첨단 자율주행 도메인 컨트롤러의 기능안전 설계에 관한 기사

첨단 자율주행 중앙 도메인 컨트롤러의 설계 과정에서는 보안 설계 원칙에 대한 완전한 이해가 필요합니다. 왜냐하면 초기 설계에서는 아키텍처, 소프트웨어, 하드웨어, 통신 등 모든 부분에서 설계 규칙을 완전히 이해해야 하기 때문입니다. 특정 디자인 문제를 피하면서 해당 장점을 최대한 활용하기 위해.

여기서 이야기하는 하이엔드 도메인 컨트롤러의 기능 안전 설계는 주로 프론트엔드 개발에서 예상되는 기능 안전과 관련된 시나리오 분석과 백엔드 기능 안전과 관련된 모든 하위 항목을 의미합니다. 첫째, 하드웨어의 기본 수준을 연결 기준점으로 사용하고 전체 시스템 아키텍처 통신 및 데이터 스트림 전송은 데이터 통신 끝을 통해 실현되며 하드웨어를 캐리어로 사용하여 소프트웨어가 하드웨어에 구워집니다. 통신 유닛은 서로간의 모듈을 호출하는 역할을 담당합니다. 도메인 컨트롤러의 보안 설계 측면에서는 그렇습니다. 차량 안전 성능 분석 관점에서 볼 때 주요 분석 프로세스에는 시스템 이론 분석 STPA(시스템 이론 프로세스 분석), 고장 모드 및 영향 분석 FMEA, 결함 트리 분석(FTA)의 세 가지 측면도 포함됩니다.

아키텍처의 핵심에 있는 도메인 컨트롤러의 경우 매우 강력한 수준의 기능적 보안이 필요합니다. 일반적으로 데이터 통신 보안, 하드웨어 기본 보안, 소프트웨어 기본 보안의 세 가지 수준으로 나눌 수 있습니다. 구체적인 분석 프로세스에서는 하드웨어 기본 수준의 기능적 안전성, 기본 소프트웨어 수준의 기능적 안전성, 데이터 통신 능력 등 여러 측면을 충분히 고려해야 하며, 각 측면에 대한 분석은 포괄적이어야 합니다.

데이터 통신 보안​

연결과 데이터 유입 및 유출이 끝나기 때문에 통신 끝은 전체 시스템 아키텍처 통신에서 결정적인 역할을 합니다. 데이터 통신 수준의 경우 기능 안전 요구 사항은 주로 일반을 참조합니다. 데이터 무결성 메커니즘, 온라인 계산 메커니즘(롤링 카운터), 시스템 진단 데이터 새로 고침, 타임스탬프 정보(Time Stamp), 시간 오버플로(CheckSum), 관리 인증 코드, 데이터 중복성, 게이트웨이 및 기타 주요 측면. 그중 온라인 계산, 진단, 시간 초과 확인 등과 같은 데이터 통신은 기존 지점 간 Canbus 신호와 일치하는 반면 차세대 자율 주행, 데이터 중복성, 중앙 게이트웨이 관리 최적화, 데이터 승인 액세스 등은 집중해야 할 영역입니다.

기능 안전에 대한 전반적인 요구 사항은 다음과 같습니다.

하드웨어 기본 수준

하드웨어 기본 수준의 기능 안전 요구 사항은 주로 마이크로 컨트롤러 모듈, 스토리지 모듈, 전원 공급 장치 지원, 직렬 장치를 참조합니다. 데이터 통신 및 기타 주요 모듈.

마이크로컨트롤러 모듈 안전​

여기서 마이크로컨트롤러는 우리가 흔히 말하는 AI칩(SOC), 부동소수점연산칩(GPU), 논리연산칩(MCU)으로 자동차에서 구동되는 주요 컴퓨팅 유닛이다. 최종 도메인 컨트롤러. 기능 안전 설계의 관점에서 볼 때 다양한 유형의 마이크로 컨트롤러 모듈에는 일반 설계 모듈, 잠금 단계 코어 검증(록 단계 코어 비교, 잠금 단계 코어 자체 테스트 포함), 클럭 검증(클럭 비교, 클럭 자체 테스트 포함)이 포함됩니다. 테스트), 프로그램 흐름 모니터링, 하트비트 모니터링, 하드웨어 감시 기능, 인터럽트 보호, 메모리/플래시/레지스터 모니터링/자체 테스트, 전원 공급 장치 모니터링 및 자체 테스트, 통신 보호 등

마이크로 컨트롤러는 하드 와이어를 통해 모니터링 장치에 "활성 하트비트" 주기적인 전환 신호를 제공해야 한다는 점에 유의해야 합니다. 스위칭 신호는 프로그램 흐름 모니터링 기능도 제공하는 보안 감시 장치에 의해 관리되어야 합니다. 보안 감시는 감시 서비스 중에 "활성 하트비트"를 전환하는 것만 허용됩니다. 그런 다음 마이크로 컨트롤러 보안 소프트웨어는 내부 보안 감시가 서비스될 때마다 "활성 하트비트"를 전환해야 합니다. 이는 마이크로 컨트롤러가 실행 중이고 보안 감시 타이머가 실행 중임을 모니터링 장치에 나타냅니다. 시스템 배경은 신호 전환 시간과 높음 및 낮음 상태가 유효한 범위 내에 있는지 확인하여 "활성 하트비트" 전환 신호를 모니터링해야 합니다. "활성 하트비트" 오류가 감지되면 SMU는 안전 다운그레이드를 활성화합니다.

감시 프로그램의 경우 잠재적인 오류를 방지하기 위해 시스템 초기화 중에 테스트해야 합니다. 프로세스 중에 다음 오류 유형을 테스트해야 합니다.

- 잘못된 워치독 트리거 시간(닫힌 창에서 트리거됨)

- 워치독이 트리거되지 않음

스토리지 모듈 보안

전체 도메인 제어의 필수 부분입니다. 전체 칩 작동 프로세스 동안 주로 임시적이고 일반적으로 사용되는 파일 저장과 작동 프로세스 중 데이터 교환에 사용됩니다. 예를 들어 운영 체제 시작 프로그램은 SOC에 저장됩니다. /예를 들어 MCU에 연결된 저장 장치에서 우리의 차세대 자율 주행 제품은 일반적으로 칩에 연결된 저장 장치에 저장되는 주행/주차 고정밀 지도와 일부 진단 및 로그를 사용해야 합니다. 기본 소프트웨어의 클래스 파일도 플러그인 칩에 저장됩니다. 그렇다면 적절한 기능 안전 조건을 보장하려면 전체 저장 장치에 대해 어떤 조건을 충족해야 할까요? 자세한 설명은 아래 그림을 참조하세요.

전체 저장 장치의 보안에는 주로 레지스터 모니터링, 일반 저장 장치, RAM/메모리 ECC, ECC 자체 테스트, 플래시 중복성, 레지스터 쓰기 보호, 범위 보호, 레지스터 자체 테스트 및 기타 측면이 포함됩니다.

전원 공급 장치 무결성

전원 공급 장치의 무결성 안전 방법 테스트는 주로 전원 공급 장치 전체 작동 상태를 통해 이루어집니다. 이는 장애 주입 및 실시간 모니터링을 통해 수행됩니다.

테스트 방법의 예로는 모니터링 임계값을 더 높거나 낮게 구성하여 모니터가 저전압 또는 과전압 오류를 감지하도록 하고 오류가 올바르게 감지되었는지 확인하는 것입니다. 오류가 발생하면 전원 모니터가 보조 차단 경로를 활성화해야 합니다. 마이크로 컨트롤러는 보조 종료 경로를 모니터링하고 보조 종료 경로가 테스트 절차에서 예상대로 작동하는 경우에만 테스트를 "통과"로 간주해야 하며, 그렇지 않으면 "실패"로 간주됩니다. 오류가 감지되면 마이크로컨트롤러는 안전 저하를 활성화합니다. 이 테스트는 전용 BIST 기능에 의해 지원되며 세부 절차에 따라 마이크로컨트롤러 소프트웨어로 구성되어야 합니다.

소프트웨어 기본 보안​

소프트웨어 기본 보안 수준에 대한 설계 고려 사항은 주로 온보드 지능형 주행 소프트웨어 개발 중에 발생할 수 있는 소프트웨어 오류에 대한 포괄적인 고려 사항입니다. 여기에는 소프트웨어 문서 디자인, 소프트웨어 언어 및 스타일, 안전에 중요한 변수, 오류 감지 및 수정, 소프트웨어 아키텍처, 안전에 중요한 코드, 프로그램 흐름 모니터링, 변경 관리 및 기타 주요 측면이 포함됩니다. 모든 수준의 소프트웨어 설계 설명에서는 모델이나 코드의 목적을 정의하기 위해 자연어를 사용해야 합니다. 예를 들어, 여러 변수 간의 독립성이 시스템 보안에 중요한 경우 이러한 변수는 변수의 공개 주소를 사용하여 단일 데이터 요소로 결합되어서는 안 됩니다. 이로 인해 구조의 모든 요소와 관련된 공통 모드 시스템 오류가 발생할 수 있습니다. 변수가 그룹화되어 있는 경우 안전에 중요한 기능에 대해 적절한 근거를 제시해야 합니다.

이 글은 기능 안전의 관점에서 시작하여 전체 자율주행 도메인 컨트롤러 설계의 포괄적인 요소와 프로세스를 다양한 측면에서 자세히 분석합니다. 그 중에는 하드웨어 기반, 소프트웨어 방식, 데이터 통신 등 다양한 측면이 포함됩니다. 이러한 기능 안전 설계 기능은 전체 아키텍처 수준에 초점을 맞추는 동시에 내부 구성 요소 간의 연결에도 세심한 주의를 기울여 설계 프로세스의 규정 준수와 무결성을 보장하고 설계 후반 단계에서 예측할 수 없는 결과를 방지합니다. 따라서 상세한 안전 설계 규칙으로서 개발 엔지니어에게 필요한 참고 자료를 제공할 수 있습니다.

위 내용은 첨단 자율주행 도메인 컨트롤러의 기능안전 설계에 관한 기사의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!