Posts Tagged ‘Embedded’

שתי ליבות העתיד ברכיב אחד The First MultiCore Micro-Controller in the world –

יום ראשון, 04 ספטמבר 2011 23:00 Written by heli 0 Comments

CortexM0 & CortexM4 in one chip – LPC4000

מאת: אמיר שרמן, ארו ישראל

עולם המיקרו-בקרים מרובי הליבות
שוק המיקרו-בקרים מוצף מעבדים מבוססי ליבות ARM מסוג Cortex M3 ,Cortex M0 ואפילו כבר נמצאים בשוק מעבדים עם הליבה החדשה Cortex M4 בתצורות שונות ומגוונות ומנהלי הפרויקטים השונים הן בחומרה והן בתוכנה משקיעים מאמץ גדול בבחירה המתאימה לדרישות של הפרויקטים וכבר אנחנו עוברים לשלב הבא, שהוא ממש ייחודי ודורש הבהרות.
בשלב זה מתחילים להופיע בשוק מיקרו-בקרים מרובי ליבות! מיקרו-בקרים שרק לפני מספר שנים בדור הקודם של הפרויקט היה בקר 8bit והיום 2 ליבות שעובדים בצורה מקבילית ושונים אחד מהשני. זאת לא רק מהפכה בעולם המיקרו בקרים אלא שינוי תפיסה עקרוני בעולם התוכנה בעיקר ובחומרה בפרט ואת זה אנסה להסביר.
בעולם המיקרו בקרים בדרך כלל ישנה מטרה ברורה לתפקידי המעבד כגון עיבוד מידע, שימוש ב- PWM בעולם ה- Motion Control או חיבור המעבד להתקן חיצוני כגון USB או לרשת התקשורת דרך ה- Ethernet. אם ישנם מגוון רחב של מטרות כיוון שהאפליקציה דורשת זאת, כלומר ביצוע של מגוון רחב של מטרות או משימות יש צורך בשימוש של מערכת הפעלה RTOS – Real Time Operation System כדי ליצור משימות Tasks ולהגדיר עדיפויות לביצוע Priority ואנשי התוכנה בונים את ה- Firmware בתצורה חכמה של שכבות ניהול התוכנה.
היום התווסף עוד מימד לתיכנון הן של החומרה והן של התוכנה מכיוון שבקרי העתיד שכבר כאן הן מרובי ליבות כאשר הליבות יכולות לתקשר בינהם ולחלק את העבודה בהתאם לרצון המשתמש בצורה נבונה. NXP שיחררה לעולם משפחה חדשה בשם LPC4000 הכוללת שני ליבות , האחת מבוססת Cortex M0 הפשוטה יחסית והשנייה באותו אריזהרכיב כמובן מבוססת ליבת Cortex M4 החדשה בעלת יכולת מורחבת כגון:, FPU – Floating Point Unit כל ליבת יכולה לעבוד בתדר של 150Mhz.
שניהם פעילים בצורה אסימטרית עם גישה ישירה לזיכרון ה- Flash המורחב עד 1Mbyte בתצורת בנק יחיד או שני בנקי זיכרון. בתוספת זיכרון Ram של עד 134Kbyte.
ישנם עוד חמישה בלוקים שונים המתווספים לליבות והם ה- .

כל בלוק מכיל התקן פריפריאלי שכל ליבת יכולה לפנות אליו ולנהל אותו כאשר ה- Interfaces כולל שני High Speed USB מסוג Host/Device או OTG ,Ethernet MAC, ארבעה Uarts שלושה SPI שני I2C ושני I2S. תמיכה ב- SDIO וניהול ממשק זיכרון חיצוני ה- External Memory Control כמו כן תמיכה בשני התקני Can Bus ומנהל בקרת מנועים מסוג Quad Encoder Interface. אפילו מנהל זיכרון Boot טורי מסוג SPI ו- בקר LCD לתצוגה גרפית.
בלוק ה- Timers מכיל Motor Control PWM גם כן לבקרת מנועים, RTC, ארבעה 32bit Timers וגם Alarm Timer.
בלוק ה- Configurable Interface מכיל Serial GPIO שמאפשר תיכנות התקן תקשורת נוסף אם יש צורך בכך ( כלומר אם חסר עוד I2C אזי הוא ניתן לתיכנות ). כמו כן State Config Timer.
בלוק ה- Security מכיל התקני אבטחה כגון OTP Key Storage שזהו התקן הניתן לתוכנות חד פעמי ליצירת מפתח יחודי לרכיב ותמיכה בהצפנה מסוג AES.
בלוק ה-Analog כולל ממיר אנלוגי לדיגיטלי ADC של עד 16 ערוצים ב- 10bit וכמו כן ממיר דיגיטלי לאנלוגי DAC של עשרה סיביות 10bit גם כן.
NXP מכוונת את המשפחה הזאת לעולם ה- DSC – Digital Signal Controller מכיוון שה- CortexM4 מכיל פקודות מתמטיות ייחודיות לעולם זה ובנוסף תמיכה ב- Floating Point. השילוב הייחודי עם ה- Co-Processor מבוסס CortexM0 מייחד את המשפחה זאת כנגד רכיבי ה- CortexM4 הרגילים בשוק.
לאחר הסקירה החומרתית נעבור לצד התוכנתי שבמקרה זה ישנו שינוי מהותי של התכנון התוכנה הקיים מכיוון שישנם 2 ליבות שונות שכל אחת חזקה דיו לנהל מספר מערכות ולכן נפתחה בפנינו מספר אופציות של שימוש עם או בלי מערכות הפעלה בהתאם לאפליקציה הדרושה. ישנם מספר אופציות לתיכנון:
1. במצב הפשוט נפעיל את הבקר באף אחד מהליבות ללא מערכות הפעלה (בעיקר כשאין שימוש ב- Ethernet לצורך תקשורת).
2. במצב הנפוץ נריץ מערכת הפעלה RTOS כלשהי עם ה- CortexM4 שתנהל את התקשורות השונות (Ethernet & USB) כולל TCP/IP Stack וה- CortexM0 ינהל את ההתקנים האנולוגים.
3. במצב המתוחכם ביותר ירוצו 2 מערכות הפעלה שונות או מקבילות על שני הליבות השונות והתכנת יבצע Debug מקבילי עליהם. דוגמא לכך נמצא בחברת ARM על ידי סביבת העבודה של Keil שבו יתבצע Debug בו זמנית של 2 הליבות כולל תמיכה של הפעלת 2 מערכות הפעלה בו זמנית על הרכיב.
במצב JTAG מערכת LPC4000 מספקת גישה בו זמנית על שני מעבדי Cortex-M באמצעות CoreSight™ ARM שזוהי מערכת לבדיקה באגים ו- Debug. ה- ULINKpro של Keil המבצע את הבדיקות (Debug) ואת מתאם מעקב (Trace) יחד עם ARM-MDK Keil (ערכת פיתוח מיקרו) מאפשר שני מופעים עצמאיים שיופעלו בעת ובעונה אחת. מצב זה מאפשר למפתחים כלי לניתוח בתוכנת היישום של שני מעבדים לזהות ולתקן את השגיאות בעיקר בעיות תקשורת. כאשר אלה הושלמו, המעבד השני ניראה כיחידה אחרת היקפית שגם אותה ניתן לבדוק . פיתוח קוד נוסף ניתן לעשות שימוש רק מופע אחד של ה-IDE μVision / Debugger.
חברת ארו ישראל תהיה החברה הראשונה בעולם (World Wide) שבספטמבר תספק ערכות פיתוח זולות (Low Cost Boards) מבוססות על משפחת ה- LPC4000 בשיתוף פעולה עם חברת Diolan הישראלית כך שניתן להתחיל את הבדיקות (Evaluation) של שימוש במיקרו בקרים מבוססי 2 ליבות העתיד מסוג CortexM0 ו- Cortex M4.

אמיר שרמן, ארו ישראל

ATMEL מכוונת גבוה במשפחה חדשה של מעבדים ומסכי מגע

יום ראשון, 04 ספטמבר 2011 23:00 Written by heli 0 Comments

מאת: אריק וינשטיין

חברת Atmel, מהחברות המובילות בתחום מעבדים למערכות משובצות ובטכנולוגיית מסכי מגע הודיעה לאחרונה על תוצאות הרבעון השני של 2011 שממשיך את מגמת העלייה בהכנסות. מה שמייחד חברה זו הוא לאו דווקא הגידול בהכנסות כמו שינוי הכיוון שבו החלה ב-2006 תוך התמקדות והגדלת הפעילות בתחום המיקרו-בקרים ומעבדים למערכות משובצות, דבר שהביא לגידול בהכנסות בתחום זה מ- 24% מסך כל הכנסות החברה בשנת 2006 עד ל-64% ברבעון הראשון של 2011.
החברה מספקת היום פתרונות למערכות משובצות מחשב החל ממיקרו-בקרים בארכיטקטורת 8 ביט, מעבדי 32 ביט, וטכנולוגיות למסכי מגע קיבוליים.
מרקוס ווימר (Markus Wimmer) – מנהל מכירות אזורי של Atmel במזרח אירופה והמזה”ת, סקר בפני ניו-טק את קווי המוצרים ותחומי הפעילות העיקריים של החברה “בעקבות שינוי הכיוון בשנת 2006 תוך החלפת ההנהלה הבכירה – החברה החליטה להמשיך ב-2 קווי מוצרים בתחום המיקרו-בקרים: הראשון הוא משפחת ה- AVR שהחלה במעבדי 8 ביט מבוססי ארכיטקטורה ייחודית וכיום המשפחה תומכת גם בארכיטקטורת 32 ביט. קו המיקרו-מעבדים השני מבוסס על ארכיטקטורות של ARM החל מ- ARM7 ועד למשפחת Cortex העדכנית”.
השינוי וההתמקדות בתחום המיקרו-הבקרים הוא לא השינוי היחידי שהוחלט עליו ב- Atmel. בשנת 2008 רכשה החברה את חברת Quantum הבריטית שפיתחה טכנולוגיה ו- IP לחיישני מגע קבליים בעיקר ליישומי מממשק משתמש (User Interface). רכישה זו הזניקה את Atmel להיות בין המובילות בתחום טכנולוגיית המגע בכלל ומסכי מגע בפרט. בחברה גאים לציין שבקרי מסכי המגע של Atmel נמצאים ב-8 מתוך 10 הטלפונים החכמים המובילים בשוק כמו למשל של מוטורולה, סמסונג ו- HTC. רק לאחרונה הכריזה סמסונג כי תשלב בדור החדש של מכשירי המגע מסוג Galaxy S-2 את הבקר mXT224 של Atmel שינהל את האינטראקציה עם המשתמש.
“סדרת הבקרי מסך ממשפחת ה- maxTouch המכילה טכנולוגיה מוגנת פטנטים מאפשרת זמני תגובה מהירים לפעולות המשתמש גם במסכים מורכבים, בנוסף בקרים אלו כוללים מעבדים פנימיים ממשפחת ה- AVR כך שהם מספקים יחס ביצועיםהספק מצוין. אחד היתרונות הגדולים בטכנולוגית המגע של Atmel הוא היכולת לשלב אותה גם במיקרו-מעבדים של ה-8 ביט של Atmel שלאו דווקא מכילים LCD Controllers וזאת בעזרת שימוש בספריית QTouch. הספרייה מאפשרת ללקוחותינו לשלב במוצרים שלהם ממשק מבוסס מגע כמו כפתורי מגע קבליים , Sliders ו- Wheel ותומכת משפחות ה- AT91SAM וה- AVR. ממשק מבוסס מגע שהיה נפוץ ביותר בתחום המוצרים לצרכן כמו טלפונים חכמים ונגנים חודר היום גם לתחומים נוספים כמו בקרה תעשייתית, תעשיית הרכב שם השימוש במעבדי 8 או 16 ביט יותר נפוץ והשימוש ב- QTouch מאפשר לתכנן מוצרים עם זיכרון קטן יותר, דוגמה לכך היא חברת BMW שאימצה טכנולוגיה זו לשימוש ברכביה”

משפחת ה- AVR כוללת מיקרו-בקרים ברוחב 8, 16 ו-32 ביט ומבוססת על ארכיטקטורה ייחודית ל- Atmel שפותחה כחלק מעבודת דוקטוראט והיא אופטימאלית לתמיכה בשפות תיכנות כמו C. המשפחה כוללת כמה תתי משפחות:
AVR – UC3 ברוחב 32 ביט שמספק יחס ביצועים – הספק גבוה במיוחד כולל תמיכה ב- DSP ויחידת עיבוד מתמטית בנקודה צפה (FPU).
tinyAVR: מעבדי 8 ביט למוצרים שדורשים הספק נמוך במיוחד כמו גם גודל פיזי קטן וכוללים ממירי A/D משווים אנלוגיים ותמיכה בסיגנלי PWM.
megaAVR: מעבדי 8 ביט אך ליישומים שדורשים זיכרון גדול יותר – עד 64K זיכרון הבזק ובקר LCD ותמיכה של עד 16 ערוצים ב- QTouch.
AVR XMEGA: התומכת בארכיטקטורת 8 ו- 16 ביט, ביצועי זמן-אמת גבוהים ומשלבת USB, ממירי A/D ומתח הפעלה נמוך של 1.6 וולט.
המשפחה השנייה של מיקרו-בקרים מבוססת על מעבדי ARM. הדור הראשון שהחל את דרכו בשנת 2000 כלל מעבדים מבוססי ARM7 ובחברה גאים לציין שעד היום ממשיכים הלקוחות לייצר מוצרים המבוססים על משפחה זו. משפחה זו כוללת כיום מעבדים רבים החל מה – SAM7, המשך ל- SAM3 שמבוססת על ארכיטקטורת ה- ARM Cortex M3 ועד ל סדרת המעבדים מסדרת AT91SAM9 שמיועדים ליישומים מורכבים יותר כמו ציוד רפואי.
לאחרונה השיקה החברה חמישה מעבדים חדשים כחלק ממשפחת ה- SAM9 שמבוססת על ליבת ה- ARM926EJ-S ומאופיינים ביכולות קישוריות נרחבות ובקר LCD מתקדם. ב- Atmel מציינים שמעבדים אלו מתאימים במיוחד ליישומים כמו ציוד רפואי, בקרה תעשייתית, בקרת אקלים ואוורור (HVAC) נקודות מכירה (PoS) מדפסות ועוד. חמשת המעבדים החדשים הכוללים את: SAM9G15, SAM9G25, SAM9G35, SAM9X25 ו- SAM9X35 תומכים בקישוריות USB ( עד 3 חיבורים כולל Host) ו- Device,
CAN, Ethernet, SDIO/SDcard/MMC, I2C, SPI וכן מודם בתוכנה. התקני התצוגה כוללים בקר LCD התומך ב-4 שכבות תצוגה והאצת 2D ( בין היתר מאפשר תמונה-בתוך-תמונה וסיבוב תמונה), מצלמה וממשק למסך מגע. ממשקי הזיכרון כוללים: SDRAM, NOR Flash, MLC NAND Flash, DDR2 ו- LPDDR. המעבדים פועלים התדר 400 ומתאפיינים בצריכת הספק נמוכה של 300 מיקרו-וואט ל- MHz.

אבטחת התקנים משובצים בעידן המחובר החדש שינוי פרדיגמה אמיתי מתחיל בנקודת מבט חדשה

יום ראשון, 04 ספטמבר 2011 23:00 Written by heli 0 Comments

מאת: שמואל פניג’ל, Wind River

תקציר מנהלים
גידול מהיר בתחכום של התקנים משובצים ובחיבור שבינם לבין עצמם מלווה בעלייה של איומי האבטחה. ההתקפות על התקנים אלו מתבצעות לא רק על ידי החשודים הרגילים, אלא על ידי זן חדש של האקרים בתמיכתם של אנשי פשע מאורגן, מדינות וארגוני טרור.
מפתחי התקנים חייבים להגיב על כך בנקיטה בגישה כוללת יותר לאבטחה – גישה שתיקח בחשבון נושאים של אבטחה בכל שכבה של שלבי הפיתוח – מהסיליקון דרך שכבות של הווירטואליזציה, מערכת ההפעלה, מערך ניהול הרשת (network stack), התקשורת ועד היישום.
מאמר זה דן בשיקולים החשובים הקשורים לגישה מקצה לקצה של אספקת פלטפורמה ביחס לאבטחת התקנים, ומספק עצה היכולה לסייע לקצץ במסגרת של זמן הפיתוח ובעליותיו, להתמודד עם סיכוני האבטחה הכוללים ולהמיר את האבטחה מאיום להזדמנות לקבלת יתרון תחרותי.

אבטחת התקנים משובצים
הנחשול האחרון בפיתוח התקנים משובצים היה ראוי לציון. מוצרים משובצים ברחבי העולם השולטים בתשתיות חיוניות הפכו להיות חכמים יותר ועברו מהתקנים פשוטים ועצמאיים למוצרי בקרה וניטור אוטונומיים מורכבים ומחוברים. המוצרים המשובצים של ימינו, מרחיבים את יכולת התקשורת ושיתוף המידע שלנו. אבל, לא רק. הם מסייעים בהפעלת טלפונים חכמים, מבצעים מדידות חכמות עבור ספקי תשתית, משתתפים בבקרת אוטומציה תעשייתית, מנטרים מערכות שמן ודלק לתובלה ורשתות תקשורת ונמצאים בלב התקנים רפואיים ניידים ששומרים אנשים במצב חיוני וחי, במלוא מובן המילה. פעילות גומלין בין מכונה למכונה, המסופקת על ידי רכיבים שכל הזמן הופכים לקטנים יותר ולחכמים יותר, מאפשרת יצירת רמות חדשות של ניתוחים מאופשרי חיישנים ובקרה ויוצרת מהפכה בפעולות עסקיות וממשלתיות.
המספר המוחלט של התקנים אלו ועצמאותם, צומחים אף הם במהירות רבה. קיימת הערכה שעד שנת 2020 יהיו בשימוש יותר מ-50 מיליארד התקנים מחוברים. לרוע המזל הגידול המהיר במוצרים משובצים מלווה בעלייה גדולה של איומי אבטחה. כל התקן חדש המחובר לרשת הופך להיות באופן פוטנציאלי החיבור החלש ביותר הבא של הרשת. על פי חברת McAfee, נחשפים בכל יום יותר מ-55,000 תוכניות תוכנה זדוניות ויותר מ-200,000 מחשבי זומבי, קיימים יותר מ-2 מיליון אתרי אינטרנט זדוניים, וצורות חדשות של התקפות ושל ניצול חורי אבטחה מופיעות מידי יום. כל איומי האבטחה האלו מקבלים תאוצה עם התרחבות ההתקנים המחוברים.
באותה המידה אפשר להיות מוטרדים מפעולות ניצול חורי אבטחה (exploit) המבוצעות על ידי זן חדש של האקרים. עכשיו, אלו אינם רק ילדים חכמים המנסים לפרוץ חומת אש “בשביל הספורט”. קבוצות מקצועיות ביותר ממומנות היטב – כולל פשע מאורגן, סוכנויות ממשלתיות ותאי טרוריסטים – מוצאות חורי אבטחה דרך התקנים משובצים ובדרכים יצירתיות ביותר. הן מנסות לפצח דרך אל תוך רשתות מאובטחות, לקבל גישה למידע רגיש, לשנות את ההתנהגות של מערכות חיוניות לבטיחות באופן שיגרום נזקים פיסיים לציוד ולאפשרות העמדת חיים בסכנה. כבר אין זו עלילה יצירתית של סרט פעולה או של סרט מדע בדיוני מהוליווד. זו יכולה להיות הפתיחה של מלחמת מנע עתידית במרחב הקיברנטי.

התקנים משובצים הפכו היום להיות המטרה של ארגוני פשע מאורגן, מדינות וארגונים טרוריסטיים
למרות תקני הבטיחות הייעודיים ההולכים ומתרבים כל העת לתחומי הממשל, המדינה, הרשויות המקומיות ולתעשייה ולמרות דרישות התאימות המתרבות, ההתקפות במרחב הקיברנטי ממשיכות לקצור הצלחות כפי שאפשר לראות מהמקרים המעניינים האחרונים הבאים:
Stuxnet, שהיא תוכנה זדונית מתוחכמת, שולחה בפברואר שנת 2010 נגד אתר ההעשרה הגרעיני בנתאנז שבאירן. Stuxnet תוכננה להסתנן דרך מערכות הבקרה בנתאנז, להסתתר ולגרום נזקי כיוונונים לסרקזות (צנטריפוגות) החיוניות. הווירוס Stuxnet שימש גם נגד תוכנת מערכת הבקרה בחודש יולי 2010 וחידש את הדאגה הקיימת זמן רב באשר ליכולתה של רשת החשמל בארה”ב לעמוד בהתקפות מכוונות במרחב הקיברנטי. במקרה זה, Stuxnet תוכננה לנצל את פגם “יום האפס” (כזה שאינו ידוע עדיין) של Windows על מנת לאתר ולגנוב נתונים תעשייתיים ממערכות בקרת פיקוח והרכשת נתונים (SCADA).
מבצע Aurora, התקפה במרחב הקיברנטי שהחלה באמצע שנת 2009 כוונה נגד Google ונגד תריסרי ארגונים אחרים, לרבות Adobe Systems, Juniper Networks, Rackspace ואחרים. נראה שהמטרה העיקרית של ההתקפה הייתה לקבל גישה אל מאגרי זיכרון של קוד מקור וככל הנראה גם לשנות אותם. “קובצי ניהול הקונפיגוריציה המאובטחת [SCM] היו פרוצים לרווחה,” אמר דמיטרי אלפרוביץ’, סגן נשיא למחקר איומים בחברת McAfee למגזין Wired. “איש לא חשב מעולם לאבטח אותם, ועם זאת הם היו יהלומי הכתר – הפרס הגדול – בעלי ערך רב הרבה יותר מכל הנתונים הכספיים או מנתונים המזוהים באופן אישי, שבהגנה עליהם הושקעו כל כך הרבה זמן ומאמצים.”
Night Dragon, התקפה שתחילתה בסין וכוונה נגד חברות חובקות עולם לנפט, לאנרגיה ולמוצרים פטרוכימיים, שולחה בנובמבר שנת 2009. היה זה איום מתקדם במיקוד עקבי (APT) שהתמקד בגניבת מידע סודי ביותר כמו למשל פרטי מבצעים, נתונים של מחקרי גישוש (exploration research) ונתונים כספיים. התקפה זו שילבה הנדסה חברתית והתקפות מתואמות היטב ומכוונות במרחב הקיברנטי באמצעות סוסים טרויאניים (תוכנה המאפשרת שליטה מרחוק) ותוכניות זדוניות אחרות. ייתכן ש–Night Dragon שיפרה טכניקות שנתגלו כבר בשנת 2008 ועודדה התקפות חדשות מידי יום.
מחשב נייד שהיה נגוע איפשר באוקטובר 2010 לפרצני מחשבים לגשת אל מערכות מחשבים במתקן לטיהור מים בהאריסברג שבפנסילבניה. המחשב הנייד שימש כנקודת כניסה להתקנת וירוס מחשבים ותוכנת ריגול במערכת המחשבים של המתקן, כך על פי דיווח בחדשות רשת ABC.
נער בגיל ההתבגרות פרץ בפולין לתוך המערכת של החשמליות והוריד מהפסים ארבעה קרונות – פשוט על ידי התאמה של שלט רחק של מכשיר טלוויזיה כך שהיה יכול לשנות נקודות מסוט (לשינוי מסילה בהתפצלויות). שניים עשר בני אדם נפצעו באחת מהירידות מהפסים, כך על פי העיתון הבריטי The Telegraph.
נראה שחזית ההאקרים הבאה היא מכוניות. עובד שפוטר מסוכנות מכירת מכוניות, Texas Auto Center, התחבר למערכת המחשבים מבוססת האינטרנט של החברה, הפעיל מרחוק את הצופרים של יותר מ-100 כלי רכב וגרם לכך שנהגים לא היו יכולים להתניע את מכוניותיהם. העובד נעצר מאוחר יותר והואשם בחדירה לא חוקית למחשב.
בקצרה, התקנים משובצים הפכו כיום המטרה של ארגוני פשע מאורגן, של מדינות ושל ארגונים טרוריסטיים אשר מעונינים לשבש ולהשמיד את התשתיות שנחשבו בעבר מאובטחות מאוד ומוגנות היטב. והעלויות הנגרמות כתוצאה מפריצת אבטחה במערכות אלו יכולות להיות עצומות. יסודות עיקריים של הכלכלה והתשתיות שלנו תלויים במערכות משובצות. התקפה מוצלחת יחידה יכולה לסכן את הכל החל בשירותים ציבוריים חיוניים ביותר וכלה באיכות של שירותי הבריאות. בסיכומו של דבר, פעילויות החשובות ביותר לביצוע המשימה או חיי אדם נמצאים בסיכון בהשפעת האבטחה של התקנים משובצים.
מתן מענה לדרישות האבטחה המתפתחות
המפתח למניעתו של זן חדש זה של איומי האבטחה היא לנקוט בנקודת מבט של פלטפורמה מקיפה, ולא בגישה של רכיבים מועטים כשניגשים לענות על נושאי האבטחה. על מפתחי ההתקנים המשובצים לשקול את נושאי האבטחה בכל שכבה – מפלטפורמות החומרה וטכנולוגיות הווירטואליזציה עד למערכת ההפעלה, למערך ניהול הרשת, לחומרת הביניים הנוספת של התקשורת, לחבילות הנתונים המועברות ברחבי הרשת ועד ליישומים הייעודיים הנדרשים לתמיכה בפונקציונליות של ההתקן.
הצעד הראשון הוא לבצע הערכת איומי אבטחה על המערכת מקצה לקצה אשר תבחן את נושאי האבטחה לא רק מנקודת המבט של איש הפיתוח אלא מנקודת המבט של היצרנים, המפעילים ומשתמשי הקצה.
ברמת הייצור למשל, על האבטחה להפוך להיות חלק משולב של תכנון המערכת, של הבחירה בטכנולוגיה מסוימת, בתהליכי פיתוח היישומים ואפילו במשימות ניהול היישומים כמו למשל שילוב תיקוני טלאים ושדרוגים. עבור המפעילים, קיימת חובה לבצע ניתוחים של איומי אבטחה שהם חלק בלתי נפרד מתהליכי הקונפיגורציה וההתאמה האישית ולתת להם מענה. יש גם לתכנן את תהליכי ניהול התוכנה, העדכון והאספקה תוך התחשבות באבטחה. ברמת משתמש הקצה, ההערכה חייבת לכלול איומי אבטחה שיכולים להיות יזומים על ידי משתמש הקצה, כמו למשל תוכניות תוכנה זדוניות, וירוסים, וירוסי תולעת וסוסים טרויאניים, שכל אחד מהם עלול להשפיע על האמינות ועל הביצועים.
מפתחים של התקנים משובצים צריכים לקחת בחשבון את נושאי האבטחה בכל שכבה.
הערכת האבטחה חייבת גם לבחון את נקודות הפגיעות האפשריות בכל שכבה: ווירטואליזציה, מערכת ההפעלה, מערך ניהול הרשת (network stack), חומרת הביניים (middleware) ושכבת היישום. לדוגמה, בשכבת הווירטואליזציה או בשכבת מערכת ההפעלה, אנשי הפיתוח צריכים להיות מודעים לאופן שבו פרצני המחשבים מחפשים לנצל חורי אבטחה במערכת ההפעלה.
מרגע שהובנו נקודות הפגיעות האלו, אפשר להשתמש בטכניקות ייחודיות על מנת לסכל התקפות. למשל, חברת Wind River תומכת בכמה מפתחות הצפנה בעלי חוזק עליון ובכמה יכולות נוספות כמו למשל IPsec והחלפת מפתחות באינטרנט (IKE) ומספקת תאימות למערך ניהול הרשת לפי FIPS 140-2 ובדיקות עם כמה סוויטות של תיקוף אבטחה כמו למשל Common Criteria, Wurldtech וכיוצא באלה. זמני הפעולה של Wind River נבדקים אל מול הטכניקות המתרחבות כל העת אשר משמשות לפריצה לתוך מערכות הפעלה. בנוסף, חברת Wind River מספקת קווי הנחיה לתכנון אבטחה על מנת לסייע בפיתוח התקני הדור הבא תוך מינוף של טכניקות חדשות, הפרדה באמצעות ווירטואליזציה, רכיבים מאושרים לשימוש בזמן הפעולה (run-time), אינטגרציה של טכנולוגיות של “יצירת רשימות לבנות” (white-listing) וכיו”ב.

אבטחת מחסנית התוכנה
הצעד הבא הוא להעביר את הגנת האבטחה ברחבי מחסנית התוכנה של מערכת ההתקן – מהסיליקון לאורך כל הדרך עד לשכבת היישום:
סיליקון: בשכבת הסיליקון יש הזדמנות לשבץ בתוך הקושחה (firmware) של השבב טכנולוגיות שונות כדוגמת ווירטואליזציה, מסירה שניתן לבטוח בה (trusted), אתחול שניתן לבטוח בו וטכנולוגיות נוספות על מנת להגדיל את העמידות של מערכת ההפעלה.
תוכנת פיקוח על (hypervisor): טכנולוגיות של ווירטואליזציה יכולות לשמש הצורה מיוחדת כדי לחזק את האבטחה על ידי שימוש בהפרדה. רבים מבין אנשי הפיתוח חושבים בדרך כלל על ווירטואליזציה ועל המקרים לדוגמה הארגוניים שלה בשיתוף של התקני מערכת. יחד עם זאת, על מנת להרחיב את האבטחה בהתקנים משובצים, הווירטואליזציה משמשת באופן הולך ומתרחב כדי לבצע הפרדה בשימושי ההתקן, להפריד את מערכות ההפעלה של ממשק האדם מכונה (HMI) ממערכת ההפעלה המשמשת לבקרה, להפריד את הממשק הפיסי ממערכת ההפעלה המשמשת לבקרה וכך הלאה. השימוש המורחב הזה בהפרדה בתוך התכנון של ההתקן יכול לספק שיפורים משמעותיים באבטחה.
מחסנית מערכת ההפעלה ומחסנית התקשורת: בחירה במערכת ההפעלה הפכה להיות מכריעה עבור ההתקנים של היום המצויים ברמת חיבור גבוהה. מחסנית מערכת ההפעלה ומחסנית התקשורת חייבות להימצא בתאימות עם דרישות האבטחה המתקדמות ביותר שמוגדרות עבור השימוש המיועד. בנוסף, יש להעביר את המוצרים האלה תהליך אישור על ידי סוויטות תיקוף אבטחה של מגזר השוק. לדוגמה, אנשי פיתוח של התקני בקרה תעשייתית צריכים לחפש מערכות הפעלה ומחסניות שעברו תיקוף לפי אישור Achilles של חברת Wurldtech. התוכנית Achilles מבצעת הערכה של עמידות הרשת של ההתקן והפלטפורמה ומאשרת שהם עברו מערך מקיף של בדיקות אבטחה.
יישומים: יש צורך לפתח את היישומים תוך מחשבה על האבטחה מתחילת התהליך. יישומים יכולים לנצל את הטכנולוגיות החדישות הנמצאות בפיתוח כדי שיסייעו לעמידות האבטחה על ידי שיפור של יצירת “רשימות אפורות” או רשימות לבנות. בכל אופן, על אנשי הפיתוח לתכנן יישומים עם עקרונות אבטחה מחמירים, שאם לא כן, יישומי ההתקנים שהם יספקו עלולים בסופו של דבר לשמש “כדלתות אחוריות” לפעילות זדונית.

הגדלת החשיבות של קבלת אישור
אנשי הפיתוח צריכים לחפש דרכים לשלב בכל רמה בתכנון עקרונות של אבטחה ורכיבי זמן פעולה בעלי אישור אבטחה: מערכות הפעלה מאושרות, מחסניות רשת מאושרות וחומרת ביניים מאושרת. קבלת האישור מספקת תיקוף עצמאי מאת מומחה שניתן לסמוך עליו המאשר שרכיב או פלטפורמה נתונים עומדים בתקנים מוגדרים ושהם נמצאים בתאימות עם דרישות מוגדרות. כמו כן היא מספקת מבחן ביצועים שיכול לשמש כבסיס להשוואה.
יצרני ציוד רבים החלו זה מכבר לדרוש אישורים, לאור הגידול בתקנות ממשלתיות שהעמידה בהם נדרשת כיום בשווקים רבים ועבור ההתקנים הקשורים בהם.
בזירת האוטומציה התעשייתית, תוכנית האישור Achilles של חברת Wurldtech היא אחת התוכניות בעלות ההכרה הנרחבת ביותר. בקרים משובצים, התקנים מארחים, יישומי בקרה ורכיבי רשתות יכולים כולם לקבל את אישור האבטחה למרחב הקיברנטי מאת Achilles.

קבלת האישור מספקת תיקוף עצמאי מאת מומחה שניתן לסמוך עליו המאשר שרכיב או פלטפורמה נתונים עומדים בתקנים מוגדרים.
כשבוחנים יותר מקרוב את הגורמים שמגדילים את הפגיעות במרחב הקיברנטי, הופכים היתרונות של האישור להיות מודגשים יותר:
מיזוג: טכנולוגיות חדשות, כמו למשל מעבדים בעלי ריבוי ליבות, יצרו הזדמנויות חדשות להקטנת העלויות במיזוג של מערכות. כתוצאה מכך, המצב הזה הניע את הצורך של התעשיות לשתף פעולה ולקבוע תקנים חזקים יותר ופרדיגמות של אבטחה עבור התקנים חדשים ששילבו קודם לכן פונקציות נפרדות. מצב זה הפך להיות מורכב עוד יותר כתוצאה מדרישות הקישוריות החדשות. אישור האבטחה במרחב הקיברנטי מגדיר ומתקף תאימות עם לתקנים ולפרדיגמות אלו.
קישוריות: כל המוצרים החל בהתקנים נפרדים וכלה במערכות שברצפת הייצור במפעל מחוברים למערכות עסקיות, למערכות ניהול שרשרת האספקה ולענן המחשוב. בעקבות ההתפתחות של הפרדיגמה מכונה–למכונה (M2M) ושל חיבור “האינטרנט של דברים”, הפכו ההתקנים המשובצים להיות חשופים להתקפות של המרחב הקיברנטי ברמות ללא תקדים. יחד עם זאת, באמצעות אישור אבטחה למרחב הקיברנטי, אפשר ליצור תקנים ואפשר לשלוט בסיכונים ולשכך אותם.

מינוף טכנולוגיות ייעודיות ליישום
הגנת האבטחה למרחב ההתקנים המשובצים והגנת האבטחה לזירת היישומים היו עד כה איים נפרדים. יחד עם זאת, בהינתן האופי של ההתקנים המשובצים שקיימים כיום, של חיבור הולך ומתהדק, הטיפול הכוללני באיומי אבטחה הפך להיות הכרח מבחינה אסטרטגית.
מאחר שהתקנים משובצים צריכים לעמוד בדרישות טכנולוגיות שונות מאלו שעמדו בעבר בפני ציוד של טכנולוגיית המידע – כלומר, מגבלות של הספק מוגבל, זיכרון ומגבלות של ביצועים – פתרונות האבטחה של העבר כבר אינם מספיקים. בעזרת ההתחברות של McAfee ושל Wind River לצוות, אנשי הפיתוח של התקנים משובצים יכולים לממש אמצעי אבטחה בכל השכבות של מחסנית התוכנה לרבות שכבת היישום.
וחשובה לא פחות היא היכולת של McAfee ו-Wind River לשלב את התפישה של יצירת רשימות לבנות עם תפיסת “המודיעין מבוסס המוניטין” כדי לספק אבטחה בעלת יכולת רבה יותר להתקנים משובצים. הגישה של יצירת רשימות לבנות, שכבר נפוצה בשימוש במרכזי הנתונים התעשייתיים, הרפואיים והארגוניים, מתמקדת בכך שהיא מתירה רק מה שידוע לגביו שהוא תקין. על ידי שילוב תפישות אלו עם יצירה של רשימות אפורות, שבהן הערכת איומי האבטחה מתבססת על מוניטין, Wind River ו-McAfee יכולות לספק פרדיגמת אבטחה חדשה שנותנת מענה לטווח המלא של בעיות, איומים וניסיונות ניצול חורי אבטחה.

יחד, McAfee ו–Wind River יכולות לשלב את התפישה של יצירת “רשימות לבנות” עם תפיסת “המודיעין מבוסס המוניטין” כדי לספק אבטחה בעלת יכולת רבה יותר להתקנים משובצים
האינטגרציה הראשונית בין מערכת Linux של Wind River לבין פתרונות האבטחה של McAfee תלווה בהמשך באינטגרציה נוספת עם מערכות הפעלה נוספות ועם טכנולוגיות ווירטואליזציה משובצות של Wind River.

מסקנות
ברור שהיום הוא הזמן לשינוי פרדיגמה בפיתוח התקנים משובצים. במקרה זה, שינוי פרדיגמה אמיתי מתחיל בנקודת מבט רעננה ביחס לחשיבות שיש לאבטחה – לא רק תכונה נוספת אלא כתכונה מובנית של הדור הבא של התקנים משובצים. במילים פשוטות, אנשי הפיתוח צריכים לתכנן ולעצב מוצרים משובצים באופן שיעמוד בדרישות שמציבים אתגרי האבטחה, לפני שאלו יהפכו להיות בעיות רחבות בהרבה.
בעזרת העברת נקודת המבט של הפלטפורמה אל האבטחה ועל ידי רתימת היעילות של רכיבים בעלי אישור אבטחה למרחב הקיברנטי, אפשר לקצץ בהוצאות הפיתוח ובמסגרות הזמן תוך הפחתה ממשית של סיכוני האבטחה הכוללים. זה יותר מאשר שינוי פרדיגמה עבור אנשי הפיתוח של התקנים משובצים. זהו שינוי שמספק תשתית מאובטחת יותר, תוצאות כספיות חזקות יותר, שקט נפשי גדול יותר ודרך חיים טובה יותר.
הכותב: שמואל פניג’ל, מנהל הנדסה אזורי, Wind River ישראל

תהליך BOOT במערכות הפעלה זמן-אמת מסוג SMP

יום ראשון, 04 ספטמבר 2011 23:00 Written by heli 0 Comments

BOOT מאת: אריק וינשטיין

בעוד יצרני הסיליקון מובילים את המגמה בהחדרת מעבדים מרובי ליבות ליישומי מערכות משובצות (Embedded) נאבקים מפתחי התוכנה לשמור על הקצב בתחום זה אם לפיתוח מערכות הפעלה, תווכות או יישומים. משוכה עיקרית במעבר לסביבה מרובת ליבות היא הצורך להשתמש באסטרטגיות פיתוח תוכנה חדשות עבור מערכות קיימות. כתבה זו דנה בדוגמה אחת למעבר כזה – העלאת התוכנה במערכת מרובת ליבות הומוגנית (בה הליבות זהות) ללא השימוש ב- boot-loader (מערכת bare-metal). נתמקד בלהציג את הנקודות הדורשות התייחסות בתהליך ה- boot של מערכת ההפעלה זמן-אמת כמו בניית המחסנית, אתחול המשתנים הדרושים לגרעין (kernel) של מ”ה וסנכרון בין הליבות בתהליך העלייה.
רוב מ”ה המסחריות כיום נשענות בצורה זו או אחרת על boot-loader לצורך העלאת התוכנה. ה- Uboot נפוץ במיוחד בשימוש עם לינוקס בטווח רחב של מעבדים כמו ARM או POWERPC. יש היגיון להשתמש כשאפשר בדרך זו אך יש מיקרים שבהם נדרשת מ”ה לעלות לבד למשל מערכות בהם נדרש זמן עלייה מהיר של התוכנה או במקרים בהם אין זיכרון FLASH לאחסון ה-boot-loader. לבסוף נזכיר גם שמ”ה זמן-אמת שקיימות בשוק לאו דווקא תומכות בשיטה זו של
boot-loading אלא יודעות לעלות בצורה עצמית – דבר שמאתגר את המתכננים במעבר לסביבה מרובת ליבות.

תהליך BOOT במערכות SMP
כדי לאפשר מעבר לתהליך ה- boot מסביבת מעבד יחיד למעבד מרובה ליבות SMP, דברים בסיסיים כמו סדר איתחול הזיכרון או בקר הפסיקות, סנכרון בין הליבות ובניית המחסנית – כל אלה צריכים להיפתר ע”י מ”ה.
1.סדר האתחולים:
במערכות SMP יחידת ה- Cache Coherency היא מודול נוסף שדורש אתחול. בדרך כלל המימוש נעשה ע”י פרוטוקול ברמת ה- bus שמאפשר לזיכרון ה- cache להיות מעודכן בערכים האחרונים של המשתנים בזיכרון וכל ליבה שלוקחת חלק ב- SMP צריכה “להירשם” במודול זה. כדי להימנע ממצב שאתחול זה תלוי בארכיטקטורה ספציפית אלא יהיה כללי יותר, רישום זה של הליבות יכול להיעשות כחלק מאתחול הזיכרון ע”י מ”ה. חיסרון בשיטה זו שבד”כ פקודות אטומיות מסוג read-modify-write ניתנות לשימוש רק לאחר אתחול מודול ה- Cache Coherency, כך שפעולות סנכרון בין הליבות במעבד (ידון מאוחר יותר) לא יכול לעשות שימוש בפקודות אלו לפני אתחול הזיכרון.

דיאגרמה 1 : תהליך ה- boot במערכת הפעלה Nucleus SMP

פרמטר אחר שמשפיע על תהליך ה- boot במעבדים מרובי ליבות הוא הטופולוגיה של המערכת והזמינות של המידע על המבנה הטופולוגי, לדוגמא – כמה ליבות יש בזמן העלייה של המערכת? האם ליבה אחת מסוימת נחשבת לליבה עיקרית במבנה? האם ניתן להוסיף ליבות חדשות בזמן ריצה? התשובות לשאלות אלו לא משפיעות רק על סדר האתחול של היחידות השונות אלא יכולות להשפיע בצורה עקיפה על בניית המחסנית וסינכרונים שונים שבהם נדון בהמשך.
2.בניית המחסנית: במערכת עם ליבה אחת, מחסנית ראשוניתזמנית בד”כ מאותחלת להמשיך בקוד אל תוך סביבת ה-C (שתומכת כבר בהרצת קוד ב- C), לאחר מכן מאותחלת מחסנית קבועה (system stack) שבה משתמשת כל התוכנה. בסביבה מרובת ליבות ניתן לעשות תהליך דומה על כל ליבה בנפרד אך ניתן לממש זו גם בדרך שונה: ליבה “עיקרית” אחת בונה מחסנית זמנית אחת, וליבה זו בהמשך תבנה את המחסניות הקבועות עבור שאר הליבות. היתרון בשיטה זו שהיא חוסכת קוד על ה-”ליבות המשניות” והם יכולות להשתמש במחסניות אלו ממש בתחילת תהליך ה- boot. ההנחה בשיטה זו היא שתהליך ה- boot של הליבה העיקרית משיג את זה של הליבות המשניות וכן שהליבה העיקרית יודעת את מספר הליבות המשניות בזמן שאלו מחכות לסיגנל start-boot ממנה.
3. סנכרון בין הליבות: בזמן תהליך ה-boot יש צורך לסנכרן בין ליבות ה-SMP מפני הליבה העיקרית אחראית על האתחול של המערכת בעוד הליבות המשניות אחראיות על אתחולים הספציפיים להן בלבד. השיטה המקובלת היא ע”י שימוש ב- reset: הליבה העיקרית מבצעת את תהליך האתחול בעוד האחרות נמצאות במצב wait. בשיטה זו נדרש שימוש גם בחומרה והישענות רק על מימוש בתוכנה יכולה להוביל לבעיות. דוגמא לכך , אם ליבה משנית נמצאת במצב “Wait-For-Event” לצורך קבלת הסיגנל מהליבה העיקרית הרי שמודול הפסיקות שלה צריך גם להיות מאותחל ע”י הליבה הראשית, דבר שלא תמיד אפשרי מאילוצי חומרה. בנוסף, הליבות המשניות לא יכולות לקבל את הסיגנל הנ”ל דרך הזיכרון כי ה- cache ובקרי הזיכרון לא מאותחלים עדיין. נקודה נוספת בסנכרון מנקודת מבטה של הליבה העיקרית, בנקודת זמן שהיא מבצעת את אתחול ה-kernel של מ”העליה לוודא שהליבות המשניות התקדמו בתהליך ה- boot וגם מוכנות להגדיר processes או tasks (הגדרה שגם צריכה להיעשות בשלב אתחול ה- kernel). במקרה זה הזיכרון מאותחל כבר כך שאין בעיה לממש סנכרון זה דרך דגלים בזיכרון.
Nucleus SMP של מנטור גרפיקס מהווה פתרון לאתגרי התכנון שתוארו למעלה. תהליך ה- boot של Nucleus SMP מתואר בדיאגרמה -1 גם לליבה העיקרית וגם לליבות המשניות. בחלק העליון, הליבה העיקרית מתחילה ב- reset וממשיכה להתקנת המחסנית הראשונית. לאחר מכן, השלבים שמסומנים ברקע סגול מסמנים את הפעולות שנעשות ע”י כל הליבות בעוד אלה עם הרקע הכתום נעשים רק ע”י הליבה העיקרית.
Nucleus SMP לא מסתמך על קבצי scripts לאתחול, כל הנדרש לאתחול סביבת מרובה ליבות נמצא ומנוהל על ידי מערכת ההפעלה עצמה. דבר זה מהווה יתרון בתחזוקתיות וגם בתהליך porting למעבדים אחרים. עם תהליך boot כפי שמתואר בדיאגרמה 1, האתגרים בהעלאת המערכת מנוהלים בצורה יעילה וישירה ע”י מ”ה ומאפשרים מעבר חלק יותר מיישומים המשתמשים במ”ה רגילה בליבה אחת לזו התומכת ביישומי – SMP בסביבה מרובת ליבות.
Nucleus SMP מבוסס בעיקרו על Nucleus OS המוכרת של מנטור גרפיקס ותומך במעבדים מרובי ליבות כמו ה- Cortex-A9 MPCore של ARM המכיל 4 ליבות.
באדיבות אלון טכנלוגיות -
נציגי Mentor Embedded בישראל

מערכות מחשוב הדור הבא – כבר כאן

יום ראשון, 04 ספטמבר 2011 23:00 Written by heli 0 Comments

מאת: אברהם סיני, אבדור

מבוא
בסדרת כתבות נבצע סקירה של מספר פלטפורמות מחשוב לשוק ההיי-טק: שוק התקשורת, השוק הרפואי, השוק הצבאי ועוד.
חברת Advantech היא המובילה בעולם המחשוב התעשייתי ופועלת בשיתוף פעולה הדוק עם החברות המובילות בעולם הטכנולוגי: Intel ,Texas Instruments ועוד.
Advantech מספקת מגוון רחב של פתרונות טכנולוגיים המוצעים ב- Form Factors סטנדרטיים ועל פי דרישות ספציפיות של הלקוחות:
DSP Processing Platforms
RISC Computing Platforms
Embedded Single Board Computers
Server-grade IPC
Industrial Computer Chassis
COM-Express
PC-104 Modules
Industrial Motherboard
Medical Computing Platforms
Industrial Video Network Solutions
חברת אבדור-חלת בע"מ, כנציגה של Advantech, ממוקמת בראשל"צ ומשרתת את לקוחותיה במתן מגוון פתרונות טכנולוגיים ושירותי ייצור ולוגיסטיקה, מהשלב הראשוני של הגדרה וגיבוש הפיתרון הטכנולוגי ועד לייצור השוטף.

כתבה ראשונה – ATCA תקן ATCA הנו המאמץ לתקינה הגדול ביותר של ארגון התקנים – PICMGPCI Industrial Computer Manufacturers Group. יותר מ – 100 חברות משתתפות בהגדרתו של התקן. מפרטי .3, המגדירים את התקן, אושרו לראשונה על ידי ארגון PICMG בדצמבר 2002 ומאז הם ממשיכים להתעדכן. תקן ATCA התמקד בראשיתו בעיקר עבור דרישות הדור הבא של ספקי ציוד תקשורת וטלקום (ומכאן שמו – Advanced Telecommunications Computing Architecture) אלא שלאחרונה תופס התקן מקום ביישומים רבים נוספים כמו: ספקי האינטרנט, ספקי תשתיות הכבלים והוידיאו, אולמות השרתים "בענן" ואף דרישה ל"מחשבי על" מוקשחים בתעשיות הצבאיות וה – Aero. מה גרם לתקן זה להיות פופולארי ומוצלח כל כך ? סדרת מפרטים המאפשרת בתוכה ליישם את חזית הטכנולוגיה עם מעבדים בעלי ביצועים גבוהים ביותר, מהירות גבוהה ביותר של קישוריות Ethernet, וזאת תוך שמירה על מהימנות משופרת, זמינות ושמישות (RAS) במחיר סביר.

ATCA: מענה לדרישה הולכת וגדלה עבור רשתות רחבות פס
עולם התקשורת עבר שינויים חדים. השינוי הראשון בתקשורת הנייחת, בעוד שעד לא מכבר תשתיות הטלפון יועדו להעברת שיחות טלפון בלבד ועבדו בצורה אנלוגית או לחילופין דיגיטלית ספרתית מסונכרנת (ISDN למשל) ומטרתם הייתה להעביר קול מונחה חיוג, הרי שבמעבר ל- NGN ולתשתיות הכבלים, מעבירים את המידע ב-"חבילות" ובנוסף לקול גם נתונים ווידאו.
השינוי השני התחולל בעולם התקשורת הניידת. מהפכת הדור השלישי (והרביעי) ביחד עם הצריכה המהירה של I-Phones" , I-Pod ו – I-Pad" ושאר ההתקנים האישיים החכמים המאפשרים קישוריות אלחוטית בכל מקום ובכל זמן אל עבר "ענן" האינטרנט והעברת מידע , וידאו וקול.
שני שינויים אלו דורשים ציוד תקשורת ומחשוב אמין היכול להתמודד עם רוחב פס הולך וגדל – מכאן נובע המרוץ של יצרניות הציוד להספקת מערכת ATCA שיתמכו בקצבים של Gb/s לפורט בודד.
למה רק Gb/s לפורט? מכיוון שזו נקודת הקצה בטכנולוגיה כרגע מצד יצרני הסיליקון והתמסורת הרלוונטיים ולמעשה כרגע רק בודדים הצליחו לממש אותה בהצלחה. כמובילה בתחום זה, Advantech יצאה ראשונה לשוק עם פתרון הולם, ברמת הכרטיס והמערכת.
מחד ראינו את הצורך בהקמה ובחידוש תשתיות של 40 גיגה, אולם חברות הטלקום ונותני השירותים לא בהכרח מרוויחים בצורה ליניארית מהגדלת רוחב הפס. נפח השירותים בחינם המועברים ברשתות הולך וגדל (Skype, Viber etc) ותעריפי השירות הגיעו למיצוי. לכן החברות מחפשות פתרון חסכוני בכסף, חסכוני במקום וחסכוני בצריכת אנרגיה.

ATCA-7410 – Network Processor Blades
זהו כרטיס מעבד הקולט תעבורה של Gb/s לפורט. הכרטיס מבוסס על 2 מעבדי תקשורת של NetLogic מדגם XLP832 בעל 8 ליבות (64 וירטואליות) MIPS בכל מעבד. ובנוסף על הכרטיס מתג של Broadcom-Trident. כל מעבד מסוגל לקבל ולעבד
Gb/s גיגה ביט לשנייה, כך שהכרטיס מסוגל לעבד עד Gb/s. מערכת של U יכולה לעבד היום עד Gb/s. הבחירה של Advantech בשילוב של Netlogic ביחד עם Broadcom הביאו לכך שכרטיס זה הוא הראשון מסוגו בעולם. כל שילוב אחר בין יצרני מעבדי תקשורת מסוג MIPs לבין יצרני רכיבי המתג יופיעו בשוק רק כחצי שנה מאוחר יותר. יתרון נוסף של הכרטיס שהינו מסוגל להוות גם Hub-Blade במערכות של U ומטה ובכך לחסוך בכסף לארכיטקטים של המערכות.

מדוע להשתמש בכרטיס שכזה?
ראשית, Time To Market. שנית, ביצועים. שלישית היכולות החדשות הטמונות הן במעבדי ה- XLP והן Trident. הטכנולוגיה החדשה נותנת פתרונות ממשיים של "Lookup-Table" ו- "Traffic-Filtering" שמהווים היום צוואר בקבוק. שימוש נכון ב-MultiCore בעזרת מנועים מובנים של המעבד, שלא היו קיימים עד היום, כמו ה- "Network Accelerators" עושים את ההבדל.

MIC-5332/MIC-5333 – Intel® Sandy Bridge Blade with Cave Creek
Advantech הייתה הראשונה לצאת לשוק עם כרטיס ATCA מבוסס
®Nehalim/Westmere INTEL וזכתה לשם עולמי בזכות זאת. Advantech מתכוונת לשחזר את ההצלחה גם עם הדור הבא של מעבדי אינטל Sandy-Bridge EP מרגע שיוכרזו רשמית בעולם ה- High-End. לגרסת להבי (Blades) מעבדי אינטל תוצרת אדוונטק מספר תצורות המאפשרות גמישות רבה ללקוחות בבחירת הכרטיס ובמעברים שונים בינם. תצורה ראשונה הינה כרטיס בעל מעבד אחד, תצורה שניה - כרטיס בעל שני מעבדים. בעוד הכרטיס בעל 2 המעבדים ועד 16 ליבות נותן את הביצועים הגבוהים ביותר, מאפשר הכרטיס עם מעבד בודד, להוסיף כרטיס AMC. כרטיס AMC יכול להוסיף תכונות יחודיות למערכת: כניסות רשת נוספות בחזית, הוספת אחסון, הצפנה, מאיצי תנועה, כרטיסים תומכי תקשורת מסורתית כמו TDM /ATM.

יתרון נוסף של להבי אדוונטק הוא כרטיסי FMC – Fabric Mazzanine Cards. אלו כרטיסים בגודל זעיר וזול. ניתן להוסיף עד 2 FMM ללהב. כרטיסים אלו מתממשקים ל- PCIe x16 של כל מעבד מצד אחד ויכולים להתממשק עם FI מצד שני. לדוגמה ניתן יהיה להוסיף את רכיב התקשורת של אינטל "Cave-Creek" (במקום או בנוסף לקיימים ב- RTM), או להוסיף עוד
NICs Fabric וזאת על מנת לעבוד בטופולוגייה של Dual – Dual Star, או להוסיף רכיבי FPGA או גרפיקה (GPU) גם בכרטיסים עם 2 המעבדים. למעשה זהו תקן פתוח, שנכתב ע"י אדוונטק, שיאפשר ללקוח לתכנן או לרכוש מוצר המתאים לו ביותר בשטח המיועד שעל "כרטיס המדף". חברות העושות שימוש ב- Network Appliance והן ב- ATCA יוכלו להשתמש באותו FMM עבור שתי הפלטפורמות.

DSPA-8901E – 20 X TI Shannon DSP Blade
ה- DSP תמיד שימש את תעשיית הטלקום בכל מה שנוגע לדחיסה ועיבוד קול שעבר ברשת הטלפוניה. אולם, היום נדרשות אותם פעולות גם לוידאו ועיבודי אותות ותמונה. אדוונטק יצאה עם כרטיס מבוסס Shannon של "טקסס אינסטרומנטס". הכרטים כולל 20 רכיבי DSP TMS320FCI678 בעלי 8 ליבות כל אחד מה שמוביל ל- 160 ליבות לכרטיס! ה-DSP מסודרים בחוות של 4. כל DSP בעל גישה לזיכרון ישיר מסוג DDR3 כאשר כל שני DSP מחוברים בלינק של MCM ו- PCIex16 ו- כל ארבעה Shannon מחוברים ביניהם ב- Serial Rapid I/O וגם ב- 10Gb/s Ethernet כל רביעייה שכזאת מחוברת למתג הרלוונטי לפי הפרוטוקול אותו בחר להשתמש הלקוח. ניתן להזמין את הכרטיס לא מאוכלס במלואו ומאוכלס בכפולות של 4.

במקביל לכרטיס זה, יוצאת אדוונטק, בסדרת כרטיסים נוספת של AMC עם 8 שנונים וכרטיסים בפורמט PCIex16 בחצי אורך וחצי גובה עם 4 שנונים ובפורמט ארוך ורחב עם 8 שנונים.
מי עוד זקוק לכרטיס כזה? תעשיות הוידאו קונפרנס, עיבודי תמונה בזמן אמת לדוגמה מכונות זיהוי פגמים בתהליכי ייצור. תעשייה בטחונית – בחישובים בליסטיים ובאקדמייה שם נדרשים חישובים מדוייקים בעזרת נקודה צפה FLOATING POINT. במקביל עובדת אדוונטק בימים אלו על פתרונות זהים מבוססי Netra לעשיית ה- Surveillance.

אינטגרציה של מערכת
אתגר נוסף הוא לבצע אינטגרציה לכל המרכיבים ולוודא שהכל "מנגן" כראוי כמערכת שלמה - אתגר זה כלל לא פשוט. אע"פ שהכל מתוכנן ועובד לפי המפרט, הרי ששינויים של BIOS Firmware , פקודות OEM ייחודיות של IPMI ו- SNMP, קבצי קונפיגורציה של המתג והבקר וניהול הסל הינם דרישות טבעיות ויחודיות אצל כל לקוח ולקוח ודורשים סנכרון וידע. שינויים אלו באו על מנת לתת אופטימיזציה למערכת לפי ישומו הספציפי של הלקוח.
כל מערכת שונה מקודמתה ודורשת בדיקות עומס, סימולצייה טרמית ובדיקות קדם תקינה CE/FCC/UL וכו'. כמו כן מערכות טלקום דורשות בדיקות של PRE-NEBS המבטיחות מעבר חלק ומהיר של המערכת בתהליך התקינה של NEBS.
תהליך של בדיקות מערכת סטנדרטיות טרם שליחתם ללקוח הסופי כוללות ביצוע דיאגנוסטיקה לתקינות כל התוכנה והקושחה, פעולות של Burn-In הרצה בתנור בטמפרטורה גבוהה, הזרקת תעבורה בקצבים גבוהים, התקנת אפליקצייה של הלקוח הסופי ועד שילוח ללקוח. כל אלו הינם חלק מהשירותים שאדוונטק נותנת ב- 3 יבשות: ארה"ב, טיוואן ובישראל באמצעות מרכז האינטגרציה באבדור-חלת.

ATCA בקופסה
בשיתוף פעולה עם מס' OEMs גדולים בעולם יצרה חברת אדוונטק מוצר הקרוי "Packetarium" או "ATCA בקופסה". לקוחות שעדיין מעוניינים להשתמש בארכיטקטורה של ATCA, כלומר מערכת מודולרית הכוללת מיתוג, כרטיסים עם מעבדי אינטל, כרטיסי Network Processors, כרטיסי DSP בתקשורתEthernet בקצבים גבוהים, אולם לא זקוקים לשליפה החמה, ולא זקוקים לספקי DC, לא זקוקים לסל מוקשח ולא זקוקים ליתירות של 1+1 עבור המתג, ועבור בקר הניהול יכולים לקבל זאת במארז 2U את מה שניתן לקבל ב- 6U ו-ATCA ב- 3U את מה שניתן לקבל בסל ATCA של . החיסכון במקום, בחשמל ובכסף הוא משמעותי בעשרות אחוזים.

תמיכה בתקנים ופלטפורמות נוספות
אף על פי ש- ATCA הנו מנוע הצמיחה העיקרי, אדוונטק נשארה מחוייבת לתקנים קודמים ונוספים. אדוונטק יצאה לאחרונה עם כרטים MIC-3395 מבוסס Sandy – Bridge בפורמט של cPCI, גם בגירסה צבאית מוקשחת. מוצר חדש נוסף הוא כרטיס AMC ,MIC-5663 מבוסס Sandy-Bridge למערכות uTCA. הכרטיסים החדשים מבטיחים שיפור בביצועים ויותר קישוריות בחזית כמו 3-5 יציאות Ethernet ויציאת HDMI. וזאת מבלי לפגוע בכל הממשקים לכיוון ה- Backplane.
כרטיס מעניין נוסף בפורמט הינו AMC AMC-4201. המבוסס על Network Processor של Freescale. לכרטיס כניסה ישירה של Gb/s בפנל הקידמי. הכרטיס תומך ב- PCIe, XAUI ,SR I/O מכיוון ה- Backplane.
קו המוצרים של אדוונטק רחב וכולל כרטיסים רבים נוספים כמו כרטיסי מרפסת לסוגיו השונים, כמו כן Advantech מובילה בתחום Network appliance ויצאה בסדרה חדשה עם מעבדי ה- Sandy-Bridge. אולם לא נוכל להקדיש מקום לכל אלו במאמר זה.

לסיכום, אדוונטק הנה ספקית פתרונות של כרטיסים בודדים, אפליינסים ומערכות גמורות וכוללות. אדוונטק נותנת שירותי איטגרציה ו- Customization ללקוח
ה- OEM. ומבצעת שיתופי פעולה עם חברות ישראליות ואחרות בקהילת ה- ATCA ע"מ להבטיח פתרון מלא, גמיש ואופטימלי ללקוח.

אברהם סיני משמש כמנהל הטכני בחברת אבדור

« Older Entries