技術領域

本發明涉及一種用于在同一個微控制器系統上管理顯示出高度的安全性和完整性的應用以及不顯示任何特定關鍵性的應用的系統。

因此，本發明涉及在關鍵應用和非關鍵應用的在同一個控制器上的同時操作的框架內的、從安全性和完整性的視點看關鍵的系統的管理，該關鍵應用被稱為“安全”，并且因此顯示出高的和被保證水平的完整性和安全性，該非關鍵應用被稱為“不安全”，并且顯示出未被保證水平的完整性和安全性。

背景技術

在本發明中涉及的系統是顯示出具有幾個處理器或微處理器的架構的控制器，并且根據本發明的系統處理它們在對于與這些系統的被識別的認證的一般棘手問題相關聯的安全性的棘手問題敏感的環境中的使用，以便保證安全性和完整性。SIL(安全完整水平)標準用于例如評估可編程電子和電氣系統的安全功能的可靠性，并且給出這樣的認證。存在在“歐洲功能安全標準”中定義的、范圍從1至4的、從最小安全至最大安全的各種SIL“整合的安全水平”。

當前，為了考慮處理被稱為“安全”的應用(即，涉及高和被保證水平的完整性和安全性)和“不安全”應用(即，不涉及高和被保證水平的完整性和安全性)的共存的棘手問題，已知技術實質上涉及虛擬化和管理程序的概念。

本領域內的技術人員在他的一般知識中具有這些技術的主要特性。簡而言之，可以回想起，虛擬化技術由安全軟件機制構成，其中，顯示出很高水平的可靠性的、被例如管理程序占用的管理層包括用于分離在同一個處理器上運行的獨立軟件平臺的部件。為了如此進行，所述管理程序基于每一個處理器一個存儲器管理單元來管理一個或多個存儲器管理單元，其通常被稱為MMU，使得有可能在各個應用之間劃分共享資源的使用，特別是存儲器空間的使用。

這樣的管理程序可以顯示獨立地管理幾個處理器的能力；例如，所述管理程序可以具有重啟與操作系統相關聯的處理器而不重啟其他處理器的能力。

通過用于實現以上所述的虛擬化技術的技術的說明，有可能參見文件EP1067461A1。而且，文件US2008114906A1和US7389390B2描述了具有幾個處理器的系統，該幾個處理器配備了至少一個交互接口，用于與至少一個外圍裝置交換。

然而，雖然它處理管理在同一個微控制器系統上的“安全”和“不安全”應用的共存的一般棘手問題，但是管理程序的實現方式顯示特定的缺點。首先，管理程序的使用使得系統的性能變差，因為該工具消耗資源并且導致系統的變慢。這也可能對于與特定應用相關聯的“實時”約束的方面有害，不論該應用是“安全”或“不安全”。而且，管理程序必須本身被認證，例如SIL，就像執行“安全”應用的操作系統必須那樣。而且，管理主外圍裝置的軟件必須被劃分以在管理程序的引領下執行關鍵部分，并且，以標準方式執行在操作系統中的非關鍵部分。因此，必須將驅動器的部分整合到管理程序內，并且因此同樣形成認證的主題。

而且，今天，該類型的文件在具有或沒有認證的情況下顯示出很高的獲取成本。

因此，由本發明針對的技術問題可以被認為是對于系統的搜索，使得有可能以降低的成本，因此通過規避涉及虛擬化和認證的管理程序的已知的但昂貴的技術來管理在同一個微控制器系統上的“安全”和“不安全”應用的共存。本發明使得有可能以誘導的方式來限制要求認證的代碼的數量和復雜度。在其原理上，它特別通過用于存儲器的安全隔離的、優選地認證的單元的插入來以主外圍裝置的管理作為目標，使得有可能保留在不需要形成認證的主題的代碼的部分中管理這些主外圍裝置的軟件，并且因此使用標準驅動器。

發明內容

為了這個目的，本發明的主題是一種電子微控制器系統，包括：

■至少兩個處理器，其中，被稱為安全處理器的一個處理器專用于涉及被保證水平的安全性和完整性的應用；

■至少一個交換接口，用于與至少一個外圍裝置的交換，所述外圍裝置是所述電子微控制器系統的用戶主外圍裝置；

■對于共享存儲器空間的訪問的部件；

■互連矩陣，用于互連所述交換接口、所述處理器和所述對于共享存儲器空間的訪問的部件。

根據本發明，所述電子微控制器系統而且包括用于管理涉及被保證水平的安全性和完整性的應用以及顯示出未被保證的安全性和完整性的應用的部件，并且所述交換接口與位于所述用戶主外圍裝置和所述互連矩陣之間的用于存儲器的安全隔離的單元合作。而且，根據本發明的所述微控制器系統包括幾個用戶主外圍裝置，每一個用戶主外圍裝置具有用于所述存儲器的安全隔離的單元，用于所述存儲器的安全隔離的每一個單元被所述安全處理器管理。