L’hyperviseur sécurisé de Real-Time Systems ouvre la voie aux applications à sécurité fonctionnelle sur les architectures x86

Real Time Systems Hyperviseur Safe RTS

La société allemande Real-Time Systems (RTS), éditrice de solutions logicielles pour l’embarqué et propriété de son compatriote Congatec depuis 2018, annonce la disponibilité de l’hyperviseur de type 1 RTS Safe, certifié indépendamment du système d'exploitation sur lequel il est amené à fonctionner. Avec comme cibles les applications à fortes charges de travail critiques fondées sur des processeurs multicœurs x86

Les premières implantations visées sont les architectures Intel Atom x6000E dotées de la technologie Intel Safety Island intégrée et les processeurs Intel Core de 11e génération. La solution de Real-Time Systems, livrée aux OEM sous la forme d'un ensemble de logiciels, regroupe l'hyperviseur temps réel certifié équipé de machines virtuelles à fonctionnalités critiques ou non, et un système d'exploitation certifié vis-à-vis de la sûreté de fonctionnement, comme QNX ou Zephyr, fondé sur Linux. Ce “bundle" cible toute plate-forme de traitement embarquée standard ou personnalisée, équipée de processeurs x86 compatibles FuSa (Functionnal Safety).

« Nous voulons avec notre approche nous assurer que les ingénieurs obtiennent la voie la plus efficace vers des applications conformes aux normes de sécurité fonctionnelle les plus utilisées, avec la mise en ouevre de plates-formes précertifiées, explique Michael Reichlin, P-DG de Real-Time Systems. La technologie d'hyperviseur temps réel à sûreté de fontionnement est la clé pour tout associer : le matériel à sécurité fonctionnelle, des machines virtuelles de type 1 fonctionnellement sécurisées, des systèmes d'exploitation également à sûreté de fonctionnement et des domaines non sûrs exécutant des systèmes d'exploitation polyvalents. En fin de compte, les ingénieurs d'application n'ont plus qu'à s'occuper de leur partie applicative critique pour la sûreté pour obtenir la certification de sécurité fonctionnelle. La partie non sécurisée du bundle, en revanche, peut être modifiée et mise à jour selon les besoins sans affecter les parties fonctionnellement sûres, et ce en utilisant des technologies x86 standard. »

L’hyperviseur RTS Safe est conçu comme un hyperviseur temps réel de type 1, ce qui évite d'ajouter de la latence au système d'exploitation "safe". Le système d'exploitation de son côté a un accès direct et exclusif aux ressources matérielles qui lui sont allouées. La communication entre les différentes applications et processus à criticité mixte est assurée par une mémoire partagée fonctionnellement sûre et/ou des canaux Ethernet virtuels.

L'hyperviseur prend en charge la technologie Intel Safety Island intégrée dans certains processeurs Intel Atom x6000E ainsi que la logique de sécurité externe pour les processeurs Intel Core et Xeon. Au moins deux cœurs sont nécessaires pour déployer le nouvel hyperviseur fonctionnellement sûr, en plus du “pass-through” PCIe vers des périphériques exclusivement attribués.

Dans l’approche de RTS, il n'est pas nécessaire de compiler ou de reconstruire le logiciel de l'hyperviseur à chaque fois, car la configuration est écrite dans un fichier en texte brut. Les utilisateurs décident si l'hyperviseur et le système d'exploitation sûr sont verrouillés dans le micrologiciel ou chargés de manière sécurisée à partir de périphériques de stockage tels que des souis-systèmes eMMC. Les implantations du système d'exploitation Linux non sûres sur des machines virtuelles peuvent être déployées et modifiées par les OEM selon les besoins.

Pour rappel, parmi les applications critiques mixtes typiques, on compte des solutions complètes qui s'exécutent sur une plate-forme de traitement embarquée unique et qui associent des fonctions de contrôle temps réel à sûreté de fonctionnement et des applications non critiques, telles que des interfaces graphiques, une logique IA ou des systèmes de vision. Les équipementiers utilisant ce type de plates-formes bénéficient ainsi d'économies de coûts grâce à un nombre réduit de composants, ce qui se traduit par une amélioration du temps moyen entre pannes (MTBF) par rapport aux installations multisystèmes. Avec l’avantage sous-jacent que les ingénieurs peuvent gérer des applications critiques et non critiques sur une seule puce ou un seul matériel, ce qui facilite l'ingénierie et les tests d'applications et l'échange de données entre ces applications.

Les marchés cibles de l’hyperviseur RTS Safe sont la robotique collaborative, l'automatisation industrielle, les véhicules autonomes, les équipements médicaux, les machines de construction et agricoles et le transport ferroviaire.

Les certifications cibles incluent la norme de base CEI 61508 pour les systèmes embarqués à sûreté de fonctionnement (pour tous les niveaux SIL) ainsi que l’ISO 13849 pour la sécurité des machines, la CEI 62304 pour les logiciels de dispositifs médicaux (jusqu'à la classe C) et l’EN 50128 pour le ferroviaire (jusqu'au niveau SIL4). Enfin, les certifications de cybersécurité telles que CEI 62443‑4 pour les systèmes d'automatisation et de contrôle industriels seront également couvertes.