
Les blocs d’IP d’UltraSoC instillent la sûreté de fonctionnement dans les puces-systèmes multicœurs [EDITION ABONNES] Le britannique UltraSoC, qui s’est fait un nom sur le marché des IP d’instrumentation, de débogage et d’analyse de traces pour puces-systèmes SoC, a développé sous le nom d’UltraSoC Lockstep Monitor une solution matérielle et échelonnable permettant d’instiller de la sûreté fonctionnelle directement dans les circuits multicœurs. ...L’idée étant de vérifier que les cœurs intégrés dans un processeur ayant vocation à être implanté au sein d’un système critique (comme ceux que l’on peut trouver dans une automobile) fonctionnent de façon à la fois fiable, sûre et sécurisée. Les blocs d’IP qui constituent la solution sont présentés comme compatibles avec toutes les architectures traditionnelles de redondance fonctionnelle (lockstep), y compris la redondance fonctionnelle complète à deux unités de traitement identiques, le mode split-lock (à l’instar du mode mis en œuvre par Arm dans le processeur d’application Cortex-A76AE qui permet d’engager et de désengager dynamiquement la fonction lockstep), le mode master/checker, et les structures à vote appliquées à un nombre quelconque de cœurs ou de sous-systèmes. Selon le Britannique, l’UltraSoC Lockstep Monitor est, de plus, adaptable à n’importe quel type d’architecture de processeur (et notamment l’architecture open source RISC-V qui ne dispose pas en natif de la prise en charge de configurations lockstep) ainsi qu'à d’autres sous-systèmes embarqués dans un SoC comme la logique personnalisée ou des accélérateurs. On rappellera que le fonctionnement en mode lockstep est requis par un certain nombre de standards de sûreté fonctionnelle comme l’ISO 26262 dans l’automobile, la norme CEI 61508 dans l’industriel, etc. Des marchés que certains fournisseurs de processeurs à coeurs RISC-V ont aujourd'hui en ligne de mire. Dans la pratique, les blocs d’IP, configurables en fonction des protocoles usités, qui constituent la solution UltraSoC Lockstep Monitor peuvent être mis en œuvre pour vérifier les signaux de sortie, les transactions de bus, l’exécution du code et même les états de registre entre au moins deux systèmes redondants. Comme ils sont implantés au niveau matériel, ces blocs d’IP ne génèrent pas de latence et n’impose aucune charge de travail supplémentaire sur le système hôte, assure UltraSoC. Par ailleurs la solution du Britannique permet au concepteur de la puce-système de calibrer la surveillance de la sûreté de fonctionnement (et la réponse système) aux exigences précises de l’application, ajoute la société. La surveillance peut ainsi être implémentée à différents niveaux de granularité, au niveau sous-système (en comparant les signaux de sortie de deux processeurs), au niveau transaction (en comparant le trafic sur les bus), au niveau instruction (en utilisant les fonctions de trace d’instructions fournies par UltraSoC) ou au niveau matériel le plus fondamental (en vérifiant les états internes du processeur ou les contenus des registres).

Les blocs d’IP d’UltraSoC instillent la sûreté de fonctionnement dans les puces-systèmes multicœurs

[EDITION ABONNES] Le britannique UltraSoC, qui s’est fait un nom sur le marché des IP d’instrumentation, de débogage et d’analyse de traces pour puces-systèmes SoC, a développé sous le nom d’UltraSoC Lockstep Monitor une solution matérielle et échelonnable permettant d’instiller de la sûreté fonctionnelle directement dans les circuits multicœurs. ...L’idée étant de vérifier que les cœurs intégrés dans un processeur ayant vocation à être implanté au sein d’un système critique (comme ceux que l’on peut trouver dans une automobile) fonctionnent de façon à la fois fiable, sûre et sécurisée.

Les blocs d’IP qui constituent la solution sont présentés comme compatibles avec toutes les architectures traditionnelles de redondance fonctionnelle (lockstep), y compris la redondance fonctionnelle complète à deux unités de traitement identiques, le mode split-lock (à l’instar du mode mis en œuvre par Arm dans le processeur d’application Cortex-A76AE qui permet d’engager et de désengager dynamiquement la fonction lockstep), le mode master/checker, et les structures à vote appliquées à un nombre quelconque de cœurs ou de sous-systèmes.

Selon le Britannique, l’UltraSoC Lockstep Monitor est, de plus, adaptable à n’importe quel type d’architecture de processeur (et notamment l’architecture open source RISC-V qui ne dispose pas en natif de la prise en charge de configurations lockstep) ainsi qu'à d’autres sous-systèmes embarqués dans un SoC comme la logique personnalisée ou des accélérateurs. On rappellera que le fonctionnement en mode lockstep est requis par un certain nombre de standards de sûreté fonctionnelle comme l’ISO 26262 dans l’automobile, la norme CEI 61508 dans l’industriel, etc. Des marchés que certains fournisseurs de processeurs à coeurs RISC-V ont aujourd'hui en ligne de mire.

Dans la pratique, les blocs d’IP, configurables en fonction des protocoles usités, qui constituent la solution UltraSoC Lockstep Monitor peuvent être mis en œuvre pour vérifier les signaux de sortie, les transactions de bus, l’exécution du code et même les états de registre entre au moins deux systèmes redondants. Comme ils sont implantés au niveau matériel, ces blocs d’IP ne génèrent pas de latence et n’impose aucune charge de travail supplémentaire sur le système hôte, assure UltraSoC.

Par ailleurs la solution du Britannique permet au concepteur de la puce-système de calibrer la surveillance de la sûreté de fonctionnement (et la réponse système) aux exigences précises de l’application, ajoute la société. La surveillance peut ainsi être implémentée à différents niveaux de granularité, au niveau sous-système (en comparant les signaux de sortie de deux processeurs), au niveau transaction (en comparant le trafic sur les bus), au niveau instruction (en utilisant les fonctions de trace d’instructions fournies par UltraSoC) ou au niveau matériel le plus fondamental (en vérifiant les états internes du processeur ou les contenus des registres).