Smart Mobility Schlanker Hypervisor für unterwegs

Über Autosar hinaus

Trotz der Menge und Heterogenität der Softwarefunktionen verlief die gekapselte Ausführung der Softwarefunktionen auf dem Lightweight Hypervisor ohne Komplikation. Dies gelang, weil die virtuellen Maschinen zwar auf den gemein­samen Speicher zugreifen, die Zugriffe und die Laufzeiten auf dem Kern aber klar geregelt sind. Die hohe Performanz resultiert aus dem Aufteilen der Rechnerkerne in einen Master-Core und die Applikations-Cores.

Während dem Master-Core das Hardwaremanagement sowie der Betrieb der zentralisierten Basissoftware und einiger Software-Applikationen zukommt, beherbergen die Applikations-Cores die strikt getrennten virtuellen Maschinen (Bild 1) – wahlweise mit aufgeteilten Laufzeitum­gebungen (RTE) gemäß Autosar oder auch mit nicht-Autosar-konformer Software. Bei diesem Ansatz ist die entsprechende Inter-Core-Kommunikation (ICC) wichtig. Sie wurde von Bosch AE-BE entwickelt. Funktionen können zusätzlich zur ohnehin garantierten Ausführungszeit weitere Zeit­budgets anfordern, ohne dass es zu Abstrichen bei der Ausführung anderer Funktionen kommt (Bild 2).

Die Echtzeitanforderungen sind also jederzeit gewährleistet. Bei hohem Laufzeitbedarf, welcher die eigene Kapazität zu überlasten droht, können die virtuellen Maschinen beim Hypervisor anfragen, ob sie vorübergehend auf zusätzliche vorgehaltene Laufzeitfenster Zugriff erhalten. In diesem Fall merkt der Hypervisor die virtuelle Maschine in einer Warteschleife vor. Ist ein Laufzeitfenster frei, erlaubt er der ersten virtuellen Maschine in der Schleife, dieses zu nutzen. Mit diesem Vorgehen werden die Störungen durch eine hohe Systemlast minimiert. Jede virtuelle Maschine kann jedoch nur die Reservierung eines Fensters anfordern. So wird verhindert, dass eine fehlerhafte oder gehackte virtuelle Maschine die Kontrolle über das System erlangt.

Features

Mit gegenüber klassischen Hypervisors drastisch reduzierten Overheads mit 5 kB Speicher­bedarf und einem auf 5 Prozent der verfügbaren Kernkapazität reduzierten Leistungsbedarf, adressiert der RTA-LWHVR die spezifischen Randbedingungen für Automotive Embedded Systeme. Der Hypervisor kann an die jeweiligen Mikrocontroller angepasst werden. Die ersten Projekte erfolgten mit Mikrocontrollern von STMicroelectronics, Infineon TriCore oder NXP Semiconductors (Freescale).

Dabei gewährleistet er eine ebenso zuverlässige wie leistungsfähige Partitionierung von Steuer­geräten, auf denen damit künftig Software unterschiedlicher Hersteller und Sicherheitsklassen betrieben werden können. Mit selbstadaptierender Inter-Core-Kommunikation und strikter Kapselung können software­gesteuerte Funktionen unabhängig voneinander entwickelt und – auch bei Fahrzeugen in Kundenhand – jederzeit ohne Neuvalidierung des Gesamtsystems modifiziert werden.

Damit legt der Lightweight Hypervisor eine abgesicherte Basis für agile Software- und Funktionsentwicklung in der Automobilindustrie, die auch dynamische Security-Systeme mit regelmäßigen bedarfsgerechten Sicherheitsupdates ermöglicht.


Autoren

Michael Hauser, Teamleiter Software-Entwicklung bei Bosch Automotive Electronics
Dr. James Dickie, Produktmanager RTA-Solutions bei Etas
Dr. Nigel Tracey, General Manager bei Etas