风河开物Hypervisor
数据手册
风河开物Hypervisor是一个支持混合安全等级的支持功能安全认证、多核、多操作系统的平台。它利用风河开物 RTOS技术成功的安全认证记录,将多操作系统和混合安全级别的应用整合到同一个边缘计算软件平台上,简化、保 护并面向未来设计,适用于航空航天、工业、汽车和医疗市场。
风河开物Hypervisor结合了真正的 Type 1 虚拟机管理程序,并预集成了Guest OS,如风河开物RTOS和Wind River Linux。该平台旨在支持关键基础设施开发应用,包括航空电子、汽车和工业市场中的安全认证应用。它还适用于需 要将安全认证应用与非认证应用混合的系统。
风河开物Hypervisor为您提供了满足当前需求的灵活性,并适应未来的需求。如需了解更多信息,请访问www.windriver.com.cn/products/kaiwu-hypervisor/
应用场景
应用可移植性和多系统整合
由于设备制造商需要优化其产品的效率、生产率和质量水平,他们经常需要将现有的工作负载和应用迁移到新的硬件 平台上。在许多情况下,他们还决定将两个或多个独立系统整合到一个虚拟化硬件平台上。通过虚拟化将来自多个系 统的不同应用整合到同一计算平台上,可以降低成本、减少空间/重量/功耗,并减少开发工作量。

图1. 隔离并保护您的关键系统
关键成果:
- 连接传统、当前和未来系统
- 以接近本地的性能运行传统应用
- 节省空间、重量、功耗和成本
- 整合并重用应用软件
- 实现应用向新硬件平台的可移植性
混合安全关键性系统
功能安全认证系统的制造商也需要整合一些系统。为此,开发人员需要一个功能安全认证的虚拟化解决方案,能 够支持具有混合功能安全等级的Guest OS和应用。

图2. 具有多级安全性的安全认证系统
关键成果:
- 整合不同安全等级的应用
- 在同一个硬件平台上支持功能安全认证和非认证应用
- 节省空间、重量、功耗和成本
灵活的基于角色的开发
在大型项目中,系统配置由多人负责。平台和Guest OS有不同的所有者,他们负责各自的配置。在非常大的项目 中,这些不同的所有者可能是互为竞争对手的不同公司。
使用XML配置格式和独立构建、链接和加载(IBLL)系统遵循基于角色的开发原则(如航空电子领域的DO-297标准 中定义的原则),并允许平台提供商、认证平台提供商、应用开发人员和系统集成商之间的真正分离和独立开发。这 为根据目标分配开发角色提供了最大的灵活性,并加速了认证软件系统的大规模开发。

图3. 独立的基于角色的开发
关键成果:
- 允许应用供应商独立地异步开发、测试和交付软件应用
- 独立的供应商构建过程,减少了跨多个开发团队的代码变更影响
- 能够使用风河开物RTOS或Linux容器以及标准的云原生工具,进一步实现跨复杂系统的应用独立性
核心能力和优势
- 64位 Type 1 安全认证虚拟机管理程序
- 无需服务操作系统或特殊特权虚拟机
- 保证确定性Guest OS的实时响应能力
- 低开销和接近本地的性能,即使有大量核心和虚拟机(VM)
- 核心之间真正的操作独立性
- 虚拟机本地的设备模拟器
- 虚拟机之间的无锁通信
- 独立的调度器、本地定时器、本地模拟器
- 确定性配置,分配和管理设备、通信通道和内存
- 直接中断支持
- 小尺寸
- 健壮的分区(支持跨虚拟机的多级安全性)
- 无滴答内核:
- 定时器中断不会定期发生,而是根据需要传递
- 实时、确定性的性能和延迟
- 虚拟机管理程序的开销低
- 除非排队,否则没有滴答,这意味着时间窗口的长度范围不受系统滴答的限制
- 如果只有一个虚拟机,则完全没有滴答
- 接近本地的性能

图4. 无滴答的无限时间窗口,根据需要传递中断
- 时间分区调度器:
- 根据严格的调度计划调度分区或虚拟机
- 调度可配置,支持每个核心上运行多个虚拟机
- 允许虚拟机仅在给定核心的给定时间窗口内运行
- 以确定性的方式保证每个Guest的特定CPU时间量
- 允许为系统定义多个调度,并在运行时动态切换

图5. 不同分区在不同核心上同时运行
- 直接中断和直接访问设备:
- 直接中断提供接近本地的响应性,因为它们直接从物理设备传递到Guest OS
- 虚拟机管理程序不参与设备访问的数据路径
- 当Guest OS在直接中断模式下运行时,不需要虚拟机退出,从而改善了中断延迟
- 内存、PCI属性和中断可以直接映射到Guest OS中

图6. 直接中断和直接访问设备
- 可扩展性:
- 核心和Guest的数量没有限制
- 随着核心数量的增加,性能不会受到影响
- 支持Guest OS的混合安全等级
- 客户应用无需修改
- 支持多核分区/虚拟机
- 开箱即用的Guest OS支持,包括风河开物RTOS、风河开物RTOS Cert版本和Wind River Linux
- 安全的多操作系统通信(安全进程间通信)
- 质量和性能驱动的工具:
- 平台调试器支持使用风河开物RTOS对多个虚拟机进行系统模式调试,允许跨所有虚拟机的同步视图
- 风河系统查看器支持使用风河开物RTOS和虚拟机管理程序查看所有虚拟机上的操作系统事件,使开发人员能够可视化和排除复杂目标活动的故障
- 启动分析器提供虚拟机管理程序和虚拟机Guest OS在初始化期间所花费时间的一致视图,以便进行有针对性的启动优化
- 可配置的健康监控(兼容ARINC 653),一个支持事件注入并提供可定制和可配置的处理程序和事件记录的框架

图7. 支持多虚拟机系统模式调试的平台调试器
KEY FEATURES
- Guest OS支持
- 风河开物RTOS(包含在风河开物Hypervisor中)
- 风河开物RTOS Cert版本(包含在风河开物 Hypervisor中的安全认证Guest OS)
- Wind River Linux(包含在风河开物Hypervisor 中的Linux二进制文件)
- 裸金属
- 第三方操作系统
- 使用风河开物Hypervisor虚拟化的Guest OS可以支持容器(包括风河开物RTOS和 Wind River Linux)
- 提供100%的源代码
- 长产品生命周期
- 处理器支持
- 64位处理器支持,支持32位和64位Guest OS
- ARMv8和Intel x86-64处理器
- 包括对来自Intel、AMD、NXP、Aptiv、德州仪器和三星等制造商的SoC的支持
- 设备模拟
- 设备树
- VirtIO
- 共享内存
- 基于共享内存的虚拟网络接口(VNIC)
- 自定义
- 安全认证
- 支持混合安全等级
- 符合DO-178C DAL A、IEC 61508 SIL 3和ISO 26262 ASIL-D的认证
- 超过330家客户在120多架飞机上完成了750多个安全项目
- 信息安全
- 支持DO-356A
- 虚拟机隔离
- 资源访问控制
- 通过安全策略配置进行入侵保护
- 支持Guest OS的信息安全
- 监控和修复MITRE CVE
- Wind River Workbench开发环境
- 项目构建和配置
- 系统集成支持
- 构建、配置和打包的独立性(IBLL)
- 多个独立负载项目,支持的虚拟机管理程序项目类型:
- Workbench调试
- 风河开物Hypervisor系统调试(独立于认证)
- 风河开物Hypervisor系统查看器
- 虚拟机管理程序(非认证)
- 风河开物RTOS Guest OS(非认证)
- 风河开物RTOS直接调试(非认证)
- 风河开物RTOS直接系统查看器(非认证)
- 在Wind River Studio中的构建支持
安全认证
在40多年的历史中,风河积累了广泛的安全认证经验,超过600个项目在100多架飞机上完成,超过360 家客户在汽车、航空和工业安全认证产品中使用风河安全平台。风河操作系统平台已通过ISO 26262汽车安全、 DO-178C航空电子安全和IEC 61508工业功能安全要求标准的认证。架构和认证降低了总体拥有成本:
- 根据DO-178C(DAL A)机载系统软件考虑、IEC 61508(SIL 3)工业功能安全和ISO 26262汽车安全标准的严格要求,设计用于简化安全关键应用的认证
- 模块化、开放的架构采用健壮的分区,当对一个分区/虚拟机进行更改时,显著减少整个平台的重新测试和重新认证
- 这降低了总体拥有成本(TCO);可以轻松地将新分区添加到任何设备,而无需对整个系统进行典型的重新测试
风河专业服务
CMMI 3级评定的风河专业服务组织利用多年的系统设计和开发专业知识,与客户设计和项目团队合作。专业服务解释 系统需求;设计平台选项;并提供满足业务、技术和项目目标的建议。专业服务团队还提供安全关键服务实践,可以 为额外的软件组件提供安全认证证据,包括认证的板级支持包(BSP)、中间件和应用软件。
如需了解更多信息,请访问www.windriver.com.cn/services
风河教育服务
风河提供讲师指导、按需和导师指导的学习,包括我们随时随地访问基于订阅的在线电子学习。如需了解更多信息, 请访问 www.windriver.com/education
风河客户支持
风河开物Hypervisor由风河屡获殊荣的全球支持组织提供支持。我们提供多个时区的实时帮助、具有多方面自助选项的 在线风河支持网络,以及可选的高级服务,以提供最快的解决时间
需了解更多信息,请访问 www.windriver.com/services/customer-support