安全到達(dá)某個(gè)地方不僅僅取決于良好的剎車(chē)、正常工作的尾燈和方向盤(pán)后反應(yīng)靈敏的人。越來(lái)越多地，讓你的汽車(chē)在路上行駛和讓你的飛機(jī)在空中飛行的部件不僅是人類(lèi)，甚至只是機(jī)械。它們是在復(fù)雜的異構(gòu)多核處理器上運(yùn)行的復(fù)雜嵌入式軟件，控制從飛行管理系統(tǒng)到動(dòng)力轉(zhuǎn)向的一切，并執(zhí)行以微秒為單位的嚴(yán)格計(jì)時(shí)期限。

挑戰(zhàn)就在這里。多核系統(tǒng)中軟件的時(shí)序行為不僅受其上運(yùn)行的軟件及其輸入的影響，還受運(yùn)行在其他內(nèi)核上的其他軟件的影響。

開(kāi)發(fā)關(guān)鍵的嵌入式系統(tǒng)需要付出巨大的努力和投資（數(shù)百萬(wàn)歐元/美元和多年的工程努力）。從軟件開(kāi)發(fā)過(guò)程的初階段開(kāi)始，安全就必須成為架構(gòu)和設(shè)計(jì)的。特別是，系統(tǒng)設(shè)計(jì)人員必須了解其軟件的時(shí)序行為，以確保它可以在安全的時(shí)間范圍內(nèi)執(zhí)行。

解決多核時(shí)序分析 (MTA) 難題

盡管多核處理器強(qiáng)大的計(jì)算能力應(yīng)該（理論上）使嵌入式系統(tǒng)更加強(qiáng)大和高效，但在一個(gè)內(nèi)核上執(zhí)行的軟件會(huì)減慢在其他內(nèi)核上運(yùn)行的軟件的執(zhí)行速度。在這種情況下，由于與在其他內(nèi)核上運(yùn)行的任務(wù)共享的總線、內(nèi)存、緩存、設(shè)備、FPGA 和 GPU 等共享資源爭(zhēng)用造成的干擾，軟件可能需要更長(zhǎng)時(shí)間才能執(zhí)行。

您如何量化這種干擾的影響？您如何分析、測(cè)試并提供具體證據(jù)證明您的安全關(guān)鍵軟件在多核平臺(tái)上運(yùn)行時(shí)始終可以在其時(shí)限期限內(nèi)執(zhí)行？

巴塞羅那超級(jí)計(jì)算中心(BSC)、Rapita Systems Ltd (RPT)、Raytheon Technologies (RTRC) 和Marelli Europe (MAR)的多年來(lái)一直在研究這些問(wèn)題的答案。BSC 和 Rapita 一直在開(kāi)發(fā)一種解決方案，該解決方案很快將在航空航天和汽車(chē)行業(yè)推廣。的工具和自動(dòng)化，與基于需求、以安全為中心的方法相結(jié)合，是解決難題的關(guān)鍵。

這項(xiàng)工作構(gòu)成了MASTECS 項(xiàng)目的基礎(chǔ)，該項(xiàng)目是一個(gè)由歐盟委員會(huì)資助并于 2019 年 12 月啟動(dòng)的多學(xué)科研發(fā)項(xiàng)目。MASTECS 項(xiàng)目將使技術(shù)成熟并支持它們用于航空電子設(shè)備和汽車(chē)系統(tǒng)的。MASTECS 項(xiàng)目的一個(gè)關(guān)鍵部分是通過(guò) RTRC 和 MAR 部署的研究在兩個(gè)行業(yè)中展示該方法。

的工具

支持時(shí)序分析的商用工具對(duì)簡(jiǎn)單（單核）電子產(chǎn)品有效，但無(wú)法擴(kuò)展以滿足新穎的多核特定要求和建議。

• 靜態(tài)時(shí)序分析解決方案 [1] 面臨復(fù)雜性壁壘，既不能有效地對(duì)日益復(fù)雜的硬件進(jìn)行建模，也不能有效地處理異常復(fù)雜的軟件功能的結(jié)構(gòu)和句法特征。
• 基于測(cè)量的解決方案已經(jīng)在單核分析市場(chǎng)中達(dá)到了很好的滲透水平（Rapita Systems 的 RVS 工具集是成功的工具集之一）。然而，此類(lèi)工具仍無(wú)法完全應(yīng)對(duì)多核引入帶來(lái)的挑戰(zhàn)。他們通常專(zhuān)注于由綜合功能測(cè)試策略確定的測(cè)量場(chǎng)景，但缺乏基于硬件知識(shí)的方法，該方法有助于為在多核中運(yùn)行的任務(wù)推導(dǎo)出可信賴(lài)的時(shí)序界限，并提供必要的支持證據(jù)和足夠的可追溯性。

據(jù)我們所知，市場(chǎng)上沒(méi)有任何商業(yè)工具可用，除了 MASTECS 中成熟的工具，它能夠分析多核平臺(tái)上的軟件時(shí)序，重點(diǎn)關(guān)注適用的安全標(biāo)準(zhǔn)和新興的要求。

干擾分析與控制在行動(dòng)

理解干擾的關(guān)鍵是結(jié)構(gòu)化測(cè)試方法，使用硬件和軟件來(lái)提供有關(guān)多核時(shí)序行為的證據(jù)。BSC 的一項(xiàng)專(zhuān)門(mén)技術(shù)（稱(chēng)為多核微基準(zhǔn)技術(shù)或 MμBT，由 Rapita 商業(yè)化為 RapiDaemons）允許系統(tǒng)設(shè)計(jì)人員通過(guò)創(chuàng)建額外的干擾場(chǎng)景來(lái)對(duì)多核應(yīng)用程序的不同部分進(jìn)行壓力測(cè)試，從而分析和量化干擾在基于多核應(yīng)用程序中的影響多核處理器。

微基準(zhǔn)測(cè)試是 MuBT 的，是精心設(shè)計(jì)的代碼片段，它們?cè)谟布蛙浖g的接口上運(yùn)行，以強(qiáng)調(diào)特定的共享資源。微基準(zhǔn)測(cè)試揭示了干擾通道對(duì)軟件時(shí)序的影響。為此，可以部署微基準(zhǔn)測(cè)試以對(duì)特定應(yīng)用程序造成可配置和可量化的壓力。微基準(zhǔn)專(zhuān)門(mén)設(shè)計(jì)用于展示單一、明確定義的行為，對(duì)特定硬件資源具有預(yù)期影響，同時(shí)盡可能防止在其他干擾通道上產(chǎn)生爭(zhēng)用。微基準(zhǔn)測(cè)試主要功能包括以下內(nèi)容：

1. 他們對(duì)特定的共享資源施加了可量化的壓力。
2. 他們的行為可以通過(guò)事件監(jiān)視器進(jìn)行驗(yàn)證。
3. 它們捕獲特定的與時(shí)間相關(guān)的要求，例如，您為控制爭(zhēng)用而采取的緩解措施是否有效。

點(diǎn)擊查看大圖
圖 1：在干擾分析中使用微基準(zhǔn)。（）

已經(jīng)開(kāi)發(fā)出范圍廣泛的微基準(zhǔn)以發(fā)揮特定作用，包括匹配所需的干擾水平、化資源干擾，或者只是對(duì)爭(zhēng)用非常敏感（“受害者”）。

在分析干擾影響時(shí)，MμBT 的使用得到了任務(wù)競(jìng)爭(zhēng)模型 (TCM) 的支持，該模型提供了任務(wù)可能遭受的競(jìng)爭(zhēng)延遲的早期估計(jì)。Rapita 開(kāi)發(fā)的軟件自動(dòng)化和測(cè)試工具 RapiTest 和 RapiTime 用于編寫(xiě)測(cè)試并在嵌入式目標(biāo)上運(yùn)行它們。

設(shè)計(jì)方法

通過(guò)遵循標(biāo)準(zhǔn)軟件“V”開(kāi)發(fā)流程（圖 2）的七步測(cè)試設(shè)計(jì)流程，工程師可以更全面地了解干擾的影響。

1. 多核處理器關(guān)鍵配置設(shè)置、干擾通道和事件監(jiān)控分析。硬件幫助確定關(guān)鍵配置設(shè)置，以設(shè)置框架，在該框架中還可以識(shí)別干擾通道以及緩解措施。硬件事件監(jiān)視器的標(biāo)識(shí)也有助于為所有后續(xù)步驟提供驗(yàn)證方法。
2. 確定時(shí)序要求。幫助終用戶(hù)確定系統(tǒng)的特定需求、時(shí)序要求、風(fēng)險(xiǎn)和安全問(wèn)題。例如，驗(yàn)證任何硬件隔離方法的性能以限度地減少干擾。
3. 測(cè)試用例設(shè)計(jì)。開(kāi)發(fā)特定的測(cè)試用例（測(cè)試描述）以驗(yàn)證支持用戶(hù)需求的假設(shè)集，包括定義在干擾信道分析中提供證據(jù)所需的 MμBT 項(xiàng)目。這涉及隔離執(zhí)行（無(wú)干擾）、針對(duì)微基準(zhǔn)執(zhí)行以評(píng)估應(yīng)用程序的執(zhí)行時(shí)間和硬件在不同可量化壓力場(chǎng)景下對(duì)干擾的敏感度。
4. 執(zhí)行測(cè)試程序。目前，手動(dòng)過(guò)程在 MASTECS 中自動(dòng)化，此步驟構(gòu)建測(cè)試程序，包括測(cè)試框架、微基準(zhǔn)和測(cè)量探針以記錄/跟蹤結(jié)果。
5. 證據(jù)收集（測(cè)試）。測(cè)試程序在平臺(tái)上執(zhí)行以收集測(cè)試證據(jù)。目前涉及一些手動(dòng)工作，這將在 MASTECS 中使用 RapiTest 自動(dòng)化框架自動(dòng)執(zhí)行這些測(cè)試并將它們鏈接回驗(yàn)證要求。
6. 結(jié)果分析。技術(shù)對(duì)測(cè)試結(jié)果的審查，以檢查測(cè)試結(jié)果如何驗(yàn)證（或以其他方式）驗(yàn)證要求。例如，圖 3 顯示了 RapiTime 在為程序的不同功能的執(zhí)行時(shí)間上的屏幕截圖。
7. 驗(yàn)證結(jié)果并生成文檔。終審查要求、生成文檔和驗(yàn)證結(jié)果以支持系統(tǒng)的安全論證。客戶(hù)可以直接使用全套和分析工件來(lái)對(duì)運(yùn)行在多核上的軟件進(jìn)行。

點(diǎn)擊查看大圖
圖 2：V 模型軟件開(kāi)發(fā)過(guò)程中的 MTA 步驟。（）

注入硬件（多核）知識(shí)是擬議的 MTA 方法在現(xiàn)代復(fù)雜多核上取得成功的關(guān)鍵特征。在早期軟件開(kāi)發(fā)階段：

1. 硬件識(shí)別多核配置（航空電子學(xué)術(shù)語(yǔ)中的關(guān)鍵配置設(shè)置），因?yàn)樗鼈冊(cè)诖_定軟件功能和時(shí)序行為方面發(fā)揮著關(guān)鍵作用，并且在很大程度上影響相互生成的爭(zhēng)用任務(wù)的數(shù)量。作為說(shuō)明性示例，當(dāng)前的處理器實(shí)現(xiàn)了隔離和隔離機(jī)制，如果部署得當(dāng)，可以大大減少爭(zhēng)用。
2. 多核在識(shí)別可能出現(xiàn)任務(wù)爭(zhēng)用的資源方面發(fā)揮著關(guān)鍵作用（這些資源在航空電子設(shè)備中稱(chēng)為干擾通道）。硬件瀏覽數(shù)千頁(yè)處理器技術(shù)參考手冊(cè)并針對(duì)芯片供應(yīng)商手冊(cè)中可能缺失的信息提出適當(dāng)問(wèn)題的能力是推動(dòng)適當(dāng)?shù)?MTA 流程的基礎(chǔ)。
3. 一旦識(shí)別出干擾通道，硬件就會(huì)識(shí)別出那些可用于跟蹤任務(wù)在這些干擾通道上生成的活動(dòng)的事件監(jiān)視器，作為代理指標(biāo)來(lái)限制任務(wù)可能遭受的爭(zhēng)用。還必須驗(yàn)證這些事件監(jiān)視器的正確性 [2]，為此設(shè)計(jì)了一組專(zhuān)門(mén)的微基準(zhǔn)。
4. ，硬件與時(shí)序分析攜手合作，從用戶(hù)需求、高層和低層需求以及特定測(cè)試中推導(dǎo)出支持用戶(hù)需求的假設(shè)。每個(gè)測(cè)試實(shí)例化一個(gè)或多個(gè)由硬件設(shè)計(jì)的微基準(zhǔn)程序，以將所需級(jí)別的負(fù)載放在目標(biāo)（一組）干擾信道上。

在后期設(shè)計(jì)階段：

1. 硬件參與分析測(cè)試結(jié)果，以評(píng)估他們是證實(shí)還是拒絕假設(shè)。
2. 硬件還有助于建立新的假設(shè)和相應(yīng)的測(cè)試，以備不時(shí)之需，基于上一步獲得的結(jié)果。

點(diǎn)擊查看大圖
圖 3：分析結(jié)果 (RapiTime)。（）

7 步測(cè)試設(shè)計(jì)過(guò)程只是圖 2 前面所示的更廣泛的多核驗(yàn)證方法的一部分。這種方法將作為 MASTECS 項(xiàng)目的一部分繼續(xù)成熟，旨在通過(guò)全面的證據(jù)和結(jié)果返回到相應(yīng)的要求和設(shè)計(jì)。該方法旨在滿足航空航天機(jī)構(gòu)發(fā)布的關(guān)鍵指導(dǎo)文件 CAST-32A 中定義的目標(biāo)。它還特別符合 ISO 26262，這是汽車(chē)行業(yè)的安全標(biāo)準(zhǔn)，提倡不受干擾。

CAST-32A 由機(jī)構(gòu)軟件團(tuán)隊(duì) (CAST) 于 2016 年發(fā)布，確定了影響在多核處理器上執(zhí)行的機(jī)載軟件系統(tǒng)的安全性、性能和完整性的因素。如果您想在航空電子系統(tǒng)中使用多核硬件，這是文檔。它提供了旨在指導(dǎo)安全多核航空電子系統(tǒng)生產(chǎn)的目標(biāo)，包括與識(shí)別和限制干擾信道影響相關(guān)的目標(biāo)。在此處查看 CAST-32A 立場(chǎng)文件。EASA 和 FAA 正在努力將多核通用 CRI 改編成通用的 AMC/AC 材料 (AMC 20-193)。預(yù)計(jì)將在“今年晚些時(shí)候”出版 [3]。

干擾效應(yīng)很復(fù)雜。要解開(kāi)它們的謎團(tuán)，您需要了解多核架構(gòu)組件以及軟件中的調(diào)度和資源分配系統(tǒng)的。硬件和軟件之間的協(xié)作將成為 MASTECS 項(xiàng)目的特征，因?yàn)樗鼤?huì)持續(xù)到未來(lái)。但是，雖然協(xié)作導(dǎo)致軟件工具和自動(dòng)化取得長(zhǎng)足進(jìn)步，但請(qǐng)務(wù)必記住，您無(wú)法自動(dòng)化驗(yàn)證過(guò)程的每一步——尤其是在涉及多核時(shí)序分析時(shí)。

您需要對(duì)系統(tǒng)有詳細(xì)了解的經(jīng)驗(yàn)豐富的工程師。例如，在早期階段，多核可以識(shí)別決定軟件功能和時(shí)序行為的處理器配置（也稱(chēng)為硬件關(guān)鍵配置設(shè)置），以及潛在的干擾通道。在分析測(cè)試結(jié)果時(shí)，經(jīng)驗(yàn)豐富的人類(lèi)重新審視和評(píng)估對(duì)平臺(tái)的原始假設(shè)，并利用他們的知識(shí)進(jìn)入新的測(cè)試周期，沒(méi)有什么比這更好的了。