VOsySmonitor是一個基于ARM TrustZone的 ISO 26262 ASIL C 認(rèn)證的安全關(guān)鍵系統(tǒng)分區(qū)程序，這使得具有不同關(guān)鍵級別的多個操作系統(tǒng)能夠并發(fā)執(zhí)行。

創(chuàng)新的 VOsySmonitor 架構(gòu)將系統(tǒng)分為兩個主要隔間，一個用于安全關(guān)鍵應(yīng)用程序，另一個用于標(biāo)準(zhǔn)應(yīng)用程序，并使用 Arm TrustZone 將它們隔離。

這種隔離對于提供安全性至關(guān)重要，安全關(guān)鍵應(yīng)用程序的運(yùn)行受到標(biāo)準(zhǔn)應(yīng)用程序的完全保護(hù)（在帶有標(biāo)記緩存和隔離設(shè)備的單獨內(nèi)存地址空間中）。

VOSySmonitor 軟件層位于車輛軟件堆棧的最低層（Arm 監(jiān)控層），以一流的性能提供對系統(tǒng)資源分區(qū)的最強(qiáng)控制，同時提供最靈活的系統(tǒng)架構(gòu)。

因此，VOsySmonitor 是實現(xiàn)下一代汽車 eCockpit 的完美解決方案，在現(xiàn)代汽車中，車輛信息、娛樂、導(dǎo)航、攝像頭/視頻和設(shè)備連接被組合到顯示器中，而無需使用昂貴的傳統(tǒng) 1 型虛擬機(jī)管理程序的繁瑣依賴。

此外，VOsySmonitor 不強(qiáng)加任何封閉的解決方案或依賴組件，并且可以與Linux、Android、Automotive Grade Linux等開源技術(shù)結(jié)合使用，這允許通過提出自下而上的解決方案來降低成本，其中Virtual Open系統(tǒng)側(cè)重于關(guān)鍵資源的隔離、安全和性能。

簡化的虛擬化電子控制單元：VOsySmonitor 支持在同一平臺上執(zhí)行多個操作系統(tǒng)，沒有性能開銷，降低了硬件和布線成本，簡化了軟件維護(hù)和原型設(shè)計。

最高的安全性和安全性：VOSySmonitor 對系統(tǒng)資源進(jìn)行分區(qū)，將安全關(guān)鍵應(yīng)用程序隔離在受保護(hù)的隔間中。它通過了 ISO 26262 ASIL C 認(rèn)證，并支持安全可信執(zhí)行環(huán)境實施，例如 OPTEE。

可擴(kuò)展性和開放性：VOSySmonitor 提供了一個可擴(kuò)展的解決方案，其復(fù)雜性從簡單的用例（例如使用 RTOS 運(yùn)行的 Linux）到具有大量操作系統(tǒng)協(xié)同工作的 ADAS 應(yīng)用程序。

聯(lián)發(fā)科 MT2712 上的 VOsySmonitor 基準(zhǔn)性能

VOSySmonitor 應(yīng)用程序的用例示例，其中 IVI 系統(tǒng)(Android Auto 9)和安全關(guān)鍵型實時操作系統(tǒng) ( FreeRTOS ) 在 Mediatek MT2712 平臺（2 個 Cortex-A72 和 4 個 Cortex-A35）上執(zhí)行)。該演示器的主要目標(biāo)是展示 VOSySmonitor 的高性能以及安全關(guān)鍵 RTOS 和 Android Auto 9 之間不受干擾的自由。

事實上，重要的是要注意 VOSySmonitor 確保安全關(guān)鍵域的完全隔離，即使在Android 操作系統(tǒng)方面的失敗。

安全關(guān)鍵域 - 快速啟動：VOsySmonitor 總是首先啟動安全關(guān)鍵域，以滿足來自關(guān)鍵操作系統(tǒng)的嚴(yán)格實時限制。重要的是要注意 VOSySmonitor 是在安全關(guān)鍵域之前執(zhí)行的軟件層，與本機(jī)執(zhí)行相比，它在安全關(guān)鍵域的完整冷啟動時間中增加了少量開銷。

然而，VOSySmonitor 已被開發(fā)用于最小化此開銷，如下文的測量所示；事實上，總冷啟動時間保持在 265 毫秒以下，以 VOSySmonitor 選擇的用于調(diào)度安全關(guān)鍵操作系統(tǒng)（即 FreeRTOS）的內(nèi)核為準(zhǔn)：該值包括 VOSySmonitor 設(shè)置時間（對應(yīng)于從 VOsySmonitor 入口點到 FreeRTOS 入口點的執(zhí)行時間），在 ~1ms 時可以忽略不計。

安全關(guān)鍵域不受干擾：VOSYSmonitor 的設(shè)計目標(biāo)是將全部優(yōu)先級分配給安全世界中分配的安全關(guān)鍵域，以滿足實時約束。這意味著 Android 工作負(fù)載對安全關(guān)鍵域的響應(yīng)能力沒有影響或影響很小，正如 FIQ 延遲基準(zhǔn)測試所證明的那樣。

事實上，F(xiàn)IQ 延遲影響（平均：1.6μs 至 4.3μs）通過改變 Android 工作負(fù)載觀察到的結(jié)果僅是由于 Android 操作執(zhí)行的緩存逐出，這可能會影響 VOSySmonitor 使用的數(shù)據(jù)并略微改變上下文切換時間。

然而，重要的是要注意上下文切換時間足夠快，從安全關(guān)鍵 RTOS 的角度來看可以忽略不計。

事實上，在此演示器中，F(xiàn)reeRTOS 的調(diào)度周期為 2 毫秒，因此，這意味著 VOSySmonitor 開銷在最壞情況下不超過 0.5%（即，最大上下文切換值 = 10， 18 微秒）。

Android OS 崩潰監(jiān)控：VOSySmonitor 正在監(jiān)控 Normal World 執(zhí)行以檢測潛在故障，并最終將此故障通知運(yùn)行在 Secure 世界中的安全關(guān)鍵 RTOS 執(zhí)行。

此外，重要的是要注意 VOSySmonitor 確保安全關(guān)鍵域的完全隔離，因此，關(guān)鍵 RTOS 執(zhí)行不受 Android 崩潰的影響。

（VOSySmonitor benchmarked performances on Mediatek MT2712 platform）