자동차 클러스터 및 IVI 시스템을 위한 안전 운영 체제 선택 보고서

어제 독일에 있는 큰 공급업체 중 한군데를 방문헤 SDV 관련 워크샾을 하고 왔다. 점심시간에 대화를 하던 중 Safety OS 에 대한 이야기가 나왔고 어떤 대안들이 있고 어떤 것을 추천하는지에 대한 의견을 받았다.

출처: https://itwiki.kr/w/ASIL

 

비용면에서 오픈소스 등도 검토하지만 오픈소스가 무료라는 인식을 버려야 한다. 오픈소스는 기반이 되고 제품화 및 실제 안전 관련 ASIL 인증을 받기 위해서는 엄청난 노력이 필요하다. 즉, 상용화 된 OS를 사는 것 대비 투입하는 비용도 고려하고 장기적인 방향성까지 많은 부분을 생각해야한다.

 

최근에 전 직장 상사분과 AI 이야기하다가 GEMINI 가 리서치를 잘 해준다고 해서 이 내용을 토대로 물어봤고 아래가 그 결과 보고서이다. 우리가 이야기했던 많은 내용이 잘 정리되어 나왔다.

 

GEMINI 보고서

1. 요약

본 보고서는 자동차 클러스터 및 IVI(In-Vehicle Infotainment) 시스템 개발에 적합한 안전 운영 체제(OS)를 추천하기 위해 작성되었습니다. 주요 목표는 POSIX 호환성을 갖춘 플랫폼을 식별하여 IVI 개발에 사용되는 POSIX 기반 Linux 또는 Android와의 통합을 용이하게 하고, 클러스터 시스템과의 잠재적인 플랫폼 재사용을 가능하게 하는 것입니다. 초기 안전 요구 사항은 ASIL B 등급이며, 향후 ASIL D 등급으로 업그레이드할 수 있는 명확한 경로를 갖춘 OS를 찾는 데 중점을 두었습니다. 본 보고서는 적합한 실시간 운영 체제(RTOS) 후보에 대한 주요 연구 결과를 강조하고, OS 선택 및 ASIL D 등급으로의 업그레이드를 위한 주요 권장 사항을 요약합니다.

2. 자동차 안전 및 운영 체제 소개

자동차 시스템에서 소프트웨어의 역할이 증가함에 따라 소프트웨어 오작동으로 인한 위험을 완화하는 기능 안전의 중요성이 점점 더 커지고 있습니다. ISO 26262 표준은 자동차 기능 안전을 위한 핵심 프레임워크 역할을 하며, 자동차 산업 내에서 안전 관련 시스템의 개발, 생산, 운영 및 폐기에 대한 지침을 제공합니다.

 

자동차 클러스터는 속도, 엔진 회전수, 연료 수준과 같은 중요한 운전 정보를 표시하는 반면, IVI 시스템은 내비게이션, 엔터테인먼트 및 연결 기능을 제공합니다. IVI 시스템은 POSIX 기반 Linux 또는 Android를 사용하는 경향이 있으며, 클러스터 시스템과의 플랫폼 재사용 가능성을 위해 POSIX 호환 플랫폼에 대한 요구 사항이 발생합니다.

 

ISO 26262는 ASIL(Automotive Safety Integrity Level)이라는 위험 분류 체계를 정의합니다. ASIL은 A, B, C, D의 네 가지 등급으로 구성되며, D가 가장 엄격한 수준입니다. ASIL 등급은 위험 분석을 기반으로 결정되며, 잠재적 위험의 심각도, 노출 빈도 및 운전자의 제어 가능성과 같은 요소를 고려합니다. 각 ASIL은 필요한 안전 조치의 엄격성을 결정합니다.

 

소프트웨어의 복잡성이 증가함에 따라 차량 내에서 위험을 완화하기 위해 ISO 26262와 같은 안전 표준을 준수해야 합니다. 다양한 ASIL 등급은 시스템 오작동과 관련된 다양한 수준의 위험을 반영하며, 이는 필요한 개발 엄격성에 직접적인 영향을 미칩니다.

3. ISO 26262 ASIL B 및 D 상세 분석

ASIL B는 중간 수준의 안전 위험을 나타냅니다. ASIL B가 필요한 자동차 부품의 예로는 전조등, 제동등 및 계기판 클러스터가 있습니다. ASIL B 준수를 위한 일반적인 요구 사항에는 오류 감지 및 안전 장치 메커니즘이 포함됩니다. ASIL B 설계에는 비공식 모델링 언어를 사용할 수 있습니다.

 

ASIL D는 생명을 위협하거나 치명적인 부상의 잠재적 가능성과 관련된 최고 수준의 안전 위험을 나타냅니다. ASIL D가 필요한 시스템의 예로는 에어백, ABS(Anti-lock Braking System), 파워 스티어링 및 제동 손실이 있습니다. ASIL D에는 엄격한 개발 프로세스, 광범위한 검증 및 유효성 확인, 그리고 잠재적으로 하드웨어 중복성을 포함한 엄격한 요구 사항이 적용됩니다. ASIL D에는 준형식 모델링 언어 사용이 권장되며 실행 가능한 유효성 확인이 필수입니다.

 

더 높은 ASIL 등급을 달성하는 것은 더 높은 수준의 엄격성과 비용을 수반합니다. 이는 요구 사항 관리, 설계, 구현, 테스트 및 문서화에 영향을 미칩니다. 복잡성을 관리하기 위해 ASIL 분해 개념을 사용하여 더 낮은 ASIL 등급의 하위 구성 요소를 결합하여 더 높은 ASIL 등급 설계를 만들 수 있습니다.

 

ASIL B에서 ASIL D로 전환하려면 개발 노력과 프로세스 엄격성이 크게 증가합니다. 이러한 차이점을 이해하는 것은 선택한 플랫폼에 대한 실현 가능한 업그레이드 경로를 계획하는 데 매우 중요합니다. ASIL B는 적당한 수준의 안전 보증을 요구하므로 ASIL D에 비해 덜 공식적인 개발 방법을 사용할 수 있습니다. 최고 안전 무결성 수준인 ASIL D는 상세한 문서화, 오류 주입과 같은 고급 테스트 기술 및 잠재적으로 형식적 방법의 사용을 포함하여 전체 소프트웨어 수명 주기 전반에 걸쳐 매우 엄격한 프로세스를 요구합니다. 요구 사항의 이러한 차이는 개발 시간, 비용 및 전문 지식의 필요성이 크게 증가한다는 것을 의미합니다. 따라서 ASIL B에서 ASIL D로 업그레이드하는 전략은 이러한 영향을 신중하게 고려하고 필요한 리소스 및 프로세스 조정을 계획해야 합니다.

4. POSIX 호환, ASIL B 인증 실시간 운영 체제 식별

연구 자료에서 POSIX 호환성 및 ASIL B 인증(또는 그 이상)을 주장하는 잠재적인 RTOS 후보는 다음과 같습니다.

• QNX OS for Safety (ASIL D 인증)
• eMCOS POSIX (ASIL D 인증 진행 중, 현재 POSIX PSE53 준수, ASIL B 등급인 R-Car H3 SoC 준수)
• SAFERTOS (ASIL D 사전 인증, FreeRTOS 기능 모델 기반, OSEK OS 적응 계층 사용 가능)
• VxWorks (ASIL D 인증, 사용자 모드에서 POSIX PSE52 인증 적합성)
• PikeOS (ASIL D 인증 언급, POSIX API는 PSE52의 하위 집합 구현)

일부 공급업체는 사전 인증된 구성 요소 또는 툴체인을 제공하여 전체 인증 프로세스를 용이하게 할 수 있습니다.

여러 상용 RTOS 솔루션은 POSIX 호환성 및 ASIL B(또는 그 이상) 인증을 주장하므로 다양한 옵션을 고려할 수 있습니다. POSIX 호환성 수준은 다를 수 있으므로 특정 기능을 자세히 검토해야 합니다.

5. 후보 RTOS 심층 검토

QNX OS for Safety

• (a) ASIL D 인증 가능성 및 관련 로드맵: QNX OS for Safety는 이미 ASIL D로 인증되었습니다. 로드맵에 대한 명시적인 정보는 제공되지 않았지만, 현재 인증 수준은 향후 ASIL D 요구 사항을 충족할 수 있는 강력한 기반을 제공합니다. QNX는 ISO 26262 ASIL D 인증을 받은 RTOS 및 툴체인을 제공하여 개발 속도를 높이고 디지털 클러스터의 안전 표준 인증 비용과 위험을 줄입니다.
• (b) 자동차 클러스터 및 IVI 시스템 개발에 사용된 사례: QNX 소프트웨어는 디지털 계기판과 ADAS(Advanced Driver Assistance Systems)와 같은 안전 필수 자동차 애플리케이션에 사용됩니다. QNX는 자동차 인포테인먼트 시스템에 널리 사용되며, 안전 필수 및 비안전 필수 ECU 모두의 요구 사항을 해결하기 위한 표준 기반 소프트웨어 및 개발 도구를 제공합니다.5 QNX Hypervisor는 안전 필수 기능과 비안전 필수 기능이 혼합된 시스템 설계를 단순화합니다.
• (c) POSIX 호환성 수준 및 관련 기능: QNX OS for Safety는 QNX Neutrino RTOS API와 완전히 API 호환되며 POSIX API에 익숙한 개발자를 위해 램프업 시간을 줄입니다. QNX Neutrino RTOS는 100% POSIX를 준수하며 POSIX PSE52 실시간 컨트롤러 1003.13-2003 시스템 제품 표준을 준수합니다.
• (d) 지원하는 프로세서 아키텍처: QNX OS for Safety는 32비트 및 64비트 ARM 및 x86 아키텍처를 지원하며, Intel Apollo Lake 및 NXP i.MX8을 포함한 많은 인기 있는 자동차 하드웨어에서 활성화 및 테스트되었습니다.
• (e) 개발 도구 및 지원 생태계: QNX는 GNU 컴파일러를 포함한 Eclipse 개발 환경과 QNX Momentics Tool Suite를 제공합니다. QNX는 시스템 위험 및 위험 분석, 안전 사례 구축 및 현장 감사 서비스를 포함한 안전 중심 교육 과정 및 전문 서비스를 제공합니다.

eMCOS POSIX

• (a) ASIL D 인증 가능성 및 관련 로드맵: eMCOS POSIX는 ISO 26262 표준의 최고 안전 무결성 수준인 ASIL D 준수를 위한 인증 프로세스에 있습니다. 2024년에는 ASIL-D 인증을 획득할 계획입니다.
• (b) 자동차 클러스터 및 IVI 시스템 개발에 사용된 사례: eSOL과 Virtual Open Systems는 eMCOS POSIX를 사용하여 혼합 중요 자동차 IVI 및 계기판 클러스터 데모를 선보였습니다. eMCOS POSIX는 자율 주행 시스템 및 ADAS와 같이 컴퓨팅 성능에 대한 요구가 많은 애플리케이션에 필요한 높은 수준의 실시간 기능과 안전성을 제공합니다.
• (c) POSIX 호환성 수준 및 관련 기능: eMCOS POSIX는 POSIX 1003.13 PSE 53을 준수하는 완전한 POSIX 호환 RTOS이며, 다중 프로세스, 다중 스레딩, 로드 가능한 프로세스 및 공유 라이브러리를 완벽하게 지원합니다.
• (d) 지원하는 프로세서 아키텍처: eMCOS POSIX는 Renesas R-Car H3 SoC를 지원하며, 단일 코어 임베디드 MCU에서 최대 256개의 코어를 갖춘 다중 코어 SoC 및 다중 칩 하드웨어에 이르는 프로세서를 지원하는 유연성을 제공합니다.
• (e) 개발 도구 및 지원 생태계: eMCOS POSIX는 eDEVS Eclipse 기반 IDE를 지원하며, C, C++ 또는 기타 언어와 함께 POSIX 및 AUTOSAR API를 지원하여 기존 소프트웨어 자산의 재사용을 용이하게 합니다. eSOL은 자동차, 의료 및 산업 분야에 대한 기능 안전 지원 및 서비스를 제공합니다.

SAFERTOS

• (a) ASIL D 인증 가능성 및 관련 로드맵: SAFERTOS는 TÜV SÜD에서 ISO 26262 ASIL D로 사전 인증되었습니다. WITTENSTEIN high integrity systems는 안전 필수 시스템에 대한 소프트웨어 및 서비스를 제공하는 회사입니다.
• (b) 자동차 클러스터 및 IVI 시스템 개발에 사용된 사례: SAFERTOS는 자동차 부문에 적합한 RTOS이며, ISO 26262 ASIL C 및 D 소프트웨어 설계 요구 사항을 충족하는 런타임 모니터인 SAFE Checkpoints와 OSEK OS 적응 계층을 포함한 완전한 RTOS 패키지를 제공합니다.
• (c) POSIX 호환성 수준 및 관련 기능: SAFERTOS는 FreeRTOS 기능 모델을 기반으로 하지만 FreeRTOS 커널은 아닙니다. POSIX 호환성에 대한 명시적인 언급은 없지만, OSEK OS 적응 계층을 제공하여 자동차 임베디드 시스템에서 일반적으로 사용되는 OSEK OS 호환 시스템 내에서 드롭인 구성 요소로 사용할 수 있습니다. PX5 RTOS는 기본 POSIX pthread API를 갖춘 최초의 인증된 RTOS입니다.
• (d) 지원하는 프로세서 아키텍처: SAFERTOS는 다양한 프로세서를 지원하며, WITTENSTEIN high integrity systems는 모든 실리콘 공급업체와 긴밀하게 협력하여 선택한 프로세서에 최적화된 제품을 제공합니다.
• (e) 개발 도구 및 지원 생태계: SAFERTOS는 소스 코드로 제공되며 DAP(Design Assurance Pack)가 함께 제공됩니다. DAP에는 ISO 26262 ASIL D 인증을 지원하는 데 필요한 모든 설계 및 검증 아티팩트가 포함되어 있으며, 대상 하드웨어에서 재테스트할 필요가 없어 애플리케이션 내에서 SAFERTOS를 재인증하는 원활한 경로를 만듭니다. WITTENSTEIN high integrity systems는 기술, 안전 및 인증을 포함한 모든 측면에서 지원을 제공합니다.

VxWorks

• (a) ASIL D 인증 가능성 및 관련 로드맵: VxWorks는 ISO 26262 Automotive Safety Integrity Level (ASIL) D로 인증되었으며 , TÜV SÜD에서 독립적으로 인증을 받았습니다. Wind River는 VxWorks 실시간 운영 체제(RTOS)에 지속적으로 투자하여 새로운 기능을 추가하고 매우 높은 수준의 보안, 안전 및 신뢰성을 유지합니다.
• (b) 자동차 클러스터 및 IVI 시스템 개발에 사용된 사례: VxWorks는 자동차 산업에서 사용되며, ADAS(Advanced Driver Assist Systems)와 같은 컴퓨팅 집약적 애플리케이션이 다른 안전 필수 기능의 신뢰성과 결정성을 손상시키지 않도록 보장합니다. VxWorks는 Wind River Helix Virtualization Platform과 함께 배포되어 차량 전체에서 워크로드 통합 솔루션을 개발하는 데 사용됩니다.
• (c) POSIX 호환성 수준 및 관련 기능: VxWorks는 사용자 모드 실행 환경에서 POSIX PSE52 인증 적합성을 제공합니다. 또한 실시간 고급 시각적 에지 분석을 통해 대기 시간 없이 실시간으로 VxWorks 기반 장치에서 자율 응답이 가능합니다.
• (d) 지원하는 프로세서 아키텍처: VxWorks는 AMD/Intel 아키텍처, POWER 아키텍처, ARM 아키텍처 및 RISC-V를 지원합니다. RTOS는 32비트 및 64비트 프로세서에서 다중 코어 AMP(비대칭 다중 처리), SMP(대칭 다중 처리) 및 혼합 모드 및 다중 OS(Type 1 하이퍼바이저 사용) 설계에 사용할 수 있습니다.
• (e) 개발 도구 및 지원 생태계: VxWorks에는 커널, 미들웨어, BSP(Board Support Package), Wind River Workbench 개발 스위트 및 보완적인 타사 소프트웨어 및 하드웨어가 함께 제공됩니다. Wind River Workbench는 Eclipse 기반 IDE로 구성, 분석, 최적화 및 디버깅을 지원합니다. Wind River Professional Services는 시스템 설계 및 개발 전문 지식을 활용하여 고객에게 지원을 제공합니다.

PikeOS

• (a) ASIL D 인증 가능성 및 관련 로드맵: PikeOS는 항공 전자 공학, 철도, 자동차 및 산업 자동화와 같은 다양한 산업 분야의 주요 안전 표준에 따라 인증되도록 설계되었으며, ISO 26262를 포함한 다양한 안전 표준에 따라 최대 ASIL D까지 인증 키트를 제공합니다. PikeOS의 인증 접근 방식은 모듈식이며 하드웨어에 최대한 독립적입니다.
• (b) 자동차 클러스터 및 IVI 시스템 개발에 사용된 사례: PikeOS는 자동차 산업에서 사용되며, Rightware의 Kanzi HMI 엔진을 실행하여 임베디드 소프트웨어 개발자가 자동차 애플리케이션에서 HMI(Human Machine Interface)를 위한 그래픽 솔루션을 만들 수 있도록 합니다. PikeOS의 아키텍처는 동일한 하드웨어에서 중요 및 비중요 애플리케이션 모두의 안전한 분리를 허용합니다.
• (c) POSIX 호환성 수준 및 관련 기능: PikeOS POSIX API는 PSE52 실시간 컨트롤러 시스템 프로필의 하위 집합을 구현합니다. 이는 많은 운영 체제 서비스가 필요하지만 Linux 사용은 여전히 너무 위험한 중간 안전 필수 시스템에 적합한 선택입니다.
• (d) 지원하는 프로세서 아키텍처: PikeOS는 MMU(Memory Management Unit)가 있는 프로세서와 MPU(Memory Protection Unit)만 포함하는 덜 복잡한 SoC(System-on-a-Chip)를 지원합니다. x86, ARM v7 v8, SPARC/LEON v8, PowerPC 및 RISC-V를 지원합니다.
• (e) 개발 도구 및 지원 생태계: SYSGO는 임베디드 시스템(임베디드 시스템)을 위한 Eclipse 기반 IDE인 CODEO를 제공합니다. PikeOS는 다양한 산업 분야에서 광범위한 인증 키트를 제공하며, 고객은 선택한 인증 가능한 제품에 대해 장기 유지 보수로 전환할 수 있습니다. SYSGO는 컨설팅 및 교육 프로그램도 제공합니다.

여러 RTOS가 ASIL B를 지원하고 ASIL D로 업그레이드할 가능성이 있지만, POSIX 호환성 수준과 클러스터 및 IVI 시스템에서의 특정 사용 사례는 다릅니다. 선택은 특정 프로세서 아키텍처, 필요한 POSIX 기능 및 Linux 또는 Android와의 원하는 통합 수준에 따라 달라집니다.

6. 안전을 위한 POSIX와 Linux 및 Android 활용

표준 Linux는 모놀리식 특성과 크기로 인해 안전 필수 애플리케이션에 사용하는 데 어려움이 있습니다. 그러나 공간적 및 시간적 격리와 같은 안전 분할 개념을 통해 비안전 필수 작업과 함께 안전 필수 작업을 Linux에서 실행할 수 있습니다. Jailhouse와 같은 특정 분할 기술을 사용할 수 있습니다.

 

하이퍼바이저는 가상화를 통해 안전 필수 애플리케이션을 Linux 또는 Android와 함께 실행하는 데 중요한 역할을 합니다. QNX Hypervisor for Safety 및 INTEGRITY Multivisor 와 같은 안전 인증 하이퍼바이저는 Linux 또는 Android를 게스트 OS로 실행하는 동시에 안전 필수 애플리케이션을 실행할 수 있도록 합니다. eMCOS Hypervisor는 가상화를 위한 eMCOS POSIX의 확장으로 언급되었으며, PikeOS는 Linux를 지원하는 분리 커널 기반 하이퍼바이저입니다.

 

혼합 중요 시스템에서 FFI(Freedom from Interference)는 비안전 필수 애플리케이션이 안전 필수 애플리케이션을 방해하지 않도록 하는 데 필수적입니다. 분할 및 하이퍼바이저 기술은 공간적 및 시간적 격리를 통해 FFI를 달성하는 데 도움이 됩니다.

 

안전 분할 또는 하이퍼바이저 기술을 활용하는 것은 자동차 애플리케이션을 위해 POSIX 기반 Linux 또는 Android를 안전 필수 RTOS와 통합하는 데 필수적입니다. 이 접근 방식은 안전을 보장하면서 단일 하드웨어 플랫폼에서 인포테인먼트 및 클러스터 기능의 공존을 가능하게 합니다.

7. 주요 안전 운영 체제 비교 분석

다음 표는 QNX OS for Safety, INTEGRITY RTOS 및 PikeOS의 주요 기능 및 인증을 비교한 것입니다. SAFERTOS 및 VxWorks도 POSIX 호환성 및 ASIL 인증 상태를 고려하여 간략하게 언급됩니다.

기능	QNX OS for Safety	INTEGRITY RTOS	PikeOS	SAFERTOS	VxWorks
ASIL 인증	D	D	최대 D	D	D
POSIX 호환성	예 (PSE54)	예	하위 집합 (PSE52)	FreeRTOS 기반	예 (PSE52)
클러스터 사용 사례	예	예	예	예	예
IVI 사용 사례	예	예	예	예	예
하이퍼바이저 사용 가능성	예	예	예	아니요	예
프로세서 지원	ARM, x86	ARM, x86 등	ARM, x86 등	ARM, x86 등	ARM, x86 등
주요 강점	자동차 시장에서 입증됨, 강력한 POSIX 호환성, 포괄적인 개발 도구	높은 보안 및 신뢰성, 다양한 프로세서 지원, Linux/Android를 위한 보안 하이퍼바이저	유연한 가상화 기능, 다양한 안전 표준 인증, ITAR 없음	FreeRTOS에서 쉬운 마이그레이션, 자동차 부문에 특화된 안전 기능	긴 역사, 광범위한 프로세서 지원, 강력한 안전 및 보안 기능
주요 약점	라이선스 비용이 높을 수 있음	라이선스 비용이 높을 수 있음	POSIX 호환성이 하위 집합으로 제한됨	POSIX 호환성에 대한 명시적인 언급 없음	라이선스 비용이 높을 수 있음

주요 안전 OS 공급업체는 모두 ASIL D 인증 및 다양한 수준의 POSIX 호환성 및 자동차 경험을 갖춘 강력한 제품을 보유하고 있습니다. 최적의 선택은 특정 프로젝트 요구 사항 및 제약 조건에 대한 자세한 평가에 따라 달라집니다.

8. 안전 OS 라이선스 및 지원 모델

QNX OS for Safety의 라이선스 비용은 프로젝트별로 다르며, 개발 라이선스에는 유효한 상업용 QNX SDP 7.0 라이선스가 필요합니다.116 QNX는 표준 및 프리미엄 지원 옵션을 제공하며, 안전 필수 시스템 개발을 위한 교육 및 컨설팅 서비스를 제공합니다.

 

INTEGRITY RTOS의 개발 라이선스 비용은 약 $15,000부터 시작하며, 런타임 라이선스는 무료입니다. Green Hills Software는 포괄적인 지원 모델을 제공하며, 여기에는 기술 지원, 교육 및 컨설팅 서비스가 포함됩니다.

 

PikeOS의 라이선스 비용은 특정 요구 사항에 따라 다르며, SYSGO는 표준 및 프리미엄 제품 지원을 제공합니다. 또한 고객별 지원을 제공하고 인증 프로세스를 지원합니다,

 

SAFERTOS는 로열티 없는 영구 라이선스 모델을 제공하며, WITTENSTEIN high integrity systems는 12개월 무료 지원 및 유지 보수를 제공하며, 기술 지원, 안전 지원 및 인증 지원을 포함합니다

 

VxWorks의 라이선스 비용은 시트당 약 $19,500부터 시작하며, Wind River는 포괄적인 지원 옵션, 교육 서비스 및 전문 서비스를 제공합니다.

 

라이선스 비용 및 지원 모델은 공급업체마다 크게 다릅니다. 이러한 측면을 이해하는 것은 프로젝트 수명 주기 전반에 걸쳐 예산 계획 및 시기적절한 기술 지원을 받는 데 매우 중요합니다.

9. 안전 OS 선택 및 ASIL D 업그레이드를 위한 전략적 권장 사항

이전 섹션의 분석을 바탕으로 QNX OS for Safety를 초기 ASIL B 요구 사항을 충족하는 POSIX 안전 OS로 권장합니다. 이 권장 사항은 다음과 같은 요소를 기반으로 합니다.

• 현재 ASIL 인증 및 ASIL D 로드맵: QNX OS for Safety는 이미 ASIL D로 인증되었으며, 이는 향후 ASIL D 등급으로 업그레이드할 수 있는 명확한 경로를 제공합니다.
• POSIX 호환성 수준 및 Linux/Android 포팅 적합성: QNX는 강력한 POSIX 호환성을 제공하며, IVI 개발에 사용되는 POSIX 기반 Linux 또는 Android 애플리케이션을 포팅하는 데 적합합니다.
• 자동차 클러스터 및 IVI 시스템에서의 입증된 사용 사례: QNX는 디지털 계기판 및 인포테인먼트 시스템을 포함한 자동차 클러스터 및 IVI 시스템 개발에 널리 사용됩니다.
• 사용자 하드웨어와 관련된 프로세서 아키텍처 지원: QNX는 ARM 및 x86 아키텍처를 지원하여 광범위한 자동차 하드웨어 옵션과의 호환성을 보장합니다.
• 개발 도구, 생태계, 라이선스 및 지원: QNX는 포괄적인 개발 도구, 강력한 지원 생태계 및 자동차 고객 지원에 대한 실적을 제공합니다. 라이선스 비용은 높을 수 있지만, ASIL D 인증 및 강력한 POSIX 호환성과 관련된 이점을 고려해야 합니다.

향후 ASIL D 인증을 달성하기 위한 전략은 다음과 같습니다.

• ASIL D 요구 사항을 충족하기 위한 아키텍처 및 설계의 주요 고려 사항: 중복성, 오류 허용성 및 강력한 오류 감지 메커니즘을 설계에 통합합니다. QNX OS for Safety의 마이크로커널 아키텍처는 안전 필수 구성 요소와 비안전 필수 구성 요소 간의 명확한 분리를 제공하여 FFI를 용이하게 합니다.
• ASIL D 인증에 필요한 프로세스 조정 및 문서화: ISO 26262 표준에서 요구하는 엄격한 개발 프로세스를 따르고, 요구 사항 관리, 설계, 구현, 테스트 및 검증에 대한 상세한 문서를 유지합니다.
• 잠재적인 과제 및 완화 전략: ASIL D 인증은 복잡하고 비용이 많이 들 수 있습니다. QNX의 사전 인증된 OS 및 툴체인을 활용하면 인증 범위, 비용 및 위험을 줄일 수 있습니다.

선택한 OS 및 가상화/분할 기술을 사용하여 클러스터 및 IVI 시스템 전반에 걸쳐 플랫폼 통합을 달성하는 것은 가능합니다. QNX Hypervisor for Safety를 사용하면 안전 필수 애플리케이션과 Android 또는 Linux와 같은 비안전 필수 OS를 동일한 SoC에서 실행할 수 있으므로 하드웨어 비용을 절감하고 개발을 단순화할 수 있습니다.

 

단계적 접근 방식은 ASIL D로 향하는 명확한 경로를 갖춘 ASIL B 인증 OS로 시작하여 가상화/분할을 활용하는 것이 안전 및 플랫폼 재사용에 대한 사용자 요구 사항을 충족하는 가장 전략적인 방법으로 보입니다.

11. 결론

본 보고서는 자동차 클러스터 및 IVI 시스템 개발을 위한 안전 운영 체제 선택에 대한 포괄적인 분석을 제공했습니다. 분석에 따르면 QNX OS for Safety는 현재 ASIL D 인증, 강력한 POSIX 호환성, 입증된 자동차 사용 사례 및 포괄적인 개발 생태계를 제공하므로 가장 적합한 후보입니다. QNX Hypervisor for Safety를 활용하면 IVI 시스템을 위해 POSIX 기반 Linux 또는 Android를 통합하는 동시에 클러스터 기능의 안전성을 보장할 수 있습니다. 향후 ASIL D 인증을 달성하려면 엄격한 개발 프로세스 및 아키텍처 고려 사항을 준수해야 합니다. 최종 결정을 내리기 전에 철저한 평가와 잠재적으로 후보 OS와의 PoC(Proof-of-Concept)를 수행하는 것이 중요합니다.