|
|
|
1 引言
在嵌入式系統應用中,異步實時交互系統占了很大部分,這就要求系統對數據或者控制信號的輸入具有較高的響應速度。相對查詢方式而言,中斷方式具有響應速度快、效率高等特點,因而在嵌入式系統中廣泛采用。隨著VLSI進入深亞微米時代,嵌入式系統趨向于片上系統(SOC),中斷控制部分不再由獨立的通用中斷控制芯片構成,而是由系統開發者根據特定的中斷類型設計專用的中斷控制邏輯。
目前,對于中斷控制器的設計方法以及中斷的快速轉移等已經有大量的研究,但是對于中斷機制的可靠性問題研究較少。事實上,中斷機制的可靠性問題是不可忽視的,因為Windows、Unix和Linux等操作系統中,中斷的發生可以導致系統由用戶態進入核心態,如果中斷機制存在問題,在嚴重情況下可能導致安全漏洞和系統隱患。因而中斷機制的可靠性問題對于高可靠性系統來說是一個重要問題。本文嘗試對中斷機制的可靠性問題進行了一些探 討,從中斷檢測、中斷轉移和中斷處理三個角度提出了安全性原則和相關的解決方法,并針對這些問題提出了一種安全的中斷機制的實現。
2 中斷機制可靠性的討論
2.1 概述
中斷是一種控制轉移機制,它引起處理器暫停當前程序的執行,并將控制轉移給中斷處理程序(Interrupt Service Routine),當中斷處理完成之后恢復原來程序的執行。中斷的處理通常是對當前正在執行的程序透明的,并且保留處理器發生中斷時的狀態。
按照中斷的起源,可以分為以下三種情況:
第一種情況,一個中斷可能是源于外部事件,一般稱之為外部中斷。大多數處理器(如x86微處理器和Alpha微處理器)都采用如下類似的方式實現:處理器的一些物理引腳被設計成可以改變電壓(如從+5V變成-5V),從而引起CPU停止當前工作并開始執行處理中斷的特殊代碼——中斷處理程序。依據它們如何發送給處理器的方法而進一步分為可屏蔽中斷(INTR)和不可屏蔽中斷(NMI)。
第二種情況,一個中斷可能是源于處理器內部,一般稱之為異常。這種中斷一般對應于一條指令執行過程中檢測到的某種狀態。
第三種情況,一個中斷可能是源于處理器指令的,一般稱之為軟件中斷,如x86微處理器中的INT指令。軟件中斷是一個指令執行的直接結果。
在本文中,將以上三種中斷統稱為中斷。
一般來說,一次中斷從發生到處理結束可以分為中斷檢測、中斷轉移和中斷處理三個階段,以下依次討論其中的可靠性問題。
2.2 中斷檢測中的可靠性問題
對于中斷檢測的基本要求是準確及時檢測所發生的中斷,并將檢測到的中斷遞交中斷轉移單元。這里所涉及的安全問題主要是不會遺漏發生的中斷,不因干擾而誤報錯誤的中斷。
對于前者,要求中斷檢測單元具有一定的檢測速度,并且在遞交中斷時如果中斷轉移單元處于忙碌狀態,需要中斷檢測單元具有保存所發生的中斷并可延遲提交的能力。
對于后者,一般外部中斷管腳在噪音干擾下可能有短時間的跳變,如果采用簡單的電平檢測或者邊沿檢測就會產生誤報中斷的情況。一種解決的方法是采用邊沿檢測,但是要求邊沿兩側的低電平和高電平持續若干周期。另一種解決的方法是采用電平檢測,如低電平有效,但是要求該電平必須持續若干周期。這樣,通過加寬檢測范圍的方法,就可以濾除部分噪聲干擾的影響,減少誤報中斷的幾率,維持系統正常的運行。
2.3 中斷轉移中的可靠性問題
中斷發生之后,中斷檢測單元會觸發中斷轉移單元,中斷轉移單元應該中斷當前任務的運行,轉向中斷處理程序。對于簡單的中斷機制而言,中斷轉移過程可能只有一個周期或者幾個周期;但是,對于復雜的中斷機制而言,中斷轉移過程可能需要上百個周期,如x86微處理器中的某些中斷轉移即是如此。所以,中斷轉移中的安全問題主要是必須保證中斷轉移的完整性,或者中斷轉移的不可中斷性,否則,系統狀態將進入一種未知的狀態。
一種解決方法是在中斷轉移的過程中將中斷轉移單元置于忙碌狀態,中斷檢測單元應停止中斷的提交。
2.4 中斷處理中的可靠性問題
中斷處理中面臨的安全問題主要是正確的維護系統狀態,包括處理器狀態(如寄存器等)和系統表狀態等。中斷處理可以使用兩種方式,一種是發生中斷的任務中的某段程序來進行處理,另一種是采用另外一個獨立的任務來進行處理。前者只需要在同一 任務內進行控制轉移,只需保存中斷處理程序使用的部分寄存器,比較簡單,轉移過程也比較好;后者需要發生任務切換,可以保存處理器的全部寄存器狀態,對中斷具有較好的隔離性,但是需要花費的時鐘周期數目較多。為了兼顧轉移的效率和處理的安全程度,有必要對全部中斷進行合理的分類,對于非嚴重的中斷采用當前任務處理,對于嚴重的中斷必須采用獨立的任務進行處理。如果對于系統的性能要求較高,可以為中斷處理程序專門保留一些寄存器使用,這些保留的寄存器在非中斷處理程序中是不可見的。
中斷處理時另外一個安全問題和中斷轉移類似,即正在執行中斷處理程序又發生了另外的中斷,中斷處理程序應該繼續執行還是響應新的中斷。如果肓目的忽略中斷繼續執行,可能錯過對某些中斷的處理時機;如果及時響應新發生的中斷,多次中斷嵌套可能導致堆棧溢出等問題。一種解決方法是對中斷分級,高優先級中斷可以中斷低優先級的中斷處理程序,但是低優先級中斷不可中斷高優先級的中斷處理程序;同時,對中斷分類,限制某些嚴重中斷嵌套的層數,而不限制非嚴重中斷的嵌套層數。
3 “龍騰S1”片上系統中的中斷機制可靠性設計
在西北工業大學最近實現的一種面向工業控制的SOC芯片“龍騰S1”中,所實現的中斷機制嚴格的考慮了安全性問題。“龍騰Sl”片卜系統應用于工業控制的嵌入式應用中,內含32位嵌入式微處理器、PC104總線控制器、SDRAM控制、電子盤控制器和串并口控制器等,是PC104系統的高度集成。“龍騰S1”支持256個硬件中斷和軟件中斷,中斷的整體分布和主要屬性如表1所示。
由表1可以看到,除NMI之外,中斷分為三種類型:故障、陷阱和中止。故障主要用于指令執行之前的中斷檢測,故障處理完畢之后,故障指令可以重新執行;陷阱主要用于指令執行結束之后的巾斷通知,陷阱處理完畢之后,系統將繼續執行下一條應該執行的指令;中止用來匯報系統的嚴重錯誤,系統接收到中止異常之后,處理程序需要重建各種系統表,并可能需要重新啟動操作系統。
3.1 中斷檢測中的可靠性考慮
對于外部中斷的檢測,采取了上升沿的檢測方法,要求低電平和高電平各持續8個周期以上。
對于中斷提交的時機,指令內部中斷可在中斷轉移單元空閑的任何時間提交,以便盡快的中斷轉移并進人中斷處理程序;而對于外部中斷則需要在指令窗口之間提交(即上一條指令執行結束和下一條指令即將開始之時),以便保持指令執行的完整性。
3.2 中斷轉移中的可靠性考慮
由于中斷轉移周期較長,所以中斷轉移是依靠處理器固化的微程序實現的。為了防止中斷轉移被新的中斷所打斷,中斷轉移微程序首先設置中斷電路中的狀態標志字為忙碌狀態,這樣可以避免中斷檢測電路再次提交新的中斷,從而保證中斷轉移的完整性。在中斷轉移完畢后,中斷轉移微程序設置中斷電路的狀態標志字為空閑狀態。
3.3 中斷處理中的可靠性考慮
“龍騰S1”為中斷的處理提供了兩種方式:中斷/陷阱門和任務門。前者無需任務切換,而后者實施任務切換。如前所述,對于嚴重錯誤,如無效TSS(任務狀態段)、雙故障等,必須使用任務門進行中斷處理,這樣可以保證處理程序在一個有效的任務環境之中。其他中斷通常可在當前任務環境中進行處理。中斷門和陷阱門的唯一區別是中斷門屏蔽可屏蔽中斷,而陷阱門不屏蔽可屏蔽中斷,用戶可以根據需要進行選擇。
“龍騰S1”為了保證中斷處理過程中的堆棧安全,為不同特權級設置了不同的堆棧。“龍騰S1”支持四種特權級,一般操作系統運行在最高特權級0,用戶程序運行在最低特權級3。當用戶程序發生中斷時,無論是通過中斷/陷阱門處理還是任務門處理,如果處理器由最低特權級轉換到最高特權級,堆棧也會隨之改變。通過這種機制,可以保證中斷處理程序具有自己的堆棧,從而可以保證有足夠的空間來保存處理器狀態和任務上下文等。有關四種特權級下的堆棧指針信息全部保存在任務的任務狀態段(Task State Segment)中,堆棧切換時新的堆棧將從任務狀態段中讀取。
“龍騰S1”中為中斷定義的優先級如上表所示,一般在處理低優先級中斷時又發生高優先級中斷可以串行處理。但是,發生某些嚴重問題時,系統將不再發生新產生的中斷,而是匯報雙故障中斷。按照各種中斷的嚴重程序,從輕到重將中斷分為良性、協作、頁故障和中止,如上表所示。至于哪些中斷的連續發生會導致雙故障,需要按照中斷性質進行考慮,如表2所示。
表2中第一行所列為正在處理的中斷性質,第一列為又發生的中斷性質,表格內容中所采取的策略:串行處理,雙故障、頁故障和中止。可看到連續發生良性異常,由于中斷嚴重程序較低,系統策略為串行處理;而對于最為嚴重的中止,發生任何中斷都會導致系統進入停機狀態,即只有通過NMI信號輸入或者系統復位才能使處理器重新啟動。最后,我們給出“龍騰S1”中的中斷檢測電路(圖1)和中斷轉移流程(圖2)。
4 小結
中斷機制為處理外部請求(如外設請求)和指令執行過程中的一些異常情況和事件提供了有力的支持。中斷的處理將會導致控制的轉移——從應用程序轉移到系統的中斷處理程序。本文重點討論了這一過程中中斷檢測、中斷轉移和中斷處理三個階段中的可靠性問題,分別給出了若干設計規則,最后給出了一種工業控制用片上系統“龍騰S1”中的安全考慮和實現方法。“龍騰S1”片上系統已經使用SMIC 0.18微米工藝流片,樣片測試中可以運行未經修改的DOS 6.22操作系統,并能運行大量應用程序,從而證明本文針對中斷的可靠性設計是有效的。本文的研究結果對口益普遍的片上系統中的中斷控制單元設計有著重要的參考價值。 |
|
發表于 2010-9-27 17:51:31
收藏
頂
踩