VOSYSmonitor, une couche Logicielle ARM à faible Latence pour Systèmes à Criticalité Mixte
Une condition clé pour les systèmes à criticité mixte concerne la consolidation d'applications logicielles avec différents niveaux de criticité sur une seule plateforme hardware. Par exemple dans l'aviation, les fonctions sont généralement classifiées soit vol-critique (nécessaire pour assurer un vol sûr) et mission-critique (nécessaire pour l’exécution de la mission). De même dans le domaine automobile, une pratique traditionnelle est d'isoler les applications critiques en utilisant plusieurs ECUs (Engine Control Units), qui sont dédiés à des opérations basiques, (telles que le contrôle des fenêtres, air conditionné, fermeture centrale, etc.) et des tâches critiques comme l'ABS ou les témoins du tableau de bord.
Une telle implémentation est une utilisation peu efficace de la puissance de calcul disponible. Cependant, les récentes architectures multi-cœurs avec de nouvelles extensions (TrustZone, virtualisation), ainsi que la demande de fonctionnalités complexes tendent à développer des systèmes à criticité mixte sur une plateforme unique, réduisant par conséquent les coûts et améliorant l'efficacité. La consolidation de plusieurs systèmes d'exploitation (OSes) sur une même plateforme implique l'exécution conjointe d'un OS critique à contraintes temps-réel fortes avec un application non-critique. Dans ce contexte, les principaux défis à relever sont l'intégration des différentes applications (tout en respectant les contraintes temps-réel) dans des machines virtuelles, l'isolation des mémoires et des périphériques.
VOSYSmonitor permet la co-exécution d'un RTOS et un GPOS virtualisé pour les systèmes à criticité mixte
Avec ces défis en tête, Virtual Open Systems propose VOSYSmonitor, qui consiste en une couche logicielle bas-niveau pour l'architecture ARM. VOSYSmonitor permet d’exécuter conjointement sur la même plateforme une application critique temps-réel (RTOS) et plusieurs application générales (GPOS), en utilisant les technologies de virtualisation. Cette couche logicielle isole le RTOS des applications virtualisées et fournit en même temps des fonctions permettant une communication sûre entre les deux systèmes.
VOSYSmonitor est basée sur la technologie ARM TrustZone, qui permet, entre autres, l'isolation des mémoires, cœurs et interruptions. L'objectif principal de VOSYSmonitor est de donner la priorité aux applications critiques dans le but de respecter leurs contraintes temps-réel, tout en étant conforme aux standards de sécurité (ISO 26262, IEC 61508, EN 50128). De plus, les vulnérabilités connues sont toujours prises en compte et contrôlées. Par exemple, VOSYSmonitor a été amélioré afin d'être résistant aux vulnérabilités Spectre/Meltdown.
Aperçu VOSYSmonitor
Dans les systèmes à criticité mixte, le terme functional safety (sûreté fonctionnelle) est devenu un sujet de haute importance. En effet, ce terme signifie généralement que toutes défaillances d'une application, contenant des tâches critiques pouvant mener à une menace ou un accident, doivent être évitées ou atténuées. Plusieurs standards de sûreté existes, tels que l'IEC 61508 (Electrical/Electronic/Programmable Electronic Safety-related Systems), qui est une norme pouvant être utilisée dans tout produit industriel.
Un standard plus spécifique, l'ISO 26262 (Road vehicles – Functional Safety) a été crée pour l'automobile dans le but de définir un cycle de vie fonctionnel pour chaque étape de développement du produit, allant de l'analyse des risques et dangers à la conception, développement, intégration, vérification, validation et production.
Puisque VOSYSmonitor a pour objectif de consolider des applications critiques, ce composant logiciel doit être certifié avec le même niveau d'intégrité (SIL for IEC 61508, ASIL for ISO 26262) que le système critique s'exécutant au dessus. Dans ce contexte, Virtual Open Systems applique, pour le développement de VOSYSmonitor, un cycle en V conforme avec la norme ISO 26262 dans le but d’identifier les risques et dangers potentiels, les critères de sûreté, ainsi que définir, implémenter, et tester les contre-mesures correspondantes permettant de prévenir/atténuer ces défaillances.
Si VOSYSmonitor doit être utilisé pour un domaine autre que l'automobile, la procédure de certification est facilitée puisque le produit est déjà certifié pour la norme ISO 26262. Par exemple, pour un cas d'utilisation médicale (certification IEC 60601) ou ferroviaire (certification EN 50128), une analyse des différences à combler (gap analysis) peut être effectuée par un organisme compétant, évitant de ce fait le besoin de recommencer la procédure de certification de zéro et donc de réduire les coûts de certification.
VOSYSmonitor pour l'automobile - ISO 26262 Road vehicles Functional Safety Cycle en V
VOSYSmonitor est le composant clé de VOSySmcs, une pile logicielle pour systèmes à criticité mixte, qui intègre des composants open-source (RTOS certifié inclus). De par son architecture ouverte et modulaire, VOSySmcs se propose de supporter une génération nouvelle de véhicules pilotés par des applications logicielles, où la conduite autonome et les accès virtualisés aux accélérateurs matériels (IA) peuvent être organisés et exécutés dans des machines virtuelles isolées, tout en respectant les critères de la norme ISO 26262. De plus, des initiatives telles que IVI automotive AGL software stack, GENIVI, Autosar, ADAS sont surveillées et continuellement intégrées dans VOSySmcs pour fournir les dernières mises à jour de ces communautés à nos clients.
VOSYSmonitor est également inclus dans VOSYSIoT, une pile logicielle de virtualisation, qui permet le traitement de données critiques (de par leur contenus et leurs contraintes temps-réel) et de données non-critiques sur une même plateforme IoT. Cette architecture permet de concevoir des safety-aware IoT gateways et des nœuds de bord de réseau avec une attention particulière à la sûreté et la sécurité, tout en réduisant le coût global (espace, consommation, composants, efforts d'intégration).
VOSYSmonitor - Caractéristiques
VOSYSmonitor a été conçu pour être conforme avec le processus de certification ISO-26262 ainsi que de faciliter le support de nouvelles cibles matérielles et/ou systèmes d'exploitations. Par conséquent, VOSYSmonitor repose sur une architecture modulaire, qui est présentée ci-dessous:
VOSYSmonitor architecture logiciel
- SOSSL: Interface entre l'application Sécure et la couche monitor qui envoie les SMC services et gère la réexpédition des interruptions.
- PSCI: Couche pour les services de gestion d'alimentation (allumage et extinction des cœurs, redémarrage de la plateforme, etc...).
- World facilities Service Layer: Services de VOSYSmonitor (ex: Lien de communication inter-world) afin de fournir des fonctionnalités avancées pour les systèmes s'exécutant dans chaque monde.
- EL3 Monitor Layer: Conçu spécifiquement pour l'architecture ARM, gère les changements de contexte entre les systèmes.
- Platform API: Fonctions qui ont pour but de s’abstraire des Drivers de la plateforme.
- Safety features: Contre-mesures pour préserver l'application Sécure en case de défaillance (logiciel/matériel).
VOSYSmonitor est un logiciel développé spécifiquement pour l'architecture ARMv7-A et ARMv8-A. Les plateformes ARM actuellement supportées sont:
- ARMv8 - Mediatek Autus I20 (MT2712) (2 Cortex-A72 + 4 Cortex A-35)
- ARMv8 - Renesas R-Car H3 (4 Cortex-A57 + 4 Cortex A-53) – conforme avec l'ISO-26262
- ARMv8 - Renesas R-Car M3 (2 Cortex-A57 + 4 Cortex A-53) – conforme avec l'ISO-26262
- ARMv8 - Xilinx Zynq UltraScale+ MPSoC (4 Cortex A-53)
- ARMv7 - Renesas RZ/N1D (2 Cortex A7)
- ARMv7 - Altera Cyclone V (2 Cortex A9)
- ARMv8 - ARM Juno Development Board (r0 and r1: 2 Cortex-A57 + 4 Cortex A-53 / r2: 2 Cortex-A72 + 4 Cortex A-53)
- ARMv8 - NVIDIA Jetson TX1 (4 x Cortex-A57/A53 in big.LITTLE configuration)
Plate-formes matérielles supportées par VOSySmonitor
Note
Nos équipes travaillent continuellement pour supporter de nouvelles plateformes afin d'étendre notre gamme de produits pour nos clients. Si votre plateforme n'est pas listée ci-dessus, n'hésitez pas à nous contacter pour plus d'informations.
Les fonctionnalités principales de VOSYSmonitor, permettant l'exécution conjointe d'application critiques et non-critiques, sont:
- Consolidation de système à criticité mixte sur une même cible matérielle
- Isolation de l'application Sécure utilisant la technologie ARM TrustZone
- Changement de contexte optimisée pour respecter les contraintes temps-réel
- Fonctionnalités de virtualisation à la disponibilité des application non-critiques
- Surveillance du système pour récupérer des défaillances
- Architecture modulaire
- Changements minimums apportés aux application critiques/non-critiques.
Comparé aux solution traditionnelles, VOSYSmonitor fournit de multiples avantages:
- Isolation forte basée sur ARM TrustZone, VOSYSmonitor partitionne les ressources du système (mémoire, périphérique, cœur) afin de prévenir les accès non-autorisés à la partie critique de l'environnement (sans besoin de IOMMU).
- Architecture ouverte et modulaire qui n'impose pas d'applications, d'outils ou d'hyperviseurs.
- Réduction des coûts en proposant une solution tout-en-un, concentrée sur l'isolation, la sûreté, et la performance des ressources critiques. Payez uniquement pour ce que votre cas d'utilisation nécessite.
Virtual Open Systems Contact
Pour toutes questions à propos de VOSYSmonitor ou nos services personnalisés, n'hésitez pas à nous contacter.
- Virtual bfq
- Test de performance kvm
- Vosyshmem zero copie
- Api remoting
- Vosyswitch nfv switch virtuel
- Interface virtualisation accélérateurs
- Vosysmonitor jp 日本語
- Vosysmonitorx86 jp 日本語
- Vosysiot edge
- Vfpgamanager
- Vosysvirtualnet
- Vosysmcs
- Vosystrustedvim
- Vosysmonitor sossl framework
- Vosysmonitorv risc v
- Vosysmonitorx86
- Vosysmonitorv risc v jp 日本語
- vosysvirtualnet jp 日本語
- Vosyszator