先進自動運転ドメインコントローラーの機能安全設計に関する記事

先進的な自動運転セントラル ドメイン コントローラーの設計プロセスでは、セキュリティ設計原則を完全に理解する必要があります。初期の設計では、アーキテクチャ、ソフトウェア、ハードウェア、通信のいずれであっても、セキュリティ設計原則を完全に理解する必要があるからです。特定の設計上の問題を回避しながら、それに応じた利点を提供します。

ここで説明するハイエンド ドメイン コントローラーの機能安全設計とは、主に、フロントエンド開発で期待される機能安全に関わるシナリオ分析と、バックエンド開発に関わるすべてのサブ項目を指します。 -終了機能安全です。まず、基本レベルのハードウェアが接続基点として使用され、システム アーキテクチャ全体の通信とデータ ストリーム送信がデータ通信端を通じて実現されます。ソフトウェアはハードウェアに焼き付けられ、ハードウェアをキャリアとして使用し、通信ユニットは、相互間のモジュールの呼び出しを担当します。ドメイン コントローラーのセキュリティ設計側についても同様です。車両の安全性能分析の観点から見ると、主要な分析プロセスには、システム理論分析 STPA (システム理論プロセス分析)、故障モードおよび影響分析 FMEA、およびフォールト ツリー分析 (FTA) の 3 つの側面も含まれます。

アーキテクチャの中核となるドメイン コントローラーには、非常に強力な機能セキュリティ レベルが関係します。一般に、データ通信セキュリティ、ハードウェア基本セキュリティ、ソフトウェア基本セキュリティの 3 つのレベルに分類できます。具体的な分析プロセスでは、ハードウェアの基本レベルでの機能安全、ソフトウェアの基本レベルでの機能安全、データ通信機能などのいくつかの側面を十分に考慮する必要があり、それぞれの側面を包括的に分析する必要があります。

データ通信のセキュリティ

通信端は、接続とデータの流入および流出の端として、システム全体において決定的な役割を果たします。データ通信レベルでは、その機能安全要件は主に、一般的なデータ整合性メカニズム、オンライン カウント メカニズム (ローリング カウンタ)、システム診断データの更新、タイムスタンプ情報 (タイム スタンプ)、時間オーバーフロー (チェックサム)、管理承認を指します。コード、データの冗長性、ゲートウェイ、その他の主要な側面。その中で、オンラインカウント、診断、時間オーバーフロー検証などのデータ通信については、従来のポイントツーポイントのCanbus信号と一致しますが、次世代の自動運転、データの冗長性、中央ゲートウェイ管理の最適化については、データ認証アクセスなどは注力する必要がある領域です。

#機能安全に関する全体的な要件は次のとおりです:

ハードウェアの基本レベル

ハードウェアの基本レベルでの機能安全要件は、主にマイクロコントローラー モジュール、ストレージ モジュール、電源サポート、シリアル データ通信などのいくつかの主要モジュールを指します。

マイクロコントローラー モジュールのセキュリティ

ここでいうマイクロコントローラーとは、AI チップ (SOC)、浮動小数点演算チップ (GPU) などと呼ばれるもののことです。ロジック コンピューティング チップ (MCU) は、車両側のドメイン コントローラーで実行される主要なコンピューティング ユニットです。機能安全設計の観点から見ると、一般的な設計モジュール、ロックステップ コア検証（ロックステップ コア比較、ロックステップ コア セルフテストを含む）、クロック検証（クロック比較、クロック セルフテストを含む）などのさまざまなタイプのマイクロコントローラ モジュールが含まれます。テスト）、プログラムフロー監視、ハートビート監視、ハードウェアウォッチドッグ機能、割り込み保護、メモリ/フラッシュ/レジスタ監視/セルフテスト、電源監視とセルフテスト、通信保護など。

マイクロコントローラーは、配線を介して監視ユニットに「アクティブ ハートビート」周期スイッチング信号を提供する必要があることに注意してください。信号の切り替えは、プログラム フロー監視機能も提供するセキュリティ ウォッ​​チドッグによって管理される必要があります。セキュリティ ウォッ​​チドッグは、ウォッチドッグ サービス中に「アクティブ ハートビート」を切り替えることのみが許可されます。マイクロコントローラーのセキュリティ ソフトウェアは、内部セキュリティ ウォッ​​チドッグがサービスされるたびに「アクティブ ハートビート」を切り替える必要があります。これにより、マイクロコントローラーが実行中であり、セキュリティ ウォッ​​チドッグ タイマーが実行中であることが監視ユニットに示されます。システムのバックグラウンドは、信号の切り替え時間と High および Low 状態が有効範囲内であることを確認することにより、「アクティブ ハートビート」切り替え信号を監視する必要があります。 「アクティブ ハートビート」障害が検出されると、SMU は安全性のダウングレードをアクティブ化します。

ウォッチドッグ プログラムの場合、潜在的な障害を回避するために、システムの初期化中にテストを実行する必要があります。次の障害タイプはプロセス中にテストする必要があります:

- 不正なウォッチドッグ トリガー時間 (閉じたウィンドウでトリガーされる);

-ウォッチドッグ トリガーなし;

ストレージ モジュールのセキュリティ

ストレージ モジュールはドメイン制御全体の不可欠な部分であり、チップ動作プロセス全体で主に次の用途に使用されます。一時的および一般的に使用されるファイル ストレージ、および動作プロセス中のデータ交換。たとえば、当社のオペレーティング システム起動プログラムは SOC/MCU プラグイン ストレージ ユニットに保存されており、たとえば、当社の次世代自動運転製品は、運転/駐車を使用する 高精度マップは通常、チップに接続されたストレージ ユニットに保存され、基盤となるソフトウェアの一部の診断ファイルとログ ファイルも当社のプラグイン チップに保存されます。それでは、適切な機能安全条件を確保するには、ストレージユニット全体でどのような条件を満たす必要があるのでしょうか?詳細な説明については、以下の図を参照してください。

ストレージユニット全体のセキュリティには、主にレジスタ監視、一般ストレージユニット、RAM/メモリECC、ECCセルフテスト、フラッシュ冗長性、レジスタ書き込み保護、範囲保護、レジスタセルフが含まれます。 -テストなど、多くの側面があります。

電源の完全性

電源の完全性安全方法テストは、主に電源全体を通じて行われます。動作状況。これは、フォールト挿入とリアルタイム監視を通じて実行されます。

テスト手法の一例は、監視しきい値を高くまたは低く設定して、モニターに不足電圧または過電圧障害を強制的に検出させ、障害が正しく検出されることを確認することです。障害が発生すると、電力モニターは補助シャットダウン パスをアクティブにする必要があります。マイクロコントローラーは補助シャットダウン パスを監視し、補助シャットダウン パスがテスト手順で予想どおりに動作する場合にのみテストを「合格」とみなし、そうでない場合は「不合格」とみなされます。障害が検出されると、マイクロコントローラーは安全性低下を起動します。このテストは専用の BIST 機能によってサポートされており、詳細な手順に従ってマイコン ソフトウェアによって設定する必要があります。

ソフトウェアの基本セキュリティ

基本的なソフトウェア セキュリティ レベルに関する設計上の考慮事項は、主に車両を対象としています。インテリジェント運転ソフトウェアの開発中に起こり得るソフトウェア障害を包括的に考慮します。これらには、ソフトウェア文書の設計、ソフトウェアの言語とスタイル、セーフティクリティカルな変数、障害の検出と修正、ソフトウェアアーキテクチャ、セーフティクリティカルなコード、プログラムフローの監視、変更管理、その他の主要な側面が含まれます。すべてのレベルのソフトウェア設計の記述では、モデルまたはコードの目的を定義するために自然言語を使用する必要があります。たとえば、複数の変数間の独立性がシステムのセキュリティにとって重要である場合、変数のパブリック アドレスを使用してこれらの変数を単一のデータ要素に結合すべきではありません。これにより、構造内のすべての要素が関与するコモンモードの系統的故障が発生する可能性があります。変数がグループ化されている場合は、安全性が重要な機能に対して適切な正当化を行う必要があります。

#この記事は、機能安全の観点から開始し、自動運転ドメイン コントローラー設計全体の包括的な要素とプロセスをさまざまな側面から詳細に分析します。 。その中には、ハードウェア基盤、ソフトウェア手法、データ通信など、さまざまな側面が含まれます。これらの機能安全設計機能は、アーキテクチャ レベル全体に重点を置きながら、その内部コンポーネント間の接続にも十分な注意を払い、設計プロセスのコンプライアンスと整合性を確保し、設計の後半段階での予期せぬ結果を回避します。したがって、詳細な安全設計ルールとして、開発エンジニアにとって必要な参考資料となります。

以上が先進自動運転ドメインコントローラーの機能安全設計に関する記事の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。