Представьте себе: сетевой стек на главном контроллере насоса вышел из строя, и вам нужно его перезагрузить — но он находится на глубине 20 метров под землей, на другом континенте — и на месте нет никого, кто мог бы нажать «сброс».
Или вы едете в боулинг по шоссе, и одно из ядер процессора вашего беспилотного автомобиля попадает под космический луч (да, такое действительно может случиться). Программное обеспечение не может определить, является ли полученная ошибка временным сбоем или аппаратным сбоем, поэтому в целях безопасности вы ограничиваете скорость до 50 километров в час: никакого удовольствия, когда за вами мчится грузовик-монстр.
Разработчики микросхем, такие как ARM и Imagination Technologies, применяют методы промышленной безопасности к своим процессорным ядрам, чтобы избежать подобных ситуаций. Вы скоро почувствуете выгоду, даже если у вас нет подземной насосной станции в Азербайджане, а в вашем гараже еще нет автомобиля с автоматическим управлением.
Функционально безопасный
Мы очень верим в процессоры в нашем Интернете вещей, рассчитывая на то, что программное обеспечение, которое они запускают, будет работать в любых условиях. Но есть проблемы, которые не могут решить никакие проверки границ, санитизация ввода или обработка исключений.
Вот почему производители во многих отраслях стремятся сделать свои продукты функционально безопасными, то есть гарантировать, что они останутся в безопасном состоянии и реагируют должным образом, независимо от окружающей среды, входных данных или сбоев оборудования. Существуют даже стандарты, как это сделать: общий стандарт IEC 61508 имеет варианты для конкретных отраслей, включая ISO 26262 для автомобилестроения.
Одно дело построить такую систему, когда вы сами проектируете или определяете каждую деталь каждого компонента. Полагаться на внешних поставщиков сложных подсистем — или на поставщиков ваших поставщиков в случае микропроцессоров, разработанных одной компанией и произведенных другой — это совсем другое.
Стандарты описывают, как включать такие компоненты — известные как элементы безопасности вне контекста (SEooC) — в функционально безопасные системы, и такие компании, как ARM и Imagination Technologies, применяют их в своих конструкциях процессорных ядер.
ARM уже несколько лет предлагает функционально безопасные варианты некоторых своих процессоров серии Cortex-R. Это процессорные ядра, предназначенные для приложений жесткого реального времени, где ответ должен поступать в течение фиксированного промежутка времени. Молниеносно быстрые ядра, которые вы найдете в приложениях компьютерного зрения или новейших флагманских смартфонах, скорее всего, принадлежат к линейке Cortex-A, ни одно из которых не доступно в функционально безопасных вариантах.
У Imagination есть конкурирующая линейка маломощных ядер, основанных на архитектуре MIPS, которые также нашли свое место в приложениях компьютерного зрения — хотя, к сожалению для Imagination, не в смартфонах.
Mobileye использует ядра MIPS в устройствах с системой на кристалле (SoC) EyeQ 4, которые она разрабатывает для производителей автомобилей, чтобы предоставлять автоматизированные системы помощи водителю, такие как удержание полосы движения или адаптивный круиз-контроль.
В прошлом году компания заявила, что будет использовать ядро Imagination MIPS I6500 в своих SoC EyeQ 5, предназначенных для поддержки автономного вождения. I6500 представляет собой 64-разрядную многоядерную конструкцию, в которой ядра могут работать с разной скоростью («гетерогенные внутри», как выражается Imagination) и который может легко подключаться к графическим процессорам и другим ускорителям для конкретных приложений («гетерогенные снаружи»).
Была только одна загвоздка: не было никакой гарантии, что это будет функционально безопасно, что необходимо в автомобильной промышленности, заботящейся о безопасности.
Однако теперь Imagination пересмотрела дизайн. Новая версия, I6500-F, содержит дополнительные транзисторы, чтобы отмечать ошибки при передаче и хранении данных, а также выполнять регулярные операции самотестирования ядер процессора таким образом, чтобы это не влияло на работу.
Ускорители
Разработчики микросхем, способные поддерживать функционально безопасные методологии проектирования, могут помочь производителям устройств быстрее вывести свою продукцию на рынок.
«Есть некоторые изменения в 6500, чтобы сделать его F, но эти изменения не меняют функциональность конструкции», — сказал Тим Мейс, менеджер по развитию бизнеса для MIPS и Imagination. «Он работает с тем же программным обеспечением и точно так же интегрируется с ускорителями».
По его словам, основным преимуществом новой версии является уровень соответствия стандарту ISO 26262, но также имеется некоторая дополнительная логика, в значительной степени прозрачная для пользователя, которая может сообщать об ошибках при их обнаружении.
«Даже если ваш кремний делает именно то, для чего вы его планировали, он все равно может измениться со временем. Например, он может просто изнашиваться. Или вы можете получить какие-то случайные ошибки, например, из-за солнечного излучения или фонового излучения. Вам нужна некоторая устойчивость, чтобы обнаруживать эти ошибки, когда они происходят, и некоторый механизм, чтобы убедиться, что это безопасно или корректно восстанавливается ».
Эта устойчивость достигается за счет включения проверок четности и логики для встроенного самотестирования. В конструкции многоядерного процессора, такой как I6500, это может включать многократное перемещение процессов на заведомо исправное ядро и самотестирование освободившегося ядра, чтобы убедиться, что оно тоже безопасно.
«В автомобилестроении существует требование, согласно которому в случае возникновения ошибки вы должны обнаружить ее в течение определенного периода времени. Нам необходимо повторять эти проверки в фоновом режиме, чтобы постоянно проверять, не закралась ли ошибка», — сказал Мейс.
Дополнительная логика увеличивает размер кристалла чипа менее чем на 10 процентов и повлечет за собой небольшое увеличение стоимости, но это может быть небольшой платой за «вещь», которая остается в Интернете или в дороге. – даже когда случается непредвиденное.
Авторское право © 2017 IDG Communications, Inc.