מאת: Courtney Howard
לפני זמן לא רב, מערכת ההפעלה בתוכנה הבסיסית – הטכנולוגיה המאפשרת לא רק להעניק ערך מוסף לחומרה, אלא גם לאמץ מגוון תוכניות בתוכנה – נחשבה למובנת מאליה. מערכת הפעלה בזמן-אמת (real-time operating system – RTOS) היא בעלת חשיבות מכרעת עבור תכנוני האלקטרוניקה הביטחונית של היום, המסתמכת על ה-RTOS כדי לבצע משימות מיוחדות-ליישום בצורה אמינה, עקבית וניתנת לחיזוי.
מערכת הפעלה (operating system – OS) מספקת כלי האמור לסייע למפתחי התוכנה לבנות את היישום שלהם, מסביר Tim King, מנהל שיווק טכני ב-DDC-I Inc. מ-Phoenix. ככל שמגוון התכונות עשיר יותר, כך משתפרת תוכנת היישום, הוא אומר.
מאפייני התוכנה ותפקודה הם חשובים. “מערכות צבאיות ואוויריות דורשות יותר ויותר תפקוד הטמון לעתים קרובות במערכות הפעלה משרדיות מסורתיות יותר מאשר מערכות הפעלה בזמן-אמת מסורתיות, הכוללות ממשקי משתמש גראפיים (graphical user interfaces (GUIs) וגרפים, רישום מתקדם ואחסון בדיסק וב-SSD”, מסביר Robert Day, סגן-נשיא לשיווק ב-Lynux Works Inc. מ-San Jose, Calif.
גם אילן היוחסין הוא חיוני, מוסיף Day. מהנדסי תוכנה צריכים לשאול: אילו תוכניות שימשו ל-RTOS לפני כן? מה הייתה הצלחת התוכנית? מהם הבשלות ובסיס הקודים של ה-RTOS?
האמינות – המוכחת דרך מספר רב של פריסות בשדה – היא שיקול חשוב, אומר John Carbone, סגן נשיא לשיווק ב-Express Logic Inc. ב-San Diego. היא מוכיחה את היכולת של ה-RTOS לטפל בדרישות שונות בצורה אמינה, תוך צמצום הסיכונים”.
הצלחה מוכחת בעמידה בלוחות הזמנים היא שיקול נוסף, מציין Carbone. “ישנם מחקרים המראים את היתרונות של RTOSs אחדים לעומת אחרים באשר להשלמת הפרויקט במועד או לפני המועד”.
“כל לקוח בטחוני איתו שוחחתי בחמש השנים האחרונות שאל על רישוי ה-DO-178”. ביטחון ואימון נכללים בוודאי גם בהחלטות אנשי המקצוע בתעשייה הביטחונית. עבור מפתחי ציוד בטחוני, הקשר עם ספק ה-RTOS הוא יותר מאשר עם ספק של חומרה בלבד”, אומר Carbone. “לעתים קרובות, דרושים שירותים או תכונות נוספים, דבר המחייב קשר עבודה הדוק יותר ואימון בספק ה-RTOS”.
אבטחה היא גורם עיקרי עבור תכניות ממשלתיות חדשות רבות, מעיר Day. “אבטחת הרשת, אבטחת המידע והנתונים ובקרי הכניסה והסיסמאות המאובטחות מצוינות עתה לעתים קרובות על חלק מתפקוד ה-RTOS והאביזרים הכרוכים שלו. קרנלים להפרדה, מערכות הפעלה מופרדות ומערכות הפעלה מאובטחות הן כיום דרישה מחייבת של התוכניות”.
הפרדה
“ראינו התפתחות מארכיטקטורות מאוחדות (יישום, מערכת הפעלה וחומרה יחידות) לארכיטקטורות של אוויוניקה משולבת מודולרית (Integrated Modular Avionics –IMA) (יישומים רבים, CPU יחיד ומערכת הפעלה מופרדת בזמן/מרחב) במהלך 10 השנים האחרונות”, מאשר Joe Wlad, מנהל בכיר לתכניות חלל והגנה ב-Wind River, חברה-בת מלאה של Intel Corp. ב-Alameda, Calif.. ה-VxWorks 653 של Wind River היא מערכת הפעלה מבוססת-IMA אשר אומצה עבור מערכות צבאיות ותעופה מסחרית.
הפרדה בזמן ובמרחב היא תחום תכונות מכריע, מסכים King. ההפרדה בזמן מבטיחה שכל קטע תוכנה נהנה מפרק זמן מסוים ב-CPU, ללא תלות במה שיתר התוכנה מבצעת. בדומה, הפרדה במרחב מבטיחה שתוכנה בקטע אחד לא תוכל להזיק לזיכרון התוכנה בקטע אחר, הוא מסביר.
“אתה יכול לדמיין שמערכות תוכנה קריטיות-לביטחון, בהן לא קיימת הפרדה, יכולות לגרום שקטע תוכנה מסוים יפריע בשגגה או בזדון על הפעולה הנכונה של קטע תוכנה אחר וימנע ממנו לבצע את תפקידו”, אומר King. “בתרחיש של המקרה הגרוע ביותר, זה יכול לגרום לאיבוד המטוס וחיי הטסים בו”.
אמינות היא סוגיית הליבה. “הבט בה בתור ביצוע מובטח וזמינות המשאבים”, מציין Greg Rose, סגן נשיא לשיווק ב-DDC-I. “דבר נוסף שאתה מקבל מההפרדה בזמן ובמרחב היא היכולת להריץ יישומים בעלי קריטיקליות מעורבת. אתה יכול להפעיל משימות מסוימות הפועלות ברמה גבוהה יותר של חשיבות ומשימות אחרות ברמות חשיבות נמוכות יותר באותה היחידה, ועדיין לוודא שהמשימות מתבצעות. ביסודה של Deos מונחת הפרדה בזמן ובמרחב, הביצוע המובטח”.
סביבה מעורבת
ההפרדה בזמן ובמרחב הפכה ליותר ויותר חשובה, אומר King. “מטעמי ממדים, משקל והספק (size, weight and power SwaP), יצרני האוויוניקה כללו פונקציות יותר מורכבות; במקום להוסיף יחידה חדשה במטוס כל פעם שהם הוסיפו דבר כזה, הם רצו לשלב סוגים שונים של יישומים בתוך אותה יחידה לעיבוד מרכזי (central processing unit – CPU).
“הם יכולים לחסוך ביחידות של SwaP על המטוס, אבל עם קטעי התוכנה השונים הללו באותו CPU, יש לנו סכסוך פוטנציאלי היכן קטע תוכנה מסוים עשוי לכלול שגיאה, בשגגה או בזדון, ולהשפיע על פעולת תוכנות אחרות. כאן ההפרדה בזמן ובמרחב מצליחה בתפקידה”, מוסיף King.
“יתכן שקטע תוכנה זה שהוא באמת קריטי עבר תהליך של רישוי פיתוח מאוד מחמיר, אשר גזל הרבה מאוד זמן וכסף”, מציע King, “ואולי יש לי קטע תוכנה לא-קריטית אשר עבר דרך תהליך הרבה פחות מחמיר והעלול להכיל שגיאות. עתה אני יכול לערב אותו על אותו CPU מאחר שמערכת ההפעלה שלהם, ה-RTOS שמתחתיהם, מבטיח בעזרת ההפרדה בזמן ובמרחב שקטע התוכנה הפחות קריטי עליו אני פחות סומך איננו יכול להשפיע על הפעולה הנכונה של קטע התוכנה הקריטי יותר”.
הטכנולוגיה החדשה ביותר של RTOS מ-Green Hills Software ב-Santa Barbara, Calif., משלבת את היתרונות של הפרדה ווירטואליזציה, ומציע יכולת להמיר בצורה וירטואלית את Microsoft Windows או Linux, אשר הביטחון שלהן מאושר רק להגנה בפני ניסיונות מקריים ובלתי-רצויים להפר את ביטחון המערכת, לתוך כל יישום ביטחוני החשוף לסכנה לחיים ולביטחון הלאומי”, אומר Dan O’Dowd, מנכ”ל של Green Hills Software.
“הדרך היחידה בה מערכות הפעלה אלו יכולות להיות מאובטחות ומובטחות היא להפוך אותן לוירטואליות בתוך “תא מרופד” אשר הבטיחות והביטחון שלו מספיקים כדי להגן על מידע מסווג ובעל ערך גבוה אחר נגד גורמי איום מתוחכמים, דוגמת ה-SKPP EAL6+/High Robustness וה-DO-178B ברמה A של RTCA”, מסביר O’Dowd. טכנולוגיית הוירטואליזציה של התא המרופד שלנו היא טכנולוגיית הוירטואליזציה היחידה המציעה DO-178B ברמה A של RTCA ו-EAL6+/High Robustness הדרושים כדי למנוע מ-Windows ומ-Linux להזיק לביטחון ולאבטחה של המערכת”.
ביצועים
אם כי RTOS עשיר בתכונות עשוי להוות יתרון, “ככלל, רצוי למנוע תכונות-יתר”, אומר Carbone. “במילים אחרות, אל תבחר RTOS בעל יותר צעצועים מאשר אתה זקוק; הדבר רק יוסיף מורכבות, יקשה על הלימוד והשימוש, יאט את הפיתוח ולעתים קרובות יעלה יותר. במקום זאת, זהה את הטכנולוגיה המתאימה למשימה הקרובה”.
“אתה רוצה מערכת הפעלה המחייבת כמה שפחות תקורה משלה”, אומר King, “כך שתוכל להקדיש כמה שיותר רוחב פס של ה-CPU עבור תוכנה בעלת ערך נוסף אמיתי, אם מדובר במערכת בקרת טיסה, מערכת אזהרה בפני קירבת הקרקע, או כל דבר אחר. האנשים הם רגישים ביותר לביצועי מערכת ההפעלה וקיימים הבדלים נרחבים במוצרי commercial off-the-shelf – COTS בהקשר זה.
שקול באיזו מידה יכול ה-RTOS להגיב לאירועים, ממליץ Day. “יישומים בתעשייה הביטחונית חייבים לעתים קרובות לענות להרבה יותר אירועים בפרקי זמן קצרים יותר מאשר מערכות מסחריות, וההשלכות של היעדר תגובה לאירועים במועד יכולות להיות קריטיות לחיים”.
מעבדים מרובי-ליבה מביאים לעתים קרובות ליתרונות בביצועים, וספקי ה-RTOS מציפים מערכות הפעלה בטכנולוגיות ויכולות שנועדו לנצל את היתרונות של הליבות המרובות. “VxWorks 653 תומך עתה בארכיטקטורות מרובות-ליבה, אשר יאפשרו למתכננים בעתיד להוסיף אף יותר יישומים לפלטפורמת חומרה יחידה”, אומר Wlad. “מצוידים ביכולת וירטואליזציה, הלקוחות שלנו יכולים להוסיף יישומים קודמים המבוססים על Linux לסביבת ARINC 653 המורשית לפי DO-178C. הטכנולוגיה של VxWorks תומכת ב-APIs בתקנים פתוחים, דוגמת ה-ARINC 653 ו-POSIX, ובמגוון רחב של ארכיטקטורות מרובות-ליבה חדשות הנמצאות בשוק”.
“אנחנו עקבנו מזה זמן אחר הנטיה לכיוון מעבדים מרובי-ליבה”, אומר King מ-DDC-I, הפועל כדי להפוך את מערכת ההפעלה Deos לפתוחה ועונה לטכנולוגיה מרובת-ליבות. “מנקודת ראות של מפתח מערכת קריטית-לבטיחות, שבבים אלה מציגים אתגרים אחדים רבי-עניין –במיוחד בנוגע לתחרות במשאבים. יש לי תוכנה הרצה על שתי ליבות המתחרה בתת-מערכת זיכרון אחת – זוהי תחרות במשאבים. כאשר ליבה אחת נכנסת, השנייה חייבת להמתין.
“מה קורה אם ליבת האפס אוחזת בהם וליבת האחד זקוקה לגישה לערך כלשהו של נתונים קריטיים מאחר שעליה לבצע איזה חישוב קריטי? לפתע, אני חייב להמתין. זהו דבר גרוע”, ממשיך King. “אנחנו מביאים טכנולוגיה פטנטית יחידה במינה אשר תטפל באתגרים אלה ותאפשר ללקוחותינו לנצל את כל הכוח המוענק על-ידי המעבדים מרובי-הליבה הללו. ללא זאת, אתה אמור לכתוב תוכנה, להריץ אותה על ליבה אחת, ולנתק את כל יתר הליבות, כך שאתה מוותר על כמות משמעותית של כושר עיבוד. אנחנו רוצים להפעיל טכנולוגיה חדשה זו כך שתוכל לנצל את כל הכושר הזה”.
רישוי
“ביישומים ביטחוניים, אבטחה וביטחון הם תמיד מכריעים”, אומר O’Dowd. “לפני שאתה בוחן RTOS עבור כל יישום קשור לאבטחה, עליך לבדוק את הרישוי לאבטחה ולביטחון שלו.
“תקן הזהב עבור רישוי ביטחון הוא RTCA DO-178B רמה A, הדרוש עבור תוכנה קריטית-לתעופה במטוס. שום תוכנה כזו לא גונתה אי-פעם בגין אסון תעופתי. מטוסים הם המוצרים בעלי תוכנה מהותית עבורם התוכנה היא הסיבה הכי פחות סבירה לתקלות. זהו ביטחון על-פי כל הגדרה אפשרית”.
Rose של DDC-I מדגיש גם את החשיבות של RTOS מספק אחד בעל היסטוריה מוכחת של פעולה ורישוי קריטיים-לביטחון, הכוללים DO-178B. הקהילה הצבאית מכירה את ה-DO-178B ומתחילה לאמץ אותו”, הוא אומר. “הרבה לקוחות אינם זקוקים לרישוי של DO-178 כיום, אך הם יכולים לראות את המגמה ואת הדרך בה מתנהלים הדברים. הם רוצים לדעת של-RTOS שבחרו יש העזרים האלה כך שכאשר הם יזדקקו להם כעבור שנה אולי, הם יהיו זמינים ולא יהיה צורך לתכנן מחדש את המערכת שלהם”.
“זוהי מגמה שאנחנו רואים אצל כמעט כל לקוח בטחוני”, מוסיף King. “כל לקוח בטחוני איתו דיברתי בחמש השנים האחרונות שאל על הרישוי ל-DO-178”.
הרישוי של RTOS עשוי להיות מכריע. “יישומי אוויר רבים דורשים רישוי של DO-178B”, מאשר Carbone, “כך שה-RTOS שאתה בוחר צריך להיות מורשה על-ידי לקוחות קודמים, צריך להיות זמין עם קוד המקור המלא, וזמין עם העזרים שהרישוי שלך צריך”.
“המאפיינים החשובים ביותר של מערכת הפעלה עבור הלקוחות הביטחוניים שלנו הם היכולת לתמוך בדרישות הביטחון לפי DO-178B ו-DO-178C של RTCA, והיכולת הטבעית לתמוך בדרישות הביטחון עבור מערכות קריטיות-למשימה על-פי קריטריונים משותפים גבוהים”, מתאר Wlad.
“בסופו של דבר, ספקי התוכנה הללו חייבים להיות מסוגלים לאשר את התוכניות שלהם. הם רוצים רמת נאמנות גבוהה כאשר ספק מערכת ההפעלה לא אמור להכניס כל סיכון לתוך הרישוי שלהם. היכולת להסמיך מערכת הפעלה ביישומים צבאיים הופכת ליותר חשובה מידי שבוע; היא גדלה להיות חלק גדול מההחלטה מצד הרשויות הצבאיות”.
מלבד תוכנת האוויוניקה, תקן הזהב עבור רישוי ביטחוני הוא ה-Separation Kernel Protection Profile (SKPP) Evaluation Assurance Level (EAL) 6+/High Robustness , לפי O’Dowd. “תקן זה קובע שיש להגן על מידע מסווג ומידע אחר בעל ערך גבוה בפני גורמי איום מתוחכמים. זהו דבר בטוח לפי כל הגדרה”, הוא אומר. “מאידך, Microsoft Windows ו-Linux מורשים להגן רק בפני “ניסיונות מקריים ושוגגים לפרוץ את ביטחון המערכת”. זה איננו בטוח על-פי שום הגדרה. כל RTOS שאינו יכול למלא אחר תקני ביטחון ובטיחות ברמה גבוהה אלה, אין לו מה לחפש ביישומים ביטחוניים קריטיים-לחיים או קריטיים לביטחון האומה”.
