CN113330429A - 控制装置 - Google Patents

控制装置 Download PDF

Info

Publication number
CN113330429A
CN113330429A CN202080010051.6A CN202080010051A CN113330429A CN 113330429 A CN113330429 A CN 113330429A CN 202080010051 A CN202080010051 A CN 202080010051A CN 113330429 A CN113330429 A CN 113330429A
Authority
CN
China
Prior art keywords
control
standard
access
arithmetic unit
storage area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080010051.6A
Other languages
English (en)
Inventor
八木大介
小林雄作
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp filed Critical Omron Corp
Publication of CN113330429A publication Critical patent/CN113330429A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/145Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being virtual, e.g. for virtual blocks or segments before a translation mechanism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0683Plurality of storage devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0604Improving or facilitating administration, e.g. storage management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1466Key-lock mechanism
    • G06F12/1475Key-lock mechanism in a virtual system, e.g. with translation means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

控制装置(100)具有:第1运算部(101),其针对驱动装置(430)执行安全控制;第2运算部(102),其针对驱动装置(430)执行标准控制;存储部(103),其能够被第1运算部(101)和第2运算部(102)中的任何一个访问,并包含存储与安全控制相关的数据的第1存储区域(1031)、和存储与标准控制相关的数据的第2存储区域(1032),第1运算部(101)能够访问第1存储区域(1031)和第2存储区域(1032)中的任何一个,另一方面,第2运算部(102)能够访问第2存储区域(1032),而对第1存储区域(1031)的访问被限制。

Description

控制装置
技术领域
本发明涉及控制装置,更具体而言,涉及对驱动装置进行控制的控制装置。
背景技术
近年来,在各种生产现场,为了安全地使用设备、机械,已知如下控制装置,该控制装置除了对驱动装置进行标准控制的运算部以外,还具有从确保安全的观点出发对驱动装置进行安全控制的运算部。
例如,在国际公开第2015/145562号(专利文献1)中,公开了如下控制器,该控制器具有进行与驱动装置相关的驱动控制的驱动CPU(Central Processing Unit:中央处理单元)、和进行与驱动装置相关的安全控制的安全CPU的双方。另外,在专利文献1中,还公开了可以通过双核处理器来实现驱动CPU和安全CPU。
现有技术文献
专利文献
专利文献1:国际公开第2015/145562号
发明内容
发明所要解决的课题
如专利文献1所公开的控制器那样,如果能够通过双核处理器实现驱动CPU和安全CPU,则能够实现装置的省空间化以及低成本化。然而,在进行标准控制的运算部与进行安全控制的运算部共存的情况下,特别是从保护安全控制所使用的数据的观点出发,需要用于确保安全的研究,但在专利文献1所记载的控制器中没有进行任何考虑。
本发明的一个目的在于解决上述那样的课题,提供一种即使在进行标准控制的运算部和进行安全控制的运算部共存的情况下也能够确保安全的控制装置。
用于解决课题的手段
根据本公开的一例,提供一种对驱动装置进行控制的控制装置。控制装置具有:第1运算部,其针对驱动装置执行安全控制;第2运算部,其针对驱动装置执行标准控制;以及存储部,其能够被第1运算部和第2运算部中的任何一个访问,并包含存储与安全控制相关的数据的第1存储区域、和存储与标准控制相关的数据的第2存储区域。第1运算部能够访问第1存储区域和第2存储区域中的任何一个,另一方面,第2运算部能够访问第2存储区域,而对第1存储区域的访问被限制。
根据该公开,即使在执行安全控制的第1运算部和执行标准控制的第2运算部共存的情况下,第2运算部也被限制对存储与安全控制相关的数据的第1存储区域进行访问,因此不会由执行标准控制的第2运算部对安全控制造成影响,能够确保安全。
在上述公开中,控制装置具有多个微控制器单元(MCU)。第1运算部是执行安全控制的处理器核,第2运算部是执行标准控制的处理器核。多个微控制器单元各自包含执行安全控制的处理器核,多个微控制器单元中的至少任意一个包含执行标准控制的处理器核。
根据本公开,通过使执行安全控制的处理器核与执行标准控制的处理器核共存于单一的微控制器单元内,能够实现装置的省空间化及低成本化。
在上述公开中,在多个微控制器单元中各自所包含的执行安全控制的处理器核间,进行相互监视。
根据该公开,通过在执行安全控制的多个处理器核间进行相互监视,能够确保更安全。
在上述公开中,控制装置具有微控制器单元(MCU)。第1运算部是执行安全控制的处理器核,第2运算部是执行标准控制的处理器核。微控制器单元包含多个执行安全控制的处理器核,并且包含至少1个以上的执行标准控制的处理器核。
根据本公开,通过使执行安全控制的处理器核与执行标准控制的处理器核共存于单一的微控制器单元内,能够实现装置的省空间化及低成本化。
在上述公开中,控制装置具有数据表,该数据表规定对存储部的存储地址的访问的允许和禁止。基于数据表,第1运算部能够访问第1存储区域和第2存储区域中的任何一个的存储地址,另一方面,第2运算部能够访问第2存储区域的存储地址,而对第1存储区域的存储地址的访问被限制。
根据本公开,能够基于规定对存储部的存储地址的访问的允许和禁止的数据表,限制第2运算部对存储与安全控制相关的数据的第1存储区域的访问。
在上述公开中,第1运算部能够基于规定的命令,访问第1存储区域和第2存储区域中的任何一个,另一方面,第2运算部能够基于规定的命令访问第2存储区域,而对第1存储区域的访问被限制。
根据该公开,与第1运算部基于规定的命令进行访问的情况不同,在第2运算部基于规定的命令进行了访问的情况下,能够限制第2运算部对存储与安全控制相关的数据的第1存储区域的访问。
在上述公开中,作为规定对存储部的访问的允许和禁止的模式,设置有第1模式和相比该第1模式访问被限制的第2模式。无论模式是第1模式还是第2模式,第2运算部对第1存储区域的访问都被限制。
根据该公开,无论规定对存储部的访问的允许和禁止的模式是第1模式、以及相比该第1模式访问被限制的第2模式中的哪一个模式,都能够限制对存储与安全控制相关的数据的第1存储区域的访问。
在上述公开中,第1运算部是执行安全控制的处理器核,第2运算部是执行标准控制的处理器核。作为对包含执行标准控制的处理器核和执行安全控制的处理器核的处理器进行辅助的协处理器,控制装置还具有监视该处理器对第1存储区域和第2存储区域的访问的监视处理器。第2运算部被监视处理器限制了对第1存储区域的访问。
根据该公开,通过监视包含第1运算部和第2运算部的处理器对第1存储区域和第2存储区域的访问的监视处理器,能够限制第2运算部对存储与安全控制相关的数据的第1存储区域的访问。
附图说明
图1是表示本实施方式的控制装置的应用例的示意图。
图2是表示第1实施方式的控制装置的硬件结构例的示意图。
图3是用于说明第1实施方式的控制装置中的访问限制方法的第1例的示意图。
图4是用于说明第1实施方式的控制装置中的访问限制方法的第1例的示意图。
图5是用于说明第1实施方式的控制装置中的访问限制方法的第2例的示意图。
图6是用于说明第1实施方式的控制装置中的访问限制方法的第2例的示意图。
图7是用于说明第1实施方式的控制装置中的访问限制方法的第3例的示意图。
图8是表示第2实施方式的控制装置的硬件结构例的示意图。
图9是用于说明第2实施方式的控制装置中的访问限制方法的第1例的示意图。
图10是用于说明第2实施方式的控制装置中的访问限制方法的第2例的示意图。
图11是用于说明第2实施方式的控制装置中的访问限制方法的第3例的示意图。
具体实施方式
参照附图详细说明本发明的实施方式。另外,对图中的相同或相应的部分标注相同的标号并不重复其说明。
[A.应用例]
对应用本发明的场景的一例进行说明。
图1是表示本实施方式的控制装置100的应用例的示意图。本实施方式的控制系统1例如提供IEC 61508等所规定的安全功能。控制系统1主要具有控制装置100、安全设备300以及驱动装置430。
控制装置100典型地由可编程控制器(Programmable Logic Controller:PLC)等构成,对从控制对象取得的输入数据执行预先确定的用户程序,根据通过用户程序的执行而计算的输出数据向控制对象给出指令。在图1所示的例子中,控制对象包含驱动装置430、和对驱动装置430进行驱动的驱动器420。
例如,控制装置100在规定的驱动条件成立时,向驱动器420输出用于对驱动装置进行控制430的标准指令,由此使驱动装置430驱动或停止。另外,控制装置100基于来自驱动装置430的反馈信号等,对驱动装置430的位置、速度等进行控制。另外,驱动装置430假设为由驱动器420驱动的伺服电机,但不限于伺服电机,也可以是其他种类的驱动装置。在本实施方式中,将这样的控制装置100对驱动装置430以及驱动器420的控制也称为“标准控制”。
控制装置100除了上述的标准控制以外,还进行用于确保控制系统1中的作业者的安全的控制。
例如,控制装置100在受理了来自安全设备300(紧急停止开关、安全门开关、安全光幕等)的安全输入时,将安全指令输出到安全继电器410。安全继电器410配置在针对驱动器420的电力供给线上,基于来自控制装置100的安全指令,进行用于切断电力供给的控制。由此,切断对驱动器420的电力供给,因此驱动装置430停止。将这样的控制装置100经由安全继电器410对驱动装置430以及驱动器420的控制也称为“安全控制”。此外,作为安全控制,控制装置100也可以通过调整对驱动装置430的电力来对驱动装置430的位置、速度等进行控制。
与控制装置100可通信地连接的支持装置500向控制装置100提供与控制装置100要执行的标准控制以及安全控制分别相关的用户程序。
控制装置100具有关于驱动装置430执行上述安全控制的第1运算部101、和关于驱动装置430执行上述标准控制的第2运算部102。控制装置100还具有存储部103,该存储部103能够被第1运算部101和第2运算部102中的任何一个进行访问,并包含:第1存储区域1031,其存储与安全控制相关的数据;以及第2存储区域1032,其存储与标准控制相关的数据。
“第1运算部”和“第2运算部”可以是包含在规定的处理器中的处理器核,也可以是处理器或CPU自身。另外,“第1运算部”和“第2运算部”既可以是其双方包含在单一的处理器中的处理器核,也可以是分别包含在多个处理器中的处理器核。
在本说明书中,对比地使用“标准控制”和“安全控制”的用词。“标准控制”是用于按照预先确定的要求规格来对驱动装置430等控制对象进行控制的处理的总称。另一方面,“安全控制”是用于防止控制系统1中的设备或机械等威胁人的安全的处理的总称。“安全控制”被设计为满足用于实现IEC 61508等所规定的安全功能的要件。
在这样构成的控制装置100中,第1运算部101能够访问存储与安全控制相关的数据的第1存储区域1031、以及存储与标准控制相关的数据的第2存储区域1032中的任何一个,通过访问这些存储区域来执行安全控制。
在此,如上所述,安全控制在IEC 61508等中规定,在控制装置100的厂商侧预先设计有与安全控制相关的程序、数据。因此,如果由第2运算部102基于标准控制的程序或数据来访问第1存储区域1031,则有可能无法确保安全。因此,在本实施方式的控制装置100中,第2运算部102能够访问存储与标准控制相关的数据的第2存储区域1032,与此相对,对存储与安全控制相关的数据的第1存储区域1031的访问被限制。例如,在控制装置100中,在第2运算部102的访问目的地是第1存储区域1031的情况下,通过进行例外处理,第2运算部102对第1存储区域1031的访问被限制。
由此,即使在执行安全控制的第1运算部101与执行标准控制的第2运算部102共存的情况下,第2运算部102对存储与安全控制相关的数据的第1存储区域1031的访问也被限制,因此不会由执行标准控制的第2运算部102对第1存储区域1031所保存的与安全控制相关的数据造成影响,能够确保安全。
[B.第1实施方式]
对第1实施方式的控制装置100进行说明。
<a1.控制装置的硬件结构例>
图2是表示第1实施方式的控制装置100的硬件结构例的示意图。如图2所示,控制装置100具有多个微控制器单元(Micro controller Unit:MCU)和与该多个MCU分别对应的多个RAM(Random Access Memory:随机存取存储器)。在本实施方式中,控制装置100具有MCU 110和MCU 120、与MCU 110对应的RAM 115以及与MCU 120对应的RAM 125。此外,MCU和RAM不限于2个,也可以设置3个以上。
另外,控制装置100具有储存器130、USB控制器140、存储卡接口150以及本地总线接口160。这些组件经由桥接器1053与处理器总线1051、1052连接。MCU 110与处理器总线1051连接,MCU 120与处理器总线1052连接。
储存器130保存由用户根据所要求的安全功能创建的与安全控制相关的安全程序132、以及由用户根据控制对象创建的与标准控制相关的标准程序134等各种程序或数据。
USB控制器140经由USB连接与支持装置500等之间交换数据。
存储卡接口150构成为对接收到的存储卡写入数据,并从存储卡读出各种数据(日志、跟踪数据等)。
本地总线接口160经由本地总线,与连接于控制装置100的安全继电器410、驱动器420、以及安全器件300等任意的器件之间交换数据。
MCU 110包含处理器116、安全ROM(Read Only Memory:只读存储器)112和标准ROM114。
处理器116是多核处理器,包含安全核1162和标准核1164。安全核1162是“第1运算部”的一例,执行与安全控制相关的控制运算。标准核1164是“第2运算部”的一例,执行与标准控制相关的控制运算。这样,通过使与安全控制相关的安全核1162和与标准控制相关的标准核1164共存于单一的处理器116内,能够实现装置的省空间化及低成本化。
安全ROM 112保存用于实现与安全控制相关的基本功能的安全系统程序1122,并与安全核1162连接。
标准ROM 114保存用于实现与标准控制相关的基本功能的标准系统程序1142,并与标准核1164连接。
MCU 120包含处理器126、安全ROM 122和标准ROM 124。
处理器126是多核处理器,包含安全核1262和标准核1264。安全核1262是“第1运算部”的一例,执行与安全控制相关的控制运算。标准核1264是“第2运算部”的一例,执行与标准控制相关的控制运算。
这样,通过使与安全控制相关的安全核1262和与标准控制相关的标准核1264共存于单一的处理器126内,与将安全核和标准核分别包含于不同的处理器相比,能够实现装置的省空间化及低成本化。
安全ROM 122保存用于实现与安全控制相关的基本功能的安全系统程序1222,并与安全核1262连接。
标准ROM 124保存用于实现与标准控制相关的基本功能的标准系统程序1242,并与标准核1264连接。
控制装置100构成为,在处理器116与处理器126之间,通过交叉通信相互监视动作、状态。由此,即使在处理器116和处理器126中的任意一个发生了异常的情况下,也检测出该异常。
例如,处理器116和处理器126分别并行地执行程序。另外,处理器116和处理器126分别具有未图示的看门狗计时器。处理器116定期地重置自身所具有的看门狗计时器,处理器126也定期地重置自身所具有的看门狗计时器。处理器116通过处理器126监视看门狗定时器是否被定期重置,处理器126通过处理器116监视看门狗定时器是否被定期重置,从而在处理器间相互监视有无异常。
并且例如,处理器116和处理器126各自在并行地执行程序时,相互确认与该程序的执行相关的控制运算的计算结果,由此在处理器间相互监视有无异常。即,当一方的处理器发生某种异常而控制运算的计算结果不正确时,会变得与另一方的处理器中的控制运算的计算结果不一致,因此另一方的处理器通过检测计算结果不一致,能够检测出一方的处理器发生了异常。
这样,通过在执行安全控制的多个安全核1162和安全核1262间进行相互监视,能够确保更安全。
控制装置100对发生了异常的处理器进行切断电力供给等处理,由此防止在发生了异常的状态下执行安全控制。这样,独立地设置的多个处理器116、126通过相互监视动作、状态,能够检测异常的发生。特别是,安全核1162、1262执行用于确保安全的安全控制,因此通过相互监视,能够进一步提高安全等级。
RAM 115是“存储部”的一例。RAM 115的存储区域包含安全存储区域1152和标准存储区域1154。安全存储区域1152是“第1存储区域”的一例,保存用于执行安全控制的数据。标准存储区域1154是“第2存储区域”的一例,保存用于执行标准控制的数据。
处理器116的安全核1162读出安全ROM 112所保存的安全系统程序1122并在RAM115内的存储区域中展开执行,由此实现安全控制。同样地,处理器116的标准核1164读出标准ROM 114所保存的标准系统程序1142并在RAM 115内的存储区域中展开执行,由此实现标准控制。
这样,处理器116的安全核1162和标准核1164通过访问RAM 115来执行安全控制或标准控制,但允许从安全核1162对标准存储区域1154进行访问,另一方面,从确保安全的观点出发,限制从标准核1164对安全存储区域1152进行访问。例如,在控制装置100中,在标准核1164的访问目的地是安全存储区域1152的情况下,通过进行例外处理,限制标准核1164对安全存储区域1152的访问。
由此,能够防止由于标准核1164的访问而使得安全存储区域1152所保存的与安全控制相关的数据发生某种异常,能够确保安全。
RAM 125是“存储部”的一例。在RAM 125的存储区域中包含安全存储区域1252和标准存储区域1254。安全存储区域1252是“第1存储区域”的一例,保存用于执行安全控制的数据。标准存储区域1254是“第2存储区域”的一例,保存用于执行标准控制的数据。
处理器126的安全核1262读出安全ROM 122所保存的安全系统程序1222并在RAM125内的存储区域中展开执行,由此实现安全控制。同样地,处理器126的标准核1264读出标准ROM 124所保存的标准系统程序1242并在RAM 125内的存储区域中展开执行,由此实现标准控制。
这样,处理器126的安全核1262和标准核1264通过访问RAM 125来执行安全控制或标准控制,但允许从安全核1262对标准存储区域1254进行访问,另一方面,从确保安全的观点出发,限制从标准核1264对安全存储区域1252进行访问。例如,在控制装置100中,在标准核1264的访问目的地是安全存储区域1252的情况下,通过进行例外处理,限制标准核1264对安全存储区域1252的访问。
由此,能够防止由于标准核1264的访问而使得安全存储区域1252所保存的与安全控制相关的数据发生某种异常,能够确保安全。
<b1.控制装置中的访问限制方法的第1例>
图3和图4是用于说明第1实施方式的控制装置100a中的访问限制方法的第1例的示意图。此外,在图3所示的控制装置100a的硬件结构例中,对具有与图2所示的控制装置100的硬件结构例相同的结构以及功能的部分附加相同的标号,并省略其说明。
如图3所示,控制装置100a的MCU 110a包含与处理器116连接的MMU(MemoryManagement Unit:存储器管理单元)117。MMU 117具有存储器保护功能,防止处理器116内的核访问未分配给自身的存储区域。具体而言,在MMU 117中,图4所示的转换表600在启动时被设定,控制装置100a利用该转换表600限制标准核1164对安全存储区域1152的访问。
例如,在标准ROM 114中包含用于限制标准核1164对安全存储区域1152的访问的限制数据1144。在MCU 110a启动时,将该限制数据1144设定于MMU 117,由此构建与标准核1164对应的转换表600。另外,虽然省略了图示,但在安全ROM 112中也保存有用于构建转换表600的数据,在MCU 110a的启动时,将该数据设定于MMU 117,由此构建与安全核1162对应的转换表600。
转换表600是“数据表”的一例,如图4所示,包含用于确定是安全核1162和标准核1164中的哪一个类别的属性信息、和被转换为RAM 115的物理地址的虚拟地址。
例如,RAM 115的物理地址被分割为系统用的物理地址范围1(例如0000~3FFF)、安全控制用的物理地址范围2(例如4000~4FFF)、标准控制用的物理地址范围3(例如5000~5FFF)、安全控制用的物理地址范围4(例如6000~6FFF)以及标准控制用的物理地址范围5(例如7000~7FFF)。安全控制用的物理地址范围2及物理地址范围4是与安全存储区域1152对应的地址范围。标准控制用的物理地址范围3及物理地址范围5是与标准存储区域1154对应的地址范围。
转换表600的虚拟地址除了系统部分的地址范围之外,被分割为安全控制用的虚拟地址范围1(例如0000~0FFF)、标准控制用的虚拟地址范围2(例如1000~1FFF)、安全控制用的虚拟地址范围3(例如2000~2FFF)以及标准控制用的虚拟地址范围4(例如3000~3FFF)。虚拟地址范围1能够转换为物理地址范围2,虚拟地址范围2能够转换为物理地址范围3,虚拟地址范围3能够转换为物理地址范围4,虚拟地址范围4能够转换为物理地址范围5。
安全核1162和标准核1164可以通过访问分配给转换表600的虚拟地址来访问RAM115的物理地址。
在此,虚拟地址对安全核1162和标准核1164分别设定访问的允许或禁止。例如,安全核1162不仅被允许访问安全控制用的虚拟地址范围1和虚拟地址范围3,还被允许访问标准控制用的虚拟地址范围2。另一方面,标准核1164被允许访问标准控制用的虚拟地址范围2和虚拟地址范围4,而被禁止(限制)访问安全控制用的虚拟地址范围1和虚拟地址范围3。
这样,在MMU 117所设定的转换表600中,标准核1164对安全控制用的虚拟地址范围1和虚拟地址范围3的访问被限制,因此,标准核1164对与虚拟地址范围1以及虚拟地址范围3对应的、RAM 115中的安全控制用的物理地址范围2以及物理地址范围4(即,安全存储区域1152)的访问也被限制。由此,能够基于规定对RAM 115的物理地址的访问的允许和禁止的转换表600,限制标准核1164对存储与安全控制相关的数据的安全存储区域1152的访问。
同样地,控制装置100a的MCU 120a包含与处理器126连接的MMU 127。MMU 127与MMU 117同样地具有存储器保护功能,防止处理器126内的核访问未分配给自身的存储区域。具体而言,在MMU 127中,与MMU 117同样地,在启动时设定图4所示的转换表600,控制装置100a利用该转换表600限制标准核1264对安全存储区域1252的访问。另外,MMU 127的转换表600具有与MMU 117的转换表600相同的结构和功能,因此省略其说明。
这样,在MMU 127所设定的转换表600中,标准核1264对安全控制用的虚拟地址范围1和虚拟地址范围3的访问被限制,因此,标准核1264对与虚拟地址范围1以及虚拟地址范围3对应的、RAM 125中的安全控制用的物理地址范围2以及物理地址范围4(即,安全存储区域1252)的访问被限制。由此,能够基于规定对RAM 125的物理地址的访问的允许和禁止的转换表600,限制标准核1264对存储与安全控制相关的数据的安全存储区域1252的访问。
另外,在图3和图4所示的访问限制方法的第1例中,在安全核和标准核中使用公共的转换表600,根据属性信息设定了访问的允许或禁止,但也可以设置安全核用的转换表600和标准核用的转换表600。
另外,在图3和图4所示的访问限制方法的第1例中,采用了MMU,但也可以采用与MMU同样地具有存储器保护功能的MPU(Memory Protection Unit:存储器保护单元)。另外,在MPU中,不进行从虚拟地址向物理地址的转换,所以按照与物理地址对应的每个地址范围,对安全核以及标准核分别设定访问的允许或者禁止即可。
<c1.控制装置中的访问限制方法的第2例>
图5和图6是用于说明第1实施方式的控制装置100b中的访问限制方法的第2例的示意图。此外,在图5所示的控制装置100b的硬件结构例中,对具有与图2所示的控制装置100的硬件结构例相同的结构以及功能的部分附加相同的标号,并省略其说明。另外,在图6中,作为“存储部”的一例而例示了RAM,但对于“存储部”不限于RAM等易失性存储器,也可以应用ROM等非易失性存储器,除此以外,只要包含存储与安全控制相关的数据或与标准控制相关的数据的存储区域,则也可以应用任意的存储介质。
如图5和图6所示,控制装置100b的MCU 110b限制标准核1164对安全存储区域1152的访问。
具体而言,如图6所示,作为表示处理器116的状态的模式,针对安全核1162以及标准核1164分别设置有特权模式和用户模式。另外,在对RAM 115的访问设定中,也在安全存储区域1152和标准存储区域1154中分别指定了特权模式和用户模式。特权模式是“第1模式”的一例,用户模式是“第2模式”的一例。
在针对安全核1162和标准核1164分别设定为用户模式的情况下,当执行了应用1162p和1164p中的规定的命令时,禁止访问被指定为特权模式的存储区域。即,在设定为用户模式时,与设定为特权模式时相比,访问进一步受到限制。
例如,在安全核1162被设定为用户模式的情况下,当执行了应用1162p中的规定的命令时,对于在安全存储区域1152以及标准存储区域1154的各个中被指定为用户模式的存储区域,允许访问,与此相对,对于在安全存储区域1152以及标准存储区域1154的各个中被指定为特权模式的存储区域,禁止访问。
此外,例如,在标准核1164被设定为用户模式的情况下,当执行了应用1164p中的规定的命令时,对于在标准存储区域1154中被指定为用户模式的存储区域,允许访问,与此相对,对于在标准存储区域1154中被指定为特权模式的存储区域,禁止访问。
在此,应该关注的点是,无论设定为特权模式和用户模式中的哪一个,标准核1164对安全存储区域1152中的指定为特权模式和用户模式中的任意一个存储区域的访问都被限制。例如,在标准核1164的访问目的地是安全存储区域1152的情况下,通过进行例外处理,限制标准核1164对安全存储区域1152的访问。
即,在安全核1162基于应用1162p中的规定的命令访问RAM 115的情况下,如图6所示,能够访问安全存储区域1152和标准存储区域1154中的任何一个,另一方面,在标准核1164基于应用1164p中的相同的规定的命令访问RAM 115的情况下,如图6所示,能够访问标准存储区域1154,而对安全存储区域1152的访问被限制。
这样,与安全核1162基于规定的命令进行访问的情况不同,在标准核1164基于相同的规定命令进行访问的情况下,能够限制标准核1164对存储与安全控制相关的数据的安全存储区域1152的访问。
另外,不论规定对RAM 115的存储区域的访问的允许和禁止的模式是特权模式、以及相比特权模式访问被进一步限制的用户模式中的哪一个,都能够限制标准核1164对存储与安全控制相关的数据的安全存储区域1152的访问。
同样地,如图5和图6所示,控制装置100b的MCU 120b限制了标准核1264对安全存储区域1252的访问。另外,图6所示的表示处理器126的状态的模式以及对RAM 125的访问设定与上述的表示处理器116的状态的模式以及对RAM 115的访问设定相同,因此省略其说明。
在安全核1262基于应用1262p中的规定的命令访问RAM 125的情况下,如图6所示,能够访问安全存储区域1252和标准存储区域1254中的任何一个,另一方面,在标准核1264基于应用1264p中的相同的规定的命令访问RAM 125的情况下,如图6所示,能够访问标准存储区域1254,而对安全存储区域1252的访问被限制。例如,在标准核1264的访问目的地是安全存储区域1252的情况下,通过进行例外处理,限制标准核1264对安全存储区域1252的访问。
这样,与安全核1262基于规定的命令进行访问的情况不同,在标准核1264基于相同的规定命令进行访问的情况下,能够限制标准核1264对存储与安全控制相关的数据的安全存储区域1252的访问。
另外,不论规定对RAM 125的存储区域的访问的允许和禁止的模式是特权模式、以及相比特权模式访问被进一步限制的用户模式中的哪一个,都能够限制标准核1264对存储与安全控制相关的数据的安全存储区域1252的访问。
<d1.控制装置中的访问限制方法的第3例>
图7是用于说明第1实施方式的控制装置100c中的访问限制方法的第3例的示意图。此外,在图7所示的控制装置100c的硬件结构例中,对具有与图2所示的控制装置100的硬件结构例相同的结构以及功能的部分附加相同的标号,并省略其说明。
如图7所示,控制装置100c的MCU 110c包含与处理器116连接的监视处理器119。监视处理器119是辅助处理器116的协处理器,由FPGA(Field Programmable Gate Array:现场可编程门阵列)、ASIC(Application Specific Integrated Circuit:专用集成电路)等构成。监视处理器119针对处理器116所包含的安全核1162和标准核1164的每一个,监视对RAM 115的存储区域的访问。另外,监视处理器119不限于包含在MCU 110c中,也可以从MCU110c的外侧对该MCU 110c的处理器116进行监视。
具体而言,监视处理器119允许安全核1162对安全存储区域1152的访问,允许安全核1162对标准存储区域1154的访问,允许标准核1164对标准存储区域1154的访问,禁止标准核1164对安全存储区域1152的访问。例如,在由监视处理器119检测到标准核1164的访问目的地是安全存储区域1152的情况下,通过进行例外处理,限制标准核1164对安全存储区域1152的访问。
由此,通过监视处理器116对安全存储区域1152和标准存储区域1154的访问的监视处理器119,能够限制标准核1164对安全存储区域1152的访问。
同样地,如图7所示,控制装置100c的MCU 120c包含与处理器126连接的监视处理器129。监视处理器129是辅助处理器126的协处理器,由FPGA、ASIC等构成。监视处理器129针对处理器126所包含的安全核1262和标准核1264的每一个,监视对RAM 125的存储区域的访问。另外,监视处理器129不限于包含在MCU 120c中,也可以从MCU 120c的外侧对该MCU120c的处理器126进行监视。
具体而言,监视处理器129允许安全核1262对安全存储区域1252的访问,允许安全核1262对标准存储区域1254的访问,允许标准核1264对标准存储区域1254的访问,禁止标准核1264对安全存储区域1252的访问。例如,在由监视处理器129检测到标准核1264的访问目的地是安全存储区域1252的情况下,通过进行例外处理,限制标准核1264对安全存储区域1252的访问。
由此,通过监视处理器126对安全存储区域1252以及标准存储区域1254的访问的监视处理器129,能够限制标准核1264对安全存储区域1252的访问。
[C.第2实施方式]
对第2实施方式的控制装置200进行说明。
<a2.控制装置的硬件结构例>
图8是表示第2实施方式的控制装置200的硬件结构例的示意图。图2所示的第1实施方式的控制装置100在多个MCU中分别包含安全核且在多个MCU中的至少任意一方包含有标准核,但在图8所示的第2实施方式的控制装置200中,在单一的MCU中包含多个安全核且包含至少1个以上的标准核,在这一点上两者不同。
具体而言,如图8所示,控制装置200具有1个MCU 210和与MCU 210对应的RAM 215。此外,MCU和RAM不限于1个,也可以设置2个以上。
另外,控制装置200具有储存器230、USB控制器240、存储卡接口250以及本地总线接口260。这些组件经由处理器总线205连接。
储存器230、USB控制器240、存储卡接口250以及本地总线接口260各自具有与图2所示的储存器130、USB控制器140、存储卡接口150以及本地总线接口160分别相同的结构。另外,储存器230保存由用户根据所要求的安全功能创建的与安全控制相关的安全程序232、以及由用户根据控制对象创建的与标准控制相关的标准程序234等各种程序或数据。
MCU 210包含处理器216、安全ROM 212、安全ROM 214、标准ROM 222和标准ROM224。
处理器216是多核处理器,包含安全核2162、安全核2164、标准核2262以及标准核2264。安全核2162和安全核2164分别是“第1运算部”的一例,执行与安全控制相关的控制运算。标准核2262和标准核2264分别是“第2运算部”的一例,执行与标准控制相关的控制运算。
这样,通过使与安全控制相关的安全核2164和安全核2162以及与标准控制相关的标准核2262和标准核2264共存于单一的处理器216内,与将安全核和标准核分别包含于不同的处理器相比,能够实现装置的省空间化及低成本化。
安全ROM 212保存用于实现与安全控制相关的基本功能的安全系统程序2122,并与安全核2162连接。
安全ROM 214保存用于实现与安全控制相关的基本功能的安全系统程序2142,并与安全核2164连接。
标准ROM 222保存用于实现与标准控制相关的基本功能的标准系统程序2222,并与标准核2262连接。
标准ROM 224保存用于实现与标准控制相关的基本功能的标准系统程序2242,并与标准核2264连接。
RAM 215是“存储部”的一例。RAM 215的存储区域包含安全存储区域2152和标准存储区域2252。安全存储区域2152是“第1存储区域”的一例,保存用于执行安全控制的数据。标准存储区域2252是“第2存储区域”的一例,保存用于执行标准控制的数据。
安全核2162读出安全ROM 212所保存的安全系统程序2122,并在RAM 215内的存储区域中展开执行,由此实现安全控制。安全核2164读出安全ROM 214所保存的安全系统程序2142,并在RAM 215内的存储区域中展开执行,由此实现安全控制。同样地,标准核2262读出标准ROM 222所保存的标准系统程序2222,并在RAM 215内的存储区域中展开执行,由此实现标准控制。标准核2264读出标准ROM 224所保存的标准系统程序2242,并在RAM 215内的存储区域中展开执行,由此实现标准控制。
这样,处理器216的安全核2162、2164和标准核2262、2264通过访问RAM 215来执行安全控制和标准控制,但允许从安全核2162、2164对标准存储区域2252进行访问,另一方面,从确保安全的观点出发,限制从标准核2262、2264对安全存储区域2152进行访问。例如,控制装置200中,在标准核2262、2264的访问目的地是安全存储区域2152的情况下,通过进行例外处理,限制标准核2262、2264的对安全存储区域2152的访问。
由此,能够防止由于标准核2262、2264的访问而使得安全存储区域2152所保存的与安全控制相关的数据发生某种异常,能够确保安全。
<b2.控制装置中的访问限制方法的第1例>
图9是用于说明第2实施方式的控制装置200a中的访问限制方法的第1例的示意图。此外,在图9所示的控制装置200a的硬件结构例中,对具有与图8所示的控制装置200的硬件结构例相同的结构以及功能的部分附加相同的标号,并省略其说明。另外,在图9所示的第2实施方式的控制装置200a中的访问限制方法的第1例中,对于具有与图3以及图4所示的第1实施方式的控制装置100a中的访问限制方法的第1例相同的结构以及功能的部分,省略其说明。
如图9所示,控制装置200a的MCU 210a包含与处理器216连接的MMU 2172、2174、2272、2274。MMU 2172与安全核2162连接,MMU 2174与安全核2164连接,MMU 2272与标准核2262连接,MMU 2274与标准核2264连接。MMU 2172、2174、2272、2274与图3所示的MMU 117、MMU 127同样地具有存储器保护功能,防止处理器216内的核访问未分配给自身的存储区域。具体而言,在MMU 2272、2274中,图4所示的转换表600在启动时被设定,控制装置200a利用该转换表600限制标准核2264对安全存储区域2152的访问。
这样,在MMU 2272、2274所设定的转换表600中,标准核2262、2264对安全控制用的虚拟地址范围的访问被限制,其结果是,标准核2262、2264对与虚拟地址范围对应的、RAM215中的安全控制用的物理地址范围(即,安全存储区域2152)的访问被限制。由此,能够基于规定对RAM 215的物理地址的访问的允许和禁止的转换表600,限制标准核2262、2264对存储与安全控制相关的数据的安全存储区域2152的访问。
<c2.控制装置中的访问限制方法的第2例>
图10是用于说明第2实施方式的控制装置200b中的访问限制方法的第2例的示意图。此外,在图10所示的控制装置200b的硬件结构例中,对具有与图8所示的控制装置200的硬件结构例相同的结构以及功能的部分附加相同的标号,并省略其说明。另外,在图10所示的第2实施方式的控制装置200b中的访问限制方法的第2例中,对于具有与图5以及图6所示的第1实施方式的控制装置100b中的访问限制方法的第2例相同的结构以及功能的部分,省略其说明。另外,在图10所示的例子中,也与图6所示的例子同样地,作为“存储部”的一例而例示了RAM,但对于“存储部”不限于RAM等易失性存储器,也可以应用ROM等非易失性存储器,除此以外,只要包含存储与安全控制相关的数据或与标准控制相关的数据的存储区域,则也可以应用任意的存储介质。
如图10所示,控制装置200b的MCU 210b限制标准核2262、2264对安全存储区域2152的访问。
具体而言,在控制装置200b中,如图6所示,作为表示处理器216的状态的模式,针对安全核2162、2164及标准核2262、2264分别设置有特权模式和用户模式。另外,在对RAM215的访问设定中,也在安全存储区域2152和标准存储区域2252中分别指定了特权模式和用户模式。特权模式是“第1模式”的一例,用户模式是“第2模式”的一例。
对于安全核2162、2164及标准核2262、2264的每一个,在设定为用户模式的情况下,在执行了应用2162p、2164p、2262p、2264p中的规定的命令时,禁止访问被指定为特权模式的存储区域。即,在设定为用户模式时,与设定为特权模式时相比,访问进一步受到限制。
另外,在安全核2162、2164基于应用2162p、2164p中的规定的命令访问RAM 215的情况下,如图6所示,能够访问安全存储区域2152和标准存储区域2252中的任何一个,另一方面,在标准核2262、2264根据应用2262p、2264p中的相同的规定的命令访问RAM 215的情况下,如图6所示,能够访问标准存储区域2252,而对安全存储区域2152的访问被限制。
这样,与安全核2162、2164基于规定的命令进行访问的情况不同,在标准核2262、2264基于相同的规定命令进行访问的情况下,能够限制标准核2262、2264对存储与安全控制相关的数据的安全存储区域2152的访问。
另外,不论规定对RAM 215的存储区域的访问的允许和禁止的模式是特权模式、以及相比特权模式访问被进一步限制的用户模式中的哪一个,都能够限制标准核2262、2264对存储与安全控制相关的数据的安全存储区域2152的访问。
<d2.控制装置中的访问限制方法的第3例>
图11是用于说明第2实施方式的控制装置200c中的访问限制方法的第3例的示意图。此外,在图11所示的控制装置200c的硬件结构例中,对具有与图8所示的控制装置200的硬件结构例相同的结构以及功能的部分附加相同的标号,并省略其说明。另外,在图11所示的第2实施方式的控制装置200c中的访问限制方法的第3例中,对于具有与图7所示的第1实施方式的控制装置100c中的访问限制方法的第3例相同的结构以及功能的部分,省略其说明。
如图11所示,控制装置200c的MCU 210c包含与处理器216连接的监视处理器219。监视处理器219是辅助处理器216的协处理器,由FPGA、ASIC等构成。监视处理器219针对处理器216所包含的安全核2162、2164和标准核2262、2264的每一个,监视对RAM 215的存储区域的访问。另外,监视处理器219不限于包含在MCU 210c中,也可以从MCU 210c的外侧对该MCU 210c的处理器216进行监视。
具体而言,监视处理器219允许安全核2162、2164对安全存储区域2152的访问,允许安全核2162、2164对标准存储区域2252的访问,允许标准核2262、2264对标准存储区域2252的访问,禁止标准核2262、2264对安全存储区域2152的访问。例如,在由监视处理器219检测到标准核2262、2264的访问目的地是安全存储区域2152的情况下,通过进行例外处理,限制标准核2262、2264对安全存储区域2152的访问。
由此,通过监视处理器216对安全存储区域2152以及标准存储区域2252的访问的监视处理器219,能够限制标准核2262、2264对安全存储区域2152的访问。
[D.附记]
如上所述,本实施方式中包含以下的公开。
[结构1]
一种控制装置(100、200),其对驱动装置(430)进行控制,该控制装置(100、200)具有:
第1运算部(101),其针对所述驱动装置执行安全控制;
第2运算部(102),其针对所述驱动装置执行标准控制;以及
存储部(103),其能够被所述第1运算部和所述第2运算部中的任何一个访问,并包含存储与所述安全控制相关的数据的第1存储区域(1031)、和存储与所述标准控制相关的数据的第2存储区域(1032),
所述第1运算部能够访问所述第1存储区域和所述第2存储区域中的任何一个,
另一方面,所述第2运算部能够访问所述第2存储区域,而对所述第1存储区域的访问被限制。
[结构2]
在结构1的控制装置(100)中,
该控制装置(100)具有多个微控制器单元(MCU)(110、120),
所述第1运算部是执行所述安全控制的处理器核(1162、1262),
所述第2运算部是执行所述标准控制的处理器核(1164),
所述多个微控制器单元各自包含执行所述安全控制的处理器核(116),
所述多个微控制器单元中的至少任意一个包含执行所述标准控制的处理器核(1164、1264)。
[结构3]
在结构2的控制装置(100)中,
在所述多个微控制器单元各自所包含的执行所述安全控制的处理器核间,进行相互监视。
[结构4]
在结构1的控制装置(200)中,
该控制装置(200)具有微控制器单元(MCU)(210),
所述第1运算部是执行所述安全控制的处理器核(2162、2164),
所述第2运算部是执行所述标准控制的处理器核(2262、2264),
所述微控制器单元包含多个执行所述安全控制的处理器核,并且包含至少1个以上的执行所述标准控制的处理器核。
[结构5]
在结构1~结构4中的任意一项的控制装置(100a、200a)中,
该控制装置(100a、200a)具有数据表(600),该数据表(600)规定对所述存储部的存储地址的访问的允许和禁止,
基于所述数据表,所述第1运算部能够访问所述第1存储区域和所述第2存储区域中的任何一个的存储地址,
另一方面,所述第2运算部能够访问所述第2存储区域的存储地址,而对所述第1存储区域的存储地址的访问被限制。
[结构6]
在结构1~结构4中的任意一项的控制装置(100b、200b)中,
所述第1运算部能够基于规定的命令,访问所述第1存储区域和所述第2存储区域中的任何一个,
另一方面,所述第2运算部能够基于所述规定的命令访问所述第2存储区域,而对所述第1存储区域的访问被限制。
[结构7]
在结构6的控制装置(100b、200b)中,
作为规定对所述存储部的访问的允许和禁止的模式,设置有第1模式和相比该第1模式访问被限制的第2模式,
无论所述模式是第1模式还是所述第2模式,所述第2运算部对所述第1存储区域的访问都被限制。
[结构8]
在结构1~结构4中的任意一项的控制装置(100c、200c)中,
所述第1运算部是执行所述安全控制的处理器核(1162、1262、2162、2164),
所述第2运算部是执行所述标准控制的处理器核(1164、1264、2164、2264),
作为对包含执行所述标准控制的处理器核和执行所述安全控制的处理器核的处理器(116、126、216)进行辅助的协处理器,该控制装置(100c、200c)还具有监视该处理器对所述第1存储区域和所述第2存储区域的访问的监视处理器(119、129、219),
所述第2运算部被所述监视处理器限制了对所述第1存储区域的访问。
[E.优点]
根据本实施方式的控制装置100,即使在执行安全控制的第1运算部101与执行标准控制的第2运算部102共存的情况下,第2运算部102也被限制对与安全控制相关的第1存储区域1031进行访问,因此不会由执行标准控制的第2运算部102对安全控制造成影响,能够确保安全。
应该认为本次公开的实施方式在所有方面都是例示而不是限制性的。本发明的范围由权利要求书、而不由上述的说明来表示,意在包含与权利要求书等同的意思以及范围内的所有变更。
标号说明
100、100a、100b、100c、200、200a、200b、200c:控制装置;101:第1运算部;102:第2运算部;103:存储部;1051、1052、205:处理器总线;110、120、110a、120a、110b、120b、110c、120c、210:MCU;112、122、212、214:安全ROM;114、124、222、224:标准ROM;115、125、215:RAM;116、126、216:处理器;119、129、219:监视处理器;130、230:储存器;132、232:安全程序;134、234:标准程序;140、240:USB控制器;150、250:存储卡接口;160、260:本地总线接口;300:安全设备;410:安全继电器;420:驱动器;430:驱动装置;500:支持装置;600:转换表;1031:第1存储区域;1032:第2存储区域;1053:桥接器;1122、1222、2122、2142:安全系统程序;1142、1242、2222、2242:标准系统程序;1144:限制数据;1152、1252、2152:安全存储区域;1154、1254、2252:标准存储区域;1162、1262、2162、2164:安全核;1162p、1164p、1262p、1264p、2162p、2164p、2262p、2264p:应用;1164、1264、2262、2264:标准核;2172、2174、2272、2274:MMU。

Claims (8)

1.一种控制装置,其对驱动装置进行控制,该控制装置具有:
第1运算部,其针对所述驱动装置执行安全控制;
第2运算部,其针对所述驱动装置执行标准控制;以及
存储部,其能够被所述第1运算部和所述第2运算部中的任何一个访问,并包含存储与所述安全控制相关的数据的第1存储区域、和存储与所述标准控制相关的数据的第2存储区域,
所述第1运算部能够访问所述第1存储区域和所述第2存储区域中的任何一个,
另一方面,所述第2运算部能够访问所述第2存储区域,而对所述第1存储区域的访问被限制。
2.根据权利要求1所述的控制装置,其中,
该控制装置具有多个微控制器单元,
所述第1运算部是执行所述安全控制的处理器核,
所述第2运算部是执行所述标准控制的处理器核,
所述多个微控制器单元各自包含执行所述安全控制的处理器核,
所述多个微控制器单元中的至少任意一个包含执行所述标准控制的处理器核。
3.根据权利要求2所述的控制装置,其中,
在所述多个微控制器单元各自包含的执行所述安全控制的处理器核间,进行相互监视。
4.根据权利要求1所述的控制装置,其中,
该控制装置具有微控制器单元,
所述第1运算部是执行所述安全控制的处理器核,
所述第2运算部是执行所述标准控制的处理器核,
所述微控制器单元包含多个执行所述安全控制的处理器核,并且包含至少1个以上的执行所述标准控制的处理器核。
5.根据权利要求1~4中的任意一项所述的控制装置,其中,
该控制装置具有数据表,该数据表规定对所述存储部的存储地址的访问的允许和禁止,
基于所述数据表,所述第1运算部能够访问所述第1存储区域和所述第2存储区域中的任何一个的存储地址,
另一方面,所述第2运算部能够访问所述第2存储区域的存储地址,而对所述第1存储区域的存储地址的访问被限制。
6.根据权利要求1~4中的任意一项所述的控制装置,其中,
所述第1运算部能够基于规定的命令访问所述第1存储区域和所述第2存储区域中的任何一个,
另一方面,所述第2运算部能够基于所述规定的命令访问所述第2存储区域,而对所述第1存储区域的访问被限制。
7.根据权利要求6所述的控制装置,其中,
作为规定对所述存储部的访问的允许和禁止的模式,设置有第1模式和相比该第1模式访问被限制的第2模式,
无论所述模式是第1模式还是所述第2模式,所述第2运算部对所述第1存储区域的访问都被限制。
8.根据权利要求1~4中的任意一项所述的控制装置,其中,
所述第1运算部是执行所述安全控制的处理器核,
所述第2运算部是执行所述标准控制的处理器核,
作为对包含执行所述标准控制的处理器核和执行所述安全控制的处理器核的处理器进行辅助的协处理器,该控制装置还具有监视该处理器对所述第1存储区域和所述第2存储区域的访问的监视处理器,
所述第2运算部被所述监视处理器限制了对所述第1存储区域的访问。
CN202080010051.6A 2019-02-13 2020-01-29 控制装置 Pending CN113330429A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019-023728 2019-02-13
JP2019023728A JP7115351B2 (ja) 2019-02-13 2019-02-13 制御装置
PCT/JP2020/003096 WO2020166328A1 (ja) 2019-02-13 2020-01-29 制御装置

Publications (1)

Publication Number Publication Date
CN113330429A true CN113330429A (zh) 2021-08-31

Family

ID=72045600

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080010051.6A Pending CN113330429A (zh) 2019-02-13 2020-01-29 控制装置

Country Status (5)

Country Link
US (1) US11875065B2 (zh)
EP (1) EP3926480A4 (zh)
JP (1) JP7115351B2 (zh)
CN (1) CN113330429A (zh)
WO (1) WO2020166328A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115933997B (zh) * 2023-01-30 2023-06-13 南京芯驰半导体科技有限公司 数据访问方法、相关设备及存储介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5494255B2 (ja) * 2010-06-07 2014-05-14 富士電機株式会社 安全制御システム
JP6007677B2 (ja) * 2012-08-30 2016-10-12 富士電機株式会社 安全制御システム、及び安全制御システムのプロセッサ
KR101954733B1 (ko) 2012-10-26 2019-03-06 삼성전자주식회사 보안 콘텐츠를 처리하는 시스템 온 칩 및 그것을 포함하는 모바일 장치
JP5619331B1 (ja) 2014-03-25 2014-11-05 三菱電機株式会社 プログラミング装置及び実行コード生成方法
US20170060783A1 (en) * 2015-09-01 2017-03-02 Mediatek Inc. Apparatus for performing secure memory allocation control in an electronic device, and associated method
JP6955858B2 (ja) * 2016-10-17 2021-10-27 オークマ株式会社 制御装置
KR20180066601A (ko) * 2016-12-09 2018-06-19 삼성전자주식회사 메모리 시스템의 구동 방법
JP6349444B2 (ja) * 2017-06-28 2018-06-27 日立オートモティブシステムズ株式会社 車両用制御装置

Also Published As

Publication number Publication date
JP2020135046A (ja) 2020-08-31
US20220365730A1 (en) 2022-11-17
JP7115351B2 (ja) 2022-08-09
US11875065B2 (en) 2024-01-16
EP3926480A4 (en) 2022-11-23
WO2020166328A1 (ja) 2020-08-20
EP3926480A1 (en) 2021-12-22

Similar Documents

Publication Publication Date Title
US8984245B2 (en) Memory protection unit and method for controlling an access to memory device
US10489332B2 (en) System and method for per-task memory protection for a non-programmable bus master
JP2727520B2 (ja) メモリカード及びその作動方法
KR20060026884A (ko) 프로세서 유닛의 적어도 2개의 작동 모드 사이의 전환 방법및 상응하는 프로세서 유닛
CN107301082B (zh) 一种实现操作系统完整性保护的方法和装置
CN112528345A (zh) 通信方法、装置、计算机可读存储介质和芯片
JP2001014220A (ja) ソフトウェア制御される電子装置のパーティション分割および監視方法
CN113330429A (zh) 控制装置
US10366018B2 (en) Control apparatus with access monitoring unit configured to request interrupt process
JP2008242593A (ja) マルチプロセッサシステム及びマルチプロセッサシステムにおけるアクセス保護方法
CN108197503A (zh) 一种为间接访问存储控制器增加保护功能的装置
CA2551045C (en) Input-output control apparatus, input-output control method, process control apparatus and process control method
EP3361335B1 (en) Safety controller using hardware memory protection
CN110574343A (zh) 用于保护车辆安全系统的操作系统的方法和半导体电路
JP2006338426A (ja) 計算機システム
JP4340669B2 (ja) 入出力制御装置,入出力制御方法,プロセス制御装置及びプロセス制御方法
JP6349444B2 (ja) 車両用制御装置
Barth et al. Functional safety on multicore microcontrollers for industrial applications
WO2014185893A1 (en) Detection of a security event
KR20190059955A (ko) 작업 메모리 보호 방법 및 그 장치
WO2023119652A1 (ja) 電子制御装置、及びアクセス制御方法
KR101368270B1 (ko) 랜덤 억세스 메모리를 사용하는 시스템에서 읽기 전용 영역보호를 위한 장치 및 방법
JPS6162142A (ja) 入出力制御装置
JPH06202901A (ja) Romエミュレート方式デバッガ及びromエミュレート方法
KR20040057256A (ko) 메모리보호장치 및 그 제어방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination