RTOS中的錯(cuò)誤檢查機(jī)制

在嵌入式應(yīng)用中，有可能發(fā)生各種各樣的錯(cuò)誤，系統(tǒng)必須能夠檢測(cè)到這些錯(cuò)誤并作出適當(dāng)?shù)捻憫?yīng)。RTOS通常內(nèi)置了一些錯(cuò)誤檢查功能，用于檢測(cè)錯(cuò)誤并向應(yīng)用提供響應(yīng)錯(cuò)誤的方法。

錯(cuò)誤分類

開(kāi)發(fā)和運(yùn)行RTOS應(yīng)用程序中的錯(cuò)誤可以分為兩類。第一類錯(cuò)誤與RTOS的配置相關(guān)，這些錯(cuò)誤可以在應(yīng)用程序編譯之前通過(guò)完整性檢查檢測(cè)到，稱之為配置檢查。

在使用RTOS時(shí)，通過(guò)修改配置值以滿足應(yīng)用程序的需要。應(yīng)用程序開(kāi)發(fā)人員可以在其約束范圍修改這些值，約束限制包括硬件約束或?qū)崿F(xiàn)約束。通過(guò)RTOS代碼中的#ifdef或#error這樣的預(yù)處理器指令可以實(shí)現(xiàn)配置檢查。預(yù)處理檢查在代碼編譯之前進(jìn)行，檢查是否存在配置錯(cuò)誤。

第二類錯(cuò)誤是在應(yīng)用程序運(yùn)行時(shí)發(fā)生，稱為運(yùn)行時(shí)錯(cuò)誤。根據(jù)運(yùn)行時(shí)錯(cuò)誤發(fā)生的不同原因，有不同的錯(cuò)誤檢測(cè)策略。本文關(guān)注第二類錯(cuò)誤檢查。

運(yùn)行時(shí)錯(cuò)誤

運(yùn)行時(shí)錯(cuò)誤的原因包括傳遞給API函數(shù)的非法參數(shù)，如空指針而非有效的任務(wù)句柄，或超出給定范圍的值，可以錯(cuò)誤通過(guò)API函數(shù)使用之前的參數(shù)檢查檢測(cè)。

內(nèi)存損壞導(dǎo)致的非法或錯(cuò)誤行為是另一類運(yùn)行時(shí)錯(cuò)誤，可以使用內(nèi)存檢查算法如校驗(yàn)和或奇偶校驗(yàn)位檢測(cè)這些錯(cuò)誤。如果只需要檢查幾個(gè)非常重要的值，可以在不同的內(nèi)存地址中存儲(chǔ)這些值的備份（或按位翻轉(zhuǎn)的值），并在訪問(wèn)該值時(shí)比較它們，這些值被稱為鏡像值。

RTOS堆棧

RTOS中的每個(gè)任務(wù)都有自己的堆棧，用于存儲(chǔ)本地變量、返回地址、函數(shù)參數(shù)、返回值及其上下文。因此，內(nèi)核必須檢查每個(gè)堆棧是否駐留在自己內(nèi)存地址，否則一個(gè)任務(wù)的堆棧內(nèi)容可能被其他任務(wù)破壞。已使用堆棧的大小會(huì)隨著應(yīng)用的執(zhí)行不斷變化，例如函數(shù)調(diào)用深度的增加。由于物理內(nèi)存空間有限，堆棧溢出可能導(dǎo)致內(nèi)存損壞。為了防止這種錯(cuò)誤，在存儲(chǔ)任務(wù)上下文之前，RTOS內(nèi)核必須檢查堆棧的可用空間。

功能單元

RTOS應(yīng)用程序中的每個(gè)任務(wù)都是一個(gè)獨(dú)立的功能單元，擁有獨(dú)立的內(nèi)存空間。任務(wù)訪問(wèn)與另一項(xiàng)任務(wù)相關(guān)聯(lián)內(nèi)存也可能導(dǎo)致內(nèi)存破壞，必須加以預(yù)防。可以使用內(nèi)存保護(hù)單元為任務(wù)定義內(nèi)存區(qū)域和訪問(wèn)權(quán)限。如果一個(gè)任務(wù)訪問(wèn)了未被授權(quán)的內(nèi)存，MPU將生成一個(gè)異常，該異常將由應(yīng)用程序處理。

錯(cuò)誤處理

檢測(cè)到錯(cuò)誤后，必須以某種方式通過(guò)應(yīng)用程序處理，如何通知應(yīng)用程序取決于錯(cuò)誤類型以及錯(cuò)誤的嚴(yán)重程度。在API函數(shù)中發(fā)出錯(cuò)誤信號(hào)的一種方法是通過(guò)其返回值中的狀態(tài)碼。應(yīng)用代碼應(yīng)該檢查所有API函數(shù)的返回值。根據(jù)錯(cuò)誤代碼，應(yīng)用程序可以恢復(fù)某些錯(cuò)誤。如果出現(xiàn)不可恢復(fù)錯(cuò)誤，應(yīng)用程序應(yīng)將系統(tǒng)轉(zhuǎn)換到安全狀態(tài)。RTOS還可以調(diào)用應(yīng)用定義的錯(cuò)誤處理函數(shù)，在錯(cuò)誤發(fā)生時(shí)實(shí)現(xiàn)相應(yīng)處理，此方法通常用于不可恢復(fù)的錯(cuò)誤，錯(cuò)誤處理程序尾部是一個(gè)無(wú)限循環(huán)，該函數(shù)不會(huì)返回。

SAFERTOS中的錯(cuò)誤檢查

功能安全操作系統(tǒng)SAFERTOS對(duì)所有傳遞給API函數(shù)的參數(shù)執(zhí)行錯(cuò)誤檢查。API函數(shù)返回類型為portBaseType的狀態(tài)碼，其中包含錯(cuò)誤碼。通過(guò)檢查狀態(tài)碼可以確定調(diào)用是否成功。預(yù)定義錯(cuò)誤代碼的列表參見(jiàn)文件projdefs.h。

SAFERTOS通過(guò)調(diào)用vApplicationErrorHook實(shí)現(xiàn)錯(cuò)誤處理，該函數(shù)由應(yīng)用定義，在檢測(cè)到錯(cuò)誤而沒(méi)有返回錯(cuò)誤碼時(shí)，內(nèi)核將調(diào)用該函數(shù)。

SAFERTOS實(shí)現(xiàn)的一些錯(cuò)誤檢查示例如下：

?檢查API函數(shù)參數(shù)是否包含有效句柄和值。

? SAFERTOS中的堆棧是預(yù)先分配的字節(jié)數(shù)組，包含正在使用的堆棧標(biāo)記，防止其被多個(gè)任務(wù)訪問(wèn)。

?任務(wù)控制塊包含有關(guān)堆棧限位信息，內(nèi)核可以在存儲(chǔ)任務(wù)上下文前檢查可用的堆?？臻g，防止堆棧溢出。

?使用鏡像值檢查重要的系統(tǒng)參數(shù)，如堆頂?shù)刂罚褩Ｏ拗?，F(xiàn)PU使用標(biāo)記和TCB中的MPU設(shè)置。滴答值和SVC處理程序地址也保存了其鏡像值。

?如果硬件包含MPU，SAFERTOS默認(rèn)啟用該功能，使用它來(lái)管理多個(gè)任務(wù)可能訪問(wèn)的內(nèi)存區(qū)域。

麥克泰技術(shù)是SAFERTOS在中國(guó)的代理商，具有超過(guò)20年嵌入式實(shí)時(shí)操作系統(tǒng)的市場(chǎng)、服務(wù)和培訓(xùn)經(jīng)驗(yàn)，關(guān)于SAFERTOS的更多信息，歡迎咨詢麥克泰。