JP5841271B2 - 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 - Google Patents
安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 Download PDFInfo
- Publication number
- JP5841271B2 JP5841271B2 JP2015021142A JP2015021142A JP5841271B2 JP 5841271 B2 JP5841271 B2 JP 5841271B2 JP 2015021142 A JP2015021142 A JP 2015021142A JP 2015021142 A JP2015021142 A JP 2015021142A JP 5841271 B2 JP5841271 B2 JP 5841271B2
- Authority
- JP
- Japan
- Prior art keywords
- safety
- memory
- related software
- software component
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 101
- 230000015654 memory Effects 0.000 claims description 54
- 238000000034 method Methods 0.000 claims description 41
- 238000012544 monitoring process Methods 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 11
- 101100366322 Arabidopsis thaliana ADC1 gene Proteins 0.000 claims description 8
- 101150032645 SPE1 gene Proteins 0.000 claims description 8
- 101100316805 Caenorhabditis elegans spe-5 gene Proteins 0.000 claims description 3
- 101100366397 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SPE3 gene Proteins 0.000 claims description 3
- 101100478264 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SPE4 gene Proteins 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 230000007704 transition Effects 0.000 claims description 3
- 101100366333 Arabidopsis thaliana ADC2 gene Proteins 0.000 claims 4
- 101150089804 SPE2 gene Proteins 0.000 claims 4
- 230000004913 activation Effects 0.000 claims 1
- 238000012360 testing method Methods 0.000 description 13
- 230000003936 working memory Effects 0.000 description 7
- 230000011218 segmentation Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Description
1.重大でない機能の間違ったメモリアクセスをブロック(検知)するために、CPUのメモリのメモリ保護を実現。
2.安全性に関連した機能の不具合のある手順を認識するために、監視モジュールとして機能する独立したユニット内での試験インスタンスを使用。
・方法が「楽天的」であること。安全性に関連した機能と重大でない機能を厳格に分離することを強制しようとしていない。安全性に関連した領域における重大でない機能の干渉はしかし信用できると認識される。
・重量が軽く、ほとんどリソースを使用しない。
・認証されたオペレーティング・システムは不要である。この方法は、オペレーティング・システムなしのシステムにも、重大でない機能のように扱うことが可能である、標準オペレーティング・システムを備えたシステムとまったく同じように導入することができる。
・重大でない機能をこの方法に適合する必要がない。
重大でないソフトウェアは、ほとんど変更することなく統合することができる。重大でない機能のAPI(「Application Prograrmming Interface(アプリケーション・プログラミング・インターフェース)」)は維持される。
試験/保護機能は、重大でない機能の計測時間を一緒に書き込むためにも使用可能である。そのために、重大でない機能を呼び出す前にタイム・スタンプが保存される。呼び出し後、重大でない機能の所要時間が測定される。この所要時間は、監視モジュールに伝達される。ある限界を超えると、重大でない機能の所要時間消費が誤りと評価される。
記述された方法は、安全性に関連した機能に複雑な点検を実施するという趣意で拡大可能である。こうして、試験/保護機能が呼び出しの特定の順番で一緒に記録されることで、安全性に関連した機能内で特定のパスが独立して追跡される。
それ自身は必要な安全基準を満たしていない、標準オペレーティング・システムを備えたあるシステム内で安全性関連機能が実施される場合、これは発明に従った方法によって同様に可能である。以下の安全性に関連した機能は、その際オペレーティング・システムに統合されなければならず、それによってコンテキストが切り替わるごとに方法の規則が考慮される。
・CPU上で実施すべきタスクの初期化前にメモリ保護を有効にする(ソフトウェアの早期の初期化段階におけるメモリ保護の有効化)
・各タスク・スイッチにおけるメモリ保護の正しい修正
・中断によるメモリ保護の信頼できる修正
単純化するという理由により、方法の説明には常に2つのメモリ保護クラスのみ言及される:
安全性関連機能のために完全にオープンにされたメモリ
安全性に関連したメモリ領域は完全に保護されている。
STANT ソフトウェア・コンポーネント
CPU 演算処理ユニット
SPE メモリ
MOD 監視コンポーネント
Claims (7)
- 安全性に関連した、および、安全性に関連していないソフトウェア・コンポーネント(SAFET、STANT)を1つのハードウェア・プラットフォーム上で実行するための方法であって、前記ハードウェア・プラットフォームは演算処理ユニット(CPU)および少なくとも1つのメモリ(SPE)を含み、前記安全性に関連していないソフトウェア・コンポーネント(STANT)が前記安全性に関連したソフトウェア・コンポーネント(SAFET)と共に、前記演算処理ユニット(CPU)上で実行され、前記ハードウェア・プラットフォームが監視コンポーネント(監視モジュール)(MOD)を備え、または前記監視コンポーネント(MOD)と接続されており、前記監視コンポーネント(MOD)が前記ハードウェア・プラットフォームの前記演算処理ユニット(CPU)から独立して働く方法において、
前記ハードウェア・プラットフォームが、書込み保護メカニズムを介して前記少なくとも1つのメモリ(SPE)の少なくとも1つの領域(SPE1、SPE2)を備えており、前記安全性に関連したソフトウェア・コンポーネント(SAFET)が、全面的な書込みアクセス権を前記メモリ(SPE)の特定領域(SPE1〜SPE4)または全体に対して持っており、
前記安全性に関連したソフトウェア・コンポーネント(SAFET)が、前記安全性に関連していないソフトウェア・コンポーネント(STANT)のために備えられるメモリ領域から分離された、前記メモリ(SPE)の特定領域上でアクセス権を持ち、
前記演算処理ユニットのオペレーティング・システムが、前記安全性に関連していないソフトウェア・コンポーネント(STANT)の実行前に、前記安全性に関連していないソフトウェア・コンポーネント(STANT)のアクセスに対して、前記メモリ(SPE)の少なくとも1つの領域(SPE1、SPE2)にメモリ保護を行い、
前記安全性に関連していないソフトウェア・コンポーネント(STANT)は、前記メモリ(SPE)の制限された領域(SPE3、SPE4、SPE5)内でのみ書込みアクセス権を持ち、前記安全性に関連したソフトウェア・コンポーネント(SAFET)のために切り離された前記メモリ(SPE)の領域(SPE1、SPE2)へのアクセス権を持たず、
前記安全性に関連していないソフトウェア・コンポーネント(STANT)から前記安全性に関連したソフトウェア・コンポーネント(SAFET)への復帰後に、前記メモリ領域(SPE1、SPE2)のメモリ保護が解除され、
前記監視コンポーネント(MOD)が、前記安全性に関連したソフトウェア・コンポーネント(SAFET)の機能を所定の手順で監視し、前記安全性に関連したソフトウェア・コンポーネント(SAFET)が正常に動作しない場合、前記ハードウェア・プラットフォームにより制御されるシステムまたはデバイスを安全な状態に移行させることを特徴とする、方法。 - 前記演算処理ユニット(CPU)上でオペレーティング・システムが動作し、前記オペレーティング・システムのディスパッチャーが、前記安全性に関連していないソフトウェア・コンポーネント(STANT)のスケジュール決定が下される前に、前記メモリ保護が常に達成されるよう確保し、および前記安全性に関連していないソフトウェア・コンポーネント(STANT)のメモリ領域から分離されたメモリ領域の前記メモリ保護が、前記スケジュール決定が前記安全性に関連したソフトウェア・コンポーネントの有効化のために行われた場合にのみ、許可されることを特徴とする、請求項1に記載の方法。
- 前記安全性に関連していないソフトウェア・コンポーネント(STANT)の呼び出し後、前記安全性に関連したソフトウェア・コンポーネント(SAFET)からアライブ信号が前記監視コンポーネント(MOD)に送信されることを特徴とする、請求項1または2に記載の方法。
- 前記安全性に関連していないソフトウェア・コンポーネント(STANT)の呼び出し前後に、タイム・スタンプが前記監視コンポーネント(MOD)に送信されることを特徴とする、請求項1〜3のうちいずれか一項に記載の方法。
- 前記安全性に関連したソフトウェア・コンポーネント(SAFET)の中心的な箇所でアライブ信号が前記監視コンポーネント(MOD)に送信され、前記監視コンポーネント(MOD)が前記安全性に関連したソフトウェア・コンポーネント(SAFET)の機能的手順も試験可能であることを特徴とする、請求項1〜4のうちいずれか一項に記載の方法。
- 前記監視コンポーネント(MOD)がアライブ信号および/またはタイム・スタンプが欠如した後に前記(部分)システムを安全な状態に移行することを特徴とする、請求項1〜5のうちいずれか一項に記載の方法。
- 請求項1〜6のうちいずれか一項に記載の方法を実施するためのハードウェア・プラットフォーム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
AT16272009 | 2009-10-15 | ||
ATA1627/2009 | 2009-10-15 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012533431A Division JP2013507698A (ja) | 2009-10-15 | 2010-10-12 | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015111448A JP2015111448A (ja) | 2015-06-18 |
JP5841271B2 true JP5841271B2 (ja) | 2016-01-13 |
Family
ID=43415376
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012533431A Pending JP2013507698A (ja) | 2009-10-15 | 2010-10-12 | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 |
JP2015021142A Active JP5841271B2 (ja) | 2009-10-15 | 2015-02-05 | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012533431A Pending JP2013507698A (ja) | 2009-10-15 | 2010-10-12 | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8880827B2 (ja) |
EP (1) | EP2494488B1 (ja) |
JP (2) | JP2013507698A (ja) |
WO (1) | WO2011044603A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012012521A1 (de) | 2012-06-26 | 2014-01-02 | Inter Control Hermann Köhler Elektrik GmbH & Co. KG | Vorrichtung und Verfahren für eine sicherheitskritische Anwendung |
EP3057900A4 (en) * | 2013-10-15 | 2017-07-19 | Otis Elevator Company | Management of safety and non-safety software in an elevator system |
US9405515B1 (en) * | 2015-02-04 | 2016-08-02 | Rockwell Collins, Inc. | Computing systems utilizing controlled dynamic libraries and isolated execution spaces |
JP6349444B2 (ja) * | 2017-06-28 | 2018-06-27 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0540668A (ja) * | 1991-08-06 | 1993-02-19 | Nec Corp | プログラム暴走防止方式 |
JP2721294B2 (ja) * | 1993-01-29 | 1998-03-04 | 本田技研工業株式会社 | コンピュータシステムのオンライン監視システム |
JP3271590B2 (ja) * | 1998-09-14 | 2002-04-02 | 日本電気株式会社 | 業務監視システム、装置及び方法、及び記録媒体 |
DE60038785D1 (de) * | 1999-01-11 | 2008-06-19 | Myspace Ab | System zur verarbeitung einer sicherheitskritischen aktivität |
US7290284B1 (en) * | 1999-01-11 | 2007-10-30 | Myspace Ab | System for data processing a security critical activity |
JP4522548B2 (ja) * | 2000-03-10 | 2010-08-11 | 富士通フロンテック株式会社 | アクセス監視装置及びアクセス監視方法 |
JP2002189633A (ja) * | 2000-12-21 | 2002-07-05 | Nec Corp | 仮想空間のメモリ保護方法及び装置 |
JP2003330759A (ja) * | 2002-05-14 | 2003-11-21 | Olympus Optical Co Ltd | 監視装置 |
EP1535124B1 (en) * | 2002-08-13 | 2011-02-02 | Nokia Corporation | Computer architecture for executing a program in a secure of insecure mode |
JP4275451B2 (ja) * | 2003-04-23 | 2009-06-10 | 株式会社日立製作所 | 不正メモリアクセス検知方法及びそのプログラム |
JP4629416B2 (ja) * | 2003-11-28 | 2011-02-09 | パナソニック株式会社 | データ処理装置 |
EP1688816A4 (en) * | 2003-11-28 | 2012-04-25 | Panasonic Corp | DATA PROCESSING DEVICE |
DE102004018857A1 (de) * | 2004-04-19 | 2005-11-10 | Elektro Beckhoff Gmbh Unternehmensbereich Industrie Elektronik | Sicherheitssteuerung |
US7627807B2 (en) * | 2005-04-26 | 2009-12-01 | Arm Limited | Monitoring a data processor to detect abnormal operation |
WO2007004219A2 (en) * | 2005-07-04 | 2007-01-11 | Discretix Technologies Ltd. | System, device and method of verifying that a code is executed by a processor |
JP4923925B2 (ja) * | 2006-09-29 | 2012-04-25 | 富士通株式会社 | チェックプログラム、監視装置および監視方法 |
US7895404B2 (en) * | 2008-02-14 | 2011-02-22 | Atmel Rousset S.A.S. | Access rights on a memory map |
-
2010
- 2010-10-12 WO PCT/AT2010/000386 patent/WO2011044603A1/de active Application Filing
- 2010-10-12 JP JP2012533431A patent/JP2013507698A/ja active Pending
- 2010-10-12 EP EP10775688.4A patent/EP2494488B1/de active Active
- 2010-10-12 US US13/501,915 patent/US8880827B2/en active Active
-
2015
- 2015-02-05 JP JP2015021142A patent/JP5841271B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
EP2494488A1 (de) | 2012-09-05 |
US8880827B2 (en) | 2014-11-04 |
JP2013507698A (ja) | 2013-03-04 |
CN102696037A (zh) | 2012-09-26 |
EP2494488B1 (de) | 2019-04-24 |
JP2015111448A (ja) | 2015-06-18 |
WO2011044603A1 (de) | 2011-04-21 |
US20120210085A1 (en) | 2012-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9632860B2 (en) | Multicore processor fault detection for safety critical software applications | |
CN104885057B (zh) | 虚拟化计算系统中隔离的客创建 | |
JP5841271B2 (ja) | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 | |
US8336095B2 (en) | User space virtualization system | |
US9405515B1 (en) | Computing systems utilizing controlled dynamic libraries and isolated execution spaces | |
US8621463B2 (en) | Distributed computing architecture with dynamically reconfigurable hypervisor nodes | |
EP2979211B1 (en) | Protecting software application | |
CN107301082B (zh) | 一种实现操作系统完整性保护的方法和装置 | |
US20060129880A1 (en) | Method and system for injecting faults into a software application | |
JP2009251967A (ja) | マルチコアシステム | |
US20100186013A1 (en) | Controlling Access to a Shared Resource in a Computer System | |
WO2015045507A1 (ja) | 車両用制御装置 | |
Larrucea et al. | A modular safety case for an IEC 61508 compliant generic COTS processor | |
Brewerton et al. | Demonstration of automotive steering column lock using multicore autosar® operating system | |
Allende et al. | Towards linux for the development of mixed-criticality embedded systems based on multi-core devices | |
JP2016066139A (ja) | 車両制御装置 | |
JP6502211B2 (ja) | 車両制御装置 | |
JP2006338426A (ja) | 計算機システム | |
CA2551045C (en) | Input-output control apparatus, input-output control method, process control apparatus and process control method | |
US6938111B2 (en) | Method for operating automation control equipment applications | |
WO2018173910A1 (ja) | 車両制御装置 | |
US20100114422A1 (en) | Control device for vehicles | |
JP4340669B2 (ja) | 入出力制御装置,入出力制御方法,プロセス制御装置及びプロセス制御方法 | |
JP6349444B2 (ja) | 車両用制御装置 | |
CN107179980B (zh) | 用于监视计算系统的方法和相应的计算系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150319 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151021 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151027 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151112 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5841271 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |