Der RTS Safe Hypervisor wird ein Betriebssystem-unabhängiger, für funktionale Sicherheit zertifizierter Hypervisor des Typs 1 sein, der auf gemischt-kritische Arbeitslasten abzielt, die auf x86-Multicore-Prozessortechnologien basieren, und wird weltweit verfügbar sein. Er wird als komplettes OEM-Paket geliefert, das den zertifizierten Echtzeit-Hypervisor mit funktional sicheren und nicht sicheren virtuellen Maschinen und einem zertifizierten sicheren Betriebssystem wie dem Linux-basierten Zephyr oder QNX bündelt. Dieses Paket richtet sich an jede handelsübliche oder kundenspezifische Embedded-Computing-Plattform, die mit Functional-Safety-fähigen x86-Prozessoren ausgestattet ist. Die ersten Implementierungen werden auf Intel Atom Prozessoren der Serie x6000E mit integriertem Intel Safety Island und Intel Core-Prozessoren der 11. Generation basieren.
„Wir wollen sicherstellen, dass Ingenieure den effizientesten Weg zu voll funktionsfähigen, sicherheitskonformen Anwendungen finden, indem sie vorzertifizierte Plattformen nutzen. Sichere Echtzeit-Hypervisor-Technologie ist der Schlüssel, um alles miteinander zu verbinden, von sicherer Hardware, sicheren virtuellen Maschinen des Typs 1 und sicheren Betriebssystemen bis hin zu nicht sicheren Domänen, auf denen Mehrzweck-Betriebssysteme laufen“, erklärt Michael Reichlin, CEO von Real-Time Systems, die Vertriebsstrategie für den neuen RTS Safe Hypervisor. Letztendlich müssten sich die Anwendungsingenieure nur um den sicherheitskritischen Teil der Anwendung kümmern, um eine Zertifizierung für die funktionale Sicherheit zu erhalten. „Das ist in unserer IoT- und KI-getriebenen Zeit, in der viele Innovationen in Bereichen wie autonome Fahrzeuge und kollaborative Roboter entstehen, sehr praktisch. Denn natürlich müssen auch hier alle Kernfunktionen den Normen für funktionale Sicherheit entsprechen. Der nicht sichere Teil des Pakets hingegen kann bei Bedarf geändert und aktualisiert werden, ohne dass die funktional sicheren Teile in irgendeiner Weise beeinträchtigt werden. Und der eigentliche Vorteil für Ingenieure ist, dass sie Standard-x86-Technologien verwenden können“, ergänzt Reichlin.
Gemischt-kritische Anwendungen
Typische gemischt-kritische Anwendungen sind Komplettlösungen auf einer einzigen Embedded-Computing-Plattform, die echtzeitfähige sichere Steuerungen mit nicht-sicherheitsrelevanten Anwendungen kombinieren, etwa GUIs, KI-Logik oder Vision- und Situationserkennungssysteme. Im Zuge des Trends zu Industrie 4.0 werden auch IoT-Gateways zunehmend ins Embedded-System integriert. Diese Gateways werden für übergeordnete Steuerungslogik über 5G in Echtzeit oder für alles, was mit dem IT/OT-Fusionstrend zusammenhängt, benötigt, um vorausschauende Wartung und neue Geschäftsmodelle über agile Abonnements mit Pay-per-Use und nutzungsbasierten Preisen zu ermöglichen.
OEMs, die eine einzige Hardwareplattform für gemischt-kritische Anwendungsdesigns verwenden, profitieren von Kosteneinsparungen aufgrund einer geringeren Anzahl von Systemen, was zu einer verbesserten mittleren Zeit zwischen Ausfällen (MTBF) im Vergleich zu Installationen mit mehreren Systemen führt. Ein weiterer Vorteil ist, dass Ingenieure kritische und nicht-kritische Anwendungen auf einem einzigen Chip oder einer einzigen Hardware verwalten können, was die Anwendungsentwicklung und -validierung sowie den Datenaustausch zwischen diesen Anwendungen erleichtert. Und trotz des Ein-System-Ansatzes ermöglicht eine solche Hypervisor-Implementierung, dass alle nicht sicherheitsrelevanten Anwendungen kontinuierlich aktualisiert und geändert werden können, ohne dass die sicherheitsrelevanten Komponenten neu zertifiziert werden müssen. Dies ist nicht nur für die Innovation wichtig, sondern auch für die Verbesserung der Cybersicherheit.
Der Funktionsumfang im Detail
Typische Zielmärkte für den neuen RTS Safe Hypervisor sind kollaborative Robotik, Industrieautomation, autonome Fahrzeuge, medizinische Geräte, Bau- und Landmaschinen sowie der Schienenverkehr. Zu den möglichen Zertifizierungen gehören IEC61508 für sicherheitsrelevante Embedded-Systeme als Basis (für alle SIL-Stufen) sowie ISO13849 für die Sicherheit von Maschinen (bis PL e), IEC62304 für Software für medizinische Geräte (bis Klasse C) und EN 50128 für den Schienenverkehr (bis SIL4). Zudem werden auch Cybersicherheitszertifizierungen wie die IEC62443-4 für industrielle Automatisierungs- und Steuerungssysteme abgedeckt.
Der neue RTS Safe Hypervisor ist als Typ-1-Echtzeit-Hypervisor konzipiert, der eine zusätzliche Latenz für das sichere Betriebssystem vermeidet. Das sichere Betriebssystem hat direkten und exklusiven Zugriff auf die zugewiesenen Hardwareressourcen. Die Kommunikation zwischen den verschiedenen gemischt-kritischen Anwendungen und Prozessen wird durch funktionell sicheren gemeinsamen Speicher oder virtuelle Ethernet-Kanäle gewährleistet. Die unterstützten sicheren Betriebssysteme sind QNX und Zephyr, kombiniert mit Linux oder anderen standardmäßigen x86-Echtzeitbetriebssystemen für nicht sichere Anwendungen. Der Hypervisor unterstützt die in den Intel-Atom-Prozessoren der Serie x6000E integrierte On-Chip-Sicherheitsfunktion „Intel Safety Island“ oder eine externe sichere Logik für Intel Core und Xeon Prozessoren. Für den Einsatz des neuen funktional sicheren Hypervisors sind neben dem PCIe-Passthrough auf exklusiv zugewiesene Ressourcen mindestens zwei Kerne erforderlich. Als Minimum wird daher ein Quadcore-Prozessor empfohlen, um auch unkritische Anwendungen hosten zu können.
Kunden können den dedizierten Bootloader, den RTS Safe Hypervisor und ihr sicheres Betriebssystem problemlos integrieren. Besonders komfortabel ist, dass die Hypervisor-Software nicht kompiliert oder neu erstellt werden muss, da die Konfiguration lediglich in eine Klartext-Konfigurationsdatei geschrieben werden muss. Der Kunde entscheidet, ob der Hypervisor und das sichere Betriebssystem in die Firmware integriert werden, und damit Teil der Baugruppe sind, oder ob sie sicher von Speichergeräten wie eMMCs geladen werden. Nicht sichere Linux-OS-Implementierungen auf virtuellen Maschinen können von OEMs nach Bedarf eingesetzt und geändert werden.
Entwickler, die ihre Plattform schon heute auf die Nutzung des neuen RTS Safe Hypervisor vorbereiten wollen, können mit der Standard-Hypervisor-Technologie von Real-Time Systems und ihrem bevorzugten sicheren Betriebssystem beginnen. Die Plattform kann dann auf den neuen RTS Safe Hypervisor umgestellt werden, der in der ersten Hälfte des Jahres 2023 auf den Markt kommen soll.
