Article Artigo Quando os Mundos Colidem Por Torsten Posch* Motoristas são cada vez mais influenciados por recursos eletrônicos. Estar dentro do veículo significa permanecer conectado ao mundo. São tantas funções no painel de comando que o condutor, muitas vezes, não consegue administrar tudo. Cada função necessita de uma interface que ofereça escolhas, parâmetros e opções de controle. Como resultado, os diferentes sistemas de software podem compartilhar a mesma ou diferentes telas. Os sistemas de software são baseados em sistemas operacionais (OSs) distintos. Alguns deles foram projetados para administrar grandes quantidades de dados, já outros exigem grande capacidade em tempo real, com mínima latência e máxima confiabilidade. Agora, com o sistema Android nos carros, há uma nova gama de aplicativos e inovações dinâmicas. Esta “colisão de mundos” surgiu com a melhor das intenções, mas as diferentes exigências de cada mundo precisam ser abordadas e resolvidas. As funções diretamente relacionadas à direção, que realizam a interface no painel de instrumentos, são controladas por uma unidade de controle eletrônico exclusiva, projetada para as necessidades específicas desta categoria. As funções de informação e entretenimento de bordo, além de funções relacionadas, estão reunidas no console central. Até o momento, o console central reúne todas as funções que não são relevantes durante a direção. Com o aumento do número de funções externas do veículo, este tipo de arquitetura estática, com duas unidades eletrônicas de controle, é difícil de manter. Ela teria que ser expandida através de uma outra UCE (sigla em inglês de Unidade de Controle Eletrônico), para o universo Android, por exemplo. Considerando-se as capacidades crescentes das CPUs multinúcleo, níveis maiores de integração estão se tornando uma opção mais econômica, que oferece diversos benefícios adicionais. A Continental demonstrou os benefícios de uma arquitetura de sistemas altamente integrados para ambientes internos de veículos no Consumer Electronics Show, em Las Vegas. Ela integra o AUTOSAR, o Linux, compatível com a plataforma GENIVI, e o sistema operacional Android em um único hardware. Em vez de contar com várias unidades eletrônicas de controle, a solução integrada apresentada se baseia em uma CPU multinúcleo. Até o momento, são utilizados até quatro Article núcleos, mas, no futuro, uma CPU com mais núcleos pode ser opção. A infraestrutura e poder computacional do hardware são controlados pelo sistema operacional de hipervisor Pike, da SYSGO. Ele divide a CPU em várias máquinas virtuais, com sistemas operacionais diferentes. O grande benefício desta arquitetura é que ela permite utilizar sistemas operacionais com certificação para uso em automóveis e aplicativos em mesmo hardware, sem interferência mútua. Mesmo que um sistema operacional falhe, os outros das outras máquinas virtuais continuarão a funcionar. Dividir essas máquinas virtuais em zonas confiáveis e não confiáveis garante confiabilidade e também se revela uma maneira perfeita de administrar a dinâmica da eletrônica de consumo. As atualizações frequentes e a instalação dos novos aplicativos Android, por exemplo, são perfeitamente permitidos na zona não confiável, embora não o sejam na zona confiável. O hipervisor separa as máquinas virtuais e os seus sistemas operacionais das entradas e saídas de hardware. Qualquer solicitação de uma máquina virtual para obter o acesso de hardware tem de ser aprovada pelo hipervisor. Isto se aplica também aos sistemas operacionais automotivos seguros e parcialmente seguros. Se várias máquinas virtuais compartilharem hardware, elas têm de pedir permissão. Se o pedido for concedido, o hipervisor irá acessar o sistema operacional fonte e proporcionar os dados solicitados. Isso evita problemas como corridas de dados, que poderiam resultar de dados de armazenamento do Linux em uma memória, enquanto outras máquinas virtuais os estivessem acessando. As solicitações externas não seguras têm de passar por um firewall da política de segurança. Apenas com essa aprovação um sistema operacional ou aplicativo não seguro pode solicitar dados por meio de serviços compartilhados. A política de segurança do firewall é uma oportunidade para que a comunidade de desenvolvedores Android surja com aplicativos automotivos inovadores. A política de segurança faz com que a arquitetura seja à prova de avanços futuros, já que as regras podem ser redefinidas. O manuseio de softwares heterogêneos de forma segura é um dos principais fatores para uma melhor integração no Cockpit. O motorista é outro fator. Afinal, ele é a pessoa atrás do volante que tem que lidar com a multiplicidade de sistemas e fontes de informação enquanto controla o carro. Sem dúvidas, ser "Always on" significa fornecer informações mais valiosas, um melhor suporte ao motorista, por exemplo, por navegação dinâmica, além de serviços adicionais para aumentar o conforto de condução. Para fazer com que este novo nível de conectividade seja aplicável, a interface homem-máquina precisa se adaptar ao crescente número de funções e Article serviços. Uma modificação importante é olhar para a Interface Homem Máquina (que chamamos também HMI) como um sistema coerente e abrangente, em vez de um conjunto de exposições individuais. Na IHM holística, quaisquer informações ou mensagens ao motorista podem ser exibidas em um dos dois ou três displays no Cockpit: no painel de instrumentos, no Projetor de Para-brisas (HUD) e na tela central de informações (CID). O IHM é flexível: se um motorista estiver no trânsito, as informações necessárias serão filtradas e exibidas no HUD, onde ele possa percebê-las enquanto mantém seus olhos focados na estrada. Mesmo se o motorista estiver percorrendo uma rodovia tranquila, ainda são exibidas informações no HUD ou no painel de instrumentos. Porém, se o condutor mudar de faixa, por exemplo, e as funções de assistência de mudança de pista detectar um veículo vindo por trás em alta velocidade, o espaço disponível no display e os demais canais de comunicação precisarão ser liberados imediatamente para que esta informação apareça. Isto requer uma arquitetura de controle holístico. Este tipo de IHM flexível conecta melhor o motorista com o carro. Outro grande benefício de uma IHM holística é que é possível controlar inúmeras funções ao mesmo tempo. Faz diferença se um motorista controla imediatamente todas as funções do veículo ou, se é responsável por monitorar uma função do sistema assistência ao condutor (ADAS), que controla a dinâmica longitudinal e lateral. Supondo que um carro possa ser controlado de forma bastante automatizada, a IHM deverá apoiar o motorista em duas fases. A primeira é na transição entre dirigir ativamente e monitorar o carro durante a fase de direção automática. A segunda é quando o veículo navega automaticamente pela direção automatizada e os displays exibem conteúdos relevantes, mas podem ser interrompidos caso o motorista precise de atenção. Uma maior integração do sistema interno do veículo pode ajudar a evitar um aumento no custo das unidades de controle eletrônico. Ao mesmo tempo, uma “caixa” integrada compartilhando o mesmo hardware possibilita a mudança de uma IHM estática para uma IHM holística e atualizável que auxilie o motorista em todas as situações. Article *Torsten Posch é chefe do Centro de Tecnologia de Software da unidade de Soluções Eletrônicas da Continental