1 http://www.danfoss.com/



Relaterede dokumenter
Valg af Automationsplatform

PEMS RDE Workshop. AVL M.O.V.E Integrative Mobile Vehicle Evaluation

GNSS/INS Product Design Cycle. Taking into account MEMS-based IMU sensors

Basic statistics for experimental medical researchers

VMware og dopsys-linux

What s Our Current Position? Uddannelsesstruktur i AUE. What Can You Choose After DE5? Uddannelsesstruktur i AUE

MSE PRESENTATION 2. Presented by Srunokshi.Kaniyur.Prema. Neelakantan Major Professor Dr. Torben Amtoft

Dell Cloud Client Computing Hvordan virtualisere vi de tunge grafisk applikationer?

Differential Evolution (DE) "Biologically-inspired computing", T. Krink, EVALife Group, Univ. of Aarhus, Denmark

DANSK DANish helpdesk

Project Step 7. Behavioral modeling of a dual ported register set. 1/8/ L11 Project Step 5 Copyright Joanne DeGroat, ECE, OSU 1

Information Meeting for DE5 and DE3 Further Study Possibilities

Opera Ins. Model: MI5722 Product Name: Pure Sine Wave Inverter 1000W 12VDC/230 30A Solar Regulator

HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact

MJB-A. Posefilter. Egnet til explosivt støv Metode for filterrensning

X M Y. What is mediation? Mediation analysis an introduction. Definition

Maneurop reciprocating compressors

IBM Network Station Manager. esuite 1.5 / NSM Integration. IBM Network Computer Division. tdc - 02/08/99 lotusnsm.prz Page 1

Black Jack --- Review. Spring 2012

Constant Terminal Voltage. Industry Workshop 1 st November 2013

Vore IIoT fokus områder

Projektledelse i praksis

MJB-G. Posefilter. Egnet til explosivt støv Metode for filterrensning

ATEX direktivet. Vedligeholdelse af ATEX certifikater mv. Steen Christensen

TDC 4 Indoor voltage transformers

Linear Programming ١ C H A P T E R 2

Measuring Evolution of Populations

l i n d a b presentation CMD 07 Business area Ventilation

Lovkrav vs. udvikling af sundhedsapps

ECE 551: Digital System * Design & Synthesis Lecture Set 5

Sikkerhedsvejledning

Hudevad P200. Technical datasheet

Gusset Plate Connections in Tension

Cooperation between LEADER groups and fisheries groups (FLAGS) René Kusier, National Network Unit, Denmark Focus group 3, Estonia February 2010

Strategic Business Area. LINAK og vores rejse ind i AUTOMOTIVE krav og regulativer

Cloud computing. Hvad er fordelene ved Microsoft løsninger - og hvad er begrænsningerne

PARALLELIZATION OF ATTILA SIMULATOR WITH OPENMP MIGUEL ÁNGEL MARTÍNEZ DEL AMOR MINIPROJECT OF TDT24 NTNU

NYC Reservoir System Current Operations December 14, 2010

Embedded Software Memory Size Estimation using COSMIC: A Case Study

Resource types R 1 1, R 2 2,..., R m CPU cycles, memory space, files, I/O devices Each resource type R i has W i instances.

KALK- OG TEGLVÆRKSFORENINGEN. CPR Sustainable Construction

Procuring sustainable refurbishment

Status of & Budget Presentation. December 11, 2018

Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov.

Sikkerhed & Revision 2013

Studieordning del 3,

Evaluating Germplasm for Resistance to Reniform Nematode. D. B. Weaver and K. S. Lawrence Auburn University

Challenges for the Future Greater Helsinki - North-European Metropolis

4. Oktober 2011 EWIS

Hudevad P5 Easy Clean

CHAPTER 8: USING OBJECTS

Maskindirektivet og Remote Access. Arbejdstilsynet Dau konference 2015 Arbejdsmiljøfagligt Center Erik Lund Lauridsen

Totally Integrated Automation. Totally Integrated Automation sætter standarden for produktivitet.

Dagens program. Domæner. change log- screen shots hver gang I har arbejdet med themet. Arkitekturen bag en wp blog. Hvad er widgets.

Hvor er mine runde hjørner?

CONNECTING PEOPLE AUTOMATION & IT

Elektriske apparater til husholdningsbrug o.l. Sikkerhed Del 1: Generelle krav

Informationsteknologi Kodning af av-objekter Del 4: Overensstemmelsesprøvning

FSC Online Claims Platform. Workshop om CoC byrden

En god Facebook historie Uddannelser og valgfag målrettet datacenterindustrien!?

Molio specifications, development and challenges. ICIS DA 2019 Portland, Kim Streuli, Molio,

LUL s Flower Power Vest dansk version

Den uddannede har viden om: Den uddannede kan:

The Urban Turn i en dansk kontekst. Høgni Kalsø Hansen Institut for geografi & geologi, KU

Small Autonomous Devices in civil Engineering. Uses and requirements. By Peter H. Møller Rambøll

Erhvervsleder i Praktik og IBM

Handling Sporadic Tasks in Off- Line Scheduled Distributed Real Time Systems

Help / Hjælp

UNISONIC TECHNOLOGIES CO.,

To set new standards of lifting and transportation equipment for wind turbine components. Our product groups

Tilmelding sker via stads selvbetjening indenfor annonceret tilmeldingsperiode, som du kan se på Studieadministrationens hjemmeside

Forslag til implementering af ResearcherID og ORCID på SCIENCE

From innovation to market

Øjnene, der ser. - sanseintegration eller ADHD. Professionshøjskolen UCC, Psykomotorikuddannelsen

FAST FORRETNINGSSTED FAST FORRETNINGSSTED I DANSK PRAKSIS

ESG reporting meeting investors needs

CONNECTING PEOPLE AUTOMATION & IT

Maskinsikkerhed Risikovurdering Del 2: Praktisk vejledning og metodeeksempler

Filtering on Wires Cable Ferrites, Usage & Comparison Alex Snijder Field Application Engineer Wurth Elektronik Nederland B.V.

Benefits of Integrated System Design for complex FPGAs

Projekt DATA step view

A Profile for Safety Critical Java

WINDCHILL THE NEXT STEPS

Brug sømbrættet til at lave sjove figurer. Lav fx: Få de andre til at gætte, hvad du har lavet. Use the nail board to make funny shapes.

Virtualisering, Cloud Computing og OPC UA i automationssammenhæng - hvad er de reelle use cases?

extreme Programming Kunders og udvikleres menneskerettigheder

Microservices. Hvad er det og hvordan kommer du i gang?

Automatisk Branddetekterings- og Alarm-system Automatic Fire Detection and Alarm System

Copyright SaaS-it Consult Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13.

Applications. Computational Linguistics: Jordan Boyd-Graber University of Maryland RL FOR MACHINE TRANSLATION. Slides adapted from Phillip Koehn

On the complexity of drawing trees nicely: corrigendum

Modtageklasser i Tønder Kommune

Children s velomobility how cycling children are made and sustained

Engelsk. Niveau D. De Merkantile Erhvervsuddannelser September Casebaseret eksamen. og

Torsdag 5. oktober 2017 Hal F DIGITALISERINGSKONFERENCE

Komplet køreklar 6000 W Solcelle anlæg. Kr ,- inkl. moms

Cookie-reglerne set fra myndighedsside Dansk Forum for IT-ret 5. november 2012

Ribe Amts forslag til EPJ-arkitektur

Trolling Master Bornholm 2012

Komplet køreklar 3000 W Solcelle anlæg. Kr ,- inkl. moms

Transkript:

Abstract With rapid industrial development, safety-critical control applications are increasing in size and complexity. This has resulted in serious challenges for the development of a safety-critical system. E.g., nowadays applications usually have a set of components with different safety integrity levels (SIL). The certification cost of each component is in the direct proportion to its SIL. In order to integrate such applications into one platform, all components have to be certified to the highest SIL, if no sufficient isolation is provided between each other. Consequently, it increases the total certification cost. Meanwhile, hardware platforms with improved processing power are required to execute the applications of larger size. To tackle the two issues mentioned above, the state of the art approaches are using more Electronic Control Units (ECU) in a federated architecture or increasing the frequency of a processor. In a typical federated architecture, each component of a specific SIL can be allocated on a dedicated ECU, and thus is isolated from components on other ECUs. However, using more ECUs has weaknesses such as error-prone inter-processor (off-chip) connections, large hardware weight and size, and high power consumption. Increasing the frequency of a processor is becoming painful now due to the explosive power consumption. Furthermore, components integrated into a single-core processor have to be certified to the highest SIL, due to that no isolation is provided in a traditional single-core processor. A promising alternative to improve processing power and provide isolation is to adopt a multi-core architecture with on-chip isolation. In general, a specific multicore architecture can facilitate the development and certification of safetyrelated systems, due to its physical isolation between cores, low power consumption, on-chip interconnection and natural support to on-chip hardware diversity and redundancy at the inter-core level.

The objective of this dissertation is to propose a multi-core system architecture for safety-critical control applications with reduced certification cost. Partitioning architecture is definitely employed to provide sufficient temporal and spatial isolation between components with different SILs in the multi-core architecture, aiming to support modular certification. It prevents failure propagation between isolated components. The dissertation focuses on partitioning design of both multi-core hardware and software architectures, in order to minimize efforts and cost of system certification at the integration time. Hardware architecture design concentrates on a firmware architecture on SoC platforms, providing separated hardware execution environments for the software executing on top. Software architecture design concentrates on software multi-core architectures, a multi-core real-time separation kernel and a paravirtualized hypervisor (trusted computing base). From a safety point of view, the multi-core system architecture shall be simple and certifiable, besides provide isolation between its hosted components. The isolation is a good base to implement safety patterns such as redundancy, diagnostics and diversity. A separation kernel HARTEX safety and a paravirtualized hypervisor RodosViso sc are proposed to provide isolation mechanisms for small fine-gained applications and large coarse-grained applications respectively. The HARTEX safety is extended from a single-processor real-time kernel HARTEX, aiming to enable isolation at the task level and support multi-core platforms. The RodosVisor sc is a paravirtualized version from a full virtualization hypervisor RodosVisor, targeting minimized code size, overhead and complexity. It provides isolation between its hosting virtual machines (e.g., generalpurpose operating systems, real-time kernels or bare-metal applications). The proposed multi-core hardware and software architectures are evaluated by the ARTEMIS project RECOMP (Reduced Certification Cost for Trusted Multi-Core Platforms) which this PhD project is a part of, and are tested by a case study (Safe Stop Demonstrator) provided by a local company Danfoss Drives 1. 1 http://www.danfoss.com/

Resumé Med den hurtige udvikling i industrielle produkter, så forøges også størrelsen og kompleksiteten af sikkerhedskritiske kontrolsystemer. Dette har ført med sig alvorlige udfordringer for udviklingsprocessen for sikkerhedskritiske systemer. Nu til dags består softwareapplikationer af et sæt af komponenter med forskellige sikkerhedsintegretitetsniveauer forkortet (SIL( Safety Integrity Levels)). Certifikationsomkostningen for hver komponent er direkte proportional med dens SIL. Hvis et sæt af komponenter skal implementeres på en platform, så skal alle komponenterne certificeres til den højeste SIL af de indgående komponenter, hvis der ikke findes nogen isoleringsmekanisme mellem komponenterne. Resultat er forøgede omkostninger til certificering. Samtidig kræves der stadigt kraftigere hardware-platforme til at afvikle de stadigt større softwareapplikationer. For at håndtere disse to ovennævnte problemer, så er den fremherskende tilgang enten at forøge processortakten ( clockfrekvensen) i en enkelt central processeringsenhed eller bruge flere beregningsenheder, de såkaldte ECUere ( ECU - Electronic Control Unit), i en distribueret arkitektur. Men svagheden ved at bruge flere ECUere er, at der skal bruges potentielt fejlbare forbindelser mellem dem, hardware af forøget størrelse med deraf følgende højere vægt, derudover følger også højere strømforbrug. Forøgelsen af processortakten er blevet smertelig, fordi den leder til et eksplosivt stigende strømforbrug. Ydermere skal alle komponeænter implementeret på en enkeltkerneprocessor certificeres til det højeste SIL af de indgående komponenter, fordi der ikke findes isoleringsmekanismer på en standard enkeltkerne-processor. Et lovende alternativ til at forbedre beregningskraften og indføre isolering af komponenter er at anvende flerkerne-processorarkitektur med indbygget isoleringsmekanisme på chippen. Helt generelt, så kan en specifik multikernearkitektur understøtte udviklingen og certificeringen af sikkerhedskritiske

systemer på grund af den indbyggede isolering mellem kernerne, det lave strømforbrug, de indbyggede forbindelser mellem kernerne, og den iboende hardware diversitet, redundans og systemopdeling på inter-kerne niveauet. Opgaven for denne afhandling er at foreslå og frembringe en flerkerne systemarkitektur for sikkerhedskritiske kontrolapplikationer med reducerede certificeringsomkostninger. Opdelingsarkitekturprincipper er ganske afgjort anvendt for at sørge for tilstrækkelig tidsmæssig og pladsmæssig adskillelse mellem komponenter med forskellige sikkerhedskritiske niveauer ( SILs) i flerkerne-arkitekturen. Formålet er at understøtte en modulær certificeringsproces. Opdelingsarkitekturen forebygger fejludbredelse mellem de isolerede komponenter. Denne afhandling fokuserer på partitioneringsdesign (isolationsdesign) af både flerkerne hardware og softwarearkitekturer med det formål at minimere certificeringsarbejdet og certificeringsomkostningen ved systemintegrationen. Hardwarearkitektur-designet fokuserer på firmware arkitekturer på SOC ( system-on-chip) platforme. Med firmware menes her hardwarenær konfigurering og hardwareudlæg samt datastrømshåndtering i hardwaren. Målet er at tilvejebringe et eksekveringsmiljø for softwareapplikationer på platformen. Softwarearkitekturdesign fokuserer på software for flerkernearkitekturer, et separationsunderstøttende flerkerne realtids-operativsystem samt en paravirtualiseret hypervisor (et lavtliggende softwarelag, som muliggør samtidig tilstedeværelse af flere operativsystemer på en platform). Fra et sikerhedskritisk sysnpunkt, så skal flerkernearkitekturen være enkel og certificerbar, foruden at den sørger for isolering mellem de komponenter, som eksekveres på den. Isolationen er et godt udgangspunkt for at implementere sikkerhedskritiske udviklingsmønstre (patterns) såsom redundans, diagnostificering og diversitet defineret i den sikkerhedskritiske standard IEC 61508. En separationsoperativssystemkerne HARTEX safety og en paravirtualiseret hypervisor RodosVisor sc er kandidater til at sørge for isolationsmekanismer for respektive finkornede og grovkornede applikationer. HARTEX safety er en videreudvikling af den enkelt-kernede realtidsoperativsystemkerne HAR- TEX. Formålet med denne er at understøtte isolation på trådniveau (en tråd

er en programafvikling) og at understøtte flerkerne-arkitekturplatforme. RodosVisor sc er en paravirtualiseret version af hypervisoren RodosVisor, som er en fuld virtualisering af platformen (paravirtualisering er virtualisering af en delmængde af platformsfunktionaliteten). Formålet er at sørge for isolation mellem de virtuelle maskiner, som er anbragt på platformen (det være sig almindelige operativsystemer, realtidskerneoperativsystemer eller programmer, som kører direkte på hardwaren uden mellemled). De frembragte flerkerne hardware- og softwarearkitekturer er blevet evalueret i ARTEMIS-projektet RECOMP( REduced Certification Cost for trusted Multi-core Platforms), som dette Ph.D.projekt er en del af. De er blevet testet i en demonstrationsopstilling udgivet af Danfoss Drives (nu en del af Danfoss Power Electronics)

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback