האתגר הקשה של מעבדים מרובי-ליבות בתעשיית התעופה
30 אוקטובר, 2016
המעבר לארכיטקטורה מרובת-ליבות במערכות אוויוניקה, מייצר אתגרי רישוי ואבטחה מפתיעים, בהם הוכחת יכולת לנטרל ליבות, ולוודא שהן לא חוזרות לפעילות בלתי רצויה
המעבר לארכיטקטורה מרובת-ליבות במערכות אוויוניקה, מייצר אתגרי רישוי ואבטחה מפתיעים, בהם הוכחת יכולת לנטרל ליבות, ולוודא שהן לא חוזרות לפעילות בלתי רצויה
מאת: פול פרקינסון, ארכיטקט מערכות ראשי, A&D, חברת Wind River
ארכיטקטורות מעבדים בעלי ליבה-אחת שבהן נעשה שימוש נרחב ביישומי אוויוניקה (מערכות אלקטרוניקה ומחשבים בכלי טיס) בהם היבטי הבטיחות הם קריטיים, הופכות עתה לנדירות בעקבות המעבר לארכיטקטורות חדשות של מעבדים מרובי-ליבות. במאמר זה, נשקול את ההתאמה של ארכיטקטורות מרובות מעבדים מסחריים מהמדף (COTS) עבור יישומי אוויוניקה קריטיים בהיבטי בטיחות, וקבלת רשיון בטיחות לאוויוניקה.
בחירת מעבד מרובה-ליבות
בעשור האחרון עברו יצרני המעבדים לארכיטקטורות מרובות-ליבה כדי להשיג שיפור בביצועים כתוצאה מההגעה לתקרת מהירות השעון היעילה במעבדים בעלי ליבה יחידה. הדבר הוליד אתגרים ייחודיים עבור השימוש בהם במערכות אוויוניקה, שבהן בטיחות היא קריטית. כך למשל, יישומי אוויוניקה דורשים הפרדה במרחב הזיכרון של יישומים שונים.
תעשיית האוויוניקה, האקדמיה ורשויות הסמכה, ביצעו פרויקטים מחקריים על השימוש במעבדים מרובי-ליבות באפליקציות אוויוניקה שהוכיחו שקיימת שונות בין תכנוני ריבוי-ליבות לתכנון חד-ליבתי מבחינת ההתאמה שלהם ליישומי אוויוניקה, הנובעת מסוגיות של שיתוף משאבים במערכת, כולל שימוש בבקר זיכרון בודד או בערוץ (bus) משותף המשמש מספר ליבות (מהווה גורם סיכון לתחרות על משאבים). באופן דומה שימוש בזיכרונות Level 2 cache נפרדים או משותפים בכל ליבה.
חוסר הוודאות בבחירת מעבדים מרובי-ליבות מורכב מגורמים נוספים, בהם:
- על אף שהרשויות לרשיון מערכות אוויוניקה – EASA ו- FAA פרסמו את דוח המחקר MULCORS ואת נייר העמדה CAST-32 בנוגע לשימוש במעבדים מרובי-ליבות באוויוניקה,אין במסמכים אלה מדיניות או קווים מנחים רשמיים.
- מעבדים עם ליבה אחת, אשר שימשו ביישומי אוויוניקה בהם בטיחות הינה קריטית, אינם זמינים כלל או מתקרבים לסוף זמינות הסיליקון שלהם (end-of-life).
- נראה כי השליטה ההיסטורית של PowerPC בשוק מערכות משובצות מחשב בתחום האוויוני פוחתת במידה מסוימת, והעתיד לטווח הרחוק אינו ודאי. כעת, כש-NXP (לשעבר Freescale) מפתחת מעבדים מבוססי ARM בנוסף ל-PowerPC. כמו כן, המספר הגדול של וריאציות לארכיטקטורת מעבדי PowerPC QorIQ, גורם לאי-בהירות האם תהיה בחירה דה-פקטו ברכיבים אלה עבור אוויוניקה.
- משמעות הביצועים הגוברים של מעבדים מבוססי ARM, מאפשרת לשקול אותם כאופציה משמעותית עבור יישומי אוויוניקה מסוימים, בהם כאלה שהתבססו בעבר על מעבדי PowerPC.
- מעבדי אינטל, אשר בעבר לא נשקלו באופן נרחב לשימוש ביישומי אוויוניקה, מסיבות של פיזור אנרגיה לא יעיל, נשקלים עתה הודות למעבדי 14 ננומטר החסכוניים בצריכת אנרגיה.
השינויים האלה בשוק אלה הביאו למחשבה מחודשת בבחירת מעבדים ליישומי אוויוניקה. בפועל, כיום אנחנו עומדים בפני מגוון רחב של אפשרויות בבחירת מעבדים, בהם: מעבדי ARM מרובי-ליבות, משפחות ארכיטקטורת PowerPC QorIQ, וארכיטקטורות Intel Core ו-Atom.
רשיון למערכת הפעלה בזמן אמת (RTOS)
ביצוע רשיון תוכנה DO-178B ו-ED-12B Level A עבור מערכת הפעלה בזמן אמת, הוא יקר ביותר – מיליוני דולרים – והוא ספציפי לארכיטקטורת המעבד בו מדובר. כמעט בלתי אפשרי עבור ספקי מערכות הפעלה לבצע רשיון בתקן DO-178B ו-ED-12B עבור ארכיטקטורות מעבד רבות ושונות, ללא הידיעה כי יהיו מסוגלות להחזיר את עלויות הפיתוח (NRE) שלהן.
מסיבות אלה, פותחו חבילות רשיון עבור מעבדי ליבה אחת הנפוצים ביותר בעולם האוויוניקה. חברת Wind River השתמשה בגישת רשיון COTS עבור VxWorks RTOS כדי לפצל ולהוריד משמעותית את עלויות ה-NRE של תהליך הרשיון למגוון לקוחות ותוכניות – תוך שימוש באותה ארכיטקטורת מעבד והפחתת עלויות הרשיון בכל תכנית.
התהליך הביא ליצירת מעגל קסמים חיובי: מאחר שמעבדים אלה סיפקו את אופציות העלות הנמוכה ביותר עבור פרויקטים של רשיון המשך, הודות ליכולת לעשות שימוש חוזר בתהליכי רשיון קיימים עבור רשיון DO-178 ו- ED-12, התהליך חסך את הצורך לפתח עבור ארכיטקטורת מעבד חדשה.
רשיון למערכת מרובת-ליבות
התהליך הכרוך בקבלת רשיון מערכת מרובת-ליבות מהווה כיום אתגר עבור תוכניות אוויוניקה, עקב המחסור במדיניות רשמית וקווים מנחים מצד ה- FAA ו-EASA. עם זאת, יש לקחת בחשבון את דו"ח המחקר EASA MULCORS ונייר העמדה FAA CAST-32 כאשר מתכננים פרויקט אוויוניקה מרובה-ליבות שהנו קריטי מבחינת בטיחות.
ראוי לזכור שהבחירה במעבד מרובה-ליבות יכולה ליהפך להכרח בעקבות מחסור בזמינות של מעבדים בעלי ליבה אחת. בדומה, יש מתכנתים שעשויים לרצות להשתמש במעבדים בעלי יותר משתי ליבות, מאחר שמעבדים בעלי 4 או 8 ליבות הינם נפוצים כיום. עם זאת, CAST-32 אינו מתייחס למעבדים מרובי-ליבות עם יותר מאשר שתי ליבות פעילות. הסמכת מעבדים מרובי-ליבות תדרוש מחקר משמעותי וניהול רשיון כדי להרחיב את הקווים המנחים של MULCORS ו-CAST-32.
בשני התרחישים לעיל, למתכנתים צריכה להיות היכולת לנצל ליבות מעבד מסוימות, ולנטרל את הליבות שאינן בשימוש. כך שיוכלו לעמוד בדרישות CAST-32. הם יצטרכו להוכיח שליבה שנותקה לא יכולה להפוך באופן בלתי צפוי לפעילה, ולהפריע לפעילות הליבות האחרות.
ניתן להשתמש בגישה של קריאה רציפה של רישומי אוגרים (registers) שהנם קריטיים לתפעול בטוח, ואיפוס ערך הרגיסטר במקרה שזוהה שינוי מצב; או באמצעות כתיבה קבועה על רגיסטרי הבקרה כדי להבטיח שהמצב הרצוי יישמר. מעבדים מסוימים עשויים גם לספק יחידות ניטור (Monitor) שיאפשרו לקבוע באופן עצמאי את המצב של מעבד יחיד.
ליבות עיבוד מנוטרלות
הטמעת התוכנה של נטרול ליבה היא ספציפית למעבד, ותלויה באם הארכיטקטורה של אותו מעבד מספקת לליבה את היכולת לכתוב לרגיסטר בקרה כדי לנטרל ליבה אחרת. לדוגמא, במעבד PowerPC QorIQ T2080, ניתן להשיג נטרול של ליבה בודדת באמצעות הנחת שדה הביט המתאים ברגיסטר נטרול הליבה במהלך הפעלת Pre-Boot, או כאשר הליבה במצב עצירת אתחול. ברגע שליבה נוטרלה, ניתן לאחזר אותה רק באמצעות כיבוי והפעלה, אתחול חומרה או אתחול ליבה.
היכולת של מתכנתי אוויוניקה עם היבטי בטיחות קריטיים להיות מסוגלים לנטרל ליבות ספציפיות ולפתח תרחישי בטיחות ברמה גבוהה עבור התפעול הדטרמיניסטי של התהליך, תלויה ביכולת לקבל מידע טכני מפורט מיצרן השבבים על התכנון והתפעול של המעבד.
חלק מהחברות עשויות לשחרר מידע זה לציבור, בעוד אחרות עשויות לספק רק רמות מסוימות של מידע תחת הסכם שמירת סודיות. עבור מתכנתים המבצעים הסמכת חומרה DO-254, זו תהיה דרישה חשובה במיוחד, והם יצטרכו להבטיח כי יצרן המעבדים הנבחר יספק גישה למידע הנדרש, אפילו אם אינו תומך באופן רשמי במפרט DO-254 כפי שעושות חברות כגון Altera.
מגמה שלא ניתן לעצור
שוק האוויוניקה נמצא כעת בתהליך של מעבר משימוש בארכיטקטורה של ליבה אחת לריבוי ליבות. למרות שכרגע נראה כי ישנה אי-ודאות מסוימת לגבי הבחירה הטובה ביותר עבור תוכניות אוויוניקה עם דרישות בטיחות קריטיות, סביר להניח כי שילוב של מאמצים מוקדמים בתוכניות ריבוי-ליבות, יביאו למעגל קסמים של תמיכה, אימוץ נוסף והצלחה, בדרך דומה לזו של תוכניות אוויוניקה עם ליבה-יחידה בעשורים הקודמים, אשר יצרו סביבה עשירה של ספקי פתרונות COTS מורשים לאוויוניקה.
פורסם בקטגוריות: חדשות , מחשבים ומערכות משובצות , תעופה וביטחון
כתבות נוספות העשויות לעניין אותך
