[发明专利]控制装置

说明书

相关申请的交叉引用

于2016年10月17日提交的申请号为2016-203657的日本专利申请，包括说明书、权利要求书、说明书附图和说明书摘要在内的全部公开内容，通过引用的方式整体并入本文。

技术领域

本发明涉及一种基于功能安全标准设计的具有安全相关单元的控制装置。具体地，本发明涉及一种具有非安全相关单元写入检测功能的控制装置，其具备以下功能：以位为单位检测意外写入，该意外写入是从在安全相关单元中的CPU上执行的非安全相关单元程序到在相同的CPU上执行的安全相关单元程序所使用的RAM或控制寄存器的，并且将系统转换至安全状态。

背景技术

例如IEC 61508系列等与功能安全有关的国际标准，要求系统设计成使得执行安全功能的安全相关单元不受执行正常功能的非安全相关单元的故障或设计错误的影响。

IEC 61508-3:2010中规定，当软件执行具有不同安全级别的安全功能时，必须保证在时间和空间上均具备独立性，或是对独立性的侵犯受到控制。该标准的附页给出了在同一台计算机上的软件要素之间实现互不干扰的方法的一些例子。正因为如此，在具有安全相关单元的控制装置中，通常将更高的特权级别分配给安全相关软件，使得只有安全相关软件能访问和写入存储安全相关变量的RAM或安全相关寄存器，并且存储器管理单元或存储器保护单元对每个特权级别指定允许写访问的空间。同时，近年来大多数安装使用的CPU没有存储器管理单元或存储器保护单元。因此，不易使用特权模式的保护方法。

JP 2013-148999 A(“专利文献1”)公开了一种方法，即使对于使用不具有系统保护的特权模式的CPU的控制装置，该方法也能提供防止非安全相关单元对外部集成电路中的安全相关单元寄存器的写访问功能。

此外，JP 2000-76135 A(“专利文献2”)公开了一种方法，在不具有特权模式的CPU中，其通过在解码存储器访问指令时，添加用于判断程序计数器和访问目标存储器地址的小尺寸的硬件，防止执行非预期的存储器访问指令。

然而，专利文献2的保护方法不能用在不具有在CPU指令解码时同时判断程序计数器和访问目标存储器地址的硬件的CPU中。

另一方面，例如，对于CPU的内部寄存器，需要防止来自非安全相关单元的以位为单位的写访问。然而，专利文献2保护方法采用以地址为单位指定访问区域的特权模式，专利文献1的保护方法采用将安全相关单元寄存器和非安全相关单元寄存器通过外部集成电路分开进而保护安全相关单元寄存器，它们都不行执行以位为单位的保护。正因为如此，当例如CPU的I/O端子同时存在安全相关I/O端子和非安全相关I/O端子时，必须采用特定的措施，例如，设计CPU外围电路使得可以在不同的寄存器中独立地设置端子，或者使用安全相关固件执行非安全相关1/O端子的输出过程。在现有技术中，存在对硬件和固件的设计限制。

本发明的优点在于提供一种基于功能安全标准设计的具有安全相关单元的控制装置，该控制装置具有非安全相关单元写入检测功能，具备这样的功能：即使使用不具有存储器保护的硬件的CPU，当存在由安全相关单元中的CPU执行的非安全相关单元程序所对在相同的CPU上执行的安全相关单元程序所使用的RAM或控制寄存器、或该RAM或控制寄存器中的任意位的意外写入时，将系统转换至安全状态。

发明内容

在功能安全标准中，当检测到系统异常时系统能够转换至安全状态就足够了。因此，不需要防止由于未经授权的访问对存储器或寄存器的改变，并且提供对未经授权的访问的检测并将系统转换至安全状态的功能就足够了。另一方面，一些安装使用的CPU具有监控地址总线状态的访问监控单元，该访问监控单元为对任意地址的访问至少判断读/写的地址范围和类型是否与预设值相匹配，并向CPU请求中断处理。例如，为了在不使用在线仿真器的情况下进行程序调试，存在具有访问监控单元的市场上能获得的的安装使用CPU。当使用具有访问监控单元的CPU时，对安全相关单元程序使用的RAM或控制寄存器的写访问发生中断处理。存储安全相关单元程序的ROM区域的地址范围和存储非安全相关单元程序的ROM区域的地址范围是分开的。中断过程使用保存在堆栈区的程序计数器判断写访问是来自安全相关单元程序还是非安全相关单元。对于非安全相关单元的写访问，中断处理比较备份数据来判断安全相关单元使用的位是否存在数据更改。备份数据是在安全相关单元的写访问期间或初始化期间设定的。