt Lehmann ist jetzt Corporate Technology Officer bei Continental und berichtet direkt an Dr. Elmar Degen-hart .

Harald Kröger wird im kommen-den Jahr Geschäfts-leiter der Automo-bilelektronik-Sparte von Bosch .

Thomas Zanzinger wird Geschäftsfüh-rer des Softwarean-bieters Ansys Ger-many. Er war zuvor Vertriebsleiter bei Ansys.

Ralf Lenninger lei-tet seit Oktober den ITS-Bereich von Continental im kali-fornischen Silicon Valley. Damit löst er Seval Oz ab.

Klaus Meder , bis-her Leiter der Auto-mobilelektronik-Sparte von Bosch, wird künftig Bosch Japan leiten.

Karsten Michels wird Bereichsleiter Systems & Techno-logy in der Division Interior bei Conti-nental. Er folgt da-mit auf Ralf Lennin-ger .

PERSONEN

Kurz & BÜNDIG Ruetz System Solutions wird Partner für Inter-operabilitäts- und Konformitäts-Tests der Av-nu Alliance außerhalb der USA.

Continental Automotive USA hat sich für Röntgeninspektionssysteme von Göpel Elect-ronic entschieden.

Volvo Cars setzt Inrix Traffic weltweit in allen Modellreihen ein.

Nuance erhielt von BMW den Supplier Innova-tion Award für seine Sprachtechnologie.

Audi hat ein Automobilwerk in San José Chi-pa/Mexiko eröffnet.

Schaeffler hat seine Fertigungskapazitäten in China und Südostasien erweitert.

Die Region Asia-Pacific bleibt für Bosch eine Wachstumsregion, in die das Unternehmen 1,2 Milliarden Euro investiert.

Ultrahaptics hat für seine mitten in der Luft fühlbare haptische Feedback-Technologie den NMI Innovation Award erhalten.

Das Motorrad BMW K 1600 GT enthält eine fest eingebaute SIM-Karte von Vodafone für Notrufe.

Vodafone ist jetzt Mitglied der 5G Automotive Association ( 5GAA ).

Bosch plant, ITK Engineering zu übernehmen.

ZF Friedrichshafen hat seinen Bereich Cherry an die deutsche Beteiligungsgesellschaft Ge-nui verkauft.

Nissan übernimmt 35 % der Anteile von Mit-subishi und wird damit größter Einzelaktionär der Mitsubishi Motors Corporation.

Das französische Unternehmen Altran hat den tschechischen Engineering-Dienstleister Swell übernommen.

Macom will Applied Micro (AMCC) kaufen. Mehr unter infoDIREKT 506ei1216.

Qualcomm will NXP Semiconductor für 47 Mil-liarden US-$ übernehmen.

Siemens kauft Mentor Graphics: Details per infoDIREKT 902iee1216 auf all-electronics.de.

Micronas weitet unter dem Dach der TDK -Gruppe sein Geschäft mit Magnetfeld-Senso-ren aus.

Wie gut Tesla s Autopilot in der Praxis ist, er-fahren Sie per infoDIREKT 427ael1216.

Linear Technology hat das „weltweit erste drahtlose Autobatteriemanagementsystem“ an einem Konzeptauto (BMW i3) demonstriert.

Details zum nächsten Tesla-Fighter, demI-Pace von Jaguar , finden Sie per infoDIREKT 353ael1216.

Bild:

Alfre

d Voll

mer

10_News.indd 10 22.11.2016 14:51:42

Märkte + Technologien


Induktives Laden Daimler setzt auf Qualcomms Halo-Technik

Pilotanlage in SalzgitterVW steigt in die Batteriezellproduktion ein

Luftspalt zu verkleinern. Laut Aus-sage von Anthony Thomson , Vice President Business Development & Marketing bei Qualcomm, wurde bereits bei anderen Fahrzeugmo-dellen erfolgreich die Halo-Technik integriert und getestet. Dazu ge-hören etwa der Renault Zoe, der BMW i3 oder der Nissan Leaf. Zu ei-nem konkreten Serieneinsatz in diesen Fahrzeugen äußerte sich Thomson allerdings nicht. (ku)


Im Rahmen des sogenannten Zu-kunftspakts will Volkswagen eine Pilotanlage für Batteriezellen und Zellmodule in Salzgitter einrichten. Dies ist umso überraschender, als Konzernleiter Matthias Müller eine eigene Zellfertigung in der Vergan-genheit noch als „Witz“ bezeichnet hatte. Doch nun will Volkswagen massiv in neue Technologien in-vestieren: Die deutschen Standorte steigen in die Entwicklung und Produktion von Elektrofahrzeugen und -komponenten ein. Es wird ei-ne Pilotanlage für Batteriezellen

Parken und Laden – ohne lästiges Kabel.

Secondary coil

Primary coilHigh voltage battery

Kommt der E-Golf zukünftig mit Batteriezellen aus VW-eigener Fer-tigung?

C

M

Y

CM

MY

CY

CMY

K

mentor-ad-AEL-11-12_102x146mm_rev1.pdf 3 09.11.2016 18:07:30

Bislang hatte Qualcomm beim in-duktiven Laden nur Vereinbarun-gen mit Zulieferern wie beispiels-weise Lear bekannt gegeben. Nun veröffentlichte das Unternehmen in einem Blog-Eintrag das erste konkrete Modell, das zum drahtlo-sen Laden die Halo-Technik ver-wenden wird: Der neue Mercedes-Benz S550e soll der erste Plug-in-Hybrid sein, der mit Qualcomms Hilfe kein nerviges Hantieren mit dem Ladekabel mehr erfordert. Laut Qualcomm soll das überarbei-tete S-Klasse-Modell mit der optio-nalen Ladetechnik 2018 auf den Markt kommen. Das System zum drahtlosen Laden stammt von ei-nem Zulieferer, der die Qualcomm-Technik Halo verwendet.Beim induktiven Laden reicht es, das Fahrzeug oberhalb einer im oder auf dem Boden angebrachten Ladespule zu parken. Anders als etwa beim von Audi favorisierten Z-Mover-System kommt die Halo-Technik ohne bewegliche Elemen-te aus. Die Bodenplatte wird also nicht extra angehoben, um den

Bild:

Qualc

omm

Bild:

Volks

wage

n

und Zellmodule aufgebaut. Insgesamt investiert Volks-wagen 3,5 Milliarden Euro in den Umbau des Unterneh-mens.Die Fertigung von E-Fahrzeu-gen auf Basis des modularen Elektrifizierungsbaukastens (MEB) übernehmen die Wer-ke Wolfsburg und Zwickau. Braunschweig wird weiterhin das Batteriesystem für den Modularen Querbaukasten

(MQB) fertigen und zusätzlich das Batteriesystem für den Modularen Elektrifizierungsbaukasten (MEB) entwickeln und fertigen. Kassel wird den MEB-Antrieb entwickeln und neben der E-Getriebeferti-gung den Zusammenbau des Ge-samtsystems verantworten. Salz-gitter wird MEB-Antriebskompo-nenten fertigen und zuliefern. Gleichzeitig baut der Standort Kompetenzen und eine Pilotanla-ge für Batteriezellen und Zellmo-dule auf. Von einer Volumenpro-duktion von Batteriezellen ist nach VW-Angaben allerdings nicht die Rede. (ku)


Neue Generation mit dreifacher LeistungAutomotive-Mikrocontroller Aurix TC3xx Infineon hat die neue Aurix TC3xx-Familie speziell für den Einsatz im elektrifizierten und autonomen Fahrzeug konzipiert. Grundlage für den Leistungssprung ist eine Multicore-Architektur, die nun bis zu sechs unabhängig voneinander arbeitende 32-Bit-Tricore-Prozess-orkerne enthält. Die TC3xx-Mikro-controller eignen sich für viele Fahrzeuganwendungen. Dazu ge-hört etwa die Steuerung von Hyb-rid- und Elektroantrieben. Beson-ders die Domänencontroller für Hybridantriebe sollen von den neuen Mikrocontrollern profitie-ren. Die TC3xx-Familie eignet sich darüber hinaus für sicherheitskriti-sche Anwendungen wie Airbags, Bremssysteme und Servolenkung, sowie radar- oder kamerabasierte Fahrerassistenzsysteme. Eine hohe Echtzeitfähigkeit und umfassende Sicherheitsfunktionen sollen die für das automatisierte Fahren wichtige Sensorfusion unterstüt-zen.Die Aurix TC3xx-Familie wird ska-lierbar sein: Ihre Mikrocontroller

bieten bis zu 16 MByte Embedded-Flashspeicher und mehr als 6 MByte integrierten RAM. Sie besit-zen bis zu sechs Tricore-Prozessor-kerne mit je 300 MHz Taktfrequenz. Zum Vergleich: Heutige TC2xx-Mik-rocontroller haben bis zu drei Tri-core-Prozessorkerne. Vier der sechs Tricore-Kerne verfügen über einen zusätzlichen Lockstep-Kern. Damit stehen laut Infineon bis zu 2400 DMIPS Rechenleistung zum Design von Systemen mit dem höchsten Sicherheits-Level ASIL-D zur Verfü-gung – im Vergleich zu 740 DMIPS bei TC2xx. (ku) ■


Die neuen Aurix TC3xx-Mikrocont-roller sind kompatibel zur TC2xx-Vorgängergeneration.

Bild: Infi neon

10_News.indd 11 22.11.2016 14:51:45


sowie aufwendige Tests. Auch das Daten-blatt ändert sich deutlich: Wo im Consu-mer-Bereich beispielsweise mit Taktfre-quenzen von 2 GHz gearbeitet wird, ist die Automotive-Version des Bauteils deut-lich gedrosselt auf weniger als 1 GHz.

Notwendig sind all diese Maßnahmen, weil sich die Ansprüche der Kunden geän-dert hätten, so Hellenthal: „Es kann doch nicht sein, dass mein Smartphone viel mehr kann als mein um ein Vielfaches teureres Auto – so denken inzwischen vie-le Käufer.“ Um mit den Fortschritten im Consumer-Bereich mithalten zu können, sei der Einsatz auch von Bauteilen, die nicht speziell für Automotive-Anwendun-gen entwickelt wurden, im Auto unum-gänglich. Dass die damit verbundenen Risiken in den Griff zu bekommen sind, zeige etwa das Beispiel der von Audi ver-bauten Nvidia -Chips: „Die laufen seit acht Jahren stabil.“ ■

AutorIngo KussVerantwortlicher Redakteur AUTOMOBIL-ELEKTRONIK


Mit einem Live-Hack gleich zum Auftakt des ELIV-Marketplace im Oktober in Baden-Baden

demonstrierte Gerhard Klostermeier ( Syss ), wie allgegenwärtig Einfallstore für Hacker sind: Die gerade bei Konferenzen beliebte Powerpoint-Fernsteuerung kann nämlich häufig nicht nur Vor- und Zurückbefehle drahtlos an den Laptop senden, sondern ist eigentlich so etwas wie eine virtuelle Tastatur. Klostermeier reichten jedenfalls ein paar Klicks, um über die Fernsteuerungs-Schnittstelle beliebige Software auf den Präsentations-rechner herunterzuladen.

Von Telekommunikation und IT lernenDen Einfallsreichtum von Hackern hat auch die Automobilbranche schon mehr-fach schmerzhaft zu spüren bekommen. Der Leiter des ELIV-Kongresses, Wolfgang Runge , gab deshalb eine klare Marsch-richtung vor: „Wir wollen das Thema Secu-rity aus der Schmuddelecke holen.“ Tat-sächlich geht die Automobilbranche inzwischen deutlich offensiver mit dem heiklen Thema um als noch vor einigen Jahren. Ob Fahrzeughersteller, Zulieferer, Halbleiterfirmen oder Security-Spezialis-ten: Sicherheitskonzepte spielen inzwi-schen auf allen Ebenen der Wertschöp-

fungskette eine wichtige Rolle. Vor allem die zunehmende Fahrzeugvernetzung und das Interesse an Software Updates over the Air treiben die Entwicklung in diesem Bereich voran.

Für Ralf Milke ( Volkswagen ) ist Auto-motive Cyber Security eine wichtige Grundlage für die rasch fortschreitende Digitalisierung des Autos. Gefragt sei ein ganzheitliches Konzept, in das auch die Entwicklungen im Bereich Infotainment und Fahrerassistenzsysteme einfließen müssen. Darüber hinaus forderte Milke die Zuhörer auf, sich die Erfahrungen aus anderen Branchen zu Nutze zu machen: „Wir müssen von Telekommunikation und IT lernen, um Schäden zu verhinden.“

Consumer-Elektronik gibt das Tempo vorAuf einen ganz anderen Sicherheitsaspekt ging Berthold Hellenthal ( Audi ) ein: Um Halbleiter-Bauteile im Fahrzeug einsetzen zu können, die eigentlich aus der Consu-mer-Elektronik stammen, sind besondere Sicherheitsmaßnahmen notwendig. Bereits bei der Halbleiterfertigung gelten andere Regeln als für die reinen Consu-mer-Bauteile. So setzt Hellenthal unter anderem auf eine enge Prozesskontrolle, eine Reduzierung der verfügbaren Vari-anten, eine frühe Problemerkennung

Bild:

ET19

72 -

Foto

lia

Märkte + Technologien ELIV

„Security aus der Schmuddelecke holen“Warum es wichtig ist, offen über Datensicherheit im Fahrzeug zu reden

Security galt lange als ein zu sensibles Thema, um darüber ausführlich auf Fachkongressen zu berichten. Doch inzwischen hat die Datensicherheit im Auto so an Bedeutung gewonnen, dass es dazu etwa einen eigenen Themenblock auf dem ELIV-Kongress in Baden-Baden gab. Autor: Ingo Kuss

12_Eliv-Bericht (ku).indd 12 23.11.2016 09:05:20

Märkte + Technologien GTC II

GTC I I: 48-V-HybrIdfaHrzeuG senkT krafTsToffVerbrauCH um 25 ProzenT

Gasoline Technology Car IINach dem GTC I im Jahr 2014 haben die Projektbeteiligten Continental und Scha-effler mit dem GTC II jetzt die zweite Generation des Gasoline Technology Car vorgestellt. Das GTC II zeigt das Potenzi-al einer intelligenten 48-V-Hybridisierung der neuen Generation auf dem letzten Stand der Entwicklung.

Die von AUTOMOBIL-ELEKTRONIK getesteten Fahrzeuge waren dementspre-chend nicht zur Serienreife ausparamet-riert, zeigten aber sehr deutlich, welch immenses Potenzial in der 48-V-Techno-logie steckt – auch und gerade im beson-ders preissensiblen, hochvolumigen B-Segment. Die Ingenieure bei Continen-tal und Schaeffler haben es geschafft, die CO2-Emissionen gemäß NEDC/NEFZ (Neuer Europäischer Fahrzyklus) auf unter 85 g/km zu senken.

Prof. Dr.-Ing. Peter Gutzmer, Vorstands-mitglied und Leiter der Forschung & Ent-wicklung bei Schaeffler, erwartet vom GTC II, dass es gegenüber dem GTC I im NEFZ zusätzliche rund 13 % Kraftstoffeinspa-rung bringt. Beim GTC II befindet sich die elektrische Maschine zwischen Verbren-nungsmotor und Getriebe (P2-Architek-tur). Für Prof. Gutzmer ist das GTC II denn auch wie das GTC I „ein Meilenstein, weil

(mechanische Spitzenleistung 11,7 kW) im GTC II bis etwa 45 km/h rein elektrisch die Geschwindigkeit. Die elektrische Asynchronmaschine mit 80 % Wirkungs-grad bei einer Spitzenleistung im Gene-ratorbetrieb von 14,7 kW stammt aus der Serienproduktion (wie beim neuen Renault Scenic).

Christopher Breitsameter, Leiter Busi-ness Development & Strategy in der Divi-sion Powertrain bei Continental, betonte, dass beim GTC II die Total Cost of Ownership ein wesentlicher Aspekt war. Es ging darum, bewusst ein relativ preis-wertes System für das Massensegment zu entwickeln.

Weitere Details und eine Einschätzung der Redaktion finden Sie in der Langver-sion dieses Beitrags per infoDIREKT. (av)

Bild:

Alfre

d Voll

mer

es hier gelungen ist, hocheffiziente hybri-de Betriebsstrategien in einem Wagen mit Handschaltgetriebe umzusetzen“, und er wäre kein Technikvorstand, wenn er nicht gleich eine (Teil-)Erklärung lieferte: „Die elektrifizierte Kupplung schafft im GTC II zusätzlich die Voraussetzung für Funkti-onen wie ein elektrisches Anfahren, elek-trisches Stop-and-Go sowie eine Rekupe-ration bis fast in den Stand.“

Dabei schöpft das GTC II Potenziale aus, die sich beim GTC I noch nicht realisieren ließen – und das gilt sowohl für die elek-trische Antriebskomponente als auch für die verbrennungsmotorische Seite.

Zwei Kupplungen in Antriebsrichtung vor und hinter dem Riementrieb erlauben es, den Verbrennungsmotor vollständig abzukoppeln und die elektrische Maschi-ne komplett unabhängig vom Verbren-nungsmotor zu nutzen. So ist beim GTC II ein aktives elektrisches Segeln, also eine elekt r ische Fahr t mit konstanter Geschwindigkeit bei niedriger Teillast, ebenso möglich wie ein elektrisches Anfahren mit einem Drehmoment von über 130 Nm, etwa im Stau. Bei Bedarf läuft der Verbrennungsmotor dann inner-halb von weniger als 600 ms wieder an. Bei geringer Last hält der Elektromotor infodIrekT 315ael1216

Continental und Schaeffler bauten einen Ford Focus mit aufgeladenem 3-Zylinder-Ottomotor (GTDI) und 1 l Hubraum zum 48-V-Mildhybriden um, der weniger als 85 g CO

2/km ausstößt.

13_News GTC.indd 13 23.11.2016 08:55:15

Titelinterview Green Hills


Exklusiv- intErviEw mit JErEmy Flann und Jörg Z immEr von grEEn Hills soFtwarE

Connectivity mit safety und securityAUTOMOBIL-ELEKTRONIK sprach mit Jeremy Flann, Vice President EMEA Sales bei Green Hills Software, und Jörg Zimmer, Regional Manager bei Green Hills Software, über die Bedeutung von Security und wie sich Safety und Security im Automobil effizient integrieren lassen. Autor: Alfred Vollmer

AUTOMOBIL-ELEKTRONIK: In welchen Bereichen ist Green Hills

hauptsächlich aktiv?

Jeremy Flann: Green Hills Software begann im Jahr 1982 als Ent-wicklungsfirma für Embedded-Software. Damals lag der Fokus auf Compilern und später auf Debugging- und Entwicklungs-umgebungen. 1997 stiegen wir in den Markt für Betriebssysteme ein, mit dem Ziel, ein Betriebssystem anzubieten, das speziell darauf ausgerichtet ist, die Anforderungen in punkto Safety und Security zu erfüllen. Vor einiger Zeit haben wir unsere Security-Aktivitäten ausgedehnt und hierfür unser Tochterunternehmen „INTEGRITY Security Services“ gegründet. Wie laufen die Geschäfte bei Green Hills Software?

Jeremy Flann: Das Business läuft sehr gut. Die Firma wächst wei-terhin konservativ und konsistent. Unsere Expansion finanzieren wir selbst, und wir haben unsere Ressourcen in den europäischen Engineering-Teams in den letzten beiden Jahren mehr als verdoppelt. Viele der Top-10-Automotive-OEMs sind mit unseren Produkten und Dienstleistungen in Serie: mit optimierten Compilierungen von Pow-ertrain-Code oder adaptiven Safety-Syste-men bis hin zur Konsolidierung multipler Funktionen inklusive Virtualisierung von Embedded-Linux oder -Android in Kombi-nation mit Safety-Systemen auf komplexen Multicore-Prozesso-ren für Bedienistrumente und Infotainmentsystem oder Zent-ralrechnern. Ein großer Teil unseres Wachstums im Automotive-Bereich kam in diesem Jahr durch unsere Securitylösungen. Wir arbeiten mit den meisten OEMs an der Entwicklung neuer Sys-teme, oftmals über deren Tier-1.

Wie sprechen Sie das Thema Safety und Security auf System-

ebene an?

Jeremy Flann: Ich bevorzuge es, von belegbarer Funktionalität zu sprechen. Wir versuchen, es so auszudrücken: „Wenn dieser Code genau so, und nur so, seinen Dienst verrichten muss, dann muss

man nachweisen, dass er auch genau in dieser Art und Weise arbeitet.” Es gibt zahlreiche Techniken, die wir im Laufe der Jah-re eingeführt haben und bei denen wir auch Pionierarbeitet geleistet haben, um dies zu ermöglichen.

Darüber hinaus haben wir eine Suite entwickelt, die ich „Func-tional Safety Middleware“ nenne, und die unseren Kunden ganz wesentlich dabei hilft, ihre Applikationen zu zertifizieren.

Wie entstand eigentlich Ihr Betriebssystem?

Jörg Zimmer: Mitte der 90er Jahre wurde es für uns offensichtlich, dass es einen Bedarf für Betriebssysteme geben wird, die safe und secure sind. Es war uns wichtig, dass sich dies auch nach-weisen lässt – und zwar nicht nur von Green Hills sondern auch von externen Gutachtern und Zertifizierungsstellen. Das ist eines der ganz wesentlichen Unterscheidungsmerkmale zwischen uns und anderen Anbietern von Betriebssystemen. Dies war auch

eine der Grundvorraussetzungen bei der Architektur des Betriebssystems INTEG-RITY.

Garantiert denn ein als „safe and secure“

gelabeltes Betriebssystem auch die Funk-

tions- und Datensicherheit eines Systems?

Jörg Zimmer: Es ist wichtig, das richtige Betriebssystem auszuwählen und die pas-

senden Tools, die bereits den Zertifizierungsprozess durchlaufen haben, denn das senkt das Kundenrisiko in beachtlichem Umfang. Aber letztendlich hängt auch vieles vom verwendeten Entwick-lungsprozess und den Methodiken ab. Noch bevor man die erste Zeile Code schreibt, muss man sicherstellen können, dass man alles auch testen, belegen und dokumentieren kann. Dies erfor-dert eine entsprechende Systemarchitektur und und einen geeig-neten Entwicklungsprozess.

Wie unterstützen Sie Safety-Standards und ISO26262?

Jörg Zimmer: Jenseits der Avionik, für die wir im Jahr 2002 zerti-fiziert wurden, erhielten wir 2007 unsere erste Zertifizierung für

„Jetzt brauchen wir einen systemweiten Standard für Auto-motive-Security.“

Jeremy Flann, Green Hills

14_Coverstory Green Hills.indd 14 22.11.2016 14:53:08


Automobil ElEktronik 11-12/2016 15www.automobil-elektronik.de

INTEGRITY nach IEC61508; die ISO26262 existierte zu diesem Zeitpunkt noch gar nicht. Inzwischen ist natürlich auch INTE-GRITY nach der ISO26262 zertifiziert. Aber zu einer Zertifizie-rung gehört mehr als nur das Betriebssystem. So ist unser Com-piler, der Bestandteil der Entwicklungsumgebung MULTI ist, nach der ISO 26262:2011 ASIL D qualifiziert. Darüber hinaus unterstützen wir unsere Kunden dabei, ihr eigenes Produkt gemäß ISO 26262 zu zertifizieren.

Warum sehen Sie Ihr Unternehmen als eine Art Pionier im Bereich

Embedded-Software an?

Jeremy Flann: Wir haben eine Historie von Industry-Firsts: Mit dem ersten 32-Bit-Embedded-Compiler in 1983, der ersten Entwick-lungsumgebung in 1993, dem ersten kommerziellen partitionie-renden Echtzeitbetriebssystem in 1997 und den ersten Backwards-in-Time-Debuggern in 2003 beginnt die Liste. Für unsere Kunden sind oft auch unterschiedliche Metriken von Bedeutung; für einige ist die Größe des Codes von kritischer Bedeutung, für andere ist die Performance das Maß der Dinge. Allen gemeinsam ist der Druck in punkto Entwicklungsdauer und Produktions-kosten, welche unsere Produkte und Dienstleistungen positiv beeinflussen können.

Welche Bedeutung hat Security für die Automotive-Industrie?

Jeremy Flann: Während der letzten Jahre, besonders seitdem Hacker die Risiken im Bereich Automotive-Security aufgezeigt haben,

wurde die Branche äußerst sensitiv in punkto Security und wie man sie umsetzt; die Connectivity über die Luftschnittstelle verstärkt diesen Trend weiter. Die OEMs müssen sicherstellen, dass ihr Fahrzeug vor bösartigen Attacken geschützt ist, denn ansonsten könnte es sich um eine Frage von Leben oder Tod handeln und den Ruf der Hersteller schädigen.

Elektronik im Auto besteht aus einem komplexen Netzwerk von Computern, auf denen immer mehr Software läuft. Security muss dabei vom ersten Tag an eingebaut sein, denn man kann Security nicht nachträglich einbauen; das haben die Bereiche Desktop- und Enterprise-Computer bereits bestätigt.

Wie können OEMs und Tier-1s Security implementieren?

Jörg Zimmer: In punkto Safety- und Security-Anforderungen im Automobilbereich ist es elementar, über die Trennung von Kom-ponenten nachzudenken. Das gleiche Prinzip, das in der Luft-fahrt auch für Security sorgt, kommt somit auch im Automobil-bereich zum Einsatz. Hierfür gibt es eine spezielle Variante des Betriebssystems, die auf die automobilen Anforderungen zuge-schnitten ist.

Wir stellen unseren Kunden mit unserem Betriebssystem und dem Board-Support-Package eine solide Basis zur Verfügung, so dass sie ihre Produkte entwickeln und sich vom Wettbewerb differenzieren können.Jeremy Flann: Ein sehr wichtiger Aspekt ist das Device Live-Cycle-Management, das mit den kryptographischen Schlüsseln

Jeremy Flann (Mitte) und Jörg Zimmer (rechts) im Gespräch mit AUTOMOBIL-ELEKTRONIK-Chefredakteur Alfred Vollmer: Security muss vom ersten Tag an eingebaut sein, denn man kann Security nicht nachträglich einbauen.

Bilde

r: Alfr

ed Vo

llmer




beginnt. In einem Steuergerät benötigt man Schlüssel, die zum Zeitpunkt der Herstellung sicher eingebunden sind, so dass jedes einzelne Device seinen eigenen Schlüsselsatz bekommt. Hierfür ist es erforderlich, Schlüssel mit hoher Qualität zu erzeugen, während der Fertigung zu injizieren und sicher zu verwalten. Für die ECU gibt es dann auch noch verschiedene Security-Middleware.

Es gibt viele Möglichkeiten, ein Fahrzeug anzugreifen. Deshalb muss man das Gesamtbild betrachten und Security so implementiert haben, dass sowohl das Image der Marke als auch die Menschen, die in den Fahrzeugen unterwegs sind, vor Security-Angriffen sicher sind.

Wie verändern sich Systeme innerhalb des Fahr-

zeugs? Macht sie das stärker verwundbar?

Jörg Zimmer: Es gab einen großen Anstieg bei der Nutzung von Embedded-Linux und Android, besonders in den Infotainment-Systemen. So steht dem Fahrer eine vertraute Benutzerumge-bung zur Verfügung. Es gibt aber in den großen, offenen Betriebs-systemen viele Sicherheitslücken beziehungsweise Schwachstel-len, die für Angriffe genutzt werden können.

Mit der Nutzung des INTEGRITY Multivisor – unsere Hoch-leistungs-Virtualisierung für eingebettete Systeme – kann man Linux oder Android in seinem eigenen separaten Bereich ablau-fen lassen, und das wie bei INTEGRITY: safe und secure abge-trennt von anderen Applikationen auf denselben Cores.

Sichergestellt durch die garantierte Separierung kann man die beiden Welten verbinden: Die Anforderungen an Safety durch das Echtzeitbetriebsystem INTEGRITY sowie an Connectivity und User-Experience unter Verwendung von Linux oder Android.

Wir versuchen nicht, Linux oder Android zu ersetzen. Wir ken-nen deren Stärken und Schwächen, aber wir wissen auch, wie man das Fahrzeug vor deren verwundbaren Stellen schützt und den Schaden minimiert.

Es ist bestens bekannt, wie man ein Safety-System definiert, aber

wie definiert man ein Security-System?

Jeremy Flann: Wir haben ja schon über unsere Security-Herkunft

und die Tatsache gesprochen, dass das Betriebssystem INTEG-RITY-178 das erste und einzige kommerziell verfügbare Betriebs-system war, das nach vielen Jahren genauer Überprüfung die Zertifizierung gemäß EAL6+/High Robustness Common Cri-

teria erhielt. Common Criteria ist eine internationale Zertifizie-rung für Computer-Security, kein Standard für Automotive-Security. Jetzt brauchen wir einen systemweiten Standard für Automotive-Security.

In einem Automotive-Safety-System sagt man „hier ist mein Anwendungsfall“. Aus diesem Use-Case ergeben sich diese Safe-ty-Cases. Das gleiche müssen wir mit der Security machen: Hier ist mein Use-Case, aus dem ich meine Security-Cases ableite; hier sind all die Orte, wo jemand versuchen kann, sich Zugang zu verschaffen. Durch eine systematische Analyse des Gesamtsys-tems und seiner Umgebung kann ich die Security Cases bewerten und Strategien zur Vermeidung oder Abschwächung umsetzen.

Safety ist bestens verstanden, aber Security benötigt den Fokus der Aufmerksamkeit. Aller-dings erzielt man nur mit einer End-to-End-Architektur und dem dazugehörigen Prozess auch Security. Mit einem einmaligen nachträg-lichen Einfall lässt sich da nichts machen.

Bei der Safety muss man annehmen, dass eine ECU im Fahrzeug ausfällt – vielleicht nach einer langen Zeitspanne, aber sie wird letztendlich versagen. Wenn sie ausfällt, muss man sicher-stellen, dass das Fahrzeug dann in einen für die Insassen sicheren Zustand zurückfällt. Bei der Security gibt es keine sichere Rückfallebene: Wenn etwas gehackt ist, dann ist es gehackt. Man kann die Auswirkungen eines Angriffs mithilfe der Separierung begrenzen, aber die

beste Methode besteht darin, dafür zu sorgen, dass der Angrei-fer überhaupt keinen Zugang bekommt und das System in einer unzulässigen Weise verändert.

Das bringt uns zum Thema Car-to-Car-Kommunikation. Welche

Aktivitäten haben Sie im C2C-Markt?

Jeremy Flann: Wir sind aktiv in die Entwicklung der C2C-Kom-munikation involviert: sowohl in den USA als auch in Europa,

„Mit dem exponentiellen Anstieg der Anzahl der Codezeilen im Fahrzeug können auch viel mehr Programmierfehler auf-

treten, die dann als Schwachstelle ausgenutzt

werden können.“Jörg Zimmer, Green Hills

„Safety ist bestens verstanden, aber Security

benötigt den Fokus der Aufmerksamkeit.“

Jeremy Flann, Green Hills



AUTOMOBIL ELEKTRONIK 11-12 / 2016 17www.automobil-elektronik.de

www.fev.com

Von der Idee über das Konzept bis hin zur Serie – oder darüber hinaus. FEV unterstützt Sie bei der Entwicklung, Implementierung und Validierung von Connectivity-Lösungen und fort-schrittlichen Fahrerassistenzsystemen (ADAS).

FEV SMART VEHICLE-ENTWICKLUNG

VERNETZT UND AUTOMATISIERT

Unsere Leistungen:> Gezielte Nutzung von XiL-Lösungen für automatisierte Tests in einem frühen Entwicklungsstadium> Funktionale Sicherheit und Cyber Security> End-to-End-Absicherung> Automatisierte Testsysteme> Test & Validierung

Automobil-Elektronik-11-12-86x126mm.indd 2 11/9/2016 9:30:41 AM

InterviewerAlfred Vollmer, Chefredakteur AUTOMOBIL-ELEKTRONIK


und weltweit stellen wir Safety- und Security-Lösungen für Steuerungs-Elektroniken und Public-Key-Infrastruktur-Beglau-bigungen zur Verfügung.

Wir arbeiten mit der Automobilindustrie, damit die Unterneh-men vorbereitet sind, wenn das DOT (US Department of Trans-portation), also das Verkehrsministerium der USA, bald fordert, dass alle neuen Fahrzeuge mit einem Transponder ausgerüstet sein müssen, der einfache Safety-Nachrichten über eine Kurz-strecken-Funkverbindung mit einer Reichweite von bis zu 1000 Fuß (etwa 300 m) aussendet. Das ADAS wertet empfangene Nachrichten aus, um so die Safety des Fahrzeugs zu erhöhen. INTEGRITY Security Services ist die Automotive-Root-Zertifi-zierungs-Autorität und stellt digitale Produktions-Zertifikate für V2x und C2x zur Verfügung.

Ist die zunehmende Komplexität und der immer größer werdende

Software-Anteil in Fahrzeugen auch eine potenzielle Gefahr für

Safety und Security?

Jörg Zimmer: Absolut! Mit dem exponentiellen Anstieg der Anzahl der Codezeilen im Fahrzeug, die nötig sind, um all diese neueren Funktionalitäten zu ermöglichen, können auch viel mehr Pro-grammierfehler auftreten, die dann als Schwachstelle ausgenutzt werden können. Das bringt uns zurück zum Thema Software-Entwicklungsprozess und Eigenschaften der Entwicklungsum-gebung, Fehler zügig und effizient zu identifizieren und zu eli-minieren und auch die Software zu optimieren; genau das ist seit über 30 Jahren unsere Expertise.

In welchen anderen Bereichen arbeitet Green Hills?

Jeremy Flann: Auch die Produktivität der Entwickler ist wichtig. Betrachtet man den globalen Markt der Softwareentwickler, dann sind die Gehälter in Europa nicht gerade die niedrigsten. Diese Ingenieure konkurrieren mit Ingenieuren in Ländern, wo die Gehälter gerade einmal ein Drittel und weniger betragen. Das bedeutet, dass unsere europäischen Ingenieure eine mindestens dreimal so hohe Produktivität liefern müssen. Ihre Entschei-dungsfindung muss jedes Mal schnell und exakt sein.

Im Laufe der Zeit haben wir mehrere Werkzeuge, Prozesse und Techniken entwickelt, die uns intern eine drei- bis vierfa-che Produktivitätsverbesserung in unserem internen Software-Entwicklungsprozess gegeben haben. Wir nutzen natürlich unsere eigenen Werkzeuge, um unsere Produkte zu entwickelt. In diesem Jahr haben wir begonnen, dies einigen weltweiten Schlüsselkunden zu zeigen und herauszufinden, ob sie genau-so von den Produktivitätssteigerungen profitieren können wie wir intern. Das kann die auf den Unternehmen ruhende Last in punkto Personalfindung und Training beachtlich verringern, und gleichzeitig können sie Produkte früher auf den Markt bringen.

Wie erzielen Sie diesen Anstieg der Produktivität?

Jeremy Flann: Eines der Features in unserem Ansatz ist die Hilfe bei Integration, Test und Debugging von Code, der vielleicht von unterschiedlichen Anbietern oder aus verschiedenen geo-graphischen Regionen stammt. Wenn jemand an einem Ort, zum Beispiel in Deutschland, einen Fehler findet, dann hilft

das Werkzeug ihm dabei, dies zurück an die Person zu kom-munizieren, die ursprünglich den Code geschrieben hat – und zwar in einem garantiert reproduzierbaren Format. So erhält der Entwickler einen Fehler, den er schnell beseitigen kann. Wir sprechen daher davon, dass wir ihm die Fehler auf einem Silbertablett servieren können.

Was denken Sie über den Kongress „Fortschritte in der Automobil-

Elektronik“ in Ludwigsburg?

Jörg Zimmer: Die Leute, mit denen ich in Ludwigsburg gesprochen habe, sind absolute Schlüsselpersonen in der Automotive-Bran-che. Mir gefällt an dieser Konferenz, dass man dort Menschen trifft, die die Richtung der Branche festlegen. Was ich aber an Ludwigsburg wirklich liebe, ist die Tatsache, Leute zu treffen, die wir kennen; aber wir treffen sie jenseits des normalen Gesche-hens, so dass wir ohne Agenda einmal über wichtige Branchen-trends und Strömungen sprechen können. Außerdem gibt es dort immer eine offene und nützliche Diskussion. ■


18 Automobil ElEktronik 11-12/2016

Ethernet Security


Automotive-Ethernet: Chance und Herausforderung für die SecurityGanzheitliche Konzepte sind gefragt

Fahrerassistenzsysteme mit umfassender Umfeld-Sensorik, Infotainment und der Trend zum Connected Car führen die Datennetzwerke moderner Fahrzeuge an Kapazitätsgrenzen. Automotive-Ethernet könnte die Pro-blematik entschärfen, denn der etablierte Netzwerkstandard bietet stabile Datenübertragung, hohe Übertra-gungsraten sowie flexible Systemauslegung mit kostengünstiger Hardware. Die Anwendung im Fahrzeug birgt allerdings auch Herausforderungen. Unter anderem sind ganzheitliche Security-Konzepte gefragt, um sicher-heitsrelevante Systeme im Fahrzeug optimal abzusichern. Autoren: Jan Holle, Ramona Jung

Plötzlich springt ein Kind auf die Straße. Jetzt zäh-len Millisekunden. Wenigen Autofahrern gelingt es, trotz ihres Schreckens voll aufs Bremspedal zu

treten. Assistenzsysteme reagieren in solchen Fällen ent-schiedener, zuverlässiger und schneller als der Mensch. Möglich wird das durch fortlaufende Echtzeit-Analysen von Kamera-, Radar- und weiteren Sensordaten sowie den Abgleich mit Navigations- und Fahrzeugdaten. Künftig wird der Informationsaustausch mit anderen Fahrzeugen und der Infrastruktur hinzukommen.

Die Folge sind rasant wachsende Datenvolumen. Es ist absehbar, dass der weiter zunehmende Datenverkehr durch Connected-Car-Funktionalitäten bisherige Netz-werktechnologien in Fahrzeugen an ihre Kapazitätsgren-zen bringen wird. Neue Lösungen sind gefragt.

Status Quo: Ein Nebeneinander unterschiedlicher NetzwerkeHeute gibt es ein gewachsenes Nebeneinander unter-schiedlicher Netzwerktechnologien. Am weitesten ver-breitet ist CAN (Controller Area Network). Doch auch LIN (Local Interconnect Network) zur Anbindung von Sensoren und Aktoren, Flexray für sicherheitsrelevante Anwendungen und MOST (Media Oriented Systems Transport) für die Übertragung von Multimediadaten sind in modernen Fahrzeugen vielfach im Einsatz. Dieses Nebeneinander gilt als Kosten- und Komplexitätstreiber bei der Vernetzung moderner Fahrzeuge. Doch selbst die Fülle an Technologien deckt nicht alle Anforderungen ab: Gerade für Diagnosezugänge oder zum Anbinden von Kameras setzen immer mehr Hersteller auf Ethernet, weil dieser etablierte Netzwerkstandard klare Vorteile in Sachen Datenübertragungsraten, Integrierbarkeit, Flexi-bilität und Echtzeitverhalten bietet.

Diese Vorteile machen Automotive-Ethernet auch für den Datenverkehr und die hohen Echtzeitanforderungen in vernetzten, teils automatisiert fahrenden Fahrzeugen interessant. Schon der heutige Standard (IEEE 802.3bw – 100BASE-T1) bietet reale Datenraten von bis zu 100

Die zunehmende Datenflut im Connected Car verlangt nach leistungsfähigen Datennetzen.

18_Escrypt (pet) + MW Atmes.indd 18 22.11.2016 14:53:48

Automobil ElEktronik 11-12/2016 19

Ethernet Security


Mbit/s pro Verbindung und Richtung – und eine Gigabit-Varian-te (IEEE802.3bp) ist schon in Arbeit. Keine der bisherigen Netz-werktechnologien bietet auch nur annähernd solche Datenraten.

Leistungsfähige Alternative: Automotive-EthernetDaneben spricht auch die Reife der Ethernet-Technik für den Einsatz im Automobil. Ethernet ist in der klassischen IT-Welt etabliert und als stabiler Standard bekannt. Die Komponenten sind praxiserprobt, vergleichsweise kostengünstig und bieten hohe Flexibilität bei der Auslegung von E/E-Architekturen. Anwendungsfälle sind oft bestens dokumentiert, und nicht zuletzt ist der Fachkräftemarkt verhältnismäßig ent-spannt, während Experten für bisher genutzte Netzwerktechnologien im Fahrzeug rar sind.

Die Fülle der Vorteile spricht dafür, dass Auto-motive-Ethernet schon bald über die isolierten Diagnose- und Kamera-Anwendungen hinaus-wachsen wird. Wo die bisherigen Lösungen an Grenzen stoßen, wird die leistungsfähigere Alternative übernehmen. Allerdings setzen eine fahrzeugweite Vernetzung und die Verbindung von Fahrzeugdomänen per Ethernet voraus, dass man alle damit einhergehenden Security-Fragen schon im Vorfeld gründlich analysiert und klärt. Dafür braucht es übergreifende Expertise: Security-, IT- und Automoti-ve-Know-how müssen ineinandergreifen, um künftige E/E-Archi-tekturen von vornherein sicher auszulegen und den Datenverkehr im Automotive-Ethernet zuverlässig abschirmen zu können.

Ethernet-Einsatz im Fahrzeug birgt Herausforderungen für die SecurityDoch warum lässt sich die ausgereifte Ethernet-Technologie nicht einfach eins-zu-eins in Fahrzeuge übertragen? Wie verändern sich die Security-Herausforderungen beim Übergang von den bisherigen Netzwerktechnologien zum Ethernet-Standard? Und welche Chancen bietet der etablierte Standard, um sicherheits-relevante Fahrzeugsysteme zuverlässig abzuschirmen?

Grundsätzlich gehen mit drastisch erhöhten Datenraten und -volumen ein Plus an Risiken und gesteigerte Anforderungen an

Der Trend zum Connected Car und die da-durch entstehende Datenflut im Fahrzeug ist eine der großen Herausforderungen für die Automobilindustrie. Da traditionelle, ne-beneinander arbeitende Datennetzwerke mit dieser Komplexität überfordert sind, zeichnet sich Automotive-Ethernet als Alter-native ab. Um die damit verbundenen Vor-teile auch nutzen zu können, sind für die E/E-Architekturen von vornherein ganzheit-liche Security-Konzepte zu berücksichtigen, die den Schutz sicherheitsrelevanter Syste-me im Fahrzeug gewährleisten.

Eck-DatEn

die Performance der zu implementierenden Sicherheitsmecha-nismen zur Filterung und Gewährleistung von Integrität, Authen-tizität und Vertraulichkeit einher. Zudem setzt die erhöhte Viel-falt der Protokolle voraus, dass entsprechend auch die Zahl und die Vielfalt der Kommunikationsfilter anzupassen sind. So birgt beispielsweise das Einbinden des Internetprotokolls IP und dar-auf aufbauender Protokolle große Chancen für die Vernetzung, bringt aber auch eine neue Dimension an Komplexität der Fahr-zeugnetzwerke und Filtermechanismen mit sich. Obendrein setzt der sichere Einsatz von Automotive-Ethernet voraus, dass die eingesetzten Switches entsprechende Security-Features bieten

und korrekt implementieren. Auch in Fragen der sicheren Kommunikation mit der Außen-welt sind gründliche Vorüberlegungen gebo-ten, beispielsweise hinsichtlich des konsequen-ten Einsatzes von Firewalls, einschließlich Deep Packet Inspection (DPI) und eventueller Filterung auf Anwendungsebene.

Schon diese grundsätzlichen Vorüberlegun-gen zeigen, dass Automotive-Ethernet zugleich Chance und Herausforderung für die Automo-tive-Security ist. Auch sind längst nicht alle der in der klassischen IT-Welt etablierten

Lösungen für die fahrzeuginterne Kommunikation geeignet. Das gilt beispielsweise für die Absicherung der Datenübertragung über potenziell unsichere Netze per IPSec (Internet Protocol Security) oder mithilfe des (D)-TLS-Protokolls ((Datagram) Trans-port Layer Security) zur kryptographisch abgesicherten Daten-übertragung auf Ebene des Transport-Layers, die mindestens ein ausgefeiltes Schlüsselmanagement erfordert. Es sind die jewei-ligen Lösungen dem spezifischen Umfeld im Fahrzeug anzupas-sen – oder genauer gesagt: ihre Performance-Anforderungen, ihr Implementierungsaufwand und auch die Komplexität des Schlüsselmanagements.

Spezielle Anforderungen im Automotive-UmfeldUmgekehrt birgt auch die Übertragung von bisherigen fahr-zeugspezifischen Lösungen neue Herausforderungen. So etwa bei der Secure Onboard-Kommunikation (SecOC) gemäß den

Bei der Einfüh-rung von Ethernet

im Fahrzeug ist von vornherein

die Security ausreichend zu berücksichtigen.

Für die Automotive Security muss eine sichere Architektur Schutz gegen alle erdenklichen Gefahrszenarien über den Gesamtlebenszyklus eines Fahrzeugs gewährleisten.



Ethernet Security

Spezifikationen von Autosar 4.2.1. Diese an Ethernet und gege-benenfalls IP-basierte Kommunikation anzupassen, ist vermut-lich nur für einige Anwendungsfälle sinnvoll möglich.

Darüber hinaus sind auch die Möglichkeiten zum Filtern der domänenübergreifenden Kommunikation, die aus klassischen E/E-Architekturen mit Central Gateway (CGW) bekannt sind, auf Ethernet und gegebenenfalls IP zu übertragen. Das wird durch Konzepte, wie sie für das Audio/Video Bridging (AVB) Transport Protocol in IEEE 1722 standardisiert werden, umso komplizierter. Doch auch dieser Ansatz bietet aus Security-Perspektive neue interessante Möglichkeiten, beispielsweise ist im aktuellen Ent-wurf des Standards bereits von vornherein ein auf AES (Advanced Encryption Standard) basierender Mechanismus zur verschlüs-selten und authentifizierten Übertragung von großen Datenmengen in zeitkritischen Anwendungen berücksichtigt.

Vor einer Integration des Automotive-Ethernets in Fahrzeuge gilt es, die Teile der Ethernet-Standardsammlung im Einzelnen auf ihre Potenziale für die Automotive-Security hin zu prüfen und ihre Tauglich-keit im Automotive-Umfeld sowie den Inte-grationsaufwand in künftige E/E-Archi - tekturen zu bewerten. Sub-Standards wie IEEE 802.1X (Port-based Network Access Control – PNAC) zur Authentifizierung in LAN-Netzwerken oder der MAC-Security-Standard IEEE 802.1AE (Media Access Control Security – MACsec) bieten viele Vorteile und sind in der klassischen IT gut verstanden. Doch sie haben auch Schwächen, die ihren Einsatz im sicherheitsrelevanten Fahr-zeugumfeld mit seinen eingeschränkten Möglichkeiten in Bezug auf die verfügbaren Hardwarekomponenten und auch im Hinblick auf die hohen Echtzeitanforderungen nicht immer erlauben.

Security von vornherein einbeziehenGerade mit Blick auf die begrenzten Hardwareressourcen und die Echtzeitanforderungen im Fahrzeug ist der Integrationsaufwand von Automotive-Ethernet nicht zu unterschätzen. Und weil die

leistungsfähige Netzwerktechnologie anfänglich vor allem dort zum Einsatz kommen wird, wo es um die Übertragung besonders sicherheitsrelevanter Daten aus dem Bereich der aktiven Fahreras-sistenzsysteme geht, muss Security schon in der Planung der E/E-Architekturen eine zentrale Rolle spielen. Wobei sich mit der Umstellung auf Ethernet auch ganz konkrete Chancen für Ver-besserungen im Bereich der Automotive-Security ergeben.

Es entfällt beispielsweise der Zwang, den üblicherweise bei SecOC genutzten MAC (Message Authentication Code) und „freshness value“ im Zuge der Übertragung drastisch zu beschnei-den, wie es etwa aufgrund des 64-Bit kleinen Nutzdatenfeldes bei CAN-Botschaften nötig ist. Des Weiteren können etablierte Lösungen wie IPSec und (D)TLS zum Einsatz kommen, wo es

im konkreten Anwendungsfall sinnvoll ist. Das ist insbesondere dann der Fall, wenn höherliegende Übertragungsprotokolle im Einsatz sind, die typischerweise auch in der klassischen IT per (D)TLS abgesichert werden. Dies ist zum Beispiel beim Hyper-text Transfer Protocol Secure (https) gege-ben. Letztendlich kann die Automotive-Security konzeptionell auch von der lang-jährigen Erfahrung in der IT-Security pro-

fitieren, etwa im Hinblick auf geeignete Architekturen zur Umset-zung von „Defense-in-depth“-Strategien.

Unterstützung mit Know-how und ProduktenUm derartige Vorteile von vornherein optimal nutzen zu kön-nen, s ind ganzheit l iche Secur it y-Konzepte f ür d ie E/E-Architekturen gefragt. Ziel muss es sein, bei der Einfüh-rung von Ethernet im Fahrzeug von Anfang an die richtigen Security-Fragen zu stellen, um sowohl das Potenzial auf Soft-wareseite als auch die Fähigkeiten der eingesetzten Hard-warekomponenten (Mikrocontroller, Mikroprozessoren und Switches) optimal nutzen zu können. Sichere Ethernet-Netz-werke im Fahrzeug setzen einen Defense-in-depth-Ansatz voraus, in dem multiple Sicherheitsmechanismen auf Daten-,

Ethernet im Auto wird ganzheitliche Security-Konzepte

für die E/E-Architek- turen erfordern.

Der Schutz sicherheitsrelevanter Systeme im Fahrzeug lässt sich nur mit ganzheitlichen Security-Konzepten erreichen.

Bilde

r: Esc

rypt



AutorenJan HolleProduct Manager bei der Escrypt GmbH.

Ramona JungSecurity Engineer bei der Escrypt GmbH.


Netzwerk-, Transport- und Anwendungsebene berücksichtigt sind, der Netzwerke untereinander abschirmt und der durch Partitionierung und strikt getrennte Kommunikationsdomänen auf Basis virtueller LANs (VLANs) die Risiken infolge etwaiger Angriffe systematisch minimiert.

Die Erfahrung aus klassischen Ethernet-Netzen zeigt, dass es wenig sinnvoll ist, sich allein auf die implementierten Sicherheits-vorkehrungen zu verlassen. Vielmehr sollte man potenzielle Angriffsversuche mithilfe von IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) erkennen, aufzeichnen und frühestmöglich stoppen. Eine solche Architektur bezieht zahl-reiche Firewalls ein, nutzt bestehende Ethernet-Substandards und bedient sich hochmoderner kryptographischer Lösungen. Dafür braucht es Expertenteams, die mit den spezifischen Anforderun-gen im Automotive-Bereich – etwa bei der Diagnose oder auch im Hinblick auf die Fertigungsprozesse – ebenso vertraut sind wie mit den Möglichkeiten von Ethernet und den damit einhergehen-den Security-Herausforderungen.

Escrypt hat in den letzten Jahren ein umfangreiches Portfolio an Security-Lösungen für die Automotive-Industrie entwickelt, um sowohl die Systeme im Fahrzeug als auch Entwicklungs- und Fertigungsprozesse gegen Risiken zu schützen. Dazu zählen auch umfangreiche Erfahrungen im Bereich Ethernet Security. Dieses Know-how fließt einerseits in die Entwicklung eigener Lösungen ein, und andererseits können Automobilhersteller und Zulieferer bei der Einführung der neuen Technologie darauf zugreifen. Security-, IT- und Automotive Know-how gehen also Hand in Hand.

Da Automotive-Security nur mit ganzheitlichen Lösungen zu erreichen ist, muss eine sichere Architektur Schutz gegen alle erdenklichen Gefahrszenarien über den Gesamtlebenszyklus eines Fahrzeugs gewährleisten. So besteht mit CycurTLS schon heute die Möglichkeit zur Absicherung von Implementierungen mit (D)TLS, wobei CycurTLS insbesondere für eingebettete Sys-teme optimiert ist. Die Verwaltung kryptographischer Schlüssel und Zertifikate für das Netzwerk kann über die Key Management Solutions (KMS) des Unternehmens erfolgen.

Und weil eine ganzheitliche Architektur auch alle Kommuni-kationsendpunkte einschließen muss, bietet die Hardware-Secu-rity-Module-Software CycurHSM maximalen Schutz für Steu-ergeräte. Firewalls, Intrusion-Detection-Systeme und weitere Produkte auf der Netzwerkarchitekturebene werden dieses Port-folio in naher Zukunft ergänzen, um die anstehende Einführung von Automotive-Ethernet von Anfang an sicher zu gestalten – und damit die Reaktionsgeschwindigkeit potenziell lebensrettender Fahrzeugsysteme auf Dauer sicher zu stellen. (pet)� n

Der OABR-Dongle von Atmes ist ein Medienkonverter zwischen dem Auto-motive Ethernet Physical Layer und dem Standard Ethernet Physical Layer. Der Dongle wird über einen USB-Anschluss mit dem PC verbunden und erlaubt einen direkten Anschluss eines PCs an ein Automotive-Ethernet-Netzwerk. Unter Windows und Linux wird der OABR-Dongle als Standard-Ethernet-Interface erkannt.

Mit einem am USB-Anschluss einge-steckten OABR-Dongle können alle Win-dows-Programme direkt auf das Automo-tive-Ethernet-Netzwerk zugreifen. So kann der Anwender mit kostenlos erhält-lichen (oder Standard-) Netzwerk-Tools, wie Wireshark, eine Analyse auf einem automobilen Ethernet-Bus durchführen.

MEDIEnKonvERTER

USB-Dongle für Automotive Ethernet

Ein einfach zu bedienendes Konfigu-rationstool bietet Einstell-Möglichkeiten für Master/Slave, VLAN, MAC-Adresse und IP. Über einen speziellen Experten-Modus kann auch auf die Register des integrierten Bus-Controllers TJA1100 auf dem OABR-Dongle zugegriffen werden. infoDIREKT 425ael1216

So lässt sich der TJA1100 beispielswei-se in einen speziellen Testmodus ver-setzen. Ein optional erhältlicher PCAP-Treiber dient dazu, die Fir-mennetzwerke vor ungewünschten

Angriffen zu schützen.Der Dongle lässt sich zur Simulation,

Analyse, Rapid Prototyping und dem Anschluss von OABR-Kameras verwen-den. Er wird vom USB-Anschluss gespeist und benötigt keine externe Stromversor-gung. Ein weiterer Vorteil des OABR-Dongles ist, dass auch Laptops ohne Ethernet-Interface direkt via USB mit dem Automotive-Ethernet verbunden werden können. (ku)� n

OABR-Dongle von Atmes.

Bild: Atmes


Ethernet Security


22 AUTOMOBIL ELEKTRONIK 11-12 / 2016

Betriebssysteme Safety & Security


Eine für alleEinheitliche Hardware-Plattformen für alle Autofunktionen

Die kostengünstige und sichere Realisierung von Assistenzsystemen und autonom fahrenden Au-tomobilen erfordert einen neuen Ansatz bei der Entwicklung der Steuerungskomponenten. Ziel ist es, unterschiedliche Anwendungen auf einer Hardware-Plattform zu integrieren, sie aus Sicher-heitsgründen jedoch weiterhin völlig unabhängig zu betreiben. Autoren: Chris Berg, Franz Walkembach

werden. Im Flugzeug- und im Eisenbahn-bau ist dieses Problem heute bereits weit-gehend gelöst, und die dort verwendeten Ansätze lassen sich auch auf die Automo-bilindustrie übertragen.

HypervisorViele Software-Anbieter verwenden Hypervisor-Technologien, um die Aus-führung mehrerer Betriebssysteme auf nur einer Hardwareplattform zu ermöglichen. Dabei handelt es sich um eine Virtualisie-rungstechnik, die Hardwarefunktionen nutzt, um Gast-Betriebssysteme gleich-zeitig zu betreiben. Jedes dieser Gast-Betriebssysteme bekommt dabei eine von allen anderen strikt getrennte Partition, auch Container genannt, in der es unab-hängig von allen anderen arbeitet.

Eine solche Architektur ist offensichtlich geeignet, dem Ziel einer Vereinheitlichung der Hardwareplattformen näher zu kom-men. Der Hypervisor kann in mehreren Partitionen unterschiedliche Funktionen hosten, die bisher separate CPUs erforder-ten. Allerdings muss dabei absolut sicher-gestellt sein, dass die Software, die die Hypervisor-Funktionalität zur Verfügung stellt, tatsächlich eine strikte Trennung zwi-schen den Partitionen garantiert. Ansons-ten hat man zwar eine einheitliche Hard-

Um dem Wildwuchs bei CPUs, Controllern und Software in heutigen Fahrzeugen ent-gegen zu wirken, setzen die Hersteller ver-stärkt auf CPUs mit Separation-Kernel, auf dem unterschiedliche Betriebssysteme lau-fen können und der die räumliche und zeit-liche Trennung zwischen Anwendungen er-möglicht. Mit solchen Hypervisor-Technolo-gien lassen sich einfache und sichere Sys-temdesigns erreichen.

Eck-DATEN

Einst waren es rein mechanische Maschinen, hingegen basieren heutige Autos bereits zu großen

Teilen auf elektronischen Komponenten samt der dazugehörigen Software. Hard- und Softwaresysteme in Autos sind aus historischen Gründen noch fragmentiert. Die Einführung elektronischer Systeme erfolgte in der Regel völlig unabhängig von anderen, was zu einem Wildwuchs bei CPUs und Controllern und erst recht bei der Software führte. In heutigen Fahrzeu-gen kontrollieren zwischen 60 und 100 unterschiedliche CPUs mit ihren jeweils eigenen Software-Applikationen die un -terschiedlichen Funktionen wie Bremsen, Beleuchtung oder Motorsteuerung. Diese CPUs sind zudem über bis zu sieben un-terschiedliche Busse miteinander verbun-den. Eine solche Komplexität erhöht die Entwicklungs- und Fertigungskosten und macht auch die Wartung nicht einfacher.

So erfordern multiple Hardware-Platt-formen auch unterschiedliche Entwick-lungsumgebungen und Software-Ent-wickler mit der jeweiligen Expertise, was ein erheblicher Kostenfaktor sein kann. Zudem ist es natürlich das Bestreben eines jeden Herstellers, die Hardwarekosten zu reduzieren und die Funktionalität zuneh-mend in die Software zu verlagern (Soft-

Die Zukunft im Testing beginnt heute. Mit ClimeEvent, der Weltneuheit von weisstechnik, werden Ihre Messergebnisse noch zuverlässiger und reproduzierbarer. Ein neues Kältemittel, das bereits heute die Norm von morgen weit unterschreitet, gewährleistet eine hohe Zukunfts-sicherheit und macht ClimeEvent höchst umwelt- und servicefreundlich. Optimierte Luftführung sorgt für die beste Performance in seiner Klasse. Mit der innovativen Bedienoberfläche WEBSeason® programmieren, steuern und überwachen Sie Ihre Prüfung jederzeit und überall –auch via Tablet und Smartphone.

www.climeevent.info

Extrem. Stark. ClimeEvent.Die neue Ära der Umweltsimulation.

Automobil Elektronik 210x146 +3mm

1628 W-UT ClimeEvent Prod-Launch_PH3_Anz2_210x146_AE_DE_RZ01.indd 1 25.10.16 14:29

ware Defined Car). Eines der wesentlichen Ziele bei der Entwicklung des Autos der Zukunft ist daher die Einführung einer einheitlichen Plattform, die sämtliche Autofunktionen steuert.

Bei allen Problemen, die der Wildwuchs von CPUs mit sich bringt, hat er doch einen großen Vorteil: Er trennt die einzelnen Funktionen, sodass kein System von Feh-lern in einem anderen beeinträchtigt wer-den kann. So kann in heutigen Fahrzeugen das Audiosystem keinesfalls auf die Brem-sen einwirken, da beide von strikt getrenn-ten Systemen kontrolliert werden.

Migriert man solch unterschiedlichen Systeme auf eine einheitliche Hardware-Plattform, ist diese Trennung nicht mehr von vornherein gewährleistet und muss in diesem Fall also auf anderen Wegen erreicht

Bild:

dizain

/ron

narid

– Fo

tolia

22_Sysgo.indd 22 23.11.2016 09:07:15


wareplattform, aber möglicherweise Inter-aktionen zwischen kritischen und nicht kritischen Anwendungen (zum Beispiel zwischen Audiosystem und Bremsen). Hier kommen dann die Sicherheits-Zertifizie-rungen wie SIL 4 und ISO 26262 ins Spiel. Derart zertifizierte Hypervisor-Technolo-gien geben die Sicherheit, dass Funktionen in unterschiedlichen Partitionen tatsächlich so voneinander getrennt sind, als liefen sie auf unterschiedlichen CPUs.

Die Zukunft im Testing beginnt heute. Mit ClimeEvent, der Weltneuheit von weisstechnik, werden Ihre Messergebnisse noch zuverlässiger und reproduzierbarer. Ein neues Kältemittel, das bereits heute die Norm von morgen weit unterschreitet, gewährleistet eine hohe Zukunfts-sicherheit und macht ClimeEvent höchst umwelt- und servicefreundlich. Optimierte Luftführung sorgt für die beste Performance in seiner Klasse. Mit der innovativen Bedienoberfläche WEBSeason® programmieren, steuern und überwachen Sie Ihre Prüfung jederzeit und überall –auch via Tablet und Smartphone.

www.climeevent.info

Extrem. Stark. ClimeEvent.Die neue Ära der Umweltsimulation.

Automobil Elektronik 210x146 +3mm

1628 W-UT ClimeEvent Prod-Launch_PH3_Anz2_210x146_AE_DE_RZ01.indd 1 25.10.16 14:29

satz von Multicore-CPUs, die Performance, konterkariert. Zudem ist so die Trennung der Funktionen nicht gewährleistet. Wenn unterschiedliche Funktionen in einer ein-zelnen Software gebündelt sind, die unter einem Echtzeit-Betriebssystem (Real Time Operating System – RTOS) auf nur einem CPU-Kern laufen, können leicht Interfe-renzen zwischen den Funktionen auftre-ten. So kann die Auswirkung einer Anwen-dung auf das Laufzeitverhalten einer ande-

Unterschiedliche Anwendun-gen auf einer Hardwareplatt-form und ein deterministischer Kommunikationskanal ermög-lichen ein einfaches, aber si-cheres Systemdesign.

Multicore-CPUsEin anderer populärer Ansatz, dieses Ziel zu erreichen, ist der Einsatz von Multicore-CPUs. Primär verwendet man solche CPUs zwar aus Performance-Gründen, doch sie können auch die verlangte Trennung ein-zelner Funktionen unterstützen. Allerdings ist die Zertifizierung von Multicore-Syste-men sehr komplex, und viele zertifizierte Systeme nutzen tatsächlich nur einen Kern, was den eigentlichen Grund für den Ein-

Bilde

r: Sys

go

22_Sysgo.indd 23 23.11.2016 09:07:16




ren Anwendung zu Sicherheitsproblemen führen, etwa das Überschreiten von Fristen bei Echtzeitanwendungen. Auf ähnliche Weise können Timing-Effekte aufgrund der gemeinsamen Nutzung der System-ressourcen, wie beispielsweise Caches und Speicherbusse, zu verborgenen Informa-tionskanälen führen, die gegen die Ver-traulichkeitsanforderungen der Anwen-dung verstoßen. Verteilt man dagegen kri-tische Funktionen auf unterschiedliche Kerne, ist die geforderte strikte Trennung gewährleistet.

Der Einsatz von Hypervisoren auf Mul-ticore-Systemen ist grundsätzlich eine geeignete Möglichkeit, den Herausforde-rungen beim Systemdesign zu begegnen. Allerdings ist der Einsatz von Hyperviso-ren allein noch keine Garantie für die strikte Trennung der unterschiedlichen Funktionen. Die meisten Hypervisoren sind auf ein RTOS aufgesetzt, das vom eigenen Design her eine solche Trennung nicht unterstützt. Gerade in sicherheits-kritischen Anwendungen ist es aber wich-tig, dass bereits das RTOS speziell für die getrennte Ausführung unterschiedlicher Funktionen ausgelegt ist, es also vom Design her eher ein Separation-Kernel ist als ein simples RTOS.

Separation als Design-GrundlageEin solcher Separation-Kernel ermöglicht die räumliche und zeitliche Trennung zwischen Anwendungen und stellt die

Autoren Chris Berg Solutions Architect Automotive bei Sysgo . Franz Walkembach VP Marketing & Product Strategy bei Sysgo.


Partitionen für die Ausführung von Benutzeranwendungen bereit. Die zeitli-che Trennung erfolgt dabei durch Zeit-partitionierung, bei der man die CPU-Zeit während der Konfiguration in Zeitparti-tionen aufteilt.

Die Dauer, Reihenfolge und Wiederho-lungsperiode (Hauptzeitrahmen) von Zeitpartitionen lassen sich dann statisch vom Integrator als Zeitplan definieren. Ein Scheduler terminiert die Zeitpartiti-onen entsprechend dem statischen Zeit-plan. Benutzeranwendungen werden einer oder mehreren solcher Zeitpartiti-onen zugewiesen und nur dann für die Terminierung berücksichtigt, wenn die zugehörige Zeitpartition aktiv ist. Auf diese Weise ist das Zeitverhalten einer part it ionierten Benutzeranwendung unabhängig vom Rest des Systems.

Räumliche Trennung erfolgt durch Res-sourcenpartitionierung, bei der man die Systemressourcen wie Hauptspeicher, Dateien, Geräte, sichere Kommunikati-onskanäle und Kerne partitioniert und Containern, den sogenannten Ressour-cenpartitionen, statisch zuweist.

Die Ausführung von Benutzeranwen-dungen erfolgt im Kontext einer Ressour-cenpartition. Während der Ausführung gewährleistet der Separation-Kernel, dass eine Anwendung garantierten Zugriff auf die zugewiesenen Ressourcen ihrer Res-sourcenpartition hat und dass Anwendun-gen aus anderen Ressourcenpartitionen

diese Ressourcen nicht nutzen können, es sei denn, die gemeinsame Nutzung ist explizit konfiguriert.

Android und Autosar auf einer HardwareEine Architektur auf Basis eines Separati-on-Kernels vereinfacht auch die Integrati-on von Funktionen unterschiedlicher Kri-tikalität auf einer Hardwareplattform. So können in strikt voneinander getrennten Partitionen beispielsweise Android-basier-te Infotainment-Funktionen und kritische Autosar-Anwendungen laufen, die sich auch unabhängig voneinander zertifizieren lassen, was die Zertifizierung deutlich beschleunigt und die Kosten dafür redu-ziert. Bei einer weiteren Konsolidierung sind zudem nur die neu hinzugekomme-nen Applikationen zu validieren, da sie die bisherigen nicht beeinflussen.

Gerade in gemischten Umgebungen mit relativ schlecht gesicherten Betriebs-systemen wie zum Beispiel Android kann ein Separation-Kernel auch eine wichtige Sicherheitsfunktion erfüllen, um Angrif-fe zu erschweren. Dieser Kernel, der als Hypervisor für die unterschiedlichen Gastbetriebssysteme agiert, ist in der Lage, privilegierte Systemaufrufe der Gastsysteme abzufangen und vor ihrer tatsächlichen Ausführung zunächst auf die erforderlichen Berechtigungen zu prüfen.

Während übliche Desktop-Betriebssys-teme alle Gerätetreiber im Kernel integ-riert haben, kann man so eine Umgebung schaffen, in der nur ein sehr kleines Set von Diensten im Priviledged Mode im Ker-nel abläuft – etwa Scheduling, Context Switching, Prozesskommunikation und -synchronisation und Interrupt-Handling. Gerätetreiber arbeiten dann ohne Privile-gien im ganz normalen User-Modus wie jeder andere Anwendungscode, was die Angriffsfläche des gesamten Systems deutlich reduziert. (pet) ■

Basierend auf dem Separation-Microkernel können unterschiedliche Betriebssysteme und Anwendungen strikt getrennt ablaufen.

22_Sysgo.indd 24 23.11.2016 09:07:18

Unsere Kompetenz bringt Sie an die Spitze.EMV-Lösungen von Rohde & Schwarz.Ob entwicklungsbegleitende, Precompliance- oder Compliance-Messungen,wir bieten Ihnen die Lösung, die Sie für eine erfolgreiche EMV-Zertifizierung Ihrer Produkte benötigen: ❙ SchnellsteEMV-Messempfänger❙EffizienteDiagnosewerkzeugezumAuffindenvonStörern❙EMV-SoftwarepaketefürinteraktiveundvollautomatischeMessungen❙UmfangreichesZubehörprogrammfürStöremissionsmessungen❙KompakteundmodulareBreitbandverstärker❙HF-Schirmkammern❙KompletteEMV-Testsysteme

Mehr Informationen unter: www.rohde-schwarz.com/ad/emc

15347.018_EMC_Competence_AutomobilElektronik-Dez16_210x297_d.indd 1 24.10.16 10:17 Uhr25_1_1 Anzeigenlayout.indd 25 18.11.2016 13:42:18


wendung von Zertifikaten und privaten Schlüsseln sowie kryp-tografischen Operationen unterstützt wird. Entsprechende Kryp-tographie basiert auf Standardalgorithmen wie RSA, ECC, AES oder SHA. Infineons Sicherheitscontroller wie die Produkte der Aurix-Familie und das Optiga-TPM (Trusted Platform Module) verfügen über derartige Sicherheitsfunktionen und -merkmale.

Der SOTA-Prozess und die nötige Security-ArchitekturDer SOTA-Prozess erfolgt meist in mehreren aufeinander folgen-den Schritten: Nach Fertigstellung und anschließender sicher-heitstechnischer Verpackung – Verschlüsselung und Signierung – eines neuen Softwarepaketes erfolgt die Kommunikation zum Zielfahrzeug. Danach etabliert man zwischen dem Fahrzeug als Client und dem OEM-Update-Server eine gesicherte Kommuni-kation. Das Fahrzeug und die Serverplattform führen eine wech-selseitige Authentifizierung durch und richten einen gesicherten, verschlüsselten Transportkanal (TLS – Transport Layer Security) ein, über den das Fahrzeug das neue Softwarepaket empfängt

Mit dem rasant zunehmenden Softwareumfang in Fahrzeugen werden auch erforderliche Software-Updates immer häufiger. Anstatt neue Software oder Service-Packs in der Werkstatt zu überspielen, bietet die Übertragung über Mobilfunk direkt ins Fahrzeug signifikante Zeit- und Kostenersparnisse. Um hierbei auch den Sicherheitsaspekt ausrei-chend abzudecken, stellt Infineon entsprechende Mikrocontroller und Sicherheitsmodule zur Verfügung.

Eck-DATEN

Die grundlegende Motivation für die SOTA-Implemen-tierung ist offensichtlich. So schätzt IHS Automotive, dass das Einsparpotenzial mittels SOTA von etwa 2,7

Milliarden US-Dollar in 2015 auf mehr als 35 Milliarden US-Dollar in 2022 anwachsen wird. Reduzierte Kosten bei Rückru-fen, schnellere Feature-Updates und eine höhere Kundenzufrie-denheit sind gute Beweggründe für OEMs, SOTA einzuführen. Derzeit sind OTA-Updates von Navigationsdaten oder Infotain-mentapplikationen bereits Stand der Technik. Eine besondere technische Herausforderung stellt nun die Implementierung von SOTA für elektrische Steuereinheiten (ECUs) außerhalb des Infotainmentbereichs dar. Hier sind typischerweise Mikrocon-troller mit Embedded-Flash im Einsatz, um die Echtzeitanwen-dungen im Automobil zu steuern. Auch der Anspruch an die Qualität und Sicherheit ist sicherzustellen. Mangelnde Security darf die Safety des Fahrzeugs nicht gefährden. Daher liegen die Anforderungen deutlich über denen von Infotainmentanwen-dungen, in denen heute oftmals Consumer-Produkte zum Ein-satz kommen.

Integrierte Sicherheit schützt vor Cyber-AttackenEine unzureichend abgesicherte SOTA-Implementierung, die es potenziellen Angreifern ermöglicht, Manipulationen an Safety-kritischen Anwendungen des Fahrzeugs durchzuführen, kann die gesamte Sicherheit des Fahrzeugs und im schlimmsten Fall das Leben seiner Insassen gefährden. Um dies zu verhindern, bedarf es einer komplexen Securityarchitektur, die durch die Ver-

Fahrerassistenz Security

Effiziente ImplementierungSOTA – Sichere Software-Updates Over the Air

Ein Großteil der Kosten bei Rückrufaktionen entfällt auf die Korrektur fehlerhafter Software. Soft-ware-Updates Over-the-Air (SOTA) können diese Kosten massiv senken; bei mobilen Geräten ist dies bereits gang und gäbe. Bei SOTA muss sichergestellt sein, dass das Fahrzeug vor Manipulationen geschützt ist (Security), der Updateprozess zuverlässig und schnell erfolgt und die funktionale Si-cherheit (Safety) in keiner Weise beinträchtig wird. Autoren: Martin Klimke, Ines Pedersen, Björn Steurich

Für den sicheren Flash-Zugriff sorgt der Aurix-Mikrocontroller inklusive integrier-

tem HSM und zusätzlichem Optiga TPM.

26_Infineon (pet).indd 26 22.11.2016 14:54:46


und nach erster Verifikation in einen zentralen Speicher ablegt. Der Empfang und die Speicherung der neuen Software laufen im Hintergrund ab, ohne Information an den Fahrer und ohne das Verhalten des Fahrzeugs zu beeinflussen. Der eigentliche Update-prozess startet erst im abgestellten, sicheren Zustand des Fahr-zeugs und nach Initiierung durch den Fahrer. Dies kann je nach Busarchitektur und Lage des Zwischenspeichers wenige Sekun-den bis zu einigen Minuten in Anspruch nehmen.

Die Fahrzeugarchitektur für SOTA lässt sich prinzipiell in drei ECU-Blöcke gliedern, in denen unterschiedliche Security-Con-troller unterschiedliche Sicherheitsfunktionen übernehmen: Telematik-Steuergerät, zentrales Gateway und Ziel-Steuereinheit.

Die Telematikeinheit stellt über ihre Mobilfunkschnittstelle eine Verbindung zum OEM-Server her und führt die Serviceau-thentifizierung aus. Für diese kritische Authentifizierungsfunk-tion ist es aus Securitygründen empfehlenswert, einen dedizier-ten Sicherheitscontroller wie das Optiga TPM zu implementieren. Ein Mikrocontroller der Aurix-Familie sorgt üblicherweise neben dem eigentlichen Applikationscontroller für die gesicherte Ver-bindung zum Fahrzeugnetzwerk.

Im zentralen Gateway unterstützt ein Aurix-Controller die Verifikation und Zwischenspeicherung der empfangenen Soft-ware. Auch bestünde die Möglichkeit, die sicherheitskritischen Authentifizierungsfunktionen von der Telematikeinheit in das Gateway zu verlagern. In diesem Fall empfiehlt sich die Positio-nierung des TPMs im Gateway, das hier weitere wichtige Sicher-heitsfunktionen wie beispielsweise das zentrale Schlüsselma-nagement übernehmen kann.

In der Ziel-ECU erfolgt nach Initialisierung durch den Fahrer das eigentliche Update. Dazu gelangt das Datenpaket aus dem Speicher in die Ziel-ECU, die es dort entschlüsselt, noch einmal verifiziert und schließlich „flasht“. Aurix-Controller unterstützen alle diese sicherheitsrelevanten Funktionen.

Trust AnchorsSicherheitscontroller (Trust Anchors) übernehmen dedizierte Sicherheitsfunktionen, um Manipulationen und Fehlfunktionen insbesondere beim Update kritischer, Safety-relevanter Anwen-dungen zu verhindern. Das Optiga TPM ist ein zertifizierter Sicher-heitscontroller, der sich speziell für die kritische Authentifizie-rungsfunktion nutzen lässt. Er soll sicherstellen, dass nur autori-sierte Einrichtungen Daten an das Fahrzeug schicken können.

Das TPM führt alle Verschlüsselungsalgorithmen für die Authentifizierung aus. Dafür speichert es langfristig genutzte Zertifikate und entsprechende private Schlüssel in einer geschütz-ten Umgebung und unterstützt Algorithmen wie ECC, RSA, AES oder SHA 256. Das TPM lässt sich kryptographisch mit dem Applikationsprozessor verknüpfen, und der skalierbare Schlüs-selspeicher des TPM lässt sich sicher auf den externen Speicher des Applikationsprozessors laden. Damit können OEMs weitere Authentifizierungszertifikate abspeichern und diese Architektur für viele andere Sicherheitsanwendungen wiederverwenden.

Die Fertigung des TPM erfolgt im Rahmen eines sicherheits-zertifizierten Herstellungsprozesses, bei dem schon ein erster Schlüssel sicher im TPM gespeichert wird. Diesen Schlüssel verwenden OEMs oder Tiers in weiteren Fertigungsschritten,

um weitere Schlüssel sicher und verschlüsselt einzubringen. Das Schutzniveau, beispielsweise gegen Hardware- oder Seitenka-nalangriffe, ist bei einem TPM weitaus höher als bei einem SHE-Modul (Secure Hardware Extension) oder einem Hardware-Security-Modul (HSM). Über beide Module sollten aber alle beteiligten MCUs verfügen, um einen durchgehenden End-to-End-Schutz zu gewährleisten.

Typische Cyberangriffe manipulieren ein System in der Art und Weise, dass dieses nicht-spezifizierte Operationen ausführt. Um dies zu verhindern, unterteilt man Systeme oftmals in ver-schiedene, voneinander isolierte Sicherheitsdomains. Ein Beispiel ist das TPM, das die asymmetrischen Schlüssel in einer separaten


Telematikeinheit, zentrales Gateway und Ziel-ECU sind wesentliche Funkti-onsblöcke für die SOTA-Implementierung.

Die verschiedenen Bussysteme weisen sehr unterschiedliche Datentrans-ferraten auf.




geschützten Umgebung speichert und für Kryptographieverfah-ren nutzt. Aber auch MCUs verfügen über isolierte Securitybe-reiche. So kann das HSM in den Aurix-Mikrocontrollern Secu-rityfunktionen von der Applikationsdomain isolieren. Ein erster wesentlicher Schritt ist eine Unversehrtheitsprüfung des Pro-grammspeichers der beteiligten MCUs zu Beginn des Fahrzyklus mittels Secure Boot, bei dem SHE oder HSM den Speicherinhalt anhand einer kryptographischen Prüfsumme überprüfen.

Die Aurix-Mikrocontrollerfamilie mit ihrem integrierten HSM übernimmt außerdem die wichtige Verifikation empfangener Software. Dabei profitiert die Verifizierung von den leistungs-fähigen Verschlüsselungsbeschleunigern und den schnellen Kommunikationsbussen des HSM. Diese Verifizierung führt die Gateway-MCU mittels HSM durch. Da die Firmwareverifizierung nur öffentliche Zertifikate nutzt, sind die Securityanforderungen geringer als beim Authentifizierungsprozess.

Im Kontext von SOTA lässt sich das HSM auch für eine On-Demand-Integritätsprüfung nutzen. In unserem Beispiel tauschen sowohl die Telematikeinheit als auch das Gateway ihren Integri-tätsstatus auf sichere Art und Weise aus und starten erst dann das Softwareupdate. Entsprechendes lässt sich auf der Ziel-ECU implementieren. Dafür nutzt die Ziel-ECU wiederum das HSM, wobei ein sicherer Flash-Boot-Loader (SFBL) für den Empfang und die Verifizierung des Updates verantwortlich ist. Der Unter-schied zwischen einem normalen FBL und einem SFBL besteht in zusätzlichen Verschlüsselungsalgorithmen. Der Boot-Loader selbst sollte von einem SOTA-Updateprozess ausgenommen sein.

Da ein Angriff auf das Fahrzeug während des Fahrbetriebs erfolgen könnte, ist die Möglichkeit einer On-the-Fly-Überprü-fung der Applikationssoftware ein wesentlicher Vorteil des HSM gegenüber dem SHE-Modul.

Maximale Verfügbarkeit bestimmt KundenakzeptanzNeben dem Thema Sicherheit bei der SOTA-Integration ist es für Automobilhersteller von entscheidender Bedeutung, dass das Verfahren die bestehende Systemarchitektur des Automobils möglichst minimal beeinflusst und eine maximale Verfügbarkeit gewährleistet, das heißt die Updatezeit, in der das Fahrzeug still-stehen muss, ist zu minimieren.

Bisher führt die Neuprogrammierung einer ECU oder auch des gesamten Fahrzeugs üblicherweise eine Werkstatt aus, indem

man für derartige Updates ein Diagnose-Tool an den OBD-Ste-cker (On Board Diagnosis) des Fahrzeugs anschließt. Das Diag-nose-Tool steuert den kompletten Updateprozess, insbesondere das Herunterladen der neuen Software oder des Service-Packs, die Distribution zur Ziel-ECU und die finale Verifizierung. OEMs sind bestrebt, auch für SOTA möglichst nah an diesem Mecha-nismus zu arbeiten. Für SOTA ist es daher entscheidend, die Funktionalität des Diagnose-Tools auf eine zentrale Stelle in der Boardnetzarchitektur zu übertragen und mit den erforderlichen Funktionen für den zusätzlichen SOTA-Ablauf zu versehen. Diese Funktionen werden üblicherweise innerhalb der Gateway-ECU ausgeführt, in der ein zentraler Speicher das neue Software-paket nach dem Download vom OEM-Server zwischenspeichert.

Da die neue Software vom zentralen Speicher des Gateways zur Ziel-ECU gelangen muss, ist die Netzwerktopologie zu beach-ten, die von OEM zu OEM unterschiedlich ist. Grundsätzlich kann man zwischen drei verschiedenen Ansätzen unterscheiden.

Beim klassischen Verfahren lädt man für das Update einer individuellen ECU das entsprechende neue Softwarepaket in einem Schritt vom Zentralspeicher über das Board-Netzwerk in den Embedded-Flash-Speicher des Mikrocontrollers der Ziel-ECU. Hierbei sind keine Hardwareänderungen seitens der ECUs erfor-derlich, aber die wesentliche Einschränkung liegt bei den Bus-Geschwindigkeiten und damit in der Dauer für die Updates. Bei

einem Service-Pack mit 4 MByte benötigt das Update bei-spielsweise für eine einzelne ECU über den CAN-Bus fast fünf Minuten und bei 20 ECUs ist das Fahrzeug über

1,5 Stunden nicht nutzbar. Der Durchsatz lässt sich zwar durch verschiedene Methoden wie Cluster von CAN-Bus-

Subdomains oder Datenkompression erhöhen, was allerdings höheren Aufwand und Kosten bedingt.Das A/B-Swap-Verfahren verfolgt einen anderen Ansatz,

indem man zwei Blöcke (A und B) im Flash-Speicher für die Codeausführung innerhalb des Mikrocontrollers vorsieht. Das

Es gibt drei ver-schiedene Ansätze für sichere OTA-Firmware-Updates.

Die wichtigste Motivation für SOTA ist die signifikante Kostenersparnis.

Flash

SRAM

SRAM

BootRCM

AES128

32-bitCPUTriCore TM 1TriCore TM 0

TRNG

Timer

HSM Domain

Fire

wal

l

PeripheralsPeripheralsPeripherals

Bridge

Bilde

r: Infi

neo

n




Softwaredownload vom zentralen Speicher in die Ziel-ECU und die Neuprogrammierung des freien Speicherteils, beispielsweise Block B, kann im Hintergrund beim Fahren und so langsam wie erforderlich erfolgen. Davon unbeeinflusst ist währenddessen Block A für die Ausführung des aktuellen Codes nutzbar. Sind alle ECUs soweit vorprogrammiert, wechselt der Controller die Codeausführung von Block A zu Block B und nach einem Neustart ist der Swap-Vorgang abgeschlossen. Der große Vorteil dieser Methode liegt im Entfall von Stillstandzeiten, während der Nach-teil in den höheren Kosten durch die größeren Flashspeicher und zusätzliche Validierungsmaßnahmen besteht, um einen etwaigen Einfluss auf die funktionale Sicherheit auszuschließen. Hinzu kommt, dass viele Mikrocontroller das Swapping noch nicht unter-stützen.

Ein dritter Ansatz versucht die Vorteile der beiden erst genann-ten zu kombinieren, indem man einen zusätzlichen externen Speicher auf ECU-Ebene vorsieht, um das neue Service-Pack während des Fahrzeugbetriebs im Hintergrund dorthin zu laden, wo es auf den eigentlichen Updateprozess wartet. Diese Metho-de nutzt die Tatsache, dass moderne Mikrocontroller wie die Aurix-Familie ihren Programm-Flashspeicher sehr schnell löschen und neu programmieren können. So lassen sich 4 MByte innerhalb von 8 s löschen und aus dem externen lokalen Speicher über die SPI-Schnittstelle neu programmieren. Die wesentlichen Vorteile dieses Ansatzes sind ein minimaler Eingriff in das beste-hende Systemdesign, überschaubare Zusatzkosten und geringe Abmessungen für das zusätzliche Speicherelement.

FazitDie Fähigkeit, Software im Auto über Mobilfunk im Feld zu ändern und zu erweitern, verspricht ein großes Sparpotenzial für die Automobilindustrie. Jedoch sind hierbei ausreichende Sicherheitsmaßnahmen zu treffen. Die Aurix-Mikrocontroller und zusätzliche dedizierte Sicherheitscontroller wie das Optiga TPM an zentral wichtigen Stellen bieten optimierte Funktiona-lität für diese wichtige Absicherung von SOTA. Neben konkreten Sicherheitsmaßnahmen müssen sich die OEMs jedoch auch Gedanken machen, wie sie durch eine optimierte Netzwerkar-chitektur und Speicherstrategie die Stillstandzeit des Fahrzeugs während des Updatevorgangs und somit den Einfluss auf den Fahrer möglichst minimieren. (pet) ■

Autoren Martin Klimke Lead Principal for Technical Marketing bei Infineon Technologies.

Ines Pedersen Marketing Manager bei Infineon Technologies .

Björn Steurich Senior Manager Automotive Systems bei Infineon Technologies.






Um die Komplexität der Steue-rungsfunktionen eines autono-men Fahrzeugs zu verstehen,

muss man nur einen Blick in die Vergan-genheit werfen, denn vor nicht allzu lan-ger Zeit haben die Schaltpläne eines Autos noch auf den sprichwörtlichen Bier-deckel gepasst, und man wusste quasi noch nicht, was „Cybersecurity“ ist. Damit sie überhaupt funktionieren, ver-fügen moderne Fahrzeuge hingegen über mehrere Kommunikations-Netze mit etwa 100 ECUs und über 100 Millionen Zeilen Programmcode. Allerdings bergen hochkomplexe und leistungsfähige mobi-le Endgeräte, wie wir sie bereits immer und überall nutzen und als die man moderne und künft ige Fahrzeuge betrachten muss, auch ein Risiko: Sie eröffnen Hackern im wahrsten Sinne des Wortes Tür und Tor um Smart Vehicles zu manipulieren.

Wettbewerbs- und herstellerneutrale CybersecurityObwohl diese Gefahr der Automobilindu-strie seit langem bekannt und bewusst ist, gibt es bisher nur vereinzelte und zögerli-che Vorstöße, um dieses gravierende und

alle Hersteller in gleichem Maße betref-fende Problem in den Griff zu bekommen. Aus diesem Grund haben sich eine Reihe von Technologieführern zum Automotive Security Review Board (ASRB) zusammen-geschlossen, einem non-profit Forschungs-konsortium, um wettbewerbs- und her-stellerneutral die Forschungen auf dem Gebiet der Automotive Security voranzu-treiben. Craig Hurst, Executive Director des ASRB und Director of Strategic Plan-ning and Product Management bei der Intel Transportation Solutions Division erklärt: „Den Verbund unter der Führung weltweit renommierter Sicherheitsexperten haben Intel, Uber und Aeris gegründet und sich zum Ziel gesetzt, De-facto-Standards für das sichere, autonome und fahrerlose Fah-ren in künftigen „selbstheilenden Fahr-zeugen“ zu schaffen“.

Ganzheitlicher AnsatzInnerhalb des ASRB befasst sich das Tech-nical Steering Committee (TSC), eine Arbeitsgruppe, die sich aus Sicherheitsex-perten und geläuterten Hackern zusam-mensetzt, mit der nötigen Grundlagen-forschung auf dem Gebiet der Automotive Security. Die Herangehensweise des ASRB

unterscheidet sich dabei von herkömmli-chen Modellen: Die Experten verfolgen einen ganzheitlichen Ansatz und greifen dabei auf alle bisher zur Verfügung ste-henden Daten zurück, um bereits erfolgte Attacken besser zu verstehen und als Kon-sequenz daraus künftige Sicherheitsrisi-ken von vorne herein zu verhindern und auszuschließen. Dazu ist es zunächst erforderlich, aktuelle Sicherheitslücken zu entdecken und zu beseitigen, was mithil-fe der Flut von Daten geschieht, die aus bereits erfolgten Attacken bekannt sind. Im nächsten Schritt will der ASRB Leitfä-den entwickeln und zur Verfügung stellen, die künstliche Intelligenz und quantenre-sistente Kryptografie nutzen und auf die-ser Basis ein Rüstzeug für künftige Trans-porttechnologien liefern. Gleichzeitig wird das TSC langfristig angelegte Fahrpläne entwickeln und diese der Industrie bereit-stellen, um den Weg zu selbstheilenden Fahrzeugen und Kontrollsystemen zu ebnen. Gedacht ist dabei an selbstlernen-de Sicherheitssysteme, die zum Beispiel Sicherheitsattacken erkennen, analysieren und Sicherheitslücken entsprechend schließen.

Sicherheitsrisiken verringernEs ist das große Ziel des ASRB, durch die-se Aktivitäten zum einen das Risiko künf-tiger Cybersecurity-Attacken zu minimie-ren und zudem auch Sicherheitsrisiken zu senken, Hierzu sollen OEMs und Zuliefe-rer der Initiative beitreten. Weitere Infor-mationen rund um den ganzheitlichen Ansatz enthält die per infoDIREKT erhält-liche Langversion dieses Beitrags. � n

Security für autonome FahrzeugeDe-facto-Sicherheitsstandard

Die große Frage allebeim autonomen Fahren lautet: Sind wir schon so weit? Über 62 % der Befragten einer Umfrage geben das Thema Sicherheit als größtes Problem beim autonomem Fahren an, und setzen Cybersecurity damit ganz oben auf die Agenda der erforderlichen Diskussion rund um das Thema Connected Cars. Autor: Kurt Peteler


AutorKurt Peteler, freier Redakteur

Ziel des ASRB-Kon-sortiums ist es,

durch De-facto-Standards das Risi-ko künftiger Cyber-

security-Attacken zu minimieren.

Bild:

vege

– Fo

tolia

30_ASRB.indd 30 22.11.2016 14:55:40


Fahrerassistenz Software

Hardware-VirtualisierungSicherheit durch Isolation im Automotive-Markt

Laut neuesten Daten der Weltgesundheitsorganisation WHO wurden im Jahr 2013 weltweit 1,25 Millionen Verkehrstote gezählt. Mehr als 36.000 Menschen haben ihr Leben bei Verkehrs-unfällen in den USA verloren. Noch schlimmer sind die Zahlen aus China und Indien: hier wur-den insgesamt mehr als 200.000 Verkehrstote gezählt. Autor: Majid Bemanian

gefeilter, um die Benutzererfahrung und das Fahrerlebnis zu verbessern. Zudem will man die Klimabilanz der Autoindus-trie senken und die Effizienz von Trans-portsystemen weltweit erhöhen. Auch können die meisten vernetzten Fahrzeuge heute Updates über das Mobilfunknetz erhalten, wie es bei Smartphones und Tab-lets üblich ist. Dies mag für uns Anwender und für Unternehmen eine nützliche Funktion sein, sie eröffnet Cyberkriminel-len aber auch zahlreiche Angriffspunkte, um die Kontrolle über die Fahrzeugplatt-form zu übernehmen, wenn diese nicht ordnungsgemäß implementiert wurde. Dieser Zuwachs an Angriffsfläche ist für die Autohersteller von besonderer Bedeu-tung, da die meisten bisher verwendeten Sicherheitstechniken d iese neuen Schwachstellen nicht abdecken.

Imagination hat diese Themen genau untersucht und in den letzten beiden Jah-ren eng mit Kunden, Ökosystem-Partnern und OEMs zusammengearbeitet, um Sicherheitslösungen zu definieren, die für den Automotive-Markt eine robuste Alter-native darstellen. Das Unternehmen nennt diese Lösung Omnishield und verwendet die Hardware-Virtualisierung auf der Sys-temebene, um Anwendungen in getrenn-ten und sicheren Umgebungen zu isolie-ren. Imagination nennt dieses Konzept „Sicherheit durch Isolation“. (pet) ■

Autor Majid Bemanian Director of Segment Marketing bei Imagination Technologies.


Angesichts der Tatsache, dass die Zahl der Fahrzeuge weltweit und vor allem in den Schwellenlän-

dern rasant ansteigt, sorgen die Autoher-steller für eine Reihe von Verbesserungen, um die Zahl der Verkehrstoten zu verrin-gern. Das US-Verkehrsministerium (DoT – Department of Transportation) hat vor kurzem angekündigt, dass 20 große Auto-hersteller die automatische Notbremsung (AEB – Automatic Emergency Braking) noch vor dem 1. September 2022 serien-mäßig für alle Fahrzeuge anbieten wollen.

Alle sind sich einig: es wäre ideal, wenn man Autos mit ADAS und anderen Elekt-roniksystemen ausstattet, um die Kont-rolle nicht mehr dem Menschen zu über-lassen, sondern das Fahrzeug autonom fahren zu lassen. Auf diese Art ließen sich

riskante Verhaltensweisen wie Trunken-heit, Müdigkeit oder das Schreiben von SMS-Nachrichten am Steuer vermeiden, die ein Grund für viele Verkehrstote auf unseren Straßen sind. Mithilfe geeigneter Maßnahmen soll die Zahl der Verkehrs-toten bis zum Jahr 2020 um mehr als 50 % verringert werden. Zahlreiche Menschen-leben ließen sich somit retten.

Während man allerdings ein großes Problem löst, schaffen wir möglicherwei-se ein noch viel größeres Problem. Ein kürzlich veröffentlichter Fachbeitrag in Wired zeigte auf, wie einfach ein Fahrzeug zu einer Waffe werden kann, wenn es nicht ausreichend geschützt ist.

Heutige Fahrzeuge werden – wie viele andere IoT-Plattformen – immer intelli-genter, sind vernetzt und technisch aus-

Omnishield verwendet die Hardware-Virtualisierung, um Anwendungen in getrennten und sicheren Umgebungen zu isolieren.

Bilde

r: Im

agina

tion

Virtual machineNormal world

Normalapps

Dashboardnavigation

In-carinfotainment ADAS

Trustedoperating

system

Trustedoperating

system

Trustedoperating

system

Rich operatingsystem

Trusted hypervisor

MIPS Warrior CPUMultiple secure heterogeneous domains

Hardware virtualization

PowerVR Series7 GPUMultiple secure heterogeneous domains

Hardware virtualization

Coherent fabric (NoC)

Memory

Virtual machineSecure domain



31_Imagination (pet).indd 31 22.11.2016 14:56:06


Fahrerassistenz Licht


Matrix ReloadedActive-Matrix-LED-Licht (Pixellicht) für Frontscheinwerfer: 2020 in Serie

Im Rahmen eines gemeinsam durchgeführten Forschungsprojekts haben Osram, Infineon, Fraunhofer IZM und Daimler einen neuartigen LED-Chip entwickelt, der Matrix-Licht mit 1024 Bildpunkten ermöglicht und schon 2020 in Serie auf die Straße kommen soll. Die Redaktion hat das System erlebt und liefert Hintergrundinfos sowie Beobachtungen aus der Praxis. Autor: Alfred Vollmer

tion fotografierten) Bilder 2 und 3 entstanden bei jeweils gleichem, unverändertem Fahrzeuglicht und identischen Kameraeinstel-lungen, aber etwa 15 cm seitlich verschoben jeweils etwa 8 m vor dem Scheinwerfer, zirka 1 m über dem Boden. In Bild 2 gab es keine Blendwirkung, aber außerhalb der von der ECU quasi belie-big einstellbaren Dunkelstelle ist es so hell, dass entgegenkom-mende Fahrer, Fußgänger etc. stark geblendet werden (Bild 3).

Von daher ist es nur allzu verständlich, dass Dr. Stefan Kamp-mann, Mitglied des Vorstands und CTO der Osram Licht AG, den Unterschied zwischen den besten derzeit erhältlichen Mat-rixlichtern und dem neuen Active-Matrix-LED-Licht auf tech-nischer Ebene mit dem „Übergang von VHS-Video zur DVD oder dem Übergang vom Nadel- zum Laserdrucker“ vergleicht: „Das neue System leuchtet auch den Vorraum vor dem Gegen-verkehr und den Raum dahinter aus“, und es bestehe sogar die Möglichkeit „gezielt die Kopfbereiche des Gegenverkehrs“ dun-kel zu tasten, während der Rest der Fahrbahn und der Fahrzeu-ge voll beleuchtet sind. Ein derart variables Fernlicht muss in technischer Hinsicht daher auf der Landstraße nie mehr abge-blendet zu werden.

Das Bundesministerium für Bildung und For-schung (BMBF) förderte das 14-Millionen-Euro-Projekt mit rund 7 Millionen Euro, wobei die Institute zu 100 % gefördert wurden, während die beteiligten Unternehmen maximal 50 % För-derung erhielten. Nach Angaben von Osram-Mitarbeiter Stefan Grötsch , der als Projektleiter des Forschungsprojekts agierte, war es „nicht von Anfang an klar, ob das Projekt auch wirklich rea-lisierbar ist“, sodass die Förderung hier wirklich dafür sorgte, dass sich die Beteiligten an die Arbeit machten. Etwas Glück sei trotz der inten-siven Arbeiten auf allen Seiten auch dabei nötig gewesen. Mit der Herstellung und dem Feldtest von Scheinwerfer-Demonstratoren ist das Projekt µ-AFS jetzt nach dreieinhalb Jahren erfolgreich abgeschlossen. Dr. Stefan Kampmann kommt daher zu folgendem Ergebnis: „Wir sind über-

Eines ist sicher: Mit dieser Technologie kommt das adapti-ve Fahrlicht in eine neue Dimension. Noch ist es „nur“ ein abgeschlossenes Forschungsprojekt, aber die Redaktion

hat sich vor Ort überzeugt: Die Grundlagen für einen intelligen-ten LED-Fahrzeugscheinwerfer mit hoher Auflösung sind ent-wickelt, und das Ergebnis lässt vermuten, dass der geplante SOP in Serienfahrzeugen zum Ende dieses Jahrzehnts realistisch zu schaffen ist, denn alle Entwicklungspartner haben offensichtlich von Anfang an auf ein für die Massenfertigung taugliches Pro-dukt im Auto hingearbeitet.

Unter der Gesamtprojektleitung von Osram entwickelte das Team, dem auch die Projektpartner Daimler , Fraunhofer IZM , Hella und Infineon angehören, ein Demonstrationsmodell, das weit mehr ist als nur ein Labordemonstrator. Jeder der in einem Fahrzeug aus dem Hause Daimler eingebauten fertigen Demo-Scheinwerfer enthält drei neuartige LED-Lichtquellen mit jeweils 1024 einzeln ansteuerbaren Punkten, das Scheinwerfersystem somit 6 x 1024 Lichtpunkte, die über die gesamte Projektions-breite ihr Lichtbild ausstrahlen. Dadurch lässt sich das Schein-werferlicht sehr genau an die jeweilige Verkehrssituation anpas-sen, sodass immer möglichst optimale Lichtver-hältnisse herrschen können, ohne andere Ver-kehrsteilnehmer zu blenden. Das Licht lässt sich an jeden denkbaren Kurvenverlauf so anpassen, dass es keine dunklen Randbereiche gibt.

Wie bereits in den aktuell verfügbaren Matrix-Frontscheinwerfern auf Basis von Einzel-LEDs können auch beim Active-Matrix-LED-Licht Algo-rithmen die von einer Kamera erfassten Daten auswerten und so das Umfeld analysieren. Auf Basis dieser Daten sorgt ein Steuergerät dann dafür, dass der Scheinwerfer nur die gewünschten Abschnitte auf der Straße anstrahlt, um so ein Blenden anderer Verkehrsteilnehmer zu vermeiden.

PraxistauglichWie gut das funktioniert, hat eine Demonstration in einer Tiefgarage gezeigt: Die (von der Redak-

Bild 1: Das Lichtmodul (Lichtchip + Verbin-dung + Treiberchip) hat eine aktive Licht-emit-tierende Fläche von 4 mm x 4 mm.

Dr. Stefan Kampmann (Osram): „Wir sind überzeugt, dass wir damit das Licht der Zukunft – Made in Germany – … und Sicherheit – Made in Germa-ny – realisiert haben.“

32_Licht-Report + MW Inova.indd 32 22.11.2016 14:56:45

AUTOMOBIL ELEKTRONIK 11-12 / 2016 33



zeugt, dass wir damit das Licht der Zukunft – Made in Germany – … und Sicherheit – Made in Germany – realisiert haben.“

Active-Matrix-LED-Licht: Die TechnikFür die Umsetzung entwickelte Osram Opto Semiconductors mit Infineon und dem Fraunhofer-Institut für Zuverlässigkeit und Mikrointegration (IZM) einen neuartigen LED-Chip, der 1024 einzeln ansteuerbare Lichtpunkte enthält. Bisher kamen bei adap-tiven Scheinwerfern mehrere LED-Komponenten neben- und übereinander zum Einsatz, wobei zusätzliche Komponenten das Ein- und Ausschalten von Licht-Segmenten bewerkstelligten. Dabei limitierte der begrenzte Platz im Scheinwerfer die maximal nutzbare Anzahl der Segmente. Jede einzelne LED-Zelle hat eine Grundfläche von 115 µm x 115 µm, sodass bei einem 125-µm-Raster 64 Pixel pro Quadratmillimeter enthalten sind: 1024 Pixel auf 4 mm x 4 mm. Bei einem Ansteuerstrom von 11 mA pro Pixel gibt jedes einzelne Lichtpixel 3 Lumen ab. Dabei ist auch der gleich-zeitge Betrieb aller Pixel möglich, wenn das System thermisch entsprechend ausgelegt ist. Allerdings ist in der Regel jeweils nur ein Teil der Pixel aktiviert, und wenn man bedenkt, dass man Fernlicht nur bei schneller Fahrt betreibt, dürfte auch die Kühlung bei Volllicht beherrschbar sein. Jedes der Pixel lässt sich in 1024 unterschiedlichen Helligkeitsstufen ansteuern. Dabei ergibt sich ein Gesamtkontrast von mehr als 150:1.

Das LED-ModulIn dem neuen Ansatz ist die LED-Ansteuerung schon in den Chip integriert. Für das neuartige intelligente Autolicht entwickelte der Geschäftsbereich Osram Specialty Lighting in einem zweiten Schritt rund um den hochauflösenden LED-Chip ein LED-Modul, das mit seiner elektrischen und thermischen Schnittstelle die direkte Anbindung an die Fahrzeugelektronik ermöglicht.

Infineon Technologies entwickelte die intelligente Treiber-schaltung für den neuartigen LED-Chip. Mit ihr lässt sich jeder einzelne der 1024 Lichtpunkte individuell ansteuern. Dem Halb-leiterhersteller ist es gelungen, sie so zu designen, dass sie sich in dem LED-Modul direkt mit dem über ihr liegenden lichtemit-tierenden LED-Array verbinden lassen. Dabei arbeitete Infineon

eng mit dem Fraunhofer IZT zusammen, das für die neuartige Verbindungstechnik zwischen Opto-Chip (Osram) und Treiber-Chip sorgte. „Wie bei allen anderen LED-Treibern auch bestand eine der Hauptanforderungen in der hochgenauen Steuerung des Stroms“, berichtet Thomas Liebetrau , der als Lead Principal Engineer für automobile Beleuchtungssysteme in der System-gruppe des Unternehmensbereichs Automotive bei Infineon verantwortlich ist. Infineon nutze zur Fertigung des Treiberchips bewusst einen Halbleiterprozess, mit dem der Hersteller bereits Produkte in hohen Stückzahlen fertigt, musste aber die Ober-fläche anpassen, um die Kontaktierung zu ermöglichen. Die Ableitung der Wärme aus dem LED-Chip erfolgt durch den Infineon-Chip hindurch. Da ist es nicht verwunderlich, dass der Treiberchip neben der obligatorischen Diagnosefunktionalität auch einen Temperatursensor enthält. Der Treiberchip enthält 4 x 256 Stromquellen, eine Stromquelle je Pixel. Der typische Strom pro Pixel mit Kalibrierung beträgt 15 mA, und die Ansteuerung erfolgt über ein synchrones serielles Interface.

Verbindung von Opto- und TreiberchipFraunhofer brachte in das Projekt seine Kompetenz zu Verbin-dungstechnik zwischen LED und ICs, Materialien sowie zur Erkennung und Isolation von Defekten ein. Die sehr hohe Auf-lösung gelang durch eine noch feinere Strukturierung mit einer außergewöhnlichen, miniaturisierten Anschlusstechnik. Hierzu montierten Mitarbeiter am Fraunhofer-Institut für Zuverlässig-keit und Mikrointegration IZM in Berlin LED-Arrays von Osram mit 1024 Pixeln auf eine aktive Treiberschaltung von Infineon, die jeden Pixel individuell ansteuert. „Bei einer extrem guten Entwärmung wurden die Chips so aufgebaut, dass sie den Aus-gleich einiger Mikrometer Höhenunterschied ermöglichen“, erläu-tert Dr. Hermann Oppermann , Gruppenleiter Interconnect bei Fraunhofer IZM. Dabei untersuchten die Fraunhofer-Mitarbeiter zwei Technologievarianten parallel: das Thermokompressions-Bonden mit nanoporösem Goldschwamm und das Reflowlöten mit einer hoch zuverlässigen Gold-Zinn-Legierung. Beide Mon-tagetechniken führten zum Erfolg „und bewiesen ein robustes Interface für nachfolgende LED-Prozesse“, führt Dr. Oppermann

Bild 2: Für dieses Foto stand die Kamera in einer Austastlücke, sodass es zu keinem Blendeffekt kam.

Bild 3: Platziert man die Kamera nur etwa 15 cm weiter rechts, kommt es zu einer deutlichen Blendung.

Bilde

r: Alfr

ed Vo

llmer






weiter aus. „Wir realisieren dabei Anschlüsse mit einer minima-len Breite von 30 µm mit Abständen bis hinunter zu 15 µm.“ Obwohl Gold ein teurer Kontaktierungs-Grundstoff ist, lässt sich der Prozess offensichtlich durch die Wafer-Level-Montage ziem-lich preisgünstig durchführen, zumal die Kontaktierung galva-nisch mit etwa 15 µm Dicke erfolgt.

Der LichtchipZu den technologischen Herausforderungen des hochauflösenden LED-Scheinwerfers gehört der trotz Grundmaßen von nur 4 mm x 4 mm vergleichsweise große Chip mit 1024 einzeln ansteuerba-ren Pixeln, denn mit zunehmender Grundfläche des LED-Chips steigt bei der Herstellung das Risiko für ein Versagen oder eine

niedrigere Leuchtkraft einzelner Lichtpunkte innerhalb der Pixel-Matrix. Um dieser Problematik zu begegnen, hat das Fraunhofer-Institut für Angewandte Festkörperphysik IAF in Freiburg eine neue Technologie zur Reparatur von Defekten während des lau-fenden Herstellungsverfahrens entwickelt, was niedrigere Her-stellungskosten der großflächiger LED-Chips bedeutet.

Der Active-Matrix-LED-ScheinwerferHella spezifizierte ausgehend von den funktionalen Anforderun-gen aus dem Hause Daimler die wesentlichen technischen Anfor-derungen an die Lichtquelle. Das Unternehmen aus Lippstadt entwickelte das gesamte optische System der Lichtmodule sowie deren Entwärmungskonzept und baute die Prototypenschein-werfer auf. Diese erzielen Hella zufolge „eine sehr hohe Systemef-fizienz und erzeugen ein ausgesprochen homogenes Lichtbild bei gleichzeitig guter Abbildungsqualität der einzelnen Lichtpunkte“.

Details rund um die Praxistauglichkeit finden Sie in der Lang-version dieses Beitrags per infoDIREKT. ■

AutorAlfred VollmerRedakteur AUTOMOBIL-ELEKTRONIK

Bild 4: So könnte das Active-Matrix-LED-Licht die Nacht erhellen.

Inova Semiconductors hat auf der Elect-ronica die Details eines neuen Konzepts für die LED-Beleuchtung innerhalb des Fahrzeugs vorgestellt. Das erste im Rah-men dieser Iseled genannten Allianz ent-wickelte LED-Produkt wird bereits im ersten Quartal 2017 von Dominant Opto Technologies erhältlich sein. Bereits im Cover-Interv iew mit AUTOMOBIL-ELEKTRONIK (infoDIREKT 300ael1016) hatte Inova-Geschäftsführer Robert Kraus weltweit erstmals die neue Tech-nologie vorgestellt.

Grundlage des Iseled-Konzepts ist ein „intelligenter“ LED-Controller von Inova, den Dominant zusammen mit drei farbi-gen LEDs (rot, grün und blau) in ein 2,8 x 4,1 x 0,65 mm3 „großes“ Gehäuse integ-riert. Ein einziger Mikrocontroller kann dabei einen LED-Streifen mit theoretisch bis zu 4.096 LEDs ansteuern. Zur Ansteu-erung der roten, grünen und blauen LEDs

-Lösungen für den Einsatz im Fahrzeug. Grundlage dafür ist ein völlig neues Kon-zept für die Steuerung und Überwachung der LED. „Dieses Konzept senkt die Kos-ten, vereinfacht die Ansteuerung der LEDs und erweitert die Funktionalität des Ambi-ente-Lichts um Informations- und Warn-Funktionen“, erklärt Robert Kraus. „Wahr-scheinlich erleben wir gerade die Entste-hung eines neuen LED-Standards für die Automobilindustrie.“

Die Gründungsmitglieder der Iseled-Allianz sind die Unternehmen Inova Semi-conductors, Dominant Opto Technologies, NXP und TE Connectivity sowie die Hoch-schule Pforzheim .

Weitere Informationen finden Sie in der Langversion dieses Beitrags bequem per infoDIREKT 333ael1216. (av) ■

DAS AMBIENTE-L ICHT IM FAHRZEUG VERÄNDERT SICH MASSIV DURCH ISELED

Die „digitale LED“ stellt sich vor


ist der Controller mit Konstantstromquel-len ausgestattet. Die Einstellung der Farbe der RGB-LED erfolgt mit einer Auflösung von 24 Bit (3 x 8 Bit). Um Temperaturein-flüsse und Fertigungstoleranzen auszu-gleichen, lässt sich die Helligkeit jeder einzelnen LED mit einer Auflösung von 12 Bit selektieren.

Ein eingebauter Temperatursensor sorgt dabei für die erforderliche Präzision, und sowohl die Kalibrierwerte der Konstant-stromquellen als auch die Messwerte für die Temperaturkompensation werden in einem nichtflüchtigen Speicher im Con-troller abgelegt.

Iseled ist eine offene Allianz, die gegründet wurde, um den Anwendern von Anfang an ein ganzes Ecosystem für die Entwicklung von Produkten auf Basis die-ser neuen LED-Plattform bereitzustellen. Ziel der Iseled-Allianz ist die Entwicklung und Umsetzung von LED-Produkten und

Bild:

Osram


Veranstalter:untitled exhibitions [email protected].: +49 711 217267 17

lighting-technology-az-210x297mm_ElektrikJournal-1/1_FINAL_2016-11-10a.indd 1 10.11.16 15:4235_1_1 Anzeigenlayout.indd 35 22.11.2016 14:59:58


Car-to-X/OTA Remote-Diagnose


Game-Changer ConnectivityRemote-Analysen bei der Fahrzeugentwicklung und Produktpflege

Vernetzte Fahrzeuge bieten OEMs, Tier-1-Zulieferern und anderen Beteiligten neue Möglichkeiten zur Diagnose und Datenanalyse. Anstatt auf in der Werkstatt ausgelesene Daten angewiesen zu sein, lassen sich fallbezogene Fragestellungen durch die gezielte Erfassung aktueller Flottendaten beantworten. Elektrobit hat einen kompletten Workflow rund um die Sammlung und Analyse sol-cher Fahrzeugdaten entwickelt. Autoren: Dr. Oliver Pajonk, Sebastian Fräßdorf, Axel von Engel

Diese Vorgehensweise eignet sich zwar gut dafür, umfassende Erkenntnisse über das Verhalten einer kompletten Fahrzeugflot-te zu gewinnen, birgt aber auch Nachteile. So stehen für die Analyse nur vordefinierte Daten zur Verfügung und der Aufwand und die Last für die Mobilfunkübertragung und für die zur Spei-cherung verwendeten Backendsysteme ist erheblich. In manchen Ländern, einschließlich dem datenschutzsensiblen deutschen Markt, wirft ein solches Vorgehen nicht zu vernachlässigende juristische Fragen auf.

Demgegenüber bietet ein fallbezogener On-Demand-Ansatz für Datenanalysen klare Vorteile: Er unterstützt spezielle Frage-stellungen, für die man sehr spezifische Fahrzeugdaten erheben und analysieren muss. Er arbeitet außerdem ressourcenschonend und berücksichtigt das Grundprinzip einer möglichst sparsamen Erhebung von Daten. Allerdings müssen Analysten die von ihnen untersuchten Fragestellungen im Vorfeld exakt spezifizieren. EB Cardian verfolgt genau diesen Ansatz.

Definierter Workflow für Remote-AnalysenDer typische Workflow einer auf diese Weise durchgeführten Daten-analyse umfasst die Formulierung einer exakten Fragestellung, die Definition der zu berücksichtigenden Daten und Fahrzeuge, die Durchführung der Datenerfassung, eine Qualitätssicherung des gesammelten Datenbestands, die darauf basierende Analyse und die Aufbereitung der Ergebnisse. Die erzeugten Reports und gege-benenfalls Datenexporte sind dann die Basis für weitere Prozess-schritte. Dieser Ablauf lässt sich am besten an einem bewusst ein-fach gehaltenen praktischen Beispiel verdeutlichen: eine Analyse möglicher Ausfälle der Starterbatterien im Winter.

Die für eine solche Analyse formulierte Fragestellung könnte zum Beispiel lauten: „Gibt es in der Fahrzeugflotte Starterbatte-

Nicht nur für Automobilhersteller und Zulieferer, sondern auch für den Fahrzeugbesitzer stellen Daten aus Remote-Diagnosen, die weit über die in der Werkstatt ausgelesenen Diagnose- und Analysedaten hinausgehen, ein enormes Potenzial für Verbesserungen und Optimierungen dar. Auf der Basis der zunehmenden Fahrzeugvernetzung steht mit der Analyse-Plattform EB Cardian eine Komplettlösung zur Verfügung, die über einen definierten Workflow fallbezogene On-Demand-Daten erfasst und analy-siert. Das System arbeitet ressourcenschonend und berücksichtigt vor al-lem auch sicherheitsrelevante und juristische Fragen.

Eck-DatEn

Der traditionelle Ansatz ist ebenso rudimentär wie unbe-friedigend: Log-Dateien und Fehlerprotokolle der Steu-ergeräte werden in der Werkstatt ausgelesen, dort zur

Fehlerdiagnose genutzt und dem OEM anschließend gegebe-nenfalls zur Verfügung gestellt. Diese Daten sind daher nicht zeitnah verfügbar, und ihre Erhebung erfolgt nur dann, wenn der Fahrer ein Problem mit seinem Auto hat oder seinen Händ-ler für eine Routineinspektion besucht. Mit Remote-Diagnosen über eine bestehende Fahrzeugvernetzung lässt sich dieser Pro-zess erheblich verbessern. Davon profitieren OEMs und die Nut-zer beziehungsweise Besitzer der Fahrzeuge gleichermaßen. Auch für Händler und Werkstätten bietet diese Vorgehensweise interessante Geschäftsmodelle. Das Remote-Analytics-System EB Cadian stellt eine Komplettlösung für solche Anwendungen dar, die auf einem eigens entwickelten Workflow basiert und einen On-Demand-Ansatz für die Erfassung und Analyse von Fahrzeugdaten verfolgt.

Im Markt gibt es bereits Verfahren, die kontinuierlich mit einer bestimmten Erfassungsrate einen Satz von Messwerten oder Fahrzeugdaten sammeln und für spätere Analysen vorhalten.

1 2Last (Badarf/Sekunde)

Zeit

Fahrzeuge

Histogramm

Histogramm

~ Distanz = 9.2

• Uhrzeit (Tag / Nacht / Stoßzeit• Werktag / Wochenende• Feiertage / Reiseverkehr

36_Elektrobit (pet).indd 36 22.11.2016 14:57:37



rien, die sich signifikant anders verhalten als die meisten ande-ren Batterien?“ Die Annahme hier ist, dass ein solcher Ausreißer im Verhalten einen Indikator für einen potenziellen Ausfall dar-stellt. Um diese Frage auf Basis quantifizierbarer Daten beant-worten zu können, lässt sich zum Beispiel die Aufgabe „Erfasse 900 mal den Spannungspegel der Batterie im Abstand von jeweils 1000 Millisekunden“ ableiten. Typischerweise würde diese Auf-gabe zudem auf einen für die Analyse besonders relevanten Teil der Fahrzeugflotte begrenzt – im erwähnten Beispiel könnten dies Fahrzeuge mit Benzinmotoren sein, die älter als drei Jahre sind. Die Analyse-Plattform EB Cadian definiert für solche Auf-gaben-Spezifikationen eine domänenspezifische Sprache (domain-specific language – DSL). Eine DSL ist eine computer-interpretierbare Sprache, die spezifisch für einen Themenschwer-punkt entwickelt wurde, wie beispielsweise die gezielte Samm-lung von Fahrzeugdaten durch Analysten. Wichtig bei der Spe-zifikation der Datensammlungsaufgabe ist, dass diese agnostisch gegenüber einzelnen Fahrzeugen bleibt: Sie darf keinerlei Details über die fahrzeuginterne Herkunft und Repräsentation der Daten enthalten. Die Auswahl der Fahrzeuge aus der gesamten Flotte erfolgt anschließend über Eigenschaften wie Kraftstoffart, Kilo-meterstand, Modell oder Ausstattungslinie und ähnliche Merk-male. Sofern ein OEM, der Zugriff auf spezifische Daten wie Produktionsdatum, Fahrgestell-, Serien- oder Teilenummern und ähnliches hat, das System einsetzt, kommen auch diese Angaben als Filtermerkmale in Frage.

Aus der so formulierten und auf relevante Flottenmitglieder eingegrenzten Experiment-Definition leitet sich die konkrete Erfassung der Daten ab. Die Analyse-Plattform erzeugt aus der fahrzeugagnostischen Darstellung fahrzeugspezifische Aufgaben und weist diese den durch den Filter bestimmten einzelnen Fahr-

zeugen zu. Nur in diesen Fahrzeugen führen die betroffenen Steuergeräte diese Aufgabe während der Fahrt aus. Ein Teil der Datenverarbeitung erfolgt bereits lokal im Auto, beispielsweise die Normalisierung und Umrechnung von Messwerten auf SI-Einheiten oder die einfache Verknüpfung mehrerer Messwerte zu einer abgeleiteten Größe. Dabei kommen verschiedene Daten-quellen in Betracht, etwa Informationen vom CAN-Bus, Diag-nosedaten oder Bedienvorgänge des Fahrers wie beispielsweise ausgelöste Touch-Events des HMI (Human Machine Interface).

Die von den Steuergeräten erfassten Diagnosedaten werden verschlüsselt und signiert an das Backend übertragen und dort gesammelt. Im genannten Batterie-Beispiel wäre dies nun der Spannungsverlauf der Batterie über den definierten Erfassungs-zeitraum.

Qualitätssicherung und AnalysetechnikenEin weiterer wichtiger Schritt ist die Qualitätssicherung. Es wird immer wieder vorkommen, dass einzelne Messdaten fehlerhaft sind, beispielsweise dass sie außerhalb eines plausiblen Werte-bereichs liegen, beschädigte Zeitstempel besitzen oder andere Mängel aufweisen. Vor der Analyse sollte man deshalb die Kon-sistenz der Daten prüfen und sicherstellen. Dies kann neben der Filterung unplausibler Werte zum Beispiel auch die Interpolation fehlender Messwerte bedeuten. Je nach Aufgabenstellung besteht auch die Möglichkeit, einen Datensatz, der mehr als einen bestimmten Prozentsatz als potenziell falsch erkannter Mess-werte enthält, von der weiteren Verarbeitung auszuschließen und den gesamten fehlerhaften Messwertesatz zu ignorieren.

Anschließend erfolgt die Analyse der Daten gemäß der ursprünglich formulierten Aufgabenstellung. Dies kann wie im genannten Fall der Starterbatterie eine Identifikation von Aus-

Aus den Zeitreihen der Autos transformierte Histogramme stellen die Vergleichbarkeit zwischen Fahrzeugen oder Fahrzeugflotten her.

Die Fahrzeugvernetzung eröffnet neue Dimensionen für die Diagnostik und Analyse von Fahrzeugdaten.

Neben Sicherheitsfragen ist auch die Skalierbarkeit der Plattform und der beigefügten Systeme ein wichtiger Faktor.

1

2

3

3





AutorenDr. Oliver Pajonk Mitarbeiter bei ElektrobitSebastian Fräßdorf Mitarbeiter bei ElektrobitAxel von Engel Mitarbeiter bei Elektrobit


reißern oder Auffälligkeiten sein: die Zeitreihen der Autos wer-den hierbei in Histogramme transformiert, um die Vergleichbar-keit zwischen Autos herzustellen. Im nächsten Schritt wertet das System paarweise zwischen jeweils zwei Autos eine sogenannte Distanzfunktion aus, welche ein Maß für die Ähnlichkeit der Spannungshistogramme darstellt. Dieser Vergleich kann zwi-schen den teilnehmenden Autos eines einzigen Datensamm-lungslaufs erfolgen, oder auch über mehrere Läufe hinweg. Nach der Auswertung aller Vergleichspaare lassen sich Autos identi-fizieren, die nur wenige oder keine Nachbarn im Vergleich der Spannungshistogramme haben (k-nearest neighbor).

Dieser im vorliegenden Beispiel bewusst einfach gehaltene Ansatz lässt sich hin zu multivariaten Daten, anwendungsspe-zifischen Transformationen der Zeitachse oder anderen Muster-erkennungsalgorithmen erweitern. Ein Vorteil dieser Methode ist, dass sie eine unüberwachte Variante maschinellen Lernens ist und zur Ausführung keine teuren Trainingsdaten benötigt. Natürlich sind an der Stelle auch komplexere Algorithmen denk-bar, die problemspezifischer designt sind und somit zusätzliche Informationen in den Analyseprozess einfließen lassen können.

Am Ende steht die Aufbereitung der ermittelten Ergebnisse, beispielsweise in Form von Text- oder Grafikdaten oder auch als numerische Werte in Form von CSV-Dateien, um die Analyse-ergebnisse nach Bedarf extern weiterzuverarbeiten.

Das Ergebnis steht natürlich in erster Linie demjenigen zur Verfügung, der die ursprüngliche Analyse-Aufgabe definiert und in Auftrag gegeben hat. Analyse-Experten sind jedoch typischer-weise Multiplikatoren innerhalb ihres Unternehmens, die spe-zifische Verfahren, Ergebnisse und Erkenntnisse dann mit ande-ren Beteiligten teilen sowie gelegentliche Nutzer des Systems in die Lage versetzen, komplexe Aufgabenstellungen zu bearbeiten. Die Konsequenzen aus einer entsprechenden Analyse könnten – teilautomatisiert oder gegebenenfalls auch als Ergebnis eines komplett automatischen Prozesses – zum Beispiel zu einer Benachrichtigung im Fahrzeug führen. Im Batterie-Beispiel käme etwa eine Displaymeldung in Betracht, die auf den möglichen baldigen Ausfall der Batterie hinweist. Hierauf können wiederum weiterführende Geschäftsmodelle gründen, etwa ein Sonderan-gebot für den Einbau einer neuen Batterie.

Datenschutz und Datensicherheit im FokusDatenschutz und Datensicherheit sind wichtige Aspekte, die beim Design von EB Cadian eine zentrale Rolle spielten. So sind die im Rahmen von Remote-Analysen erfassten Daten anonymisiert. Sowohl der Zugriff auf das Frontend durch den Analysten als auch der Zugriff durch das System auf jedes einzelne Fahrzeug erfordert eine gegenseitige Authentifizierung. Alle Verbindungen und alle übermittelten Datensätze erfahren eine Verschlüsselung nach starken kryptografischen Verfahren. Alle Abfragen und Datenkommunikationsvorgänge dokumentiert man im Hinblick auf gegebenenfalls betroffene Compliance-Richtlinien und mög-licherweise erforderliche Audits in ebenfalls verschlüsselten und zugriffsgeschützten Logdateien.

Überdies hat Elektrobit für den Einsatz seines Systems und generell für die Sicherheit von Cloud-Anwendungen einige Best Practices definiert: Gerade im Hinblick auf Datenschutz und Datensicherheit sollte eine Risiko- und Bedrohungsanalyse erfol-gen, die bei der Identifikation der notwendigen Sicherheitskon-zepte und -elemente hilft. Im Rahmen von Software-Entwick-lungen sollte man die Code-Qualität durch eine Qualitätsma-nagement-Plattform überwachen und sicherstellen. Grundsätz-lich ist es ratsam, möglichst viele Teile der Prozesse rund um Entwicklung, Provisionierung, Test, Roll-out und Monitoring zu automatisieren. Reproduzierbarkeit der Ergebnisse, ihre Zuver-lässigkeit sowie die mögliche Umsetzungsgeschwindigkeit stei-gen dadurch deutlich.

Neben Sicherheitsfragen ist auch die Skalierbarkeit der Platt-form und der vom OEM beziehungsweise Tier 1 beigefügten Systeme ein wichtiger Faktor. Mit seiner zustandslosen Micro-Service-Architektur ist EB Cadian hier konzeptionell auf dem neuesten Stand der Technik. Für eigene Entwicklungen und Ergänzungen empfiehlt der Hersteller den Grundsatz „Think big“, denn es ist meist sehr schwer, ein nicht von vornherein auf horizontale Skalierbarkeit ausgelegtes System für sehr hohe Last zu skalieren. Der übliche Weg, einfach größere Maschinen zu kaufen führt schnell in eine Sackgasse. Einzig eine von vornhe-rein skalierbare Architektur kann dies leisten. Ein zweiter Aspekt der Skalierbarkeit ist der umgekehrte Fall: In Zeiten geringer Last sollte das System in der Lage sein, nicht genutzte Ressourcen freizugeben und somit Kosten zu sparen.

Um ein möglichst breites Spektrum an Einsatzmöglichkeiten zu unterstützen, ist EB Cadian modular aufgebaut und lässt sich als Modul in bestehende Flotten- und Modell-Management-Systeme oder Analyse-Tools integrieren. Mit On-Demand-Daten-analysen im Feld erschließen sich OEMs und Tier 1 viele neue Möglichkeiten zur Verbesserung ihrer Entwicklungsprozesse und Produkte sowie zur Realisation neuer Dienste und Geschäfts-modelle. (pet)� n

Ein eigens entwickelter Workflow beschreibt den detaillierten Ablauf der Datenerfassung und -analyse.

Fragestellung / Aufgabe

Verteilte Datensammlung

Datenqualitäts- sicherung

Analyse

Ergebnisreport

Untersuchungsdesign der Datensammlung

= Cloud= Beteiligung der Analysten= Onboard

Analyst

Bilde

r: Elek

trobit



Car-to-X/OTA Fahrzeug im IoT


Worauf es ankommtInternet der Dinge (IoT) im vernetzten Fahrzeug

Das Internet of Things hat den Automotive-Bereich erreicht. Was mit Infotainment begann, schritt dann immer weiter voran bis hin zur Verschmelzung von Sensor-, Positionierungs- und Mobilfunk-daten sowie Kurzstreckenkommunikation in viel versprechenden neuen V2X-Architekturen. Diese haben nun das Potenzial, eine neue Ära bei der Entwicklung autonomer Fahrzeuge einzuläuten, um das Fahrerlebnis und die Sicherheit zu verbessern. Autoren: Thomas Nigg, Costas Meimetis

Die logische Folge daraus ist, dass man beim Schritt zu V2X entsprechende Maßnahmen ergreifen muss, damit Kommuni-kation zuverlässig und mit niedrigen Latenzzeiten stattfinden kann. Weiterhin muss man bewährte Designtechniken einbinden und zuverlässigere Komponenten oder Module einsetzen. Dann kann Automotive Cognition den Weg hin zu sicheren, zuverläs-sigen und wirklich autonomen Fahrzeugen ebnen. Engmaschig integrierte ADAS (Advanced Driving Assistance Systems) zur Kollisionsvermeidung verbessern dabei die Verkehrssicherheit, was auch die Gewinnmöglichkeiten für kommerzielle Aufgaben wie Flottenmanagement steigert.

Infotainment als AusgangspunktAus rein technologischer Sicht ist die Ausstattung von Autos mit Internetkonnektivität nur eine natürliche und evolutionäre Reak-tion auf die Verschiebung von mobilen Geräten vom privaten Wohnumfeld hin zum Auto. Kfz-Hersteller haben erkannt, dass Verbraucher ihr Unterhaltungserlebnis zuhause, unterwegs und im Auto enger miteinander verknüpfen wollen.

Nach kürzlich von der Scotiabank/BI Intelligence erhobenen Daten werden bis 2020 etwa 75 % der geschätzten 92 Millionen

Grundsätzlich lassen sich mit V2X (Vehicle-To-Eve-rything) kritische Informationen zwischen Infrastruk-tur und Fahrzeugen austauschen, um zum Beispiel

Unfälle an Kreuzungen zu vermeiden oder auch die erforderli-chen Standortinformationen an die vermehrt vorgeschriebenen E-Call-Dienste für Notrufe zu senden. V2X hat darüber hinaus das Potenzial, ein neues Zeitalter der kognitiven Fahrzeuge zu definieren, die nicht nur ihren eigenen Status kennen, sondern auch den Status anderer Fahrzeuge und sogar den Zustand der Umgebung, des Wetters, der Straßen, des Verkehrs und einer Vielzahl anderer relevanter Parameter.

Diese Automotive Cognition, bei der Sensing, Kommunikation und Entscheidungen auf der Ebene von Maschine zu Maschine stattfinden, hebt das Transportwesen in Fahrzeugen auf eine neue Stufe, weit über Unterhaltung und klassisches IoT hinaus, nämlich in den Bereich „Internet of Things That Really Matter“, also das „Internet der Dinge, auf die es wirklich ankommt“. Letztendlich könnte ein Fehler oder falsche Information in der Kette von einem einzigen kritischen Sensor- oder Positionierungselement über die Fernanalyse bis hin zur endgültigen Reaktion für den Fahrer und potenziell auch für den OEM eine Katastrophe bedeuten.

Head unit Rear seat display (RSD)

Telematics Control Unit (incl. eCall) Antenna module

Bei den Antennen zeichnet sich gerade ein Wechsel zu

kostengünstigerer digitaler Verkabelung ab, wobei alle Funkelemente in der Dach-

Flosse oder den Spiegeln integriert sind.

Bilde

r: U-b

lox

39_U-Blox (pet).indd 39 22.11.2016 14:58:56



Fahrzeug prognostiziert. Interessanterweise schätzt BI ( Business Insider ), dass bei 220

Millionen vernetzten Fahrzeugen auf der Straße weltweit nur die Eigentümer von

88 Millionen Fahrzeugen auch wirklich die Dienste aktivieren werden. Den-noch erwartet BI, dass Verbindungen im Auto einerseits die Gunst der Ver-braucher gewinnen, denn bei der Übertragung von Fahrzeuginforma-tionen lässt sich die Nutzung von Mobilfunkverträgen umgehen. Ande-

rerseits können Hersteller damit Daten zur Leistung eines Autos gewinnen und

OTA-Updates (Over-the-Air) senden, womit sie die Anzahl der Rückrufaktionen

reduzieren können. Das ist ein entscheiden-des Feature bei Systemen, deren Komplexität

mit der steigenden Anzahl von IoT-Anwendungen in Fahrzeugen in privaten, öffentlichen oder unter-

nehmenseigenen Flotten exponentiell steigt.

Höchste Wachstumsrate bei IoT-GerätenIm Jahr 2014 veröffentlichte Gartner eine weitere Studie, in der man die Gesamtzahl der installierten IoT-Geräte auf 25 Milliar-den bis 2020 vorhersagte. Dabei zeigte der Automotive-Bereich die höchste Wachstumsrate von 96 % im Jahr 2015.

Die Anwendungsmöglichkeiten für IoT im Automotive-Bereich und im Transportwesen insgesamt sind zahlreich. Thing Worx , ein Unternehmen, das sich auf die Bereitstellung benutzerfreund-licher und sicherer Cloud-Konnektivität für IoT-Geräte sowie die entsprechende Implementierung, Kommissionierung und Ver-waltung spezialisiert hat, verweist auf eine Reihe von Features, die IoT ermöglicht. Dazu gehören Notrufdienste, Fahrzeugdia-gnose aus der Ferne, Tracking und Ortung von Fahrzeugen, sichere Fahrzeugführung, Dienste, die SMS und andere Smart-phone-Funktionen während des Fahrens abschalten und Hilfe-stellung für jugendliche Fahranfänger. Außerdem haben Versi-cherungsunternehmen die Möglichkeit, die Telematikdaten der Fahrzeuge zur Analyse von Fahrweisen verwenden, sichere Fahr-weisen fördern und Kunden mit niedrigeren Beiträgen für gutes Fahrverhalten belohnen zu können.

Bedeutung für FlottenmanagerDas Sammeln und die Übertragung von On-Board Diagnoseda-ten (OBD-II) in Kombination mit Sensoren, präziser Positionie-rung und Fahrerüberwachung sind auch für Flottenmanager wichtig, die damit den Zustand von LKWs und Fahrern überwa-chen können, indem man durch rechtzeitige Wartung eine LKW-Panne vermeidet oder überprüft, ob der Fahrer aufmerksam ist und eine gute Fahrweise pflegt.

Diese Überwachung klingt zwar nach Big Brother, kann aber für Flottenmanager in einem sehr umkämpften Markt den Unter-schied zwischen Fortbestand des Unternehmens oder Ausschei-den aus dem Geschäft bedeuten. Treibstoffeinsparungen, Zeiter-

ausgelieferten Autos mit Hardware für Internetkonnektivität ausgestattet sein, was einer jährlichen Wachstumsrate von 45 % entspricht. Die Anwendungen reichen dabei von Musik- und Videostreaming, Suchläufen im Web bis hin zum Empfang von Verkehrszustands- und Wetterberichten. Der durchschnittliche Verkaufspreis eines vernetzten Fahrzeugs soll dadurch im Luxus-bereich bei rund 55.000 US-$ liegen, wobei ein dramatischer Preisrutsch für die einzelnen Komponenten drahtloser Kommu-nikation zu erwarten ist.

Nach Prognosen von Gartner werden bis 2020 mehr als 250 Millionen Fahrzeuge weltweit vernetzt sein, wobei man eine Verdopplung der Verbraucherausgaben für Konnektivität im

Das mit IoT vernetzte Fahrzeug wird eine Vielzahl von Funktionen mitein-ander kombinieren und so das Potenzial von V2X in die Realität umsetzen.

Mit der zunehmenden Vernetzung und Autonomisierung von Fahrzeu-gen spielt der Begriff IoT eine immer wichtigere Rolle. Aber auf welche Dinge kommt es wirklich an? U-Blox sieht in dem V2X-Ansatz ein gro-ßes Potenzial für neue Möglichkeiten zur Kombination von Sensorda-ten mit präziser Positionierung, Konnektivität per Mobilfunk und Kurz-strecken-Wireless-Verbindung.

Eck-DATEN

Installierte IoT-Geräte (Mio.)

Kategorie 2013 2014 2015 2020

Automative 96,0 189,6 372,3 3.511,1

Komsumgüter 1.842,1 2.244,5 2.874,9 13.172,5

Generisches Geschäft

395,2 479,4 623,9 5.158,6

Vertikales Geschäft

698,7 836,5 1.009,4 3.164,4

Insgesamt 3.032,0 3.750,0 4.880,6 25.006,6

Von den zahlreichen Positionierungssystemen sind nur zwei global zugänglich, bieten jedoch nicht die erforderliche Genauigkeit für sichere Spurwechsel.

Bild:

U-blo

x / W

ikipe

dia

39_U-Blox (pet).indd 40 23.11.2016 11:54:36





sparnis durch automatische Maut zusammen mit weniger Pannen können rasch zu geringeren Gesamtgeschäftskosten führen.

Diese Überwachung stellt auch die Weichen für autonome Trans-portsysteme, die sich dank der Arbeit von Google , Audi , Apple , BMW , Blackberry , Ford und vielen anderen bereits am Horizont abzeichnen. Diese Unternehmen arbeiten aktiv zusammen, sodass es zunehmend schwieriger wird, Autohersteller von den bisherigen Software-Entwicklern für Konsumgüter zu trennen. Wer beim Fahrerlebnis die Nase vorn behalten wird, dürfte spannend werden.

BI Intelligence weist auch auf den Einsatz von IoT bei leistungs-starken Fahrassistenzdiensten wie bei selbstparkenden Autos hin. Aber dies ist nur die Spitze eines großen und faszinierenden Eisbergs mit dem Namen V2X, dem aktuellen Stadium der Ent-wicklung im Automotive-Bereich.

Ein Bericht, den im August 2015 ein Team von Deloitte Con-sulting LLP unter der Leitung von Simon Ninan herausgegeben hatte, zeigte die verschiedenen Stufen der Konnektivität im Fahr-zeug, von den Anfängen mit dem DAIR-System und Onstar von GM über SYNC von Ford, UVO von Kia und Mylink von GM bis hin zu V2X in Stufe 3. Als nächstes kommt Stufe 4 mit Tesla Autopilot und selbstfahrenden Autos.

Technologien für V2X und autonome FahrzeugeViele für V2X erforderliche Technologien sind schon etabliert oder man arbeitet an ihnen bereits mit Hochdruck. Allerdings bedeu-ten die langen Designzyklen im Automotive-Bereich, dass ein Einsatz auf der Straße erst in ein paar Jahren möglich sein wird. Vom ersten Konzept bis zur Serienfertigung betragen die Desig-nzyklen im Automotive-Bereich drei bis vier Jahre, im Gegensatz zu 18 Monaten oder weniger bei der Konsumelektronik.

Der Grund für die langsameren Designzyklen im Automotive-Bereich liegt in der Gefahr und der strengeren Haftung, die mit falsch funktionierenden Produkten einhergehen. Die in letzter Zeit aufgedeckten Hacking-Probleme legen drastisch dar, dass ein hohes Maß an Vorsicht erforderlich ist. Dazu ist auch noch zu beachten, dass die Einhaltung von Standards wie ISO 26262 dabei hilft, die Funktionssicherheit von Automobilausrüstung sicherzustellen. Jedoch lässt sich diese Einhaltung nur mit Zeit und Geld bewerkstelligen. Dasselbe gilt für Wireless-Konnekti-vität, die globale behördliche Anforderungen erfüllen muss.

Neue Möglichkeiten mit V2XTrotzdem werden verstärkt Anwendungen für V2X-Technologien entwickelt. Ingenieure finden neue Möglichkeiten zur Kombina-tion von Sensordaten mit präziser Positionierung (POS), Kon-nektivität per Mobilfunk (CEL) und Kurzstrecken-Wireless (SHO). Das Ergebnis ist ein Rückstau an noch zu implementierenden Ideen und Konzepten, die alle miteinander zusammenhängen, sowohl innerhalb des Fahrzeugs als auch rund um das Fahrzeug.

Bei der Entwicklung hin zu autonomen Fahrzeugen sind Head-Up-Displays, Spurhalte-Assistenten oder Spurwechsel-Warnsys-teme interessante Beispiele. Sie benötigen alle hochpräzise Posi-tionierung mit einer Genauigkeit von einem Meter oder weniger sowie eine Erkennung der Absichten, nicht nur des Fahrers, son-dern auch anderer Fahrzeuge. Neben hochpräziser POS ist es erforderlich, dass sich Lenkgeschwindigkeiten und die relative Position und Geschwindigkeit von Fahrzeugen in der Nähe mit niedrigen Latenzzeiten kommunizieren lassen. Erst nach der Analyse all dieser Informationen kann das On-Board-System eine Entscheidung für oder gegen einen Spurwechsel anzeigen.

Die nächsten Schritte sind eine Fahrerassistenz auf Überland-straßen und Autobahnen, die das Fahren ohne Hände am Lenk-rad unterstützt, danach die vollautomatische Fahrzeugführung auf Überlandstraßen und schließlich autonome Fahrzeuge.

Positionierung, Antenne und mehrViele weitere Details rund um das Thema Positionierung, Anten-ne und Wireless-Anbindung finden Sie zusammen mit einem Fazit in der Langversion des Beitrags per infoDIREKT. (pet) ■

Autoren Thomas Nigg Senior Director Product Strategy Positioning bei U-Blox

Costas Meimetis Director Product Strategy Short Range Radio bei U-Blox

69

2013E

Global Cars Shipped

2014E

72 75 78 81 8488 92

7 710 15

22

32

47

69

2015E 2016E

Five Year (2015-2020)CAGR 45%

2017EBI Intelligence

Mill

ions

2018E 2019E 2020E

Shipped With Connectivity

The V2X era2012 – ongoingExamples: Tesla app, Nissan Nismo,Progressive Snapshot

The embadded era1995 – 2002

Examples: GM Onstar

The R&D era1966 – 1995Examples: GM‘s DAIR system

01

00

02

03

04The new mobility era2020 – ongoingExamples: Tesla Au-topilot, self-driving initiatives by Google, Audi, Daimler

The infotainmente era2007 – 2012Examples: Ford SYNC, Kia UVO, GM MyLink

Während das Aufkommen von Infotainment quasi Unterhaltungswert hatte, wird V2X eine Ära der Automotive Cognition einläuten.

Bis 2020 sollen 75 % der weltweit ausgelieferten Autos mit Hardware für Internetkonnektivität ausgestattet sein.

Bild:

U-blo

x / D

eloitt

e Univ

ersity

Pre

ss / D

Upres

s.com

Bild:

U-b

lox /

www.

busin

essin

sider.

com

39_U-Blox (pet).indd 41 22.11.2016 14:59:02

Tools Modellbasiertes Design


Moderne E/E-Architekturen optimierenModellbasierte Werkzeuge für die nächste Architekturgeneration

Durch Fahrerassistenz und Konnektivität entstehen völlig neue Funktionen, die nicht mehr nur auf das Fahr-zeug beschränkt sind, sondern auch im „Backend“ außerhalb des Fahrzeugs bereitgestellt werden. Bei einem so komplexen Funktions- und Steuergerätenetzwerk ist es eine besondere Herausforderung, die dafür ambesten geeignete E/E-Architektur festzulegen. Autor: Dipl.-Ing. Jörg Schäuffele

serie oder Multi-Media zugeordnet werden. Durch das Vordrin-gen neuer Technologien in das Fahrzeug gewinnen Domänen wie Fahrerassistenz und Konnektivität (Car2x/V2x) jedoch mas-siv an Bedeutung: Hier entstehen völlig neue Funktionen, die nicht mehr nur auf das Fahrzeug beschränkt sind, sondern auch im „Backend“ außerhalb des Fahrzeugs bereitgestellt werden. Ein derartig komplexes Funktions- und Steuergerätenetzwerk lässt sich wesentlich einfacher beherrschen, wenn bereits im Entwurfsstadium fundierte Designentscheidungen getroffen werden können (Bild 1).

Komplexe Netzwerke in den Griff bekommenDie meisten E/E-Funktionen sind Steuerungs-, Regelungs-, Über-wachungs- und Diagnosefunktionen. Sie interagieren mit den mechanischen Fahrzeugkomponenten über Sensoren und Aktu-

Der Entwurf und die Optimierung moderner Elektrik-/Elektronik-Architekturen ist heute mehr denn je eine Aufgabe für Spezialisten. Sie müssen zahlreiche Ent-

wurfskriterien berücksichtigen und sich mit neuen Anforderun-gen und Trends auseinandersetzen. Dazu gehören etwa die Ein-führung von Domänenrechnern, der Einsatz von Ethernet zur Onboard-Kommunikation, die Verwendung von Connectivity-Gateways und nicht zuletzt auch steigende Sicherheitsanforde-rungen im Sinne von funktionaler Sicherheit und Informations-sicherheit. Um diese komplexen Aufgaben zu meistern, sind modellbasierte Entwicklungswerkzeuge wie PREEvision mit vielfältigen Engineering-Funktionen nötig.

Viele Funktionen, die vom Elektrik/Elektronik-System (E/E) moderner Fahrzeuge bereitgestellt werden, können nach wie vor den klassischen Domänen Antriebsstrang, Fahrwerk, Karos-

E/E-Architekten stehen vor der Aufgabe, Innovatio-nen bei Fahrerassistenz und Connectivity mit den klassischen Domänen Antriebstrang, Fahrwerk, Ka-rosserie und Multimedia zu verbinden. Dabei müssen sie oft mehrdimensionale Optimierungsziele erfüllen. Das modellbasierte Entwicklungswerkzeug PREEvisi-on unterstützt sie bei dieser Aufgabe. So können et-wa flexibel definierbare Optimierungskriterien für ausgewählte Ausstattungsvarianten berechnet wer-den. Der modellbasierte Ansatz berücksichtigt dabei durchgängig, dass Architekturarbeit ein fortlaufen-der, parallel zur Serienentwicklung stattfindender Prozess ist, der einen permanenten, engen Austausch aller Beteiligten erfordert.

Eck-DATEN

42_Vector (ku).indd 42 22.11.2016 15:03:28




atoren. Da die Sensoren und Aktuatoren an verschiedenen geo-metrischen Orten im Fahrzeug installiert sind, sind E/E-Systeme natürlicherweise geometrisch verteilte Systeme. Viele Funktionen sind innerhalb einer Domäne, aber auch über Domänengrenzen hinweg miteinander vernetzt.

Besonders die Fahrerassistenzfunktionen sind mit den Funk-tionen der Antriebs-, Lenkungs- und Bremssysteme eng ver-knüpft. Deshalb stellt die Verteilung und Zuordnung der Funk-tionen auf das Steuergerätenetzwerk einen großen Freiheitsgrad beim Entwurf dar – und ist damit eine wichtige Designentschei-dung. Nahezu alle Bewertungskriterien einer E/E-Architektur werden durch den Entwurf des Steuergerätenetzwerks und durch die Zuordnung der Funktionen zu den Steuergeräten direkt oder indirekt beeinflusst.

Die sich daraus ergebenden Anforderungen an den Leitungssatz oder die Onboard-Kommunikation sind wich-tige Kriterien, die bereits frühzeitig im Entwurf-sprozess zu berücksichtigen sind. Und es gibt viele weitere: Zum einen müssen die Design-kriterien um Offboard-Kommunikationsanfor-derungen erweitert werden. Zum anderen lie-fern Fahrerassistenzsysteme mit Kameras und Radarsensoren ein Umgebungsmodell des Fahr-zeugs. Hier wird zunehmend Ethernet-Tech-nologie eingesetzt, um die nötigen Übertra-gungsleistungen in der Onboard-Kommuni-kation zu realisieren. Etabliert sich Ethernet wie erwartet als zukünftiger Standard, der mit CAN, LIN und Flexray kombiniert eingesetzt wird, ergeben sich enorme technische Kon-sequenzen für die E/E-Architektur: Die Vernetzung ist nicht mehr auf das Fahrzeug beschränkt, sondern schließt auch außerhalb des Fahrzeugs bereitgestellte Funktionen ein. Dies wiederum wird zu steigenden Security-Anforderungen an die E/E-Architektur füh-ren, denn das Fahrzeug ist drahtlos „over the air“ mit Kommuni-kationsteilnehmern und Diensten verbunden.

Der Trend zum automatisierten Fahren, der steigende Safety-Anforderungen nach sich zieht, ist eine weitere Herausforderung. Ebenso die wachsende Anzahl von Fahrzeugvarianten und die damit verbundene Zunahme der Bedeutung von Produktlinien-, Varianten- und Plattformansätzen. Und auch die weithin akzep-

tierte Plattform Autosar für die klassischen Domänen unterliegt dem Wandel: Für die neuen Domänen wird aktuell die Autosar Adaptive Platform diskutiert.

Die am besten geeignete E/E-Architektur findenWie lassen sich alle diese Aspekte beim Architekturentwurf zusammenführen? Wie kann die dafür am besten geeignete E/E-Architektur definiert werden? Offensichtlich ist, dass das kom-plette System betrachtet werden muss – nur einen Teil davon zu entwerfen und zu optimieren, führt auch nur zu einem lokalen Optimum. Außerdem muss die Machbarkeit neuer Konzepte frühzeitig bewertet werden, um Risiken in der späteren Serie-nentwicklung zu reduzieren. Und zuletzt müssen auch die Opti-mierungsziele einer „guten“ Architektur definiert sein (Bild 2).

Da sind zunächst die von den Zielen des Gesamtfahrzeugs abgeleiteten „harten“ Ziele, wie Kostenschran-ken, Gewichtsvorgaben, Bauraum- und Geo-metrievorgaben und maximal zulässige elekt-rische Verbrauchswerte. Diese Ziele beeinflus-sen die Hardware-Komponenten der E/E-Architektur sowie den Leitungssatz. Die Archi-tekturoptimierung ist jedoch nicht darauf beschränkt. Es gibt eine weitere Gruppe von Zielen, die von den implementierten Fahrzeug-funktionen abgeleitet werden. Darunter fallen Echtzeitanforderungen an Busse und Steuer-geräte und alle Diagnose- und Serviceanfor-

derungen. Auch Buslastbeschränkungen sowie Safety- und Security-Anforderungen zählen dazu. Schließlich werden E/E-Architekturen nicht nur für ein einzelnes Fahrzeug entworfen – vielmehr muss ein Portfolio von Fahrzeugen, Fahrzeugvarian-ten und Fahrzeugoptionen durch eine E/E-Architektur unterstützt werden. Die dafür nötige, weitere Zielkategorie der Produktlini-enanforderungen berücksichtigt deshalb:

•Varianten und Optionen,

•erwartete Stückzahlen und Ausstattungsraten,

•funktionsorientierte Dekomposition oder komponentenorien-tierte Wiederverwendung und

•Baukästen mit dedizierten Verwendungsstrategien für Kom-ponenten und Subsysteme.

Gewicht Package & Geometrie

Stromverbrauch

Echtzeit- anforderung

Diagnose- und Serviceanforderungen

BuslastkriterienSafety- und Security- Anforderungen

Baukästen mit dedizierten Verwenungsstrategien für Komponenten und Subsysteme

Funktionsorientierte Dekomposition oder Komponentenorientierte Wiederverwendung

Berücksichtigung der erwarteten Produktionsstückzahlen

Betrachten von Varianten, Optionen und Produktlinien

Kosten

Wirklich gute Lösungen erfordern

einen Kom-promiss

zwischen zwei Extremen.

Bild 1: Entwurf des Steuergerätenetzwerks in PREEvision.

Radar /-;0 (E...

Engine ECU ...

ABS /-; 0 (ECU)

ESP /-; 0 (ECU)

Door Control /...

Window Lifter...

Lock / -;0 (EC...

Seat Control /...

Climate Contr /...

Steering / -;0 ...

Body Domain Controller / -;0 (ECU)

Trans-mission...

ADAS Domain Controller / -;0 (E...

Powertrain Domain Controller / -; ...

Central Gateway / -; ...

Connectivity Gateway / -; ...

Instrument Cluster / -;0 (E...

FrontCamera...

RearCamera...

Chassis Domain Controller / -;0 (...

Bild 2: Optimierungsziele einer E/E-Architektur.

42_Vector (ku).indd 43 22.11.2016 15:03:31




Hier ist die Lösung daher immer ein Kompromiss zwischen zwei Extremen: Auf der einen Seite stehen spezielle E/E-Kom-ponenten für eine bestimmte Variante mit geringen Produkti-onsstückzahlen. Dem gegenüber stehen generelle E/E-Kompo-nenten für mehrere Varianten mit hohen Produktionsstückzah-len, aber entsprechenden Zusatzkosten für gegebenenfalls nicht benötigte Funktionalität. Die Festlegung der „besten“ E/E-Architektur ist entsprechend ein nicht-triviales, mehrdimensi-onales Optimierungsproblem.

Modellbasiertes Vorgehen mit PREEvisionUm alle relevanten Aspekte einer E/E-Architektur zu berück-sichtigen, unterstützt PREEvision eine modellbasierte Vorge-hensweise. In einem integralen Ansatz werden dabei alle Aspek-te einer Architektur modelliert: Netzwerk und Funktionsver-teilung, Hardware-, Leitungssatz- und Geometrie, Kommuni-kation und Software sowie alle Funktionen, Merkmale und Anforderungen. Um komplexe E/E-Systeme zu beherrschen, folgt PREEvision dabei den drei bewährten Systems-Enginee-ring-Prinzipien Abstraktion, Dekomposition und Wiederver-wendung – und unterstützt die Modellierung von Produktlini-en und Produktvarianten deshalb mit verschiedenen Modell-ebenen (Bild 3).

In vertikaler Richtung sind im PREEvision-Modell die Abs-traktionsebenen von der Geometrieebene mit Einbauorten und Verlegewegen über die Leitungssatzebene und die elektrologische Ebene bis zur Steuergerätenetzwerk-Ebene dargestellt. Parallel dazu werden die Software- und Kommunikationsdetails model-liert. Hardware- und Software-Aspekte lassen sich abstrakt in der Ebene der logischen Funktionsarchitektur beschreiben; ein noch größerer Abstraktionsgrad erfolgt auf den Ebenen für Anfor-derungen und Kundenfunktionen. Die horizontale Richtung des PREEvision-Modells unterstützt die Dekomposition: In jeder Ebene stehen Hierarchiekonzepte zur Verfügung, welche „bottom up“ oder „top down“ modelliert werden können. Die dritte Rich-tung ist orthogonal zu den beiden anderen angelegt und ermög-licht Wiederverwendungs- und Variantenkonzepte auf jeder Modellebene und Hierarchiestufe.

Relevante Automotive-Standards prägen dabei das Enginee-ring-Datenmodell. Konkret gehören dazu etwa RIF und ReqIF für Anforderungen, Kundenfunktionen und Testfälle; Autosar für das System-, Software- und Kommunikationsdesign sowie KBL und VEC für Leitungssatz- und Geometriespezifikationen.

Ein zusätzlicher Nutzen entsteht durch die logische Funkti-onsarchitektur, die von der Implementierung in Hardware und Software abstrahiert. Für viele Fahrzeugfunktionen bleibt diese Ebene über viele Jahre stabil, während sich die Hardware-, Soft-ware- oder Kommunikationstechnologien für deren Implemen-tierung von Fahrzeuggeneration zu Fahrzeuggeneration ändern. Alle diese Ebenen sind über sogenannte „Mappings“ miteinan-der verbunden.

Safety-Aspekte werden durch Sicherheitsanalysen wie HARA (Hazard and Risk Analysis), FMEA (Failure Mode and Effects Analysis) und FTA (Fault Tree Analysis) unterstützt und auf dem bestehenden Produktlinienmodell durchgeführt. Der inte-grierte, modellbasierte Ansatz unterstützt das Single-Source-Prinzip. Das Modell lässt sich auf Inkonsistenzen und Vollstän-digkeit prüfen.

Mit dem Kundenfunktionsmodell kann eine gültige Selektion von Kundenfunktionen für eine Fahrzeugvariante erfolgen, die mit den entsprechenden Artefakten aller anderen Ebenen ver-bunden ist. Damit wird es möglich, eine E/E-Architektur für ausgewählte Varianten abzuleiten und durch individuelle Opti-mierungskriterien (Metriken) zu bewerten. Teamarbeit unter-stützt PREEvision mit einer Kollaborationsplattform: Ein Team von Architekten kann parallel in einer Produktlinie arbeiten; alle Architekturartefakte unterliegen einer Versionsverwaltung und werden für koordinierte Änderungs- und Freigabeprozesse mit Tickets verlinkt.

Die modellbasierte Architekturentwicklung startet in der Regel nicht auf der grünen Wiese, sondern ist eine Weiterentwicklung bestehender Architekturen. Dabei werden Optimierungen oder Innovationen für die nächste Architekturgeneration berücksich-tigt. Typische Schritte sind hier das Importieren von Daten der Vorgänger-Architektur und ihre Integration und Validierung. Anschließend geht es darum, die Innovationen für die nächste

Kosten

Gewicht

Bauraum

Stromverbrauch

BasisfahrzeugMeist verkauftes FahrzeugVollausgestattetes Fahrzeug

Buslast

Erwartete Produktions-

stückzahl

Bild 3: Die Abstraktionsebenen im PREEvision Modell. Bild 4: Mehrdimensionale Bewertung eines Architekturentwurfs.

Bilde

r: Vec

tor In

form

atik

42_Vector (ku).indd 44 22.11.2016 15:03:32




AutorDipl.-Ing. Jörg Schäuffele Produktmanager PREEvision bei Vector Informatik .


Architekturgeneration zu entwerfen sowie verschiedene Alter-nativen mit anwenderdefinierten Optimierungszielen zu bewer-ten und zu vergleichen. Ist die beste Lösung festgelegt, wird die Architektur als Basis für die Serienentwicklung exportiert. So wird eine hohe Konzeptqualität neuer E/E-Architekturen von Beginn an sichergestellt. Architekturentwicklung ist aber nicht nur eine Aktivität vor dem Start des Entwicklungsprojekts. Sie wird vielmehr kontinuierlich während der Serienentwicklung ausgeführt und bewertet.

Bewerten und Optimieren des ArchitekturentwurfsIn der Praxis wird die E/E-Architektur anhand typischer Fahr-zeugkonfigurationen und Ausstattungsvarianten bewertet – häu-fig kommen hier die Konfigurationen Basisausstattung, meist verkauftes Fahrzeug und Vollausstattung zum Einsatz (Bild 4): Bei der Basisausstattung geht es vor allem um einem günstigen Preis – das Kosten-Nutzen-Verhältnis ist hier das dominante Designkriterium. Als meist verkauftes Fahrzeug wird das Fahr-zeug mit den zu erwartenden, höchsten Produktionsstückzahlen definiert – dessen Funktionalität muss sich für einen wettbe-werbsfähigen Preis bereitstellen lassen. In der Kategorie Voll-ausstattung müssen alle verfügbaren E/E-Systeme und Ausstat-tungsoptionen zusammenarbeiten und Randbedingungen wie etwa Gewicht, Bauraum, Buslast und Stromverbrauch erfüllen. Die erwarteten Stückzahlen sind hier gering, und der Fahrzeug-preis ist hoch – Kostenkriterien sind hier nicht dominant.

Die Optimierungsziele sind damit nicht nur mehrdimensional, sie sind auch unterschiedlich für verschiedene Ausstattungsva-rianten und Fahrzeugkonfigurationen. Außerdem ändern sie sich mit der Zeit, wenn beispielsweise anfangs selten georderte, opti-onale Fahrzeugfunktionen später häufiger nachgefragt oder sogar Teil der Basisausstattung werden. Aus diesen Gründen existiert derzeit kein allgemein akzeptiertes Optimierungskriterium – vielmehr wird die Optimierungsstrategie als geistiges Eigentum des Fahrzeugherstellers angesehen.

PREEvision bietet deshalb durch Skripte (Metriken) Zugriff auf das komplette Datenmodell – der Anwender kann so seine Optimierungsstrategie flexibel festlegen. Für dieses Konzept sprechen mittlerweile über zehn Jahre erfolgreicher Projektein-satz bei führenden Fahrzeugherstellern weltweit. Große Fahr-zeugproduktlinien umfassen hier Millionen von Artefakten; das Datenmodell, die Engineering-Werkzeuge und die Metrik-Schnittstellen werden in enger Kooperation mit den Anwendern ständig weiterentwickelt. (ku) ■

+ + +Marktübersichten+ + +Fachartikel+ + +Branchenmeldungen+ + +Stellen- markt+++Whitepapers+++Produkte+++ Newsletter+++RSS Feed+++Branchen- termine+++topaktuell und kostenlos auf www.all-electronics.de

ae_fueller_ticker_1_2_quer_178x126.indd 1 11.01.2016 16:00:17

42_Vector (ku).indd 45 22.11.2016 15:03:34

Neue Produkte


Micro-BridgeKabelsteckverbinderfamilie im 1,27-mm-RasterErni erweitert sein Portfolio an kompakten und zuverlässigen Kabelsteck-verbindern um die Baureihe Micro-Bridge im 1,27-mm-Raster, die in An-lehnung an die Automotive-Prüfvorschrift LV214 und USCAR entwickelt

wurden. Koshiri-Sicherheit und eine elektrische, optionale CPA (Connec-tor Position Assurance) garantieren eine sichere und korrekte Verbin-dung. Die Cable-to-Board-Steckver-binder widerstehen den Vibrationen im Fahrzeug dank beidseitiger Ver-

riegelung. Die Micro-Bridge-Federleisten werden mit Schneidklemm- und Crimp-Anschlüssen verfügbar sein. Die modular aufgebaute Familie bein-haltet ein- und zweireihige Ausführungen mit 2 bis 40 Kontakten. Details zu den verschiedenen Varianten und Polzahlen finden Sie in der Langver-sion per infoDIREKT. Die hohe Temperaturbeständigkeit von bis zu 150°C ermöglicht den Einsatz in thermisch anspruchsvollen Bereichen wie zum Beispiel in LED-Nähe im Frontscheinwerfer. Die Strombelastbarkeit ist ab-hängig von der Polzahl und dem Leiterquerschnitt mit bis zu 8,5 A je Kon-takt und die Betriebsspannung mit bis zu 70 VAC/DC spezifiziert.


Isabellenhütte ICD-AKleines Automotive-MesstechniksystemDie jüngste Produktentwicklung des Bereiches Messtechnik der Isabellen-hütte ist ein kompaktes Strommess-Modul, das über die Hälfte kleiner als vergleichbare Produkte sein soll. Das shuntbasierte ICD-A-System hat ei-

nen abgedichteten und für den Ein-satz in der Automobilindustrie typi-schen sechspoligen MCON-Stecker. Er schützt die Signal- /Stromübertra-gung gegen externe Einflüsse. Mit Übertragungsraten von bis zu 1 Mbit/s liefert die Verbindung digita-lisierte Daten im CAN-Bus-2.0-For-

mat aus. Das Messsystem soll sich durch einen sehr geringen Eigenver-brauch auszeichnen, den der Sensor auch selbst ermitteln und ausgeben kann – ein Vorteil, der insbesondere im Bereich der E-Mobilität von Bedeu-tung ist. Das ICD-A ist bei gleicher Abmessung in drei Stromvarianten mit 100 A, 300 A und 500 A erhältlich. Auf eine galvanische Trennung hat Isa-bellenhütte bewusst verzichtet.


Hall-SensorErweiterte DiagnosefähigkeitenMicronas erweitert ihre Hall-Sensor-Familie HAL 18xy durch den HAL 1860. Dabei handelt es sich um einen Linear-Hall-Effekt-Sensor mit ratiometri-schem Analogausgang zur Messung kleiner Winkel oder kurzer Distanzen im Automobil und in der Industrie. Beim HAL 1860 erlauben programmier-

bare Klemmpegel für das Ausgangssig-nal die Fehlererkennung bei Bedingun-gen wie Unter-/Überspannung, Under-/Overflow des Signalpfads oder bei Überstrom. Eine Ein-Pin-Programmier-schnittstelle ermöglicht die gleichzeiti-ge Programmierung mehrerer Senso-ren über die Ausgangs-Pins. Wesentli-che Sensorkennwerte wie Magnetfeld-

bereich, Empfindlichkeit, Offset und Temperaturkoeffizient sind in einen nichtflüchtigen Speicher programmierbar. Weitere Details erhalten Sie in der Langversion dieses Berichts per infoDIREKT.


TT ElectronicsAEC-Q200-zertifizierter SperrwandlerTT Electronics hat mit dem HA00-10043ALFTR einen neuen Sperrwandler vorgestellt. Dieser Wandler hat eine hohe Isolationsspannung zwischen primären und sekundären Wicklungen, eine Zertifizierung für den Auto-

mobilbereich nach AEC-Q200 Grade 0 sowie zulässige Be-triebstemperaturen von -40 °C bis 155 °C. Damit eignet er sich für den Einsatz in rauen Umge-bungen im Automotive- und In-dustriebereich, wie etwa am Antriebsstrang von Fahrzeu-gen. Der HA00-10043ALFTR wurde speziell auf Konformität

mit den Sicherheitsanforderungen zur Verwendung mit den Optokoppler-ICs ACPL-32JT und ACPL-302J von Broadcom (Avago) entwickelt. Zudem soll die Qualität der Magnetprodukte von TT Electronics eine hohe Sätti-gungsstrom-Belastbarkeit und geringe Streuinduktivität gewährleisten.


Bild:

Micr

onas

Bild:

Isabe

llenh

ütte

Bild:

TT El

ectro

nics

Bild:

Erni

iMX-8-Familie von NXPNeue Prozessoren für digitale KombiinstrumenteIntegrierte Spracherkennung und Gestensteuerung sowie die Unterstüt-zung von bis zu vier HD-Displays: Die neuen iMX-8-Prozessoren von NXP sind für den Einsatz in anspruchsvollen Infotainment-Anwendungen im Auto sowie für virtuelle Cockpits oder digitale Kombiinstrumente konzi-piert. Die Ablösung der klassischen analogen Instrumente durch digitale Cockpits breitet sich von der Oberklasse auch in günstigere Modelle aus.

Voraussetzung dafür sind Prozesso-ren, die nicht nur über eine hohe Grafikleistung verfügen, sondern auch besondere Sicherheitsanfor-derungen erfüllen. NXP setzt bei der neuen iMX-8-Prozessorfamilie auf bis zu sechs 64-Bit-Prozessor-

kerne mit ARM-v8-A-Technik sowie auf zusätzliche DSPs und Grafikpro-zessoren. Darüber hinaus unterstützen die Prozessoren Gigabit-Ethernet mit AVB (Audio Video Bridging) für eine schnelle Übertragung von Multi-media-Daten.


Powertrain Blockset von MathworksAutomotive-Antriebssysteme modellieren und simulierenDas Powertrain Blockset bietet Referenz-Anwendungsmodelle für Benzin-, Diesel-, Hybrid- oder elektrische Antriebsstränge. Im Lieferumfang enthal-

ten ist auch eine Komponentenbibliothek zum Modellieren von Motorkomponenten, Getriebesystemen, Motoren, Batteriepaketen und Reglern. Zum Blockset gehört zudem ein Prüfstandsmodell für das virtuelle Testen von Motoren. Das Set stellt eine Standard-modellarchitektur zur Verfügung, die laut Mathworks durchgängig im gesamten Ent-wicklungsprozess angewendet werden kann, beispielsweise für Trade-Off-Analysen und zur Dimensionierung von Komponenten, zur

Optimierung von Reglerparametern und für Hardware-in-the-Loop-Tests.


Bild: NXP

Bild:

Math

works

46_PBs.indd 46 22.11.2016 15:10:37

Neue Produkte

Automobil ElEktronik 11-12/2016 47www.automobil-elektronik.de

Renesas und Cohda WirelessV2X-Referenzlösung für das autonome FahrenDie Referenzlösung basiert auf den R-Car SoCs (System-on-Chips) von Renesas und den V2X- Softwarelösungen von Cohda Wireless. Die ge-meinsame Plattform unterstützt die europäischen und nordamerikani-schen Kommunikationsstandards für die V2X-Systementwicklung.Das

Starterkit für die V2X-Referenzlö-sung umfasst folgende Bausteine von Renesas: das R-Car W2R, ein Automotive Wireless Communica-tion WAVE SoC für das 5,9 GHz Fre-quenzband, und das V2X-Host-Pro-zessor R-Car W2H SoC mit integrier-

tem Hardware-Security-Modul (HSM) zur Verschlüsselung von Kommu-nikation und Nachrichten sowie zum Schutz gegen Cyber-Attacken. Das SoC R-Car W2R ermöglicht unter anderem eine Unterdrückung bandex-terner Übertragungsstörungen auf weniger als die vom ETSI festgesetz-ten -65 dBm. Zudem lassen sich japanische, US-amerikanische und euro-päische Security-Methoden, Kommunikationsprotokolle und Applikatio-nen einbinden. Die Softwarelösung von Cohda Wireless besteht aus Netzwerk-, Facility-, Applikations-, Management- und Security-Layers für die IEEE1609 und ETSI ITS-TC Stacks. Die V2X-Referenzlösung wird vor-aussichtlich im April 2017 erhältlich sein.


Cadence und MathworksSimulationslösungen auf SystemebeneCadence hat nach eigenen Angaben gemeinsam mit Mathworks das De-sign auf Systemebene und die Implementierung auf Schaltungsebene für Mixed-Signal-IoT- und Automotive-Anwendungen optimiert. Entwickler können nun innerhalb einer einzigen, integrierten System-Design- und Debug-Umgebung den Analog- und Mixed-Signal-Simulator Pspice von Cadence nutzen, eine Matlab/Simulink-Modellierung auf Verhaltensebene sowie Analyse und Visualisierung durchführen und alle Postprozess-Analy-se- und Messfunktionen von Matlab nutzen. Durch diese Integration des Pspice Simulators mit Matlab und Simulink steht jetzt eine vollständige Lösung für das Design und die Implementierung von elektronischen Bau-gruppen zur Verfügung.


Ricoh R1273LDC/DC-Abwärtswandler bis 34 V Ricoh hat den synchronen DC/DC-Abwärts wandler R1273L mit einem gro-ßen Eingangsspannungsbereich bis 34 V und einer justierbaren Ausgangs-spannung vorgestellt. Der Ausgang des R1273L kann Ströme bis 14 A lie-fern. Der Wandler verfügt über einen integrierten Controller sowie High- und Low-Side N-Kanal MOSFETs in einem gemeinsamen Gehäuse und er-möglicht damit kleine, effiziente Stromversorgungs-Designs. Aufgrund

seiner hohen Betriebs-spannung und den hohen Ausgangsströmen emp-fiehlt sich der R1273L im Besonderen für moderne Fahrzeug-Unterhaltungs-systeme. Die stromgesteu-erte PWM-Architektur oh-ne externen Strommess-widerstand soll für einen

hohem Wirkungsgrad sorgen. Um eine hohe Effizienz unter den verschie-densten Lastbedingungen sicherzustellen, schaltet der Baustein automati-schen zwischen PWM- und VFM-Betriebsart um. Weitere Details finden Sie in der Langversion dieses Berichts per infoDIREKT.


Auch für kostengünstige FahrzeugeVolldigitale Head UnitsDie Automotive-Prozessoren der neuen Accordo-5-Familie von ST Micro-electronics sollen eine kostengünstige Realisierung von digitalen Instru-menten-Clustern sowie von AVN-Headunits (Audio/Video/Navigation) er-

möglichen: Die Single-Chip-Integra-tion der gesamten Grafik-, Audio- und Videofunktionalität senkt die Designkosten und vereinfacht die Montage. Die Accordo-5-Familie stützt sich auf den ARM Cortex-A7-Prozessor als zentrale Rechen-CPU. Entwickler haben dabei die Wahl

zwischen einem Single-Core-Cortex-A7 mit einer 16-Bit-Schnittstelle zu leistungsfähigem DDR3-Speicher außerhalb des Chips und einem Dual-Core-Cortex-A7 mit einem 16/32-Bit DDR3-Interface. Viele weitere Details finden Sie in der Langversion dieses Berichts per infoDIREKT.


Bild: ST Microelectronics

Bild:

Rene

sas

Bild:

Ricoh

Induktivitäten von TDKKompakte Z-Transponderspulen für AutomotiveTDK hat für Fahrzeug-Zugangssysteme eine neue Serie von Epcos Z-Trans-ponderspulen präsentiert, die im Fahrzeugschlüssel platziert werden.Mit Abmessungen von 7,7 x 7,4 x 2,65 mm³ sind die Transponderspulen sehr kompakt und bieten eine niedrige Bauhöhe. Die Serie B82451L*E402 umfasst sieben Induktivitätswerte von 1,0 mH bis 10,0 mH. Abhängig vom Typ wird dabei eine Sensitivität von 7 mV/µT bis 23 mV/µT bei 125 kHz er-reicht. Die Güte der neuen Bauelemente liegt zwischen 50 und 58. Die ge-

spritzte Kunststoff-Bodenplatte und die Laser-geschweißten Anschlüsse der Wicklung sollen dafür sorgen, dass die Transponderspulen sehr ro-bust sind. Die neuen Bauelemente sind außerdem nach AEC-Q200 qua-lifiziert.

Die neuen Z-Transponderspulen lassen sich gut mit den Spulen der Serien B82450A*A* und B82450A*E* für die X- und Y-Achsen kombinieren. Drei diskrete Transponderspulen ermöglichen eine hohe Flexibilität beim De-sign und sorgen für Platzersparnis auf der Leiterplatte: So sind laut TDK nur 100 mm² erforderlich, falls die neue Z-Spule mit zwei 8-mm X- und Y-Spulen kombiniert wird. Alle Transponderspulen sind RoHS-kompatibel.


14-Kanal-Gammapuffer von IntersilFür eine helle und kontrastreiche LCD-AnzeigeIntersil hat einen programmierbaren 14-Kanal-Gammapuffer für TFT-LCDs in Fahrzeugen vorgestellt. Der Automotive-taugliche ISL76534 soll für für eine hochgenaue Gammakorrektur sorgen, um gleichbleibende Helligkeit

und Farbanpassung auf jedem LCD innerhalb eines Fahrzeugs zu garan-tieren. Der ISL76534 ist insbesonde-re für LCDs konzipiert, die bei Info-tainment-Displays und Anzeigen für Fahrerassistenzsysteme eingesetzt werden. Der robuste Baustein stellt einen Vcom-Kanal und 14 Gamma-kanäle mit 10 Bit Auflösung bereit,

um die Gammakurve genau einstellen zu können. LCDs, die ohne Gamma-korrektur ausgestattet sind, erscheinen oft zu hell oder zu dunkel. Der ISL76534 korrigiert und speichert die Gammakurve und stellt somit sicher, dass jedes LCD augenfreundliche Bilder anzeigt.


Bild:

Inters

il

Bild:

TDK

46_PBs.indd 47 22.11.2016 15:10:39

Kongress: Praxisreport Industrie 4.025.-26.01.2017, Konferenzzentrum Süddeutscher Verlag

Weitere Informationen unter: www.automation-summit.de

Veranstalter: Hauptsponsor:

Jetzt anmelden!

Hüthig GmbH Im Weiher 10 D-69121 Heidelberg

Tel.: +49 (0) 6221 489-308 Fax: +49 (0) 6221 489-490 www.huethig.de

as_industrie_4.0_210x297.indd 1 14.11.2016 17:15:2048_1_1 Anzeigenlayout.indd 48 18.11.2016 13:43:47

Management Frisch vom Lederer


Das Projekt läuft seit gut zwei Jah-ren, SOP ist in etwa anderthalb Jahren. Entwickelt wird eine

neue Elektronik-Generation; es geht um mehr Features, mehr Hardware-Ressour-cen, eine bessere Skalierbarkeit für unter-schiedliche Ausstattungsvarianten. Weil es strategisch wichtig ist, wurde das Pro-jekt nach allen Regeln der Kunst durch-leuchtet. SPICE-Assessoren und Quali-täts-Auditoren gaben sich die Klinke in die Hand, Lean-Coaches haben Effizienz-potenziale aufgedeckt und Agilitäts-Gurus ihr Füllhorn an beschleunigenden Methoden ausgekippt. Das Ergebnis ist ein Musterbeispiel an Wirksamkeit und Effizienz, möchte man meinen. Doch der Schein trügt.

Zwar geben die Projektleiter auf OEM- wie auf Lieferantenseite richtig Gas, aber dennoch drohen sie in einem Wirrwarr an Tausenden atomarer Anforderungen, unzähligen Änderungswünschen, sich

aufstauenden Fehlern und Budget-Über-schreitungen zu ersticken. Fehlerhafte Auslieferungen nehmen zu, Überstunden häufen sich, der Ton wird rauer, eine Eska-lation jagt die nächste. Was läuft schief?

Wirksamkeit statt SelbstzweckAll die gut gemeinte Methodik ist nutzlos, wenn sie die Wirksamkeit für die Projek-te aus den Augen verliert und zum Selbst-zweck wird. Als Beispiele seien genannt:

• Prozess-Overkill: Statt die missionsent-scheidenden Eckpunkte zu regeln und ansonsten Freiheit zu geben, wird mit ingenieursmäßiger Gründlichkeit jede Kleinigkeit bedacht. Leider führt das dazu, dass Wichtiges nicht mehr von Unwichti-gem unterscheidbar ist.

• Agilitäts-Hype: Die Hoffnung, mit dem Ausrufen agiler Projekte nie dagewesene F lex ibi l ität bei g leichzeit ig hoher Geschwindigkeit zu erreichen, ist so groß wie trügerisch. Agilität muss auf einer

bereits vorher vorhandenen soliden hand-werklichen Basis aufbauen, denn sonst stiftet sie mehr Chaos als Nutzen.

• Audit-Formalismus: Die Erfüllung von Formalitäten abzuprüfen, ist gang und gäbe, bringt jedoch nichts. Die Kunst liegt darin, die inhaltliche Wirksamkeit zu beurteilen. Doch wer will schon seine bes-ten Entwickler zu Auditoren machen? Hilfreich wäre es.

Inzwischen geht es auf Weihnachten zu und damit auf die Zeit der Wünsche. Ich wünsche mir, dass viel mehr Projekte glat-ter ablaufen. Ansatzpunkte dafür stehen oben, der zugehörige Business-Case ist leicht berechenbar. Dabei geht es um weit mehr als um Peanuts. Was wünschen Sie sich? (av) ■

Mein Weihnachtswunsch: Wirksamkeit!Dr. Lederers Management-Tipps

Autor Dr. Dieter Lederer Unternehmensberater, Keynote-Speaker und Veränderungsexperte.

Karik

atur: H

einric

h Sch

warze

-Blan

ke

49_Lederer.indd 49 22.11.2016 15:11:12

Impressum + Verzeichnisse


dSPACE 7FEV 17Green Hills Titelseite

LEAR 2. USMD Elektronik 5Mentor Graphics 11

Rohde & Schwarz 25Synopsys 13Taiwan External Trade 29

TE Connectivity German 9TTTech Automotive 3untitled exhibitions 35

Vector Informatik 4. USWeiss Umwelttechnik 23

Advanced Scientific Concepts 9Air-BnB 6Alibaba 6Alphabet 6Altran 10Ansys 10Apple 6, 35Applied Micro 10ARM 47ASRB 3, 30Atmes 21Audi 10, 12, 35Avnu Alliance 10Blackberry 35BMW 10, 35Bosch 3, 6, 10Cadence 47Cherry 10Cohda Wireless 47

Continental 9, 10, 13Daimler 11, 32, 35Deloitte Consulting 35Denso 9Dominant Opto 34DOT 14Elektrobit 36Erni 46Escrypt 18Facebook 6Ford 13, 35Fraunhofer IAF und IZM 32Gartner 35Genui 10GM 35Google 35Göpel 10Green Hills Software 14Hella 32

Here 8Hochschule Pforzheim 34Ibeo 9Imagination 31Infineon 9, 11, 26, 32Innoluce 9Inova Semiconductors 34Inrix 10Intel 3, 30Intersil 47Isabellenhütte 46ITK Engineering 10Jaguar 10Kia 35Linear Technology 10Macom 10Mathworks 46Mentor Graphics 10Micronas 10, 46

Microsoft 6Mitsubishi 10Nissan 10, 35Nuance 10Nvidia 12NXP 10, 34, 46Osram 32Qualcomm 10, 11Renault 13Renesas 8, 47Ricoh 47Ruetz System 10SAIC Motors 8Savari 8Schaeffler 10, 13Siemens 10Stanford University 10ST Microelectronics 47Swell 10

Sysgo 22, 24Syss 12TDK 10, 47TE Connectivity 34Tesla 10, 35Thing Worx 35Toyota 10Trilumina 9TT Electronics 46TU München 10Uber 3, 6U-Blox 35Ultrahaptics 10Vector Informatik 38Vodafone 10Volkswagen 3, 6, 11, 12Volvo 10ZF Friedrichshafen 9, 10ZVEI 3, 6

Bemanian, Majid 31Berg, Chris 22, 24Breitsameter, Christopher 13Degenhart, Elmar 10Engel, Axel von 36Flann, Jeremy 14Fräßdorf, Sebastian 36Grötsch, Stefan 32

Gutzmer, Peter 13Hellenthal, Berthold 12Holle, Jan 18Hurst, Craig 30Jung, Ramona 18Kampmann, Stefan 32Klimke, Martin 26Klostermeier, Gerhard 12

Kraus, Robert 34Kröger, Harald 10Lederer, Dieter 49Lehmann, Kurt 10Lenninger, Ralf 10Liebetrau, Thomas 32Meder, Klaus 3, 6, 10Meimetis, Costas 35

Michels, Karsten 10Milke, Ralf 3, 12Müller, Matthias 11Nigg, Thomas 35Oppermann, Hermann 32Oz, Seval 10Pajonk, Oliver 36Pedersen, Ines 26

Runge, Wolfgang 12Schäuffele, Jörg 38Schiefer, Peter 9Steurich, Björn 26Thomson, Anthony 11Walkembach, Franz 22, 24Zanzinger, Thomas 10Zimmer, Jörg 14

Unternehmen

Personen

Inserenten

Impressum

REDAKTION

Chefredaktion: Dipl.-Ing. Alfred Vollmer (av) (v.i.S.d.P.) Tel: +49 (0) 8191 125-206, E-Mail: [email protected] Redakteur: Dr. phil. Dipl.-Ing. Ingo Kuss (ku) Tel: +49 (0) 8191 125-227, E-Mail: [email protected]

Redaktion: Dipl.-Ing. Hans Jaschinski (jj) Tel: +49 (0) 8191 125-830, E-Mail: [email protected]. Jens Wallmann (jwa) Tel: +49 (0) 8191 125-494, E-Mail: [email protected] Mitarbeiter: Kurt Peteler (pet)

Office Manager und Sonderdruckservice: Waltraud Müller, Tel: +49 (0) 8191 125-408, E-Mail: [email protected]

ANzEIgEN

Anzeigenleitung: Frank Henning, Tel: +49 (0) 6221 489-363, E-Mail: [email protected]

Anzeigendisposition: Angelika Scheffler, Tel: +49 (0) 6221 489-392, E-Mail: [email protected]

Zur Zeit gilt die Anzeigenpreisliste Nr. 15 vom 01.10.2016

vERTRIEb

Vertriebsleitung: Hermann WeixlerAbonnement: http://www.automobil-elelektronik.de/abo/ Inland € 94,00 (zzgl. € 7,00 Euro Versand + Mwst. = € 108,07) Ausland € 94,00 ( zzgl. € 14,00 Versandkosten + Mwst. = € 115,56)Einzelverkaufspreis € 19,50 ( incl. Mwst. + zzgl. Versand) Der Studentenrabatt beträgt 35 %. Alle Preise verstehen sich inkl. MwSt.

Kündigungsfrist: Jederzeit mit einer Frist von 4 Wochen zum Monatsende.

Abonnement und Leser-Service: Hüthig GmbH, Leserservice, 86894 Landsberg Tel: +49 (0) 8191 125-777, Fax: +49 (0) 8191 125-799 E-Mail: [email protected]

Erscheinungsweise: 6 x jährlich

vERlAg

Hüthig GmbH, Im Weiher 10, 69121 Heidelberg www.huethig.de, Amtsgericht Mannheim HRB 703044

Geschäftsführung: Fabian Müller

Verlagsleitung: Rainer Simon

Produktmanager Online: Philip Fischer

Herstellungsleitung Fachzeitschriften: Horst Althammer

Art Director: Jürgen Claus

Layout und Druckvorstufe: Cornelia Roth

Druck: Kessler Druck + Medien, 86399 Bobingen

© Copyright Hüthig GmbH 2016, Heidelberg.

Eine Haftung für die Richtigkeit der Veröffentlichung kann trotz sorgfälti-ger Prüfung durch die Redaktion, vom Ver leger und Herausgeber nicht übernommen werden. Die Zeitschriften, alle in ihr enthaltenen Beiträge und Abbildungen, sind urheberrechtlich geschützt. Jede Verwertung au-ßerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustim-mung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-cherung und Bearbeitung in elektronischen Systemen.

Mit der Annahme des Manuskripts und seiner Veröffent lichung in dieser Zeitschrift geht das umfassende, ausschließliche, räumlich, zeitlich und inhaltlich unbeschränkte Nutzungsrecht auf den Verlag über. Dies umfasst insbesondere das Printmediarecht zur Veröffentlichung in Printmedien aller Art sowie entsprechender Vervielfältigung und Verbreitung, das Recht zur Bearbeitung, Umgestaltung und Übersetzung, das Recht zur Nutzung für eigene Werbezwecke, das Recht zur elektronischen/digitalen Verwertung,

z. B. Einspeicherung und Bearbeitung in elektronischen Systemen, zur Veröffentlichung in Datennetzen sowie Datenträger jedweder Art, wie z. B. die Darstellung im Rahmen von Internet- und Online-Dienstleistungen, CD-ROM, CD und DVD und der Datenbanknutzung und das Recht, die vorge-nannten Nutzungsrechte auf Dritte zu übertragen, d. h. Nachdruckrechte einzuräumen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen und dergleichen in dieser Zeitschrift berechtigt auch ohne besondere Kennzeichnung nicht zur Annahme, dass solche Namen im Sinne des Warenzeichen- und Markenschutzgesetzgebung als frei zu be-trachten wären und daher von jedermann benutzt werden dürfen.

Für unverlangt eingesandte Manuskripte wird keine Haftung übernommen. Mit Namen oder Zeichen des Verfassers gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion dar. Es gelten die allgemeinen Geschäftsbedingungen für Autorenbeiträge.

AuslANDsvERTRETuNgEN

Schweiz, Liechtenstein: Katja Hammelbeck, Interpress Bahnhofstrasse 31, CH-8280 Kreuzlingen, Tel: +41 (0) 71 552 02 12, Fax: +41 (0) 71 552 02 10, E-Mail: [email protected]

USA, Kanada, Großbritannien, Österreich: Marion Taylor-Hauser, Max-Böhm-Ring 3, 95488 Eckersdorf, Tel: +49 (0) 921 316 63, Fax: +49 (0) 921 328 75, E-Mail: [email protected]

Angeschlossen der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern (IVW), (Printed in Germany)

DATENschuTz

Ihre Angaben werden von uns für die Vertragsabwicklung und für interne Marktforschung gespeichert, verarbeitet und genutzt und um von uns und per Post von unseren Kooperationspartnern über Produkte und Dienstleistungen informiert zu werden. Wenn Sie dies nicht mehr wünschen, können Sie dem jederzeit mit Wirkung für die Zukunft unter [email protected] widersprechen.

www.automobil-elektronik.deISSN 0939-532614. Jahrgang 2016

IHRE KONTAKTE: Redaktion: Tel: +49 (0) 8191 125-403, Fax: -141 Anzeigen: Tel: +49 (0) 6221 489-363, Fax: -482 Abonnement- und Leser-Service: Tel: +49 (0) 8191 125-777, Fax: +49 (0) 8191 125-799 E-Mail: [email protected]

50_Verzeichnisse.indd 50 22.11.2016 15:13:20

Hüthig GmbHIm Weiher 10D-69121 Heidelberg

Tel.: +49 (0) 6221 489-300 Fax: +49 (0) 6221 489-481www.huethig.de

Wir wünschen unseren Lesern und Geschäftspartnern

frohe Weihnachten, erholsame Festtage

und ein gutes neues Jahr 2017!

hue_weihnachten_2016_210x297.indd 1 02.11.2016 16:41:0951_U3.indd 3 18.11.2016 13:44:21

> Werkzeuge zum Simulieren, Analysieren und Testen von Ethernet-Netzwerken und -Steuergeräten – auch zusammen mit anderen Fahrzeug-Bussystemen

> Interfaces für den unverfälschten Zugriff auf Ethernet-Netzwerke

> Embedded Software mit geringem Ressourcen- bedarf für den Automotive-Einsatz

> Universelles Steuergerät für Kleinserien und Funktionsmuster – komplett mit AUTOSAR- Basissoftware

> Schulungen zu Ethernet-Technologien im Automotive-Umfeld

Mehr Infos und Downloads: www.vector.de/ae

Profitieren Sie von über 25 Jahren Erfahrung in der Automobilelektronik.

Diese unterstützen die spezifischen Physical Layer sowie die Protokolle SOME/IP, AVB, DoIP, etc. Ihre Vorteile im Überblick:

Ethernet-Steuergeräte effizient entwickeln

... mit den Automotive-Ethernet-Lösungen von Vector

Vector Informatik GmbH | Stuttgart · Braunschweig · Hamburg · Karlsruhe · München · Regensburg | www.vector.com

AE_Solution_DIN-A-4_DE_V2.1.indd 1 11.11.2016 07:07:4852_U4.indd 4 18.11.2016 13:45:09

E/E-Entwicklung für Entscheider · tion fotografierten) Bilder 2 und 3 entstanden bei jeweils...

Documents

Transcript of E/E-Entwicklung für Entscheider · tion fotografierten) Bilder 2 und 3 entstanden bei jeweils...