作者：RICK HEARN，RICH JAENICKE

雖然多核處理器為安全關(guān)鍵型航空電子設(shè)備的設(shè)計人員提供了更小尺寸、更低功耗和更高性能的顯著優(yōu)勢，但事實證明，將這些優(yōu)勢帶到安全關(guān)鍵型系統(tǒng)中具有挑戰(zhàn)性。這主要是由于驗證和認證多核軟件和硬件架構(gòu)的復(fù)雜性。主要關(guān)注的是在一個內(nèi)核上運行的應(yīng)用程序如何干擾在另一個內(nèi)核上運行的應(yīng)用程序，從而對確定性、服務(wù)質(zhì)量以及最終的安全性產(chǎn)生負面影響。

正在努力簡化多核處理器的安全關(guān)鍵型實施。已經(jīng)更新了幾個標準來解決多核問題。

其中包括ARINC 653，它涵蓋了安全關(guān)鍵航空電子應(yīng)用的實時操作系統(tǒng)（RTOS）的空間和時間分區(qū)。ARINC 653 于 2015 年更新（ARINC 653 第 1 部分補充 4），以解決單個應(yīng)用程序的多核操作，稱為“分區(qū)”。開放組的未來機載能力環(huán)境 （FACE） 技術(shù)標準版本 3.0 通過要求遵守補充協(xié)議 4 來解決多核支持問題。此外，由 FAA、EASA、TCCA 和其他航空當局支持的認證機構(gòu)軟件團隊 （CAST） 發(fā)布了一份立場文件，其中包含名為 CAST-32A 的多核系統(tǒng)指南。這些文檔共同提供了成功將多核解決方案用于可認證高達 DAL A 的應(yīng)用程序的要求，DAL A 是安全關(guān)鍵型軟件的最高 RTCA/DO-178C 設(shè)計保證級別。

多核的優(yōu)勢

多核架構(gòu)的好處很多，而且引人注目：

更高的吞吐量：在多個內(nèi)核上運行的多線程應(yīng)用程序可擴展吞吐量。多個單線程應(yīng)用程序可以通過每個應(yīng)用程序同時在自己的核心中運行來更快地運行。最佳核心利用率使吞吐量能夠隨核心數(shù)線性擴展。

更好的 SWaP ［尺寸、重量和功耗］：應(yīng)用程序可以在單個多核處理器中的單獨內(nèi)核上運行，而不是在單獨的單核處理器上運行。對于機載系統(tǒng)，較低的SWaP可降低成本并延長飛行時間。

未來增長空間：多核處理器的更高性能支持未來的需求和應(yīng)用。

更長的供應(yīng)可用性：大多數(shù)單核芯片已經(jīng)過時或接近過時。多核芯片在其供電壽命開始時提供處理器。

安全關(guān)鍵型應(yīng)用中多核面臨的挑戰(zhàn)

在單核處理器中，通過在托管應(yīng)用程序之間對內(nèi)存空間和處理器時間進行可靠分區(qū)，多個安全關(guān)鍵型應(yīng)用程序可以在同一處理器上執(zhí)行。內(nèi)存空間分區(qū)將內(nèi)存的非重疊部分專用于在給定時間運行的每個應(yīng)用程序，由處理器的內(nèi)存管理單元 （MMU） 強制執(zhí)行。時間分區(qū)將固定時間間隔（稱為主幀）劃分為一系列固定子間隔（稱為分區(qū)時間窗口）。為每個應(yīng)用程序分配一個或多個分區(qū)時間窗口，窗口的長度和數(shù)量是應(yīng)用程序最壞情況執(zhí)行時間 （WCET） 和所需重復(fù)率的因素。操作系統(tǒng) （OS） 確保每個應(yīng)用程序在其分配的時間內(nèi)都可以訪問處理器的核心。將這些安全關(guān)鍵技術(shù)應(yīng)用于多核處理器需要克服幾個復(fù)雜的挑戰(zhàn)，最困難的是內(nèi)核之間通過共享資源進行干擾。

磁芯之間的干擾

在多核環(huán)境中，每個處理核心的專用資源有限。所有多核硬件架構(gòu)還包括共享資源，例如內(nèi)存控制器、DDR 內(nèi)存、I/O、緩存以及連接它們的內(nèi)部結(jié)構(gòu)（圖 1）。當多個內(nèi)核嘗試同時訪問同一資源時，會導(dǎo)致爭用。這種情況意味著較低關(guān)鍵性的應(yīng)用程序/分區(qū)可能會阻止較高關(guān)鍵性的應(yīng)用程序/分區(qū)執(zhí)行其預(yù)期功能。在四核系統(tǒng)中，內(nèi)核僅通過互連訪問 DDR 內(nèi)存（即沒有 I/O 訪問），來自多個內(nèi)核的多個干擾源顯示 WCET 增加了 12 倍以上。由于DDR控制器中的共享資源仲裁和調(diào)度算法無法保證公平性，干擾影響通常是非線性的。事實上，測試表明，單個干擾核心可以將另一個核心上的WCET增加8倍。

圖1：單獨的處理器內(nèi)核（灰色）共享許多資源（綠色），范圍從互連到內(nèi)存和 I/O。

CAST-32A 為解決多核處理器中的干擾問題提供了認證指導(dǎo)。一種方法是基于對每個應(yīng)用程序/分區(qū)的 WCET 測試和分析及其對共享資源的最壞情況利用率創(chuàng)建一個特殊用例。但是，特殊用例解決方案可能會導(dǎo)致供應(yīng)商鎖定和重新驗證整個系統(tǒng)，并更改任何一個應(yīng)用程序/分區(qū)，從而使這種方法成為集成模塊化航空電子設(shè)備（IMA）系統(tǒng)實施和維護的重大障礙。如果沒有操作系統(tǒng)機制和工具來支持減輕干擾，維持成本和風險非常高。對任何一個申請的更改都需要對所有綜合申請進行完整的WCET重新驗證活動。

更好的方法是讓操作系統(tǒng)根據(jù)解決 CAST-32A 目標的 DAL A 運行時機制、庫和工具的可用性有效地管理干擾。這為系統(tǒng)集成商提供了有效、靈活和敏捷的解決方案。它還簡化了新應(yīng)用程序的添加，而無需對系統(tǒng)架構(gòu)進行重大更改，減少了重新驗證活動，并有助于消除 OEM 供應(yīng)商鎖定。

將單核軟件設(shè)計移植到多核

雖然將現(xiàn)有安全系統(tǒng)移植到多核平臺可提供更多計算資源，但由于訪問共享資源的延遲較長或來自其他內(nèi)核的干擾，給定應(yīng)用程序的 WCET 可能會增加。需要新的分析來確定其他資源（如內(nèi)存、內(nèi)存控制器和內(nèi)核間通信）是否會成為新的瓶頸。雖然資源可能運行得更快，但相對性能的變化可能會導(dǎo)致應(yīng)用程序停止工作或以不確定的方式運行。

有效利用多核資源

為了實現(xiàn)多核解決方案的吞吐量和 SWaP 優(yōu)勢，軟件架構(gòu)需要支持可用處理器內(nèi)核的高利用率。必須支持所有多核功能，從啟用內(nèi)核的并發(fā)操作（相對于可用內(nèi)核在啟動時被迫進入空閑狀態(tài)或保持重置狀態(tài)）到提供確定性負載平衡機制。軟件多處理架構(gòu)越靈活，系統(tǒng)架構(gòu)師實現(xiàn)高利用率的工具就越多。

軟件多處理架構(gòu)

與多處理器系統(tǒng)一樣，多核處理器上的軟件體系結(jié)構(gòu)可以根據(jù)訪問來自其他處理器或內(nèi)核的內(nèi)存的方式以及每個處理器或內(nèi)核是否運行自己的操作系統(tǒng)副本進行分類。對于基于多核的系統(tǒng)，最簡單的軟件架構(gòu)是非對稱多處理 （AMP），其中每個內(nèi)核獨立運行，每個內(nèi)核都有自己的操作系統(tǒng)或虛擬機管理程序之上的來賓操作系統(tǒng)。每個內(nèi)核運行不同的應(yīng)用程序，在調(diào)度方面內(nèi)核之間很少或根本沒有有意義的協(xié)調(diào)。由于缺乏負載均衡、難以緩解共享資源爭用以及無法跨內(nèi)核執(zhí)行協(xié)調(diào)活動（如全面內(nèi)置測試所需的活動），這種解耦可能會導(dǎo)致利用率不足。

現(xiàn)代替代方案是對稱多處理 （SMP），其中單個操作系統(tǒng)控制所有資源，包括哪些應(yīng)用程序線程在哪些內(nèi)核上運行。這種架構(gòu)易于編程，因為所有內(nèi)核都“對稱”訪問資源，從而使操作系統(tǒng)能夠?qū)⑷魏尉€程分配給任何內(nèi)核。

不知道哪些線程將在哪些內(nèi)核上運行是一個重大挑戰(zhàn)，也是關(guān)鍵系統(tǒng)中確定性操作的風險。為了解決這個問題，CAST-32A引用了綁定多處理（BMP）的使用。BMP 是一種增強且受限的 SMP 形式，它將應(yīng)用程序的任務(wù)靜態(tài)綁定到特定內(nèi)核，使系統(tǒng)架構(gòu)師能夠嚴格控制多個內(nèi)核的并發(fā)操作。BMP 直接遵循 ARINC 653 補充 4 第 2.2.1 節(jié)中的多核要求，其中指出：“計劃在不同處理器內(nèi)核上同時執(zhí)行的分區(qū)內(nèi)的多個進程。

用于安全認證的多核實時操作系統(tǒng)的一個例子是Green Hill的INTEGRITY-178 tuMP，它是一個統(tǒng)一的多核RTOS，支持AMP，SMP和BMP的同時組合。RTOS 的時變統(tǒng)一多處理 （tuMP） 方法為將安全關(guān)鍵型和安全關(guān)鍵型應(yīng)用移植、擴展和優(yōu)化到多核架構(gòu)提供了靈活性。它從跨所有內(nèi)核運行的時間分區(qū)內(nèi)核開始，該內(nèi)核允許將 AMP、SMP 和 BMP 應(yīng)用程序的任意組合綁定到稱為關(guān)聯(lián)組的一個或多個內(nèi)核組（圖 2）。

圖2：INTEGRITY-178 TuMP 的時變功能支持將應(yīng)用程序與不同分區(qū)時間窗口的核心進行不同的綁定。

然后，它會添加時間差異，以便分區(qū)時間窗口不需要在內(nèi)核之間對齊。INTEGRITY-178 tuMP還包括帶寬分配和監(jiān)控（BAM）功能，根據(jù)DO-178C DAL A目標開發(fā)。BAM 旨在使系統(tǒng)集成商能夠識別和減輕基于多核的系統(tǒng)的干擾，直接解決 CAST-32A 指南并降低集成和認證風險。

硬件角度：DO-254 可認證的多核硬件

除了DO-178軟件外，飛機的全面安全認證還需要硬件的DO-254認證。當前和新興的航空航天需求要求硬件處理能力能夠支持具有混合安全關(guān)鍵級別的多種功能和應(yīng)用。這些要求，以及包括多核處理器在內(nèi)的密集計算需求和架構(gòu)，突出了對能夠防止性能下降和共享資源爭用的RTOS技術(shù)的非常明確和迫切的需求。

包含多核處理技術(shù)的硬件體系結(jié)構(gòu)必須專門設(shè)計為設(shè)置活動內(nèi)核的數(shù)量和執(zhí)行頻率，指定激活哪些 MCP 外設(shè)，并確定對共享內(nèi)存和緩存的硬件支持。在安全關(guān)鍵型應(yīng)用中，必須仔細選擇多核處理器，并根據(jù)幾個關(guān)鍵因素構(gòu)建其主機板，包括處理器的服務(wù)歷史、制造可用性和質(zhì)量數(shù)據(jù)、I/O 功能、性能水平和功耗。

Curtiss-Wright 基于 NXP QorIQ T2080 電源架構(gòu)處理器的 VPX3-152 是專為支持安全關(guān)鍵型多核應(yīng)用而設(shè)計的單板計算機 （SBC） 的一個示例。四核 T2080 以相對較低的功耗水平滿足許多 DAL A 應(yīng)用的性能要求。T2080 的 16 個可用 SerDes 通道有效地將可從處理器直接提供服務(wù)的功能數(shù)量增加了一倍，從而簡化了整體電路板設(shè)計和認證工作。

這些多核處理器的全部功能在與RTOS相輔相成時得以實現(xiàn)，RTOS使系統(tǒng)設(shè)計人員和集成商能夠以高保證的方式利用處理器內(nèi)核的所有可用計算能力。使用安全關(guān)鍵型多核 SBC 和提供確定性、用戶定義內(nèi)核和調(diào)度分配的 RTOS 可以確保完全實現(xiàn)多核硬件的性能功能。

審核編輯：郭婷