[发明专利]用于在同一个微控制器上管理安全和不安全应用的系统

说明书

技术领域

本发明涉及一种用于在同一个微控制器系统上管理显示出高度的安全性和完整性的应用以及不显示任何特定关键性的应用的系统。

因此，本发明涉及在关键应用和非关键应用的在同一个控制器上的同时操作的框架内的、从安全性和完整性的视点看关键的系统的管理，该关键应用被称为“安全”，并且因此显示出高的和被保证水平的完整性和安全性，该非关键应用被称为“不安全”，并且显示出未被保证水平的完整性和安全性。

背景技术

在本发明中涉及的系统是显示出具有几个处理器或微处理器的架构的控制器，并且根据本发明的系统处理它们在对于与这些系统的被识别的认证的一般棘手问题相关联的安全性的棘手问题敏感的环境中的使用，以便保证安全性和完整性。SIL(安全完整水平)标准用于例如评估可编程电子和电气系统的安全功能的可靠性，并且给出这样的认证。存在在“欧洲功能安全标准”中定义的、范围从1至4的、从最小安全至最大安全的各种SIL“整合的安全水平”。

当前，为了考虑处理被称为“安全”的应用(即，涉及高和被保证水平的完整性和安全性)和“不安全”应用(即，不涉及高和被保证水平的完整性和安全性)的共存的棘手问题，已知技术实质上涉及虚拟化和管理程序的概念。

本领域内的技术人员在他的一般知识中具有这些技术的主要特性。简而言之，可以回想起，虚拟化技术由安全软件机制构成，其中，显示出很高水平的可靠性的、被例如管理程序占用的管理层包括用于分离在同一个处理器上运行的独立软件平台的部件。为了如此进行，所述管理程序基于每一个处理器一个存储器管理单元来管理一个或多个存储器管理单元，其通常被称为MMU，使得有可能在各个应用之间划分共享资源的使用，特别是存储器空间的使用。

这样的管理程序可以显示独立地管理几个处理器的能力；例如，所述管理程序可以具有重启与操作系统相关联的处理器而不重启其他处理器的能力。

通过用于实现以上所述的虚拟化技术的技术的说明，有可能参见文件EP1067461A1。而且，文件US2008114906A1和US7389390B2描述了具有几个处理器的系统，该几个处理器配备了至少一个交互接口，用于与至少一个外围装置交换。

然而，虽然它处理管理在同一个微控制器系统上的“安全”和“不安全”应用的共存的一般棘手问题，但是管理程序的实现方式显示特定的缺点。首先，管理程序的使用使得系统的性能变差，因为该工具消耗资源并且导致系统的变慢。这也可能对于与特定应用相关联的“实时”约束的方面有害，不论该应用是“安全”或“不安全”。而且，管理程序必须本身被认证，例如SIL，就像执行“安全”应用的操作系统必须那样。而且，管理主外围装置的软件必须被划分以在管理程序的引领下执行关键部分，并且，以标准方式执行在操作系统中的非关键部分。因此，必须将驱动器的部分整合到管理程序内，并且因此同样形成认证的主题。

而且，今天，该类型的文件在具有或没有认证的情况下显示出很高的获取成本。

因此，由本发明针对的技术问题可以被认为是对于系统的搜索，使得有可能以降低的成本，因此通过规避涉及虚拟化和认证的管理程序的已知的但昂贵的技术来管理在同一个微控制器系统上的“安全”和“不安全”应用的共存。本发明使得有可能以诱导的方式来限制要求认证的代码的数量和复杂度。在其原理上，它特别通过用于存储器的安全隔离的、优选地认证的单元的插入来以主外围装置的管理作为目标，使得有可能保留在不需要形成认证的主题的代码的部分中管理这些主外围装置的软件，并且因此使用标准驱动器。

发明内容

为了这个目的，本发明的主题是一种电子微控制器系统，包括：

■至少两个处理器，其中，被称为安全处理器的一个处理器专用于涉及被保证水平的安全性和完整性的应用；

■至少一个交换接口，用于与至少一个外围装置的交换，所述外围装置是所述电子微控制器系统的用户主外围装置；

■对于共享存储器空间的访问的部件；

■互连矩阵，用于互连所述交换接口、所述处理器和所述对于共享存储器空间的访问的部件。

根据本发明，所述电子微控制器系统而且包括用于管理涉及被保证水平的安全性和完整性的应用以及显示出未被保证的安全性和完整性的应用的部件，并且所述交换接口与位于所述用户主外围装置和所述互连矩阵之间的用于存储器的安全隔离的单元合作。而且，根据本发明的所述微控制器系统包括几个用户主外围装置，每一个用户主外围装置具有用于所述存储器的安全隔离的单元，用于所述存储器的安全隔离的每一个单元被所述安全处理器管理。