:quality(80)/p7i.vogel.de/wcms/65/46/654669f191c36807b0b9220d4d1dc17c/0105202171.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/p7i.vogel.de/wcms/16/2b/162b2abbd1b852a9f3f478d6c6fbdede/78352155.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927700/1927780/original.jpg "Eine Plattform für Trendtechnologien der Zukunft: Die World of QUANTUM bringt ein umfassendes Vortragsprogramm und vielfältige Ausstellungsformate zusammen . (Entwurf, designed by meplan.)")
:quality(80)/images.vogel.de/vogelonline/bdb/1715400/1715459/original.jpg "Linux-Systemanalyse und Debug mit dem Tool gdb: Wer Systemfehlern auf den Grund gehen und sie effizient beheben möchte, ist bei dem Seminar Diagnose von Linux bestens aufgehoben. (GDB Command: Info locals / Linux Screenshots / CC BY 2.0)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/6a/2f/6a2f167401f10f18afdc55b0e90536f9/0109274310.jpeg "Prototyp eines RISC-V Mikroprozessors aus dem Jahr 2013 (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c7/ed/c7ed9c9c90ff814c2297ae8792ac8f6c/0106348259.jpeg "Die kostenfreie ASE-Webkonferenz wird unterstützt von den Unternehmen CODESYC (Sponsor und Referent), Embedded Ocean, Fraunhofer IPT und Siemens (Referenten). (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/f9/5f/f95fcd042af077dc3d66899dc2816e29/0109937725.jpeg "Erhöhte Sicherheit: Security-fokussierte Programmiersprache Rust nun für PikeOS nutzbar (Bild: SYSGO)")
:quality(80)/p7i.vogel.de/wcms/0c/98/0c98fa23317081660e4be5a56e30886f/0109715215.jpeg "Zephyr: Das ist der Name einer griechischen Windgottheit. Dies inspirierte die Promotoren des gleichnamigen RTOS vermutlich dazu, einen Kinderdrachen im Logo zu verwenden. (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/ca/a0/caa05b9965bf706d74a5eb9747d6b2da/0110637610.jpeg "MOSA-Ziele konzentrieren sich darauf, offene Standards und modulare Komponenten zu verwenden, um die Entwicklungskosten zu reduzieren und die Flexibilität von Systemen zu erhöhen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b3/cc/b3ccb847bc3443385fc70791c893c6bf/0110497279.jpeg "Nadine Riederer ist CEO bei Avision. (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/0d/7b/0d7b02fd345ba7ee9b56a483f4b7fb71/0109539496.jpeg "Beides, Glück und Autonomie, brauchen Zeit. So, wie manch melancholischer Teenager die Mühsal der Jugendzeit ausleben muss, gibt es auch für die Autonomie keine schnellen „Wunderlösungen“. (Bild: Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/90/c2/90c20fe3ae6c5c4993c81d5649dc3b5b/0107641254.jpeg "In diesem Artike klärt Rainer Grimm Sie über Fakten der der C++-Programmierung auf. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f8/d0/f8d02766962e82673ccb687468afb87f/0110191797.jpeg "Kein Rätselraten: Eine intelligente Testausführung auf der Ebene der Entwickler und Tester in deren lokalen IDEs ist von entscheidender Bedeutung. (Bild: Jim Barber)")
:quality(80)/p7i.vogel.de/wcms/c3/4f/c34f53bd7509eaf314dc05c003c1c88e/0109159876.jpeg "Systematische Reviews können dabei helfen, die Grundlage für systematische und sinnvolle Verbesserrungen zu schaffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/db/0d/db0d1459248df14128a1fefbe1905bc3/0108765316.jpeg "Mithilfe der QNX-AWS-Cloud-Lösung sollen Entwickler Code, der später in ihren Embedded-Produkten zum Einsatz kommt, in all seinen Varianten testen können, ohne dass sie dafür Hardware benötigen. (Bild: Blackberry)")
:quality(80)/p7i.vogel.de/wcms/eb/a7/eba7fc29ca187ddbb9fb47428f7d3b1f/0108241972.jpeg "Ziel von Cyberattacken ist es, Schwachstellen in Software zu finden, durch die unbeabsichtigtes Verhalten ausgelöst werden kann. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a5/4f/a54f9c3d047ed21eb790b84ddbec5788/0106777020.jpeg "(Bild: Copyright Gesamtbild: Wibu-Systems; Copyright Schlange: iStock, Serhii Yakovliev)")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/df/de/dfde99db2fd6a284729aa7388502f129/0107037164.jpeg "Wenn der Preis wichtiger ist als Sicherheit: Es besteht ein Risiko für viele Firmen, sofern VPN und grundlegende Sicherheitsvorkehrungen im Homeoffice nicht obligatorisch sind. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/24/2e/242e280e4bd31499e2b8cfacbbd48a8b/0105611684.jpeg "Die Erweiterung der Compiler Suite soll das Entwickeln neuer Anwendungen für bestimmte Prozessoren im Automotive-Bereich vereinafchen. (Bild: NXP)")
Hypervisoren in Embedded-Systemen sicher und fehlerfrei einsetzen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/127800/127839/65.png "axivion_LOGO_600x600px.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
Virtualisierung und Hypervisoren rücken auch im Embedded-Bereich mehr in den Vordergrund. Eine große Herausforderung vor allem für Entwickler, die sich in einem sehr hardwarenahen Umfeld bewegen.
Virtualisierung an sich ist nichts Neues. Im PC- und Serverumfeld wird sie schon seit vielen Jahren erfolgreich eingesetzt. Im Bereich der Embedded- Systeme wurde dem Thema bislang allerdings relativ wenig Beachtung geschenkt. Nachdem mit den immer leistungsfähigeren Multicore-SoCs mittlerweile genügend Performance zur Verfügung steht, um verschiedene Applikationen und Betriebssysteme parallel betreiben zu können, zeichnet sich hier inzwischen aber eine Trendwende ab.
Für Virtualisierungen im Embedded-Bereich gibt es grob unterteilt zwei grundlegende Motivationen: die Trennung echtzeitkritischer von weniger zeitkritischen Anwendungen auf einer gemeinsamen Rechnerplattform und die Gewährleistung der Sicherheit. Hierbei geht es hauptsächlich darum, weniger sicherheitskritische Anwendungen von sicherheitskritischen Anwendungen zu trennen. Verständlicherweise ist gerade letzteres Thema mit größter Umsicht zu behandeln. Vorfälle wie der Chrysler-Hack aus dem Jahr 2015, bei dem Sicherheitsforscher über das Internet und eine Schwachstelle im Infotainment-System Zugriff auf so sicherheitskritische Fahrzeugsysteme wie die Bremse erhalten haben, führen eindrucksvoll vor Augen, dass eine strikte Kapselung von Funktionalität aus Sicherheitsgründen unabdingbar ist. Dies gilt nicht nur für Automotive-Systeme, sondern auch für andere stark vernetzte Anwendungen beispielsweise im IoT- oder SmartHome-Bereich
:quality(80)/p7i.vogel.de/wcms/cc/46/cc46ea74f92079565a676095b03d9f81/77495931.jpeg "Bild 1: Klassifikation der Hypervisor-Umgebungen. Beim Typ-1-Hypervisor gibt es keine Applikationen, die außerhalb der Hypervisor-Umgebung laufen.")
:quality(80)/p7i.vogel.de/wcms/cb/c5/cbc593ecc3f6617a953816238d082c92/0101796004.jpeg "Bild 2:
Cores der Virtuellen Maschinen werden durch den Hypervisor den physikalischen Cores zugeordnet. Die Zuordnung muss nicht immer 1:1 sein.")
:quality(80)/p7i.vogel.de/wcms/0c/e3/0ce379c5e138fe967d1183535836c2da/77493280.jpeg "Bild 3: Exception-Levels und Security-States der Armv8-A Architektur. Der Secure-Mode spielt im
Zusammenhang mit Virtualisierung während des Boot-Prozesses eine Rolle.")
:quality(80)/p7i.vogel.de/wcms/c7/49/c749d78c1e1e7838136fb6d38209b439/77493283.jpeg "Bild 4: Die Virtualisierung erfordert eine zweistufige Adressumrechnung, um eine strenge Separation der einzelnen VMs zu erreichen.")
Trennung der Systeme sorgt für mehr Sicherheit
Sollen mehrere Betriebssysteme – im nachfolgenden als Gastbetriebssysteme oder Gast bezeichnet – oder einzelne Bare-Metal-Anwendungen virtualisiert werden, benötigt man einen Hypervisor, der sich als Abstraktionsschicht über die reale Hardware, also die Prozessorkerne, die Speicher und nicht zuletzt die Peripherals schiebt. Dabei ist grundlegend zwischen Typ-1- und Typ-2- Hypervisoren zu unterscheiden (siehe Vergleich in Bild 1):
- Der Typ-1-Hypervisor setzt direkt auf der Hardware auf und wird aus diesem Grund auch Bare-Metal-Hypervisor genannt. Er benötigt kein separates Betriebssystem, muss aber folglich alle Treiber für die Hardware selbst bereitstellen.
- Beim Typ-2-Hypervisor wird ein Host-Betriebssystem benötigt, welches die Gerätetreiber bereitstellt. Zwar können bei dieser Variante neben dem Hypervisor auch Applikationen laufen. Für Embedded Systeme ist diese Variante aber eher uninteressant, weil man den Hypervisor so schlank wie möglich halten möchte und vor allem eine starke Separierung der einzelnen Gastbetriebssysteme oder Applikationen erreichen will.
Da wir uns auf Embedded Systeme fokussieren, konzentrieren wir uns im Weiteren also auf Funktion und Anwendung von Typ-1-Hypervisoren.
Grundlegende Aufgaben eines Typ-1-Hypervisors
Der Typ-1-Hypervisor übernimmt neben grundlegenden Betriebssystemaufgaben wie die Verwaltung der Hardware-Ressourcen vor allem die Zuordnung, welches Gastbetriebssystem innerhalb einer virtuellen Maschine (VM) auf welchen physischen Rechenkernen ausgeführt wird und wie deren Scheduling erfolgen soll. Die Gastbetriebssysteme sehen die physischen Cores nicht, vielmehr werden ihnen durch die jeweilige VM virtuelle Cores zur Verfügung gestellt. Dabei ist es nicht zwingend, dass die Gesamtzahl der virtuellen Cores mit der Anzahl physischer Cores übereinstimmen muss.
Mehrere Gastbetriebssysteme können sich durchaus einen oder mehrere physische Cores teilen. In diesem Fall muss der Hypervisor allerdings ein Scheduling durchführen. Jeder Gast bekommt eine Zeitspanne für die Abarbeitung auf den Cores zur Verfügung gestellt. Beim Wechsel des aktiven Gastbetriebssystems muss der Verarbeitungskontext, also Core-Register, Systemregister, Status der Interrupt-Abarbeitung, etc., gesichert und wiederhergestellt werden. Dies ist vergleichbar mit dem Taskwechsel in einem Betriebssystem.
Bei der Virtualisierung von Echtzeitbetriebssystemen werden die virtuellen den physischen Cores typischerweise statisch zugeordnet. Der Entwickler entscheidet also selbst, wie sich die Verarbeitungslasten der einzelnen Gastbetriebssysteme auf die Prozessorressourcen, sprich auf die Kerne, verteilen. Damit wird ein deterministisches Verhalten des Gesamtsystems garantiert. Ob die Echtzeitfähigkeit bezüglich des zuzusichernden Zeitverhaltens auch wirklich erreicht wird, ist zwar in großem Maße von der gewählten Zuordnung und Verteilung abhängig, hängt jedoch natürlich auch von der Performance der eingesetzten Prozessorplattform ab.
Die Aufteilung der Gastbetriebssysteme auf verschiedene Cores erfolgt zusammen mit weiteren Konfigurationsinformationen wie beispielsweise der Zuordnung, in welche physikalischen Speicherbereiche die Gastbetriebssysteme geladen werden sollen oder welche Peripherals ihnen zur Verfügung stehen und wird häufig fest in den Hypervisor einkompiliert bzw. gelinkt. Gleiches gilt auch für die Binaries der virtuellen Maschinen und die Gastbetriebssysteme. Zwar könnte dafür auch auf externe Files zurückgegriffen werden, die sich beispielsweise auf einem Massenspeicher oder auf einem Netzlaufwerk befinden. Doch so ein Vorgehen birgt natürlich immer auch ein gewisses Risiko hinsichtlich Integrität und Vertrauenswürdigkeit der zu ladenden virtuellen Maschinen. Wenn soweit alles geklappt hat, steht am Ende ein aus allen Gastbetriebssystemen und dem Hypervisor bestehendes monolithisches Binary bereit, um vom Bootloader in den Speicher des Zielsystems geladen und letztendlich gestartet zu werden.
Betrieb nicht ohne geeigneter Hardware
Für eine wirklich sichere Abgrenzung der Gastbetriebssysteme muss der Hypervisor freilich auf einige wichtige Hardwarefunktionen des Zielprozessors zurückgreifen können. Schauen wir uns diese zwingend erforderlichen Features am konkreten Beispiel eines ARM Coretx-A53 einmal näher an. Dieses SoC bietet mit seinen bis zu vier Armv8-A Cores nicht nur die nötige Rechenleistung; der auf dem Chip integrierte Hardware Virtualization Support stellt gleichzeitig auch alle notwendigen Hardwarefunktionen für den Hypervisor zur Verfügung:
- vier Exception Levels (EL0 bis EL3), wobei einer (EL2) explizit dem Hypervisor vorbehalten ist
- eine Memory Management Unit (MMU) mit zweistufiger Adressumrechnung
- Unterstützung für Device Emulation
- exklusive Zuweisung von physischen Devices zu einer bestimmten virtuellen Maschine
- Weiterleitung von Exceptions und virtuelle Interrupts
Die Exception Level der Armv8-A Architektur legen die Privilegierung der aktuellen Software-Ausführung fest. Je höher das Exception Level, desto höher privilegiert ist die Ausführung. Konsequenterweise sieht die Armv8-A Architektur deshalb für den Hypervisor einen eigenen Exception Level (EL2) vor, um ihn sicher von den Gastbetriebssystemen (EL1 und EL0) zu separieren.
Damit die Gastbetriebssysteme den physikalischen Speicher des Cortex-A53 nutzen können, ohne sich der Existenz des Hypervisors bewusst zu sein und ohne unerlaubt auf dessen Speicher zuzugreifen, ist eine zweistufige Adressumrechnung in Form einer MMU implementiert. Der physikalische Speicher, den das Gastbetriebssystem zu sehen glaubt, ist eigentlich die sogenannteIntermediate Physical Address Map. Diese wiederum liegt in der Verantwortung des Hypervisors. Nach der Übersetzung der virtuellen Adresse durch das Gastbetriebssystem in die Intermediate Physical Address ist also noch eine weitere Übersetzung in die eigentliche physische Adresse notwendig (siehe Bild 2).
Über Device Emulation oder Device Assignment erlangen die Gastbetriebssysteme Zugang zu den Hardware Devices bzw. Peripherals. Device Emulation ist dann notwendig, wenn ein Device für mehr als nur für einen Gast verfügbar sein soll. Ein direkter Zugriff auf das Hardware-Device ist in diesem Fall nicht möglich, da sonst Konflikte vorprogrammiert sind. Im Hypervisor werden die Devices deshalb in Software so nachgebildet, dass auch Zugriffe durch mehre Gastbetriebssysteme behandelt werden können. Greift ein Gast auf ein solches in den Speicher eingeblendetes emuliertes Device zu, resultiert dies in einen Trap in den Hypervisor (EL2) hinein. Dieser muss nun entsprechend reagieren und gegebenenfalls das reale Hardware Device ansprechen.
In entgegengesetzter Richtung, wenn also der Gast mit Daten aus dem Device versorgt werden soll, werden virtuelle Interrupts durch den Hypervisor ausgelöst. Aus Sicht der Gastbetriebssysteme sehen diese wie normale Hardware Interrupts aus. Auch der Interrupt Controller steht als virtuelles Device zur Verfügung. Reagiert der Gast dann mit einem Lesezugriff auf den Speicher oder auf Register des Devices, wird wie bereits beschrieben ein Trap in den Hypervisor ausgelöst. Dieser stellt dann die angefragten Daten zur Verfügung.
Hypervisor-Awareness in der Entwicklung
Die Präsenz eines Hypervisors wirkt sich auch auf das Debugging aus, wobei es hier mehrere Sichtweisen und Aufgabenstellungen zu beachten gilt. Eine besondere Herausforderung stellt vor allem das hardwarenahe Debugging dar, bei dem der Entwickler naturgemäß immer mit dem Hypervisor bzw. den VMs in Berührung kommt:
1. Entwicklung einer virtualisierten Bare-Metal Applikation: Die Zugriffe auf Speicher und Peripherals werden nicht durch ein Betriebssystem gekapselt, stattdessen wird direkt auf die virtualisierte Hardware zugegriffen. Für das Debugging sind also Speicherinhalte und Zugriffe auf die Device Register interessant.
2. Treiberentwicklung für ein Gastbetriebssystem: Dieser Anwendungsfall ist im Großen und Ganzen identisch mit Punkt 1.
3. Laufzeitanalyse des Gesamtsystems: Hierbei geht es vorrangig um das Messen von Laufzeiten und der Lastverteilung. Das Ziel dieser Messungen ist eine Optimierung der Hypervisor-Konfiguration, damit beispielsweise ein zugesichertes Zeitverhalten eines Echtzeitbetriebssystem als Gast auch tatsächlich eingehalten wird.
Auf das reine Debugging von Applikationen, die unter einem Gastbetriebssystem laufen, gehe ich an dieser Stelle ganz bewusst nicht näher ein, weil hier ja eher selten direktes Hardware-Debugging betrieben wird. Schauen wir uns stattdessen die drei oben genannten Anwendungen noch etwas genauer an.
Während sich der Entwickler beim letzteren Anwendungsfall explizit mit dem Hypervisor auseinander setzt, sollte ihm in den ersten beiden Fällen die Tatsache, dass es sich um eine Virtualisierung handelt, eigentlich verborgen bleiben. In der Praxis sieht dies jedoch meist anders aus. Setzt man zum Debuggen einen JTAG-Debugger wie die Universal Debug Engine (UDE) von PLS ein, dann hat dieser direkten Zugang zum Speicher, zu den Registern und zu den Prozessorkernen des Zielprozessors; also wenn man so will zu allem, was unterhalb des Hypervisors angesiedelt ist. Die Sicht der Bare-Metal-Applikation oder des Treibers, der entwickelt werden soll, endet aber oberhalb des Hypervisors. Für diese sind nämlich nur die virtuellen Hardware-Komponenten, also virtualisierter Speicher, emulierte Devices und virtuelle Prozessorkerne sichtbar. Das hat in der Praxis natürlich Konsequenzen.
Auswirkungen aufs Debugging eines Embedded Systems
Die Hypervisor-Awareness des Debuggers erlaubt zwar prinzipiell eine Umrechnung der virtuellen und Intermediate-Physical-Adressen in physische Adressen, allerdings funktioniert das nur bei realem Speicher (z.B. RAM oder FLASH) nicht aber bei emulierten Devices. Diese sind zwar in den virtuellen Speicher eingeblendet, haben aber keinen ihnen zugeordneten physischen Speicherbereich. Wenn ein Gast auf diesen Device-Speicher zugreift, ist das natürlich nicht problematisch. Es folgt wie weiter oben beschrieben ein Trap in den Hypervisor und die Verarbeitung durch die Device-Emulation. Die Adressübersetzung durch den Debugger jedoch liefert einen ungültigen Speicherbereich zurück, weil er die Emulation des Devices nicht kennt. Die Verwendung von emulierten Devices innerhalb der virtuellen Maschine ist also nicht direkt debugbar. Das gilt natürlich nicht bei Devices, die direkt und exklusiv einer VM zugeordnet. Hier existiert reale Hardware, auf die der Debugger Zugriff hat.
Stoppt der Debugger an einem Breakpoint oder direkt von Anwender ausgelöst das System, werden neben allen physischen Cores auch der gesamte Hypervisor und somit auch alle virtuellen Maschinen angehalten. Das ist durchaus sinnvoll und konsequent, denn andernfalls müsste sich der Hypervisor plötzlich mit einer virtuellen Maschine auseinandersetzen, die nicht mehr reagiert. Er käme unweigerlich außer Tritt und würde womöglich abstürzen.
Anders sieht es aus, wenn der Hypervisor einen Debug-Monitor anbietet. Dann ist er selbst in der Lage und dafür verantwortlich, einzelne virtuelle Maschinen und deren Gastbetriebssysteme anzuhalten, während die anderen weiterlaufen können. Wenn der Debugger diesen Debug-Monitor nutzt, darf er allerdings selbstverständlich keinen direkten Einfluss auf die Hardware mehr nehmen.
Das Setzen eines Breakpoints innerhalb des Kontextes einer virtuellen Maschine bei laufendem System erfordert vom Debugger einiges an Aufwand und lässt sich leider auch nicht vollständig reibungsfrei realisieren. Der Debugger muss dafür nämlich erst einmal den aktuellen Zustand des Gesamtsystems ermitteln, also welche virtuellen Maschinen gerade aktiv sind und welche nicht. Wirklich sicher funktioniert das jedoch nur im angehaltenen Zustand, weshalb der Debugger auch kurz das gesamte System anhält. Zwar bleibt dieser kurze Zwischenstopp dem Nutzer weitestgehend verborgen auf das Laufzeitverhalten der einzelnen virtuellen Maschinen hat er aber natürlich schon Einfluss.
Optimierung des Hypervisor-Schedulings
Um das Scheduling des Hypervisors zu optimieren und feststellen zu können, ob Zusicherungen von Echtzeitverarbeitung von Gastbetriebssystemen eingehalten werden, ist es notwendig, Laufzeitmessungen durchzuführen. Im einfachsten Fall liefert der Hypervisor diese Informationen selbst und der Debugger kann den Debug-Monitor dazu befragen. Wenn nicht, bleibt als Alternative eigentlich nur Trace.
Letzteres erfordert jedoch sowohl vom Debugger als auch vom Anwender eine genaue Kenntnis der Verwaltungsstrukturen des Hypervisors, um die aufgezeichneten Trace-Daten nutzbringend auswerten zu können.
Fazit: Nebenwirkungen beim Trennen von Systemen vermeiden
Ganz ohne Virtualisierung wird eine strikte Trennung von sicherheitskritischer oder echtzeitkritischer Software auf einer gemeinsamen Embedded-Prozessorplattform künftig kaum zu bewältigen sein. Allerdings gilt es hierbei zu berücksichtigen, dass vor allem das hardwarenahe Debuggen von Treibern oder Bare-Metal-Applikationen in einer virtualisierten Umgebung auch unerwünschte Effekte für das Gesamtsystem mit sich bringen kann.
Hersteller von Debug-Werkzeugen sind zwar stets bestrebt, solche prinzipbedingten Rückwirkungen so gering wie möglich zu halten. Gänzlich verhindern lassen sie sich jedoch leider nicht. Nur wer sich dessen vorab bewusst ist, wird unerwartete Effekte während der Systementwicklung auch richtig einordnen können.
Der Autor
*Jens Braunes ist Product Marketing Manager bei der PLS Programmierbare Logik & Systeme GmbH in Dresden. Er studierte Informatik an der TU Dresden und arbeitete dort als wissenschaftlicher Mitarbeiter. 2005 wechselte er zum Softwareteam von PLS und ist dort maßgeblich an der Entwicklung der Universal Debug Engine beteiligt. Er erweiterte 2016 sein Tätigkeitsfeld auf das Produktmanagement und technische Marketing.
Artikelfiles und Artikellinks
(ID:45683654)
:quality(80)/images.vogel.de/vogelonline/bdb/1947300/1947348/original.jpg "Asymmetrisches Multiprocessing auf heterogenen MPSoCs stellt Entwickler von echtzeitkritischen Anwendungen oft vor gewaltige Herausvorderungen. (Clipdealer)")
:quality(80)/images.vogel.de/vogelonline/bdb/1938500/1938521/original.jpg "(Rust Foundation)")