如可以具有以下組成部分:
-記錄所述總線的當(dāng)前的運營者,其方法是不僅將總線主控裝置而且將所述軟件組件以任務(wù)M或者操作系統(tǒng)Y的形式加以保存;
-將時間印記(Zeitstempel)加以保存;
-將這種信息保存下來并且有利地將其存放在具有有限的長度的FIFO (先進(jìn)先出)存儲器中。對于特定的事件、比如沖突來說,可能與關(guān)于另外的、要訪問的系統(tǒng)部件的信息一起對這個FIFO存儲器進(jìn)行復(fù)制。
[0031]通過合適的檢驗程序?qū)λ鰶_突進(jìn)行測評。在嚴(yán)重沖突的情況下建立更安全的系統(tǒng)狀態(tài)。
[0032]但是在交換信息時也存在著更為復(fù)雜的干擾可能性。如果比如由于軟件應(yīng)用、比如在圖3中的軟件SWl的錯誤或者特殊的特性而在時間上或者在內(nèi)容上沒有正確地提供有待交換的、處于所述存儲區(qū)域10中的日期,那么這種錯誤就會通過這種交換來影響所述軟件SW2。為了處理這樣的時間上的問題,同樣可以將時間信息、比如回合計數(shù)(Rundencounter)或者時間印記添加到所述日期上。而后在讀出時可以對這種時間信息的正確性一同進(jìn)行監(jiān)控。比如可以檢查,所述日期是否設(shè)置有正確的回合計數(shù)。對于時間印記來說則檢查,是否存在正確的“時間長短(Alter)”,比如“至多1ms長”。而后在合適地劃分所述軟件應(yīng)用的情況下,這種監(jiān)控可能可以通過操作系統(tǒng)服務(wù)或者不取決于應(yīng)用并且僅僅合適地經(jīng)過配置的基礎(chǔ)軟件組件來實施。
[0033]相同的、能夠用于對一起被利用的存儲區(qū)域進(jìn)行訪問的機構(gòu)也可以用于一起被利用的外圍的元件、比如A/D轉(zhuǎn)換器、通信控制器或者定時器等等(圖4)。這可以通過以下方式來實現(xiàn):只能在引導(dǎo)過程中對外圍的元件12、13進(jìn)行配置。隨后可以對用于所述外圍的元件12、13的應(yīng)用進(jìn)行配置,其中所述多核微處理器15的另外的系統(tǒng)部件讀取所述配置,并且如果一切正常,則在運行中以正確的配置為出發(fā)點。如果沒有進(jìn)行正確的配置,則在起動所述多核微處理器15時就已經(jīng)輸出錯誤的信息。除此以外,根據(jù)以何種形式來設(shè)定這樣的、防止配置變化的保護(hù),還可有意義的是,有規(guī)律地以讀取的方式來檢查所述外圍的元件12、13的配置。這可以由每個軟件應(yīng)用SW來實施,并且表示一種主動的、防止配置錯誤的保護(hù)。
[0034]如果要借助于下載來將新的或者附加的軟件應(yīng)用SW加載到控制儀的多核微處理器上,那么值得推薦的是,遵守以下邊界條件:
-應(yīng)該保護(hù)所下載的軟件應(yīng)用免受干擾的已經(jīng)存在的軟件應(yīng)用被分布到所述計算核的固定的子集上并且使用固定地所定義的存儲區(qū)域;
-使新下載的軟件應(yīng)用僅僅在另外的計算核上運行;
-如此對所述存儲保護(hù)裝置進(jìn)行配置,使得所述另外的計算核中沒有計算核對所述固定地定義的存儲區(qū)域進(jìn)行寫入訪問;
-在最佳情況中所述存儲訪問完全能夠平行化。
【主權(quán)項】
1.用于使具有不同的安全等級的軟件在多核處理器中共存的方法,所述多核處理器具有至少兩個計算核(2、3),其中為一個計算核(2)分配了存儲區(qū)域(4),并且在各一個所述計算核(2、3)上對具有各一個預(yù)先給定的安全等級的軟件部分(SW1、SW2)進(jìn)行處理,其特征在于,為處理所述軟件部分(SWl)的計算核(2)分配了受到保護(hù)的存儲區(qū)域(4),處理所述軟件部分(SWl)的計算核(2)對所述存儲區(qū)域(4)進(jìn)行訪問,其中禁止所述多核處理器(1、9、11、15)的、其它的計算核(3、7、8)中的至少一個計算核對所述所分配的、受到保護(hù)的存儲區(qū)域(4)進(jìn)行訪問。
2.按權(quán)利要求1所述的方法,其特征在于,在所述計算核(2、3)與所述存儲區(qū)域(4、5)之間構(gòu)成的存儲保護(hù)裝置(6)僅僅允許被分配給所述受到保護(hù)的存儲區(qū)域(4、5)的計算核(2.3)對所述存儲區(qū)域(4、5)進(jìn)行訪問。
3.按權(quán)利要求2所述的方法,其特征在于,構(gòu)造為二級的存儲保護(hù)裝置(6)允許計算核(2、3)通過在所述存儲保護(hù)裝置(6)中所構(gòu)成的等級層來訪問相應(yīng)的、受到保護(hù)的存儲區(qū)域(4、5)。
4.按權(quán)利要求1、2或3所述的方法,其特征在于,所述軟件(SWl)在所述多核處理器(1、9、11、15)的起動過程中檢查,是否僅僅分配給所述受到保護(hù)的存儲區(qū)域(4、5)的計算核(2.3)對所述受到保護(hù)的存儲區(qū)域(4、5)進(jìn)行訪問。
5.按權(quán)利要求4所述的方法,其特征在于,為了檢查對所述受到保護(hù)的存儲區(qū)域(4、5 )的訪問,從所述存儲保護(hù)裝置(6 )中讀出配置,或者通過所述軟件重新對所述存儲保護(hù)裝置(6)進(jìn)行編程。
6.按權(quán)利要求5所述的方法,其特征在于,對于所述存儲保護(hù)裝置(6)的重新編程靜態(tài)地進(jìn)行。
7.按前述權(quán)利要求中任一項所述的方法,其特征在于,所述存儲保護(hù)裝置(6)的配置允許具有第一安全等級的第一計算核(2)和具有第二安全等級的第二計算核(3)訪問受到保護(hù)的第三存儲區(qū)域(10)。
8.按前述權(quán)利要求中任一項所述的方法,其特征在于,所述第一計算核(2)訪問受到保護(hù)的第一存儲區(qū)域(3),而同時所述第二計算核(3)訪問受到保護(hù)的第二存儲區(qū)域(4)。
9.按前述權(quán)利要求中至少一項所述的方法,其特征在于,時間管理系統(tǒng)禁止所述第一計算核(2)及所述第二計算核(3)同時訪問所述受到保護(hù)的第三存儲區(qū)域(10)。
10.按權(quán)利要求9所述的方法,其特征在于,所述時間管理系統(tǒng)包括時間表,所述時間表規(guī)定,在何種時間點所述第一計算核(2)或者所述第二計算核(3)訪問所述受到保護(hù)的第三存儲區(qū)域(10)。
11.按權(quán)利要求9所述的方法,其特征在于,為了監(jiān)控所述第一計算核(2)或者所述第二計算核(3)對所述受到保護(hù)的第三存儲區(qū)域(10)的訪問,編制了協(xié)議,在所述協(xié)議中所述計算核(2、3)的、對所述受到保護(hù)的第三存儲區(qū)域(10)的訪問設(shè)置有日期。
12.按前述權(quán)利要求中至少一項所述的方法,其特征在于,具有預(yù)先給定的安全等級的計算核(2、3)在對具有相應(yīng)的安全等級的軟件(SW1、SW2)進(jìn)行處理的期間僅僅訪問所述多核處理器(1、9、11、15)的、受到保護(hù)的、為這種處理所選擇的外圍的元件(12)。
13.按權(quán)利要求12所述的方法,其特征在于,僅僅在所述多核處理器(1、9、11)的起動過程期間對所述外圍的元件(12)進(jìn)行配置。
14.按權(quán)利要求12或13所述的方法,其特征在于,以預(yù)先給定的時間間隔以讀取的方式檢查所述外圍的元件(12)的配置。
15.按前述權(quán)利要求中至少一項所述的方法,其特征在于,在將新的軟件下載到所述多核處理器(1、9、11)上時僅僅使所述新的軟件在這些沒有分配給安全等級的并且/或者未對所述受到保護(hù)的存儲區(qū)域(4、5、10)進(jìn)行訪問的計算核(7、8)上運行。
【專利摘要】本發(fā)明涉及一種用于使具有不同的安全等級的軟件在多核處理器中共存的方法,所述多核處理器具有至少兩個計算核(2、3),其中為每個計算核(2、3)分別分配了存儲區(qū)域(4、5),并且在所述計算核(2、3)中的一個上對具有預(yù)先給定的安全等級的軟件(SW1、SW2)進(jìn)行處理。在一種具有較高程度的無干擾性的方法中,僅僅在被分配了相同的安全等級的計算核(2、3)上對具有所述預(yù)先給定的安全等級的軟件(SW1、SW2)進(jìn)行處理,其中在處理所述軟件(SW1、SW2)的期間所述計算核(2、3)僅僅訪問固定地為所述計算核(2、3)分配的、受到保護(hù)的存儲區(qū)域(4、5)。
【IPC分類】G06F11-16
【公開號】CN104820626
【申請?zhí)枴緾N201510044604
【發(fā)明人】韋格納 P., U. 亨格 J., 施魏策爾 M., 格鮑爾 C., 米勒 B., 海因茨 T.
【申請人】羅伯特·博世有限公司
【公開日】2015年8月5日
【申請日】2015年1月29日
【公告號】DE102014201682A1, US20150212952