Multicore-Prozessoren »safe« zu machen, ist nach wie vor mit Problemen verbunden
Safety und Multicore – ein schwieriges Verhältnis
Fortsetzung des Artikels von Teil 1
Multicore-Architekturen sicher machen
Gibt es technische Möglichkeiten, die Unzulänglichkeiten bestimmter Multicore-Architekturen innerhalb und außerhalb des Multicore-Prozessors zu kompensieren?
Sieht man vom praktisch unlösbaren Problem der elektrischen Abhängigkeiten durch Implementierung auf einem Die ab, lässt sich hier für alles eine Lösung finden. Architektonisch lassen sich zeitgesteuerte Busse oder Networks-on-Chip in Kombination mit Scratchpads anstelle von Caches einsetzen. Werden dann noch Prozessorkerne verwendet, die gut WCET-analysierbar sind (Worst Case Execution Time), ist das zeitliche Verhalten des Gesamtsystems gut zu kontrollieren. Vertrauenswürdige Interface-Subsysteme können zur Eindämmung von Fehlern Einzelkerne vom Bus entkoppeln. Solche Architekturen entstehen zurzeit im EU-Projekt »Predator« und unter unserer Beteiligung im Artemis-Projekt »Across«.
Auf Ebene der Middleware können Hypervisor unter Verwendung einer MMU (Memory Management Unit) Speicherbereiche voneinander trennen, was eine Fehlerfortpflanzung verhindert. Einen erweiterten Einsatz der Middleware zur Funktionenentkopplung untersuchen wir derzeit mit unseren Partnern im Artemis-Projekt »Recomp«.
Eine Alternative ist die vollständige Vermeidung geteilter Ressourcen. Dies ist jedoch mit deutlich erhöhten Hardware-Kosten verbunden, und die Geschwindigkeitsvorteile einer Mehrkernlösung gegenüber einem verteilten System gehen weitestgehend verloren.
Auf Basis welcher Multicore-Architekturen lässt sich welcher SIL nach EN/IEC 62061 bzw. welcher PL nach EN ISO 13849-1 erreichen?
Zertifizierungen für verteilte und besonders für integrierte Mehrkern-Implementierungen sind im Moment noch sehr problematisch. Besonders schwierig ist eine Zertifizierung von Systemteilen auf unterschiedlichen SIL. Gegenwärtig müssen alle Systemteile für den SIL zertifiziert sein, in dem sich die kritischste Anwendung befindet. Dies kann natürlich immense Zusatzkosten verursachen. Allerdings arbeiten wir in den bereits erwähnten Projekten »Across« und »Recomp« unter der Beteiligung hochkarätiger Partner wie EADS, Intel, Infineon oder TÜV Süd daran, sowohl Spezialarchitekturen zu entwickeln, die einer leichten gemischt-kritischen Zertifizierung zugänglich sind, als auch daran, existierende Plattformen abzusichern. Daher ist hier in absehbarer Zeit Besserung zu erwarten.
- Safety und Multicore – ein schwieriges Verhältnis
- Multicore-Architekturen sicher machen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Safety-Add-on verwandelt nicht-sichere…
Mit wenig Aufwand zur Safety
Redundanz in sicheren Automatisierungssystemen
Safety mit zwei Kernen
