Carl von Ossietzky Universität Oldenburg Fakultät II – Informatik, Wirtschafts- und Rechtswissenschaften Department für Informatik Application Modelling and Performance Estimation of Mixed-Critical Embedded Systems Von der Fakultät II – Informatik, Wirtschafts- und Rechtswissenschaften der Carl von Ossietzky Universität Oldenburg zur Erlangung des Grades und Titels eines Doktors der Ingenieurwissenschaften (Dr.-Ing.) angenommene Dissertation von Herrn Philipp Ittershagen geboren am 24. Oktober 1986 in Quakenbrück Philipp Ittershagen: Application Modelling and Performance Estimation of Mixed-Critical Embedded Systems gutachter: Prof. Dr.-Ing. Wolfgang Nebel weitere gutachter: Prof. Dr. Martin Fränzle tag der disputation: 23. November 2018 ABSTRACT The focus of the challenges in developing embedded systems is significantly shifting towards the integration of multiple subsystems on a powerful single platform while considering the cost, size, and power consumption con- straints as well as the heterogeneous, domain-specific requirements which are characteristic in the domain of embedded systems. The rise of mixed- critical embedded systems moreover imposes novel challenges on the spe- cification, development, and functional validation in the design flow. In the emerging dynamic scheduling context of mixed-criticality platforms, the system behaviour needs to be estimated in an early step in the design flow to assess the integration impact, especially for quality of service-driven, low-critical subsystems. This work provides a modelling and integration flow for specifying, estim- ating, and evaluating software functions, ranging from an initial executable specification to an implementation candidate on a Multi-Processor System- on-a-Chip. The flow starts with a mixed-criticality programming model proposed to express safety- as well as performance-critical functional beha- viour along with their real-time requirements. A component-based refine- ment flow then provides an implementation candidate on a contemporary MPSoC. The integrated measurement infrastructure then allows for system- atically analysing the functional behaviour as well as the overhead of mech- anisms for isolating, managing, and observing the refined mixed-criticality subsystems. Based on a data-driven model to evaluate dynamic resource con- sumption effects of high-critical subsystems, the thesis proposes a method for constructing workload models of safety-critical software components on the target platform. The evaluation of this work demonstrates that these models can support mixed-criticality system integration scenarios where in- tellectual property issues may prevent integration or the need for fast time- to-market goals require a decoupled development and integration phase of mixed-critical applications. iii ZUSAMMENFASSUNG Der Fokus der Herausforderungen in der Entwicklung eingebetteter Sys- teme verschiebt sich immer mehr in Richtung der Integration mehrerer Teilsysteme auf einer gemeinsamen, leistungsfähigen Plattform. Dabei spielt die gleichzeitige Betrachtung der Einschränkungen bezüglich Kosten, Grö- ße und Leistungsaufnahme sowie der für eingebettete Systeme charakteristi- schen heterogenen, domänenspezifischen Anforderungen eine entscheiden- de Rolle. Der Trend zu gemischt-kritischen eingebetteten Systemen stellt darüber hinaus neue Herausforderungen an die Spezifikation, Entwicklung und funktionale Validierung in deren Entwicklungsfluss. Durch den Ein- zug dynamischer Scheduling-Verfahren in gemischt-kritischen Plattformen ist eine Abschätzung des Systemverhaltens zur Bewertung der Auswirkung der Integration von Teilsystemen bereits in den ersten Schritten des Ent- wicklungsflusses erforderlich, insbesondere bei der Integration von niedrig- kritischen, serviceorientierten Funktionen. In dieser Arbeit wird ein Modellierungs- und Integrationsfluss zur Spe- zifikation, Abschätzung und Bewertung von Softwarefunktionen, ausge- hend von einer initialen, ausführbaren Spezifikation bis hin zu einer Imple- mentation auf einem Multi-Processor System-on-a-Chip, vorgestellt. Dazu wird zunächst ein Programmiermodell für gemischt-kritische Systeme einge- führt, in dem sicherheitskritisches sowie leistungsorientiertes funktionales Verhalten zusammen mit ihren Echtzeitanforderungen ausgedrückt werden kann. Eine komponentenbasierte Verfeinerungsstrategie erlaubt dann die prototypische Entwicklung eines Implementationskandidaten auf einem Multi-Processor System-on-a-Chip. Darüber hinaus ermöglicht eine inte- grierte Messinfrastruktur, den zeitlichen Mehraufwand der Mechanismen zur Isolation, Kontextverwaltung und zeitlichen Beobachtung der gemischt- kritischen Teilsysteme systematisch zu analysieren. Basierend auf einem da- tengetriebenen Modell zur Bewertung der dynamischen Nutzung von Platt- formressourcen des sicherheitskritischen Teilsystems wird in dieser Arbeit anschließend eine Methode zur Konstruktion von Auslastungsmodellen für die sicherheitskritischen Teilsysteme auf der Zielplattform vorgeschlagen. Die Bewertung in dieser Arbeit zeigt, dass durch diese Modelle die Integra- tionsszenarien gemischt-kritischer Systeme unterstützt werden können, bei denen der Schutz geistigen Eigentums eine Integration erschweren könnte oder bei denen kurze Vorlaufzeiten für die Marktreife eine Entkoppelung der Entwicklung von der Integration gemischt-kritischer Anwendungen erfordern. v PUBLICATIONS Some ideas and figures have appeared previously in the following publica- tions: [1] Philipp Ittershagen, Kim Grüttner and Wolfgang Nebel. ‘Mixed- Criticality System Modelling with Dynamic Execution Mode Switch- ing’. In: Proceedings of the Forum on Specification and Design Languages (FDL’15). Barcelona, Spain, 2015. doi: 10.1109/fdl.2015.7306356. [2] Philipp Ittershagen, Kim Grüttner and Wolfgang Nebel. ‘A Task- level Monitoring Framework for Multi-processor Platforms’. In: Pro- ceedings of the 19th International Workshop on Software and Compilers for Embedded Systems (SCOPES’16). ACM Press, May 2016. doi: 10. 1145/2906363.2906373. [3] Philipp Ittershagen, Kim Grüttner and Wolfgang Nebel. ‘An Integra- tion Flow for Mixed-Critical Embedded Systems on a Flexible Time- triggered Platform’. In: ACM Trans. Des. Autom. Electron. Syst. 23.4 (Apr. 2018). doi: 10.1145/3190837. [4] Philipp Ittershagen, Philipp A. Hartmann, Kim Grüttner and Wolf- gang Nebel. ‘A Workload Extraction Framework for Software Per- formance Model Generation’. In: Proceedings of the 7th Workshop on Rapid Simulation and Performance Evaluation: Methods and Tools (RAPIDO’15). ACM Press, Jan. 2015. doi: 10 . 1145 / 2693433 . 2693436. [5] Philipp Ittershagen, Philipp A. Hartmann, Kim Grüttner and Achim Rettberg. ‘Hierarchical Real-time Scheduling in the Multi-core Era – An Overview’. In: Proceedings of the 16th International Symposium on Object/Component/Service-Oriented Real-Time Distributed Com- puting (ISORC’13). IEEE, June 2013. doi: 10 . 1109 / isorc . 2013 . 6913241. vii CONTENTS 1 introduction 1 1.1 Context . 3 1.2 Motivation . 4 1.3 Scope & Research Questions . 5 1.4 Outline . 7 i foundations 2 system-level design 11 2.1 Top-Down & Bottom-Up Approach . 13 2.2 Platform-Based Design . 15 2.3 MPSoC Platform Challenges . 16 2.4 System-Level Design with SystemC . 18 2.4.1 Structural & Behavioural Modelling . 18 2.4.2 System-Level Modelling . 19 2.5 Refinement & Implementation . 20 2.5.1 Modelling Layers . 21 2.5.2 Computational Refinement . 22 2.5.3 Communication Refinement . 24 2.6 Validation & Verification . 24 2.6.1 Formal Verification . 25 2.6.2 Simulation-based Methods . 26 2.6.3 Performance Estimation . 27 2.6.4 Workload Modelling . 30 2.7 Oldenburg System Synthesis Subset . 32 3 mixed-critical embedded systems 35 3.1 Introduction . 35 3.2 Segregation Approaches . 37 3.3 Real-Time Models & Analysis . 38 4 thesis contributions 41 4.1 Contributions . 41 4.2 Assumptions . 43 5 related work 45 5.1 Mixed-criticality . 45 5.1.1 Real-Time Models . 45 5.1.2 Platforms . 47 5.1.3 Industrial Efforts . 49 5.1.4 Design Flows . 49 5.2 Performance & Workload Models . 51 5.3 Summary . 52 ii design flow & modelling approach 6 mixed-criticality system design flow 55 6.1 Application Layer Components . 56 6.1.1 Tasks . 57 6.1.2 Shared Objects . 58 ix x contents 6.2 Runtime Model . 59 6.2.1 Modelling Scope . 60 6.2.2 Runtime Model Properties . 61 6.2.3 Scheduling Configuration . 61 6.2.4 Mapping . 62 6.3 Execution Semantics & Simulation . 62 6.3.1 Application Layer Components . 64 6.3.2 Runtime Model . 64 6.3.3 Instantiation & Simulation . 65 6.4 Target Implementation . 67 6.4.1 Platform Components & Constraints . 68 6.4.2 Mapping & Scheduling Configuration . 69 6.4.3 Application Context Management . 70 6.4.4 Programming Model Implementation . 73 6.5 Summary . 74 7 performance modelling 77 7.1 Measurement Infrastructure Architecture . 77 7.1.1 Online Pre-Processing . 78 7.1.2 Data Extraction & Post-Processing . 79 7.2 Data-Driven Performance Modelling . 80 7.2.1 Assumptions . 81 7.2.2 Model Construction . 82 7.3 Application Proxy . 84 7.3.1 Target Requirements . 84 7.3.2 Implementation . 85 7.4 Summary . 86 iii results 8 integration flow evaluation 91 8.1 Setup . 91 8.1.1 Frame & Slot Configuration . 93 8.1.2 Benchmark Timing Behaviour . 95 8.2 Dynamic Mixed-Criticality Scheduling . 96 8.2.1 Scheduling Configuration . 96 8.2.2 Static & Dynamic Scheduling Comparison . 97 8.3 Segregation Overhead . 98 8.3.1 Cache Flush . 99 8.3.2 Application Context Switching . 101 9 modelling accuracy 103 9.1 Performance Model . 103 9.2 Application Proxy . 104 9.3 Proxy &