COQOS Micro SDK

Virtualisierung auf Mikrokontrollern

Die Virtualisierung auf Anwendungsprozessoren in Bereichen wie Konnektivität oder Infotainment ist bereits in der Serie. Jetzt findet die Virtualisierung  den Weg auch in andere Fahrzeugdomänen, die stärker auf Mikrocontroller und Echtzeitprozessoren angewiesen sind. Der Grund dafür ist, dass Domänencontroller, die auf einem Mikrocontroller oder Echtzeitprozessor ausgeführt werden, immer mehr Software integrieren müssen. Diese Software wird häufig nach unterschiedlichen funktionalen Sicherheitsniveaus oder von verschiedenen Herstellern entwickelt, so dass Störungsfreiheit gewährleistet werden muss. Die Virtualisierungstechnologie ermöglicht die Integration komplexerer Softwarefunktionen auf Domänencontrollern, die eben keine Anwendungsprozessoren verwenden können.  Zwischen diesen Funktionen besteht Interferenzfreiheit, auch wenn die Softwaresysteme unterschiedliche Anforderung an Funktionssicherheit stellen (QM, ASIL-, -B, -C, -D). Einige der kommenden  Mikrocontroller verfügen über integrierte Hardware-Erweiterungen, beispielsweise die, die auf der ARMv8-R-Architektur basieren. Damit machen sie die Virtualisierung einfacher und effektiver. Diese neue Virtualisierungs-Technologie wird verfügbar sein, sobald die neuen Prozessoren auf den Markt kommen. Man wird sie dann typischerweise in Bereichen einsetzen, in denen klassische AUTOSAR-basierte Systeme oder spezielle Echtzeitbetriebssysteme ausgeführt werden.

COQOS Micro SDK

OpenSynergy hat eine Variante seines Hypervisors für die Virtualisierung im Fahrzeug auf Mikrocontrollern entwickelt. Dieses Produkt namens COQOS Micro SDK ist der erste Hypervisor, der die Virtualisierungserweiterungen der ARMv8-R-Architektur nutzt und die nächste Generation von Mikrocontrollern unterstützt, die auf dieser Architektur basieren.

Der Hypervisor

Die zentrale Komponente des COQOS Micro SDK ist der Hypervisor. Er läuft direkt auf dem Mikrocontroller und erstellt mehrere virtuelle Maschinen (VMs). Dabei sorgt der Hypervisor für eine räumliche Trennung von virtuellen Maschinen, indem er eine dedizierte Speicherschutzeinheit (MPU) verwendet. Jede VM ist von den anderen isoliert, da das Hauptziel des Hypervisors darin besteht, die Interferenzfreiheit (gemäß ISO 26262) zwischen virtuellen Maschinen bis zur höchsten Ebene (ASIL-D) sicherzustellen.

Interferenzfreiheit

Diese Isolation von VMs bedeutet, dass Softwaresysteme mit unterschiedlichen Sicherheitsstufen (ASIL) oder Funktionen und Umgebungen verschiedener Hersteller mit unterschiedlichen Sicherheitsstandards gleichzeitig auf einem einzelnen Prozessor ausgeführt werden. Außerdem können neue innovative Funktionen mit einem hohen Änderungspotenzial zusammen mit relativ stabilen Funktionen integriert werden.

Der Hypervisor ist in hohem Maße konfigurierbar, so dass Kunden beispielsweise die Anzahl der VMs, die Zuordnung zu physischen Kernen und das zeitliche Verhalten, die Inter-VM-Kommunikationskanäle, die Zugriffsrechte der VMs auf Geräte und Sicherheitsfunktionen des Mikrocontrollers ändern können. Das Design ist minimalistisch und daher klein, schnell und zertifizierbar.

Die Virtualisierung ist auch ein Schritt in Richtung modularer Software-Updates. Im Gegensatz zu AUTOSAR OS-Applications können virtuelle Maschinen unabhängig voneinander erstellt werden, und der jeweilige Binärcode kann unabhängig vom Ziel aktualisiert werden.

Entwickelt als SEooC  und entsprechend ISO 26262

OpenSynergy hat das COQOS Micro SDK als Safety Element out of Context (SEooC) gemäß ISO 26262 entwickelt. Mit dem SEooC-Ansatz zeigt OpenSynergy, dass es von bestimmten Sicherheitsanforderungen seines Produktes ausgeht.

Typischer Use Case

Typische Anwendungsbereiche für COQOS Micro SDK sind Powertrain, Chassis, Body, Gateway und ADAS-Steuereinheiten. Dafür muss Separationskernel ein hohes Sicherheitsniveau von ASIL-D erreichen. Dafür ist die zeitliche und räumliche Trennung der virtuellen Maschinen erforderlich.

Ein konkretes Beispiel findet sich in der Body-Domäne. Ein Bodycontroller führt auf einem einzigen Mikrocontroller sowohl Funktionen aus, die bezüglich ihrer Funktionalität sicherheitskritisch sind (z.B. das Energiemanagement der Body-Domäne) als auch solche, die sicherheitskritisch bezüglich des Angriffsschutzes sind (z.B. das Entsperren des Autos). Dann gibt es noch Funktionen, die keine Sicherheitsanforderungen haben wie zum Beispiel die Innenraum-Beleuchtung. Diese Funktionen müssen unabhängig voneinander auf einem Domänencontroller integriert werden. Und nicht nur das: Es sollte auch möglich sein, ein Softwareupdate von unkritischen Funktionen (z. B. Innenbeleuchtung) durchzuführen, ohne sicherheitsrelevante Funktionen (z. B. Energiemanagement) zu beeinträchtigen.

Weitere Informationen zum multifunktionalen Body Controller finden Sie hier.


  • Erzeugt Virtuelle Maschinen (VMs) für funktionale Blöcke die
    • unterschiedliche Anforderungen an Echtzeitverhalten haben
    • unterschiedliche Safty-Levels (ASIL) erreichen
    • von unterschiedlichen Lieferanten angeboten werden.
  • Erleichtert und beschleunigt die AUTOSAR-Integration und die Konfiguration
  • Ermöglicht die Integration mehrer Funktionen auf einem einzigen Gerät (virtuelles ECU-Konzept)
  • Unterstützt unabhängiges, modulares Software-Update.

NXPS32S: COQOS Micro SDK simulation

Main Features

  • Hardware assisted virtualization
  • Memory separation/protection
  • Multicore support
  • Inter-VM communication
  • VM restart and update
  • Error reporting & recovery
  • AUTOSAR integrated configuration tool (at HV level)
  • ASIL-D based development (SEooC)

Target ECU/Application

  • Safety application:
    • Breaking System
    • ADAS (as a companion)
    • Power Train
    • Motor & Chassis Control
  • Real time:
    • Gateway
    • Body Control
    • Energy Management
    • Domain Control

Datasheet

Whitepaper

COQOS Micro SDK
x

Dokument Download Whitepaper COQOS Micro SDK

Vielen Dank für Ihr Interesse an unseren weiterführenden technischen Dokumenten. Wir bieten Ihnen die Möglichkeit zum Download des Dokuments an und würden Ihnen gern unter der angegebenen E-Mail-Adresse weitere Informationen in Bezug auf das Whitepaper zukommen lassen. Mit Angabe Ihrer E-Mail-Adresse bestätigen Sie, dass wir Sie diesbezüglich kontaktieren dürfen.





Sie können dieser Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Schreiben Sie uns hierzu gern kurz eine E-Mail an datenschutz[at]opensynergy.com. Weitere Hinweise zum Datenschutz finden Sie in unserer Datenschutzerklärung.

close