首页/资讯中心/详情

RA8D2 TCM安全与ECC实战:TrustZone隔离与内存纠错配置详解

RA8D2 TCM安全与ECC实战:TrustZone隔离与内存纠错配置详解
📅 发布时间:2026/6/28 20:04:19

1. 项目概述

在嵌入式系统开发,尤其是汽车电子和工业控制这类对功能安全和可靠性要求极高的领域,内存的稳定性和安全性是系统设计的基石。想象一下,一辆行驶中的汽车,其控制单元的内存如果因为宇宙射线或电磁干扰而发生位翻转,导致关键的控制指令出错,后果不堪设想。这正是纠错码(ECC)和硬件安全隔离技术存在的意义。它们不是锦上添花,而是保障系统在严苛环境下仍能正确、安全运行的“生命线”。

瑞萨电子的RA8D2微控制器,基于高性能的Arm Cortex-M33内核,其一大亮点就是内置了紧密耦合内存(TCM)。TCM以其极低的访问延迟著称,非常适合存放对实时性要求极高的关键代码和数据。但仅仅“快”还不够,RA8D2为TCM配备了强大的“双保险”:一是基于Arm TrustZone技术的安全属性过滤,可以将TCM物理内存划分为安全(Secure)和非安全(Non-secure)区域,实现硬件级别的隔离;二是ECC功能,能够自动检测并纠正内存中的数据错误。

本文将从一线工程师的视角,深入剖析RA8D2 TCM模块中这两大核心功能的寄存器级配置与操作流程。我们不会停留在手册的简单翻译,而是结合实际的工程场景,拆解每个关键寄存器位的作用,解释配置背后的设计逻辑,并分享从初始化、分区到ECC使能、错误处理的全流程实战经验与避坑指南。无论你是正在评估RA8D2用于新项目的系统架构师,还是正在调试TCM相关功能的嵌入式软件工程师,这篇文章都将为你提供从原理到实践的完整参考。

2. TCM安全架构与TrustZone区域划分

在RA8D2的系统中,TCM(包括指令TCM,C-TCM,和数据TCM,S-TCM)的安全状态并非全局固定,而是可以通过寄存器进行精细划分的。这为混合临界系统设计提供了极大的灵活性:你可以将最核心的自动驾驶算法、安全通信协议放在安全区,而将用户界面、日志记录等非关键功能放在非安全区。

2.1 安全属性边界地址寄存器(TCMSABARx)详解

划分安全与非安全区域的核心,是TCMSABARx寄存器(x为C或S,分别对应C-TCM和S-TCM)。这个寄存器的设计非常巧妙,它定义了一个“边界地址”,将TCM的地址空间一分为二。

寄存器核心逻辑

  • 地址映射TCMSABARx寄存器存储的是一个32位的绝对地址,它标志着非安全(Non-secure)区域的起始地址
  • 区域划分规则
    • 地址低于边界地址的区域:被标记为安全(Secure)
    • 地址高于或等于边界地址的区域:被标记为非安全(Non-secure)
  • 初始状态:复位后,TCMSABARCTCMSABARS的初始值均为0x0007_E000。对于64KB的TCM空间(地址范围0x0000_0000~0x0000_FFFF),这意味着从0x0000_00000x0007_DFFF(约31.5KB)的区域是安全的,而从0x0007_E000到末尾的32.5KB区域是非安全的。实际上,由于边界地址接近末端,整个TCM在复位后几乎都被视为安全区域。这是一个重要的安全默认设置。

关键位域与操作限制

  • TCMSABA[18:13]:这是边界地址的有效位。注意,它并不是存储完整的32位地址。对于64KB的TCM,其地址线为A[15:0]。TCMSABA存储的是地址位A[18:13]。这意味着边界地址必须以8KB(2^13字节)为粒度进行对齐。例如,如果你想将边界设置在32KB处,需要写入的TCMSABA值为32KB / 8KB = 4,对应的地址是0x0000_8000
  • 写保护:此寄存器受PRCR_S.PRC4位写保护。在修改前,必须先向PRCR_S寄存器写入正确的密钥(0xA500+PRC4=1)来解锁。
  • 保留位:位[31:19]和[12:0]必须写入0,读取时为0。

实操心得:理解地址别名手册中的地址映射表显示,TCM除了CPU1(Cortex-M33)的直接访问地址(如C-TCM的0x0000_0000),还有总线主设备(如DMA、其他总线主机)访问的别名地址(如0x2A00_0000)。TCMSABARx设置的边界地址对所有别名地址视图同样生效。这意味着,你在0x0000_0000设置的安全边界,在DMA通过0x2A00_0000地址访问TCM时,安全过滤规则依然适用。这确保了安全策略的一致性,无论访问来自何处。

2.2 配置示例与场景分析

让我们通过几个具体配置,来理解TCMSABARx的实际影响。

场景一:全安全TCM这是复位后的默认状态,也是最高安全级别的配置。将TCMSABARx设置为大于等于TCM大小的值,例如0x0001_0000(64KB)。由于边界地址等于或超过了TCM的末尾,整个TCM区域(地址低于边界)都被标记为安全。任何非安全世界的访问尝试都将被TrustZone过滤器阻止。

场景二:全非安全TCMTCMSABARx设置为0x0000_0000。此时,边界地址为0,意味着“非安全区域的起始地址是0”。因此,整个TCM区域(地址高于或等于0)都被标记为非安全。安全世界的代码将无法访问TCM。这种配置通常用于纯非安全应用,或调试初期。

场景三:混合分区TCM这是最常用的场景。假设你的安全关键代码(如加密引擎)需要16KB安全TCM,其余48KB用于非安全功能(如图形缓冲)。

  • 对于C-TCM:计算边界地址。16KB =0x0000_4000。由于对齐粒度是8KB,我们选择最近的8KB边界,即0x0000_4000(16KB本身是8KB的整数倍)。将TCMSABA设置为0x0000_4000 / 0x2000 = 0x02
  • 配置后,地址0x0000_00000x0000_3FFF为安全区域,0x0000_40000x0000_FFFF为非安全区域。

配置代码示例(以C-TCM为例)

// 假设已通过PRCR_S解锁写保护 volatile uint32_t *cp scu_base = (volatile uint32_t *)0x40008000; // TCMSABARC 寄存器偏移为 0x508 volatile uint32_t *tcm sabarc = (volatile uint32_t *)((uint32_t)cp scu_base + 0x508); // 设置边界地址为 0x00004000 (16KB处) // TCMSABA[18:13] = 0x00004000 >> 13 = 0x02 // 保留位[31:19], [12:0]写0 uint32_t boundary_value = (0x02 << 13); // 结果就是 0x00004000 *tcm sabarc = boundary_value; // 插入数据内存屏障(DMB),确保配置生效 __DMB();

注意事项:配置时机与原子性TCM的安全属性配置应在系统初始化早期、任何安全/非安全代码访问TCM之前完成。由于修改TCMSABARx会影响后续所有内存访问的属性判断,建议在单一线程、关闭中断的环境下进行配置,并立即执行DMB指令,确保配置被系统正确感知。错误的配置顺序可能导致不可预知的内存访问错误。

3. TCM保护控制与寄存器写使能

划分好安全区域后,下一步就是配置各个区域内的TCM控制寄存器(TCMCRx)。但这里有一个关键前提:这些控制寄存器本身也受到安全属性和写保护机制的双重约束。

3.1 安全属性与特权属性过滤

TCM相关的寄存器(如TCMCRx,TCMESR等)都有自己的安全属性(SA),这个属性由TCMSAR寄存器(在用户手册其他章节)中的TCMSA位统一设定。TCMSA位决定了所有TCM控制寄存器是安全的还是非安全的。

  • TCMSA=0(寄存器为安全属性)时,只有安全世界的事务可以读写这些寄存器,非安全世界的访问会被TrustZone过滤器拦截,产生错误。
  • TCMSA=1(寄存器为非安全属性)时,情况则相反。

这引出了一个重要的设计原则:如果你将TCM的一部分划为安全区域用于存放安全代码,那么管理这部分TCM(如使能其ECC)的控制寄存器,也必须配置为安全属性(TCMSA=0),并且只能由安全世界的代码来配置。否则,非安全世界的代码将可能篡改安全TCM的配置,造成安全漏洞。

3.2 保护控制寄存器(TCMPRCR_S / TCMPRCR_NS)

即使通过了TrustZone过滤,TCM控制寄存器(TCMCRx)还受一层写保护锁控制,对应的钥匙就是TCMPRCR_S(安全)和TCMPRCR_NS(非安全)寄存器。这两个寄存器结构完全相同,分别管理安全属性和非安全属性的TCMCRx寄存器的写使能。

寄存器结构解析

  • PR位(位0):寄存器写控制位。
    • 0:禁止写入受保护的TCMCRx寄存器。
    • 1:允许写入受保护的TCMCRx寄存器。
  • KW[7:0](位[15:8]):写密钥代码。
    • 要修改PR位,必须在同一个16位(半字)写操作中,向KW[7:0]写入0xA5。如果密钥错误,PR位的写操作将被忽略。
    • 读取KW[7:0]永远返回0x00

操作流程: 假设我们需要配置安全TCM(TCMSA=0)的ECC功能,操作步骤如下:

  1. 确认安全状态:确保CPU处于安全状态,并且TCMSA=0
  2. 解锁写保护:向TCMPRCR_S寄存器(基址0x4001_C800,偏移0x00)执行一次16位写操作,写入值0xA501KW=0xA5,PR=1)。
    volatile uint16_t *tmprcr_s = (volatile uint16_t *)0x4001C800; *tmprcr_s = 0xA501; // 同时提供密钥并置位PR __DMB();
  3. 配置TCMCRx:在PR位为1期间,安全世界的代码可以正常读写TCMCRx等寄存器。
  4. 重新上锁(可选但推荐):完成配置后,可以向TCMPRCR_S写入0xA500,将PR位清零,重新锁住寄存器,防止意外修改。
    *tmprcr_s = 0xA500; // 密钥正确即可,PR位写0 __DMB();

避坑指南:访问粒度与操作顺序

  1. 半字访问:手册明确强调,对TCMPRCR_x寄存器必须使用半字(16位)访问。字节访问是禁止的,且操作结果不可预测。在C语言中,使用volatile uint16_t*指针来确保生成正确的STRH指令。
  2. 密钥与PR位同时写入:解锁操作必须是原子的,即密钥0xA5和期望的PR值(1或0)在同一次写操作中完成。先写密钥再写PR位的两次操作是无效的。
  3. 内存屏障:在修改写保护寄存器和后续配置TCMCRx之间,务必使用__DMB()指令。这能确保写操作在内存系统中完成,避免由于CPU流水线或写缓冲导致的顺序问题。

4. ECC功能配置与深度解析

ECC是保障TCM数据完整性的核心。RA8D2的TCM ECC采用SEC-DED(单错纠正,双错检测)编码,为每32位数据生成7位校验码。

4.1 TCM控制寄存器(TCMCRx)配置详解

TCMCRx寄存器是ECC功能的总开关和策略控制中心。每个TCM(C/S)都有自己独立的TCMCRx寄存器。

关键位域功能与配置策略

  1. ECCMOD[1:0] (位[3:2]):ECC操作模式选择

    • 00:禁用ECC功能。既不进行错误检测,也不进行纠正。功耗最低,但无数据保护。
    • 01:保留。禁止设置。
    • 10:启用ECC功能,但不进行错误检查。ECC校验码会随数据生成和存储,并在读取时用于纠正单比特错误,但不会更新错误状态寄存器TCMESR,也不会触发中断或复位。此模式可用于“静默”纠正偶尔发生的软错误,而不影响系统运行。
    • 11:启用ECC功能,并进行错误检查。这是最常用的模式。ECC会纠正单比特错误、检测双比特错误,并更新TCMESR寄存器,根据OAD位的设置触发中断或系统复位。

  2. E1STSEN (位4):ECC单比特错误信息更新使能

    • 此位仅在ECCMOD=11(启用带检查的ECC)时有效。
    • 0:禁用单比特错误信息更新。即使发生单比特错误并被纠正,TCMESR.ERRx0位也不会置1,不会触发中断/复位。
    • 1:启用单比特错误信息更新。发生单比特错误时,ERRx0置1,并根据OAD位行动。
    • 工程意义:这提供了一个“仅记录不告警”的选项。对于某些对连续性要求极高、不能轻易被中断打断的应用,可以先使能ECC纠错,但暂时屏蔽错误通知,在合适的时机(如空闲循环)再去读取TCMESR检查历史错误。

  3. OAD (位0):ECC错误检测后的操作

    • 0:产生中断。当ECC错误(单比特且E1STSEN=1,或双比特)被检测到时,触发一个TCM ECC错误中断。软件可以在中断服务程序(ISR)中读取TCMESRTCMEARx定位错误,进行日志记录、恢复等操作。
    • 1:产生复位。当检测到ECC错误时,直接触发系统复位。这是最严厉的响应,适用于功能安全等级(如ASIL-D)要求极高的场景,任何内存错误都视为系统性失效,立即进入安全状态。

  4. TSTBYP (位7):ECC测试使能/旁路选择

    • 此位用于ECC功能的测试和诊断。
    • 0:正常模式,ECC功能起作用。
    • 1:ECC旁路模式。在此模式下,对TCM的读写操作将直接访问ECC校验码存储区。
      • 读操作:读取的数据位[6:0]是7位ECC码,位[31:7]未定义。
      • 写操作:写入数据的位[6:0]会被写入目标地址的ECC存储区,位[31:7]被忽略。
    • 使用场景:用于注入错误,测试ECC的纠错和检错能力是否正常。需要与ECCMOD=00(禁用ECC)配合使用。

4.2 ECC功能初始化与使能流程

在使能ECC功能前,有一个至关重要的前置步骤:初始化TCM内存。这是因为TCM在上电或从深度软件待机模式唤醒后,其存储单元和对应的ECC校验位内容都是未定义的(随机值)。如果直接使能ECC检查功能并访问,这些随机数据很可能无法通过ECC校验,导致一上电就触发错误中断或复位。

安全的ECC初始化流程如下

  1. 解锁寄存器写保护:如前所述,通过TCMPRCR_STCMPRCR_NS解锁对应安全属性的TCMCRx寄存器。
  2. 配置ECC为“仅纠错不检查”模式:将TCMCRx.ECCMOD设置为10E1STSEN设为0OAD位暂时无关。此模式下,ECC会计算和存储校验码,并纠正读取时的单比特错误,但不会产生任何错误状态或系统响应。
    // 假设 tcmcr_c 是C-TCM控制寄存器的指针 *tcmcr_c = (0x2 << 2); // ECCMOD=10, 其他位为0 __DMB();
  3. 初始化TCM内存:对整个需要使用的TCM区域,执行一次完整的32位写操作。必须确保是32位访问。可以用一个循环,将内存填充为已知值(如0x000000000xFFFFFFFF)。
    volatile uint32_t *tcm_base = (volatile uint32_t *)0x00000000; // C-TCM地址 for(uint32_t i = 0; i < (TCM_SIZE_BYTES / 4); i++) { tcm_base[i] = 0x00000000; // 32位写,初始化数据和ECC位 } __DMB();

    为什么必须是32位写?因为ECC校验码是针对32位数据单元计算的。如果使用8位或16位写操作,硬件无法为不完整的32位数据生成有效的ECC码,可能导致后续读取时ECC校验失败。

  4. 使能完整的ECC检查功能:在TCM初始化完成后,再将TCMCRx配置为最终的工作模式,例如ECCMOD=11(使能检查),E1STSEN=1(更新单比特错误),并根据需要设置OAD(中断或复位)。
    // 使能ECC检查,并选择错误时触发中断 *tcmcr_c = (0x3 << 2) | (1 << 4); // ECCMOD=11, E1STSEN=1, OAD=0 __DMB();
  5. (可选)重新锁住写保护:通过TCMPRCR_xPR位清零。

4.3 ECC错误处理机制实战

当ECC功能启用且发生错误时,硬件会自动执行以下操作:

  1. 单比特错误:自动纠正数据,并将纠正后的数据返回给CPU。如果E1STSEN=1,则TCMESR.ERRx0位置1。
  2. 双比特错误:无法纠正,但可以检测。TCMESR.ERRx1位置1。
  3. 系统响应:根据OAD位,触发中断或系统复位。

软件错误处理流程(以中断模式为例)

  1. 编写中断服务程序(ISR):为TCM ECC错误中断(ECCERR)编写ISR。
  2. 在ISR中诊断错误
    void TCM_ECC_Error_Handler(void) { // 1. 读取错误状态寄存器 uint32_t tcm_esr = *(volatile uint32_t *)TCMESR_ADDR; // 2. 判断是C-TCM还是S-TCM,以及错误类型 if (tcm_esr & TCMESR_ERRC0_MASK) { // C-TCM发生单比特错误 uint32_t error_addr = *(volatile uint32_t *)TCM_EAR_C0_ADDR; // 读取错误地址 LOG_ERROR("C-TCM 1-bit ECC error at address: 0x%08X", error_addr); // 清除错误状态位 *(volatile uint32_t *)TCMESCLR_ADDR = TCMESCLR_CLRC0_MASK; } else if (tcm_esr & TCMESR_ERRC1_MASK) { // C-TCM发生双比特错误(不可纠正) uint32_t error_addr = *(volatile uint32_t *)TCM_EAR_C1_ADDR; LOG_FATAL("C-TCM 2-bit ECC error at address: 0x%08X", error_addr); *(volatile uint32_t *)TCMESCLR_ADDR = TCMESCLR_CLRC1_MASK; // 双比特错误是严重故障,可能需要执行安全关闭程序 System_Safe_Shutdown(); } // ... 类似地处理S-TCM错误 (ERRS0, ERRS1) // 3. 清除中断标志(通常在外设中断控制器中) // 4. 可能的恢复操作:如果错误地址属于动态数据区,可尝试重新计算或从备份恢复数据。 }
  3. 清除错误状态:通过向TCMESCLR寄存器相应的CLRx0CLRx1位写1来清除TCMESR中的错误标志位。注意TCMESCLR是“写1清除”类型,且写入的值不保留,读取始终为0。
  4. 错误地址记录TCMEARxm寄存器保存了首次发生错误的地址。这对于分析错误模式(是随机软错误还是特定地址的硬故障)至关重要。

重要警告:并发错误处理手册中有一句非常关键的话:“If the status is cleared and an error occurs at the same time, the error is ignored and the status is cleared.” 这意味着,如果你在清除错误状态位(TCMESCLR)的瞬间,恰好又发生了新的ECC错误,这个新错误会被忽略,且状态位会被清除。在极端高错误率的环境中,这可能导致错误漏报。因此,在错误处理ISR中,在清除状态位后,可以考虑再次快速读取TCMESR,以确认是否立即又有新错误产生。

5. 高级功能:ECC测试与TrustZone过滤器

5.1 ECC解码器测试流程

为了验证ECC硬件功能的正确性,RA8D2支持通过软件注入错误的方式进行测试。手册中提供了一个测试流程图,其核心步骤是使用TSTBYP位旁路ECC,直接读写ECC校验码,从而模拟单比特和双比特错误。

手动注入错误测试步骤

  1. 准备阶段:解锁TCMCRx写保护(TCMPRCR_x)。
  2. 使能ECC但不检查:配置TCMCRx.ECCMOD=10TSTBYP=0。执行DMB
  3. 写入测试数据:向目标测试地址(如0x00000100)写入一个32位已知数据(如0x12345678)。硬件会自动计算并存储ECC码。执行DMB
  4. 进入ECC旁路模式:配置TCMCRx.ECCMOD=00TSTBYP=1。执行DMB
  5. 读取并篡改ECC码:读取目标地址。由于处于旁路模式,读回数据的[6:0]位就是之前存储的7位ECC码。记录这个ECC码。
  6. 注入错误:翻转(取反)ECC码中的1位(模拟单比特错误)或2位(模拟双比特错误),然后将这个被篡改的ECC码写回目标地址的ECC存储区(即向同一地址写入数据,其[6:0]位为篡改后的ECC码)。执行DMB
  7. 恢复ECC检查模式:配置TCMCRx.ECCMOD=11E1STSEN=1TSTBYP=0。执行DMB
  8. 触发并验证错误:读取目标地址。这次读取会触发ECC逻辑对“数据+被篡改的ECC码”进行校验。
    • 对于单比特错误:硬件应纠正错误,返回原始数据0x12345678,并置位TCMESR.ERRx0(如果OAD=0则触发中断)。
    • 对于双比特错误:硬件应检测到错误,置位TCMESR.ERRx1,并触发中断或复位。
  9. 检查状态:读取TCMESRTCMEARx寄存器,确认错误类型和地址与预期相符。
  10. 清理:清除错误状态位。

这个测试流程对于功能安全(FuSa)认证中的硬件自检(BIST)或启动自检(LBIST)场景非常有用。

5.2 TrustZone过滤器错误

除了ECC错误,TCM的另一个中断源是TrustZone过滤器错误(TZFLT)。当访问请求的安全属性与目标内存区域的安全属性不匹配时,该错误发生。

  • 安全世界的代码尝试访问非安全TCM区域→ 产生TZFLT错误。
  • 非安全世界的代码尝试访问安全TCM区域→ 产生TZFLT错误。

与ECC错误的区别

  • 触发条件:ECC错误源于数据存储/读取过程中的位错误;TrustZone错误源于非法访问权限。
  • 系统响应:ECC错误可配置为中断或复位;TrustZone错误通常配置为触发中断(不可屏蔽中断NMI或可屏蔽中断),让安全监控软件(如TrustZone固件)处理此次非法访问尝试,可能终止违规任务。
  • 错误地址:ECC错误地址记录在TCMEARx中;TrustZone错误通常有独立的系统级错误地址寄存器。

调试TrustZone错误

  1. 确认TCMSABARx的配置是否符合预期。
  2. 确认当前CPU是处于安全状态(通过CONTROL_S寄存器等)还是非安全状态。
  3. 检查产生访问的代码段及其属性。
  4. 查看系统全局的Security Fault Status Register (SFSR) 和 Security Fault Address Register (SFAR) 来获取更详细的违规信息。

6. 性能考量、使用限制与最佳实践

6.1 等待周期(Wait Cycle)

使能ECC功能会引入一定的性能开销,主要体现在等待周期上:

  • 非32位访问:当TCMCRx.ECCMOD[1]=1(ECC使能)时,如果对TCM进行8位或16位的写访问,硬件会插入等待周期。因为ECC是针对32位数据计算的,非对齐或非全字访问需要内部处理。最佳实践是,对使能了ECC的TCM区域,尽量使用32位对齐的访问
  • 访问冲突:如果总线主设备(如DMA)和CPU1同时访问TCM,由于CPU1具有更高的优先级,总线主设备的访问会被插入等待周期,直到CPU1的访问完成。

6.2 TCM内存测试注意事项

手册第2.17.5.1节提到了一个重要的细节:由于TCM存在写缓冲区(Write Buffer),如果在写入某个地址后立即读取该地址,可能会直接从写缓冲区读到数据,而不是从真正的TCM内存单元读取。这在进行内存单元测试(如March C-算法)时会导致测试不准确。

正确的测试读操作流程

  1. 向测试目标地址(Addr_A)写入数据。
  2. 在同一个TCM内,向一个与Addr_A地址相差至少4的另一个地址(Addr_B)执行一次写操作。这一步的目的是“冲刷”写缓冲区,确保Addr_A的数据被真正写入内存。
  3. 再从Addr_A读取数据,此时读到的才是从TCM内存单元返回的真实值。

6.3 综合配置策略建议

  1. 启动阶段

    • 根据系统安全需求,尽早配置TCMSABARx,划分安全/非安全TCM。
    • 在使能任何ECC检查之前,务必先以ECCMOD=10模式初始化所有TCM内存。
    • 根据应用可靠性要求,决定OAD位选择中断还是复位。对于需要高可用性的系统,中断模式允许软件记录和恢复;对于要求失效安全的系统,复位模式更简单可靠。

  2. 运行阶段

    • 在ECC错误中断服务程序中,不仅要记录错误,还应考虑错误率统计。短时间内频繁的单比特错误可能预示着该内存区域即将发生硬故障(硬错误率上升),应触发预警或进行内存区域隔离。
    • 对于双比特错误,应视为严重故障。除了立即清除状态,应执行预定义的安全动作,如切换至备份计算通道、保存关键状态后复位等。

  3. 调试阶段

    • 利用TSTBYP模式进行ECC功能验证。
    • 注意,在调试器连接下,ECC错误不会置位状态寄存器或触发复位/中断。这是为了不妨碍调试。因此,测试ECC错误响应时,需要在脱离调试器的真实运行环境中进行。

通过深入理解和正确配置RA8D2的TCM安全与ECC功能,开发者能够为嵌入式系统构建起一道坚固的硬件级安全和可靠性防线。从精细的TrustZone内存隔离,到自动纠错的ECC机制,这些功能共同确保了在严苛环境下,关键代码和数据的安全与完整。