实时操作系统RTOS新特征适应高档汽车应用

实时操作系统RTOS新特征适应高档汽车应用

RTOS新特征适应高档汽车应用
■ 李梅

图3 Link Handlers提供的通过处理器边界的消息传递方式

Link Handlers为运行在不同的处理器之间的应用提供一个异步消息传递方式，它是在传统的通信网络环境下一流的和普遍的选择。Link Handlers通过使用一样的异步直接消息传递模型，并将其扩展到了分布式和多核多处理器系统来完成这一工作。目前大多数的RTOS内核在同一处理器中的任务到任务的通信就采用了异步直接消息传递模型。它保证在系统里各种不同的处理器是完全对等的。

Link Handlers并不需要应用软件理解分布式系统的结构。实际上，一个任务的通信助手所在的位置对应用软件是透明的：仅当消息在一个任务传向另一个任务时应用代码才会连接。Link Handlers为消息通过处理器边界提供逻辑通道，而消息通过处理器的方式对应用软件是透明的。

当使用Link Handlers时，连接各种处理器的物理通道可选的范围很广，如网络、串行或总线连接，以及共享存储结构。这些连接基于Handlers的透明通信模型，使得在一个分布式汽车系统里采用异构处理器包括数字信号处理（DSP）成为可能。

高安全性和高可用性支持

除了完成消息传递以外，Link Handlers也必须与运行在其他处理器上的“监视”任务协同工作，而这些处理器的出席对一些应用是至关重要的。当一些关键任务失败或者变得难以实现时，在任何处理器上运行的其他的任务会很快得到出现问题的通报。这些支持“监视眼”机制的RTOS对设计高安全、高可用性和基于冗余的容错系统大有好处。RTOS的Link Handlers在容错系统探测和报告上有一定的开销，因此卸载很多与此相关的应用代码也很必要。

下一代的RTOS也应该提供快速的应用软件现场在线更新工具，不需要应用系统停止工作，以重新上载、修订或者卸载软件。这一功能通常被成为热交换。监视眼和热插拔一起成为RTOS基层架构的主要内容，支持高安全性和高可用性系统的设计。

内存保护

内存保护是面向安全的RTOS的另一个重要因素。　RTOS应该好好利用存储器管理单元，这是一个大多数现代微处理器中都有的构成部件。以传统的“平铺”（flat）体系结构为例，大多数“成品的”或“自建的”RTOS仍在使用这种体系结构。它把所有的模块放在同一个地址空间中，作为操作系统的内核，没有任何存储器的保护。结果任何模块，不管它是多么无关紧要，也能通过内核对存储器进行重写，有可能导致整个系统的崩溃。

有少数的RTOS针对这个问题，使应用程序运行在分离的有存储器保护的地址空间。RTOS与处理器硬件的MMU（内存管理单元）一起保护处理器内存免受非授权的存取访问。如果一个应用程序试图侵害存储器，MMU就会捕获这个错误，从而把这个问题隔离开来。但不幸的是，这些操作系统仍和驱动程序、协议、文件系统绑在一起，并且其他系统可对此内核服务，从而使得这些模块中的任何一个都能导致内核发生致命的错误。

不过，一些RTOS 的微核体系结构则向前迈了一步，可使任何系统级的软件部件在其各自的MMU所保护的地址空间运行。用这种方法，出错的驱动程序和协议则不再成为单独起作用的失效点，而是可以在它们引起其他服务失效前，就使其停止或重新启动，而不必重新开机引导。

产生的结果是完全独立的软件拥有自己独立的内存空间地址。内存管理设备在其造成诸如数据写进了距离自己很远的地址一类的危害前，可以中途阻止迷失方向的存取访问。

这些工具在汽车运行中将可以监视应用软件的安全和运行情况。

汽车电子是本报长期关注的一个热点领域，我们欢迎有关汽车电子的技术、产品等方面的稿件，[email protected]

> 本站内容系网友提交或本网编辑转载，其目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请及时与本网联系，我们将在第一时间删除内容！

相关文章