СТА 3/2010

ОБ ЗОР / Т Е Х НОЛОГ ИИ 24 СТА 3/2010 www.cta.ru В ОПРОСЫ СЕРТИФИКАЦИИ ПО БЕЗОПАСНОСТИ Серьёзным вопросом, встающим пе ред производителями устройств в про цессе сертификации, является необхо димость соответствия требованиям к критичному ПО, в частности, – изоля ция/защита его от остальных компонен тов системы. Если программное и аппа ратное обеспечение системы полностью интегрированы, приложение с обычны ми требованиями к безопасности, вы полняющееся операционной системой общего назначения, тоже должно быть безопасным. Реализация этого требова ния – очень сложная и затратная задача, поскольку объём кода ОС общего назна чения очень велик. Кроме того, было бы полезно иметь возможность периоди чески пересматривать некритичную часть ПО, чтобы, например, усовершен ствовать графический интерфейс или расширить совместимость без необхо димости повторно сертифицировать всю систему много раз на протяжении её жизненного цикла, поскольку это вле чёт за собой дополнительные расходы и задержки графика проектов. Компоненты повышенной безопас ности требуют временно+ й и простран ственной изоляции от остальных ком понентов с меньшей степенью критич ности. Сегодняшние концепции изоля ции больше рассчитаны на реализацию каждой функции независимой подсис темой, но этот подход аппаратно избы точен и увеличивает стоимость. Более того, сложившиеся зависимости между компонентами, вызванные использова нием технологий полностью или час тично собственной разработки, обычно вызывают дополнительные трудности при миграции на коммерческие (COTS) программные и аппаратные ре шения. Однако разработчики, проекти ровавшие свои системы с расчётом на гибкую миграцию, находятся в выиг рышном положении и могут легко вос пользоваться всеми преимуществами новых технологий, такими как много ядерность и виртуализация. С НИЖЕНИЕ РИСКА Если отставить в сторону авиацию, космонавтику и военные приложения, где регулирование осуществляется усто явшимся стандартом ARINC 653, боль шинство отраслей испытывает недоста ток в унифицированном подходе к функциональной безопасности. Это оставляет пространство для свободной трактовки стандартов и может выра зиться для производителей устройств в дополнительной непредсказуемости и неопределённости. В большинстве слу чаев производители устройств сталки ваются с растущим объёмом требований по реализации различных степеней критичности и всё более строгих огра ничений. В ARINC 653 полезным под ходом является разделение ПО на от дельные модули, которые можно серти фицировать независимо друг от друга. КомпанияWindRiver, признанный экс перт в технологиях безопасности ARINC 653, удовлетворяющих требованиям DO 178B, использует свои наработки на про мышленном рынке, чтобы снизить риски и помочь инженерам разрабатывать безо пасные и предсказуемые приложения. За щита памяти, предоставляемая гиперви зором Wind River, может быть использо вана для обеспечения пространствен ного разделения приложений на вирту альных платах (рис. 4 * ). Такая конфигу рация предоставляет приложениям вы деленные защищённые контексты, что является принципиально важным для гарантирования целостности и безопас ности независимых программных моду лей. Пространственное разделение поз воляет приложениям работать независи мо друг от друга, что создаёт возмож ность производителям сертифицировать их по отдельности как более простые не зависимые компоненты. Плюс назначе ние разных виртуальных плат различ ным ядрам и/или применение соответ ствующей дисциплины планирования (если несколько виртуальных плат делят ядро между собой) поможет получить необходимое разделение во времени. Оптимизированный для процессо ров Intel гипервизор Wind River предо ставляет: ● механизм реализации пространствен ного и временного разделения прило жений; ● возможность изоляции критичных функций (например, soft PLC эмуля тора ПЛК) от всех остальных (напри мер, графического интерфейса); ● открытый модульный подход, потен циально обеспечивающий безопас ность при одновременном сокраще нии затрат. П ЕРСПЕКТИВЫ СООТВЕТСТВИЯ БУДУЩИМ ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ И ПРОИЗВОДИТЕЛЬНОСТИ Сочетание многоядерности и техноло гии виртуализации открывает путь к реа лизации будущих требований к безопас ности и производительности в промыш ленных и транспортных приложениях. По сути, программные и аппаратные технологии от Intel и Wind River могут помочь разработчикам своим единым стандартизированным подходом к про странственному и временно+ му разделе нию. Высокая производительность мно гоядерных процессоров Intel с техноло гией Intel VT позволяет приложениям безопасно выполняться в виртуализиро ванной среде. Wind River, в свою очередь, предоставляет программный каркас, включающий в себя ОС VxWorks Cert, сертифицируемый по стандартам МЭК 61508 и DO 178B, и сертифицируемый гипервизор. Производители, сертифицирующие приложения повышенной безопасности по МЭК 61508 уровень 3 или другим от раслевым стандартам, производным от МЭК 61508, могут получить значитель ный выигрыш от использования продук товWind River на процессорах архитекту ры Intel, увеличивающих безопасность и надёжность в виртуализированной среде реального времени. ● Авторы – Йенс Виганд (Jens Wiegand), руководитель направления промышленных и медицинских приложений компании Wind River, Марк Чамберс (Mark Chambers), менеджер по маркетингу направления программных продуктов корпорации Intel. Перевод Николая Горбунова, сотрудника фирмы ПРОСОФТ Телефон: (495) 234-0636 E-mail: info@prosoft.ru * Данная диаграмма носит исключительно иллюстративный характер и показывает общее направление развития продуктов Wind River. Она не может быть включена ни в какие контракты или использована при принятии решений о закупках. Разработка, выпуск и обеспечение характеристик любой заявленной функциональности продуктов Wind River остаётся на усмотрение Wind River. Приложение повышенной безопасности Другие приложения ОС Wind River Linux или Windows ОС Wind River VxWorks (сертифицируемая) Гипервизор Wind River (сертифицируемый) Одно или многоядерный процессор Intel Рис. 4. Виртуализация в приложениях с повышенными требованиями к безопасности © СТА-ПРЕСС