[发明专利]执行彼此交织的安全软件应用和非安全软件应用的方法

说明书

本发明涉及执行彼此交织的安全软件应用和非安全软件应用的方法。在该方法中，在非安全软件（M2、M4）的模块的输出处产生的至少一个输出数据（D2、D4）被用作为应用到安全软件（M3、M5）的模块的输入的输入数据，该方法包括：利用与非安全软件应用的安全约束相对应的安全约束，执行（100）一同分组到公共非安全软件应用中的安全软件应用（M2、M4）和非安全软件应用（M1、M3、M5），以更新非安全软件应用的模块的至少一个输出数据；以及利用与安全软件应用的安全约束相对应的安全约束，通过使用至少一个更新的输出数据作为用于安全软件应用模块的输入数据，来执行（120）安全软件应用（M1、M3、M5）。

技术领域

本发明涉及用于交织执行安全软件和非安全软件应用的方法的领域，在该非安全软件应用的模块的输出处产生的至少一个输出数据被用作为施加到安全软件应用的模块的输入处的输入数据。

背景技术

软件应用是计算机程序，其存储在计算机的存储器中的指令可以由计算机的处理器执行。

安全软件应用是一种必须被安全地执行的软件应用，即，以确保适当的操作并具有预定的信任级别。这意味着，在安全软件应用的执行期间，与安全要求矛盾的缺陷发生具有预定的可能性。例如，标准IEC61508限定了从SIL0（缺陷发生的高可能性）到SIL4（缺陷发生的低可能性）的多个安全级别。为了安全执行，执行安全软件应用的指令的计算机必须满足特定操作标准。该计算机被称作为安全计算机。

在本申请中，术语“非安全软件”指的是其执行不受到可靠性约束或者相比于安全软件应用受到更少约束的软件应用。例如，如果安全软件应用是级别SIL2，具有级别SIL0的软件应用将会被认为是非安全软件应用。在本申请中，非安全软件应用被在所谓的“非安全计算机”的计算机上执行，即，满足兼容非安全软件应用的安全等级的操作标准的计算机。

软件应用由多个基本模块构成。

由计算机的处理器执行的与软件应用的模块相对应的指令构成基本处理或任务。

模块包括输入部分，其用于例如通过读取计算机的预定存储器空间中的输入数据的当前值来获取输入数据；处理部分，其用于根据从输入数据获取的值计算输出数据值；以及输出部分，其用于将所计算的输出数据的值写入到计算机的预定存储器空间中。

除了在机能障碍的情况下，一旦模块被启动，其执行总是会完成，而不会在完成之前（即，输出数据已经被产生之前）发生中断。

基于软件应用的结构，第一模块的输出数据可以构成第二模块的输出数据。数据流因此存在为以初始事件（诸如在软件应用的输入处更新的初始数据）开始，并且以输出事件（诸如模块的执行结束）结束，经过软件应用的模块之间交换的不同中间数据。

完整数据流覆盖软件应用的多个连续的执行循环。实际上，在每个循环中，被实际执行的仅有模块是在循环的开始更新的输入数据对其可用的那些模块，或者在所考虑的模块被执行的循环期间可用的那些模块。模块将会仅对于更新的输入数据执行一次。

当两个软件中的一者的模块许可其不同输入数据中的来自于另一个软件应用的至少一个输出数据时，这两个软件应用被认为是交织的。因此具有数据流，其中存在两个被执行的软件应用之间的数据交换，使得两个软件应用相互依赖。

图1示出了包括两个交织的软件应用的逻辑结构的示例：第一安全软件应用L_S和第二非安全软件应用L_NS。该示意性示例将会在本说明书各处使用。

逻辑结构包括第一模块M1，其属于第一软件应用L_S。第一模块M1使用更新的初始数据D0作为输入。这是由传感器递送并规律地更新的数据的示例。第一模块M1能够产生第一输出数据D1。因此，数据流以包括执行模块M1的初始事件开始。

逻辑结构包括第二模块M2，其属于第二非安全软件应用L_NS。第二模块M2使用在模块M1的输出处产生的数据D1作为输入数据。模块M2能够产生第二输出数据D2。