Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
© 2018 BlackBerry. All Rights Reserved. 1© 2020 BlackBerry. All Rights Reserved. 1Internal Use Only
RTOSハイパーバイザーとオープンソースによるドメインコントローラの機能安全
OSAKA NDS Embedded Linux Cross Online Forum #11
2020, July 10
BlackBerry Japan
Kazunori Inami
2© 2019 BlackBerry QNX. All Rights Reserved.
自動車業界のトレンド
▪ 自動車の電子アーキテクチャの変化
▪ 全体的に増大する複雑度
▪ サイバーセキュリティ
▪ ハードウェアのコモディティ化、重要な差別化要素としてのソフトウェアの重要性が増加
▪ 電子装置 + SW = 2030年までに自動車BoMの50%
自動車モビリティ(ライドシェアなど)
電動化(電気自動車)
コネクテドカー(コネクティビイティ)
C
自動運転(レベル 2-5)
A S E
© 2018 BlackBerry. All Rights Reserved. 3© 2019 BlackBerry. All Rights Reserved. 3
ドメインコントローラへの遷移
0 50 100 150 200 250 300 350
Space shuttle
Hubble space telescope
Boeing 787
Android
F-35 fighter
Windows 7
Large Hadron Collider
Modern luxury car
Future vehicle (2030+)
百万命令行数
ソフトウェアの複雑性
50
70
90
110
130
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021
ECU 数
中型高級車の平均ECU数
資料: 戦略分析、informationisbeautiful.net
???
Ford F-150
現在
▪ 60~100個以上のECU
▪ 6~8個のOS
▪ 各々が単独で動作
▪ コストと複雑性が増大
▪ 最低レベルのアップグレード機能
将来
▪ 6~10個の高性能コンピューター (HPC)プラットフォームへ移行
▪ 統合されたソフトウェアシステム
▪ 協調分散処理
▪ 重量、コスト、複雑性の低減
▪ OTAアップグレード機能による将来機能の保証
4© 2019 BlackBerry QNX. All Rights Reserved.
二つの重要なチャレンジ
サイバーセキュリティー
ソフトウェアの複雑性の増大
ソフトウェアは、車のクリティカルなドライブシステムを制御している
• 正しいソフトウェアをどのように選択するか?• ハードウェアとソフトウェアの統合化をどのように実現するか?
車はサイバーセキュリティ攻撃の大きなターゲット
• ソフトウェアが如何に安全かを確認できるか?
© 2018 BlackBerry QNX. All Rights Reserved. 5© 2019 BlackBerry. All Rights
Reserved.Confidential 5
コックピットドメインコントローラ
集約化の例 1
Infotainment
Cockpit ECU Hardware (Intel Apollo Lake, Renesas H3, NXP i.mx8, QC 820A)
Cluster (ASIL A)
Hypervisor Safety Certified - ISO 26262 ASIL D
Managed Services Graphics VPU Audio InputSecure Device Access Control
ADAS (ASIL B) Additional Services Safety Micro (ASIL B)
Cortex M/RASIL-D HW
CAN Gateway, Chimes, etc
Cluster Platform ASIL B(Multi-layer compositing)
Screen Graphics Monitor
Vehicle HAL
HAL shim
Gateway, Acoustics,
Telematics apps,etc
SurfaceFlingeror
Wayland
Android
or
OSEK
MCAL (MCU)
RTE/BSW
Classic
OS for Safety (ASIL D)
Screen
Compute Libs
OS for Safety (ASIL D)
Sensor Framework (Multi-camera, Radar, Lidar)
Telematics stack
OTA
QWF
Speech and Acoustics
OS for Safety (ASIL D)
© 2018 BlackBerry QNX. All Rights Reserved. 6© 2019 BlackBerry. All Rights
Reserved.Confidential 6
シャーシドメインコントローラ
集約化の例 2
Hardware ECU (Intel Denverton, Renesas H3)
Break (ASIL D)
Hypervisor Safety Certified - ISO 26262 ASIL D TCP/IP
Steering (ASIL D) Diagnostics
Monitoring stack
Engine (ASIL C)
App 1
OS for Safety (ASIL D)
Engine I/O MCU Axle I/O MCU
Classic
Cloud connector
App 2
App 3 App 4
App 1
OS for Safety (ASIL D)
App 2
App 3 App 4
App 1
OS for Safety (ASIL D)
App 2
App 3 App 4
virtio-net
ClassicInjection
Ethernet
Ethernet
Ignition
Left Brake
Right Brake
Cloud
Gateway ECU
LTE
© 2018 BlackBerry. All Rights Reserved. 7© 2020 BlackBerry. All Rights Reserved. 7Internal Use Only
Combined Portfolio of Products
QNX
ETAS AUTOSAR Products / Solutions
Vehicle Computing Environment
Optional ETAS Hypervisors
RTA-LWHVR, RTA-HVR
ECU Hardware
Microcontroller SoC
Functions / Applications
ISO
LA
R-A
/-A
_A
DA
PT
IVE
/-B
Deve
lop
ment T
oo
ling
Optional Hypervisors
POSIX OSRTA-OS
RTA-RTE
RTA-BSW
RTA-VRTE
uC SoC
QN
X S
DP
To
ols
3rd party MCAL
Safety Case
Evidence of the ASIL-D
compliant process
Certified QNX OS
Safety CertificatesCertificates for RTA and
QNX Tools
Safety ManualsGuideline on using our
products in an ASIL-X
environment
© 2018 BlackBerry. All Rights Reserved. 8© 2019 BlackBerry. All Rights Reserved. 8Confidential
ドメインコントローラ実現に必要な技術
• Hypervisor の機能安全 ISO26262 ASIL D対応
• OSの高度なセキュリティー機能
• サイバーセキュリティーへの対応
• libC++の機能安全対応 (Adaptive AUTOSAR)
• libmの機能安全対応 (自動運転アルゴリズム)
• Adaptive AUTOSAR, Classic AUTOSARの対応
• AUTOSARベンダーとの密な関係による最適化
© 2017 BlackBerry. All Rights Reserved. 9CONFIDENTIAL INTERNAL USE ONLY © 2019 BlackBerry. All Rights Reserved. 9CONFIDENTIAL
QNX ハイパーバイザープラットフォーム
• 32-bit guests
• 64-bit guests on 64-bit hardware
• Mix of 32- and 64-bit guests on 64-bit hardware
QNX
Hypervisor
QNX OSAndroid
Renesas H3 Intel Broxton / Apollo Lake Qualcomm 820A
Multicore VirtIO Adaptive PartitioningShared Memory
Shared GraphicsStaggered Boot Shared AudioFailure Handling
Autosar
Adaptation
Autosar
Runtime
QNX ISO 26262 Certified Type-1 HypervisorQNX
ISO 26262
Certified Tool
Chain
Unmodified
OS / RTOSLinux
QNX
Momentics
System
Analysis and
Optimization
Range of OS choices
QNX OS for
Safety
(ISO 26262)
aarch64/armv8 X86_64
© 2017 BlackBerry. All Rights Reserved. 10CONFIDENTIAL INTERNAL USE ONLY © 2019 BlackBerry. All Rights Reserved. 10CONFIDENTIAL
ハイパーバイザーのデバイス共有
Device Driver Device Driver Device Driver
Emulated
Virtual Device
Para-
Virtualized
Device (Pass-through)
Device Driver
Device Device
Guest OS
Virtual
Machine
Host
Physical
Resources
エミュレーション パラ仮想化 パススルー
© 2017 BlackBerry. All Rights Reserved. 11CONFIDENTIAL INTERNAL USE ONLY © 2019 BlackBerry. All Rights Reserved. 11CONFIDENTIAL
Virtual IO on QNX
VirtIO
Virtqueues
Guest
kernel
HOST
GUEST
(e.g Linux)
virtio-net virtio-gpu virtio-vsock ….virtio-blk
qvm
vdev-virtio-
gpu.so
vdev-virtio-
input.sovdev-xxx
vdev-virtio-
blk.sovdev-virtio-
net.so
devb-x
driver
GUEST
(QNX)
driver driver driver
Hardware
devb-virtio
qvm
….
vdev-virtio-
blk.so… … … … …
Guest
user space
QNX kernel
Guest Apps
Guest frameworksGuest Apps
Guest frameworks
… …vdev-xxx
© 2018 BlackBerry. All Rights Reserved. 12© 2020 BlackBerry. All Rights Reserved. 12Internal Use Only
Safety Products
Safety Legend
Network Fsys/Block
Other Drivers, Libraries and
Tools
Applications
C
library
QNX Microkernel+Procnto
Board Support Packages (BSP)
Startup Drivers
Safety OS
Eng Services
Safety HV
Upcoming
Black
ChannelSafe Fsys
Adaptive
Partitioning
Multicore
support
Memory
Management
QVM
Virtual
Devices
C++
library
Hypervisor
Extensions
mkifs, sepolcompile,
secpolpush
C and C++ compilers
Math
library
Add-ons
Peer Net &
Shared mem
Support Services
SMMU
• QNX OS for Safety (QOS)
• ARM, x86 64ビットハードウェアプラットフォームのQNX SDPにコンパチブル
• マイクロカーネルとプロセスマネージャー、マルチコアサポート、アダプティブパーティショニングスケジューラー
• システムライブラリー: C, Math, C++ ライブラリーの認証
• 認証を受けたQNXユーティリティー
• ツール: C、C++ コンパイラー, リンカー, アセンブラーTCL3
• QNX Hypervisor for Safety (QHS)
• QNXマイクロカーネルへのハイパーバイザー拡張
• QVM ゲスト管理システム
• パラ仮想化のサポート (VirtIO)
• ピアネットワーク
• ゲスト / ホストシェアードメモリー
• Safety Certified Add-on Products
• QNXブラックチャンネルコミュニケーション; QNX Black Channel
Communications Technology (QBCCT)
• 認証済みの C++ システムライブラリー
• QNX セーフファイルシステム (レビュー中)
© 2018 BlackBerry. All Rights Reserved. 13© 2020 BlackBerry. All Rights Reserved. 13Internal Use Only
QNX Black Channel Communications Technology 1.0
• ISO 26262 ASIL D認証済みのセーフコミュニケーション
• ハードウェア、通信ソフトウェアを利用し、ポイントツーポイントでやり取りされるデータを保護
• 完全性(改ざんがないこと)のチェック、認証、データ損失の検出ならびに他の方法を提供するセーフティーレーヤーを提供 (IEC 61784-3、AUTOSARで定義されている)
• 標準的なシステム、ならびに機能安全標準に準じて認証を受けるシステムに利用可能
• システムのセーフティーケースを実現する場合、通信コンポーネントを組み込む際、コストを低減することが可能.
• QNXと非QNXシステム (Linux, SafeRTOS) 両方で利用可能
© 2019 BlackBerry. All Rights Reserved. 14Confidential
BlackBerry QNXのカバーする範囲
ADASとアクティブセーフティー
OTAによるソフトウェアアップデート
セキュアな製造工程
ゲートウェイ
インスツルメンツクラスター
デジタルコックピット
インフォテイメント
テレマティクス
音響技術
セキュア認証 FIPS認証、暗号技術
エンジニアリングサービス
バイナリーコードスキャン
セキュアIoTインフラOTAを含むサービス管理
エンドツーエンドセキュリティコンサルティング
セキュアコミュニケーション
ソフトウェアアップデート
ビジネスロジック
認証 防御 異常検知
• インフィールドヘルスチェック• リモート診断、解析• クラウドにおけるソフトウェアラ
イフサイクル管理
© 2020 BlackBerry. All Rights Reserved. 15BlackBerry Confidential
車載標準化の拡大
ソフトウェアアップデート
▪ ISO 26262
▪ E/Eコンポーネントにおける故障イベントに対する安全性の確保
▪ ISO/PAS 21448
▪ 故障がない場合でも、意図した機能への安全性の確保
▪ ISO/SAE 21434
▪ J3061の継承
▪ 安全性、財務性、運用性、プライバシーの問題を発生するE/Eコンポーネ
ントへの悪意のある攻撃に対するセキュリティー (ネットワーク、クラウドは対象外)
▪ ISO 24089
▪ 車載における有線、無線で提供される安全でセキュアなアップデート
▪ ISO 26262, ISO/PAS 21448, ISO/SAE 21434の参照面
▪ Some content originally a part of ISO/SAE 21434
▪ 2022年に発行の予定
機能安全 意図した機能への安全性 (SOTIF)サイバーセキュリティー
© 2017 BlackBerry. All rights reserved.
Thank You!