Die aus der Computertechnik bekannten Multi-Core-Architekturen (Computerchips mit mehreren Kernen) werden mittlerweile zunehmend auch in eingebetteten Systemen eingesetzt. Sie sind Voraussetzung für die weitere Leistungssteigerung bei geringem Energieverbrauch und bieten dabei vielfältige Möglichkeiten der Trennung von Systemfunktionen auf unterschiedlichen Rechenkernen (Cores). Allerdings stellen sie auch besondere Herausforderungen an die Charakterisierung und die Zertifizierung von eingebetteten Systemen. Ideal wäre eine modulare Zertifizierung die es erlaubt, Zertifizierungsschritte wiederzuverwenden, wenn größere Systeme auf Multi-Core-Architekturen integriert werden. Damit ließen sich Kosten und Zeit einsparen.
Das ARTEMIS-Projekt RECOMP (Reduced Certification Costs for Trusted Multi-core Platforms) zielt auf Methoden, Tools und Plattformen für eine kosteneffiziente Zertifizierung von sicherheitsrelevanten Systemen, die Multi-Core Architekturen nutzen. Ein Schwerpunkt liegt dabei auf Systemen mit unterschiedlich sicherheitskritischen Funktionen, wie sie etwa in der Automobiltechnik auftreten, wo von Bremsen oder Airbags über die Motorsteuerung bis zur Unterhaltungselektronik sehr unterschiedliche Anforderungen in einem System zusammenkommen. Ähnliche Beispiele finden sich in Flugzeugen, in der Medizintechnik oder der Industrieelektronik. Eine völlige Trennung dieser Funktionen, wie bisher üblich, ist aus technischen und ökonomischen Gründen nicht mehr sinnvoll.
Zwei wesentliche Erkenntnisse haben zur Bildung des RECOMP-Konsortiums geführt. Zum einen sollte die gesamte Kette von Zulieferer und Integratoren einbezogen werden, um eine wirkungsvolle Innovation zu erreichen. So sind führende Hersteller von Flugzeugen, Fahrzeugen, oder Industriesystemen ebenso vertreten, wie deren Steuergeräte-Zulieferer, und wiederum deren zuliefernde Software und Halbleiterhersteller (Infineon und Intel). Zum zweiten hängen die Anwendungen über gemeinsam verwendete Halbleiter, Software und Integrationstechniken zusammen. Bei solchen Abhängigkeiten sind einheitliche Techniken und Standards ein wichtiges Mittel, um das Entwurfsrisiko zu reduzieren und Investitionssicherheit zu erreichen. Daher sind Zertifizierer, wie der TÜV Süd (u.a. Automobil- oder Industrietechnik) und die Fa. SYSGO (Avionik), als Partner in RECOMP eingebunden, wo sie eine zentrale Rolle bei der frühzeitigen Sicherstellung der Zertifizierbarkeit spielen. Schließlich bringen Forschungspartner führende Kompetenz in das Konsortium ein.
Insgesamt sind 42 europäische Partnerfirmen und Institute an RECOMP beteiligt. Durch den Fokus auf die effiziente Realisierung der neuartigen Multi-Core-Architekturen bietet RECOMP die einmalige Chance, Europa auf diesem wichtigen Gebiet von Anfang an in eine Führungsposition zu bringen und entsprechende Weltstandards zu definieren.
Die Technische Universität Braunschweig, Institut für Datentechnik und Kommunikationssysteme, hat eine wichtige Funktion in RECOMP. Sie koordiniert das deutsche Konsortium innerhalb von RECOMP und leitet das zentrale und größte Arbeitspaket, welches die Ausarbeitung der Hardware- und Softwaredetails der Multi-Core-Architektur zum Ziel hat. Die Hardware liefern die Halbleiter-Firmen Infineon und Intel. Eine weitere, forschungsorientierte Computerarchitektur wird von der TU Braunschweig bereitgestellt. Die Software besteht aus verschiedenen Anteilen. Die Betriebssysteme (entsprechend dem Windows-System beim PC), sind in den verschiedenen Industriesparten unterschiedlich und müssen stark angepasst werden. Hier arbeiten führende europäische Betriebssystemanbieter aus den Bereichen Automobil, Flugzeugtechnik, Raumfahrt, Medizin- und Industrietechnik an ähnlichen Konzepten, um gemeinsame Standards zu entwickeln. Die Anwendungssoftware wird von den Systemherstellern, also von Flugzeug- oder Fahrzeugherstellern, Aufzugfirmen und anderen, angepasst.
Über allem steht die Idee, die Sicherheit und Zuverlässigkeit der Systeme durch eine formale Zertifizierung garantieren zu können. Diese Zertifizierung ist teuer und langwierig und muss heute für jedes System und jede größere Änderung einzeln wiederholt werden. Gerade bei Multi-Core-Architekturen ist das besonders aufwendig. Daher soll RECOMP eine neue Technologie entwickeln, bei der eine Zertifizierung in Module zerlegt wird, die dann wie Bausteine zusammengestellt werden. Ein solches Vorgehen stellt extreme Anforderungen an die Trennung der Funktionen, die sich nicht in ihrer Funktion beeinflussen dürfen. Dass dies schwierig ist, wird klar, wenn man bedenkt, dass die Softwarefunktionen trotz mehrer Prozessorkerne immer noch auf einem Chip laufen. Dies muss im Entwurf sichergestellt werden, und es muss nachweisbar sein. Hier helfen Softwarewerkzeuge einen mathematisch fundierten Nachweis zu führen. Die Braunschweiger Firma Symtavision, ein Spin-Off der TU Braunschweig, ist ein wichtiger Anbieter solcher Werkzeuge und Partner in RECOMP.
Die Entwicklung der Zertifizierung leitet der TÜV Süd, der im Bereich der Softwarezertifizierung eine weltweite Führungsposition inne hat. Dadurch wird sichergestellt, dass die erarbeiteten Verfahren den gängigen Sicherheitsnormen entsprechen und eingesetzt werden können.
Das Projekt läuft über 3 Jahre und hat einen Gesamtumfang von 26 Mio €.
Vorarbeiten an der TU Braunschweig stammen unter anderem aus dem Projekt AIS, in dem mit Unterstützung von Halbleiterfirmen und dem BmBF Verfahren für zuverlässige Multi-Core-Systeme entwickelt wurden. (Siehe BMBF Pressemittelung)
Weitere Informationen zum RECOMP-Projekt können auf der Projekt-Homepage gefunden werden.
Das RECOMP-Projekt wird vom Bundesministerium für Bildung und Forschung (BMBF) unter dem Förderkennzeichen 01IS10001A sowie dem ARTEMIS Joint Undertaking gefördert.
Philip Axer
Boris Motruk
Maurice Sebastian
Jonas Diemer