COQOS Hypervisor SDK

Was ist Hypervisor-Technologie?
Das COQOS Hypervisor SDK ermöglicht die Konvergenz mehrerer Funktionalitäten auf einem einzigen System-on-Chip (SoC), während es die Interferenzfreiheit zwischen Systemen mit unterschiedlicher Kritikalität (wie die verschiedenen ASIL-Ebenen z. B. QM, A, B) ermöglicht. Die Kerntechnologie des COQOS Hypervisor SDK ist der Hypervisor. Der Hypervisor ermöglicht den Betrieb mehrerer Gastbetriebssysteme (einschließlich Linux, Android, AUTOSAR oder anderer Betriebssysteme) in separaten virtuellen Maschinen. Ein typischer Anwendungsfall ist der sichere Cockpit-Controller, der ein Kombiinstrument und ein Infotainment-System im Fahrzeug gleichzeitig auf einem einzigen Prozessor betreibt.

Erster Hypervisor nach neuer Version von ISO 26262 zertifiziert
OpenSynergy hat einen Hypervisor entwickelt – den COQOS Hypervisor. Es wird direkt auf den SoC-Anwendungskernen (auf der höchsten Berechtigungsstufe) ausgeführt und erstellt mehrere virtuelle Maschinen (VMs). Jede VM ist von den anderen isoliert, und diese Trennung (von der ISO 26262 als „Interferenzfreiheit“ bezeichnet) unterstützt einige der wichtigsten Integrationsanforderungen. Der Hypervisor unterstützt die kontrollierte Interaktion zwischen den VMs und Geräten im SoC und die Kommunikation zwischen den VMs. Die meisten neuen SoCs verfügen über integrierte Hardware-Virtualisierungserweiterungen in den Anwendungskernen. Diese Erweiterungen ermöglichen die Ausführung eines Hypervisors mit kaum messbarem Performance-Overhead und ohne dass die Betriebssysteme in den VMs (auch als „Gastbetriebssysteme“ bezeichnet) geändert werden müssen.TÜV SÜD hat bestätigt, dass der Hypervisor dem Standard ISO 26262:2018 ASIL-B entspricht.

Der COQOS Hypervisor richtet sich an die spezifischen Anforderungen von Kraftfahrzeug-Geräten, wie z. B. einem Cockpit-Controller. COQOS Hypervisor ist in hohem Maße konfigurierbar, so dass Kunden zum Beispiel dies tun können:

  • Änderung der Anzahl der VMs
  • Zuordnung zu physischen Kernen und zeitlichem Verhalten
  • Verbindung über Inter-VM-Kommunikationskanäle
  • Erteilen von Zugriffsrechten der VMs auf Geräte
  • Einsatz als Angriffsschutz der Hardware.

Das Design ist minimalistisch und daher klein, schnell und zertifizierbar.

Shared Display Feature

Die Shared Display-Funktion von OpenSynergy bietet volle Flexibilität und Kontrolle über die Wiedergabe von Informationen auf mehreren Displays im Fahrzeug. Um die Anforderungen des Cockpit-Controllers zu erfüllen, führt die Referenzarchitektur zwei Schlüsseltechnologien ein:
Shared GPU: Mit dieser Option können mehrere VMs die GPU des SoC gleichzeitig verwenden. Dieser Mechanismus für die gemeinsame Nutzung muss die erforderliche Servicequalität unterstützen.

Shared Display: Diese Funktion trennt die virtuelle von der physischen Anzeig. Anwendungen in VMs können in virtuellen Anzeigen dargestellt werden. Ein zentraler Compositor steuert, wie diese virtuellen Anzeigen auf den physischen Anzeigen des Cockpit Controllers abgebildet werden.
Da der Informationsfluss innerhalb eines SoCs (und nicht über Netzwerke) erfolgt, können effiziente Kommunikationsmechanismen wie „Zero-Copy“ Shared Memory verwendet werden.

Entwickelt als SEooC und ISO 26262

Um den Sicherheitsanforderungen gerecht zu werden, hat OpenSynergy den COQOS Hypervisor als Sicherheitselement (SEooC) gemäß ISO 26262 entwickelt. Mit dem SEooC-Ansatz haben wir bestimmte Sicherheitsanforderungen angenommen, die unser Produkt erfüllt. Diese Sicherheitsanforderungen wurden aus unserer Referenzarchitektur für den Cockpit-Controller abgeleitet. Basierend auf diesen angenommenen Sicherheitsanforderungen haben wir den COQOS Hypervisor nach den von ISO 26262 geforderten Praktiken bis zum Niveau ASIL-B entworfen, implementiert und getestet.
Der TÜV-Süd hat bestätigt, dass der COQOS Hypervisor die Anforderungen der ISO 26262 bis ASIL-B erfüllt und einen entsprechenden technischen Bericht erstellt.


Skalieren und flexibel einsetzen

COQOS Hypervisor SDK kann über verschiedene Applikationen skalieren. Es kann auf sehr kleinen Prozessoren oder auf sehr leistungsstarken Multicore-Prozessoren laufen. Es kann für einfache, kleine Systeme mit nur wenigen virtuellen Maschinen (VMs) verwendet werden und eignet sich ebenso z. B. für komplexe Infotainment-Systeme mit mehreren Gastbetriebssystemen in einer jeweiligen VM.

Hardware effizient ausnutzen

Die Zuordnung der VMs zu den unterschiedlichen Kernen in einem Multicore-Prozessor ist sehr flexibel: Es können mehrere davon auf einen Kern zugreifen oder, umgekehrt, eine VM kann über die Rechenleistung mehrerer Kerne verfügen. Durch den minimalistischen Typ-1-Hypervisor werden maximale Erweiterungen der Hardware-Virtualisierung möglich.

Safety verbessern

Die Abschottung der Funktionen in eigenen VMs auf dem COQOS Hypervisor SDK sorgt dafür, dass sich funktionale Störungen nicht auf andere VMs übertragen. Diese Architektur erleichtert es, die Herausforderungen hoher Funktionssicherheit zu bewältigen.
Der Hypervisor wurde von Grund auf so entworfen, dass er alle Anwendungen unterstützt, die hohe Anforderungen an funktionale Sicherheit und Angriffssicherheit erfüllen.
Eine konfigurierbare Kontrollinstanz (Watchdog) – in einer gesonderten VM – kann das Verhalten bestimmter Anwendungen beobachten und aktiv werden, wenn sich das System nicht korrekt verhält.Sie wurde gemäß A-SPICE Level 3 entwickelt.

Security herstellen

Auf den virtuellen Maschinen (VMs) auf dem COQOS Hypervisor SDK werden die Gastbetriebssysteme unabhängig voneinander ausgeführt. Deshalb fungiert die Partitionierung als Firewall und schützt sicher vor Angriffen von außen.

AUTOSAR nahtlos integrieren

COQOS Hypervisor SDK enthält ein CAN-Gateway (COQOSAR), integriert in einer eigens dafür bestimmten virtuellen Maschine. Sie ermöglicht

  • die nahtlose Integration von Steuergeräten, die COQOS Hypervisor SDK ausführen, in das Bordnetz
  • den schnellsten Weg zur Installation von AUTOSAR-konformen Automotive-Standarddiensten wie z. B. Diagnose
  • die Anwendung von AUTOSAR-Software-Komponenten, die Echtzeitapplikationen implementieren.

Zeit und Kosten sparen

Der Einsatz von Open-Source-Software ermöglicht die Wiederverwendung von Software-Systemen aus der Unterhaltungselektronik. Das reduziert den Entwicklungsaufwand und verkürzt relevant die Zeit für die Entwicklung von Infotainment-Systemen im Auto.

Effizienter Hypervisor

Der COQOS-Hypervisor

  • hat ein schlankes und innovatives Design, das hohe Leistung, Sicherheit und Sicherheit ohne Altlasten bietet.
  • unterstützt die vollständige Virtualisierung der CPU für das Gastbetriebssystem.
  • wurde gemäß Automotive SPICE und ISO26262 ASIL-B-Verfahren entwickelt
  • baut auf jahrelange Erfahrung aus Forschung und Automobil-Serienproduktion auf
  • hat keine Open-Source-Komponenten
  • unterstützt vollständige Automotive-Anwendungen und Automotive-Multicore-SoCs.

Hardware Support

Target processor architectures

  • ARMv7VE-A
  • ARMv8-A
  • Intel® x86-64


SoCs

  • NXP i.MX 8
  • Texas Instruments Jacinto 6
  • Qualcomm Snapdragon™ 820A
  • Renesas R-Car H3
  • Intel® Atom™ E3826
  • For target support packages please contact OpenSynergy.


Hypervisor

The hypervisor creates virtual machines (VMs):

  • Type-1 hypervisor which runs directly on the host’s hardware to control the hardware and to manage guest operating systems
  • Hardware virtualization enables: ◦ shorter development time ◦ guest OS can run unmodified ◦ better performance
  • Partitioning of processor resources (execution time and memory)
  • Periphery only visible from the VM it is assigned to
  • Scheduling enables to run several virtual cores on a single physical core.


Android and Linux

COQOS SDK supports the following guest
operating systems:

  • Latest linux versions (following roadmap of chipset vendors)
  • Latest Android versions (following roadmap of chipset vendors).


CAN Gateway

The CAN Gateway is a minimalistic AUTOSAR stack, that contains:

  • a full AUTOSAR OS implementation
  • a full CAN Driver
  • partial AUTOSAR CAN stack (Com, PduR, CanIf)
  • minimalistic RTE implementation
  • OpenSynergy’s AUTOSAR Configurator automatically configures the CAN Gateway stack based on a CAN-CFG file (DSL describing the CAN DB)
  • ACF “Automotive Communication Framework” which is a CDD responsible on communication between AUTOSAR and non-AUTOSAR partitions.

Features

Fast-boot
COQOS SDK includes a fast-boot loader and a modular-boot mechanism, which allows VMs to load and start sequentially.


Shared Graphics and GPU

Several VMs with graphic-intensive applications fulfilling different requirements on safety and real-time performance can share one display surface (Shared Graphics) and can use the same Graphics Processing Unit (GPU) and display hardware concurrently (Shared GPU).


Shared Hardware

Many important use cases require that a single hardware resource is shared among multiple VMs. OpenSynergy’s approach enables graphical output of VMs that run on top of a hypervisor with different requirements in terms of safety and real time performance on one or multiple displays.


ISO 26262

TÜV-Süd has confirmed that the COQOS Hypervisor as part of the COQOS Hypervisor SDK meets the requirements of ISO 26262 up to ASIL-B and has issued an associated Technical Report.


Inter-X Communication Framework (IXCF)

IXCF transfers data between VMs running multi-purpose or real time operating systems. IXCF consist of:

  • Automotive Communication Framework (ACF)
  • Virtual Network (VNET)
  • Virtual Character Driver (VCHAR)


System Supervisor

A configurable watchdog (contained in a separate VM) can observe the behavior of specific applications, and take action when the system does not behave correctly

x
[contact-form-7 404 "Not Found"]
close