01

MPU機(jī)制與實(shí)現(xiàn)詳解

1、freedom from interference

此概念來自ISO26262-1：absence of cascading failures (1.13) between two or more elements (1.32) that could lead to the violation of a safety requirement

多個(gè)元素之間沒有可能導(dǎo)致違反安全目標(biāo)的級(jí)聯(lián)故障，稱之為免于干涉。

在左側(cè)的設(shè)計(jì)中，ASIL A的軟件模塊不可能影響ASIL C的模塊，因此ASIL C模塊對(duì)ASIL A模塊免于干涉。

在右側(cè)的設(shè)計(jì)中，存在從ASIL A到ASIL C系統(tǒng)的數(shù)據(jù)/控制流。結(jié)果，至少在沒有任何進(jìn)一步分析的情況下，ASIL C系統(tǒng)無法實(shí)現(xiàn)對(duì)于ASIL A軟件模塊的免于干涉。ASIL C系統(tǒng)可能會(huì)受到ASIL A系統(tǒng)的影響。在這種情況下，需要采取進(jìn)一步的設(shè)計(jì)或驗(yàn)證措施，以免受到干擾。例如，ASIL C系統(tǒng)可以首先檢查ASIL A系統(tǒng)數(shù)據(jù)的正確性?？紤]到這一措施，ASIL C組件將實(shí)現(xiàn)免于干涉。

2、Separation in Memory

Vector 的MICROSAR OS將TASK ISR IOC等集合成OS Application,以便將不同的應(yīng)用劃分到不同的內(nèi)存區(qū)間。針對(duì)軟件進(jìn)行的模塊化和分區(qū)可以提高軟件系統(tǒng)的康故障魯棒性。

同一安全等級(jí)的軟件或?qū)崿F(xiàn)同一個(gè)安全目標(biāo)的軟件劃分到同一個(gè)模塊或者OS Application。當(dāng)故障發(fā)生時(shí)，可以很好的防止出現(xiàn)錯(cuò)誤級(jí)聯(lián)，從而實(shí)現(xiàn)freedom form interference.

SC3 SafeContex OS中必須具備整個(gè)軟件中最高的 安全等級(jí)，例如軟件中最高等級(jí)的模塊位ASIL C，那么OS必須要具備ASIL C等級(jí)，才能保證軟件模塊的安全等級(jí)。

SC3 SafeContex OS會(huì)運(yùn)行在Supervisor Mode,保證運(yùn)行在系統(tǒng)的最高權(quán)限。通過Memory Partition,將各個(gè)模塊在內(nèi)存訪問上的操作進(jìn)行隔離。如果需要附加模塊之間的訪問安全機(jī)制，可以有效的達(dá)到各個(gè)不同安全等級(jí)模塊之間的freedom from interference.

3、Partitioning Options

Davinci 針對(duì)Memory Partitionning 有兩種解決方案：

1、 BSW運(yùn)行在Non-Trusted,或者QM-partition，配合Safe WDG的時(shí)間監(jiān)控（deadline）以及OS Scalability Class 3/4。這種情況適合與ECU Software中只有一小部分的軟件是功能安全目標(biāo)實(shí)現(xiàn)模塊，另外較大一部分是QM。與底層的BSW交互較多。這種交互不需要跨越partition，SafeWDG作為有安全等級(jí)的模塊出現(xiàn)，且由于其功能是監(jiān)控軟件運(yùn)行，一般作為軟件中最高安全等級(jí)。

2、BSW所有模塊選擇safety 等級(jí)模塊，與ECU中safety等級(jí)的其他功能模塊安全等級(jí)一致?？梢栽O(shè)置為最高安全等級(jí)或者QM的其他安全等級(jí)，最好與那些BSW交互較多的軟件模塊設(shè)置成一致的安全等級(jí)。這樣可以有效降低跨越partition所帶來的OS切換消耗時(shí)間。這種方案適合與有一大部分軟件模塊都是safe-related模塊的ECU。

除此之外，MCAL和外設(shè)模塊與BSW模塊之間的交互也需要評(píng)估，與BSW有交互的模塊需要?jiǎng)澐值紹SW同級(jí)的模塊，并且需要具備該安全等級(jí)。

4、Memory Protection

Davinci Safe提供了針對(duì)software partition的memory protection，是實(shí)現(xiàn)同一個(gè)ECU中具備不同安全等級(jí)的軟件模塊時(shí)必須要實(shí)現(xiàn)的freedom form interference 方法。

02

Partition元素-MPU

1、MPU介紹

Memory Protection 的實(shí)現(xiàn)需要配合硬件MPU。通過MPU配置，各個(gè)軟件模塊將具備對(duì)不同memory區(qū)域的不同訪問權(quán)限，主要包括RAM ROM，以及外設(shè)寄存器的訪問權(quán)限。例如，配置低安全等級(jí)軟件模塊無法對(duì)高安全等級(jí)軟件模塊的flash RAM段進(jìn)行訪問，(需要配合編譯器，將軟件模塊編譯到不同到區(qū)域)即可有效防止低安全等級(jí)的軟件模塊在故障產(chǎn)生時(shí)對(duì)高安全等級(jí)模塊發(fā)生級(jí)聯(lián)醒錯(cuò)誤。

MPU的配置是通過設(shè)置多個(gè)MPU region來實(shí)現(xiàn)的，每個(gè)MPU region的可配置選項(xiàng)包括: 被保護(hù)的起始地址，訪問權(quán)限，所屬硬件MPU分類，Region Owner 以及有效ID等。

一般來講，MPU分為兩類，System Memory Protection Uint 和 Core Memory Protection Uint。SMPU主要存在與多核系統(tǒng)中，用于對(duì)各個(gè)BUS設(shè)定內(nèi)存訪問權(quán)限。一般來講，SPMU由OS在啟動(dòng)時(shí)設(shè)定好，在軟件運(yùn)行過程中不會(huì)被重新設(shè)置，不會(huì)在軟件中動(dòng)態(tài)的更改BUS對(duì)內(nèi)存的訪問權(quán)限。

CMPU一般負(fù)責(zé)多核的內(nèi)存保護(hù)，一般每個(gè)內(nèi)核都具備一定數(shù)量的CMPU，可以為運(yùn)行在該內(nèi)核上的OS Application TASK ISR等分別設(shè)定不同的內(nèi)存區(qū)域以及外設(shè)地址的訪問權(quán)限，從而實(shí)現(xiàn)軟件模塊的分區(qū)。

CMPU的訪問權(quán)限包括讀、寫、執(zhí)行權(quán)限，可以根據(jù)內(nèi)存區(qū)域存儲(chǔ)內(nèi)容設(shè)定，CMPU在OS的運(yùn)行過程中是可以更改權(quán)限的。當(dāng)各個(gè)OS Application的權(quán)限被設(shè)定好之后，OS會(huì)在OS Application切換時(shí)對(duì)MPU相關(guān)寄存器進(jìn)行重重新初始化，并設(shè)置位即將切換到的OS Application權(quán)限。當(dāng)出現(xiàn)訪問超過MPU權(quán)限允許范圍時(shí)，MCU exception會(huì)被出發(fā)并進(jìn)入其相應(yīng)的OS 處理函數(shù)，用戶可以根據(jù)情況 Shutdown OS或者選擇進(jìn)入安全模式，從而有效阻止了軟件訪問故障的發(fā)生。

在OS SC3/SC4中OS Application分為兩類，具備最高安全等級(jí)的OS Application設(shè)定位Tusted Application,其他不具備Trusted屬性的Application 屬于Non-Trusted Application，OS和Trusted Application 運(yùn)行在Supervisor Mode下，Non-Trusted Application則運(yùn)行在User模式下。推薦為Truesd Application 設(shè)定除Stack區(qū)域以外的所有地址方位的讀、寫、執(zhí)行權(quán)限，包括外設(shè)地址。

為Non-Trusted Application設(shè)定屬于其私有的CFlash 和RAM段的訪問權(quán)限，以及共享數(shù)據(jù)區(qū)域的讀寫權(quán)限。

用戶可以根據(jù)ECU軟件各個(gè)模塊的安全等級(jí)情況，將軟件劃分的到多個(gè)OS Application 中，依據(jù)MCU資源設(shè)定MPU，進(jìn)而實(shí)現(xiàn)不同安全等級(jí)的軟件模塊的協(xié)同工作，并把故障級(jí)聯(lián)的概率降到允許范圍內(nèi)的需求。

2、SMPU和CMPU

2.1、SMPU特性

用于核之間的安全隔離，實(shí)現(xiàn)免于干涉SMPU限制核對(duì)某些內(nèi)存空間或者M(jìn)CU上通過總線訪問的外部資源，一般只限制寫權(quán)限在OS初始化時(shí)被初始化，運(yùn)行過程不會(huì)改變。

配置步驟

2.2、CMPU特性

同一核上OS Application Task ISR之間的安全隔離

在啟動(dòng)代碼或者運(yùn)行中設(shè)置，限制權(quán)限包括讀、寫、執(zhí)行權(quán)限

配置步驟：

2.3、Static MPU Regions特性

對(duì)MPU Regions不指定具體的Owner,對(duì)所有軟件模塊都生效

系統(tǒng)啟動(dòng)時(shí)設(shè)定好，可以是SMPU 或者CMPU，運(yùn)行過程中不會(huì)改變

2.4、Dynamic MPU Regions特性

對(duì)MPU Regions 指定Owner,Owner可以是OS Application TASK ISRS

根據(jù)Owner 運(yùn)行與否，代碼運(yùn)行過程中進(jìn)行enable/disable

2.5、Optimized /Fast Core MPU Handing

利用Memory Protection Identifiers值的變化，選擇性使用MPU Regions，在不重新初始化MPU寄存器的情況下，OS切換到某線程，同時(shí)具備PID MPU Region ,實(shí)現(xiàn)Dynamic MPU切換。

3、MPU的配置

在常見的軟件設(shè)計(jì)中，由于將軟件整體開發(fā)到相同的ASIL等級(jí)會(huì)耗費(fèi)大量的資源。一般情況下只有一部分軟件會(huì)開發(fā)生ASIL等級(jí)，其他模塊開發(fā)成相對(duì)較低的安全等級(jí)，為了達(dá)到freedom from inerference，需要限制低等級(jí)模塊對(duì)高等級(jí)模塊的訪問。下面舉例說明MPU配置的常見思路。

從Safety方面，高等級(jí)的軟件模塊可以訪問其Memroy以及安全等級(jí)較低的軟件模塊Memory。

從工具方面，MPU可以被配置為各個(gè)OS Application TASK ISR 分別獨(dú)立具備訪問范圍，工具并不會(huì)因?yàn)檐浖K安全等級(jí)的高低而對(duì)OS RTE有區(qū)別配置，而只是采用模塊間的隔離策略。隔離機(jī)制不會(huì)生成在RTE中。

從系統(tǒng)角度，整體軟件至少需要一個(gè)Trusted部分（以O(shè)S Application為單位劃分），并且Trusted部分是安全等級(jí)最高的模塊，可以訪問其他模塊的Memory。

總結(jié)，使用MemMap機(jī)制，將各個(gè)OS Application所占用Code Data資源進(jìn)行良好整齊的存放基礎(chǔ)上，MICROSAR 的推薦MPU配置為:

設(shè)置軟件中等級(jí)最高的軟件模塊為Trusted Os Application，同時(shí)設(shè)置位privilege。并設(shè)置Memory Region，允許該Application訪問呢所有Memory段和外設(shè)。

其他每個(gè)安全等級(jí)模塊各設(shè)定至少一個(gè)OS Applcaiton，并設(shè)置為Non-Trusted，針對(duì)其設(shè)定允許對(duì)整個(gè)Memory的讀權(quán)限，和模塊代碼的執(zhí)行權(quán)限，以及Stack的寫權(quán)限，共享數(shù)據(jù)區(qū)域的讀或者讀寫權(quán)限。

關(guān)于Stack,不需要用戶自己設(shè)定，OS會(huì)占用一個(gè)Memory Region進(jìn)行Stack設(shè)置，因此需要留一個(gè)Memory Region給到OS。

共同使用Static MPU 和Dynamic MPU,配合OsAppMemoryProtectionIdentifier的作用，盡量減少M(fèi)PU在代碼運(yùn)行過程中的重新初始化，這樣可以降低OS contex切換的時(shí)間。

配置思路：

3.1、MPC MPU硬件特性及配置

以MPC5744 單核為例介紹，硬件資源如下：

16個(gè)SMPU,24個(gè)CMPU,12個(gè)data 6個(gè)instruction 6個(gè) shared

2個(gè)supervisor ,3種訪問權(quán)限

6個(gè)可以選擇的SMPU訪問對(duì)象，即6個(gè)master ID,分別對(duì)應(yīng)MCU總線上的外設(shè)單元

在配置工具中查看硬件資源:

針對(duì)OS Application /TASK /ISR設(shè)定Memory Region，依次設(shè)置其參數(shù)并關(guān)聯(lián)到需要生效的OS Application TASK ISR。根據(jù)需要對(duì)SMPU進(jìn)行配置，如果所有MPU都沒有使用SMPU,OS會(huì)在初始化時(shí)禁止 Gloabl SMPU Control Bit，SMPU將不會(huì)生效。同理CMPU,即使OS 設(shè)定為SC3，不設(shè)置任何MPU Region，那么MPU會(huì)被disable。

MPU配置如下圖所示，其中被標(biāo)注藍(lán)色框的選項(xiàng)是必須設(shè)置的選項(xiàng)：

MPC系列的特殊配置：

Memory Region Bus Master:設(shè)置允許訪問MPU設(shè)置地址的Master,僅針對(duì)SMPU有效

Memory Region Flag :訪問行為的屬性，可以參數(shù)硬件手冊(cè)

當(dāng)出現(xiàn)MPU錯(cuò)誤時(shí)，代碼會(huì)進(jìn)入

Os_Hal_Exception_Machine_MCSRR

Os_Hal_Exception_Data

Os_Hal_Exception_Instrcution

03

Partition實(shí)現(xiàn)元素OSApplication

3.1、OS/OsApplication權(quán)限以及訪問的權(quán)限切換

硬件MCU支持兩種訪問模式，Privileded 和Non-privileded。其中前者具有比較高的權(quán)限，有一部分寄存器需要在前者模式下才能被訪問，詳細(xì)可以參考RM手冊(cè)。OS會(huì)運(yùn)行在Privilege Mode，具有最高的訪問權(quán)限，可以訪問所有寄存器。

在采用不同的功能安全等級(jí)的軟件模塊協(xié)調(diào)工作的的系統(tǒng)軟件中，需要利用MPU單元防止低安全等級(jí)的模塊對(duì)硬件寄存器進(jìn)行訪問，同時(shí)限制除最高安全等級(jí)模塊之外的其他軟件模塊的Memory訪問。

3.1.1、 OS/OsApplication權(quán)限

OS 具備最高權(quán)限 Privilege Mode Trusted

Trusted OS Application - Privileged Mode Trusted,一般將軟件按照安全等級(jí)劃分，并分別歸屬到不同的OsApplication中，其中安全等級(jí)最高的部分設(shè)置為Trusted，屬于可信度最高的模塊。目前建議Trusted OsApplication具備其他Application Stack的所有區(qū)域訪問權(quán)限。

3.1.2 MCAL模塊Protected Registers 訪問

系統(tǒng)初始化時(shí)，進(jìn)行MPU初始化，在此之前MPU處于Disable狀態(tài)，一般在OS啟動(dòng)初始化MCAL模塊，此時(shí)可以訪問Protected Register。在OS初始化以后，如果MCAL模塊需要在Privilege Mode運(yùn)行時(shí)，基本可以分為以下幾類：

1、Vector Modules,例如CAN/LIN ETH等通訊模塊，一般CAN需要勾選CanUserPeripheralAccessApi,并根據(jù)PROTED AREA中的定義相應(yīng)的OsApplication，CAN將會(huì)調(diào)用OS接口進(jìn)行privilege權(quán)限的獲取。

2、MCAL模塊一般需要開啟User Mode，例如FlsEnableUserModeSupport,勾選以后，MCAL會(huì)采用privilege Mode進(jìn)行訪問。

3.1.3 OsShutdown的實(shí)現(xiàn)

AUTOSAR要求只有在Trusted OsApplication才可以進(jìn)行OsShutdown,否則將無法shutdown成功。可以通過Event的方式通知Trusted Task調(diào)用OsShutdown Api。但是需要設(shè)置一個(gè)高優(yōu)先級(jí)/不可搶占/拓展類的TASK,代碼示例如下：

在向FBL跳轉(zhuǎn)以及系統(tǒng)最后的Reset務(wù)必使用Mcu_PrefromReset,這樣才可以disable MPU,否則可以使用代碼disable MPU之后，在調(diào)用對(duì)應(yīng)的API進(jìn)行Reset操作。

3.2 、Trusted/Non-Trusted 配置舉例

不同等級(jí)的OsApplication之間互相調(diào)用時(shí)涉及到安全問題，需要做安全訪問的權(quán)限轉(zhuǎn)換。

1.Trusted Funtion

Trusted OS Application供給其他Application調(diào)用的函數(shù)，應(yīng)在Privilege Mode下執(zhí)行。用于Non-Trusted OsApplication調(diào)用Trusted OsApplication內(nèi)部函數(shù)，舉例如下：

2.Non-Trusted Funtion

Non-Trusted OsApplication供給其他Application調(diào)用的函數(shù)，應(yīng)在User Mode下執(zhí)行，用于其他OsApplication調(diào)用Non-Trusted OsApplication 內(nèi)部函數(shù)。配置方式與上面類似。

3.3、MemMap機(jī)制與OS數(shù)據(jù)的存放

MPU需要限制各個(gè)OsApplication Task ISR對(duì)各個(gè)地址的訪問權(quán)限，所以明確并整理好各個(gè)軟件模塊的代碼數(shù)據(jù)存放位置是關(guān)鍵。通過MemMap機(jī)制，和Link文件?？梢詫⒏鱾€(gè)模塊的代碼和數(shù)據(jù)存放到指定的區(qū)域，從而實(shí)現(xiàn)MPU保護(hù)。如下圖，MemMap的作用。

當(dāng)發(fā)生MPU錯(cuò)誤時(shí)，OS會(huì)進(jìn)入ProtectionHook,并返回E_OS_PROTECTION_MEMORY或者E_OS_PROTECTION_EXCEPTION。

04

Partition元素-RTE

RTE 作為動(dòng)態(tài)配置的虛擬總線模塊，負(fù)責(zé) OS application 之間的數(shù)據(jù)交互和訪問，在具備 Memory。

partition 的系統(tǒng)中， OS application 之間的訪問會(huì)存在跨越安全等級(jí)的情況， RET 具備一定的免于干擾的。

機(jī)制，分別針對(duì)各 OS application 產(chǎn)生代碼和變量，在后續(xù)的軟件分區(qū)過程中分別將 RET 生成的對(duì)應(yīng)各。

OS application 的 memory 內(nèi)容分別歸其所屬。由于大部分的機(jī)制由 RTE 自動(dòng)完成，需要用戶設(shè)置的主要。

有以下幾點(diǎn)：

為 OS application 分別關(guān)聯(lián) ECUC partition

生成代碼，按照 RTE 段的內(nèi)容分別歸屬到相應(yīng)的 OS application，并各自設(shè)置訪問權(quán)限的允許，

公共的 RTE code（如 RTE_START_SEC_CODE） 需要對(duì)所有的 OS application 開放訪問權(quán)限。

尤其針對(duì)跨越 OS application 的訪問，分別做好 runnable 的 task mapping，確保調(diào)用端和被調(diào)用端

分別 mapping 到對(duì)應(yīng) task。

RTE 端口盡量不要出現(xiàn)懸空狀態(tài)，或鏈接不處理數(shù)據(jù)的狀態(tài)

審核編輯：劉清