COQOS Micro SDK

OpenSynergy hat eine Variante seines Hypervisors entwickelt für die Virtualisierung auf Mikrocontrollern in Fahrzeugen: COQOS Micro SDK. Dieses Produkt ist einer der erste Hypervisor, der die Virtualisierungserweiterungen in Mikrocontrollern nutzt. Dieser Hypervisor ermöglicht eine zusätzliche Entkopplung für die entscheidende erste Stufe der Trennung bei der Entwicklung, Konfiguration, Integration und Software-Aktualisierung.

Wozu nützt Virtualisierung auf Mikrokontrollern?
Die eingebettete Virtualisierung auf Applikationsprozessoren in Fahrzeugdomänen wie Konnektivität und Infotainment ist bereits in der Serie. Jetzt wird sie auch für Mikrocontroller und Echtzeitprozessoren eingesetzt. Der Grund dafür ist, dass Domänencontroller, die auf einem Mikrocontroller oder Echtzeitprozessor ausgeführt werden, immer mehr Software integrieren müssen. Diese Software wird häufig nach unterschiedlichen Sicherheitsstufen entwickelt oder von verschiedenen Lieferanten bezogen. Die zuverlässige Interferenzfreiheit ist dafür unabdingbar.
Um das Problem dieser zunehmenden Komplexität anzugehen, wurden neue MCUs entwickelt. Sie übernehmen das Design der Vorgänger einschließlich der Memory Protection Units und Features wie geringe Interrupt-Latenz. Nur so können sie den hohen Integritätsanforderungen unternehmenskritischer Software gerecht werden.
Außerdem bieten sie mehr Rechenleistung, dadurch, dass sie die Frequenz und die Anzahl der Kerne erhöhen und die Latenz minimieren. Durch Hardware-Redundanztechniken wie Lock-Step-CPUs bieten sie mehr Funktionssicherheit. Auch die Angrifsssicherheit wird verbessert, weil sie erweiterte Berechtigungssteuerungs- und Hardware-Sicherheitsmodule enthalten.
In diesen Architekturen ist die Hardware so konzipiert, dass sie die Virtualisierung nativ unterstützen kann und zwar den Timer, den Interrupt-Controller und die Speicherschutzeinheit. Dies wirkt sich auf die Effizienz und Leistung der Virtualisierung aus wegen der Kosten für die Kontextumschaltung bezüglich der CPU-Zyklen und der Zuordnung von Interrupts.

Was ist der Vorteil eines Hypervisors?
Der Hypervisor – die zentrale Komponente des COQOS Micro SDK – wird direkt auf dem Mikrocontroller ausgeführt und bietet mithilfe einer dedizierten Speicherschutzeinheit (MPU) eine räumliche Trennung zwischen virtuellen Maschinen (VM). Jede VM ist von den anderen isoliert, da das Hauptziel des Hypervisors darin besteht, die Interferenzfreiheit (gemäß ISO 26262) bis zur höchsten ASIL-D-Ebene zwischen virtuellen Maschinen sicherzustellen.
Die Virtualisierungstechnologie ermöglicht daher die Integration komplexerer Softwarefunktionen auf Domänencontrollern, die nicht nur Applikationsprozessoren verwenden können. Sie bietet Interferenzfreiheit auch zwischen diesen Funktionen, obwohl sie unterschiedliche Sicherheitsstufen erfordern (QM, ASIL-A, -B, -C, -D). Einige Mikrocontroller der neuen Generation, die auf den Architekturen für Prozessorkerne wie Arm Cortex®-R52, Infineon TriCore ™ und Renesas RH850/U2x basieren, verfügen über integrierte Hardwareerweiterungen, um die Virtualisierung einfacher und effektiver zu gestalten. Sie werden normalerweise verwendet, um klassische AUTOSAR-basierte Systeme oder spezielle Echtzeitbetriebssysteme auszuführen.

Was ist das Besondere bei der Verwendung von Virtualisierung zusammen mit AUTOSAR?
AUTOSAR hat dazu beigetragen, die Software protierbar zu machen, und erleichtert nun die Einführung eines Multicore-Systems auf Chips. Das Schöne an der Virtualisierung ist, dass sie das Beste aus diesen Welten kombinieren kann: Innerhalb einer virtuellen Maschine wird in vielen Fällen ein AUTOSAR-basiertes System (das eine zweite Trennungsstufe bietet) verwendet. Mehrere virtuelle Maschinen können unterschiedliche Systeme mit unterschiedlichen AUTOSAR-Systemen ausführen. Lesen Sie mehr dazu in unserem Bereich „Benefit“ weiter unten.

Entwickelt als SEooC und entsprechend ISO 26262
OpenSynergy hat das COQOS Micro SDK als Safety Element out of Context (SEooC) gemäß ISO 26262 entwickelt. Mit dem SEooC-Ansatz zeigt OpenSynergy, dass es von bestimmten Sicherheitsanforderungen seines Produktes ausgeht.

Typische Anwendungsbereiche
Typische Anwendungsbereiche für COQOS Micro SDK sind Antriebsstrang-, Fahrgestell-, Karosserie-, Gateway- und ADAS-Steuergeräte. Das bedeutet, der Trennkern muss ein hohes Sicherheitsniveau von ASIL-D erreichen, was wiederum eine zeitliche und räumliche Trennung der virtuellen Maschinen erfoderlich macht.
Konkrete Beispiele dafür finden sich in den Bereichen Karosserie und Antriebsstrang. Ein einzelner Mikrocontroller steuert relevante Features für die Funktionssicherheit (z. B. Energieverwaltung des gesamten Körperbereichs), für die Angriffssicherheit (z. B. Entriegeln des Fahrzeugs) und solche Funktionen, die keine Sicherheitsrelevans haben(z. B. Innenbeleuchtung). Idealerweise können diese Funktionen unabhängig voneinander entwickelt und einfach integriert werden. Dadurch können Software-Updates bei unkritischen Funktionen (z. B. der Innenbeleuchtung) vorgenommen werden, ohne die sicherheitsrelevanten Funktionen (z. B. die Steuerung der Stromversorgung) zu beeinträchtigen.

Die Vorteile

  • Erzeugt Virtuelle Maschinen (VMs) für funktionale Blöcke die
    • unterschiedliche Anforderungen an Echtzeitverhalten haben
    • unterschiedliche Safty-Levels (ASIL) erreichen
    • von unterschiedlichen Lieferanten angeboten werden.
  • Erleichtert und beschleunigt die AUTOSAR-Integration und die Konfiguration
  • Ermöglicht die Integration mehrer Funktionen auf einem einzigen Gerät (virtuelles ECU-Konzept)
  • Unterstützt unabhängiges, modulares Software-Update.

Weitere Informationen zu Multifunktions-Bodycontroller und Antriebsstrang finden Sie hier.


Main Features

  • Hardware assisted virtualization
  • Memory separation/protection
  • Multicore support
  • Inter-VM communication
  • VM restart and update
  • Error reporting & recovery
  • AUTOSAR integrated configuration tool (at HV level)
  • ASIL-D based development (SEooC)

Target ECU/Application

  • Safety application:
    • Breaking System
    • ADAS (as a companion)
    • Power Train
    • Motor & Chassis Control
  • Real time:
    • Gateway
    • Body Control
    • Energy Management
    • Domain Control

Webinar: How to virtualize your Arm Cortex-R52 multicore microcontroller - A tutorial on COQOS Micro SDK on NXP S32S

NXPS32S: COQOS Micro SDK

Datasheet

Whitepaper

COQOS Micro SDK

Market Report

Strategy Analytics has stressed in its latest report that carmakers will focus on centralized architectures supporting their target of highly automated driving. It always becomes more apparent that the use of virtualization is finding its way into electric powertrain technology.

You may read the Strategy Analytics full report on Arm website.

Virtualization Extending the Mechanism of AUTOSAR

To a certain extent, classic AUTOSAR already provides such separation, even supporting several ASIL-levels, without the need of a hypervisor.  AUTOSAR provides separation at the level of the operating system and the applications consist of individual software-components.  However, in complex software systems, the configuration of AUTOSAR becomes extremely complex as the behavior of the operating system and the services in the basic-software needs to be defined centrally, which breaks modularity.  AUTOSAR also requires all applications to follow the AUTOSAR standard, even to the same version.  Finally, the result of the AUTOSAR development process is a monolithic system that does not allow for modular software updates.

The hypervisor adds an additional level of decoupling, supporting a critical first level of separation in development, configuration, integration and software update.  Within one virtual machine, an AUTOSAR-based system (providing a second level of separation) will be used in many cases.  Several virtual machines can run different systems with different AUTOSAR implementations or even non-AUTOSAR-compliant software.

In addition to these new requirements, which cannot be addressed by existing technologies such as the classic AUTOSAR standards, new generations of microcontrollers and real-time processors have built-in extensions that make running a hypervisor very efficient.  The hardware extensions that have been available in application processors since many years, are now coming to microcontrollers and to the

SoCs that integrate them. One good example is the Armv8-R architecture, which has added extensions for virtualization to the “R” (Real-Time) family, such as a second MPU (Memory Protection Unit) controlled by the hypervisor. This architecture is used in the Arm Cortex®-R52 core, which has been adopted by new controllers such as the NXP S32S.

Advantages over Non-hypervisor Method

The use of virtualization technology brings numerous advantages for the integration of software systems in the vehicle:

  • Virtualization makes it simpler to provide freedom from interference by enforcing temporal and spatial separation.
  • Virtualization allows independently developed software partitions to run on the same ECU. The software partitions may use different software stacks.
  • Virtualization allows consolidation of software from multiple legacy ECUs into a newer, more powerful ECU.
  • New functions, and the introduction of multi- and many-core systems increase software complexity. Analyzing real-time behavior becomes more difficult. Because the hypervisor enforces strict timing protection, temporal interference between software components in different virtual machines is avoided, allowing for an easier understanding of the system decomposed to partitions at the function level.
  • Virtualization allows for new workflows in software development where different suppliers can develop software for different virtual machines in parallel, thus allowing OEMs a more flexible approach as well as reducing hardware costs.
  • Having independent and modular software updates can lead to a significant reduction in the effort needed to requalify software partitions, especially when the changes are small.
x

Dokument Download Whitepaper COQOS Micro SDK

Vielen Dank für Ihr Interesse an unseren weiterführenden technischen Dokumenten. Wir bieten Ihnen die Möglichkeit zum Download des Dokuments an und würden Ihnen gern unter der angegebenen E-Mail-Adresse weitere Informationen in Bezug auf das Whitepaper zukommen lassen. Mit Angabe Ihrer E-Mail-Adresse bestätigen Sie, dass wir Sie diesbezüglich kontaktieren dürfen.





Sie können dieser Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Schreiben Sie uns hierzu gern kurz eine E-Mail an datenschutz[at]opensynergy.com. Weitere Hinweise zum Datenschutz finden Sie in unserer Datenschutzerklärung.

close