品牌展行业资讯更多

京东1号店专场 | 第二十一场PLF线下采供对接会，供应商招募啦！

2024-03-28 12:07

采购需求 | 啤酒、棉花糖干、凤梨酥、抹布等（3.18-24）

2024-03-28 12:07

展商推介 | 展位号6C01——浅度：15年专注无缝针织内衣研发

2024-03-28 11:45

展商名录 | CWIEME新势力火热集结中首批阵容提前揭晓！

2024-03-28 11:35

一年一次的夏季限定大展，超多供应商太快乐了！| 免费申领￥199门票进行时

2024-03-28 08:33

展商风采 | 东光昌腾：融合国内外机械科研技术，打造传统碰线机与现代科技的完美结合

2024-03-28 07:49

不可错过的展会看点——全欧洲瞩目的水墨数码混合型印刷机生产企业重磅亮相WEPACK2024

2024-03-28 07:49

AUTOSAR 内存分区和MPU关系讲解

来源：世展网分类：品牌展行业资讯 2024-03-18 17:04 阅读：7627

关注公众号，点击公众号主页右上角“ ··· ”，设置星标，实时关注智能汽车电子与软件最新资讯MPU的功能MPU功能简述MPU保护与当前执行的代码“不相关“的所有数据。“不相关”是相关内存地址的权限受限制，或者是程序访问内存地址的范围于其无关，阻止关键数据被破坏，使嵌入式系统更加健壮与安全。 MPU作用主要有两个方面:为两个保护，一个检测。1）MPU的保护作用指访问区域的保护和读写区域的保护。① 访问区域的保护。可以将内存区域划为特权区域和普通区域，特权区域只有特权用户才能访问，普通用户被禁止访问，以此来保护特定的数据。常见的应用场景：1> 对带系统的来说，可以设置数据，以防止用户应用程序破坏操作系统使用过程中的数据。2> 隔离任务,以防止一个任务访问其他任务的数据。3> 将SRAM或者RAM空间定义为不可执行，防止代码注入。② 读写区域的保护。设置指定的区域为只读，可以有效的防止比较关键的数据被错误修改。2）MPU的检测功能指可以检测堆和栈的溢出情况及数组有没有越界。功能安全中对内存分区MPU的相关描述汽车ECU软件是高度模块化的嵌入式软件，其功能实现是可以为非功能安全，和功能安全的SWC组合，它们分别拥有不同的ASIL安全等级。

根据ISO26262，如果嵌入式软件包含不同ASIL等级的SWC，要么整个软件工程都需要基于最高安全等级的要求进行开发，需要保证拥有更高安全等级的SWC的操作不会受到其他SWC的干扰，也即需要做到FFI(Freedom from interference)的设计。基于更低安全等级要求开发的SWC，可能会出现错误地访问到更高安全等级SWC的内存区域，产生干扰。为此，SWC需要运行在不同的内存区域，或者不同的内存分区，来防止类似的内存访问违例。

ISO26262中，以下内存相关的故障影响被视为SWC之间产生干扰的原因：

内容损坏
读写区域属于另一个SWC
数据不一致
栈溢出或栈下溢

要满足上述定义，是MPU内存保护的目标，也可以通过限制对于内存以及内存对应的硬件的访问。这里的内存分区意味着:各OS Application运行在相互保护（不干涉）的内存区域，在某一个分区上运行的代码，无法修改另一个分区的内存。内存分区也可以保护只读内存段（例如代码执行）以及内存对应的硬件。内存分区和用户/特权模式可以保证SWC之前互不干扰——即使某一个SWC出现了内存相关的故障，也不会对其他软件模块有影响。如果一个SWC运行在用户模式，那么它对CPU资源/指令的访问也是受限制的。MPU的微控制器有专用的硬件即内存保护单元（MPU），来支持内存分区。若想深入理解上述的MPU描述，得先来看下，内存分区和MPU的基础知识。计算机程序执行的基础简介内存计算机的主要作用是对输入数据进行处理和运算后输出，CPU处理器主要完成数据的处理运算，但输入输出数据包括处理过程中的临时数据需要有一个空间去存放，这个临时存放数据供处理器和外设使用的地方就是内存。如上图，为了提高效率把存放程序（也即控制指令）和数据（也即操作数）的空间分开，同时把访问指令与访问数据的总线分开，使取指令和执行指令能够重叠（处理器的流水线）。内存寻址处理器与内存之间有地址总线用于寻址，有数据总线用于传输数据，当然也有相应的控制线来读写操作。

存储器地址的映射简介

存储器本身不具有地址信息，它的地址是由芯片厂商或用户分配，如图所示，给存储器分配地址的过程称为存储器映射。如果内核整体可以寻址的 0 到 2^32 -1 共计 4GB 的寻址空间。功能部件RAM, Flash,外设等共同排列在一个4GB的地址空间内。地址分配程序C语言通过这些地址可以访问 RAM、Flash、外设等，进行读写操作。 C编译的程序占用的内存分为以下几个部分：栈区（stack）— 由编译器自动分配释放，存放函数的参数值，局部变量的值等。其操作方式类似于数据结构中的栈。堆区（heap） — 一般由程序员分配释放，若程序员不释放，程序结束时可能由OS回收。注意它与数据结构中的堆是两回事，分配方式倒是类似于链表。全局区（静态区）（static）— 全局变量和静态变量的存储是放在一块的，初始化的全局变量和静态变量在一块区域，未初始化的全局变量和未初始化的静态变量在相邻的另一块区域。文字常量区（.const）—常量字符串就是放在这里的。程序代码区(.text)—存放函数体的二进制代码。栈：只要栈的剩余空间大于所申请空间，系统将为程序提供内存，否则将报异常提示栈溢出。MPU也支持堆栈溢出检测，简单如下图。代码例子

int a = 0; //全局初始化区int a = 0; //全局初始化区char *p1; //全局未初始化区main() {int b; //栈char s[] = "abc"; //栈char *p2; //栈char *p3 = "123456"; //123456\0在常量区，p3在栈上。static int c = 0; //全局（静态）初始化区    p1 = (char *)malloc(10);    p2 = (char *)malloc(20);//分配得来得10和20字节的区域就在堆区。strcpy(p1, "123456"); //123456\0放在常量区，编译器可能会将它与p3所指向的"123456"优化成一个地方。}

MPU内存保护单元Memory Protection Unit上文描述的内存区，堆栈区，数据区，代码区都可以被MPU保护，安全相关的微处理器通常都在硬件级别上支持内存分区保护，MPU主要是通过内存映射的地址范围限制，和监控非受信区域的内存访问来实现的。

MPU可以保护的区域为内存映射区memory map，可以设置不同存储区域的存储器访问特性（如只支持特权访问或全访问）和存储器属性（如可缓存、可缓冲、可共享），对存储器（主要是内存和外设）提供保护，保护可执行程序的（data、code和stack）区域。MPU 的Region区域是可编程保护区域(需要控制器硬件支持)，如下图

MPU的配置是通过设置多个MPU寄存器，定义多个MPU region，每个MPU region的可配置选项包括: 被保护的起始地址，大小size,访问权限，所属硬件MPU分类，Region Owner 以及有效ID等。MPU在执行其功能时，也是以“region区域”为单位的。通过上述的MPU配置，各个软件模块将具备对不同memory区域的不同访问权限。如图，一个region上述配置的一段连续的地址，它们的位置和范围都要满足一些限制。MPU是可以管理所有的存储空间(如图 4G)，可以划分不同的Region内存区域，并为每个Region设置访问权限与规则，不同的Region允许相互重叠，重叠区域受多重访问规则的限制。Link命令对于内存的设置特权模式与用户模式是内核的执行模式。当代码运行在特权模式下，代码拥有所有的访问许可；而代码运行在用户模式，则访问权限受限制。也是MPU中所定义的内存访问规则。AUTOSAR中的定义内存分区的定义

如上图，一般来说，

BSW模块运行在授信模式/监控者模式内存分区当中。
部分SWC分组并放置到非授信/用户模式内存分区当中。
个别SWC也运行在授信/监控者模式内存分区当中。

项目中可以有多个非授信/用户分区，每个分区都可以包含一个或多个SWC。上图中，分区是以应用软件OS-Application为对象定义的，OS-Application和内存分区（Partition）之间，是一对一的关系。如何理解OS-Application？下文简述如下图中，应用程序内的 AUTOSAR SWC

在AUTOSAR架构中，应用程序位于RTE之上的，基于应用功能逻辑定义，内部包含一组存在信息交换的软件组件（SWC）。软件组件SWC是实现一系列的原子功能（最小单元不可拆分），SWC包含一系列的功能实现和变量定义，这些功能实现和变量定义对于外部是不可见的，仅能通过公布的RTE接口使用。SWC以周期性执行或者以外部触发的runnable中执行。从分配的角度来看，一个SWC可以由多个Runnable构成，一个OS-Task可以触发多个Runnable（同一个SWC内的Runnable可以在不同的OS-Task上执行），一个OS-Application可以管理多个OS-Task。AUTOSAR OS-ApplicationAUTOSAR的OS-Application是操作系统对象的集合体，其中包括任务(Tasks)，中断服务程序 (ISRs)，调度表 (Schedule Tables)，计数器 (Counters)和警报 (Alarms)，这些对象构成一个内聚的功能单元。OS-Application可以分为2类：受信任 (Trusted)的OS-Application可以不受那些运行时的监控 (Monitoring)或者保护 (Protection)特性的限制执行。这类应用可以不受限的访问内存和操作系统API。受信任的应用对于执行时间上也不受限制，同时也可以在任何支持的处理器上以特权模式执行。不受信任 (Non-trusted)的OS-Application不可以在运行时监控及保护机制关闭的时候执行。这类应用在访问内存、操作系统API时都有限制，同时也不允许以特权模式执行。AUTOSAT Memory MappingAUTOSAR有memory mapping的特性可支持上述内存分区MemoryPartitioning，从而提供MPU需要的Non-trusted 和Trusted的内存分配区域设置。详细见AUTOSAR_SWS_MPU的限制规则内存分区Memory Partitioning的限制

在同一个OS-Application内的对象相互访问，提供了不受限的通信支持。在一个OS-Application内的各个对象可以互相访问，可以分属于不同的SWC。MPU工作的过程

操作系统要事先根据功能，和软件架构，定义软件分区，进行MPU region配置,任务运行时，操作系统根据MPU的配置，检测和阻止不正确的内存访问，若出现了在非受信区域的内存访问或者执行了不合法的CPU指令，这些访问首先会被阻止，然后处理器硬件会产生一个异常 (Exception)，记录故障码DTC。操作系统和RTE会处理这些异常:执行内存分区的关闭 (Shutdown)，或重启分区内的所有SWC的动作。总结语AUTOSAR中提供的内存分区机制，通过SWC,RTE,Mem映射实现，限制访问内存，支持内存保护。而内存分区的定义(trust/un trust)和限制规则由控制器的系统设计决定。参考文章：R_EXP_FunctionalSafetyMeasures.pdf2.AUTOSAR_SWS_

来源: AutomotiveSoftwareEngineer

-END-

关注公众号，点击公众号主页右上角“ ··· ”，设置星标，实时关注智能汽车电子与软件最新资讯

会务组联系方式

展会咨询13248139830