UltraSoC, der führende Anbieter von Embedded-Analysemethoden für sämtliche Sicherheitsaspekte von automobilen Elektroniksystemen, kündigte heute den UltraSoC-Lockstep-Monitor an. Als hardware-basierte, skalierbare Lösung, hilft der neue Lockstep-Monitor die funktionale Sicherheit signifikant sicherzustellen, indem er prüft, ob die Cores im Zentrum eines sicherheitskritischen Systems ihre Funktion auch zuverlässig und sicher ausführen. UltraSoCs flexible IP unterstützt alle üblichen Lockstep/Redundanzarchitekturen, inklusive vollständig zweifach-redundantem Lockstep, Split/Lock, Master/Checker und Voting bei einer beliebigen Anzahl von Cores oder Subsystemen.

Der UltraSoC-Lockstep-Monitor kann jede Prozessorarchitektur oder sonstige Subsysteme überwachen, wie kundenspezifische Logik oder Hardware-Beschleuniger. Der Lockstep-Betrieb wird für Sicherheitsstandards wie ISO26262 für Automobile, IEC 61508, EN50126/8/9 und CE 402/2013 benötigt.

Der neue Lockstep-Monitor besteht aus einem Satz von konfigurierbaren Halbleiter-IP-Blöcken (SIP = semiconductor IP), die protokoll-basiert sind und genutzt werden können, um Ausgänge, Bustransaktionen, die Code-Ausführung und sogar Registerzustände zwischen zwei oder mehreren redundanten Systemen zu überprüfen. Er kann auf jeder Prozessorarchitektur eingesetzt werden – selbst auf der gerade aufkommenden RISC-V-Architektur – für die eine native Unterstützung für Lockstep-Konfigurationen fehlt. Zusätzlich zu traditionellen Prozessorkernen, kann er auch weitere Subsysteme oder Beschleuniger checken. Weil er in Hardware implementiert ist, reagiert er in Echtzeit und verursacht keinen Execution-Overhead für das Host-System.

Anders als traditionelle Methoden, besitzt der UltraSoC-Lockstep-Monitor flexible, laufzeit-konfigurierbare eingebettete Intelligenz, was es dem SoC-Entwickler erlaubt, das Monitoring- und Response-System exakt auf die Applikation maßzuschneidern. Die Überwachung kann mit vielfältigen Granularitätsstufen implementiert werden: auf Subsystemebene (vergleicht den Ausgang der beiden Prozessoren); auf der Transaktionsebene (vergleicht z.B. den Datenverkehr auf dem Bus); auf der Befehlsebene, auf der er UltraSoC’s fortschrittliche Methode zur Befehlsnachverfolgung nutzt; und auf der fundamentalen Hardwareebene, auf der er die internen Zustände oder Registerinhalte des Prozessors überwacht.

Durch das Einbetten der Intelligenz in das System, ermöglicht UltraSoC auch wesentlich fortschrittlichere Vergleiche zwischen dem Betrieb des Lockstep-Prozessors als sie mit traditionellen Lösungen erzielt werden. Wenn die Lockstep-Prozessoren sich beispielsweise einen Speicherbereich teilen, können sie nicht perfekt synchronisiert von Zyklus zu Zyklus zusammenarbeiten. Die On-chip-Analyse von UltraSoC kann genutzt werden, um die Aktivitäten innerhalb der redundanten Prozessoren zu korrelieren und die Antwort des Systems darauf, anhängig von der Art der jeweils erkannten Anomalien, maßschneidern.

RISC-V kommt in sicherheitskritischen Applikationen immer stärker zum Einsatz, insbesondere in der Automobilindustrie. Allerdings krankt das RISC-V-Ecosystem derzeit insgesamt noch an der fehlenden Unterstützung der funktionalen Sicherheitsrichtlinien – wie dem Lockstep-Betrieb – wie er von den globalen Standards ISO26262 für die funktionelle Sicherheit, J3061 für die Cyberssicherheit, IEC 61508, EN50126/8/9 und CE 402/2013 vorgeschrieben ist. Der UltraSoC-Lockstep-Monitor erlaubt jedem RISC-V-System, egal, ob es Open-Source- oder kommerzielle Prozessorkerne einsetzt, hochentwickelte Sicherheitsfunktionen zu implementieren. Das Unternehmen hat diese Möglichkeiten für die umfassende Sicherheit für Automobile – gemeinsam mit ResilTech, dem Spezialisten für das robuste Computing von Sicherheitskritischen Systemen – auf dem RISC-V-Summit (Santa Clara, 3. bis 6. Dezember 2018) präsentiert.

Lockstep-Systeme verwenden zwei oder mehrere Prozessorsubsysteme, die den gleichen Code in einer redundanten Backup-Konfiguration abarbeiten. Diese Cores können mit dem Takt synchronisiert oder um eine kleine Anzahl von Zyklen versetzt sein, eine Anordnung, die vor transienten Fehlern im umgebenden System schützt. Die Ausgänge, Code-Ausführung oder der Busverkehr von den Subsystemen wird verglichen und wenn sich die Ergebnisse unterscheiden, kann ein Fehler signalisiert werden. Lockstep-Systeme mit zwei Prozessoren sind üblicherweise in einer ‘Master/Checker’-Anordnung konfiguriert; solche mit mehr als zwei Prozessors nutzen meist ‘Voting’- oder andere Redundanzverfahren. Anspruchsvollere “Split/Lock”-Prozessorarrangements erlauben es, die Lockstep-Funktion dynamisch ein- und auszuschalten, was es den Cores ermöglicht, entweder im redundanten Modus zu arbeiten oder für eine höhere Leistungsfähigkeit unterschiedlichen Code abzuarbeiten.

Kontaktieren Sie uns, um die Produkteinweisung des UltraSoC-Lockstep-Systems anzufordern. UltraSoC hat kürzlich das Whitepaper über die ISO26262 aktualisiert, das nun als freier Download von der UltraSoC-Website verfügbar ist: The case for embedded analytics in ISO26262 and automotive.