嵌入式開發(fā),究竟何時需要用RTOS
發(fā)布時間:2023-12-18 14:36:36
如今,高性能處理器和通用操作系統(tǒng)實時升級的速度,似乎再次引發(fā)了嵌入式系統(tǒng)是否仍需要RTOS的討論。答案沒有改變:在相對低端的處理器上只有真正的RTOS能提供一些保障,也就意味著,這些OS可以留在嵌入式環(huán)境中。
■ 究竟何時需要實時操作系統(tǒng)?
大多數(shù)嵌入式項目是否仍需要實時操作系統(tǒng)?考慮到當(dāng)今高性能處理器的速度以及適用于Linux,Windows和其他通用操作系統(tǒng)(GPOS)的實時補(bǔ)丁的可用性,這是一個很好的問題。
答案在于嵌入式設(shè)備的本質(zhì)。這些設(shè)備通常以數(shù)千,甚至數(shù)百萬桃這種規(guī)模下生產(chǎn),即使每套硬件成本降低1美元,也能為制造商節(jié)省一筆小財富。換言之,這些設(shè)備無法負(fù)擔(dān)數(shù)百萬赫茲處理器的成本(更不用說散熱了)。
例如,在汽車遠(yuǎn)程信息處理市場,典型的32位處理器的運(yùn)行頻率約為600兆赫,遠(yuǎn)低于臺式機(jī)和服務(wù)器中常見的處理器。在這樣的環(huán)境中,設(shè)計用于從低端硬件中提取極其快速、可預(yù)測的響應(yīng)時間的實時操作系統(tǒng)有巨大的經(jīng)濟(jì)優(yōu)勢。
除了節(jié)省成本外,實時操作系統(tǒng)提供的服務(wù)使許多計算問題更容易解決,特別是當(dāng)多個活動競爭一個系統(tǒng)的資源時。例如,考慮一個用戶期望(或需要)立即響應(yīng)輸入的系統(tǒng)。使用實時操作系統(tǒng),開發(fā)人員可以保證由用戶發(fā)起的操作將優(yōu)先于其他系統(tǒng)活動執(zhí)行,除非必須首先執(zhí)行更重要的活動(例如,有助于保護(hù)用戶安全的操作)。
還要考慮一個必須滿足服務(wù)質(zhì)量(QoS)要求的系統(tǒng),例如顯示實時視頻的設(shè)備。如果設(shè)備的內(nèi)容交付的任何部分都依賴于軟件,那么它會以用戶認(rèn)為不可接受的速度體驗掉幀,設(shè)備是不可靠的。然而,通過實時操作系統(tǒng),開發(fā)人員可以精確地控制軟件進(jìn)程的執(zhí)行順序,并確保以適當(dāng)和一致的速率進(jìn)行回放。
■ 實時操作系統(tǒng)不公平
在嵌入式行業(yè)中,對實時“硬”時間的需求仍然很普遍。問題是:實時操作系統(tǒng)有什么是GPOS沒有的?而且,對于某些GPOS來說,現(xiàn)在的實時擴(kuò)展有多有用?他們能提供一個合理的實時操作系統(tǒng)性能嗎?
讓我們從任務(wù)調(diào)度開始。在GPOS中,調(diào)度程序通常使用“公平”策略將線程和進(jìn)程分派到CPU。這樣的策略可以實現(xiàn)桌面和服務(wù)器應(yīng)用程序所需的高整體吞吐量,但不能保證高優(yōu)先級、時間緊迫的線程優(yōu)先于低優(yōu)先級的線程執(zhí)行。
例如,GPOS可能會降低分配給高優(yōu)先級線程的優(yōu)先級,或者為了保證系統(tǒng)中其他線程的公平性而動態(tài)調(diào)整線程的優(yōu)先級。因此,高優(yōu)先級線程可能被低優(yōu)先級線程搶占。此外大多數(shù)GPOS具有無界的調(diào)度延遲:系統(tǒng)中的線程越多,GPOS調(diào)度一個執(zhí)行線程所需的時間就越長,這些因素中的任何一個都可能導(dǎo)致高優(yōu)先級線程錯過最后期限,即使是在高速CPU上。
此外,高優(yōu)先級線程可以不間斷地運(yùn)行,直到它完成它需要做的事情,當(dāng)然,除非它被一個更高優(yōu)先級的線程搶占。這種方法被稱為基于優(yōu)先級的搶占式調(diào)度,允許高優(yōu)先級線程滿足其最后期限,即使許多其他線程正在爭奪CPU時間。
■ 搶占式內(nèi)核
在大多數(shù)GPOS中,os內(nèi)核是不可搶占的。因此,高優(yōu)先級用戶線程永遠(yuǎn)不能搶占內(nèi)核調(diào)用,而是必須等待整個調(diào)用完成—即使調(diào)用是由系統(tǒng)中優(yōu)先級最低的進(jìn)程調(diào)用的。此外,當(dāng)驅(qū)動程序或其他系統(tǒng)服務(wù)(通常在內(nèi)核調(diào)用中執(zhí)行)代表客戶端線程執(zhí)行exe剪切時,所有優(yōu)先級信息通常都會丟失。這種行為會導(dǎo)致不可預(yù)知的延遲,并阻止關(guān)鍵活動按時完成。
另一方面,在實時操作系統(tǒng)中,內(nèi)核操作是可搶占的。與在GPOS中一樣,在時間窗口中可能不會發(fā)生搶占,在設(shè)計良好的實時操作系統(tǒng)中,這些窗口非常短,通常是數(shù)百納秒的順序。此外,實時操作系統(tǒng)對搶占延遲和中斷禁用的時間設(shè)置了一個上限;這個上限允許開發(fā)人員確定最壞情況下的延遲。
為了實現(xiàn)一致的可預(yù)測性和關(guān)鍵活動的及時完成這一目標(biāo),實時操作系統(tǒng)內(nèi)核必須盡可能簡單優(yōu)雅。實現(xiàn)這種簡單性的最佳方法是設(shè)計一個內(nèi)核,該內(nèi)核只包含具有短執(zhí)行路徑的服務(wù)。通過從內(nèi)核中排除工作密集型操作(例如進(jìn)程加載)并將其分配給外部進(jìn)程或線程,實時操作系統(tǒng)設(shè)計器可以幫助確保通過內(nèi)核的最長不可搶占代碼路徑上存在上限。
在一些GPOS中,內(nèi)核增加了一定程度的搶占性。然而,不可能發(fā)生搶占的時間間隔仍然比典型實時操作系統(tǒng)中的時間間隔長得多;任何此類搶占時間間隔的長度將取決于GPOS內(nèi)核中任何模塊(例如,網(wǎng)絡(luò))的最長關(guān)鍵部分。此外,一個可搶占的GPOS內(nèi)核不會處理其他可能造成無限延遲的條件,例如,當(dāng)客戶端調(diào)用驅(qū)動程序或其他系統(tǒng)服務(wù)時發(fā)生的優(yōu)先級信息丟失。
■ 避免優(yōu)先級反轉(zhuǎn)
在GPOS中,甚至在實時操作系統(tǒng)中,低優(yōu)先級線程可能無意中阻止高優(yōu)先級線程訪問cpu,這種情況稱為優(yōu)先級反轉(zhuǎn)。當(dāng)發(fā)生無限優(yōu)先級反轉(zhuǎn)時,可能會錯過關(guān)鍵的最后期限,從而導(dǎo)致從異常系統(tǒng)行為到徹底失敗的結(jié)果。不幸的是,在系統(tǒng)設(shè)計過程中,優(yōu)先級反轉(zhuǎn)常常被忽略。優(yōu)先級反轉(zhuǎn)的例子很多,其中包括1997年7月火星探險者項目。
一般來說,當(dāng)兩個不同優(yōu)先級的任務(wù)共享一個資源,而高優(yōu)先級的任務(wù)無法從低優(yōu)先級的任務(wù)獲得資源時,就會發(fā)生優(yōu)先級反轉(zhuǎn)。為了防止這種情況超過有限的時間間隔,實時操作系統(tǒng)可以提供GPOS中不可用的機(jī)制選擇,包括優(yōu)先級繼承和優(yōu)先級上限模擬。我們不可能公正地對待這兩種機(jī)制,所以讓我們關(guān)注一個優(yōu)先級繼承的例子。.
首先,我們必須考慮任務(wù)同步如何導(dǎo)致阻塞,以及阻塞如何反過來導(dǎo)致優(yōu)先級反轉(zhuǎn)。假設(shè)兩個任務(wù)正在運(yùn)行,任務(wù)1和任務(wù)2,并且任務(wù)1具有更高的優(yōu)先級。如果任務(wù)1已準(zhǔn)備好執(zhí)行,但必須等待任務(wù)2完成活動,則會阻塞。此阻塞可能是由于同步造成的;例如,任務(wù)1和任務(wù)2共享由鎖或信號量控制的資源,而任務(wù)1正在等待任務(wù)2解鎖該資源?;蛘撸赡苁且驗槿蝿?wù)1正在請求任務(wù)2當(dāng)前使用的服務(wù)。
阻塞允許任務(wù)2運(yùn)行,直到發(fā)生任務(wù)1正在等待的條件(例如,任務(wù)2解鎖兩個任務(wù)共享的資源)。此時,任務(wù)1開始執(zhí)行。任務(wù)1必須等待的總時間稱為阻塞因子。如果任務(wù)1要滿足其任何時間限制,則此阻塞因子不能隨任何參數(shù)(例如線程數(shù)或系統(tǒng)輸入)而變化。換句話說,阻塞因子必須是有界的。
現(xiàn)在讓我們介紹第三個任務(wù),任務(wù) 3,它的優(yōu)先級高于任務(wù) 2,但低于任務(wù) 1(參見圖1)。如果任務(wù)3在任務(wù)2執(zhí)行時準(zhǔn)備好運(yùn)行,則它將搶占任務(wù)2,并且任務(wù)2將無法再次運(yùn)行,直到任務(wù)3阻塞或完成。當(dāng)然,這個新任務(wù)會增加任務(wù)1的阻塞因子;也就是說,它會進(jìn)一步延遲任務(wù)1的執(zhí)行。搶占引入的總延遲是一個優(yōu)先級反轉(zhuǎn)。
圖2 任務(wù)2繼承任務(wù)1的較高優(yōu)先級,從而防止任務(wù)3搶占任務(wù)2。任務(wù)3不再延遲任務(wù)1的執(zhí)行。
■ 分區(qū)調(diào)度器
對于許多系統(tǒng),保證資源可用性是至關(guān)重要的。如果一個關(guān)鍵的子系統(tǒng)被剝奪了,比如說,CPU周期,那么這個子系統(tǒng)提供的服務(wù)對于用戶來說就變得不可用了。例如,在拒絕服務(wù)(DoS)攻擊中,惡意用戶可以用需要高優(yōu)先級進(jìn)程處理的請求轟炸系統(tǒng)。這個進(jìn)程可能會使CPU超載,使其他進(jìn)程的CPU周期中斷,從而使系統(tǒng)對用戶不可用。
安全漏洞并不是進(jìn)程饑餓的唯一原因。在許多情況下,向系統(tǒng)添加軟件功能會將系統(tǒng)推向“崩潰的邊緣”,并使現(xiàn)有的應(yīng)用程序占用大量CPU時間。及時運(yùn)行的應(yīng)用程序或服務(wù)不再按預(yù)期或要求作出響應(yīng)。從歷史上看,解決這個問題的唯一辦法要么是改造硬件,要么是重新編碼(或重新設(shè)計)軟件——兩者都是不受歡迎的選擇。為了解決這些問題,系統(tǒng)設(shè)計人員需要一個分區(qū)方案,通過硬件或軟件強(qiáng)制執(zhí)行CPU運(yùn)算,以防止進(jìn)程或線程獨(dú)占其他進(jìn)程或線程所需的CPU周期。由于實時操作系統(tǒng)已經(jīng)提供了對CPU、內(nèi)存和其他計算資源的集中訪問,所以實時操作系統(tǒng)是執(zhí)行CPU分區(qū)運(yùn)算的最佳選擇。
有些實時操作系統(tǒng)提供一個固定的分區(qū)調(diào)度器。使用此調(diào)度器,系統(tǒng)設(shè)計人員可以將任務(wù)劃分為組或分區(qū),并為每個分區(qū)分配一定百分比的CPU時間。使用這種方法,任何給定分區(qū)中的任務(wù)消耗的CPU時間都不會超過分區(qū)靜態(tài)定義的百分比。例如,假設(shè)一個分區(qū)分配了30%的CPU。如果該分區(qū)中的進(jìn)程隨后成為拒絕服務(wù)攻擊的目標(biāo),那么它消耗的CPU時間將不超過30%。這個分配的限制允許其他分區(qū)保持其可用性;例如,它可以確保用戶界面(例如遠(yuǎn)程終端)保持可訪問性。因此,操作員可以訪問系統(tǒng)并解決問題,而不必按下復(fù)位開關(guān)。
然而,這種方法有一個問題。因為調(diào)度算法是固定的,所以一個分區(qū)永遠(yuǎn)不能使用分配給其他分區(qū)的CPU周期,即使這些分區(qū)沒有使用它們分配的周期。這種方法會浪費(fèi)CPU周期,并阻止系統(tǒng)處理峰值需求。因此,系統(tǒng)設(shè)計者必須使用更昂貴的處理器,容忍更慢的系統(tǒng),或者限制系統(tǒng)能夠支持的功能數(shù)量。
■ 自適應(yīng)分區(qū)