Multicore-Design: Vor- und Nachteile von Hypervisoren und Multicore-Frameworks

07.10.2020 Von Jeff Hancock *

Anbieter zum Thema

Früh stehen SoC-Entwickler vor der Entscheidung, welcher Domänen-Manager sich für ihr Multicore-System besser eignet: Ist ein Hypervisor erforderlich, oder ist ein Multicore-Framework eine bessere Lösung?

Im Embedded-Umfeld sind Multicore-Systeme immer häufiger anzutreffen. Die am weitesten verbreitete Software-Architektur ist Asymmetrisches MultiProcessing (AMP), bei der jeder Kern mit einem eigenen Betriebssystem oder gar ohne Betriebssystem arbeitet. Solche Systeme benötigen in der Regel eine übergeordnete Überwachungssoftware, die die Kontrolle der Boot-Reihenfolge und der Kommunikation und Sicherheit zwischen den Kernen ermöglicht. Es gibt im Großen und Ganzen zwei Optionen: einen Hypervisor oder ein Multicore-Rahmenwerk, wie z.B. solche, die auf dem OpenAMP-Standard basieren.
(Bild: Mentor, a Siemens business)

Die heutige Multicore System-on-Chip-Hardware verspricht, mehr in Ihr Embedded-Systems-Projekt einpacken zu können als je zuvor. Designer müssen Softwaredomänen nicht mehr in separaten Geräten unterbringen. Multicore-Verarbeitungscluster in ein und demselben Gerät können die Stücklistenkosten senken und durch engere Domänenintegration zu kürzeren Entwurfszeiten beitragen. Bei diesen komplexeren Systemen bleibt es jedoch Aufgabe des Systemarchitekten und Softwaredesigners, die Anwendungsdomänen korrekt zu konfigurieren, wichtige Daten getrennt und sicher zu halten und effizient zu steuern, wie das Gesamtsystem kommunizieren soll. Eine wichtige Entscheidung, die frühzeitig getroffen werden muss: Was ist der beste Domänen-Manager für Ihr Multicore-System? Ist ein Hypervisor erforderlich oder ist ein Multicore-Framework eine bessere Lösung

Design von asymmetrischen Multicore-Systemen

In einem Multicore-SoC-System führt die Erleichterung der funktionalen Segmentierung eines Projekts dazu, dass Designs als asymmetrische Multiprocessing-Systeme (AMP-Systeme) konfiguriert werden. Ein AMP-System kann aus einer beliebigen Kombination von CPU-Architekturen aufgebaut werden; alle CPU-Kerne können identisch sein (homogen), oder es kann eine Mischung von verschiedenen Kerntypen geben, die konventionelle Verarbeitungseinheiten sowie spezialisierte Kerne wie z.B. digitale Signalprozessoren umfasst (heterogen). Jeder CPU Kern läuft unabhängig in einer AMP-Architektur, mit oder ohne Betriebssystem. Das OS jedes Kerns kann auf der Grundlage der erforderlichen Funktionalität ausgewählt werden. AMP hat jedoch spezielle Herausforderungen:

Höchstwahrscheinlich ist eine Einrichtung für die Kommunikation zwischen den Kernen erforderlich;

Es kann Sicherheitsprobleme geben, die einen Schutz der Kerne gegeneinander erfordern;

Die Bootreihenfolge – die Reihenfolge, in der die jeweilige Software auf den Kernen startet – kann wichtig sein, um Synchronisierungs- und Sicherheitsprobleme zu vermeiden; und

Das Debuggen der unterschiedlichen Arbeitslasten, die auf den potenziell heterogenen Kernen laufen, kann ebenfalls eine große Herausforderung darstellen.

Obwohl die Kerne in einem AMP-System unabhängig sind, legen es diese Herausforderungen nahe, dass eine allgemeine Steuerungseinrichtung erforderlich ist.Im Großen und Ganzen gibt es zwei Möglichkeiten: Die Wahl eines Hypervisors , einer Softwarekomponente, die über alle Kerne läuft; oder ein Multicore-Framework , das es ermöglicht, AMP-Systeme zu steuern, die auf jedem CPU Kern laufen.

Es können zwar prinzipiell auch Multicore-Anwendungen mit einem Betriebssystem implementiert werden können, das zu symmetrischem Multiprocessing (SMP) fähig ist. Dieser Ansatz lässt aber nur bedingt unabhängige Arbeitslast auf verschiedenen Kernen zu und unterstützt auch nicht heterogene CPU-Kerne.

Vor- und Nachteile von Hypervisoren

Ein Hypervisor ist eine relativ komplexe, vielseitige Softwarekomponente, die eine Überwachungsfunktion für eine Reihe von Betriebssystemen bietet und CPU-Zugriff, peripheren Zugriff, Inter-OS-Kommunikation und Inter-OS-Sicherheit verwaltet. Ein Hypervisor kann auf verschiedene Weise eingesetzt werden. So können zum Beispiel mehrere Betriebssysteme auf einer einzigen CPU laufen, um eine Investition in ältere Software zu schützen. Mit der zunehmenden Verwendung von Multicore-Prozessoren wird dies jedoch immer seltener.

Alternativ können Hypervisoren in eingebetteten Anwendungen in AMP-Designs eingesetzt werden, bei denen eine Überwachung der Inter-Core-Kommunikation und die Zuweisung von Peripheriegeräten zu bestimmten Kernen erforderlich ist. Ein Hypervisor kann zusätzlich die Bootsequenz übernehmen und den gemeinsamen peripheren Zugriff verwalten. Einer der Hauptvorteile eines Hypervisors besteht darin, dass ein Absturz eines Betriebssystems die Ausführung von Workloads auf anderen Kernen nicht beeinträchtigt und dass der Hypervisor in einigen Fällen sogar das Betriebssystem neu starten kann, ohne dass ein Neustart des Geräts erforderlich ist. Natürlich ist es sehr empfehlenswert, einen Hypervisor zu verwenden, der speziell für den Einsatz in eingebetteten Anwendungen entwickelt wurde, um eine bessere Leistung zu erzielen.

Obwohl es möglich ist, einen Hypervisor zu entwickeln, der alle erforderlichen Separations- und Virtualisierungsfunktionen in der Software ermöglicht, ist dies heutzutage recht schwierig und ungewöhnlich. Heutzutage sind Hypervisoren vielmehr so konzipiert, dass sie die zugrundeliegenden Virtualisierungsfunktionen der meisten Multicore-Prozessoren nutzen.

Bild 1: Bei komplexen System-on-Chip (SoC)-Architekturen ist die Konsolidierung heterogener Betriebsumgebungen auf einem einzigen Gerät oft schwierig zu erreichen. Die Vorteile dieser komplexen Architekturen können mit einem Multicore-Framework voll ausgeschöpft werden, indem die Funktionalität aus diskreten Teilen in einem einzigen SoC konsolidiert wird.
(Bild: Mentor, a Siemens business)

Zu den Vorteilen zählen eine hohe Flexibilität ermöglicht effizienten Ressourcenaustausch, dynamische Ressourcennutzung, geringe Latenz und hohe Bandbreite zwischen VMs und eine starke Kerntrennung. Ein Hypervisor-Einsatz ermöglicht zudem die Virtualisierung und Freigabe von Geräten. Schließlich bietet er die Fähigkeit, bestimmten CPU Kernen die exklusive Kontrolle von Peripheriegeräten zuzuordnen

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Allerdings birgt der Einsatz auch einige Nachteile. Ein Hypervisor funktioniert nur bei einem homogenen Multicore-Gerät gut (das heißt, wenn alle Kerne identisch sind). Hypervisor-Code besitzt zudem einen signifikanten Umfang des Codes und verursacht merklichen Overhead bei der Ausführung. Zudem wird eine Hardware-Virtualisierung im Prozessor erforderlich.

Hypervisoren haben aufgrund ihrer Trenn-, Management- und Sharing-Fähigkeiten viel mehr Funktionen als viele eingebettete Designs verlangen – sie können zu viel des Guten sein. Daher haben einige Anbieter von eingebetteten Runtime-Systemen eine Alternative entwickelt, die speziell für AMP-Multicore-Systeme entwickelt wurde: das Multicore-Framework.

Vor- und Nachteile von Multicore-Frameworks

Frameworks wurden speziell für die Multicore-Anwendung entwickelt und bieten nur die wichtigsten Funktionen: Steuerung der Boot-Reihenfolge und Inter-Core-Kommunikation. Dies hat zur Folge, dass ein Framework ein System mit viel geringerem Overhead lädt und auf wesentlich einfacheren Systemen betrieben werden kann. Obwohl jeder Kern in einem AMP-Design wahrscheinlich ein Betriebssystem betreibt, können ein oder mehrere Kerne „bare Metall“ sein – d. h. betreiben überhaupt kein Betriebssystem. Ein Multicore-Framework kann dieser Möglichkeit gerecht werden.

Sobald das Remote-Prozessor-Betriebssystem und der Anwendungsstapel in Betrieb sind, erfordern viele Anwendungsfälle die Kommunikation mit anderen Teilen des Systems. Das Mentor Embedded Multicore Framework bietet eine Reinraum-Implementierung des von Linux bekannten rpmsg-Pakets zur Einrichtung eines Kommunikationskanals zwischen dem Master-Betriebssystem und den Remote-Betriebssystemen. So können Daten in einem prozessor-übergreifenden Kommunikationskanal zwischen beiden hin und her übertragen werden.

Bild 2: Hypervisor oder Multicore-Framework besitzen jeweils Vor- und Nachteile. Unter Umständen kann es sogar sinnvoll sein, beide Ansätze zu mischen.
(Bild: Mentor, a Siemens business)

Die Transportschicht, die sowohl Remote Processor Lifecycle Management als auch Inter-Prozessor-Kommunikation ermöglicht, ist VirtIO. VirtIO ist ein Virtualisierungsstandard für Treiber von Hochleistungs-Eingabe-/Ausgabegeräten, der in virtuellen Linux-Umgebungen weit verbreitet ist.

Die Kontrolle über einen Remote-Prozessor anzunehmen und dann ein OS und/oder einen Anwendungsstapel innerhalb dieses Remote-Prozessors zu starten oder zu stoppen, wird als Remote-Prozessor-Lifecycle-Management (RemoteProc) bezeichnet. Die Linux-Community hat ein Remote Processor-Framework zur Verwaltung dieses Falles eingeführt. Remoteproc ermöglicht einem Master-Betriebssystem, andere Betriebssysteme auf anderen Kernen aufzurufen.

Die Remote Proc-Funktion im Mentor Embedded Multicore Framework ermöglicht die Remote-Prozessor-Interoperabilität zwischen Mentor Embedded Linux, Nucleus RTOS und Bare Metal Environments (BME) sowie Linux- und RTOS-Produkten anderer Anbieter. Ein wesentlicher Vorteil des Remote Processor Lifecycle Managements ist der geringere Stromverbrauch. Der Remote-Kern bleibt bei Nichtgebrauch im Niedrigverbrauchszustand. Erst wenn remoteproc verwendet wird, um den Remote-Kern aufzurufen und die erforderliche Firmware bereitzustellen, verbraucht der Remote-Core in nennenswertem Umfang Strom.

Ein Multicore-Framework bietet die minimal erforderliche Funktionalität für einige Anwendungen, was einen signifikanten Vorzug darstellt. Weiter Vorteile sind ein (gerade im Vergleich zu Hypervisoren) feringerer Speicherverbrauch und ein minimaler Durchlaufzeit-Overhead. Zudem kann ein Multicore-Framework auch mit heterogenen Multicore-Geräten arbeiten (d. h. nicht alle Kerne müssen identisch sein) und bietet eine Unterstützung von Anwendungen mit „bare metal“.

Dem gegenüber steht als Nachteil, dass die Arbeitslasten der Kerne sind nicht voneinander isoliert sind. Es kann außerdem schwieriger sein, die Boot-Reihenfolge zu steuern und zu debuggen.

OpenAMP: Open-Source-Multicore-Framework

Einige Mehrkern-Frameworks sind urheberrechtlich geschützt. Es existieren aber Vorschläge für offene Normen, um Funktionalitäten, Schnittstellen usw. zu regeln. Ein bekanntes Beispiel hierfür ist OpenAMP, das zwei Hauptfunktionen bietet: Lebenszyklusmanagement mittels remoteproc und Inter-Core-Kommunikation über RPMsg. Eine aktuelle Referenzimplementierung des OpenAMP-Standards ist auf GitHub verfügbar. Mentor Embedded Multicore Framework (MEMF) und Mentor Embedded Multicore Framework Cert sind proprietäre Implementierungen des OpenAMP-Standards. Zu den Standarderweiterungen zählen u.a. Funktionen zur Unterstützung von Linux als Remote, Large Buffer, Zero Copy, Proxy Support für Ethernet und weitere Entwicklungstools.

Gemischte sicherheitskritische Systeme

Ein gemischtes sicherheitskritisches System ist ein System, das die Ausführung mehrerer Anwendungen mit unterschiedlichen Sicherheitsintegritätsstufen (SIL) oder unterschiedlichen Kritikalitäten, wie z. B. sicherheitskritisch und nicht sicherheitskritisch, auf einem einzigen MPSoC erfordert. Sowohl ein Hypervisor als auch ein Multicore-Framework können diese Art von Konfiguration unterstützen.

Dazu zertifiziert ein Hypervisor den Hypervisor selbst. Die virtuellen Maschinen können dann mit dem zertifizierten Hypervisor unterschiedliche Kritikalitätsstufen aufweisen. Die Trennung erfolgt durch den zertifizierten Hypervisor, der in der Regel zugrunde liegende Hardware-Virtualisierungs- und Separationsfunktionen auf dem SoC verwendet.

Ein Multicore-Framework nutzt andere hardwaregestützte Trennungsfunktionen, die von einigen SoC-Architekturen bereitgestellt werden, um die erforderliche Trennung zwischen der sicheren Domäne und der nicht sicheren Domäne zu erreichen. Dies umfasst die Trennung von Verarbeitungsblöcken, Speicherblöcken, Peripheriegeräten und Systemfunktionen. Das Multicore Framework bietet erweiterte gebundene Überprüfungen, um die Integrität von Datenstrukturen mit gemeinsamem Speicher sicherzustellen. Es bietet auch Interrupt-Drosseln und Polling-Modus, um Interrupt-Flooding zu verhindern. Es ist sogar möglich, einen nicht sicherheitszertifizierten Hypervisor zusammen mit einem gemischten kritikalitätsaktivierten Multicore-Rahmen zu verwenden, wie in Bild 2 zu sehen ist.

Der Einsatz eines Hypervisors sorgt für eine sichere Trennung von Systemen, kann aber im Entwicklungsstadium zu zusätzlichen Fehlerquellen beim Debugging führen. Tools wie z.B. die Universal Debug Engine UDE bieten eine sogenannte Hypervisor-Awareness, welche Schwierigkeiten bei der Entwicklung virtualisierter getrennter Systeme adressiert. (Bild: PLS)

Der Einsatz heterogener Multicores ist in SoCs mittlerweile weit verbreitet. Der Einsetz unterschiedlicher Betriebssysteme auf den einzelnen Kernen stellt Entwickler aber häufig vor Schwierigkeiten. Hier setzt das Framework OpenAMP der Multicore Association an. (The Multicore Association (MCA))

Raum-Zeit-Partitionierung: Bei sicherheitskritischen Anwendungen auf Multicore-Systemen kommt es nicht nur auf die räumliche, sondern auch die zeitliche Verteilung von Tasks über die Kerne an. (Clipdealer)

Schlussfolgerungen

Die Wahl zwischen einen Hypervisor oder ein Multicore-Framework für die Steuerung und Verwaltung eines Multicore-Systems ist eine kritische Architekturentscheidung. Die endgültige Wahl hängt von den spezifischen Anwendungsanforderungen und dem Anwendungsfall des Geräts ab. Die Optionen sollten als ergänzende Lösungen betrachtet werden, die die Macht eines Multi-Core-SoC freisetzen können, die Verwaltung der verschiedenen Projektdomänen ermöglichen und es dem Konstrukteur letztendlich ermöglichen, sich auf die einzigartigen Stärken des Projekts zu konzentrieren.

Diesen Beitrag lesen Sie auch in der Fachzeitschrift ELEKTRONIKPRAXIS Ausgabe 19/2020 (Download PDF)

* Jeff Hancock ist Senior Product Manager, Embedded Platform Solutions, bei Mentor, a Siemens business.

(ID:46883323)