【Jailhouse 文章】A Novel Software Architecture for Mixed Criticality Systems(2020)

多核 CPU 本文在单个硬件平台上结合安全关键系统和非关键系统，提出了新的基础 Linux 将关键和非关键部分整合到单个硬件平台上的混合关键系统架构，CPU 虚拟化扩展支持可以通过直接分配资源实现严格的静态分区，启动额外的操作系统并行运行，Hypervisor 的核心是 Jailhouse，确保创建的域能够服务于不同关键的工作负荷，不会干扰域内的工作，同时保留 Linux 在非关键部分运行时，关键领域运行了丰富的功能、安全性和实时关键应用程序。本文提出的结构相对简单，是可靠性和认证工作的先决条件。

安全关键系统的软件需要严格认证，非关键部件不得干扰关键部件。软件的可靠性非常重要，代码行 (LoC) 测量的软件尺寸是认证工作的考虑因素。让 Linux 通过安全认证是一项百万行代码的核心是一项具有挑战性的任务，但不能为了通过安全认证而放弃 Linux 本文提供了一种新颖的架构方法 —— Jailhouse，能同时满足关键部分的安全性、实时性和功能丰富性。

Jailhouse 通过向系统和 I/O 将虚拟屏障插入总线，对称多处理 (SMP) 系统转换为非对称多处理 (AMP) 系统。从硬件的角度来看，系统总线仍然是共享的，软件只允许访问其范围内的资源。Jailhouse 需要启动 Linux 指导(见图)控制系统配置文件中描述的所有硬件资源，重新分配回来 Linux 并将 Linux 提升到虚拟机 (VM) 的状态。Jailhouse 管理程序的核心是虚拟机监视器 (VMM)。Jailhouse 不适用于虚拟机管理程序的一般分类，可视为 Type-1 和 Type-2 虚拟机管理程序的混合：它是一虚拟机管理程序，可以直接在没有底层系统的硬件平台上运行，但需要 Linux 在全局控制整个系统之前初始化硬件。

与其他实时分区方法不同， Hypervisor 的 XtratuM 分区嵌入式架构或 PikeOS 微内核的 PikeOS Evolution。Jailhouse 只支持直接硬件访问，Jailhouse 不使用复杂耗时的(半)虚拟化技术模拟设备驱动程序，只使用虚拟化扩展进行隔离，既不提供调度程序也不提供虚拟化 CPU。它是一个信号箱，用于将硬件设备直接通过隔离域，称为单元，只虚拟化硬件平台中不可分割的必要资源。

在将虚拟机管理程序二进制文件加载到此内存区域的目标位置后，应激活管理程序（见图） CPU 输入虚拟机管理程序启动代码并初始化 VMM。

非根单元可以在初始化管理程序后创建。至少有一个非根单元 CPU 辅助操作系统可以由一定数量的内存组成。Linux 关闭选定的 CPU 并调用 Hypervisor 通过提供单元配置来创建新单元。VMM 这个新的隔离域是通过从根单元中删除资源并重新分配给新创建的域来创建的。其它资源，如 PCI 设备、内存映射设备或 I/O 端口可专门分配给单位。单元启动后，可以拒绝任何进一步修改其状态的尝试。这确保了对关键域的无意修改。

一般来说，Jailhouse 允许 Guest 除了使用单元之间的通信外，该机制还允许共享内存映射 I/O 页面。 如有必要，这允许我们从多个领域访问硬件资源，但这种并发访问不是由于 Jailhouse 仲裁，需要由 Guest 适当解决。

图显示了三个单元可能分区系统的布局：Linux 根单元，一个单元 Linux 非根单元和裸机实时操作系统。单元之间的通信是通过两个单元之间共享的内存区域以及信号接口来实现的，这确保了最小的代码占用空间。 Jailhouse 不模拟任何驱动程序功能，但设备驱动程序可以。例如，使用这些方法在两个单元之间建立虚拟高性能以太网连接。根据硬件支持，信号通过信息信号中断 (MSI-X) 基于虚拟的传统中断 PCI 没有实现设备 PCI 在支持系统上，Jailhouse 模拟一个通用而简单的模拟 PCI 主机控制器。

Jailhouse 目前支持 64 位 x86（Intel 和 AMD）、ARMv7 和 ARMv8 架构。几个操作系统已经成功移植 Jailhouse Guest 运行。Linux 它可以作为所有支持的架构 Guest，根文件系统作为内存的初始内存 ramdisk 让我们注意到，我们将以有限的努力成功 RTEMS 实时操作系统移植到 ARM 另外，架构已经存在了 FreeRTOS 端口。

尽管我们的方法在现实世界中具有实用性，但我们发现了由硬件设计造成的不足，虽然这些不足都可以在软件中解决，但这些问题应该由硬件制造商在未来解决，以便为混合关键性系统提供最佳的基础组件。

通常通过读取或写入专用物理内存地址来访问外围设备，这些地址由特定设备的寄存器支持，几乎所有现代架构的典型页面大小都是 4 KiB 或更大，代表了可以分配给单元的最精细的内存粒度，无需管理程序介入。

虽然 32 位或更多位的物理地址提供了足够的空间来将不同的设备放置在不同的页面上，但硬件制造商经常将多个设备放置在一个页面上，甚至是不同类型的设备。

这对于硬件分区是有问题的，因为只有整个内存页面可以分配给一个单元，而不需要在内存访问时进行捕获和分派，Jailhouse 实现了分页，这是一种管理程序允许将内存区域映射到小于页面大小的客户机的技术，当为某个内存区域启用子页面时，Jailhouse 将捕获对该页面的任何访问，并允许访问或由于访问冲突而使单元崩溃。这会导致明显的和不希望的性能损失。

将不同的设备放在不同的物理内存页面上并不总是足以进行硬件分区：单个设备的功能可能需要在两个单元中。多个单元中所需的典型设备是 DMA 控制器、系统时钟和复位控制器或 GPIO 设备。Jailhouse 支持物理内存页面的共享，但它既不适度访问也不了解底层硬件访问协议：Jailhouse 不会确保参数不被其他单元覆盖。

大多数设备在没有 DMA 传输的情况下提供完整的功能，在实时环境中，I/O 响应时间比 I/O 吞吐量更重要，DMA 控制器应该专门分配给单个单元，或者尽可能不使用，来自不同单元的共享 DMA 访问需要可分区的 DMA 控制器。

GPIO 设备也应该专门分配给单个单元，只要它们不可分区，就必须由管理程序分派访问。

一种基于软件的解决方案是对所有设备进行初始化，然后禁止对时钟和复位控制器的任何进一步访问。虽然这个解决方案实际上是直截了当的，但许多现有驱动程序假设时钟和复位控制器始终存在，并且在运行时（取消）断言复位。其他设备驱动程序，如 SPI、UART 或 I2C 驱动程序需要在运行时更改它们的速度或波特率，这也需要它们访问时钟和重置控制器。

只要所有设备的时钟和复位寄存器都绑定到一个公共时钟和复位控制器设备，就不可能在没有半虚拟化或在管理程序中分派的情况下对它们进行分区。这种解决方案对于实际目的是有效的，因为与设备的常规访问相比，时钟和复位控制器通常很少被访问。缺点是时钟和复位控制器的多样性及其不同的协议。

即使允许共享访问时钟和复位控制器，现有时钟驱动程序代码通常不准备在分​​区硬件上运行：可用资源通常在驱动程序代码中硬编码，并且时钟驱动程序通常在启动期间重置或禁用所有现有系统时钟。

分区管理程序技术很有前景，可用于混合关键性场景。通过使用标准操作系统，我们最大限度地减少了移植现有遗留有效负载应用程序所需的工作量，极简的虚拟机管理程序核心简化了认证工作。

我们成功地展示了硬件分区的可用性，然而，硬件制造商需要根据硬件可以分区的需求来改变设计方面，任何基于软件的变通方法都会导致更可预防的管理程序代码和更多的管理程序逻辑。

这种需求要求软件工程师和硬件制造商加强对硬件-软件协同设计的关注，特别是在构建混合关键性系统时，这将在许多制造领域变得越来越重要。