近年来,基于云平台实现功能安全系统,逐渐成为轨道交通领域的研究热点。德国西门子公司与ÖBB-Infrastruktur AG联手研制的,基于COTS(商用现货)硬件的SIL4级联锁系统,已于 2020年11月在奥地利Achau投入运行。
与此同时,在汽车电子领域,基于虚拟化机制的安全平台研究也取得了一定的进展。随着汽车向电动化和智能化的不断演进,传统的分布式电子电气架构已经不能满足ADAS(高级辅助驾驶)等新功能的需求,为此,汽车电子系统逐渐向跨域集中架构和车辆集中架构演进,主流的拓扑形式包括域控制架构拓扑和中央计算架构拓扑。无论是域控制架构拓扑还是中央计算架构拓扑,都需要在一部控制器内,承载多个“域”,即控制单元。AUTOSAR(汽车开放系统架构)提供了一套相关工具链以实现上述目标,同时提供了诸如看门狗和存储保护等基本的安全机制。
安全云平台通过虚拟化机制,在多片处理器上,承载多个独立的安全计算机单元,与传统的分立结构的安全计算机直接基于MCU(微控制器)不同,安全云平台引入了Safe Midware(安全中间件)。
Safe Midware的基本功能包括:①为应用层提供Runtime(运行时);②对硬件随机故障进行检测和并作出安全反应;③执行输出表决和故障切换;④控制安全应用间,安全应用与外部网络通信;⑤对安全应用程序进行调度,保证实时性。
一种2x2oo2结构的安全云平台架构如图1所示,其最小组成单元包含4片4核心MCU;不同MCU中的两个核心构成2oo2单元,两组2oo2单元构成2x2oo2 SAU(安全应用单元);4片4核心MCU可构成4组SAU,安全云平台可以通过增加最小组成单元的形式扩展;Safe App(安全应用)通过Safe Midware,与2oo2单元及SAU绑定,一对执行相同功能的Safe App对应一组SAU,因此,该架构最小组成单元最多可承载4对Safe App;出于安全性考虑,MCU1/2与MCU3/4分别对应2套异构的Safe Midware。同时,每组SAU中的两个2oo2单元,应为主备“交叉”配置(图1中深色核心为主用,浅色核心为备用),采用此种配置时,当一片MCU或一套Safe Midware故障时,只有至多一半的SAU将进行主备切换,从而避免了一片MCU或一套Safe Mideware故障时,全部SAU发生主备切换。如果对RAMS指标要求更高,可以采用双核心MCU,这样一片MCU故障时,至多一组SAU发生主备切换。
图1 2x2oo2安全云平台架构
安全云平台也可以通过共享静态数据库和动态数据库,实现安全应用的无状态化,同样出于高可用考虑,承载数据库的安全云平台冗余度宜高于承载安全应用的安全云平台。
一种2x2oo3结构的安全云平台架构,如图2所示。这种结构的安全云平台,可用于承载Safe App、SRTDB(静态实时数据库)和DRTDB(动态实时数据库),其最小组成单元,包含6片4核心MCU,2套异构Safe Midware,可构成4组2x2oo3 SAU,承载4对Safe App、SRTDB或DRTDB,并可通过增加最小组成单元的方式进行扩展。
图2 2x2oo3安全云平台架构
通过共享静态数据库和动态数据库,可以使云平台中的Safe App无状态化,从而提升了SAU双系切换的灵活性,SAU中一个2oo2或2oo3单元(以下称表决单元)故障时,只需在安全云平台内任意分配一个空闲的表决单元,无需数据同步即可恢复双系冗余。在主用表决单元可靠性较好,维护及时的情况下,可以减少备用表决单元的配置数量,备用表决单元无需与主用表决单元1:1配置,可从一定程度上降低系统成本。
保证Safe Midware本身的实时性和安全性是实现安全云平台的基础,可采用的技术包括:①处理器核心绑定;②处理器时隙固定分配;③数据总线冲突避免;④缓存数据不一致性避免;⑤存储分区与隔离;⑥智能网卡,TSN和SDN(软件定义网络)等。
已完成
数据加载中