CN104820626A - 用于使具有不同的安全等级的软件在多核处理器系统中共存的方法 - Google Patents

用于使具有不同的安全等级的软件在多核处理器系统中共存的方法 Download PDF

Info

Publication number
CN104820626A
CN104820626A CN201510044604.0A CN201510044604A CN104820626A CN 104820626 A CN104820626 A CN 104820626A CN 201510044604 A CN201510044604 A CN 201510044604A CN 104820626 A CN104820626 A CN 104820626A
Authority
CN
China
Prior art keywords
core
storage area
protected
software
calculating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510044604.0A
Other languages
English (en)
Inventor
P.韦格纳
J.U.亨格
M.施魏策尔
C.格鲍尔
B.米勒
T.海因茨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN104820626A publication Critical patent/CN104820626A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1433Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a module or a part of a module
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/656Updates while running
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/835Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种用于使具有不同的安全等级的软件在多核处理器中共存的方法,所述多核处理器具有至少两个计算核(2、3),其中为每个计算核(2、3)分别分配了存储区域(4、5),并且在所述计算核(2、3)中的一个上对具有预先给定的安全等级的软件(SW1、SW2)进行处理。在一种具有较高程度的无干扰性的方法中,仅仅在被分配了相同的安全等级的计算核(2、3)上对具有所述预先给定的安全等级的软件(SW1、SW2)进行处理,其中在处理所述软件(SW1、SW2)的期间所述计算核(2、3)仅仅访问固定地为所述计算核(2、3)分配的、受到保护的存储区域(4、5)。

Description

用于使具有不同的安全等级的软件在多核处理器系统中共存的方法
技术领域
本发明涉及一种用于使具有不同的安全等级的软件在多核处理器中共存的方法,所述多核处理器具有至少两个计算核(Rechenkern),其中为每个计算核分配了存储区域,并且在所述计算核中的一个上对具有预先给定的安全等级的软件进行处理。
背景技术
在汽车工业中,使用嵌入在用于对不同的流程进行控制的控制仪中的系统,在所述系统中使用多核微控制器。这些多核微控制器包括两个或者更多个计算核。对于与安全相关的应用来说,通常通过合适的硬件措施来保护这些计算核,比如其方法是:具有Lockstep(锁步)的计算核在所耦合的计算核中得到保护或者使用错误冗余的(fehlerredundant)CPU。在计算核的Lockstep配对(Lockstep-Paar)中,两个计算核同步地工作,其中在所述两个计算核上相同的软件在运行,并且比较器对每次运算的结果进行比较。在发现不同时发出错误的信息。但是,作为主动的总线用户,所述Lockstep配对仅仅作为用户而出现。由此这样的配对也被称为得到保护的计算核。
除此以外,在汽车领域内,对于与安全相关的电子系统来说,ISO 26262是相关的。该标准引入ASIL (Automotive Safety Integrity Level(汽车安全完整性等级))的概念,并且允许将不同的系统、功能和子功能根据其安全相关性分类为所述不同的安全等级(ASIL)。这些ASIL包括QM、A、B、C、D(升序分类)。如果在计算系统、比如微型计算器中同时使用不同的ASIL,那就在所述不同的安全等级之间要求某种独立性、所谓的无干扰性(Freedom-from-Interference)。
重要的是,对于与安全相关的应用来说以简单的形式将具有不同的安全等级的部件彼此分开。
发明内容
由此本发明所基于的任务是说明一种用于使具有不同的安全等级的软件在多核处理器中共存的方法,其中对于与安全相关的应用来说以简单的形式将设置有不同的安全等级的系统部件彼此分开。
按照本发明,所述任务通过以下方式得到解决:为处理软件部分的计算核分配了受到保护的存储区域,处理所述软件部分的计算核对该存储区域进行访问,其中禁止所述多核处理器的其它计算核中的至少一个计算核对所述所分配的、受到保护的存储区域进行访问。这具有以下优点:仅仅被分配给相同的安全等级的系统部件彼此进行通信。由此可以容易地将所述多核微处理器的、具有不同的安全等级的系统部件分开。这样的解决方案不仅允许尽可能好地将这些计算核和存储单元彼此分开,而且也能够实现对于各个系统部件的分开开发。鉴于这一点,在这样的多核微处理器系统中存在着无干扰性的形式的独立性。通过这种分开可以以足够的可靠性排除所述多核微处理器的一个系统部件对于所述多核微处理器的另外的系统部件的错误的影响。
有利地,在计算核与所述存储区域之间构成的存储保护装置仅仅允许这样的计算核访问受到保护的存储区域,该计算核具有相同的安全等级并且被分配给这个存储区域。原则上的构思在于:在每个计算核上仅仅给定的安全等级的软件在运行,并且保证没有计算核访问另外的计算核的受到保护的存储区域。由此在每个计算核上存在着具有ASIL的软件。由此利用五个计算核可以实现具有ASIL QM、A、B、C、D的安全等级的系统。这能够以一般的形式实现无干扰性论证,并且由此能够在多核微处理器中实现不同的ASIL的共存。
在一种设计方案中,构造为二级的存储保护装置允许计算核通过在所述存储保护装置中所构成的等级层来访问相应的受到保护的存储区域。所述存储保护装置允许通过合适的编程来保证,仅仅特定的总线主控装置(Busmaster)对所选择的、受到保护的存储区域进行访问,这就是说,给定的主控装置对多核处理器的特定的存储区域决不进行访问,这不取决于何种软件在其上面运行。
在一种变型方案中,所述软件在所述多核处理器的起动过程中检查,是否仅仅分配给所述受到保护的存储区域的计算核对所述受到保护的存储区域进行访问。由此保证,所选择的、包括预先给定的安全等级的区域彼此分开并且不受所述多核微处理器的其它组成部分的影响。
在一种实施方式中,为了检查对所述受到保护的存储区域的访问,从所述存储保护装置中读出配置,或者通过所述软件重新对所述存储保护装置进行编程。因为仅仅在所述多核处理器的起动过程期间进行所述重新编程,所以保证在多核处理器系统运行期间在具有另外的安全等级的软件访问所述存储保护装置时不对所述配置进行改变。
在另一种变型方案中,所述存储保护装置的重新编程静态地进行。也就是说,在编程过程之后不再能改变所述编程,这一点尤其通过所述存储保护装置的所使用的形式得到保证。但是,由于这种处理方式,在通过具有预先给定的安全等级的软件来起动所述多核微处理器的时间点可以保证,在不取决于具有另外的安全等级的软件是否在其它的、在所述多核处理器系统中所包含的计算核上运行的情况下,这个具有另外的安全等级的软件不能访问所述计算核的对具有预先给定的安全等级的软件进行访问的区域。这一点在所述多核处理器单元的连续的运行中再加载(nachladen)其它的软件时也适用。
在一种实施方式中,所述存储保护装置的配置允许具有第一安全等级的第一计算核和具有第二安全等级的第二计算核对受到保护的第三存储区域进行访问。这样的访问在所述多核微处理器的各个的系统部件、比如所述第一及第二计算核在执行(Abarbeitung)在其上面运行的、具有不同的安全等级的软件时必须相互通信时总是具有特殊的意义。由此设立了两个系统部件可以对其进行访问的附加的、受到保护的存储区域。由此保证,仅仅这种软件并且没有其它另外的软件组件还能访问所述受到保护的第三存储区域。
有利地,所述第一计算核对受到保护的第一存储区域进行访问,而同时所述第二计算核对受到保护的第二存储区域进行访问。由此所述具有不同的安全等级的软件可以平行并置地在不同的计算核上被执行,由此由于能够平行化的存储访问而使执行过程加速。在进行这样的能够平行化的存储访问时,在所述第一计算单元与所述受到保护的第一存储区域之间并且在所述第二计算单元与所述受到保护的第二存储区域之间不存在对访问的影响。为了保证这样的能够平行化的存储访问,比如可以使用与所述计算核直接连接的局部存储器,所述局部存储器允许快速的访问。此外,能够通过交叉开关(Crossbar)来实现真正的平行的访问。另一种可行方案在于双端口存储器(Dual Ported Memory)的使用。通过高速缓冲存储器(Cache)或者预取缓冲存储器(Prefetch Buffer)的使用,同样可以经常接近平行性,尤其如果在时间上如此控制预取缓冲存储器,使得互联利用(Interconnect-Nutzung)无冲突地进行,那就可以改进实际的平行化。
在另一种实施方式中,时间管理系统禁止所述第一计算核及所述第二计算核同时访问所述受到保护的第三存储区域。由此可靠地防止所述第一计算核及所述第二计算核同时对所述受到保护的第三区域进行访问。通过防止两个访问的重叠,由此消除了在所述第一计算核或者所述第二计算核上运行的软件的相互的影响。由此在这种情况中也保证了无干扰性条件。这也在不能完全平行化的连接系统中、比如在总线或者另外的互联系统中适用。
在这样的时间控制的最简单的形式中,所述时间管理系统包括时间表,该时间表规定在何种时间点所述第一计算核或者所述第二计算核访问所述受到保护的第三存储区域。由此在给定的时间点,至多一个计算单元应拥有对所述受到保护的第三存储区域进行访问的许可(Erlaubnis)。这样的时间上的资源划分方案比如能够较好地用于在机动车的控制仪中所使用的总线系统、比如FlexRay、TTCAN、TTP/C。由此在访问时防止软件冲突并且提高无干扰性。
在另一种变型方案中,为了监控所述第一计算核或者所述第二计算核对所述受到保护的第三存储区域的访问,编制了一种协议,在该协议中所述计算核的、对所述受到保护的第三存储区域的访问设置有时间印记。借助于这样的时间印记,可以非常容易地识别所述访问的时间上的顺序并且确定是否发生了具有所述软件的不期望的相互影响的冲突情况。
有利地,具有预先给定的安全等级的计算核在对具有相应的安全等级的软件进行处理的期间仅仅访问所述多核微处理器的、受到保护的、为这种处理所选择的外围的元件。所述多核微处理器的、这样的外围的元件比如可以是A/D转换器、通信控制器或者定时器。通过这种规定来保证,所述多核微处理器的、相同的外围的元件没有同时被所述多核微处理器的、用安全等级来加载的系统部件所利用,并且因此不可能产生相互的影响以及由此软件的变化。由此,在这种情况中也能够实现无干扰性,由此禁止配置以及破坏性的读取访问。
在一种设计方案中,仅仅在所述多核微处理器的起动过程期间对所述外围的元件进行配置。由此保证,不会有软件错误来改变所述外围的元件的配置。此外可靠地防止了这样的软件错误对利用相同的外围的元件的多核微处理器内部的另外的应用产生影响。如果在所述起动过程期间探测到错误,则在启动所述多核微处理器之前就已经可以输出错误信号。
除此以外还有意义的是,根据可以以何种形式来进行这样的、防止配置变化的保护,以预先给定的时间间隔以读取的方式来检查所述外围的元件的配置。这可以由所述多核微处理器的每个系统部件来实施,并且表示主动的防止配置错误的保护。
在一种改进方案中,在将新的软件下载到所述多核处理器上时仅仅使所述新的软件在这些没有分配给安全等级的并且/或者未对受到保护的存储区域进行访问的计算核上运行。由此在所述多核微处理器的运行期间也可以加载新的和附加的软件,而对所述多核微处理器的、处于特定的安全等级的系统部件没有影响。
附图说明
本发明允许大量的实施方式。其中三种实施方式应该根据在附图中示出的图得到详细解释。附图示出:
图1是按本发明的多核微处理器的第一种实施例;
图2是按本发明的多核微处理器的第二种实施例;
图3是按本发明的多核微处理器的第三种实施例;
图4是按本发明的多核微处理器的第四种实施例。
相同的特征用相同的附图标记来表示。
具体实施方式
图1示出了多核微处理器1的第一种实施例,这种实施例比如在机动车的控制仪中的被嵌入的系统中使用并且具有两个计算核2、3。为所述计算核2分配了存储区域4,并且为所述计算核3分配了存储区域5。两个计算核2、3仅仅通过相应的、构造为记忆保护单元(MPU)的存储保护装置6来访问所述存储区域4、5。尤其通过如比如在EP 2 461 251 A1中所描述的那样的、记忆保护单元的相应的第二层、比如还通过附加的安全MPU来进行所述访问。在此所述存储区域4只能对所述计算核2进行访问,也就是说,所述计算核3不得访问所述存储区域4。相应地,所述计算核3只能访问所述存储区域5,其中所述计算核2不得访问所述存储区域5。可以设想,还有其它的未进一步示出的、但是两个计算核2、3可以对其进行访问的存储区域。
在机动车的控制仪中,具有不同的安全等级的软件应用在运行。这样的安全等级以ASIL(Automotive Safety Integrity Level)来标识。根据应用的安全相关性将这些应用升序地分类为不同的表示安全等级的ASIL,如QM、A、B、C、D。比如接下来的软件应用可以具有相应的ASIL:
ASIL D 对于防抱死系统的控制,
ASIL B 对于喷射系统的控制,
QM 对于车辆内部空间的空调控制。
比如用于对于机动车的防抱死系统的控制的、具有安全等级D的软件SW1在此仅仅在允许用于所述安全等级D的计算核2上被执行。比如汽油喷射的、软件SW2的形式的第二种应用具有安全等级B。这种软件SW2仅仅在允许用于这种安全等级B的计算核3上被执行。无干扰性、也就是在两种软件应用之间的无反作用性通过以下方式来实现:使所述软件SW1仅仅在所述计算核2上运行,并且使所述软件SW2仅仅在所述计算核3上运行。
图2示出了多核微处理器9的第二种实施例,在该第二种实施例中给所述多核微处理器扩充了计算核7和8。在这些计算核7和8上还分别运行软件应用SW3或者软件应用SW4。在这种实施例中,如果适用计算单元2仅仅处理所述软件SW1并且计算单元3仅仅处理所述软件SW2,所有其它的软件应用SW3、SW4的、所期望的、对软件SW1以及SW2的无干扰性得到了保证。除此以外必须保证,仅仅所述计算单元2对所述存储区域4进行访问,并且仅仅所述计算单元3对所述存储区域5进行访问。如果这一点通过将已经描述的存储保护装置6用到所述计算核2、3上得到保证,那么可变的、在最强烈的情况下动态地下载的软件也不会改变所述多核微处理器9的这种特性,从而甚至为所有的情况保证了无干扰性条件。对于所述软件应用SW3和SW4来说不存在将其分配给特定的计算单元的要求。所述软件应用SW3和SW4可以在很大程度上被任意地分布到计算单元2、3、7或8上。
为了确定所述计算核3、7、8没有对特别受到保护的存储区域4进行存取,所述软件SW1在引导过程或者起动过程期间读出所述存储保护装置6的配置,并且对其进行评估。但是也存在着以下可能性:在所述引导过程或者起动过程期间本身通过所述软件SW1来对所述存储保护装置6的配置进行编程。在此仅仅必须保证,这种编程是静态的,也就是说在引导过程之后不能对所述配置进行更多的改变。由此在所述软件SW1的起动时间点保证了在不取决于哪种软件SW2、SW3、SW4在另外的计算核3、7、8上运行的情况下,这些软件SW2、SW3、SW4不能访问所述存储区域4。这一点即使在连续的运行中再加载这些软件SW2、SW3、SW4时也是适用的。其前提是,所述被再加载的软件不是在所述计算核2上运行,而是在另外的计算核3、7或者8中的一个上运行。
在使用情况中一般出现以下情况:不同的软件应用在处理期间必须彼此进行通信。为了在所述多核微处理器11的所描述的配置中也保证这一点,如在图3中示出的那样,引入了不仅所述计算核2而且所述计算核3都可以通过所述存储保护装置6对其进行访问的存储区域10。在此如此对所述存储保护装置6进行配置,从而仅仅所述计算核2对所述存储区域4进行访问,仅仅所述计算核3对所述存储区域5进行访问,并且仅仅所述计算核2和3对所述存储区域10进行访问。在这种情况中,在不取决于在所述微处理器系统11中存在多少其它的计算核7并且哪些软件应用在这些计算核上运行的情况下保证,不存在对于其它的软件应用、另外的计算单元和另外的存储区域的影响可能性。
为了在所述计算核2或者所述计算核3访问所述存储区域10时也实现无干扰性,设置特定的定时边界条件(Timing-Randbedingung)并且必要时进行监控。如果保证对存储区域、存储位置、互联(Interconnect)或者另外的源/地址的访问不重叠,那就可以防止访问冲突。为了实现这一点,引入了一种时间表,在该时间表中存放了在何种时间点所述计算核2可以访问所述存储区域10并且在何种时间点所述计算核3可以访问所述存储区域10。在此要保证,总是准许仅仅一个计算核2、3访问所述存储区域10。
可以对这种划分类型进行监控,比如其方法是:将检验程序集成到总线协议中,或者其方法是:就冲突对所述总线协议进行监控。这比如可以通过以下方式来进行:记录冲突情况,其方法是比如引入合适的日期。这样的协议比如可以具有以下组成部分:
-记录所述总线的当前的运营者,其方法是不仅将总线主控装置而且将所述软件组件以任务M或者操作系统Y的形式加以保存;
-将时间印记(Zeitstempel)加以保存;
-将这种信息保存下来并且有利地将其存放在具有有限的长度的FIFO(先进先出)存储器中。对于特定的事件、比如冲突来说,可能与关于另外的、要访问的系统部件的信息一起对这个FIFO存储器进行复制。
通过合适的检验程序对所述冲突进行测评。在严重冲突的情况下建立更安全的系统状态。
但是在交换信息时也存在着更为复杂的干扰可能性。如果比如由于软件应用、比如在图3中的软件SW1的错误或者特殊的特性而在时间上或者在内容上没有正确地提供有待交换的、处于所述存储区域10中的日期,那么这种错误就会通过这种交换来影响所述软件SW2。为了处理这样的时间上的问题,同样可以将时间信息、比如回合计数(Rundencounter)或者时间印记添加到所述日期上。而后在读出时可以对这种时间信息的正确性一同进行监控。比如可以检查,所述日期是否设置有正确的回合计数。对于时间印记来说则检查,是否存在正确的“时间长短(Alter)”,比如“至多10ms长”。而后在合适地划分所述软件应用的情况下,这种监控可能可以通过操作系统服务或者不取决于应用并且仅仅合适地经过配置的基础软件组件来实施。
相同的、能够用于对一起被利用的存储区域进行访问的机构也可以用于一起被利用的外围的元件、比如A/D转换器、通信控制器或者定时器等等(图4)。这可以通过以下方式来实现:只能在引导过程中对外围的元件12、13进行配置。随后可以对用于所述外围的元件12、13的应用进行配置,其中所述多核微处理器15的另外的系统部件读取所述配置,并且如果一切正常,则在运行中以正确的配置为出发点。如果没有进行正确的配置,则在起动所述多核微处理器15时就已经输出错误的信息。除此以外,根据以何种形式来设定这样的、防止配置变化的保护,还可有意义的是,有规律地以读取的方式来检查所述外围的元件12、13的配置。这可以由每个软件应用SW来实施,并且表示一种主动的、防止配置错误的保护。
如果要借助于下载来将新的或者附加的软件应用SW加载到控制仪的多核微处理器上,那么值得推荐的是,遵守以下边界条件:
-应该保护所下载的软件应用免受干扰的已经存在的软件应用被分布到所述计算核的固定的子集上并且使用固定地所定义的存储区域;
-使新下载的软件应用仅仅在另外的计算核上运行;
-如此对所述存储保护装置进行配置,使得所述另外的计算核中没有计算核对所述固定地定义的存储区域进行写入访问;
-在最佳情况中所述存储访问完全能够平行化。

Claims (15)

1. 用于使具有不同的安全等级的软件在多核处理器中共存的方法,所述多核处理器具有至少两个计算核(2、3),其中为一个计算核(2)分配了存储区域(4),并且在各一个所述计算核(2、3)上对具有各一个预先给定的安全等级的软件部分(SW1、SW2)进行处理,其特征在于,为处理所述软件部分(SW1)的计算核(2)分配了受到保护的存储区域(4),处理所述软件部分(SW1)的计算核(2)对所述存储区域(4)进行访问,其中禁止所述多核处理器(1、9、11、15)的、其它的计算核(3、7、8)中的至少一个计算核对所述所分配的、受到保护的存储区域(4)进行访问。
2. 按权利要求1所述的方法,其特征在于,在所述计算核(2、3)与所述存储区域(4、5)之间构成的存储保护装置(6)仅仅允许被分配给所述受到保护的存储区域(4、5)的计算核(2、3)对所述存储区域(4、5)进行访问。
3. 按权利要求2所述的方法,其特征在于,构造为二级的存储保护装置(6)允许计算核(2、3)通过在所述存储保护装置(6)中所构成的等级层来访问相应的、受到保护的存储区域(4、5)。
4. 按权利要求1、2或3所述的方法,其特征在于,所述软件(SW1)在所述多核处理器(1、9、11、15)的起动过程中检查,是否仅仅分配给所述受到保护的存储区域(4、5)的计算核(2、3)对所述受到保护的存储区域(4、5)进行访问。
5. 按权利要求4所述的方法,其特征在于,为了检查对所述受到保护的存储区域(4、5)的访问,从所述存储保护装置(6)中读出配置,或者通过所述软件重新对所述存储保护装置(6)进行编程。
6. 按权利要求5所述的方法,其特征在于,对于所述存储保护装置(6)的重新编程静态地进行。
7. 按前述权利要求中任一项所述的方法,其特征在于,所述存储保护装置(6)的配置允许具有第一安全等级的第一计算核(2)和具有第二安全等级的第二计算核(3)访问受到保护的第三存储区域(10)。
8. 按前述权利要求中任一项所述的方法,其特征在于,所述第一计算核(2)访问受到保护的第一存储区域(3),而同时所述第二计算核(3)访问受到保护的第二存储区域(4)。
9. 按前述权利要求中至少一项所述的方法,其特征在于,时间管理系统禁止所述第一计算核(2)及所述第二计算核(3)同时访问所述受到保护的第三存储区域(10)。
10. 按权利要求9所述的方法,其特征在于,所述时间管理系统包括时间表,所述时间表规定,在何种时间点所述第一计算核(2)或者所述第二计算核(3)访问所述受到保护的第三存储区域(10)。
11. 按权利要求9所述的方法,其特征在于,为了监控所述第一计算核(2)或者所述第二计算核(3)对所述受到保护的第三存储区域(10)的访问,编制了协议,在所述协议中所述计算核(2、3)的、对所述受到保护的第三存储区域(10)的访问设置有日期。
12. 按前述权利要求中至少一项所述的方法,其特征在于,具有预先给定的安全等级的计算核(2、3)在对具有相应的安全等级的软件(SW1、SW2)进行处理的期间仅仅访问所述多核处理器(1、9、11、15)的、受到保护的、为这种处理所选择的外围的元件(12)。
13. 按权利要求12所述的方法,其特征在于,仅仅在所述多核处理器(1、9、11)的起动过程期间对所述外围的元件(12)进行配置。
14. 按权利要求12或13所述的方法,其特征在于,以预先给定的时间间隔以读取的方式检查所述外围的元件(12)的配置。
15. 按前述权利要求中至少一项所述的方法,其特征在于,在将新的软件下载到所述多核处理器(1、9、11)上时仅仅使所述新的软件在这些没有分配给安全等级的并且/或者未对所述受到保护的存储区域(4、5、10)进行访问的计算核(7、8)上运行。
CN201510044604.0A 2014-01-30 2015-01-29 用于使具有不同的安全等级的软件在多核处理器系统中共存的方法 Pending CN104820626A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014201682.7A DE102014201682A1 (de) 2014-01-30 2014-01-30 Verfahren zur Koexistenz von Software mit verschiedenen Sicherheitsstufen in einem Multicore-Prozessorsystem
DE102014201682.7 2014-01-30

Publications (1)

Publication Number Publication Date
CN104820626A true CN104820626A (zh) 2015-08-05

Family

ID=53523005

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510044604.0A Pending CN104820626A (zh) 2014-01-30 2015-01-29 用于使具有不同的安全等级的软件在多核处理器系统中共存的方法

Country Status (4)

Country Link
US (1) US10127161B2 (zh)
KR (1) KR102271185B1 (zh)
CN (1) CN104820626A (zh)
DE (1) DE102014201682A1 (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106339332A (zh) * 2016-08-23 2017-01-18 广东欧珀移动通信有限公司 一种信息处理方法、装置和终端
CN107493262A (zh) * 2016-06-13 2017-12-19 罗伯特·博世有限公司 用于传输数据的方法和装置
CN108025685A (zh) * 2015-09-30 2018-05-11 日立汽车系统株式会社 车载控制装置
CN108910637A (zh) * 2018-07-18 2018-11-30 迅达(中国)电梯有限公司 安全系统
CN109074701A (zh) * 2016-03-18 2018-12-21 捷德货币技术有限责任公司 用于评估有价文件的传感器数据的装置和方法
CN109716302A (zh) * 2016-08-17 2019-05-03 西门子移动有限公司 用于冗余数据处理的方法和设备
CN110658988A (zh) * 2018-06-28 2020-01-07 瑞萨电子株式会社 半导体器件、控制系统和半导体器件的控制方法
CN111026573A (zh) * 2019-11-19 2020-04-17 中国航空工业集团公司西安航空计算技术研究所 一种多核处理系统的看门狗系统及控制方法
CN112035394A (zh) * 2020-07-27 2020-12-04 首都师范大学 面向实时处理的多核处理器的存储装置及数据处理方法

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014209489A1 (de) * 2014-05-20 2015-11-26 Robert Bosch Gmbh Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug
US9694765B2 (en) * 2015-04-20 2017-07-04 Hitachi, Ltd. Control system for an automotive vehicle
DE102015223757A1 (de) * 2015-11-30 2017-06-01 Robert Bosch Gmbh Verfahren zum Betreiben eines Mikrocontrollers
JP6465003B2 (ja) * 2015-11-30 2019-02-06 株式会社デンソー 電子制御装置
FR3065550A1 (fr) * 2017-09-29 2018-10-26 Continental Automotive France Procede d'echange protege de donnees entre deux taches
US20190243698A1 (en) * 2018-02-02 2019-08-08 Robert Bosch Gmbh Electronic Control Unit for Flexible Replacement of Replaceable Components in a Vehicle
DE102019200812A1 (de) * 2019-01-23 2020-07-23 Audi Ag Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie
CN112528345A (zh) * 2019-09-18 2021-03-19 华为技术有限公司 通信方法、装置、计算机可读存储介质和芯片
DE102019220461A1 (de) * 2019-12-20 2021-06-24 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Betreiben einer Recheneinrichtung
US20220349353A1 (en) * 2021-04-30 2022-11-03 Raytheon Technologies Corporation Gas turbine engine communication data management function
US11745724B2 (en) 2021-05-13 2023-09-05 Dana Belgium N.V. Diagnostic and control method for a vehicle system
US11535239B2 (en) 2021-05-13 2022-12-27 Dana Belgium N.V. Diagnostic and control method for a vehicle system
DE102022125711A1 (de) 2022-10-05 2024-04-11 Audi Aktiengesellschaft Verfahren zum Aktualisieren eines Steuergeräts eines Fahrzeugs

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7558775B1 (en) * 2002-06-08 2009-07-07 Cisco Technology, Inc. Methods and apparatus for maintaining sets of ranges typically using an associative memory and for using these ranges to identify a matching range based on a query point or query range and to maintain sorted elements for use such as in providing priority queue operations
CN101903867A (zh) * 2007-12-17 2010-12-01 大陆-特韦斯贸易合伙股份公司及两合公司 存储器映射系统、请求控制器、多处理配置、中央中断请求控制器、用于控制存储器访问的装置、方法和计算机程序产品
CN102486755A (zh) * 2010-12-03 2012-06-06 罗伯特·博世有限公司 存储器保护单元和用于控制对存储设备的访问的方法
CN102696037A (zh) * 2009-10-15 2012-09-26 Fts电脑技术有限公司 在硬件平台上执行安全相关和非安全相关软件构件的方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3864509B2 (ja) * 1997-08-19 2007-01-10 株式会社日立製作所 マルチプロセッサシステム
US20030212889A1 (en) * 2002-05-13 2003-11-13 Khieu Andrew K. Method and system for exchanging data over networks using public key encryption
US20060200481A1 (en) * 2005-03-04 2006-09-07 Khalid Goyan Method and system for data optimization and protection in DSP firmware
JP2007004661A (ja) * 2005-06-27 2007-01-11 Hitachi Ltd 仮想計算機の制御方法及びプログラム
US20080263256A1 (en) * 2007-04-20 2008-10-23 Motorola, Inc. Logic Device with Write Protected Memory Management Unit Registers
DE102011086530A1 (de) * 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Mikroprozessorsystem mit fehlertoleranter Architektur
US9158592B2 (en) * 2011-05-02 2015-10-13 Green Hills Software, Inc. System and method for time variant scheduling of affinity groups comprising processor core and address spaces on a synchronized multicore processor
US9098709B2 (en) * 2012-11-13 2015-08-04 International Business Machines Corporation Protection of user data in hosted application environments
US9298914B1 (en) * 2013-12-03 2016-03-29 Symantec Corporation Enterprise data access anomaly detection and flow tracking

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7558775B1 (en) * 2002-06-08 2009-07-07 Cisco Technology, Inc. Methods and apparatus for maintaining sets of ranges typically using an associative memory and for using these ranges to identify a matching range based on a query point or query range and to maintain sorted elements for use such as in providing priority queue operations
CN101903867A (zh) * 2007-12-17 2010-12-01 大陆-特韦斯贸易合伙股份公司及两合公司 存储器映射系统、请求控制器、多处理配置、中央中断请求控制器、用于控制存储器访问的装置、方法和计算机程序产品
CN102696037A (zh) * 2009-10-15 2012-09-26 Fts电脑技术有限公司 在硬件平台上执行安全相关和非安全相关软件构件的方法
CN102486755A (zh) * 2010-12-03 2012-06-06 罗伯特·博世有限公司 存储器保护单元和用于控制对存储设备的访问的方法

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108025685A (zh) * 2015-09-30 2018-05-11 日立汽车系统株式会社 车载控制装置
CN108025685B (zh) * 2015-09-30 2020-12-01 日立汽车系统株式会社 车载控制装置
CN109074701A (zh) * 2016-03-18 2018-12-21 捷德货币技术有限责任公司 用于评估有价文件的传感器数据的装置和方法
CN109074701B (zh) * 2016-03-18 2022-04-19 捷德货币技术有限责任公司 用于评估有价文件的传感器数据的装置和方法
CN107493262B (zh) * 2016-06-13 2022-01-21 罗伯特·博世有限公司 用于传输数据的方法和装置
CN107493262A (zh) * 2016-06-13 2017-12-19 罗伯特·博世有限公司 用于传输数据的方法和装置
CN109716302A (zh) * 2016-08-17 2019-05-03 西门子移动有限公司 用于冗余数据处理的方法和设备
CN109716302B (zh) * 2016-08-17 2022-10-18 西门子交通有限公司 用于冗余数据处理的方法和设备
US11334451B2 (en) 2016-08-17 2022-05-17 Siemens Mobility GmbH Method and apparatus for redundant data processing in which there is no checking for determining whether respective transformations are linked to a correct processor core
CN106339332A (zh) * 2016-08-23 2017-01-18 广东欧珀移动通信有限公司 一种信息处理方法、装置和终端
CN110658988A (zh) * 2018-06-28 2020-01-07 瑞萨电子株式会社 半导体器件、控制系统和半导体器件的控制方法
CN110658988B (zh) * 2018-06-28 2023-08-11 瑞萨电子株式会社 半导体器件、控制系统和半导体器件的控制方法
CN108910637A (zh) * 2018-07-18 2018-11-30 迅达(中国)电梯有限公司 安全系统
CN111026573A (zh) * 2019-11-19 2020-04-17 中国航空工业集团公司西安航空计算技术研究所 一种多核处理系统的看门狗系统及控制方法
CN111026573B (zh) * 2019-11-19 2023-08-18 中国航空工业集团公司西安航空计算技术研究所 一种多核处理系统的看门狗系统及控制方法
CN112035394A (zh) * 2020-07-27 2020-12-04 首都师范大学 面向实时处理的多核处理器的存储装置及数据处理方法

Also Published As

Publication number Publication date
KR102271185B1 (ko) 2021-07-01
US20150212952A1 (en) 2015-07-30
US10127161B2 (en) 2018-11-13
DE102014201682A1 (de) 2015-07-30
KR20150091013A (ko) 2015-08-07

Similar Documents

Publication Publication Date Title
CN104820626A (zh) 用于使具有不同的安全等级的软件在多核处理器系统中共存的方法
CN102486755B (zh) 存储器保护单元和用于控制对存储设备的访问的方法
CN103702878B (zh) 用于铁路车辆的制动控制单元
Reinhardt et al. Achieving a scalable e/e-architecture using autosar and virtualization
US9886294B2 (en) Method and device for testing an electronic control unit using a simulator running on a computer of different core type
CN105636832B (zh) 车辆控制装置
JP2016516228A (ja) システムオンチップ内のスレーブユニットへの、コントロール下でのアクセス方法および回路装置
CN109634533B (zh) 一种ecu信息转存方法及相关装置
US9235456B2 (en) Configuration technique for an electronic control unit with intercommunicating applications
CN111264046A (zh) 用于密码保护地监控设备或设施的至少一个组件的系统和方法
JP2001014220A (ja) ソフトウェア制御される電子装置のパーティション分割および監視方法
US20140366017A1 (en) Techniques for Virtualization as Interprocess Communication, Synchronization and Code Obfuscation
CN111213144B (zh) 单芯片系统,用于运行单芯片系统的方法及机动车
JPWO2020158377A1 (ja) 電子制御装置、電子制御装置のセキュリティ検証方法
JP7392157B2 (ja) コンピューティングデバイスの動作方法及び動作装置
KR20130022804A (ko) 리프로그래밍 제어모듈 및 이를 이용한 리프로그래밍 시스템 및 방법
Brewerton et al. Demonstration of automotive steering column lock using multicore autosar® operating system
CN110574343A (zh) 用于保护车辆安全系统的操作系统的方法和半导体电路
US20100114422A1 (en) Control device for vehicles
EP3696627B1 (en) Distributed control system
US10430231B2 (en) Method for creating a hypervisor unit for embedded systems
US10606770B2 (en) Microcontroller system and method for controlling memory access in a microcontroller system
CN108369558B (zh) 用于运行微控制器的方法
Gandhi et al. Techniques and measures for improving domain controller availability while maintaining functional safety in mixed criticality automotive safety systems
US10621312B2 (en) Method for operating a computer system to authorize use of software on a process computer

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20150805

RJ01 Rejection of invention patent application after publication