JP5841271B2 - 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 - Google Patents
安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 Download PDFInfo
- Publication number
- JP5841271B2 JP5841271B2 JP2015021142A JP2015021142A JP5841271B2 JP 5841271 B2 JP5841271 B2 JP 5841271B2 JP 2015021142 A JP2015021142 A JP 2015021142A JP 2015021142 A JP2015021142 A JP 2015021142A JP 5841271 B2 JP5841271 B2 JP 5841271B2
- Authority
- JP
- Japan
- Prior art keywords
- safety
- memory
- related software
- software component
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 101
- 230000015654 memory Effects 0.000 claims description 54
- 238000000034 method Methods 0.000 claims description 41
- 238000012544 monitoring process Methods 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 11
- 101100366322 Arabidopsis thaliana ADC1 gene Proteins 0.000 claims description 8
- 101150032645 SPE1 gene Proteins 0.000 claims description 8
- 101100316805 Caenorhabditis elegans spe-5 gene Proteins 0.000 claims description 3
- 101100366397 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SPE3 gene Proteins 0.000 claims description 3
- 101100478264 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SPE4 gene Proteins 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 230000007704 transition Effects 0.000 claims description 3
- 101100366333 Arabidopsis thaliana ADC2 gene Proteins 0.000 claims 4
- 101150089804 SPE2 gene Proteins 0.000 claims 4
- 230000004913 activation Effects 0.000 claims 1
- 238000012360 testing method Methods 0.000 description 13
- 230000003936 working memory Effects 0.000 description 7
- 230000011218 segmentation Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は、安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行するための方法に関し、その際ハードウェア・プラットフォームは演算処理ユニットおよび少なくとも1つのメモリを含み、その際少なくとも1つの安全性に関連していないソフトウェア・コンポーネントが少なくとも1つの安全性に関連したソフトウェア・コンポーネントと共にこの1つの演算処理ユニット上で実行され、その際ハードウェア・プラットフォームが監視コンポーネントを備え、またはこれと接続されており、その際この監視コンポーネントがハードウェア・プラットフォームの少なくとも1つのプロセッサーと無関係に働く。
さらに、本発明はこのような方法を実施するハードウェア・プラットフォームに関する。
コンピューターシステムには、コンピューターシステムの誤った、または適時でない反応が人命または物品を損なう場合があるという任務に適用されることがますます増えている(「安全性関連システム」)。そのようなシステムは、誤りを十分に排除するために、規格化されたガイドラインに従って開発および試験されなければならない(IEC61508、IS026262)。これに応じてそのようなシステムを開発するには非常に手間がかかり、時間もかかり、それに応じて高額になる。
他方で、コンピューターに支援された機能はますます多くの分野に投入されている。しばしばそれは、重大ではない「標準機能」を備えた1つの制御装置を「安全性関連機能」に拡張するという要件から構成される。例:機能ACC(前走車の速度に合わせて制御を行うオートマチック・クルーズ・コントロールで、重大ではない(快適性)機能)は、自動緊急ブレーキに拡大される(安全性関連機能)。
ただ1つの制御装置の中で安全性に関連する機能と重大でない機能が同時に進行することはコストメリットがある(制御装置が少なく、配線が少なく、整備が簡単等)。しかし重大でない機能の誤りが安全性に関連した機能を妨げることができないよう確保されなければならない。従来技術では、そのために特別なオペレーティング・システムが提供されており(ARINC653、DECOS)、これが、重大でない機能が安全性に関連した機能に「干渉する」ことをさまざまな対策によって阻止している。このオペレーティング・システムでは、制御装置ハードウェアにも機能のプログラミングにも非常に特殊な要件が設けられ、その結果重大でない機能をこの種のシステムに統合することもまたやはり手間がかかり高価になるという短所がある。
本発明の課題は、既存の制御装置および既存の「標準機能」を効率的に「安全性機能」へと拡大し、それによって開発費用と単位原価を低減することができる、低費用でしかも効果的な手段を提供することである。
この課題は、冒頭に言及した方法または冒頭に言及したハードウェア・プラットフォームにより、次のように解決される。発明に従ったハードウェア・プラットフォームが少なくとも1つのメモリの少なくとも1つの部分のための書込み保護メカニズムを備え、その際安全性に関連したソフトウェア・コンポーネントが全面的な書込みアクセス権を特定の領域または全体のメモリに対して備えており、または安全性に関連したソフトウェア・コンポーネントがメモリの特定の領域に対してアクセス権を備えており、このメモリ領域が安全性に関連していない機能のために備えられているメモリの領域からは分離されており、その際安全性に関連したソフトウェア・コンポーネントが安全性に関連していないソフトウェア・コンポーネントの実行前に、安全性に関連していない機能のアクセスに対して、安全性に関連した機能の少なくとも1つのメモリ領域のメモリにメモリ保護を行い、その結果安全性に関連していないソフトウェア・コンポーネントがメモリの制限された領域のみ書込みアクセス権を持ち、および特に安全性に関連したコンポーネントのために切り離されたメモリの領域へのアクセス権を持たず、その際安全性に関連していないコンポーネントからの復帰後にメモリ保護が再度停止され、その際監視コンポーネントが安全性関連機能をその決められたとおりの手順で監視する。
安全性に関連していないコンポーネントからの「復帰」とは、安全性に関連したコンポーネントが安全性に関連していないコンポーネントを「スタート」させ、引き続いて安全性に関連していないコンポーネント「だけ」が作動し、およびこれが進行すると、再び安全性に関連したコンポーネントがさらに作動することを意味する。
本発明は、上述したものよりも低費用で解決方法を提供する。本発明の核心では、「楽天的な方法」が使用される。すなわち、重大でない機能は誤りの原因にならないと肯定的に仮定される。この仮定が正しいかどうかは、確実に非常に急速に点検される。すなわち、干渉(=安全性関連機能へ作用することの可能な、重大でない機能の誤り)は、なるほど阻止はされないが検知され、その結果安全性関連機能が安全な状態へ移行されることが可能である(または他の適切な方法で故障に対応がなされる)。
安全な状態とは、通常「スイッチオフ」を意味する。他の適切な方法として、問題のある機能を干渉が実行される前に(例えば安全性関連機能に必要なワーキング・メモリ領域の上書き)安全性関連機能を妨げることなく止めるという方法がある。これは除外処理ルーチンで実施可能である。
たいていのシステムではこのやり方はまったく十分である。なぜなら一般にはさらに別の信頼できない部分があるものであり、安全性関連システムは個々の誤りが生じた場合も常に不確かな状態になってはならないからである。
本発明の変形形態では、演算処理ユニット(=CPU)上でオペレーティング・システムが動作し、オペレーティング・システムのディスパッチャーが、安全性に関連していないスケジュール決定が下される前にメモリ保護が常に達成されるよう確保し、および(正確には)安全性に関連したコンポーネントを有効化するためのスケジュール決定が行われた場合にのみ安全性に関連していない領域から分離されたメモリ領域にメモリ保護が許可されるよう確保する。
安全性に関連していないソフトウェア・コンポーネントの呼び出し後、安全性に関連した機能からアライブ信号が監視モジュールに送られると、基本的に有利である。
さらに、重大でないソフトウェア・コンポーネントの呼び出し前後に、タイム・スタンプが監視モジュールに送られると、有利であり得る。
複数の、安全性に関連した機能の手順のために重要な箇所(「中心的な」箇所)に分散させて、安全性に関連したソフトウェア・コンポーネントがアライブ信号を監視モジュールに送信し、その結果監視モジュールが安全性に関連したソフトウェア・コンポーネントの機能的な手順を試験可能であると、特に好都合である。
その場合は、単純なアライブ信号は使用されず、チェック・サムまたは類似のものを介して複数の試験ポイントの手順の順番も監視される。これにより安全性関連機能が作動していることだけでなく、どんな順番で規定の重大ポイントが機能の中で進められたかを見ることができる。
最後に、アライブ信号および/またはタイム・スタンプが欠如した後、監視モジュールが(部分)システムを安全な状態に移行させるとさらに特に好都合である。
以下では、本発明を、図を使用して詳細に説明する。
本発明は、複数の特徴および方法を組み合わせている。
1.重大でない機能の間違ったメモリアクセスをブロック(検知)するために、CPUのメモリのメモリ保護を実現。
2.安全性に関連した機能の不具合のある手順を認識するために、監視モジュールとして機能する独立したユニット内での試験インスタンスを使用。
1.重大でない機能の間違ったメモリアクセスをブロック(検知)するために、CPUのメモリのメモリ保護を実現。
2.安全性に関連した機能の不具合のある手順を認識するために、監視モジュールとして機能する独立したユニット内での試験インスタンスを使用。
この方法は、安全性に関連した機能の信頼できる監視を達成するために、これら2つの技術を使用する。その際制御装置のCPUのワーキング・メモリSPEは、図1に従ってセグメンテーションされる。
安全性に関連した機能SAFETは、全体のワーキング・メモリSPE(またはメモリSPEの基本的な領域SPE1〜SPE4)を読取り、書込みすることができる一方で、重大でない機能STANTはワーキング・メモリSPEの一部分SPE3〜SPE5のみしか読取り、書込みすることができない。メモリSPEの一部分SPE3は、重大でない領域に割り当てられており、交換領域として規定されている。ここでは、必要な場合、安全性に関連した機能と重大でない機能との間でデータが交換される。
メモリSPEのセグメンテーションは、その際安全性に関連した機能がそれ自身のスタック領域とヒープ領域SPE1を持っているように行われなければならない。従って領域間で機能を直接呼び出すことは不可能である。
安全性関連機能が標準機能のスタック/ヒープ領域SPE5にアクセスできてよく(図示せず)その際しかしこれが一般にまれにしか必要でなく、しかし重要なことは、標準機能が安全性に関連した機能のスタック/ヒープSPE1に(およびバリアブルへも)アクセスできないことが確保されることである。
しかし、メモリセグメンテーションだけでは、安全性に関連した機能の保護には十分ではない。さらに、重大でない機能の誤りでCPUをブロックせず、それによって安全性に関連した機能が適時に反応可能であることが阻止されないことが確保されなければならない。発明に従った方法は、なるほどブロックを阻止しないが、検知することができる。その際、安全性に関連した機能と重大でない(標準)機能との切り替え毎に、ソフトウェア試験ポイント(SW試験ポイント)が行われる。
図2の疑似コード(ここでは安全性関連機能による標準機能の呼び出しのための例を記述している)は、発明の中核、すなわち、重大でない機能のワーキング・メモリアクセスもランタイム特性も試験される試験/保護機能を公開している。
CPUの初期化は常に、最初からCPU経由の制御を備えている安全性関連機能によって実行される。重大でない機能が進行するたびに、安全性に関連した機能の保護が2つの側で生じる。(1)メモリ保護の再構成は、安全性に関連した機能のデータ保護を達成する。CPUの特別なモジュールの調整が行われ、その結果アクセスが制限された領域のワーキング・メモリでのみ許容される。交換される必要のあるパラメーターは、まず交換領域にコピーされる。標準機能がデータも戻す場合、アナログのメカニズムが他の方向(重大でない機能から安全性に関連した機能へ)実施される(疑似コード内には示されていない)。(2)SW試験ポイント(疑似コード内では「check_point」と呼ばれる)は、残った標準機能が検知されることを確保する。アライブ信号(Alive Signal)が送信され、これらはCPUの外部で監視される(さらに下記参照)。
図2に示された疑似コードは、標準機能の呼び出し毎に、安全性に関連したコンテキスト中に生成される。このために既知のマクロ生成技術またはコード生成技術が使用され、その結果このコードを手動で記述する必要がない。
重大でない機能が誤って許容されているよりも長くCPUを働かせる(つまりブロックする)場合を検知するため、試験/保護機能が送る、安全性に関連した機能のアライブ信号が独立して監視されなければならない。そのためには例えばCPUの外部の監視モジュールを使用してよい。図3は、そのような構造を示している。アライブ信号が集められ(図3のモジュールSafeCrossCheck参照)およびI/Oケーブル経由で監視モジュールMODに伝達される。監視モジュールMODはCPUとは「無関係に生きて」おり、この上では安全性に関連した機能が作動し、それゆえに誤りまたはCPUのブロックに該当せず、および安全性関連機能がもはや正しく作動しなくなった場合に、このようなやり方でそれが検知され得る。
監視機能がアライブ信号を適時に受け取らなかった場合、システムを安全な状態に移行するために、監視機能は処置を実行する。例えばサブシステムがエンジンや制御装置などをオフにするか、または機械的なロック/機械的な「バックアップシステム」を有効にする(例えばステアリングホイールと車輪の間に固定接続が引き起こされる)。
要約すると、記述された方法は従来技術に従った解決法と以下の点で異なる。
・方法が「楽天的」であること。安全性に関連した機能と重大でない機能を厳格に分離することを強制しようとしていない。安全性に関連した領域における重大でない機能の干渉はしかし信用できると認識される。
・重量が軽く、ほとんどリソースを使用しない。
・認証されたオペレーティング・システムは不要である。この方法は、オペレーティング・システムなしのシステムにも、重大でない機能のように扱うことが可能である、標準オペレーティング・システムを備えたシステムとまったく同じように導入することができる。
・重大でない機能をこの方法に適合する必要がない。
重大でないソフトウェアは、ほとんど変更することなく統合することができる。重大でない機能のAPI(「Application Prograrmming Interface(アプリケーション・プログラミング・インターフェース)」)は維持される。
・方法が「楽天的」であること。安全性に関連した機能と重大でない機能を厳格に分離することを強制しようとしていない。安全性に関連した領域における重大でない機能の干渉はしかし信用できると認識される。
・重量が軽く、ほとんどリソースを使用しない。
・認証されたオペレーティング・システムは不要である。この方法は、オペレーティング・システムなしのシステムにも、重大でない機能のように扱うことが可能である、標準オペレーティング・システムを備えたシステムとまったく同じように導入することができる。
・重大でない機能をこの方法に適合する必要がない。
重大でないソフトウェアは、ほとんど変更することなく統合することができる。重大でない機能のAPI(「Application Prograrmming Interface(アプリケーション・プログラミング・インターフェース)」)は維持される。
(1)重大でない機能の時間監視:
試験/保護機能は、重大でない機能の計測時間を一緒に書き込むためにも使用可能である。そのために、重大でない機能を呼び出す前にタイム・スタンプが保存される。呼び出し後、重大でない機能の所要時間が測定される。この所要時間は、監視モジュールに伝達される。ある限界を超えると、重大でない機能の所要時間消費が誤りと評価される。
試験/保護機能は、重大でない機能の計測時間を一緒に書き込むためにも使用可能である。そのために、重大でない機能を呼び出す前にタイム・スタンプが保存される。呼び出し後、重大でない機能の所要時間が測定される。この所要時間は、監視モジュールに伝達される。ある限界を超えると、重大でない機能の所要時間消費が誤りと評価される。
(2)安全性に関連した機能の広範囲にわたる試験:
記述された方法は、安全性に関連した機能に複雑な点検を実施するという趣意で拡大可能である。こうして、試験/保護機能が呼び出しの特定の順番で一緒に記録されることで、安全性に関連した機能内で特定のパスが独立して追跡される。
記述された方法は、安全性に関連した機能に複雑な点検を実施するという趣意で拡大可能である。こうして、試験/保護機能が呼び出しの特定の順番で一緒に記録されることで、安全性に関連した機能内で特定のパスが独立して追跡される。
(3)オペレーティング・システムでの使用:
それ自身は必要な安全基準を満たしていない、標準オペレーティング・システムを備えたあるシステム内で安全性関連機能が実施される場合、これは発明に従った方法によって同様に可能である。以下の安全性に関連した機能は、その際オペレーティング・システムに統合されなければならず、それによってコンテキストが切り替わるごとに方法の規則が考慮される。
・CPU上で実施すべきタスクの初期化前にメモリ保護を有効にする(ソフトウェアの早期の初期化段階におけるメモリ保護の有効化)
・各タスク・スイッチにおけるメモリ保護の正しい修正
・中断によるメモリ保護の信頼できる修正
それ自身は必要な安全基準を満たしていない、標準オペレーティング・システムを備えたあるシステム内で安全性関連機能が実施される場合、これは発明に従った方法によって同様に可能である。以下の安全性に関連した機能は、その際オペレーティング・システムに統合されなければならず、それによってコンテキストが切り替わるごとに方法の規則が考慮される。
・CPU上で実施すべきタスクの初期化前にメモリ保護を有効にする(ソフトウェアの早期の初期化段階におけるメモリ保護の有効化)
・各タスク・スイッチにおけるメモリ保護の正しい修正
・中断によるメモリ保護の信頼できる修正
図4の疑似コードは、ディスパッチャーの必要な拡大を示している。ディスパッチャーは中断によってスタートし、図4に示されたコードはInterrupt−Service−Routine内に含まれる。
重大でない機能を時間的に監視するという、変形例(1)に記述されている手段は、オペレーティング・システムでも同様に可能である。タイムカウンターは追加的に上述のすべてのコンテキスト交換に追随する。
(4)メモリ・セグメントのさまざまなクラス
単純化するという理由により、方法の説明には常に2つのメモリ保護クラスのみ言及される:
安全性関連機能のために完全にオープンにされたメモリ
安全性に関連したメモリ領域は完全に保護されている。
単純化するという理由により、方法の説明には常に2つのメモリ保護クラスのみ言及される:
安全性関連機能のために完全にオープンにされたメモリ
安全性に関連したメモリ領域は完全に保護されている。
しかしこの方法は多数のメモリ保護クラスを使用したシステムで使用することもできる。さまざまな安全性関連機能が管理可能であり、その際それぞれは自身のために自己のメモリ領域にのみアクセス可能であり、しかし他の安全性に関連した機能の領域にはアクセスできない。重大でない機能内でも、同様にさまざまなメモリ領域が定義可能である。この方法のために、満たさなければならない条件は1つだけである。安全性に関連した機能のプライベートなメモリ領域(RAM、ROM、スタック、ヒープ)は、重大でない機能によるアクセスから保護されていなければならない。
本発明による方法は、安全性に関連したソフトウェア機能を1つのコンピューター内で、標準機能または標準オペレーティング・システムと一緒に作動させることを可能にする。安全性に関連した機能と重大でない機能は、別々のコンテキスト(自己のスタック/ヒープおよび自己のメモリ・セグメント)で進行する。安全性に関連した機能と重大でない機能間の切り替えは、メモリ保護(無効)有効化するために使用される。同じ箇所で、監視モジュールを可能にするアライブ信号(Alive−Signal)も中止され、制御装置が独立して、観察のためおよび誤りによってスイッチオフになる。
この方法はその軽量さと幅広い適用範囲が特徴である。必要なものはハードウェア・サポーターとメモリ保護および独立して作動する監視モジュールだけである。使用される標準ソフトウェアには要件が設定されず、引き続き変更することなく使用することができる。アダプションは、コンテキスト交換時、オペレーティング・システムに近い機能にある、狭い範囲の重大な箇所にのみ必要である。
本発明による方法は、安全上重大な領域内のコンピューターに使用することに適している(埋込みまたはホストとして)。
SAFET ソフトウェア・コンポーネント
STANT ソフトウェア・コンポーネント
CPU 演算処理ユニット
SPE メモリ
MOD 監視コンポーネント
STANT ソフトウェア・コンポーネント
CPU 演算処理ユニット
SPE メモリ
MOD 監視コンポーネント
Claims (7)
- 安全性に関連した、および、安全性に関連していないソフトウェア・コンポーネント(SAFET、STANT)を1つのハードウェア・プラットフォーム上で実行するための方法であって、前記ハードウェア・プラットフォームは演算処理ユニット(CPU)および少なくとも1つのメモリ(SPE)を含み、前記安全性に関連していないソフトウェア・コンポーネント(STANT)が前記安全性に関連したソフトウェア・コンポーネント(SAFET)と共に、前記演算処理ユニット(CPU)上で実行され、前記ハードウェア・プラットフォームが監視コンポーネント(監視モジュール)(MOD)を備え、または前記監視コンポーネント(MOD)と接続されており、前記監視コンポーネント(MOD)が前記ハードウェア・プラットフォームの前記演算処理ユニット(CPU)から独立して働く方法において、
前記ハードウェア・プラットフォームが、書込み保護メカニズムを介して前記少なくとも1つのメモリ(SPE)の少なくとも1つの領域(SPE1、SPE2)を備えており、前記安全性に関連したソフトウェア・コンポーネント(SAFET)が、全面的な書込みアクセス権を前記メモリ(SPE)の特定領域(SPE1〜SPE4)または全体に対して持っており、
前記安全性に関連したソフトウェア・コンポーネント(SAFET)が、前記安全性に関連していないソフトウェア・コンポーネント(STANT)のために備えられるメモリ領域から分離された、前記メモリ(SPE)の特定領域上でアクセス権を持ち、
前記演算処理ユニットのオペレーティング・システムが、前記安全性に関連していないソフトウェア・コンポーネント(STANT)の実行前に、前記安全性に関連していないソフトウェア・コンポーネント(STANT)のアクセスに対して、前記メモリ(SPE)の少なくとも1つの領域(SPE1、SPE2)にメモリ保護を行い、
前記安全性に関連していないソフトウェア・コンポーネント(STANT)は、前記メモリ(SPE)の制限された領域(SPE3、SPE4、SPE5)内でのみ書込みアクセス権を持ち、前記安全性に関連したソフトウェア・コンポーネント(SAFET)のために切り離された前記メモリ(SPE)の領域(SPE1、SPE2)へのアクセス権を持たず、
前記安全性に関連していないソフトウェア・コンポーネント(STANT)から前記安全性に関連したソフトウェア・コンポーネント(SAFET)への復帰後に、前記メモリ領域(SPE1、SPE2)のメモリ保護が解除され、
前記監視コンポーネント(MOD)が、前記安全性に関連したソフトウェア・コンポーネント(SAFET)の機能を所定の手順で監視し、前記安全性に関連したソフトウェア・コンポーネント(SAFET)が正常に動作しない場合、前記ハードウェア・プラットフォームにより制御されるシステムまたはデバイスを安全な状態に移行させることを特徴とする、方法。 - 前記演算処理ユニット(CPU)上でオペレーティング・システムが動作し、前記オペレーティング・システムのディスパッチャーが、前記安全性に関連していないソフトウェア・コンポーネント(STANT)のスケジュール決定が下される前に、前記メモリ保護が常に達成されるよう確保し、および前記安全性に関連していないソフトウェア・コンポーネント(STANT)のメモリ領域から分離されたメモリ領域の前記メモリ保護が、前記スケジュール決定が前記安全性に関連したソフトウェア・コンポーネントの有効化のために行われた場合にのみ、許可されることを特徴とする、請求項1に記載の方法。
- 前記安全性に関連していないソフトウェア・コンポーネント(STANT)の呼び出し後、前記安全性に関連したソフトウェア・コンポーネント(SAFET)からアライブ信号が前記監視コンポーネント(MOD)に送信されることを特徴とする、請求項1または2に記載の方法。
- 前記安全性に関連していないソフトウェア・コンポーネント(STANT)の呼び出し前後に、タイム・スタンプが前記監視コンポーネント(MOD)に送信されることを特徴とする、請求項1〜3のうちいずれか一項に記載の方法。
- 前記安全性に関連したソフトウェア・コンポーネント(SAFET)の中心的な箇所でアライブ信号が前記監視コンポーネント(MOD)に送信され、前記監視コンポーネント(MOD)が前記安全性に関連したソフトウェア・コンポーネント(SAFET)の機能的手順も試験可能であることを特徴とする、請求項1〜4のうちいずれか一項に記載の方法。
- 前記監視コンポーネント(MOD)がアライブ信号および/またはタイム・スタンプが欠如した後に前記(部分)システムを安全な状態に移行することを特徴とする、請求項1〜5のうちいずれか一項に記載の方法。
- 請求項1〜6のうちいずれか一項に記載の方法を実施するためのハードウェア・プラットフォーム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AT16272009 | 2009-10-15 | ||
| ATA1627/2009 | 2009-10-15 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012533431A Division JP2013507698A (ja) | 2009-10-15 | 2010-10-12 | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015111448A JP2015111448A (ja) | 2015-06-18 |
| JP5841271B2 true JP5841271B2 (ja) | 2016-01-13 |
Family
ID=43415376
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012533431A Pending JP2013507698A (ja) | 2009-10-15 | 2010-10-12 | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 |
| JP2015021142A Active JP5841271B2 (ja) | 2009-10-15 | 2015-02-05 | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012533431A Pending JP2013507698A (ja) | 2009-10-15 | 2010-10-12 | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8880827B2 (ja) |
| EP (1) | EP2494488B1 (ja) |
| JP (2) | JP2013507698A (ja) |
| WO (1) | WO2011044603A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012012521A1 (de) | 2012-06-26 | 2014-01-02 | Inter Control Hermann Köhler Elektrik GmbH & Co. KG | Vorrichtung und Verfahren für eine sicherheitskritische Anwendung |
| EP3057900A4 (en) * | 2013-10-15 | 2017-07-19 | Otis Elevator Company | Management of safety and non-safety software in an elevator system |
| US9405515B1 (en) * | 2015-02-04 | 2016-08-02 | Rockwell Collins, Inc. | Computing systems utilizing controlled dynamic libraries and isolated execution spaces |
| JP6349444B2 (ja) * | 2017-06-28 | 2018-06-27 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0540668A (ja) * | 1991-08-06 | 1993-02-19 | Nec Corp | プログラム暴走防止方式 |
| JP2721294B2 (ja) * | 1993-01-29 | 1998-03-04 | 本田技研工業株式会社 | コンピュータシステムのオンライン監視システム |
| JP3271590B2 (ja) * | 1998-09-14 | 2002-04-02 | 日本電気株式会社 | 業務監視システム、装置及び方法、及び記録媒体 |
| DE60038785D1 (de) * | 1999-01-11 | 2008-06-19 | Myspace Ab | System zur verarbeitung einer sicherheitskritischen aktivität |
| US7290284B1 (en) * | 1999-01-11 | 2007-10-30 | Myspace Ab | System for data processing a security critical activity |
| JP4522548B2 (ja) * | 2000-03-10 | 2010-08-11 | 富士通フロンテック株式会社 | アクセス監視装置及びアクセス監視方法 |
| JP2002189633A (ja) * | 2000-12-21 | 2002-07-05 | Nec Corp | 仮想空間のメモリ保護方法及び装置 |
| JP2003330759A (ja) * | 2002-05-14 | 2003-11-21 | Olympus Optical Co Ltd | 監視装置 |
| EP1535124B1 (en) * | 2002-08-13 | 2011-02-02 | Nokia Corporation | Computer architecture for executing a program in a secure of insecure mode |
| JP4275451B2 (ja) * | 2003-04-23 | 2009-06-10 | 株式会社日立製作所 | 不正メモリアクセス検知方法及びそのプログラム |
| JP4629416B2 (ja) * | 2003-11-28 | 2011-02-09 | パナソニック株式会社 | データ処理装置 |
| EP1688816A4 (en) * | 2003-11-28 | 2012-04-25 | Panasonic Corp | DATA PROCESSING DEVICE |
| DE102004018857A1 (de) * | 2004-04-19 | 2005-11-10 | Elektro Beckhoff Gmbh Unternehmensbereich Industrie Elektronik | Sicherheitssteuerung |
| US7627807B2 (en) * | 2005-04-26 | 2009-12-01 | Arm Limited | Monitoring a data processor to detect abnormal operation |
| WO2007004219A2 (en) * | 2005-07-04 | 2007-01-11 | Discretix Technologies Ltd. | System, device and method of verifying that a code is executed by a processor |
| JP4923925B2 (ja) * | 2006-09-29 | 2012-04-25 | 富士通株式会社 | チェックプログラム、監視装置および監視方法 |
| US7895404B2 (en) * | 2008-02-14 | 2011-02-22 | Atmel Rousset S.A.S. | Access rights on a memory map |
-
2010
- 2010-10-12 WO PCT/AT2010/000386 patent/WO2011044603A1/de active Application Filing
- 2010-10-12 JP JP2012533431A patent/JP2013507698A/ja active Pending
- 2010-10-12 EP EP10775688.4A patent/EP2494488B1/de active Active
- 2010-10-12 US US13/501,915 patent/US8880827B2/en active Active
-
2015
- 2015-02-05 JP JP2015021142A patent/JP5841271B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2494488A1 (de) | 2012-09-05 |
| US8880827B2 (en) | 2014-11-04 |
| JP2013507698A (ja) | 2013-03-04 |
| CN102696037A (zh) | 2012-09-26 |
| EP2494488B1 (de) | 2019-04-24 |
| JP2015111448A (ja) | 2015-06-18 |
| WO2011044603A1 (de) | 2011-04-21 |
| US20120210085A1 (en) | 2012-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9632860B2 (en) | Multicore processor fault detection for safety critical software applications | |
| CN104885057B (zh) | 虚拟化计算系统中隔离的客创建 | |
| JP5841271B2 (ja) | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 | |
| US8336095B2 (en) | User space virtualization system | |
| US9405515B1 (en) | Computing systems utilizing controlled dynamic libraries and isolated execution spaces | |
| US8621463B2 (en) | Distributed computing architecture with dynamically reconfigurable hypervisor nodes | |
| EP2979211B1 (en) | Protecting software application | |
| CN107301082B (zh) | 一种实现操作系统完整性保护的方法和装置 | |
| US20060129880A1 (en) | Method and system for injecting faults into a software application | |
| JP2009251967A (ja) | マルチコアシステム | |
| US20100186013A1 (en) | Controlling Access to a Shared Resource in a Computer System | |
| WO2015045507A1 (ja) | 車両用制御装置 | |
| Larrucea et al. | A modular safety case for an IEC 61508 compliant generic COTS processor | |
| Brewerton et al. | Demonstration of automotive steering column lock using multicore autosar® operating system | |
| Allende et al. | Towards linux for the development of mixed-criticality embedded systems based on multi-core devices | |
| JP2016066139A (ja) | 車両制御装置 | |
| JP6502211B2 (ja) | 車両制御装置 | |
| JP2006338426A (ja) | 計算機システム | |
| CA2551045C (en) | Input-output control apparatus, input-output control method, process control apparatus and process control method | |
| US6938111B2 (en) | Method for operating automation control equipment applications | |
| WO2018173910A1 (ja) | 車両制御装置 | |
| US20100114422A1 (en) | Control device for vehicles | |
| JP4340669B2 (ja) | 入出力制御装置,入出力制御方法,プロセス制御装置及びプロセス制御方法 | |
| JP6349444B2 (ja) | 車両用制御装置 | |
| CN107179980B (zh) | 用于监视计算系统的方法和相应的计算系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150319 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151021 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151027 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151112 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5841271 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |