© 2018 BlackBerry. All Rights Reserved. 1© 2020 BlackBerry. All Rights Reserved. 1Internal Use Only

RTOSハイパーバイザーとオープンソースによるドメインコントローラの機能安全

OSAKA NDS Embedded Linux Cross Online Forum #11

2020, July 10

BlackBerry Japan

Kazunori Inami

2© 2019 BlackBerry QNX. All Rights Reserved.

自動車業界のトレンド

▪ 自動車の電子アーキテクチャの変化

▪ 全体的に増大する複雑度

▪ サイバーセキュリティ

▪ ハードウェアのコモディティ化、重要な差別化要素としてのソフトウェアの重要性が増加

▪ 電子装置 + SW = 2030年までに自動車BoMの50%

自動車モビリティ（ライドシェアなど）

電動化（電気自動車）

コネクテドカー（コネクティビイティ）

C

自動運転（レベル 2-5）

A S E

© 2018 BlackBerry. All Rights Reserved. 3© 2019 BlackBerry. All Rights Reserved. 3

ドメインコントローラへの遷移

0 50 100 150 200 250 300 350

Space shuttle

Hubble space telescope

Boeing 787

Android

F-35 fighter

Windows 7

Large Hadron Collider

Facebook

Modern luxury car

Future vehicle (2030+)

百万命令行数

ソフトウェアの複雑性

50

70

90

110

130

2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021

ECU 数

中型高級車の平均ECU数

資料: 戦略分析、informationisbeautiful.net

???

Ford F-150

現在

▪ 60～100個以上のECU

▪ 6～8個のOS

▪ 各々が単独で動作

▪ コストと複雑性が増大

▪ 最低レベルのアップグレード機能

将来

▪ 6～10個の高性能コンピューター (HPC)プラットフォームへ移行

▪ 統合されたソフトウェアシステム

▪ 協調分散処理

▪ 重量、コスト、複雑性の低減

▪ OTAアップグレード機能による将来機能の保証

4© 2019 BlackBerry QNX. All Rights Reserved.

二つの重要なチャレンジ

サイバーセキュリティー

ソフトウェアの複雑性の増大

ソフトウェアは、車のクリティカルなドライブシステムを制御している

• 正しいソフトウェアをどのように選択するか？• ハードウェアとソフトウェアの統合化をどのように実現するか？

車はサイバーセキュリティ攻撃の大きなターゲット

• ソフトウェアが如何に安全かを確認できるか？

© 2018 BlackBerry QNX. All Rights Reserved. 5© 2019 BlackBerry. All Rights

Reserved.Confidential 5

コックピットドメインコントローラ

集約化の例 1

Infotainment

Cockpit ECU Hardware (Intel Apollo Lake, Renesas H3, NXP i.mx8, QC 820A)

Cluster (ASIL A)

Hypervisor Safety Certified - ISO 26262 ASIL D

Managed Services Graphics VPU Audio InputSecure Device Access Control

ADAS (ASIL B) Additional Services Safety Micro (ASIL B)

Cortex M/RASIL-D HW

CAN Gateway, Chimes, etc

Cluster Platform ASIL B(Multi-layer compositing)

Screen Graphics Monitor

Vehicle HAL

HAL shim

Gateway, Acoustics,

Telematics apps,etc

SurfaceFlingeror

Wayland

Android

or

OSEK

MCAL (MCU)

RTE/BSW

Classic

OS for Safety (ASIL D)

Screen

Compute Libs

OS for Safety (ASIL D)

Sensor Framework (Multi-camera, Radar, Lidar)

Telematics stack

OTA

QWF

Speech and Acoustics

OS for Safety (ASIL D)

© 2018 BlackBerry QNX. All Rights Reserved. 6© 2019 BlackBerry. All Rights

Reserved.Confidential 6

シャーシドメインコントローラ

集約化の例 2

Hardware ECU (Intel Denverton, Renesas H3)

Break (ASIL D)

Hypervisor Safety Certified - ISO 26262 ASIL D TCP/IP

Steering (ASIL D) Diagnostics

Monitoring stack

Engine (ASIL C)

App 1

OS for Safety (ASIL D)

Engine I/O MCU Axle I/O MCU

Classic

Cloud connector

App 2

App 3 App 4

App 1

OS for Safety (ASIL D)

App 2

App 3 App 4

App 1

OS for Safety (ASIL D)

App 2

App 3 App 4

virtio-net

ClassicInjection

Ethernet

Ethernet

Ignition

Left Brake

Right Brake

Cloud

Gateway ECU

LTE

© 2018 BlackBerry. All Rights Reserved. 7© 2020 BlackBerry. All Rights Reserved. 7Internal Use Only

Combined Portfolio of Products

QNX

ETAS AUTOSAR Products / Solutions

Vehicle Computing Environment

Optional ETAS Hypervisors

RTA-LWHVR, RTA-HVR

ECU Hardware

Microcontroller SoC

Functions / Applications

ISO

LA

R-A

/-A

_A

DA

PT

IVE

/-B

Deve

lop

ment T

oo

ling

Optional Hypervisors

POSIX OSRTA-OS

RTA-RTE

RTA-BSW

RTA-VRTE

uC SoC

QN

X S

DP

To

ols

3rd party MCAL

Safety Case

Evidence of the ASIL-D

compliant process

Certified QNX OS

Safety CertificatesCertificates for RTA and

QNX Tools

Safety ManualsGuideline on using our

products in an ASIL-X

environment

© 2018 BlackBerry. All Rights Reserved. 8© 2019 BlackBerry. All Rights Reserved. 8Confidential

ドメインコントローラ実現に必要な技術

• Hypervisor の機能安全 ISO26262 ASIL D対応

• OSの高度なセキュリティー機能

• サイバーセキュリティーへの対応

• libC++の機能安全対応 (Adaptive AUTOSAR)

• libmの機能安全対応 (自動運転アルゴリズム）

• Adaptive AUTOSAR, Classic AUTOSARの対応

• AUTOSARベンダーとの密な関係による最適化

© 2017 BlackBerry. All Rights Reserved. 9CONFIDENTIAL INTERNAL USE ONLY © 2019 BlackBerry. All Rights Reserved. 9CONFIDENTIAL

QNX ハイパーバイザープラットフォーム

• 32-bit guests

• 64-bit guests on 64-bit hardware

• Mix of 32- and 64-bit guests on 64-bit hardware

QNX

Hypervisor

QNX OSAndroid

Renesas H3 Intel Broxton / Apollo Lake Qualcomm 820A

Multicore VirtIO Adaptive PartitioningShared Memory

Shared GraphicsStaggered Boot Shared AudioFailure Handling

Autosar

Adaptation

Autosar

Runtime

QNX ISO 26262 Certified Type-1 HypervisorQNX

ISO 26262

Certified Tool

Chain

Unmodified

OS / RTOSLinux

QNX

Momentics

System

Analysis and

Optimization

Range of OS choices

QNX OS for

Safety

(ISO 26262)

aarch64/armv8 X86_64

© 2017 BlackBerry. All Rights Reserved. 10CONFIDENTIAL INTERNAL USE ONLY © 2019 BlackBerry. All Rights Reserved. 10CONFIDENTIAL

ハイパーバイザーのデバイス共有

Device Driver Device Driver Device Driver

Emulated

Virtual Device

Para-

Virtualized

Device (Pass-through)

Device Driver

Device Device

Guest OS

Virtual

Machine

Host

Physical

Resources

エミュレーション パラ仮想化 パススルー

© 2017 BlackBerry. All Rights Reserved. 11CONFIDENTIAL INTERNAL USE ONLY © 2019 BlackBerry. All Rights Reserved. 11CONFIDENTIAL

Virtual IO on QNX

VirtIO

Virtqueues

Guest

kernel

HOST

GUEST

(e.g Linux)

virtio-net virtio-gpu virtio-vsock ….virtio-blk

qvm

vdev-virtio-

gpu.so

vdev-virtio-

input.sovdev-xxx

vdev-virtio-

blk.sovdev-virtio-

net.so

devb-x

driver

GUEST

(QNX)

driver driver driver

Hardware

devb-virtio

qvm

….

vdev-virtio-

blk.so… … … … …

Guest

user space

QNX kernel

Guest Apps

Guest frameworksGuest Apps

Guest frameworks

… …vdev-xxx

© 2018 BlackBerry. All Rights Reserved. 12© 2020 BlackBerry. All Rights Reserved. 12Internal Use Only

Safety Products

Safety Legend

Network Fsys/Block

Other Drivers, Libraries and

Tools

Applications

C

library

QNX Microkernel+Procnto

Board Support Packages (BSP)

Startup Drivers

Safety OS

Eng Services

Safety HV

Upcoming

Black

ChannelSafe Fsys

Adaptive

Partitioning

Multicore

support

Memory

Management

QVM

Virtual

Devices

C++

library

Hypervisor

Extensions

mkifs, sepolcompile,

secpolpush

C and C++ compilers

Math

library

Add-ons

Peer Net &

Shared mem

Support Services

SMMU

• QNX OS for Safety (QOS)

• ARM, x86 64ビットハードウェアプラットフォームのQNX SDPにコンパチブル

• マイクロカーネルとプロセスマネージャー、マルチコアサポート、アダプティブパーティショニングスケジューラー

• システムライブラリー: C, Math, C++ ライブラリーの認証

• 認証を受けたQNXユーティリティー

• ツール: C、C++ コンパイラー, リンカー, アセンブラーTCL3

• QNX Hypervisor for Safety (QHS)

• QNXマイクロカーネルへのハイパーバイザー拡張

• QVM ゲスト管理システム

• パラ仮想化のサポート (VirtIO)

• ピアネットワーク

• ゲスト / ホストシェアードメモリー

• Safety Certified Add-on Products

• QNXブラックチャンネルコミュニケーション; QNX Black Channel

Communications Technology (QBCCT)

• 認証済みの C++ システムライブラリー

• QNX セーフファイルシステム (レビュー中)

© 2018 BlackBerry. All Rights Reserved. 13© 2020 BlackBerry. All Rights Reserved. 13Internal Use Only

QNX Black Channel Communications Technology 1.0

• ISO 26262 ASIL D認証済みのセーフコミュニケーション

• ハードウェア、通信ソフトウェアを利用し、ポイントツーポイントでやり取りされるデータを保護

• 完全性（改ざんがないこと）のチェック、認証、データ損失の検出ならびに他の方法を提供するセーフティーレーヤーを提供 (IEC 61784-3、AUTOSARで定義されている)

• 標準的なシステム、ならびに機能安全標準に準じて認証を受けるシステムに利用可能

• システムのセーフティーケースを実現する場合、通信コンポーネントを組み込む際、コストを低減することが可能.

• QNXと非QNXシステム (Linux, SafeRTOS) 両方で利用可能

© 2019 BlackBerry. All Rights Reserved. 14Confidential

BlackBerry QNXのカバーする範囲

ADASとアクティブセーフティー

OTAによるソフトウェアアップデート

セキュアな製造工程

ゲートウェイ

インスツルメンツクラスター

デジタルコックピット

インフォテイメント

テレマティクス

音響技術

セキュア認証 FIPS認証、暗号技術

エンジニアリングサービス

バイナリーコードスキャン

セキュアIoTインフラOTAを含むサービス管理

エンドツーエンドセキュリティコンサルティング

セキュアコミュニケーション

ソフトウェアアップデート

ビジネスロジック

認証 防御 異常検知

• インフィールドヘルスチェック• リモート診断、解析• クラウドにおけるソフトウェアラ

イフサイクル管理

© 2020 BlackBerry. All Rights Reserved. 15BlackBerry Confidential

車載標準化の拡大

ソフトウェアアップデート

▪ ISO 26262

▪ E/Eコンポーネントにおける故障イベントに対する安全性の確保

▪ ISO/PAS 21448

▪ 故障がない場合でも、意図した機能への安全性の確保

▪ ISO/SAE 21434

▪ J3061の継承

▪ 安全性、財務性、運用性、プライバシーの問題を発生するE/Eコンポーネ

ントへの悪意のある攻撃に対するセキュリティー （ネットワーク、クラウドは対象外）

▪ ISO 24089

▪ 車載における有線、無線で提供される安全でセキュアなアップデート

▪ ISO 26262, ISO/PAS 21448, ISO/SAE 21434の参照面

▪ Some content originally a part of ISO/SAE 21434

▪ 2022年に発行の予定

機能安全 意図した機能への安全性 (SOTIF)サイバーセキュリティー

© 2017 BlackBerry. All rights reserved.

Thank You!