VOSYSmonitor - ARMアーキテクチャー上で構築されたミクスト・クリティカリティ・システムのための最良のモニター・レイヤー
ミクスト・クリティカリティ・システムをデザインする上で重要な点は、ひとつの共通のプラットフォーム上にて、様々なクリティカル・レベルの異なるソフトウェア・アプリケーションを統合させることです。 例えば、アビオニクスにおいては、各々の機能は、通常、フライト・クリティカル(安全航行の確保に必要なこと)および、ミッション・クリティカル(業務遂行に不可欠なこと)のどちらかに分類されます。 オートモーティブの領域においても同様であり、セーフティ・クリティカル・アプリケーションのアイソレーションのための既存の方法では、電子ブレーキ・システム(EBS)やエンジン・コントロール、 ディジタル・インスツルメント・クラスター のようなクリティカル・タスクに対し、ボディ・コントロール・ユニット(つまり、パワー・ウィンドーの監視・制御、パワー・ミラー、エアーコンディショナー、セントラル・ロッキング等々)のような基本的な操作を行う多くのハードウエア・電子コントロール・ユニット(ECU)の積み重ねでした。この方法では、これらのハードウェアの多くが、その潜在能力が十分に使用されることがなく、利用可能な演算能力の観点からも極めて非効率です。 しかし、リッチ・フューチャーの強い要求と同様に、新しいハードウエア・エクステンション(つまり、バーチャライゼーション、TrustZone)を持った最近のマルチコアSoCのアーキテクチャーは、同一プラットフォーム上に統合される傾向にあります (mixed-criticality systems)。 同一プラットフォーム上での異なったオペレーティングシステム(OS)の統合は、ノンクリティカル・アプリケーション および、厳格にリアルタイムでセーフティーの要求をもったクリティカルOSの同時実行を意味します。 この意味において、高度にアイソレートされたバーチャル・マシーン内にて、汎用OS(GPOS)上にて動作するソフトウェア・アプリケーションと、リアルタイム・タスクを同時実行するのは、大きなチャレンジです。
VOSYSmonitorは、ミクスト・クリティカリティ・システムにおいて、リアルタイムOS(RTOS)と仮想化された汎用OS(GPOS)の同時実行を可能にします。
この挑戦的なターゲットを実現すべく、 Virtual Open Systems は、 ARMアーキテクチャー 上で開発された仮想化のソフトウェア・強力な製品ソリューションであるVOSYSmonitorを提案します。 VOSYSmonitorのおかげで、セーフティ・クリティカルなリアルタイムOS(RTOS)と複数の汎用OS(GPOS)の両方が、 バーチャライゼーション・テクノロジー を利用することにより、同一のハードウエア・プラットフォーム上にて、同時実行が可能となります。
このソフトウェア・レイヤーにより、RTOSが、仮想化されたインスタンスからアイソレートされ、同時に、それらの間の 安全でセキュアなコミュニケーションを可能とするような機能 が提供されます。 VOSYSmonitorは、|ARM TrustZone| をベースとしており、それにより、とりわけ、メモリー、CPUおよび、RTOSとGPOS間の割り込みアイソレーションを強力にします。 VOSYSmonitorのデザイン・ゴールは、安全基準(ISO 26262, IEC 61508, EN 50128)に準拠しつつ、リアルタイムの制約に対応するためにセキュア・ワールドのアプリケーションに最優先権を与えることです。 最後に大事なことですが、既知の脆弱性は、常に考慮に入れ、コントロールされています。 実際、VOSYSmonitorは、Spectre/Meltdown 脆弱性からの回復力・弾力性が強化されています。
VOSYSmonitorシステム概要
ミクスト・クリティカリティの領域では、ファンクショナル・セーフティ(機能安全)は、基本要件となっています。 ファンクショナル・セーフティは、一般的に、いかなる脅威や重大な事故にさえつながりかねないミッション・クリティカル・タスクのオペレーティング・システムの誤作動は避けるか、軽減させることが保証されねばなりません。IEC61508 – Electrical / Electronic / Programmable Electronic Safety-related Systemsのような数々の安全規格がありますが、それらはインダストリアル関連製品にも適用されます。
より具体的な安全規格のひとつであるISO 26262 – Road vehicles – ファンクショナル・セーフティは、オートモーテイブ・システム用に作られており、それは、各々のオートモーティブ製品開発段階で、ハザード・アナリシスとリスク・アセスメントから、デザイン、実装、統合、検証、妥当性、プロダクション・リリースまでの範囲にわたって、ファンクショナル・セーフティ・ライフタイムを定義しています。
VOSYSmonitorは、セーフティ・クリティカル・アプリケーションを統合するので、この上で実行されるクリティカル・システムも、同じ自動車安全基準(IEC 61508におけるSIL、ISO 26262におけるASIL)の認証が必要です。 この意味において、Virtual Open Systemsは、不具合を防止・軽減するため、それらに応じた対策を特定し、実装し、テストするばかりでなく 重大な障害および安全要件を確認するために VOSYSmonitor開発に、ISO26262 規格に準拠した厳格なV-サイクルを適応させています。
VOSYSmonitorが、オートモーティブ以外の領域で使用される場合でも、この製品が既にISO 26262に認証済みなので、適応される認証プロセスが既に実現されています。 例えば、メディカル・ユースケースでは、IEC 60601認証が必要であり、鉄道のユースケースでは、EN 50128認証が必要となりますが、認証会社は、最初から認証プロセスを始めないで、ギャップ・アナリシスを行うことができます。
VOSYSmonitor 自動車分野 - V-サイクル ISO 26262 Road vehicles ファンクショナル・セーフティ
VOSYSmonitorは、オートモーティブ用ミクスト・クリティカリティ・バーチャライゼーション・ソフトウェア・スタックである VOSySmcs の基本のコンポーネントであり、 オープンソース・コンポーネント(認証済みのRTOSを含めて)を統合します。 そのオープンで拡張可能なバーチャライゼーション・アーキテクチャーを通して、VOSYSmcsは、競合の似たようなソリューションとは違い、全く新しい世代のソフトウェア・ドリブン・ビークルをサポートします。 そこでは、AI ハードウエア・アクセレレーション ・メカニズムへの仮想アクセスや自動運転が、厳格なISO-26262の認証要件をみたしつつ、 アイソレートされたバーチャル・マシーンにおいて、オーケストレーションしつつ、実行可能です。 さらに、 IVI automotive ソフトウェア・スタック、 GENIVI、Autosar、ADAS のようなイニシアチブや規格の変更等が、これらのコミュニティーから最新アップデートが得られるように、VOSySmcsに引き続き取り込まれます。
VOSYSmonitorを利用した、バーチャライゼーション・ソフトウェア・スタック製品である VOSYSIoT は、単一のIoT エッジ・プラットフォーム上にて、クリティカルでないデータとともに、非常にセンシティブで、タイム・クリティカルなデータ処理を可能とします。そのようなアーキテクチャーのおかげで、特にセーフティと セキュリティに注意を払ったIoTゲートウェイ やエッジ・ノードのデザインが可能となり、 全体的なコスト(つまり、スペース、電力消費、部材、インテグレーションの労力等)を低減できます。
VOSYSmonitor, モニター・レイヤーの主要な機能
VOSYSmonitorは、厳格なISO-26262規格に準拠するように、デザインされています。 そして、ここに示すように、拡張可能でモジュラー型のアーキテクチャーをベースとしています。
VOSYSmonitor ソフトウェア・アーキテクチャー
- SOSSL: セキュアOSとモニター・レイヤー間のインターフェイス それにより、インタラプト・フォワーディング(割り込み転送)を取り扱うとともに SMCサービスを呼び出します。
- PSCI: パワー・マネージメント・サービスのためのサービス・レイヤー (パワー ON/OFF コア、等々)
- ワールド・ファシリティ・サービス・レイヤー: VOSYSmonitorカスタム・サービス(つまり、ワールド間のコミュニケーション・チャンネル) これにより、各々のワールドで実行されているシステムに先進的な機能を持たせることができます。
- EL3 モニター・レイヤー: ARMアーキテクチャ用に特別に実装されており、SMC命令やハードウェア・エクセプション・メカニズムにより起動されたワールド・コンテキスト・スイッチを取り扱います。
- プラットフォーム API: EL3 モニター・レイヤーからのドライバー・ファンクション・コールをアブストラクトする機能
- 安全性機能: 内部やハードウエアの不具合時に、セキュアOSを保護するための対策(つまり、セーフ・ステート、セルフ・テスト、等々)
VOSYSmonitorは、**ARMv8** の最新版と同様に、**ARMv7** もサポートします。 詳細は、下記。
- ARMv8 - メディアテック社 Autus I20 (MT2712) (2 Cortex-A72 + 4 Cortex A-35)
- ARMv8 - ルネサス社 R-Car H3 board (4 Cortex-A57 + 4 Cortex A-53) – ISO-26262 準拠
- ARMv8 - ルネサス社 R-Car M3 board (2 Cortex-A57 + 4 Cortex A-53) – ISO-26262 準拠
- ARMv8 - ザイリンクス社 Zynq UltraScale+ MPSoC (4 Cortex A-53)
- ARMv7 - ルネサス社 RZ/N1D (2 Cortex A7)
- ARMv7 - アルテラ社 Cyclone V (2 Cortex A9)
- ARMv8 - ARM社 Juno Development board (r0 and r1: 2 Cortex-A57 + 4 Cortex A-53 / r2: 2 Cortex-A72 + 4 Cortex A-53)
- ARMv8 - エヌビディア社 Jetson TX1 board (4 x Cortex-A57/A53 in big.LITTLE configuration)
VOSySmonitorによりサポートされてるハードウエア・プラットフォーム
Note
Virtual Open Systemsは、引き続き、新しいプラットフォームをサポートしています。 貴社のプラットフォームが、上記にない場合は、弊社に連絡ください。
RTOSと仮想化されたGPOSの同時実行を可能とするVOSYSmonitorの主要な特徴を、以下に示します:
- 単一のハードウエア・プラットフォーム上でのミクスト・クリティカリティ・システムの統合
- ARM TrustZoneを利用したセーフティ・クリティカルOSの強力なアイソレーション
- リアルタイム制約に対応する高速コンテクスト・スイッチ
- 汎用OS(GPOS)に バーチャライゼーション性能 の提供
- 故障から復帰するためのシステムの監視
- 拡張可能なアーキテクチャー
- GPOSとセーフティ・クリティカルOSに対して、最小の変更
既存の代替品と比べて、VOSYSmonitorの数々の優れた利点:
- ARM TrustZoneをべーすとした強力なアイソレーション VOSYSmonitorは、セーフティ・クリティカル環境への権限のないアクセスを防ぐためシステム・リソースを区画分割(パーティションニング)します。(IOMMU 不要)
- モジュラー型でオープンのアーキテクチャー いかなるOS、ツールやハイパーバイザ-のどれにも、クリティカルとノンクリティカル・ワールドを混同させることはありません。
- コストの削減 クリティカルなリソースのアイソレーション、セーフティーや性能に注目したボトムアップ・ソリューションを提案することにより、 ユースケースで必要なものだけで済みます。
Virtual Open Systems コンタクト
VOSYSmonitor製品や カスタム化サービス等 に関する質問は、 弊社にお問い合わせください。
- Virtual bfq
- Kvm performance
- Vosyshmem zerocopy
- Vosysmonitor
- Api remoting
- Vosyswitch nfv virtual switch
- Accelerators virtualization interface
- Vosysmonitorx86 jp 日本語
- Vosysiot edge
- Vfpgamanager
- Vosysvirtualnet
- Vosysmcs
- Vosystrustedvim
- Vosysmonitor sossl framework
- Vosysmonitorv risc v
- Vosysmonitorx86
- Vosysmonitorv risc v jp 日本語
- vosysvirtualnet jp 日本語
- Vosyszator