Matthias Pruksch

Medizinprodukte im Multicore Zeitalter

sepp.med gmbh 22

Motivation

Multicore Technologie ist Enabler

[4]

Matthias.Pruksch@sepp.med.de 226.02.2014

[1]

[4]

Einbindung und Vernetzung von Medizinprodukten

Medizinprodukteam Point-of-Care

Flankierende TrendsAmbient Assisted LivingWearables in HealthcareBig Data

[1]

[3]

[2]

sepp.med gmbh 3

Multicore ZeitalterSafety

Worst Case Execution TimeAbsence of InterferenceZertifizierung

SecurityChancenRisiken

Provokanter AusblickZusammenfassung

3

Agenda

Matthias.Pruksch@sepp.med.de 26.02.2014

sepp.med gmbh 16.07.2014

Multicore Zeitalter (1 / 2)

Warum Multicore Zeitalter?“Gesetz nach Moore” [7]

‘Anzahl der Transistorenverdoppelt sich alle24 Monate’

Trifft “Power Wall”Physikalische GrenzenVerlustleistung Transistorenüber Chipfläche abgebenFokus auf Effizienz

Performanz durch parallele Verarbeitung

44

Optimierung auf Performanz pro Watt

Matthias.Pruksch@sepp.med.de

sepp.med gmbh

Multicore Zeitalter (2 / 2)

Warum nachhaltige Softwareentwicklung?Zertifizierungsaufwand um die 80%Lebenszyklus Software viel länger als (elektron.) Hardware:

BibliothekenPlatformen

Wiederverwendung in:ProduktvarianteFolgeproduktProduktfamilie

Multicore Systeme habenVon zwei RechenkernenBis zu 1000

5

Intel: 2-core6-core

48-core

Software Version 1.0 Version 1.1 Version 1.2 Version 2.0

Hardware Version 1.0 V 1.1 V 2.0 V 2.1 V 2.2 V 3.0 V 3.1

Matthias.Pruksch@sepp.med.de 526.02.2014

[8]

sepp.med gmbh 6

Multicore ZeitalterSafety

Worst Case Execution TimeAbsence of InterferenceZertifizierung

SecurityChancenRisiken

Provokanter AusblickZusammenfassung

6

Agenda

Matthias.Pruksch@sepp.med.de 26.02.2014

sepp.med gmbh 77

Safety (1 / 5)

Matthias.Pruksch@sepp.med.de

System Design Definiert durch Chip Hersteller

RAM

I/O

L1Core

L1Core

I/O I/O I/O I/O

Power

Mgmt

L1Core

L1Core

L1 L1L1 L1 L1 L1L1 L1

DMAPeripheral Bridge

L1 L1Level 2 Cache

Crossbar / Bus

L1 L1Level 2 Cache

Verteiltes System:

RAM

I/O

L1CPUL1L1

DMA

L1

RAM

I/O

L1CPUL1L1

DMA

L1

RAM

I/O

L1CPUL1L1

DMA

L1

Crossbar / Bus

Multicore:

26.02.2014

sepp.med gmbh 26.02.2014

RAM

I/O

L1Core

L1Core

I/O I/O I/O I/O

Power

Mgmt

L1Core

L1Core

L1 L1L1 L1 L1 L1L1 L1

DMAPeripheral Bridge

L1 L1Level 2 Cache

Crossbar / Bus

L1 L1Level 2 Cache

88

Safety (2 / 5)

Matthias.Pruksch@sepp.med.de

WCET Explosion aufgrund geteilter Ressourcen

Worst Case Execution Time (WCET):

Complexity

8

[4]

sepp.med gmbh 26.02.2014

RAM

I/O

L1Core

L1Core

I/O I/O I/O I/O

Power

Mgmt

L1Core

L1Core

L1 L1L1 L1 L1 L1L1 L1

DMAPeripheral Bridge

L1 L1Level 2 Cache

Crossbar / Bus

L1 L1Level 2 Cache

99

Safety (3 / 5)

Matthias.Pruksch@sepp.med.de

Multicore Systeme sind stark gekoppelt

Absence of Interference:Partitionierung in:

Adressraum und Zeit!Hypervisor (SW+HW):

Adressraum JaZeit?

Bedarf:Legacy Code!Konsolidierung!Mixed Criticality!

9

sepp.med gmbh 26.02.2014 1010

Safety (4 / 5)

Matthias.Pruksch@sepp.med.de

Zertifizierung:Verpflichtend:

DokumentationRisikobetrachtungProzesskonformitätNachverfolgbarkeit

(E/E/EP safety-related systems, IEC

61508)

Bietet der Chip Hersteller Unterstützung?

10

sepp.med gmbh

Safety (5 / 5)

Matthias.Pruksch@sepp.med.de

Globaler SIL-Modus tötet Skalierbarkeit

Die gute Nachricht? Multicore mit Safety Integrity Level, z.B.:

SIL-Modus:VerschiedensteSynchronisierungenPerformanzeinbruchNachhaltig?

IEC61508

ISO26262

Vendor Family Core Number

Clock /MHz

Comment

SIL 3 ASIL D Infineon Aurix [9] TriCore 3 200 Lockstep 2x

SIL 3 ASIL D STMicroelectronics SPC56L [5] e200z4d 2 120 Lockstep

SIL 3 ASIL D Texas Instruments TMS570LS [6] ARM Cortex-R4 2 180 Lockstep 2x

L1Core

L1Core

L1Core

L1Core

L1 L1L1 L1 L1 L1L1 L1 L1 L1Level 2 Cache

L1 L1Level 2 Cache

SyncSwitch off

1126.02.2014

sepp.med gmbh 12

Multicore ZeitalterSafety

Worst Case Execution TimeAbsence of InterferenceZertifizierung

SecurityChancenRisiken

Provokanter AusblickZusammenfassung

12

Agenda

Matthias.Pruksch@sepp.med.de 26.02.2014

sepp.med gmbh 1313

Security – Chancen (1 / 5)

Gekapseltes System on Chip

RAM

I/O

L1Core

L1Core

I/O I/O I/O I/O

Power

Mgmt

L1Core

L1Core

L1 L1L1 L1 L1 L1L1 L1

DMAPeripheral Bridge

L1 L1Level 2 Cache

Crossbar / Bus

L1 L1Level 2 Cache

Verteiltes System:

RAM

I/O

L1CPUL1L1

DMA

L1

RAM

I/O

L1CPUL1L1

DMA

L1

RAM

I/O

L1CPUL1L1

DMA

L1

Crossbar / Bus

Multicore:

16.07.2014Matthias.Pruksch@sepp.med.de

sepp.med gmbh 16.07.2014 1414

Security – Chancen (2 / 5)

Matthias.Pruksch@sepp.med.de

Security im Rauschen verstecken

Hardware Angriff: Unerlaubtes EindringenDifferential Power Analysis

Wo ist Security Check?Schlüssel brechen

Chance Multicore:Randomisierung

Echte parallele VerarbeitungVerteilung sensitiver Funktionen

14

[19]

Matthias.Pruksch@sepp.med.de

sepp.med gmbh 16.07.2014 1515

Security – Chancen (3 / 5)

Matthias.Pruksch@sepp.med.de

Security parallelisiert überwachen

Hardware Angriff: Feindliche ÜbernahmeBeschuss mit Laser

Beliebige Bits ändernSecurity umgehenoder lahmlegen

Chance Multicore:Redundanz

Gegenseitige ÜberwachungMehrheitsentscheidungen

15

[19]

[19]FailureInjection

Matthias.Pruksch@sepp.med.de

sepp.med gmbh 16.07.2014 1616

Security – Chancen (4 / 5)

Matthias.Pruksch@sepp.med.de

Aufwändige Analyse erschweren

Hardware / Software Angriff: Reverse EngineeringProbing & Forcing

FirmwareControlData

Chance Multicore:System on Chip

Komplexes SystemGeringe Bandbreite Debug Interface

16

[19] Electro-magneticAnalysis

Matthias.Pruksch@sepp.med.de

sepp.med gmbh 16.07.2014 1717

Security – Chancen (5 / 5)

Matthias.Pruksch@sepp.med.de

Unterstützung & Beschleunigung nutzen

Software Angriff: SchadsoftwareKompromittiere

FirmwareControlData

Chance Multicore:Performanz

Crypto-EinheitenKonsistenzprüfung in Software

Separierung in „Trust Zones“

17

[21]

[22]

[23]

Matthias.Pruksch@sepp.med.de

sepp.med gmbh 16.07.2014 1818

Security – Risiken (1 / 2)

Matthias.Pruksch@sepp.med.de

Vertrauen in Chip-Hersteller

Komplexes System:Chip Hersteller verantwortet:

System DesignSecurity Konzept

BackdoorsIm Ausland erzwingbar per Gesetz[17]

Besondere Aufmerksamkeit:Secure Element?Secure BootGeteilte Ressourcen

18Matthias.Pruksch@sepp.med.de

sepp.med gmbh 16.07.2014 1919

Security – Risiken (2 / 2)

Matthias.Pruksch@sepp.med.de

Ist das Management bereit für Security zu zahlen?

Informationsbedarf:Entwicklungsphase:

DebuggingTesting

Im Feld:DiagnoseWartung

Update / UpgradeÜberwachungFernsteuerung

19Matthias.Pruksch@sepp.med.de

sepp.med gmbh 20

Multicore ZeitalterSafety

Worst Case Execution TimeAbsence of InterferenceZertifizierung

SecurityChancenRisiken

Provokanter AusblickZusammenfassung

20

Agenda

Matthias.Pruksch@sepp.med.de 26.02.2014

sepp.med gmbh 26.02.2014

Mixed-Criticality Multicore?EU FP-7 Projekte:

ACROSS (scalable time-triggered network on chip)MERASA (hard realtime for up to 16 cores)RECOMP (reduced certification costs for trustedmulticore platforms)

Herstellerreaktionen:Support for ISO26262Support for AvionicsKalray MPPA 256optimiert auf Latenz [20]

2121

Provokanter Ausblick (1 / 2)

Matthias.Pruksch@sepp.med.de

Die Chip-Hersteller wollen

[10]

[11]

21

sepp.med gmbh 26.02.2014

Achtung!„Rock´s law“ (Arthur Rock):

„Cost of a semiconductor chipfabrication plant doubles every fouryears“ [15]

Populäre Produkte, mehr ProfitMarkt:

Regulierte Domänen fragmentiertMobile: 210 million Smartphones verkauft Q1/2013 [16]

2222

Provokanter Ausblick (2 / 2)

Matthias.Pruksch@sepp.med.de

Multicore Innovationen im Massenmarkt

Automotive 293

Automation 205

Avionics 22 Medical 17

Germany: Turnoverin billion € (2011)

Mobile Phones 1312,3

Smart Phones 487,7

Pads 63,2

Netbooks 29,4

Notebooks 209,6

Desktops 112,4

Worldwide: Units in million (2011)

[17]

[18]

22

sepp.med gmbh 23

Multicore ZeitalterSafety

Worst Case Execution TimeAbsence of InterferenceZertifizierung

SecurityChancenRisiken

Provokanter AusblickZusammenfassung

23

Agenda

Matthias.Pruksch@sepp.med.de 26.02.2014

sepp.med gmbh

RAM

I/O

L1

Core

L1

Core

I/O I/O I/O I/O

Power

Mgmt

L1

Core

L1

Core

L1 L1L1 L1 L1 L1L1 L1

DMAPeripheral Bridge

L1 L1Level 2 Cache

Crossbar / Bus

L1 L1Level 2 Cache

26.02.2014 2424

Zusammenfassung

Matthias.Pruksch@sepp.med.de

Multicore:Mehr Performanz pro WattEs gibt keine Alternative

Safety und Security:System Design durch HerstellerSIL: nachhaltige SkalierbarkeitKeine Safety ohne SecurityMangement muss Security wollen

Ausblick:Herausforderung Zertifizierung

Multicore gehört die Zukunft

[1]

24

[2] [11]

sepp.med gmbh 2525

Das Ende

Vielen Dank für Ihre Aufmerksamkeit.

16.07.2014Matthias.Pruksch@sepp.med.de

sepp.med gmbhMatthias.Pruksch@sepp.med.de 26

[1] (2014-10-10) http://healthmanagement.org/uploads/syngo.jpg?v12

[2] (2011-10-19) http://farm6.static.flickr.com/5131/5538155191_8651455117_z.jpg

[3] (2014-10-10) http://hotdigitalnews.com/wp-content/uploads/2014/01/iHealth_Wearable_PulseOximeter_PO7_b_610x400.jpg

[4] Kästner, Daniel (2010) “Vollständige Testabdeckung durchStatische Analysen”, Embedded goes medical, Nürnberg[5] STMicroelectronics SPC56EL70 Pressemitteilung, http://www.elektroniknet.de/automotive/assistenzsysteme/artikel/95287/

[6] Texas Instruments TMS570LS Produktbeschreibung, http://www.ti.com/lsds/ti/microcontroller/safety_mcu/tms570_arm_cortex-r4/overview.page

Intel[7] Moore, Gordon E. (1965) "Cramming more components onto integrated circuits" (PDF). Electronics Magazine. pp. 4.[8] Intel Newsroom PRESSKIT

26

References (1 / 4)

26.02.2014

sepp.med gmbh 26.02.2014Matthias.Pruksch@sepp.med.de 27

Infineon[9] Infineon Aurix Pressemitteilung, http://www.infineon.com/cms/de/corporate/press/news/releases/2012/INFATV201205-040.html

[10] (2013-11-29) Aurix TC275T/TC277T http://www.infineon.com/cms/de/product/microcontrollers/32-bit-tricore-tm-microcontrollers/aurix-tm-family/aurix-tm-%E2%80%93-tc275t/tc277t/channel.html?channel=db3a30433cfb5caa013d01df64d92edc

Freescale[11] Beck, Glenn et al. (2012-06) “Achieving System Certification with DSP, Power Architecture, AltiVecTechnologies and the OS Ecosystem”, p. 11, http://www.freescale.com/files/training_pdf/FTF/2012/americas/WBNR_FTF12_IND_F0122.pdf

27

References (2 / 4)

27

sepp.med gmbh 26.02.2014Matthias.Pruksch@sepp.med.de 28

EU-Projects[12] ACROSS, http://www.across-project.eu/

[13] MERASA, http://ginkgo.informatik.uni-augsburg.de/merasa-web/

[14] RECOMP, http://atcproyectos.ugr.es/recomp/images/stories/deliverables/D2.1_final.pdf, p. 23, “1.4 main obstacles for certifying safty-critical multi-core products”

[15] (2013-11-29) http://en.wikipedia.org/wiki/Rock%27s_law

[16] Smartphone, http://www.heise.de/newsticker/meldung/Android-und-Samsung-bauen-Vormachtstellung-aus-1863062.html

[17] Schätz, Bernhard (2011) „Cyber-Physical Systems –Innovationsmotoren für Mobilität, Gesundheit, Energie und Produktion“, Dagstuhl Seminar 11441, p. 2

28

References (3 / 4)

28

sepp.med gmbh 26.02.2014Matthias.Pruksch@sepp.med.de 29

[18] http://mashable.com/2012/02/03/smartphone-sales-overtake-pcs/

[19] Sigl, Georg (2013) „Chances and Risks for Security in Multicore Processors“, Dagstuhl Seminar 13052, http://www.dagstuhl.de/mat/Files/13/13052/13052.SiglGeorg.Slides.pdf

[20] http://www.kalray.eu/products/mppa-manycore/mppa-256/

[21] http://blogs.discovermagazine.com/80beats/category/technology/page/44/

[22] www.ti.com/lit/pdf/sprt654

[23] Caples, Andrew (2014) „IoT Security for Embedded Devices“, Multicore Developers Conference

29

References (4 / 4)

29