控制装置制造方法及图纸

在使用不具有存储器保护的硬件的CPU的控制装置中，实现了这样的功能：对于RAM的安全相关单元数据区、外部集成电路的安全相关单元寄存器区以及CPU的内置外设I/O寄存器，以位为单位对来自非安全相关单元程序的未授权写入进行检测。存储器访问监控单元在检测到被允许访问安全相关单元区的安全相关单元程序的写访问之后，请求中断处理。该中断处理实现以下功能：通过使用退回至堆栈区的写访问源的程序计数器，来判断写访问源是安全相关单元程序还是非安全相关单元程序区，并且以位为单位判断安全相关单元区是发生改变，从而对来自非安全相关单元程序区的写访问进行检测。

control device

In the CPU control device that does not have the memory protected hardware, this function is implemented: the security related unit data area of the RAM, the security related unit register area of the external integrated circuit and the built-in peripheral I/O register of the CPU, the unauthorized write from the non security related unit program in bits. Test. The memory access monitoring unit requests interrupt processing after detecting the write access of the security related unit program that is allowed to access the security related cell area. The interrupt processing implements the following functions: by using the program counter of the write access source that is returned to the stack to determine whether the write access source is a security related unit program or a non security related unit program area, and a bit is used to determine that the security related unit area is changed, thus from the non security related unit program. The write access of the area is detected.

【技术实现步骤摘要】
控制装置相关申请的交叉引用于2016年10月17日提交的申请号为2016-203657的日本专利申请，包括说明书、权利要求书、说明书附图和说明书摘要在内的全部公开内容，通过引用的方式整体并入本文。
本专利技术涉及一种基于功能安全标准设计的具有安全相关单元的控制装置。具体地，本专利技术涉及一种具有非安全相关单元写入检测功能的控制装置，其具备以下功能：以位为单位检测意外写入，该意外写入是从在安全相关单元中的CPU上执行的非安全相关单元程序到在相同的CPU上执行的安全相关单元程序所使用的RAM或控制寄存器的，并且将系统转换至安全状态。
技术介绍
例如IEC61508系列等与功能安全有关的国际标准，要求系统设计成使得执行安全功能的安全相关单元不受执行正常功能的非安全相关单元的故障或设计错误的影响。IEC61508-3:2010中规定，当软件执行具有不同安全级别的安全功能时，必须保证在时间和空间上均具备独立性，或是对独立性的侵犯受到控制。该标准的附页给出了在同一台计算机上的软件要素之间实现互不干扰的方法的一些例子。正因为如此，在具有安全相关单元的控制装置中，通常将更高的特权级别分配给安全相关软件，使得只有安全相关软件能访问和写入存储安全相关变量的RAM或安全相关寄存器，并且存储器管理单元或存储器保护单元对每个特权级别指定允许写访问的空间。同时，近年来大多数安装使用的CPU没有存储器管理单元或存储器保护单元。因此，不易使用特权模式的保护方法。JP2013-148999A(“专利文献1”)公开了一种方法，即使对于使用不具有系统保护的特权模式的CPU的控制装置，该方法也能提供防止非安全相关单元对外部集成电路中的安全相关单元寄存器的写访问功能。此外，JP2000-76135A(“专利文献2”)公开了一种方法，在不具有特权模式的CPU中，其通过在解码存储器访问指令时，添加用于判断程序计数器和访问目标存储器地址的小尺寸的硬件，防止执行非预期的存储器访问指令。然而，专利文献2的保护方法不能用在不具有在CPU指令解码时同时判断程序计数器和访问目标存储器地址的硬件的CPU中。另一方面，例如，对于CPU的内部寄存器，需要防止来自非安全相关单元的以位为单位的写访问。然而，专利文献2保护方法采用以地址为单位指定访问区域的特权模式，专利文献1的保护方法采用将安全相关单元寄存器和非安全相关单元寄存器通过外部集成电路分开进而保护安全相关单元寄存器，它们都不行执行以位为单位的保护。正因为如此，当例如CPU的I/O端子同时存在安全相关I/O端子和非安全相关I/O端子时，必须采用特定的措施，例如，设计CPU外围电路使得可以在不同的寄存器中独立地设置端子，或者使用安全相关固件执行非安全相关1/O端子的输出过程。在现有技术中，存在对硬件和固件的设计限制。本专利技术的优点在于提供一种基于功能安全标准设计的具有安全相关单元的控制装置，该控制装置具有非安全相关单元写入检测功能，具备这样的功能：即使使用不具有存储器保护的硬件的CPU，当存在由安全相关单元中的CPU执行的非安全相关单元程序所对在相同的CPU上执行的安全相关单元程序所使用的RAM或控制寄存器、或该RAM或控制寄存器中的任意位的意外写入时，将系统转换至安全状态。
技术实现思路
在功能安全标准中，当检测到系统异常时系统能够转换至安全状态就足够了。因此，不需要防止由于未经授权的访问对存储器或寄存器的改变，并且提供对未经授权的访问的检测并将系统转换至安全状态的功能就足够了。另一方面，一些安装使用的CPU具有监控地址总线状态的访问监控单元，该访问监控单元为对任意地址的访问至少判断读/写的地址范围和类型是否与预设值相匹配，并向CPU请求中断处理。例如，为了在不使用在线仿真器的情况下进行程序调试，存在具有访问监控单元的市场上能获得的的安装使用CPU。当使用具有访问监控单元的CPU时，对安全相关单元程序使用的RAM或控制寄存器的写访问发生中断处理。存储安全相关单元程序的ROM区域的地址范围和存储非安全相关单元程序的ROM区域的地址范围是分开的。中断过程使用保存在堆栈区的程序计数器判断写访问是来自安全相关单元程序还是非安全相关单元。对于非安全相关单元的写访问，中断处理比较备份数据来判断安全相关单元使用的位是否存在数据更改。备份数据是在安全相关单元的写访问期间或初始化期间设定的。在本专利技术中，对安全相关单元程序所使用的RAM或控制寄存器的任意位的写访问，都将产生中断处理。在中断处理中，基于保存在堆栈的程序计数器判断写访问的源是来自安全相关单元程序还是来自非安全相关单元程序。在写访问是来自非安全相关程序的情况下，在中断处理中，将数据与备份数据进行比较，并且判断在安全相关位中的数据是否发生改变。如果安全相关位发生改变，那么在中断处理中，执行出错处理并将系统转换至安全状态。附图说明下面将结合以下说明书附图描述本专利技术的实施例，其中：图1是本专利技术实施例的CPU处理算法的一个示例图；图2是本专利技术实施例的CPU结构的一个示例图；图3是本专利技术实施例的地址映射示例图。附图标记说明1CPU；2CPU内核；3内部总线；4内置ROM；5内置RAM；6总线状态控制器(BSC)；7外部集成电路；8内置外设I/O寄存器；9I/O端口；10存储器访问监控单元；11中断控制器(INTC)；41非安全相关程序单元程序区；42安全相关单元程序区；51非安全相关单元数据区；52安全相关单元数据区；53堆栈区；71非安全相关单元寄存器区；72安全相关单元寄存器区；81非分离式寄存器；91非安全输出端；92安全输出端；421安全相关位模式数据；521安全相关备份数据；811非安全相关位；812安全相关位。具体实施方式现在将以具有检测非安全相关单元的写入的功能的控制装置为例说明本专利技术的实施例。首先，参照图2的框图和图1的流程图，将对CPU的内置外设I/O寄存器8执行以位为单位的写入检测的实施例进行说明。作为与安全功能相关的数据区，安全相关单元数据区52设置在内置RAM5中。此外，作为与安全功能相关的控制寄存器，安全相关单元寄存器区72设置在外部集成电路7中。进一步地，在设定CPU1的操作的内置外设I/O寄存器8中，设置有安全功能和非安全功同时使用的非分离式寄存器81。非分离式寄存器81包括与安全功能相关的安全相关位812和与安全功能无关的非安全相关位811。在图2中，举例说明了使用设定I/O端口9的输出的寄存器作为非分离式寄存器81的情况。在I/O端口9中，与安全功能相关的安全输出端子92的输出电平和与安全功能不相关的非安全输出端91的输出电平分别根据安全相关位812和非安全相关位811的设置而变化。有必要防止在CPU上运行的非安全相关处理程序错误地对与安全功能相关的存储器、寄存器和寄存器中的特定位，更具体地，安全相关单元区52、安全相关单元寄存区域72和非分离式寄存器区域81(以下称为“安全相关单元区”)进行写访问。在本实施方式中，“安全相关处理程序”是指为安全而设计的特定的程序，并且是允许访问安全相关单元区的程序。另一方面，“非安全相关处理程序”是指与安全相关处理程序不同的程序，并且是不允许访问安全相关单元区的程序。图2是涉及具有存储器访问监控单元10的微型计本文档来自技高网...

【技术保护点】
一种控制装置，其具有访问监控单元，当对任意地址的读/写访问的至少地址范围和类型与预设值匹配时，所述访问监控单元向CPU请求中断处理，其中，所述访问监控单元在检测到对安全相关单元区的写访问之后请求中断处理，所述安全相关单元区包括安全相关单元程序所使用的RAM的安全相关单元数据区、外部集成电路的安全相关单元寄存器区和CPU的内置外设I/O寄存器，并且所述中断处理具有以下功能：通过使用退回至堆栈区的写访问源的程序计数器，来判断对所述安全相关单元区的所述写访问是由所述安全相关单元程序进行的写访问还是由所述非安全相关单元程序进行的写访问，并以位为单位判断所述安全相关单元区是否发生改变，从而检测由所述安全相关单元程序进行的对所述安全相关区的所述写访问。

【技术特征摘要】
2016.10.17 JP 2016-2036571.一种控制装置，其具有访问监控单元，当对任意地址的读/写访问的至少地址范围和类型与预设值匹配时，所述访问监控单元向CPU请求中断处理，其中，所述访问监控单元在检测到对安全相关单元区的写访问之后请求中断处理，所述安全相关单元区包括安全相关单元程序所使用的RAM的安全相关单元数据区、外部集成电路的安全相关单元寄存器区和CPU的内置外设I/O寄存器，并且所述中断处理具有以下功能：通过使用退回至堆栈区的写访问源的程序计数器，来判断对所述安全相关单元区的所述写访问是由所述安全相关单元程序进行的写访问还是由所述非安全相关单元程序进行的写访问，并以位为单位判断...

【专利技术属性】
技术研发人员：惠木快昌，
申请(专利权)人：大隈株式会社，
类型：发明
国别省市：日本,JP