片上系統(tǒng)中斷機(jī)制的可靠性設(shè)計
在嵌入式系統(tǒng)應(yīng)用中,異步實時交互系統(tǒng)占了很大部分,這就要求系統(tǒng)對數(shù)據(jù)或者控制信號的輸入具有較高的響應(yīng)速度。相對查詢方式而言,中斷方式具有響應(yīng)速度快、效率高等特點,因而在嵌入式系統(tǒng)中廣泛采用。隨著VLSI進(jìn)入深亞微米時代,嵌入式系統(tǒng)趨向于片上系統(tǒng)(SOC),中斷控制部分不再由獨立的通用中斷控制芯片構(gòu)成,而是由系統(tǒng)開發(fā)者根據(jù)特定的中斷類型設(shè)計專用的中斷控制邏輯。
目前,對于中斷控制器的設(shè)計方法以及中斷的快速轉(zhuǎn)移等已經(jīng)有大量的研究,但是對于中斷機(jī)制的可靠性問題研究較少。事實上,中斷機(jī)制的可靠性問題是不可忽視的,因為Windows、Unix和Linux等操作系統(tǒng)中,中斷的發(fā)生可以導(dǎo)致系統(tǒng)由用戶態(tài)進(jìn)入核心態(tài),如果中斷機(jī)制存在問題,在嚴(yán)重情況下可能導(dǎo)致安全漏洞和系統(tǒng)隱患。因而中斷機(jī)制的可靠性問題對于高可靠性系統(tǒng)來說是一個重要問題。本文嘗試對中斷機(jī)制的可靠性問題進(jìn)行了一些探
討,從中斷檢測、中斷轉(zhuǎn)移和中斷處理三個角度提出了安全性原則和相關(guān)的解決方法,并針對這些問題提出了一種安全的中斷機(jī)制的實現(xiàn)。
2 中斷機(jī)制可靠性的討論
2.1 概述
中斷是一種控制轉(zhuǎn)移機(jī)制,它引起處理器暫停當(dāng)前程序的執(zhí)行,并將控制轉(zhuǎn)移給中斷處理程序(Interrupt Service Routine),當(dāng)中斷處理完成之后恢復(fù)原來程序的執(zhí)行。中斷的處理通常是對當(dāng)前正在執(zhí)行的程序透明的,并且保留處理器發(fā)生中斷時的狀態(tài)。
按照中斷的起源,可以分為以下三種情況:
第一種情況,一個中斷可能是源于外部事件,一般稱之為外部中斷。大多數(shù)處理器(如x86微處理器和Alpha微處理器)都采用如下類似的方式實現(xiàn):處理器的一些物理引腳被設(shè)計成可以改變電壓(如從+5V變成-5V),從而引起CPU停止當(dāng)前工作并開始執(zhí)行處理中斷的特殊代碼——中斷處理程序。依據(jù)它們?nèi)绾伟l(fā)送給處理器的方法而進(jìn)一步分為可屏蔽中斷(INTR)和不可屏蔽中斷(NMI)。
第二種情況,一個中斷可能是源于處理器內(nèi)部,一般稱之為異常。這種中斷一般對應(yīng)于一條指令執(zhí)行過程中檢測到的某種狀態(tài)。
第三種情況,一個中斷可能是源于處理器指令的,一般稱之為軟件中斷,如x86微處理器中的INT指令。軟件中斷是一個指令執(zhí)行的直接結(jié)果。
在本文中,將以上三種中斷統(tǒng)稱為中斷。
一般來說,一次中斷從發(fā)生到處理結(jié)束可以分為中斷檢測、中斷轉(zhuǎn)移和中斷處理三個階段,以下依次討論其中的可靠性問題。
2.2 中斷檢測中的可靠性問題
對于中斷檢測的基本要求是準(zhǔn)確及時檢測所發(fā)生的中斷,并將檢測到的中斷遞交中斷轉(zhuǎn)移單元。這里所涉及的安全問題主要是不會遺漏發(fā)生的中斷,不因干擾而誤報錯誤的中斷。
對于前者,要求中斷檢測單元具有一定的檢測速度,并且在遞交中斷時如果中斷轉(zhuǎn)移單元處于忙碌狀態(tài),需要中斷檢測單元具有保存所發(fā)生的中斷并可延遲提交的能力。
對于后者,一般外部中斷管腳在噪音干擾下可能有短時間的跳變,如果采用簡單的電平檢測或者邊沿檢測就會產(chǎn)生誤報中斷的情況。一種解決的方法是采用邊沿檢測,但是要求邊沿兩側(cè)的低電平和高電平持續(xù)若干周期。另一種解決的方法是采用電平檢測,如低電平有效,但是要求該電平必須持續(xù)若干周期。這樣,通過加寬檢測范圍的方法,就可以濾除部分噪聲干擾的影響,減少誤報中斷的幾率,維持系統(tǒng)正常的運行。
2.3 中斷轉(zhuǎn)移中的可靠性問題
中斷發(fā)生之后,中斷檢測單元會觸發(fā)中斷轉(zhuǎn)移單元,中斷轉(zhuǎn)移單元應(yīng)該中斷當(dāng)前任務(wù)的運行,轉(zhuǎn)向中斷處理程序。對于簡單的中斷機(jī)制而言,中斷轉(zhuǎn)移過程可能只有一個周期或者幾個周期;但是,對于復(fù)雜的中斷機(jī)制而言,中斷轉(zhuǎn)移過程可能需要上百個周期,如x86微處理器中的某些中斷轉(zhuǎn)移即是如此。所以,中斷轉(zhuǎn)移中的安全問題主要是必須保證中斷轉(zhuǎn)移的完整性,或者中斷轉(zhuǎn)移的不可中斷性,否則,系統(tǒng)狀態(tài)將進(jìn)入一種未知的狀態(tài)。
一種解決方法是在中斷轉(zhuǎn)移的過程中將中斷轉(zhuǎn)移單元置于忙碌狀態(tài),中斷檢測單元應(yīng)停止中斷的提交。
2.4 中斷處理中的可靠性問題
中斷處理中面臨的安全問題主要是正確的維護(hù)系統(tǒng)狀態(tài),包括處理器狀態(tài)(如寄存器等)和系統(tǒng)表狀態(tài)等。中斷處理可以使用兩種方式,一種是發(fā)生中斷的任務(wù)中的某段程序來進(jìn)行處理,另一種是采用另外一個獨立的任務(wù)來進(jìn)行處理。前者只需要在同一 任務(wù)內(nèi)進(jìn)行控制轉(zhuǎn)移,只需保存中斷處理程序使用的部分寄存器,比較簡單,轉(zhuǎn)移過程也比較好;后者需要發(fā)生任務(wù)切換,可以保存處理器的全部寄存器狀態(tài),對中斷具有較好的隔離性,但是需要花費的時鐘周期數(shù)目較多。為了兼顧轉(zhuǎn)移的效率和處理的安全程度,有必要對全部中斷進(jìn)行合理的分類,對于非嚴(yán)重的中斷采用當(dāng)前任務(wù)處理,對于嚴(yán)重的中斷必須采用獨立的任務(wù)進(jìn)行處理。如果對于系統(tǒng)的性能要求較高,可以為中斷處理程序?qū)iT保留一些寄存器使用,這些保留的寄存器在非中斷處理程序中是不可見的。
中斷處理時另外一個安全問題和中斷轉(zhuǎn)移類似,即正在執(zhí)行中斷處理程序又發(fā)生了另外的中斷,中斷處理程序應(yīng)該繼續(xù)執(zhí)行還是響應(yīng)新的中斷。如果肓目的忽略中斷繼續(xù)執(zhí)行,可能錯過對某些中斷的處理時機(jī);如果及時響應(yīng)新發(fā)生的中斷,多次中斷嵌套可能導(dǎo)致堆棧溢出等問題。一種解決方法是對中斷分級,高優(yōu)先級中斷可以中斷低優(yōu)先級的中斷處理程序,但是低優(yōu)先級中斷不可中斷高優(yōu)先級的中斷處理程序;同時,對中斷分類,限制某些嚴(yán)重中斷嵌套的層數(shù),而不限制非嚴(yán)重中斷的嵌套層數(shù)。
3 “龍騰S1”片上系統(tǒng)中的中斷機(jī)制可靠性設(shè)計
在西北工業(yè)大學(xué)最近實現(xiàn)的一種面向工業(yè)控制的SOC芯片“龍騰S1”中,所實現(xiàn)的中斷機(jī)制嚴(yán)格的考慮了安全性問題?!褒堯vSl”片卜系統(tǒng)應(yīng)用于工業(yè)控制的嵌入式應(yīng)用中,內(nèi)含32位嵌入式微處理器、PC104總線控制器、SDRAM控制、電子盤控制器和串并口控制器等,是PC104系統(tǒng)的高度集成?!褒堯vS1”支持256個硬件中斷和軟件中斷,中斷的整體分布和主要屬性如表1所示。
由表1可以看到,除NMI之外,中斷分為三種類型:故障、陷阱和中止。故障主要用于指令執(zhí)行之前的中斷檢測,故障處理完畢之后,故障指令可以重新執(zhí)行;陷阱主要用于指令執(zhí)行結(jié)束之后的巾斷通知,陷阱處理完畢之后,系統(tǒng)將繼續(xù)執(zhí)行下一條應(yīng)該執(zhí)行的指令;中止用來匯報系統(tǒng)的嚴(yán)重錯誤,系統(tǒng)接收到中止異常之后,處理程序需要重建各種系統(tǒng)表,并可能需要重新啟動操作系統(tǒng)。
3.1 中斷檢測中的可靠性考慮
對于外部中斷的檢測,采取了上升沿的檢測方法,要求低電平和高電平各持續(xù)8個周期以上。
對于中斷提交的時機(jī),指令內(nèi)部中斷可在中斷轉(zhuǎn)移單元空閑的任何時間提交,以便盡快的中斷轉(zhuǎn)移并進(jìn)人中斷處理程序;而對于外部中斷則需要在指令窗口之間提交(即上一條指令執(zhí)行結(jié)束和下一條指令即將開始之時),以便保持指令執(zhí)行的完整性。
3.2 中斷轉(zhuǎn)移中的可靠性考慮
由于中斷轉(zhuǎn)移周期較長,所以中斷轉(zhuǎn)移是依靠處理器固化的微程序?qū)崿F(xiàn)的。為了防止中斷轉(zhuǎn)移被新的中斷所打斷,中斷轉(zhuǎn)移微程序首先設(shè)置中斷電路中的狀態(tài)標(biāo)志字為忙碌狀態(tài),這樣可以避免中斷檢測電路再次提交新的中斷,從而保證中斷轉(zhuǎn)移的完整性。在中斷轉(zhuǎn)移完畢后,中斷轉(zhuǎn)移微程序設(shè)置中斷電路的狀態(tài)標(biāo)志字為空閑狀態(tài)。
3.3 中斷處理中的可靠性考慮
“龍騰S1”為中斷的處理提供了兩種方式:中斷/陷阱門和任務(wù)門。前者無需任務(wù)切換,而后者實施任務(wù)切換。如前所述,對于嚴(yán)重錯誤,如無效TSS(任務(wù)狀態(tài)段)、雙故障等,必須使用任務(wù)門進(jìn)行中斷處理,這樣可以保證處理程序在一個有效的任務(wù)環(huán)境之中。其他中斷通??稍诋?dāng)前任務(wù)環(huán)境中進(jìn)行處理。中斷門和陷阱門的唯一區(qū)別是中斷門屏蔽可屏蔽中斷,而陷阱門不屏蔽可屏蔽中斷,用戶可以根據(jù)需要進(jìn)行選擇。
“龍騰S1”為了保證中斷處理過程中的堆棧安全,為不同特權(quán)級設(shè)置了不同的堆棧?!褒堯vS1”支持四種特權(quán)級,一般操作系統(tǒng)運行在最高特權(quán)級0,用戶程序運行在最低特權(quán)級3。當(dāng)用戶程序發(fā)生中斷時,無論是通過中斷/陷阱門處理還是任務(wù)門處理,如果處理器由最低特權(quán)級轉(zhuǎn)換到最高特權(quán)級,堆棧也會隨之改變。通過這種機(jī)制,可以保證中斷處理程序具有自己的堆棧,從而可以保證有足夠的空間來保存處理器狀態(tài)和任務(wù)上下文等。有關(guān)四種特權(quán)級下的堆棧指針信息全部保存在任務(wù)的任務(wù)狀態(tài)段(Task State Segment)中,堆棧切換時新的堆棧將從任務(wù)狀態(tài)段中讀取。
“龍騰S1”中為中斷定義的優(yōu)先級如上表所示,一般在處理低優(yōu)先級中斷時又發(fā)生高優(yōu)先級中斷可以串行處理。但是,發(fā)生某些嚴(yán)重問題時,系統(tǒng)將不再發(fā)生新產(chǎn)生的中斷,而是匯報雙故障中斷。按照各種中斷的嚴(yán)重程序,從輕到重將中斷分為良性、協(xié)作、頁故障和中止,如上表所示。至于哪些中斷的連續(xù)發(fā)生會導(dǎo)致雙故障,需要按照中斷性質(zhì)進(jìn)行考慮,如表2所示。
表2中第一行所列為正在處理的中斷性質(zhì),第一列為又發(fā)生的中斷性質(zhì),表格內(nèi)容中所采取的策略:串行處理,雙故障、頁故障和中止??煽吹竭B續(xù)發(fā)生良性異常,由于中斷嚴(yán)重程序較低,系統(tǒng)策略為串行處理;而對于最為嚴(yán)重的中止,發(fā)生任何中斷都會導(dǎo)致系統(tǒng)進(jìn)入停機(jī)狀態(tài),即只有通過NMI信號輸入或者系統(tǒng)復(fù)位才能使處理器重新啟動。最后,我們給出“龍騰S1”中的中斷檢測電路(圖1)和中斷轉(zhuǎn)移流程(圖2)。
4 小結(jié)
中斷機(jī)制為處理外部請求(如外設(shè)請求)和指令執(zhí)行過程中的一些異常情況和事件提供了有力的支持。中斷的處理將會導(dǎo)致控制的轉(zhuǎn)移——從應(yīng)用程序轉(zhuǎn)移到系統(tǒng)的中斷處理程序。本文重點討論了這一過程中中斷檢測、中斷轉(zhuǎn)移和中斷處理三個階段中的可靠性問題,分別給出了若干設(shè)計規(guī)則,最后給出了一種工業(yè)控制用片上系統(tǒng)“龍騰S1”中的安全考慮和實現(xiàn)方法。“龍騰S1”片上系統(tǒng)已經(jīng)使用SMIC 0.18微米工藝流片,樣片測試中可以運行未經(jīng)修改的DOS 6.22操作系統(tǒng),并能運行大量應(yīng)用程序,從而證明本文針對中斷的可靠性設(shè)計是有效的。本文的研究結(jié)果對口益普遍的片上系統(tǒng)中的中斷控制單元設(shè)計有著重要的參考價值。
評論