지속 사용할 수 있는 스마트 이더넷 스위치

이더넷 스위치는 자동차 환경에서 점점 더 중요한 역할을 하고 있다. 호스트 마이크로컨트롤러(μC)의 부하를 줄이기 위해 AUTOSAR 스택의 상당 부분이 스위치로 재배치된다. 그렇다면 이러한 소프트웨어 아키텍처는 구체적으로 어떻게 구성될까? 워크플로, 툴, 소프트웨어 배포와 관련하여 개발 시 고려해야할 사항에 대해 알아본다.


글 | 악셀 셰퍼 (Axel Schafer), 제품 관리자, 임베디드 소프트웨어
      다니엘 다우젠트(Daniel Dausend), 팀장, 임베디드 소프트웨어,
      Vector Informatik

악셀 셰퍼(Axel Schafer)는 벡터 임베디드 소프트웨어 부서의 제품 관리자이며 통신 및 운영체제 솔루션과 기술을 담당하고 있다. 벡터의 임베디드 이더넷 컴포넌트 제품 개발 및 통합 경험이 있다.

다니엘 다우젠트(Daniel Dausend)는 벡터 임베디드 소프트웨어 부서의 팀장이며 통신 및 운영체제 분야의 신기술을 담당하고 있다. 임베디드 이더넷 개발 및 제품 관리 경험이 있다.






자동차 제조업체와 부품공급업체(suppliers)는 여러 해 동안 이더넷을 이용한 차량 내 통신 시스템을 개발해 왔으며 지금도 진행중이다. 차량용 이더넷이 개발된 초기에는 진단 시험기(diagnostic tester) 또는 후방 카메라와의 연결 등, 전용 독립형(stand-alone) 솔루션용 점대점(point-to-point) 네트워크가 대부분이었다. 이런 사용 사례는 주로 필요한 대역폭을 제공하는 데에 중점을 두었다. 점점 더 많은 이더넷 노드가 차량 네트워크에 추가되고 있으며, 여기에는 최근에 개선된 부분도 포함된다. 따라서 노드와 노드를 연결하기 위해 스위치가 필요했다. 차량에 도메인 기반 아키텍처(domain-based architecture)가 도입되면서 이더넷 백본과 같은 새로운 기능을 쉽게 도입할 수 있었다.


자동차용 스위치: 
소프트웨어 및 하드웨어 아키텍처

앞으로 차량 내 아키텍처는 도메인 기반 접근방식에서 영역 기반 아키텍처(zonal architecture)로 발전할 것이다. 그 주된 이유는 도메인 아키텍처의 복잡한 배선을 줄여주기 때문이다. 이 단계에서는 모든 도메인(차체, 파워트레인, 섀시 등)이 동일한 백본 매개체를 공유하는 데, 개발 시 완전히 다른 접근방식과 협업이 필요하다. 이중화(redundancy)는 향후 영역 기반 아키텍처에서 점점 더 중요한 역할을 하게 될 것이다(그림 1). 이로 인해 분산 스위치 구성은 더욱 복잡해지고 단순히 대역폭을 제공하는 것 이상의 요구사항이 있을 것으로 보인다. 자동차 제조업체(OEM)는 시간 민감형 네트워킹(Time Sensitive Networking, TSN) 요구사항에 맞게 제어 기능 및 스트리밍 트래픽과 연동되는 유연하고 동적이며 서비스 지향적인 통신 시스템을 갖춘 신뢰할 수 있고 안전한 네트워크를 필요로 한다.

스위치는 이러한 통신 네트워크에서 매우 중요한 역할을 한다. 이더넷 노드 간 통신을 가능하게 하고 네트워크, 지연 시간, 대역폭에 대한 액세스를 제어한다. 또한, 시간 동기화와 같은 TSN 기능을 구현하고 전체 네트워크의 신뢰성과 안전성을 위한 중심적인 역할을 한다. 차량 네트워크 기능이 증가함에 따라 네트워크 내 스위치 수가 크게 증가할 것으로 보인다.

이런 맥락에서 스위치와 관련하여 다음과 같이 몇 가지 궁금한 사항이 있을 수 있다.

> 하드웨어 및 소프트웨어 아키텍처는 어떻게 구성되는지?
> 스위치에 필요한 소프트웨어 기능은 무엇인지?
> 네트워크 내 모든 스위치의 구성 일관성을 어떻게 보장하는지?
> 스위치의 소프트웨어는 어떻게 업데이트되는지?


 

그림 1 | 향후 이중화는 이더넷 스위치가 있는 영역 기반 아키텍처에서 점점 더 중요한 역할을 할 것이다. 이는 이러한 분산 시스템 구성을 더욱 복잡하게 한다.



자동차 스위치와 AUTOSAR

하드웨어 관점에서 볼 때, 스위치 IC는 인쇄 회로기판(Printed Circuit Board, PCB)의 μC와 함께 배치되는 ECU의 하위 시스템(subsystem)이다. Classic AUTOSAR 접근방식은 실시간운영체제(Real-Time Operating System, RTOS)가 포함된 AUTOSAR 스택을 μC에서 실행하는 것이다. 이 μC는 관리 데이터 입출력(Management Data Input/Output, MDIO) 또는 SPI(Serial Peripheral Interface)와 같은 관리 인터페이스를 통해 드라이버로 스위치와 해당 PHY를 관리하고 스위치를 주변장치(peripheral)처럼 제어한다(그림 2). 그러나, 이러한 접근방식은 한계가 있다. 예를 들어, 포트가 여섯 개 이상인 스위치를 PTP(Precision Time Protocol)로 처리하는 것은 도움이 되지 않는다. μC의 CPU 부하가 포트 수에 따라 크게 증가하기 때문이다. 또한 이러한 솔루션 접근방식은 스위치와 μC 간의 지연 시간과 μC의 런타임으로 인해 차량용 방화벽 또는 소프트웨어 기반 패킷 분석과 같은 사용사례에 더 이상 실용적이지 않다.

  "스마트 스위치"와 AUTOSAR

현재 사용되는 대부분의 스위치에는 스위치를 부팅할 수 있고 μC와 독립적으로 작동하는 (외부) 플래시 메모리(그림 3)를 가진 자체 CPU가 이미 내장되어 있다. 이는 CPU가 내장된 스위치 IC가 μC의 "스마트 스위치"로 작동함을 의미한다. 스위치는 관련 네트워크별 작업을 넘겨받고 PTP 처리와 같은 네트워크 작업에서 μC의 부하를 덜어준다.

스마트 스위치 IC는 일반적으로 두 가지 접근방식으로 사용된다. 이중 어느 것도 스위치의 기능과 자원을 충분히 사용하지 않기 때문에 최적이라고 할 수는 없다. 첫 번째 접근방식은 스위치를 단순한 주변 장치로 사용하며 AUTOSAR 스위치 드라이버는 여전히 μC에서 실행된다. 결과적으로 스위치 CPU는 비활성화되고 스마트 스위치의 추가 자원은 사용하지 않는다.

두 번째 접근방식은 μC에서 스위치 드라이버를 제거하는 것이다. 이 경우, 스위치는 자체 소프트웨어를 실행하게 된다. 여기서 단점은 스위치가 AUTOSAR 워크플로(configuration 및updates)에서 완전히 분리되어 있고 μC가 스위치에 아무런 영향을 미치지 않는다는 것이다. 그런데 이 접근방식은 몇 가지 의문점이 있다.

> 컨피규레이션(configuration)의 일관성을 어떻게 유지하는지?
> 소프트웨어 업데이트와 UDS 진단 개념은 어떤 것인지?
> 스위치가 자동차 전용(automotive-specific) 프로토콜 및 확장을 어떻게 지원하는지?

구체적으로 보면, 이런 스위치 ECU는 분산 기능이 있는 멀티프로세서 시스템이다(그림 4). 한쪽에는 AUTOSAR의 실시간운영체제와 기본 소프트웨어(Basic Software, BSW)가 있는 μC가 있고 다른 쪽에는 내장 CPU와 자체 소프트웨어가 있는 스위치가 있다. 이런 시스템이 추구하는 것은 각 경우별로 가장 적합한 시스템 구성요소에서 여러 기능이 실행되는 분산형 소프트웨어 아키텍처를 구성하는 것이다. 이것은 μC와 상관없이 빠른 스타트업 및 웨이크업을 가능하게 하고 스위치의 자체 구성도 가능하게 한다. 반면에 PTP 처리는 스위치를 통해 로컬에서 실행하게 된다.

다른 장점도 있다. 예를 들어, 스위치에서 부분 네트워킹(Partial Networking) 및 AVB/TSN 기능을 실행할 수 있다. 자원이 충분하면 변형 프로비저닝(variant provisionin)과 같은 "침입 차단(firewalling)" 또는 OEM별 use cases도 스위치에서 직접 구현할 수 있다. 머지않아 스위치에서 MACsec을 사용할 예정이다. MACsec은 미디어 액세스 제어 보안 (Media Access Control Security)의 줄임 말이며, IEEE 802.1AE에서 정한 보안 규격이다. OSI 참조 모델의 제 2계층(layer 2)에서 작동하며 점대점 이더넷 연결의 보안을 확보하고 스푸핑(spoofing), 재전송 공격(replay attacks), 중간자 공격(man-in-themiddle attacks), 위장(masquerading) 등 다양한 위협과 공격을 막아준다.



  그림 4 | PTP 처리, TSN, 방화벽, 진단을 위한 소프트웨어 모듈은 μC에서 스위치로 재배치된다.



소프트웨어 배포

스마트 스위치에 이상적인 소프트웨어 기능은 무엇이며, 호스트 μC에서 스위치 ECU로 합리적으로 배분할 수 있는 소프트웨어 클러스터는 무엇일까? 운영체제와 하드웨어 추상화는 반드시 필요하다. 이외에 다음과 같은 중요한 기능 블록이 있다.

> 스위치 초기화 및 기본 구성
> PTP 처리 및 추가 TSN 기능
> μC를 통한 소프트웨어 업데이트 및 진단 기능 제공
> 네트워크 관리
> 보안

그림 5는 스위치에서 AUTOSAR와 유사한 스택을 보여준다. 운영체제 외에도 AUTOSAR MAC, PHY, 스위치 드라이버, 이더넷 인터페이스가 포함되어 있다. 가장 중요한 이점은 AUTOSAR에 이미 있는 하드웨어 독립적이고 검증된 소프트웨어를 스위치에서 제한 없이 직접 사용할 수 있다는 것이다. 예를 들어, 확장AUTOSAR을 이용하여 구현한 PTP인 EthTSyn 모듈을 스위치에 직접 통합시킬 수 있다. 상황별로 스위치를 확장해 새로운 작업과 기능을 포함시킬 수 있으며 기능 및 네트워크 모듈을 쉽게 통합시킬 수 있어, 스위치의 가용 자원에 따라 기능을 추가할 수 있다. 또 다른 이점은 스위치 구성 및 개발 툴이 μC에서 이미 사용되고 있으며 자리 잡은 AUTOSAR 워크플로와 완전 동일하다는 것이다.


  그림 5 | 최소 구성 스위치도 독립형 작동을 가능하게 한다. 약간의 설정으로 추가적인 AUTOSAR 소프트웨어를 스위치에 이식할 수 있다.



향후 과제

스위치의 하드웨어 자원이 제한되어 있기 때문에, 소프트웨어에도 몇 가지 제한 사항이 있다. 방화벽, 침입탐지시스템(Intrusion Detection System, IDS) 등의 기능을 운용하기 위한 메모리 공간과 CPU 자원의 필요성이 커지고 있다. 스위치에서 직접 키를 관리하고 암호화 가속기를 사용해야 하는 MACsec의 경우에도 마찬가지이다. 또한 워크플로에 관한 문제가 아직 명확하게 밝혀지지 않았다. AUTOSAR XML은 실용적인 솔루션이 될 수 있으며 적어도 많은 OEM에게 솔루션 개발 시 좋은 시작점이 될 수 있다.

해결해야 할 기술적인 문제 외에도, 이런 지능형 스위치의 사용과 관련된 개발 프로세스도 재고해 볼 필요가 있다. 자체적인 통신 요구사항이 있는 완전 자율 시스템이므로, 자체 MAC, IP, 진단 주소를 필요로 한다. 따라서 μC와 스마트 스위치 간에 소프트웨어, 네트워크, 통신 기능을 분리하는 것은 향후 ECU 개발에 있어 중요한 역할을 할 것이며 OEM의 구성요소 담당자는 항상 이를 염두에 두어야 할 것이다.


향후 전망

가용 자원의 효율적인 사용은 스마트 이더넷 스위치를 사용하는 주된 이유 중 하나이다. 또한 로컬에서만 실행할 수 있거나 스위치에서 훨씬 효율적으로 구현할 수 있는 차량용 방화벽, MACsec과 같은 새로운 기능을 구현할 수도 있다. PTP에서 스위치 관련 부분, 네트워크 관리와 진단 부분을 스위치로 옮김으로써 호스트 μC의 CPU 자원을 보다 효율적으로 운영하는 작업에 사용할 수 있다.

스마트 스위치의 CPU에서 실행되는 소프트웨어는 모델의 정의, 배포, 구성요소 생성 측면에서 AUTOSAR의 방법론을 따른다. 따라서 개발자는 자동차 제조업체 및 부품공급업체에서 구축한 AUTOSAR 워크플로의 이점을 활용할 수 있게 된다. 또한 AUTOSAR는 통신, 네트워크 관리, 진단에 있어 스위치에서 바로 기존에 인증된 소프트웨어를 재사용할 수 있는 이점이 있다. "하나의 툴 사용 환경, 하나의 워크플로, 하나의 소프트웨어 아키텍처"라는 슬로건은 AUTOSAR를 지원하는 스위치가 미래에 사용될 수 있게 하며 보다 빨리 시장에 출시되도록 한다.

 

---

AUTOSAR 지원 이더넷 스위치

벡터는 마벨(Marvell)의 Brightlane™ 솔루션을 기반으로 하며, AUTOSAR를 지원하는 최초의 멀티기가 이더넷 스위치를 개발했으며, 마벨의 Ethernet-Switch Brightlane 88Q5072라는 이름으로 부품공급업체 및 자동차 제조업체에게 공급하고 있다. 벡터의 새로운 이더넷 스위치용 임베디드 소프트웨어는 MICROSAR Classic veSwitch라는 이름으로 출시된다. 포트 구성, 부분 네트워킹, PTP와 같은 필수 기능에 AUTOSAR 워크플로를 적용한다. 자동차 방화벽 및 MACsec과 같은 보안 기능은 소프트웨어 아키텍처에 쉽게 통합될 수 있다. 이 소프트웨어는 이미 실제 적용을 통해 입증됐으며 지능형 스위치 ECU를 개발하는 데 필요한 수고를 크게 덜어준다.

워크플로에서의 모듈 기반 접근방식은 결과적으로 하드웨어에 최적화된 유연한 솔루션을 제공하며, 이는 방화벽 및 안전 애플리케이션 등, 차량 호환 스위치에 이상적이다. Vector DaVinci Tools은 개발자 워크플로를 지원한다. 임베디드 소프트웨어의 첫 번째 버전은 Automotive SPICE에 따른 품질 요구사항을 따랐다. 향후 출시될 veSwitch는 ISO 26262를 따를 것이다. 평가 패키지도 제공된다.

---

AEM_Automotive Electronics Magazine