VOsySmonitor是一個基于ARM TrustZone的 ISO 26262 ASIL C 認證的安全關鍵系統(tǒng)分區(qū)程序，這使得具有不同關鍵級別的多個操作系統(tǒng)能夠并發(fā)執(zhí)行。

創(chuàng)新的 VOsySmonitor 架構將系統(tǒng)分為兩個主要隔間，一個用于安全關鍵應用程序，另一個用于標準應用程序，并使用 Arm TrustZone 將它們隔離。

這種隔離對于提供安全性至關重要，安全關鍵應用程序的運行受到標準應用程序的完全保護（在帶有標記緩存和隔離設備的單獨內(nèi)存地址空間中）。

VOSySmonitor 軟件層位于車輛軟件堆棧的最低層（Arm 監(jiān)控層），以一流的性能提供對系統(tǒng)資源分區(qū)的最強控制，同時提供最靈活的系統(tǒng)架構。

因此，VOsySmonitor 是實現(xiàn)下一代汽車 eCockpit 的完美解決方案，在現(xiàn)代汽車中，車輛信息、娛樂、導航、攝像頭/視頻和設備連接被組合到顯示器中，而無需使用昂貴的傳統(tǒng) 1 型虛擬機管理程序的繁瑣依賴。

此外，VOsySmonitor 不強加任何封閉的解決方案或依賴組件，并且可以與Linux、Android、Automotive Grade Linux等開源技術結合使用，這允許通過提出自下而上的解決方案來降低成本，其中Virtual Open系統(tǒng)側重于關鍵資源的隔離、安全和性能。

簡化的虛擬化電子控制單元：VOsySmonitor 支持在同一平臺上執(zhí)行多個操作系統(tǒng)，沒有性能開銷，降低了硬件和布線成本，簡化了軟件維護和原型設計。

最高的安全性和安全性：VOSySmonitor 對系統(tǒng)資源進行分區(qū)，將安全關鍵應用程序隔離在受保護的隔間中。它通過了 ISO 26262 ASIL C 認證，并支持安全可信執(zhí)行環(huán)境實施，例如 OPTEE。

可擴展性和開放性：VOSySmonitor 提供了一個可擴展的解決方案，其復雜性從簡單的用例（例如使用 RTOS 運行的 Linux）到具有大量操作系統(tǒng)協(xié)同工作的 ADAS 應用程序。

聯(lián)發(fā)科 MT2712 上的 VOsySmonitor 基準性能

VOSySmonitor 應用程序的用例示例，其中 IVI 系統(tǒng)(Android Auto 9)和安全關鍵型實時操作系統(tǒng) ( FreeRTOS ) 在 Mediatek MT2712 平臺（2 個 Cortex-A72 和 4 個 Cortex-A35）上執(zhí)行)。該演示器的主要目標是展示 VOSySmonitor 的高性能以及安全關鍵 RTOS 和 Android Auto 9 之間不受干擾的自由。

事實上，重要的是要注意 VOSySmonitor 確保安全關鍵域的完全隔離，即使在Android 操作系統(tǒng)方面的失敗。

安全關鍵域 - 快速啟動：VOsySmonitor 總是首先啟動安全關鍵域，以滿足來自關鍵操作系統(tǒng)的嚴格實時限制。重要的是要注意 VOSySmonitor 是在安全關鍵域之前執(zhí)行的軟件層，與本機執(zhí)行相比，它在安全關鍵域的完整冷啟動時間中增加了少量開銷。

然而，VOSySmonitor 已被開發(fā)用于最小化此開銷，如下文的測量所示；事實上，總冷啟動時間保持在 265 毫秒以下，以 VOSySmonitor 選擇的用于調(diào)度安全關鍵操作系統(tǒng)（即 FreeRTOS）的內(nèi)核為準：該值包括 VOSySmonitor 設置時間（對應于從 VOsySmonitor 入口點到 FreeRTOS 入口點的執(zhí)行時間），在 ~1ms 時可以忽略不計。

安全關鍵域不受干擾：VOSYSmonitor 的設計目標是將全部優(yōu)先級分配給安全世界中分配的安全關鍵域，以滿足實時約束。這意味著 Android 工作負載對安全關鍵域的響應能力沒有影響或影響很小，正如 FIQ 延遲基準測試所證明的那樣。

事實上，F(xiàn)IQ 延遲影響（平均：1.6μs 至 4.3μs）通過改變 Android 工作負載觀察到的結果僅是由于 Android 操作執(zhí)行的緩存逐出，這可能會影響 VOSySmonitor 使用的數(shù)據(jù)并略微改變上下文切換時間。

然而，重要的是要注意上下文切換時間足夠快，從安全關鍵 RTOS 的角度來看可以忽略不計。

事實上，在此演示器中，F(xiàn)reeRTOS 的調(diào)度周期為 2 毫秒，因此，這意味著 VOSySmonitor 開銷在最壞情況下不超過 0.5%（即，最大上下文切換值 = 10， 18 微秒）。

Android OS 崩潰監(jiān)控：VOSySmonitor 正在監(jiān)控 Normal World 執(zhí)行以檢測潛在故障，并最終將此故障通知運行在 Secure 世界中的安全關鍵 RTOS 執(zhí)行。

此外，重要的是要注意 VOSySmonitor 確保安全關鍵域的完全隔離，因此，關鍵 RTOS 執(zhí)行不受 Android 崩潰的影響。

（VOSySmonitor benchmarked performances on Mediatek MT2712 platform）