COQOS Hypervisor SDK

Was ist Hypervisor-Technologie?
Das COQOS Hypervisor SDK ermöglicht die Konvergenz mehrerer Funktionalitäten auf einem einzigen System-on-Chip (SoC), während es die Interferenzfreiheit zwischen Systemen mit unterschiedlicher Kritikalität (wie die verschiedenen ASIL-Ebenen z. B. QM, A, B) ermöglicht. Die Kerntechnologie des COQOS Hypervisor SDK ist der Hypervisor. Der Hypervisor ermöglicht den Betrieb mehrerer Gastbetriebssysteme (einschließlich Linux, Android, AUTOSAR oder anderer Betriebssysteme) in separaten virtuellen Maschinen. Ein typischer Anwendungsfall ist der sichere Cockpit-Controller, der ein Kombiinstrument und ein Infotainment-System im Fahrzeug gleichzeitig auf einem einzigen Prozessor betreibt.

Erster Hypervisor nach neuer Version von ISO 26262 zertifiziert
OpenSynergy hat einen Hypervisor entwickelt – den COQOS Hypervisor. Es wird direkt auf den SoC-Anwendungskernen (auf der höchsten Berechtigungsstufe) ausgeführt und erstellt mehrere virtuelle Maschinen (VMs). Jede VM ist von den anderen isoliert, und diese Trennung (von der ISO 26262 als „Interferenzfreiheit“ bezeichnet) unterstützt einige der wichtigsten Integrationsanforderungen. Der Hypervisor unterstützt die kontrollierte Interaktion zwischen den VMs und Geräten im SoC und die Kommunikation zwischen den VMs. Die meisten neuen SoCs verfügen über integrierte Hardware-Virtualisierungserweiterungen in den Anwendungskernen. Diese Erweiterungen ermöglichen die Ausführung eines Hypervisors mit kaum messbarem Performance-Overhead und ohne dass die Betriebssysteme in den VMs (auch als „Gastbetriebssysteme“ bezeichnet) geändert werden müssen.TÜV SÜD hat bestätigt, dass der Hypervisor dem Standard ISO 26262:2018 ASIL-B entspricht.

Der COQOS Hypervisor richtet sich an die spezifischen Anforderungen von Kraftfahrzeug-Geräten, wie z. B. einem Cockpit-Controller. COQOS Hypervisor ist in hohem Maße konfigurierbar, so dass Kunden zum Beispiel dies tun können:

  • Änderung der Anzahl der VMs
  • Zuordnung zu physischen Kernen und zeitlichem Verhalten
  • Verbindung über Inter-VM-Kommunikationskanäle
  • Erteilen von Zugriffsrechten der VMs auf Geräte
  • Einsatz als Angriffsschutz der Hardware.

Das Design ist minimalistisch und daher klein, schnell und zertifizierbar.

VIRTIO devices

Die neueste Version des COQOS Hypervisor SDK unterstützt eine Vielzahl von VIRTIO-Funktionen. VIRTIO wurde ursprünglich für Enterprise-Virtualisierungs-Workloads und Cloud-Computing entwickelt, die hohe Anforderungen an die Datenverarbeitungsleistung stellen. OpenSynergy sieht in VIRTIO aufgrund der zunehmenden datengesteuerten Arbeitslast in Fahrzeugen eine perfekte Lösung für die Automobilindustrie. Mit VIRTIO-Geräten können OEMs und Tier-1-Zulieferer maximale Flexibilität schaffen: Gastbetriebssysteme können auf verschiedenen SoCs verwendet und wiederverwendet werden, einschließlich SoCs, die von verschiedenen Anbietern hergestellt werden. Außerdem können Softwaresysteme ohne weitere Änderung über verschiedene Hypervisoren hinweg verschoben werden. Ein Beispiel ist der Cockpit-Controller. Die virtuelle Plattform ermöglicht es hier mehreren Softwaresystemen, die auf unterschiedlichen ECUs ausgeführt werden, die GPU-Leistung einer einzigen Hardware gemeinsam zu nutzen und auf verschiedenen Displays verfügbar zu machen. OpenSynergy fördert die Akzeptanz von VIRTIO als Standard für die Automobilindustrie.

Shared Display Feature

Die Shared Display-Funktion von OpenSynergy bietet volle Flexibilität und Kontrolle über die Wiedergabe von Informationen auf mehreren Displays im Fahrzeug. Um die Anforderungen des Cockpit-Controllers zu erfüllen, führt die Referenzarchitektur zwei Schlüsseltechnologien ein:
Shared GPU: Mit dieser Option können mehrere VMs die GPU des SoC gleichzeitig verwenden. Dieser Mechanismus für die gemeinsame Nutzung muss die erforderliche Servicequalität unterstützen.

Shared Display: Diese Funktion trennt die virtuelle von der physischen Anzeig. Anwendungen in VMs können in virtuellen Anzeigen dargestellt werden. Ein zentraler Compositor steuert, wie diese virtuellen Anzeigen auf den physischen Anzeigen des Cockpit Controllers abgebildet werden.
Da der Informationsfluss innerhalb eines SoCs (und nicht über Netzwerke) erfolgt, können effiziente Kommunikationsmechanismen wie „Zero-Copy“ Shared Memory verwendet werden.

Entwickelt als SEooC und ISO 26262

Um den Sicherheitsanforderungen gerecht zu werden, hat OpenSynergy den COQOS Hypervisor als Sicherheitselement (SEooC) gemäß ISO 26262 entwickelt. Mit dem SEooC-Ansatz haben wir bestimmte Sicherheitsanforderungen angenommen, die unser Produkt erfüllt. Diese Sicherheitsanforderungen wurden aus unserer Referenzarchitektur für den Cockpit-Controller abgeleitet. Basierend auf diesen angenommenen Sicherheitsanforderungen haben wir den COQOS Hypervisor nach den von ISO 26262 geforderten Praktiken bis zum Niveau ASIL-B entworfen, implementiert und getestet.
Der TÜV-Süd hat bestätigt, dass der COQOS Hypervisor die Anforderungen der ISO 26262 bis ASIL-B erfüllt und einen entsprechenden technischen Bericht erstellt.


Skalieren und flexibel einsetzen

COQOS Hypervisor SDK kann über verschiedene Applikationen skalieren. Es kann auf sehr kleinen Prozessoren oder auf sehr leistungsstarken Multicore-Prozessoren laufen. Es kann für einfache, kleine Systeme mit nur wenigen virtuellen Maschinen (VMs) verwendet werden und eignet sich ebenso z. B. für komplexe Infotainment-Systeme mit mehreren Gastbetriebssystemen in einer jeweiligen VM.

Hardware effizient ausnutzen

Die Zuordnung der VMs zu den unterschiedlichen Kernen in einem Multicore-Prozessor ist sehr flexibel: Es können mehrere davon auf einen Kern zugreifen oder, umgekehrt, eine VM kann über die Rechenleistung mehrerer Kerne verfügen. Durch den minimalistischen Typ-1-Hypervisor werden maximale Erweiterungen der Hardware-Virtualisierung möglich.

Safety verbessern

Die Abschottung der Funktionen in eigenen VMs auf dem COQOS Hypervisor SDK sorgt dafür, dass sich funktionale Störungen nicht auf andere VMs übertragen. Diese Architektur erleichtert es, die Herausforderungen hoher Funktionssicherheit zu bewältigen.
Der Hypervisor wurde von Grund auf so entworfen, dass er alle Anwendungen unterstützt, die hohe Anforderungen an funktionale Sicherheit und Angriffssicherheit erfüllen.
Eine konfigurierbare Kontrollinstanz (Watchdog) – in einer gesonderten VM – kann das Verhalten bestimmter Anwendungen beobachten und aktiv werden, wenn sich das System nicht korrekt verhält.Sie wurde gemäß A-SPICE Level 3 entwickelt.

Security herstellen

Auf den virtuellen Maschinen (VMs) auf dem COQOS Hypervisor SDK werden die Gastbetriebssysteme unabhängig voneinander ausgeführt. Deshalb fungiert die Partitionierung als Firewall und schützt sicher vor Angriffen von außen.

AUTOSAR nahtlos integrieren

COQOS Hypervisor SDK enthält ein CAN-Gateway (COQOSAR), integriert in einer eigens dafür bestimmten virtuellen Maschine. Sie ermöglicht

  • die nahtlose Integration von Steuergeräten, die COQOS Hypervisor SDK ausführen, in das Bordnetz
  • den schnellsten Weg zur Installation von AUTOSAR-konformen Automotive-Standarddiensten wie z. B. Diagnose
  • die Anwendung von AUTOSAR-Software-Komponenten, die Echtzeitapplikationen implementieren.

Zeit und Kosten sparen

Der Einsatz von Open-Source-Software ermöglicht die Wiederverwendung von Software-Systemen aus der Unterhaltungselektronik. Das reduziert den Entwicklungsaufwand und verkürzt relevant die Zeit für die Entwicklung von Infotainment-Systemen im Auto.

Effizienter Hypervisor

Der COQOS-Hypervisor

  • hat ein schlankes und innovatives Design, das hohe Leistung, Sicherheit und Sicherheit ohne Altlasten bietet.
  • unterstützt die vollständige Virtualisierung der CPU für das Gastbetriebssystem.
  • wurde gemäß Automotive SPICE und ISO26262 ASIL-B-Verfahren entwickelt
  • baut auf jahrelange Erfahrung aus Forschung und Automobil-Serienproduktion auf
  • hat keine Open-Source-Komponenten
  • unterstützt vollständige Automotive-Anwendungen und Automotive-Multicore-SoCs.

Hardware Support

Target processor architectures

  • ARMv8-A

 

SoCs

  • Renesas R-Car H3
  • NXP i.MX 8
  • NXP S32G
  • Qualcomm Snapdragon™ S8155
  • For target support packages please contact OpenSynergy

 

COQOS Hypervisor

The hypervisor creates Virtual Machines (VMs):

  • Type-1 hypervisor which runs directly on the host’s hardware to control the hardware and to manage guest operating systems
  • certified to ISO 26262:2018 ASIL-B
  • Supports hardware virtualization
  • Resource visibility is based on static configuration
  • Lean code base limits exposure of attack surface and helps to develop safe and secure systems.

 

VIRTIO Devices

OpenSynergy supports a wide range of virtualized devices. OpenSynergy is continuously contributing to standardization and open source. Few VIRTIO devices are listed below:

  • VIRTIO-block device for using mass storage
  • VIRTIO-rng for Random Number Generator
  • VIRTIO-gpu enabling graphical output of VMs with different requirements on one or multiple displays (Shared Display) and for paravirtualization of 3D GPU (Shared GPU)
  • VIRTIO-input to share input e.g. for touch
  • VIRTIO-scmi to share platform clocks and regulators for seamless pass-through.

 

Inter-X Communication Framework (IXCF)
IXCF transfers data between VMs.
It consist of:

  • VIRTIO Network (VIRITO-net) for paravirtual ethernet + Virtual Character Driver (VCHAR)
  • VIRTIO over MMIO.

 

Modular and managed boot

  • Bootsystem image is split to smaller HV and VM images
  • It allows to change the boot sequence of the different Virtual Machines (VMs)
  • It allows shutdown and restart of a single Virtual Machine.

 

Power management
COQOS Hypervisor SDK supports the Arm PSCI specification. It supports all mandatory PSCI calls and in addition the PSCI calls used by current Linux (4.20 kernel) and Android (P).

 

COQOS State Manager

This quality management component

  • has interfaces with the hardware watchdog, which is a key element in the safety concept
  • can be used to implement a system
  • supervisor to monitor that the other VMs are still alive or a system state
  • manager to manage state of the system
  • is highly customizable
  • States, transitions and transition guards can be configured through standard SCXML files.

 

Android, Linux and RTOS
COQOS Hypervisor SDK supports the following guest operating systems:

  • Latest linux versions (following
    roadmap of chipset vendors)
  • Latest Android versions (following roadmap of chipset vendors)
  • OpenSynergy supports out-of-box usage of FreeRTOS.

However, based on customer needs, any RTOS could be supported. Please contact OpenSynergy for more info.

 

Adaptive AUTOSAR
In case customers wish to use Adaptive
AUTOSAR, a pre-integrated example use-case is available. Diagnostic Log and Trace (DLT)used with VIRTIO logs two Adaptive Virtual Machines via a sinlge ethernet link.

Development Environment

Host support
COQOS Hypervisor SDK development tools are designed for use on Linux Ubuntu 16.04. Support is also available for other Linux distributions.


Hypervisor Configuration

COQOS configuration tooling generates the hypervisor configuration from a model described in XML.


Build and Integrate

Supports the seamless integration of Yocto based Board Support Packages (BSP).


Test and Debug

Dedicated UART channel to monitor hypervisor
Individual guest VM debugging
Periscope: multiple bidirectional communication channels over a single physical serial link.

Features

Fast-boot
COQOS SDK includes a fast-boot loader and a modular-boot mechanism, which allows VMs to load and start sequentially.


Shared Graphics and GPU

Several VMs with graphic-intensive applications fulfilling different requirements on safety and real-time Performance, can share one display surface (Shared Graphics) and use the same Graphics Processing Unit (GPU) and display hardware concurrently (Shared GPU).


Shared Hardware

Many important use cases require that a single hardware resource is shared among multiple VMs. OpenSynergy’s approach enables graphical output of VMs that run on top of a hypervisor with different requirements in terms of safety and real time performance on one or multiple displays.

x
[contact-form-7 404 "Not Found"]
close