本发明专利技术涉及一种在硬件平台上执行安全相关和非安全相关软件构件(SAFET、STANT)的方法,其中该硬件平台包含至少一个中央处理单元(CPU)和至少一个内存(SPE),而其中该至少一个非安全相关软件构件(STANT)连同该至少一个安全相关软件构件(SAFET)在该同一中央处理单元(CPU)上执行,且其中该硬件平台包含监测构件(MOD)或连接至所述监测构件,而其中所述监测构件(MOD)的操作是独立于该硬件平台的该至少一个处理器(CPU)。按照本发明专利技术,该硬件平台对该至少一个内存(SPE)的至少一部分(SPE、SPE2)有写入保护机制,其中该安全相关软件构件(SAFET)对某些区域(SPE1-SPE4)或对整个内存(SPE)有完全的写入存取权限,或者该安全相关软件构件(SAFET)对该内存的某区域有存取权限,而该区域与拟用于非安全相关功能的内存区域是分开的。在该非安全相关软件构件(STANT)执行前,该安全相关软件构件(SAFET)会架设内存保护,以防非安全相关功能(STANT)对该安全相关功能(SAFET)的内存的至少一个区域(SPE1、SPE2)进行存取,使得该非安全相关软件构件(STANT)仅在该内存(SPE)的有限区域(SPE3、SPE4、SPE5)中有写入存取权限,并特别是无法存取任何为安全相关构件而分隔开的该内存(SPE)的区域(SPE、SPE2),而其中在从该非安全相关构件(STANT)返回后,该内存保护会再次关闭,且其中该监测构件(MOD)会监测该安全相关功能以确定其是否运作正常。
【技术实现步骤摘要】
【国外来华专利技术】在硬件平台上执行安全相关和非安全相关软件构件的方法
本专利技术涉及一种在硬件平台上执行安全相关和非安全相关软件构件的方法,其中该硬件平台包含计算机单元和至少一个内存,而其中该至少一个非安全相关软件构件和该至少一个安全相关软件构件两者均在这一个计算机单元上执行,且其中该硬件平台包含监测构件或连接至监测构件,而其中这监测构件的操作是独立于该硬件平台的该至少一个处理器。此外,本专利技术亦涉及一种硬件平台,而上述方法就是在这种硬件平台上实施的。
技术介绍
计算机系统越来越多被用来处理任务,而这些任务在计算机系统出现故障或反应缓慢时便可能会危害人类的生命或财产(“安全相关系统”)。这些系统必须按照标准的指引(IEC61508、ISO26262)来进行开发和测试,以大大地排除错误。因此,这些系统相应的开发是非常复杂、繁琐和昂贵的。另一方面,越来越多领域都使用了以计算机辅助的功能。经常会有需求想透过添加“安全相关功能”来扩充对“标准功能”的控制。例子:ACC功能(自适应巡航控制,其按照前车的行驶速度,调节自身车辆的速度,是一种非关键(舒适性)功能)且应扩充至自动紧急刹车(安全相关功能)。安全相关和非关键功能同时在单个控制单元中进行会有成本优势(较少控制单元、减少布线、较简单的维护……)。然而,有需要确保非关键功能中的错误不会妨害到安全相关功能。为此目的,现有技术提供了特别的操作系统(ARINC653、DECOS),其透过多项措施来防止非关键功能“延伸”至安全相关功能。这些操作系统的坏处是其对控制单元硬件以及功能的编程有非常特定的要求,所以要在这些系统中整合非关键功能同样是复杂和昂贵的。
技术实现思路
本专利技术的一个目的是透过添加“安全功能”,使到能够以便宜但有效的方式,高效率地扩充现有的控制单元和现有的“标准功能”,从而节省开发成本和物料成本。本目的是以引言所述的方法和/或引言所述的硬件平台来实现的,这是由于事实上,按照本专利技术所述的硬件平台对该至少一个内存的至少一部分有写入保护(writeprotection)机制,而该安全相关软件构件对某些区域或对整个内存有完全的写入存取权限,或者该安全相关软件构件对该内存的某区域有存取权限,而该区域与被提供予非安全相关功能的内存区域是分开的,而其中该安全相关软件构件架设内存保护以防非安全相关功能对该安全相关功能的内存的至少一个区域进行存取,并且这是在该非安全相关软件构件执行前已架设好,使得该非安全相关软件构件通过写入存取权限仅可存取该内存的有限区域,并特别是无法存取用于安全相关构件的内存的分开的区域,而其中在从该非安全相关构件返回后,该内存保护会再次关闭,且其中该监测构件会监测该安全相关功能以确定其是否运作正常。在此,从该非安全相关构件“返回”指该安全相关构件“初始化”该非安全相关构件,然后“仅”该非安全相关构件会运行,而当其停止时,该安全相关构件便会再次运行。在此,本专利技术提供了比上文所述者较便宜的方案。本专利技术的核心是使用了“乐观法”。换言之,正面地假设了非关键功能不会致使任何错误。此假设会被可靠地和非常快速地检查是否正确。因此,虽然不会防止入侵(encroachment)(=非关键功能的错误,其可影响该安全相关功能),但这入侵会被检测出来,使得安全相关功能可被带到安全状态(或以另一合适方式对干扰作出反应)。正常来说,该安全状态指“关闭(shutdown)”——安全状态的另一类型可能是有故障的功能在入侵执行前被停止(如改写该安全相关功能所需要的工作内存的某区域)——而这对该安全相关功能并无任何负面影响。这可通过异常处理例程来达成。对大多数系统来说,这程序已相当适当,这是由于通常会有其他不可靠的部件,而即使发生单项故障,安全相关系统亦永不应被允许进入不安全状态。在本专利技术的一个变体中,其中操作系统在该计算机单元(=CPU)上运行,这操作系统的分派程序(dispatcher)确保该内存保护在作出非安全相关的排程决定前会一直生效,而对与该非安全相关区域分开的内存区域的内存保护,仅会(当且仅当)在作出了启动安全相关构件的排程决定时被解开。若在从该安全相关功能检索(retrieve)出非安全相关软件构件之后,存在信号(alivesignal)会被发送至监测模块,则是从根本上有利的。此外,若在检索出非关键软件构件之前和之后,时间戳记会被发送至监测模块,则可能是有利的。若存在信号会被发送至分布在该些安全相关软件构件的几个位置(“中央”位置)的监测模块(这对该安全相关功能的执行来说是重要的),使得该监测模块亦可检查该些安全相关软件构件的功能执行,则是特别有利的。在此情况下,亦会通过检查和(checksums)或类似方式,而非使用简单的存在信号,来对多个检查点的执行进行监测。因此,不仅可见到该安全相关功能正在运行,亦可见到在该功能中某些关键点曾经被接近的次序。最后,若在缺少存在信号和/或时间戳记后,该监测模块会将该(子)系统转换至安全状态,则是特别有利的。附图说明下文以附图为基础,对本专利技术作出更详细的说明,其中图1显示了计算机单元(CPU)的工作内存的分段(segmentation),而非关键功能和安全相关功能在这计算机单元上执行,图2显示了检查/保护功能的伪代码,图3显示了该些安全相关功能的独立检查的执行,以及图4显示了在操作系统的分派程序中启动内存保护的伪代码。具体实施方式本专利技术以几项特征和几个方法的组合为基础:1.对该CPU的内存实施内存保护,以阻断来自非关键功能的指错方向(misdirected)的内存存取(检测)。2.在功用为监测模块的独立单元中使用检查构件(checkingcomponent),以检测出安全相关功能的有故障的执行。此方法利用这两项技术,来实现对安全相关功能进行的可靠监测。该控制单元的CPU的工作内存SPE是按照图1的一些区段(segments)。该些安全相关功能SAFET可对该整个工作内存SPE(或该内存SPE的主要区域SPE1-SPE4)进行读取和写入,而该些非关键功能STANT则仅可对该工作内存SPE的某部分SPE3-SPE5进行读取和写入。该内存SPE的部分SPE3,其被指派予非关键区域,被界定为交换区域。如有需要,安全相关功能和非关键功能可在此交换数据。该内存SPE的分段必须以该些安全相关功能拥有其自己的栈(stack)和堆(heap)区域SPE1的方式进行。因此,在这些区域之间直接检索出功能是不可能的。安全相关功能或有可能对标准功能(未显示)的栈/堆区域SPE5有存取权限;照例来说,肯定标准功能无法存取该些安全相关功能的栈/堆SPE1(或该些变量)是较少有需要但是重要的。光是内存区段是不足以保护该些安全相关功能。亦须确保该些非关键功能不会因错误而阻断该CPU并从而防止该些安全相关功能可迅速作出反应。按照本专利技术所述的方法不会防止阻断,但可将其检测出来。每次在安全相关功能和非关键(标准)功能之间有所切换时,就会通过软件检查点(SW检查点)来检查。图2中的伪代码(在此描述了透过安全相关功能来检索出标准功能的例子)展现了按照本专利技术所述的方法的核心,即检查/保护功能,以其检查工作内存的存取以及该些非关键功能的运行期性能。该CPU总是由安全相关功能进行初始化,然后安全相关本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2009.10.15 AT A1627/20091.一种在硬件平台上执行安全相关软件构件和非安全相关软件构件的方法,其中该硬件平台为计算机单元CPU并包含至少一个内存,而其中至少一个的非安全相关软件构件连同至少一个的安全相关软件构件在这计算机单元CPU上执行,且其中该硬件平台包含监测构件或连接至监测构件,而这监测构件的操作独立于该硬件平台的该计算机单元CPU,其中该硬件平台对该至少一个内存的至少一部分有写入保护机制,而其中该安全相关软件构件对某些区域或对整个内存有完全的写入存取权限,或该安全相关软件构件对该内存的某区域有存取权限,而该区域与被提供予非安全相关软件构件的内存区域是分开的,而其中该安全相关软件构件在该非安全相关软件构件执行前架设内存保护,以防非安全相关软件构件对该安全相关软件构件的内存的至少一个部分进行存取,使得该非安全相关软件构件仅在该内存的限制区域中有写入...
【专利技术属性】
技术研发人员:卡斯滕·维奇,斯蒂芬·波勒德纳,埃里克·施密特,
申请(专利权)人:FTS电脑技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。