VOSySmonitor sur Mediatek MT2712 pour une Solution eCockpit sans Hyperviseur

Co-exécution du Système d'Infodivertissement Android Auto 9 avec un Système d'Exploitation Temps Réel via VOSySmonitor sur Mediatek MT2712

VOSySmonitor est un partitionneur système basé sur ARM TrustZone, certifié ISO 26262 ASIL C, permettant l'exécution simultanée de plusieurs systèmes d'exploitation avec différents niveaux de criticité. L'architecture innovante de VOSySmonitor divise le système en deux compartiments principaux, l'un pour les applications critiques de sécurité et l'autre pour les applications standard, les isolant à l'aide de la technologie ARM TrustZone. Une telle isolation est d'une importance capitale pour assurer la sûreté des applications critiques qui sont entièrement protégées des applications standard (dans un espace mémoire séparé avec une mémoire cache marquée et des périphériques isolés). De plus, VOSySmonitor est positionné au niveau le plus bas de la pile logicielle du véhicule (ARM monitor layer), ce qui permet un contrôle optimal du partitionnement des ressources système et une flexibilité maximale.

VOSySmonitor est la solution idéale pour intégrer la prochaine génération de eCockpit pour l'Automobile (où l'information du véhicule, l'infodivertissement, la navigation, la caméra/vidéo et la connectivité des appareils sont combinés sur plusieurs écrans) pour des véhicules modernes sans utiliser des hyperviseurs type-1 coûteux. En effet, VOSySmonitor n'impose aucune solution fermée (RTOS, système AUTOSAR, etc.) et est entièrement compatible avec les technologies open source comme Linux, Android, Automotive Grade Linux, etc., ce qui permet de réduire les coûts en proposant une solution évolutive, où Virtual Open Systems se concentre sur l'isolation, la sûreté et les performances des ressources critiques.

• Simplifie la virtualisation des unités de contrôle électronique: VOSySmonitor permet l'exécution de plusieurs systèmes d'exploitation sur une même plate-forme sans impact sur les performances, réduisant les coûts de matériel et de câblage, facilitant la maintenance et le prototypage du logiciel.
• Sécurité et sûreté maximales: VOSySmonitor partitionne les ressources du système en isolant les applications critiques dans un compartiment protégé. Il est certifié ISO 26262 ASIL C et supporte les application de sécurités (Trusted Execution Environment) comme par exemple OPTEE.
• Évolutive et modulaire: VOSySmonitor fournit une solution évolutive, allant des cas d'utilisation simples (par exemple Linux fonctionnant avec un RTOS) aux applications ADAS avec un grand nombre de systèmes d'exploitation travaillant ensemble.

Co-exécution du système d'infodivertissement Android Auto 9 avec un système d'exploitation temps réel via VOSySmonitor sur Mediatek MT2712

Cette vidéo présente un exemple d'utilisation de VOSySmonitor, où un système d'infodivertissement (Android Auto 9) et un système d'exploitation temps réel critique (FreeRTOS) sont exécutés sur une plate-forme Mediatek MT2712 (2 Cortex-A72 et 4 Cortex-A35). L'objectif principal de ce démonstrateur est de souligner les hautes performances de VOSySmonitor ainsi que l'absence d'interférences entre le RTOS critique et Android Auto 9. En effet, il est important de noter que VOSySmonitor assure une isolation complète du domaine critique même en cas de défaillance du côté Android.

• Démarrage rapide du domaine critique: VOSySmonitor démarre toujours le domaine critique en premier afin de répondre aux contraintes temps réel de l'OS critique. Il est important de noter que VOSySmonitor est une couche logicielle qui est exécutée avant le domaine critique, ce qui ajoute une latence minime dans le temps de démarrage complet du domaine critique par rapport à une exécution native. Cependant, VOSySmonitor a été développé pour minimiser cet impact comme le démontre les mesures puisque le temps de démarrage est inférieur à 265ms quel que soit le cœur choisi par VOSySmonitor pour ordonnancer l'OS critique (FreeRTOS). Cette valeur inclut le temps de configuration de VOSySmonitor (correspond au temps d'exécution entre le point d'entrée de VOSySmonitor et le point d'entrée de FreeRTOS), qui est négligeable de l'ordre du 1ms.
• Absence d'interférence pour le domaine critique: VOSySmonitor donne la priorité absolue au domaine critique exécuté dans le monde Sécurisé de ARM TrustZone afin de respecter les contraintes temps réel. Cela signifie que la charge de travail d'Android n'a pas ou peu d'impact sur la réactivité du domaine critique, comme peut le prouver le test de latence FIQ. En effet, l'impact de latence FIQ (Moyenne : 1,6µs à 4,3µs) observé en variant la charge de travail d'Android n'est dû qu'à l'éviction du cache mémoire effectuée par les opérations Android, ce qui peut affecter les données utilisées par VOSySmonitor pour restaurer l'exécution du domaine critique et ainsi légèrement impacter la latence. Cependant, il est important de noter que le temps de changement de contexte est suffisamment rapide pour être négligeable du point de vue de la RTOS critique. En effet, FreeRTOS est programmé avec une période de 2 ms dans ce démonstrateur, ce qui signifie que la latence induite par VOSySmonitor ne représente pas plus de 0,5% dans le pire des cas (valeur maximale de changement de contexte = 10,18µs).
• Gestion des crashs d'Android: VOSySmonitor surveille l'exécution du domaine non-critique afin de détecter les défaillances potentielles et éventuellement informer la RTOS critique, s'exécutant dans le monde sécurisé du ARM TrustZone, de cette défaillance. De plus, il est important de noter que VOSySmonitor assure l'isolation complète du domaine critique, par conséquent, l'exécution de la RTOS n'est pas affectée par le crash d'Android.

VOSySmonitor - Test de performances sur la plate-forme Mediatek MT2712