autosar MPU实现内存分区的底层原理

已于 2023-12-21 13:06:12 修改
阅读量750 收藏 17
点赞数 9
文章标签: 单片机 嵌入式硬件
于 2023-12-21 11:21:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jordan20052009/article/details/135119488
版权

        MPU(memmory protection uint)内存保护单元。不同mcu的mpu单元的实现和配置大同小异。mpu 一般包含多组region 配置寄存器,每组region 寄存器,可以配置起始地址,结束地址以及访问权限。芯片的用户模式有supervisor 和 user两种模式,以它们为基础,加上读、写、执行等操作,可以组成UR UW UX SR SW SX等访问权限(U user,S supervisor,R read,W write,X excute)。假设region0 定义起始地址为addr0 结束地址为addr1,访问权限为UR SR SW 。在mpu使能之后,如果某时mcu运行在user模式下,可以读取地址在addr0 到 addr1 之间region0 上的数据,但是不可以写入,也不能执行在region0 对应的代码;如果某时运行supervisor模式下,则可以读取、写入region0上的数据,但不可以执行该区域上面的代码。一旦region0 在user 模式下被写入,被执行或在supervisor 模式被执行等情况发生,mpu能够检出程序的操作超出了它当前模式对应的权限,从而触发mpu的异常。

         那么在autosar 中,内存分区是如何通过芯片mpu实现的呢?在autosar 中,内存的分区是根据application 来划分的,一般情况下,有几个application 就有几个内存分区。

        首先,我们以最简单的两个application 为例,如下所示,该程序分为成了trusted 和 untrusted 两个application。trusted 程序在supervisor 模式下执行,该区域权限是SR SX,untrusted 程序在user 模式下执行,对应的访问权限就是UR UX。我们需要将这两个application 对应的首末地址和访问权限配置到MPU的两组region 寄存器中,然后使能MPU。就是可以实现两个applicaiton rom空间的相互隔离。比如在trusted application 程序执行时,如果非法越界访问了untrusted 的程序,就会引起MPU异常,反之亦然。

Application trustedSR SX
Application untrustedUR UX

        然而,如果我们autosar 程序如果applicaiton 数量大于两个呢?如下所示,四个applicaiton 分别是trusted ,和untrusted application 1~3。如果仅仅靠user mode 和 supervisor mode无法将它们隔离开来。

Application trusted
Application 1
Application 2
Application 3

        这里我们就需要动态的MPU配置。什么意思呢,就是我们的MPU不是一成不变的,对于不同的application,会有不同的MPU的配置参数,同一个region,在不同的application下,可能会有不同的访问权限。OS会在OS Application切换时对MPU相关寄存器进行重新初始化,并设置为即将切换到的OS Application权限。

Application mpu configMPU config 1MPU config2MPU config3
Application trustedSR SX SR SXSR SX
Application 1UR UX  
Application 2 UR UX 
Application 3  UR UX

        以上表为例,我们MPU 分出4组region 分别记录四个application 对应的代码的范围和访问权限。根据需要,表中列出了,三种MPU的配置参数,分别时MPU config1~3。tusted application 一般运行在supervisor mode下,可以使用上表中MPU 任意一个MPU 配置。对于untrusted application 1~3  则分别对应着MPU config 1~3,即这三个application 对应的MPU不一样,需要在application 切换时,动态调整,重新配置。例如MPU config1 表示,application 1 对application 1 这个范围内的程序,有读和执行的权限,而对于application 2 和 3 范围内的程序则没有这方面的权限。当applicaiton 1切换到application2时,会提前将application2 对应的MPU 配置参数MPU config2 写入到mpu 相关的配置寄存器。切换到application2后,application2 对应分region 变成了UR UX,原来的applicaiton1 对应的region 的权限少了UR 和 UX,因此当前程序只能访问application2 对应区域,访问其他application 对应的区域就会导致MPU产生异常。

jordan20052009
关注
  • 9
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
AutoSAR配置与实践(深入篇)5.4 OS原理(下 )- 内存保护(MPU
nihaoljq2010的博客
11-01 1018
ECU可能由内部模块、第三方模块等各模块集成的。需求对每个模块所定义的安全等级可能有差异,需要考虑不同安全等级的模块和代码间减少相互干扰,防止程序错误传播。可以理解为包含Task、Alarm、Counter、Schedule table、ISRs、Event等基本对象的容器,用于隔离Task/Alarm等,进行内存保护。
Autosar深入-MPU
诊断协议那些事儿's blog
10-04 795
内存保护单元(MPU)是提供内存保护的计算机硬件单元。它通常作为CPU的一部分实现MPU允许特权软件定义内存区域,并为每个区域分配内存访问权限和内存属性。根据处理器的实现,支持的内存区域的数量会有所不同。MPU监控事务,包括指令提取和来自处理器的数据访问,当检测到访问违规时,可能会触发故障异常。内存保护的主要目的是防止进程访问未分配给它的内存。这可以防止进程中的错误或恶意软件影响其他进程或操作系统本身。MPU属于ARM内核自带的一个外设,是跟核绑定在一起的。
【OS】AUTOSAR架构下MCAL Modules软件分区问题分析
qq_36056498的博客
04-20 257
AUTOSAR架构下MCAL Modules软件分区问题分析
AUTOSAR MPU
weixin_37591578的博客
08-07 397
芯片厂商会根据自己的设计将内部Flash,内部SRAM,TCM,外设寄存器,还有外部存储器等等的访问地址映射分布在这4G中,这称为Memory Map,,如果CPU在访问内存时不符合MPU定义的访问权限的话,那么访问就会被驳回,并出发一次错误异常,即Hardfault异常。众所周知,大部分M核目前是32位寻址,那就代表核能访问0-2^32-1地址范围,总共。1, MPU属于ARM内核自带的一个外设,是跟核绑定在一起的。3,MPU相关的几个概念。③防止恶意代码注入攻击。2,MPU原理和作用。
Autosar模块介绍:AutosarOS_4(资源保护)
u012406840的博客
11-14 4754
Autosar OS资源保护相关内容: 1)、内存保护(比如栈、数据、代码等) 2)、时间保护实现方式
MPU-存储保护单元概述
jayal10的专栏
07-30 4042
在Cortex‐M3处理器中可以选配一个存储器保护单元(MPU),它可以实施对存储器(主要是内存和外设寄存器)的保护,以使软件更加健壮和可靠。在使用前,必须根据需要对其编程。如果没有启用MPU,则等同于系统中没有配MPUMPU有如下的能力可以提高系统的可靠性:           阻止用户应用程序破坏操作系统使用的数据           阻止一个任务访问其它任务的数据区,从而把任务隔开。 
AUTOSAR内存分区机制解析 硬件工程师电路分析物联网模电单片机嵌入式技术.doc
09-22
在物联网、硬件工程师和新能源汽车领域,AUTOSARAUTomotive Open System ARchitecture)内存分区机制扮演着至关重要的角色,确保了功能安全和系统稳定性。AUTOSAR是一种标准化的软件架构,专为复杂的电子控制单元...
解析AUTOSAR CAN诊断实现
01-19
 AUTOSAR各层软件的通信通过三类接口实现,分别是标准接口、AUTOSAR接口和标准AUTOSAR接口。其中,标准接口用于BSW各个模块之间的通信,已用C语言定义,如void Adc_Init(const Adc_ConfigType* ConfigPtr)。AUTOSAR...
AUTOSAR spi驱动实现详解
09-16
autosar的spi的驱动实现思路,autosar标准详解,以及测试方法。
基于模型开发(MBD)中AUTOSAR架构实现
01-27
AUTOSAR –汽车开放系统架构–已联合100多家公司,其中包含汽车制造商、供应商和工具供应商,为电子控制单元开发标准架构。2006年底,AUTOSAR 2.1版本发行,现在OEM厂商和供应商已经开始开发与AUTOSAR兼容的功能和...
基于AP AUTOSAR实现功能安全岛
usstmiracle的博客
10-31 325
值得各位同行注意的是,要实现此架构,safety应用需要整个软件栈支持,从底层OS,标准库,POSIX库,BSP,到AP协议栈。SM一般来讲也是达到ASIL等级的。和LInux这样的宏内核架构不同的是,微内核架构RTOS的内核只有最基本的系统服务,比如IPC,调度,内存管理。值得注意的是,每个模块完全包含了所有依赖的库,就像每个模块运行在独立的容器里。如果Safety应用要满足ASIL等级,那么其下底下AP AUTOSAR协议栈,RTOS,Hypervisor,和重要的库和系统服务也必须满足ASIL等级。
AUTOSAR ASILD级别安全软件模块的安全机制介绍
usstmiracle的博客
09-01 746
这种方法通过使用具有各种安全级别的软件并为这些软件组件提供不受干扰的软件,使ASIL级别的安全模块可以与根据QM标准开发的软件应用程序和AUTOSAR基础软件组件集成在一起,避免了在不必要的情况下将软件升级到更高的ASIL级别所需的开发工作。对于客户而言,加入新的QM功能软件时,老的ASIL级别的软件功能无需进行大量的重复的验证工作,可以直接继承在一起, 同时保持最高级别的安全要求。以下描述了一种解决方案,该方案允许安全相关和非安全相关的并存一个ECU上的软件模块,例如安全相关的BMS绝缘检测。
AUTOSAR OS -- Stack Monitoring Facilities/OS-Application
sinat_28346733的博客
06-03 588
它们限制了对内存的访问,限制了对操作系统模块API的访问,并在运行时强制执行计时行为。正在运行的操作系统应用程序被定义为当前正在运行的任务或ISR所属的操作系统。在钩子例程的情况下,引起钩子例程调用的Task或ISR定义了正在运行的OS应用程序。通常,仅仅监控系统的整个堆栈空间是不够的,因为执行的任务/ISR不一定使用了超过所需的堆栈空间——它可能是一个优先级较低的预先占用对象。受信任的操作系统应用程序可以向其他(甚至是不受信任的)操作系统应用提供服务(“受信任的服务”)。假设操作系统模块本身是可信的。
AUTOSAR架构下多核通信
king110108的专栏
11-13 1559
本文详细讲述了Autosar多核的核间通信和内存共享数据保护
功能安全专题之AUTOSAR内存分区机制
认真你就输了
12-04 9821
本文来自于AUTOSAR技术资料。 前言 功能安全(Functional Safety)是一项系统特性,由于基于功能安全的设计会影响到系统设计,所以从系统开发初始阶段就要进行考虑。由于软件的复杂度会影响 到功能安全的设计,所以在AUTOSAR规范中,包含了部分与功能安全相关的需求,这些新技术和概念能够帮助降低功能安全相关组件的复杂度。不过需要强调的是,AUTOSAR虽然通过提供安全措施和机制来支持...
AutoSar Classic Platform Os功能安全机制解析
一张方块3的博客
12-28 2338
谈谈AutoSar Classic Platform Os中的功能安全机制
【功能安全】:MPU
08-28 334
功能安全:MPU
[GICv3] 3. 物理中断处理(Physical Interrupt Handling)
最新发布
以梦为马不负韶华
07-10 528
当Group 1物理中断是最高优先级的待处理中断并且具有足够的优先级时,就会发出信号。
autosar mpu原理
10-11
AUTOSAR是一套用于汽车电子系统开发的标准架构。其中的MPU(Memory Protection Unit,内存保护单元)模块是用于对汽车电子控制单元(ECU)中的内存进行保护的重要组成部分。 MPU的主要原理可以概括为以下几点: 1. 内存划分:MPU通过将内存划分为不同的区域来实现保护。每个区域可以配置为只读、读写或禁止访问。这样可以确保不同的软件模块只能访问其允许的内存区域,而不会越界访问其他模块的内存。 2. 访问权限:MPU允许根据需要为每个内存区域分配不同的访问权限。例如,可以为某些内存区域配置只读权限,以防止其中的数据被意外修改。这有助于提高软件的可靠性和安全性。 3. 中断处理:MPU还可以配置用于中断处理的内存区域。这些区域可以配置为只读或读写,以确保中断处理程序只能访问其允许的数据,从而提高系统的可靠性。 4. 错误处理:MPU还具有内存错误检测和处理的功能。如果发生内存错误,MPU可以检测到并采取相应的行动,例如触发中断或执行容错操作。这有助于维护系统的稳定性和可靠性。 总之,AUTOSAR MPU的原理在于通过内存划分、访问权限控制、中断处理和错误处理等机制,保护汽车电子系统中的内存,提高系统的可靠性、安全性和容错性。这样可以确保不同的软件模块之间的互相隔离和保护,从而提高整个系统的性能和可信度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值