Virtual Open Systems: la virtualisation à criticité-mixte pour l'automobile
Objectif
L'hyperviseur VOSySmonitor permet la virtualisation safety-critical dans tous les types de véhicules, fournissant une solution qui maximise les performances, la sécurité, l'évolutivité et l'ouverture. VOSySmonitor répond aux exigences de la norme ISO 26262 et a été certifié ASIL C.
Défi
La complexité des logiciels des véhicules augmente de façon exponentielle, avec une forte demande de solutions pour optimiser l'utilisation des ressources, faciliter le développement et la maintenance des nouvelles fonctionnalités, et pour permettre des mises à jour sécurisées en direct. De plus, la connectivité omniprésente et les interactions entre les dispositifs des utilisateurs augmentent les vulnérabilités aux d'attaques du véhicule. Les pirates informatiques ont déjà démontré leur capacité à exploiter ces vulnérabilités en prenant le contrôle d'un véhicule et en accédant aux données personnelles des utilisateurs. C'est pourquoi la sécurité et l'isolation des applications critiques pour la sécurité sont les défis clés à relever dans les solutions automobiles modernes.
Finalement, l'industrie a vu sa capacité d'innovation de Tiers 1 et OEM limitée par des piles logicielles créées au sein d'écosystèmes logiciels fermés avec des frais de licence élevés et des limitations techniques dues aux architectures existantes. Dans ce contexte, les Tiers 1 et OEM risquent un verrouillage technologique et du marché qui les empêcheraient d'optimiser l'architecture du système, l'évolutivité, les coûts globaux du système.
Solution
VOSySmonitor est un hyperviseur safety-critical certifié ISO 26262 ASIL C construit sur Arm TrustZone qui permet l'exécution simultanée de plusieurs systèmes d'exploitation avec différents niveaux de criticité. L'architecture innovante de VOSySmonitor divise le système en deux compartiments principaux, l'un pour les applications critiques de sécurité et l'autre pour les applications standard, les isolant à l'aide de la solution de sécurité Arm.
Une telle isolation cyber-physique est d'une importance capitale pour assurer la sécurité, avec des applications critiques demandant de la sécurité étant entièrement protégées (dans un espace d'adressage mémoire séparé, des caches étiquetées et des périphériques isolés) des applications standard. De plus, VOSySmonitor est positionné au plus bas niveau de la pile logicielle du véhicule (couche Arm monitor), ce qui permet un contrôle optimal du partitionnement des ressources système et une flexibilité maximale. En fait, VOSySmonitor n'impose aucune solution fermée (e.g. RTOS, système AUTOSAR, etc.) et est entièrement compatible avec des technologies open source comme XEN, KVM, Linux, Android, Automotive Grade Linux, etc.
Bénéfices
- Unités de contrôle électroniques virtuelles simplifiées: VOSySmonitor permet l'exécution de plusieurs systèmes d'exploitation sur la même plate-forme sans surcharge de performance, réduisant les coûts de matériel et de câblage, facilitant la maintenance et le prototypage des logiciels.
- Sécurité et sûreté maximales: VOSySmonitor partitionne les ressources du système en isolant les applications critiques de sécurité dans un compartiment protégé. Il est certifié ISO-26262 ASIL C et prend en charge les environnements d'exécution certifiés (Trusted Execution Environment) comme OPTEE.
- Évolutivité et ouverture: VOSySmonitor fournit une solution évolutive et de plus en plus complexe allant des cas d'utilisation simples (par exemple avec Linux fonctionnant avec un RTOS) aux applications ADAS avec un grand nombre de systèmes d'exploitation travaillant ensemble. L'écosystème de VOSySmonitor est entièrement ouvert et prend en charge les hyperviseurs open source pour les applications non safety-critical.
Applications à l'automobile
- Consolidation de multiples fonctions dans une seule plate-forme matérielle (e.g. IVI et groupe d'instruments et BCM, eCockpit)
- Appel d'urgence automobile, connectivité sécurisée et télématique
- Autonomous driving applications with multiple safety-critical and non safety critical workloads
- Applications de conduite autonome avec de multiples charges de travail critiques pour la sécurité et non critiques
Pourquoi Arm ?
VOSYSmonitor est basé sur la technologie Arm TrustZone qui renforce, entre autres, l'isolation mémoire, CPU et interruption entre le RTOS et le GPOS. Ces caractéristiques contribuent à fournir une isolation de sécurité, sur laquelle la co-exécution d'opérations critiques peut être mise en œuvre, tout en s'appuyant sur une base TrustZone sécurisée.
VOSYSmonitor a été spécialement conçu pour assurer une sécurité maximale sur Arm TrustZone. En implémentant la virtualisation au niveau de TrustZone, Virtual Open Systems offre non seulement la plus haute sécurité disponible, mais permet également aux utilisateurs d'utiliser librement les extensions de virtualisation dans les applications automobiles (par exemple, en utilisant des hyperviseurs open source comme XEN). C'est la clé de l'innovation VOSYSmonitor.
Quelle est la prochaine étape ?
- Virtual Open Systems dirige le groupe d'experts sur la virtualisation d'Automotive Grade Linux (AGL). La société travaille avec Arm dans ce domaine pour permettre la virtualisation open source dans AGL.
- VOSYSmonitor convient également pour les applications de type IoT, santé et industrie 4.0.
Pour plus d'informations sur Virtual Open Systems:
Des information liées Arm: