Neben der Beschleunigung von rechenintensiven Signalverarbeitungsaufgaben bieten Multicore-Prozessoren grundsätzlich das Potenzial, mehrere auf einzelnen Steuergeräten implementierte Anwendungen zu integrieren. Die heute gängigen Prozessorarchitekturen weisen jedoch Eigenschaften auf, die einen Einsatz in sicherheitskritischen Applikationen erschweren oder gar unmöglich machen. Da viele dieser Anwendungen harte Echtzeit-Anforderungen haben, stellt der fehlende zeitliche Determinismus das erste Problem heutiger (Multicore-)Prozessoren dar, dessen Ursache in deren Optimierung auf maximale Leistung liegt. Ein weiteres Problem, das insbesondere für Integrationsanwendungen relevant ist, besteht darin, dass heutige Multicore-Prozessoren über keine geeigneten Separationsmechanismen verfügen, mit denen sich unterschiedliche Anwendungen, die beispielsweise auf verschiedenen Kernen laufen, voneinander abschotten lassen. Dabei sind solche Mechanismen eine Grundvoraussetzung für die kostengünstige Zertifizierung von gemischt kritischen Anwendungen entsprechend der Vorgabe der IEC 61508 für die Entwicklung von elektrischen, elektronischen und programmierbar elektronischen (E/E/PE) Systemen, die mehr als eine sicherheitsrelevante Funktion implementieren.

Die IEC 61850 besagt, dass die höchste Sicherheitsanforderungsstufe dieser Funktionen auf das Gesamtsystem anzuwenden ist; es sei denn, dass nachgewiesen werden kann, dass die Implementierungen dieser Funktionen „ausreichend unabhängig“ sind. Da die Anwendung der höchsten Sicherheitsstufe auf das Gesamtsystem meist weder technisch noch wirtschaftlich in Frage kommt, ist also der Nachweis der hinreichenden Separation unerlässlich. Diese muss in zwei Dimensionen gewährleistet sein:

1. temporal: das heißt die Ausführungszeit verschiedener Funktionen darf sich nicht gegenseitig beeinflussen,
2. räumlich: das heißt Speicher, E/A-Kanäle etc. müssen einer feingranularen Zugriffskontrolle unterliegen.

Da die heute auf dem Markt erhältlichen Multicore-Architekturen aber auf die maximale Leistung bei nicht-sicherheitskritischen Anwendungen ausgelegt sind, kommen hier Techniken wie geteilte Caches oder von mehreren Kernen verwendete E/A zum Einsatz, die genau diese geforderten Eigenschaften beeinträchtigen. Vor diesem Hintergrund wurden in jüngster Zeit Forschungsarbeiten initiiert mit dem Ziel, Multicore-Architekturen zu entwickeln, welche die genannten Mankos eliminieren.

Ein Beispiel für eine solche Architektur ist das MPSoC (Multiprozessor System-on-Chip) aus dem ACROSS-Forschungsprojekt (www.across-project.eu). Es verfügt über eine Reihe von dedizierten Systemkernen, die zum Beispiel Verwaltungsaufgaben oder die Anbindung von E/A und Speicher umsetzen, sowie über frei programmierbare Anwendungskerne. Die geforderte Separation wird durch die ausschließliche Kommunikation über ein zeitgesteuertes Network-on-Chip (NoC) und Trusted Interface Subsysteme (TISS) zur Anbindung der Kerne an das NoC realisiert, die das zur Entwicklungszeit festgelegte zeitliche Verhalten sicherstellen. Verwendet wurden im Rahmen des Forschungsprojektes Altera-NIOS-II-Anwendungskerne, die optional mit Hilfe des PikeOS-Hypervisors in weitere zeitliche und räumliche Parti­tionen unterteilbar sind.

Für sicherheitskritische Systeme ist in diesem Zusammenhang jedoch zu berücksichtigen, dass die Separationsmechanismen nur für die Eindämmung von Design-Fehlern wirksam sind. Die Eindämmung physikalischer Fehler kann hingegen wegen der fehlenden Hardware-Redundanz (zum Beispiel geteilte Spannungsversorgung, fehlende galvanischen Trennung der Kerne) nicht garantiert werden. Die benötigte Redundanz lässt sich jedoch durch die Implementierung von kritischen Funktionen auf unterschiedlichen Multicore-Prozessoren erreichen. Durch die Möglichkeit, wei­tere weniger kritischer Funktionen auf die verbleibenden Kerne zu integrieren, bieten Multicore-Prozessoren auch für Systeme mit sicherheitskritischen Funktionen das Potenzial, die Anzahl der benötigten Steuergeräte zu reduzieren.

Komponenten-basierte Systementwicklung

Alle genannten Separationsmechanismen hängen von der Abbildung der Applikation auf die Plattform ab. Somit stellen sie Systemintegratoren vor die Herausforderung, entsprechende Lösungen aus dem resultierenden Entwurfsraum auszuwählen und eine konsistente Implementierung auf der Ausführungsplattform zu gewährleisten. Im Folgenden wird ein am Fortiss-Institut der TU München entwickelter modellbasierter Entwicklungsansatz vorgestellt, der Applikationen und Plattformen durch geeignete Modelle abstrahiert. Auf deren Basis kann die Verteilung der Anwendung auf die Kerne der Plattform berechnet (Deployment) werden und plattformspezifische Implementierungs-Artefakte können generiert werden.

Bild 1. Perspektive der logischen Architektur der Steuerung einer beispielhaften Sortieranlage in AutoFOCUS 3: Neben der hierarchischen Modellierung von Signalflüssen können weitere Eigenschaften beschrieben werden.

© Fortiss

Integrierte modellbasierte Software-Entwicklung ermöglicht die Beschreibung von Systemen mittels unterschiedlicher Perspektiven – zum Beispiel funktional, logisch, technisch oder auch geometrisch. Die Beschreibung dieser Perspektiven folgt Meta-Modellen und ermöglicht eine Dekomposition des Systems in plattformunabhängige sowie plattformabhängige Komponenten, bis hin zur konkreten technischen Realisierung. Innerhalb einer Perspektive kann sich der Entwickler auf spezifische Aufgaben fokussieren und für die jeweilige Perspektive typische Analysen durchführen. Eine modellbasierte werkzeuggestützte Vorgehensweise, wie sie etwa von AutoFOCUS3 (AF3) – einem Eclipse-basierten CASE-Tool (Computer Aided Software Engineering) zur durchgängigen Modellierung von reaktiven Systemen – unterstützt wird, ermöglicht eine effiziente Systementwicklung. Modell-zu-Modell-Transformationen und Code-Generatoren automatisieren hierbei den Übergang zwischen den verschieden Abstraktionsebenen.

Die plattformunabhängige Modellierung von Applikationen, das heißt des gewünschten Systemverhaltens, lässt sich beispielsweise in der Perspektive der logischen Architektur in AF3 realisieren (siehe Bild 1). Durch eine komponentenbasierte Systemmodellierung wird das Gesamtsystem in Einzelkomponenten zerlegt. Das Verhalten dieser atomaren Komponenten ist mithilfe von Zustandsautomaten spezifizierbar. Neben dem Verhalten können weitere Attribute im Modell hinterlegt werden, wie etwa Timing oder Kritikalität.

Die technische Perspektive ermöglicht die abstrakte Beschreibung der Plattform-Topologie, die zum Beispiel Kerne, Busse und NoCs, Speicher eines MPSoCs oder die Partitionen eines separierenden Betriebssystems umfasst. Beim Deployment der Komponenten einer Anwendung der logischen Architektur werden die hier hinterlegten Informationen über die Separierungsmechanismen, die die Plattform in unterschiedliche Fault-Containment-Region unterteilen, berücksichtigt. Eine Fault-Containment-Region ist dabei als ein Teil des Systems definiert, der durch Separierungsmechanismen so vom Rest abgeschottet ist, dass durch die Bereitstellung von Redundanz Fehler erkannt oder unter gewissen Voraussetzungen sogar behoben (maskiert) werden können.

Berechnung effizienter Systemkonfigurationen

Die zunehmende Systemkomplexität verlangt Methodiken und Techniken, die es erlauben, bereits zu einem frühen Entwicklungszeitpunkt Aussagen über das spätere Systemverhalten zu treffen. Dabei ist für den Systementwurf insbesondere die Betrachtung zeitlicher Systemeigenschaften (Antwortzeiten, Reaktionszeiten oder System-Latenzen) von entscheidendem Interesse. Diese bereits zu einem frühen Entwicklungszeitpunkt zu optimieren, erfordert wiederum effiziente (semi-)automatische Syntheseverfahren zur Berechnung entsprechender Systemkonfigurationen. Systemkonfigurationen beschreiben hierbei Schedules, das heißt die zeitliche Ordnung verschiedener Softwarekomponenten (Tasks) und deren Kommunikation.