在與從事功能安全開發(fā)行業(yè)的同事以及SASETECH 社區(qū)的成員討論時，筆者經(jīng)常被問及有關芯片內存保護單元（MPU）的問題。ISO 26262的第6部分和第11部分都提及了MPU，但并未詳細描述MPU在功能安全開發(fā)中的具體要求。因此，本文旨在討論以下問題：什么是MPU？MPU解決哪些問題？功能安全開發(fā)對MPU的功能安全需求有哪些？

01.

MPU簡述

微處理器單元內的內存保護單元（Memory Protection Unit，簡稱MPU）是執(zhí)行內存訪問控制和隔離的硬件機制。其核心功能是確保系統(tǒng)中的每個程序或進程只能訪問其被分配的內存區(qū)域。這一機制有效防止了非法內存訪問，保護系統(tǒng)不受惡意軟件攻擊及數(shù)據(jù)損壞的威脅。此外，它還支持多任務環(huán)境下的上下文切換，確保了任務間的獨立性及系統(tǒng)整體的穩(wěn)定性。

幾乎所有具備功能安全等級的芯片均集成了MPU，例如英飛凌（Infineon）的AURIX系列、瑞薩（Renesas）的RH850系列以及恩智浦（NXP）的S32K系列等。

在功能安全相關產(chǎn)品開發(fā)的背景下，MPU的主要目標可概括為以下幾點：

● 代碼訪問保護：通過定義存儲器區(qū)域之間的訪問規(guī)則，確保數(shù)據(jù)安全和系統(tǒng)穩(wěn)定。

●內存或外設保護：為不同的存儲區(qū)域配置存儲器訪問權限，這包括指令/數(shù)據(jù)緩存（I/D Cache）、靜態(tài)隨機存取存儲器（SRAM）以及外設存儲。

MPU主要防御的故障模式包括：

●數(shù)據(jù)完整性破壞：防止用戶應用程序破壞操作系統(tǒng)所依賴的數(shù)據(jù)。

●任務隔離：避免一個任務異常地訪問另一個任務的數(shù)據(jù)區(qū)域，確保任務之間的隔離。

●意外存儲訪問：防止諸如堆棧溢出或數(shù)組越界等意外的存儲訪問行為。

●關鍵數(shù)據(jù)保護：通過將不可寫的關鍵數(shù)據(jù)區(qū)域設為只讀，防止對該區(qū)域數(shù)據(jù)的錯誤篡改。

02.

MPU工作原理

MPU負責實現(xiàn)一系列內存保護功能，其工作原理主要包括以下幾個方面：

●內存區(qū)域定義：MPU可以定義多個內存區(qū)域，通常能夠保護多達16個不同的內存區(qū)域。

●訪問權限設置：操作系統(tǒng)（OS）可以根據(jù)安全策略為每個內存區(qū)域配置特定的訪問權限。這意味著可以指定哪些進程或任務有權讀取、寫入或執(zhí)行內存中的數(shù)據(jù)。例如，可以設定Region A僅允許執(zhí)行任務Task X，而Region B僅允許執(zhí)行任務Task Y。如果一個屬于Task X的4字節(jié)指令“DCBA”被放置在Region A中，并且該指令的一部分延伸到了不允許執(zhí)行的Region B，則該指令將無法執(zhí)行。

●地址映射與檢查：MPU與內存管理單元（Memory Management Unit，MMU）協(xié)同工作，負責將虛擬地址映射到物理地址。在映射過程中，MPU會檢查每個內存訪問請求的權限，確保其與內存區(qū)域的訪問設置相匹配。

●異常生成：一旦檢測到違反內存區(qū)域訪問權限的請求，MPU將觸發(fā)一個異?；蛑袛啵宰柚狗欠ㄔL問。這會通知操作系統(tǒng)，操作系統(tǒng)隨后可以采取措施，如終止非法訪問進程或記錄安全事件以供后續(xù)分析。以英飛凌（Infineon）的AURIX系列芯片為例，當MPU激活時，任何未包含在活動保護集選擇的MPU范圍內的指令或數(shù)據(jù)訪問都將立即導致CPU陷入陷阱（trap），并可向安全管理單元（Safety Management Unit，SMU）發(fā)出警報。

作為硬件組件，MPU的執(zhí)行速度通常優(yōu)于軟件實現(xiàn)的內存保護機制，這使得它能夠高效地處理大量的內存訪問請求，同時保持系統(tǒng)的響應性。MPU是現(xiàn)代計算機系統(tǒng)中的一個關鍵部分，它為操作系統(tǒng)提供了一種強有力的方法來隔離任務、保護數(shù)據(jù)，并防御惡意軟件攻擊。通過這種方式，MPU有助于維護整個系統(tǒng)的穩(wěn)定性和安全性。

03.

功能安全開發(fā)中對于MPU的要求

在功能安全開發(fā)中，MPU扮演著至關重要的角色。其核心要求主要遵循ISO 26262這一國際功能安全標準。對于不同功能安全完整性等級要求的軟件組件，必須滿足要素共存的設計原則。對于沒有安全相關功能的軟件組件，其安全要求遵循無干擾原則，確保：

◆ 安全的內存訪問

◆正確的時間執(zhí)行

◆安全的數(shù)據(jù)交換

以操作系統(tǒng)（OS）為例，MPU可用于實現(xiàn)空間隔離保護，以防止內存錯誤。在這種情況下，MPU的目的是確保：

●同一軟件分區(qū)內的任務（Task）之間不會相互干擾。一個軟件分區(qū)不能修改其他分區(qū)的代碼或數(shù)據(jù)，也不能控制其他分區(qū)的非共享資源。如下圖所示。

●在操作系統(tǒng)切換正在運行的任務或中斷服務例程時，執(zhí)行上下文切換。此時，上下文數(shù)據(jù)被存儲，MPU重新配置，僅激活當前任務或中斷服務例程所需的內存分區(qū)。這可以保護任務Task1和Task2免受應用程序Application B的未授權訪問。如下圖所示。

在功能安全開發(fā)過程中，MPU主要保護的對象包括安全相關的應用程序數(shù)據(jù)、寄存器數(shù)據(jù)和堆棧數(shù)據(jù)等。

04.

總結

通常，在功能安全開發(fā)過程中，MPU主要用于確保不同ASIL（Automotive Safety Integrity Level）等級的任務或不同執(zhí)行任務之間的獨立性。通過進行故障模式與影響分析（FMEA）和獨立性故障分析（DFA），我們可以確定分區(qū)保護的軟件安全需求。

作者

邊俊

磐時創(chuàng)始人/首席安全專家

汽車安全社區(qū)SASETECH發(fā)起人；智能網(wǎng)聯(lián)預期功能安全工作組核心成員；國內最早從事汽車功能安全、預期功能安全的專家之一