無處不在的網(wǎng)絡(luò)連接日益迫使工程師面對和解決廣泛的技術(shù)安全和可靠性問題。很少有產(chǎn)品類別沒有競相提供互聯(lián)網(wǎng)可訪問性，由此產(chǎn)生的漏洞已成為不可避免的挑戰(zhàn)。在開放網(wǎng)絡(luò)環(huán)境中運行的嵌入式設(shè)備越多，安全性就越成為幾乎所有嵌入式設(shè)計的橫向技術(shù)問題。但嵌入式系統(tǒng)開發(fā)人員通常面臨著高昂的成本和上市時間的妥協(xié)，以確保始終可靠的操作和安全性。

本文使用汽車遠程信息處理技術(shù)來說明嵌入式安全和可靠性保證的必要性，并解釋了來自Devices和Green Hills software的硬件和軟件技術(shù)的融合如何消除了以前在安全性、成本和上市時間之間不可避免的妥協(xié)。其結(jié)果是高可靠性、高安全性、內(nèi)存保護的RTOS運行在高性能、低成本、低功耗、內(nèi)存保護的處理器上，并輔以促進快速上市的開發(fā)環(huán)境。

為開放式汽車帶來可靠性和安全性

對于嵌入式系統(tǒng)，安全性與系統(tǒng)可靠性直接相關(guān)，而不是與企業(yè)計算應(yīng)用程序相關(guān)的數(shù)據(jù)完整性和隱私問題。不安全的嵌入式設(shè)備本質(zhì)上是不可靠的設(shè)備(反之亦然)，其后果從輕微的滋擾到嚴重的物理危險不等。隨著系統(tǒng)和網(wǎng)絡(luò)變得越來越復(fù)雜，那些旨在破壞安全的人所使用的技術(shù)也變得越來越復(fù)雜。例如，在一輛典型的現(xiàn)代汽車中，可能有大約50個嵌入式控制單元通過五種不同的通信總線技術(shù)(例如，SAEJ1850和can)相互連接，所有這些都是錯誤代碼或惡意篡改的公平游戲。更糟糕的是，使用無線網(wǎng)絡(luò)，與內(nèi)部總線或汽車本身的物理接觸甚至不需要涉及外部產(chǎn)生的損壞，無論是無意的還是惡意的。

汽車遠程信息處理本質(zhì)上是嵌入式系統(tǒng)，不可避免地會發(fā)展為集成廣泛的通信、信息、導(dǎo)航和娛樂功能。這些功能豐富的系統(tǒng)包括源自或終結(jié)于汽車內(nèi)部的電信功能，有效地將關(guān)鍵控制系統(tǒng)暴露給外部世界。聯(lián)網(wǎng)汽車的愿景自然會激勵創(chuàng)新者，但作為不法分子或草率數(shù)據(jù)傳輸?shù)臐撛谀繕?biāo)，聯(lián)網(wǎng)汽車是一場危及生命的噩夢。

為了解決這些風(fēng)險，下一代汽車需要能夠提供最嚴格的安全性、操作可靠性和實時性能的底層硬件和軟件。任何低于這一標(biāo)準(zhǔn)的都將危及這些車輛的安全。但是，即使汽車制造商把質(zhì)量和安全放在最重要的位置，汽車市場也是一個成本驅(qū)動的環(huán)境，材料清單和利潤率是制造商的主要關(guān)注點，有時甚至以犧牲創(chuàng)新為代價。例如，在20世紀80年代，可選安全氣囊的最初銷售非常糟糕，以至于通用汽車(General Motors)將其撤出了市場。然而，后來，成本下降了，價格彈性的消費者需求發(fā)生了變化，現(xiàn)在每輛新車都有安全氣囊。

顯然，在汽車和其他對安全至關(guān)重要的嵌入式系統(tǒng)變得毫不妥協(xié)地可靠和安全之前，不可能等待成本奇跡的發(fā)生。否則，災(zāi)難性系統(tǒng)故障的可能性實在太大了。

保護內(nèi)存保護系統(tǒng)

風(fēng)險不僅嚴重，而且范圍廣泛。除乘用車外，遠程信息處理系統(tǒng)正在廣泛應(yīng)用于各種智能系統(tǒng)，包括卡車和公共汽車、非公路和非公路車輛以及客運和貨運列車。由于網(wǎng)絡(luò)連接而面臨風(fēng)險的其他市場中的其他應(yīng)用包括海事電子、飛機和航空航天電子、工廠自動化、工業(yè)機器控制、電梯和自動扶梯、樓宇自動化、醫(yī)療設(shè)備和設(shè)備以及非工業(yè)控制和非工業(yè)設(shè)備。如前所述，將如此多的設(shè)備開放給可能未經(jīng)授權(quán)的訪問或軟件錯誤所帶來的安全隱患是巨大的。

入侵者必須被擋在外面，軟件必須被劃分，以隔離軟件錯誤，使其不會造成廣泛的、系統(tǒng)范圍的損害。例如，如果隔離不當(dāng)，汽車信息娛樂系統(tǒng)可能會錯誤地將控制信號垃圾廣播到汽車的CAN總線上，而重要的控制模塊正是從CAN總線上獲得前進命令的。

Green Hills的INTEGRITY RTOS通過在軟件級別隔離資源來幫助解決這個問題。反過來，Blackfin 處理器的性能和內(nèi)存管理能力相結(jié)合，使INTEGRITY RTOS能夠應(yīng)用于汽車應(yīng)用，同時確保成本足夠低，具有市場可行性。Blackfin處理器是一款真正的融合處理器，可以很好地執(zhí)行微控制器和DSP處理，具有卓越的性能/價格和性能/功率。同樣重要的是，Blackfin處理器非常適合托管像INTEGRITY RTOS這樣以安全和可靠性為中心的RTOS。

INTEGRITY RTOS是一個內(nèi)存保護的操作系統(tǒng)，從一開始就內(nèi)置了安全可靠的訪問控制。同時，Blackfin處理器建立受保護內(nèi)存空間的能力完美地補充了INTEGRITY RTOS保守的、基于許可的所有權(quán)方法，該方法只允許程序?qū)ο笤谛枰獣r在受保護的地址空間之間共享。程序?qū)ο蟮淖罱K劃分促進了一個高度可靠的系統(tǒng)環(huán)境，它關(guān)閉了一個軟件部分無意(例如，任性的地址指針)或故意(例如，黑客)對另一個軟件部分的有害影響的嘗試。INTEGRITY RTOS還允許嵌入式系統(tǒng)開發(fā)人員將性能關(guān)鍵的代碼子集映射到Blackfin處理器的L1緩存上，從而使實時進程的上下文切換時間加快一個數(shù)量級。

Blackfin處理器包含一個基于頁面的內(nèi)存管理單元(MMU)，可以控制內(nèi)存范圍的可緩存性，并在頁面級別管理保護屬性。MMU使用內(nèi)存保護格式，當(dāng)與核心的用戶和主管模式相結(jié)合時，可以支持完整的RTOS。RTOS以Supervisor模式運行，為實際應(yīng)用軟件以User模式運行劃分內(nèi)存塊和其他系統(tǒng)資源。因此，Blackfin MMU為強大的系統(tǒng)和應(yīng)用提供了一個隔離和安全的環(huán)境。Blackfin處理器(約5.00美元)的400 MHz性能的突破性低價格點使其能夠以市場支持的材料成本部署高度先進的嵌入式應(yīng)用，這在以前是無法實現(xiàn)的。

為了完成這幅圖，Green Hills的MULTI集成開發(fā)環(huán)境(IDE)使嵌入式軟件開發(fā)人員可以直接查看Blackfin處理器上的INTEGRITY RTOS目標(biāo)。這允許快速有效的調(diào)試，從而實現(xiàn)更快(更便宜)的上市時間計劃。MULTI IDE還包含高效設(shè)計所需的關(guān)鍵工具和配置。其中包括rtos感知的源代碼級調(diào)試器、運行時錯誤檢查器、版本控制系統(tǒng)、性能分析器、實時事件分析器，以及在沒有實際目標(biāo)硬件的情況下，在PC、Linux或UNIX工作站上開發(fā)和測試Blackfin處理器代碼的模擬能力。

安全方面的優(yōu)勢

Blackfin處理器、INTEGRITY RTOS和MULTI IDE的強大組合形成了一個前所未有的三足平臺，在這個平臺上，開發(fā)人員可以非常快速、低成本地將可靠、安全的嵌入式系統(tǒng)推向市場。其結(jié)果是經(jīng)典妥協(xié)的終結(jié)——現(xiàn)在產(chǎn)品開發(fā)人員可以同時擁有安全性、上市時間和低成本。對于由此產(chǎn)生的產(chǎn)品的用戶來說，世界將成為一個更安全、更可靠的地方，而且仍然在經(jīng)濟范圍內(nèi)。