如今，高性能處理器和通用操作系統(tǒng)實(shí)時(shí)升級(jí)的速度，似乎再次引發(fā)了嵌入式系統(tǒng)是否仍需要RTOS的討論。答案沒(méi)有改變：在相對(duì)低端的處理器上只有真正的RTOS能提供一些保障，也就意味著，這些OS可以留在嵌入式環(huán)境中。

■ 究竟何時(shí)需要實(shí)時(shí)操作系統(tǒng)？

大多數(shù)嵌入式項(xiàng)目是否仍需要實(shí)時(shí)操作系統(tǒng)？考慮到當(dāng)今高性能處理器的速度以及適用于Linux，Windows和其他通用操作系統(tǒng)（GPOS）的實(shí)時(shí)補(bǔ)丁的可用性，這是一個(gè)很好的問(wèn)題。

答案在于嵌入式設(shè)備的本質(zhì)。這些設(shè)備通常以數(shù)千，甚至數(shù)百萬(wàn)桃這種規(guī)模下生產(chǎn)，即使每套硬件成本降低1美元，也能為制造商節(jié)省一筆小財(cái)富。換言之，這些設(shè)備無(wú)法負(fù)擔(dān)數(shù)百萬(wàn)赫茲處理器的成本（更不用說(shuō)散熱了）。

例如，在汽車(chē)遠(yuǎn)程信息處理市場(chǎng)，典型的32位處理器的運(yùn)行頻率約為600兆赫，遠(yuǎn)低于臺(tái)式機(jī)和服務(wù)器中常見(jiàn)的處理器。在這樣的環(huán)境中，設(shè)計(jì)用于從低端硬件中提取極其快速、可預(yù)測(cè)的響應(yīng)時(shí)間的實(shí)時(shí)操作系統(tǒng)有巨大的經(jīng)濟(jì)優(yōu)勢(shì)。

除了節(jié)省成本外，實(shí)時(shí)操作系統(tǒng)提供的服務(wù)使許多計(jì)算問(wèn)題更容易解決，特別是當(dāng)多個(gè)活動(dòng)競(jìng)爭(zhēng)一個(gè)系統(tǒng)的資源時(shí)。例如，考慮一個(gè)用戶(hù)期望（或需要）立即響應(yīng)輸入的系統(tǒng)。使用實(shí)時(shí)操作系統(tǒng)，開(kāi)發(fā)人員可以保證由用戶(hù)發(fā)起的操作將優(yōu)先于其他系統(tǒng)活動(dòng)執(zhí)行，除非必須首先執(zhí)行更重要的活動(dòng)（例如，有助于保護(hù)用戶(hù)安全的操作）。

還要考慮一個(gè)必須滿足服務(wù)質(zhì)量（QoS）要求的系統(tǒng)，例如顯示實(shí)時(shí)視頻的設(shè)備。如果設(shè)備的內(nèi)容交付的任何部分都依賴(lài)于軟件，那么它會(huì)以用戶(hù)認(rèn)為不可接受的速度體驗(yàn)掉幀，設(shè)備是不可靠的。然而，通過(guò)實(shí)時(shí)操作系統(tǒng)，開(kāi)發(fā)人員可以精確地控制軟件進(jìn)程的執(zhí)行順序，并確保以適當(dāng)和一致的速率進(jìn)行回放。

■ 實(shí)時(shí)操作系統(tǒng)不公平

在嵌入式行業(yè)中，對(duì)實(shí)時(shí)“硬”時(shí)間的需求仍然很普遍。問(wèn)題是:實(shí)時(shí)操作系統(tǒng)有什么是GPOS沒(méi)有的?而且，對(duì)于某些GPOS來(lái)說(shuō)，現(xiàn)在的實(shí)時(shí)擴(kuò)展有多有用?他們能提供一個(gè)合理的實(shí)時(shí)操作系統(tǒng)性能嗎？

讓我們從任務(wù)調(diào)度開(kāi)始。在GPOS中，調(diào)度程序通常使用“公平”策略將線程和進(jìn)程分派到CPU。這樣的策略可以實(shí)現(xiàn)桌面和服務(wù)器應(yīng)用程序所需的高整體吞吐量，但不能保證高優(yōu)先級(jí)、時(shí)間緊迫的線程優(yōu)先于低優(yōu)先級(jí)的線程執(zhí)行。

例如，GPOS可能會(huì)降低分配給高優(yōu)先級(jí)線程的優(yōu)先級(jí)，或者為了保證系統(tǒng)中其他線程的公平性而動(dòng)態(tài)調(diào)整線程的優(yōu)先級(jí)。因此，高優(yōu)先級(jí)線程可能被低優(yōu)先級(jí)線程搶占。此外大多數(shù)GPOS具有無(wú)界的調(diào)度延遲:系統(tǒng)中的線程越多，GPOS調(diào)度一個(gè)執(zhí)行線程所需的時(shí)間就越長(zhǎng)，這些因素中的任何一個(gè)都可能導(dǎo)致高優(yōu)先級(jí)線程錯(cuò)過(guò)最后期限，即使是在高速CPU上。

此外，高優(yōu)先級(jí)線程可以不間斷地運(yùn)行，直到它完成它需要做的事情，當(dāng)然，除非它被一個(gè)更高優(yōu)先級(jí)的線程搶占。這種方法被稱(chēng)為基于優(yōu)先級(jí)的搶占式調(diào)度，允許高優(yōu)先級(jí)線程滿足其最后期限，即使許多其他線程正在爭(zhēng)奪CPU時(shí)間。

■ 搶占式內(nèi)核

在大多數(shù)GPOS中，os內(nèi)核是不可搶占的。因此，高優(yōu)先級(jí)用戶(hù)線程永遠(yuǎn)不能搶占內(nèi)核調(diào)用，而是必須等待整個(gè)調(diào)用完成—即使調(diào)用是由系統(tǒng)中優(yōu)先級(jí)最低的進(jìn)程調(diào)用的。此外，當(dāng)驅(qū)動(dòng)程序或其他系統(tǒng)服務(wù)（通常在內(nèi)核調(diào)用中執(zhí)行）代表客戶(hù)端線程執(zhí)行exe剪切時(shí)，所有優(yōu)先級(jí)信息通常都會(huì)丟失。這種行為會(huì)導(dǎo)致不可預(yù)知的延遲，并阻止關(guān)鍵活動(dòng)按時(shí)完成。

另一方面，在實(shí)時(shí)操作系統(tǒng)中，內(nèi)核操作是可搶占的。與在GPOS中一樣，在時(shí)間窗口中可能不會(huì)發(fā)生搶占，在設(shè)計(jì)良好的實(shí)時(shí)操作系統(tǒng)中，這些窗口非常短，通常是數(shù)百納秒的順序。此外，實(shí)時(shí)操作系統(tǒng)對(duì)搶占延遲和中斷禁用的時(shí)間設(shè)置了一個(gè)上限；這個(gè)上限允許開(kāi)發(fā)人員確定最壞情況下的延遲。

為了實(shí)現(xiàn)一致的可預(yù)測(cè)性和關(guān)鍵活動(dòng)的及時(shí)完成這一目標(biāo)，實(shí)時(shí)操作系統(tǒng)內(nèi)核必須盡可能簡(jiǎn)單優(yōu)雅。實(shí)現(xiàn)這種簡(jiǎn)單性的最佳方法是設(shè)計(jì)一個(gè)內(nèi)核，該內(nèi)核只包含具有短執(zhí)行路徑的服務(wù)。通過(guò)從內(nèi)核中排除工作密集型操作（例如進(jìn)程加載）并將其分配給外部進(jìn)程或線程，實(shí)時(shí)操作系統(tǒng)設(shè)計(jì)器可以幫助確保通過(guò)內(nèi)核的最長(zhǎng)不可搶占代碼路徑上存在上限。

在一些GPOS中，內(nèi)核增加了一定程度的搶占性。然而，不可能發(fā)生搶占的時(shí)間間隔仍然比典型實(shí)時(shí)操作系統(tǒng)中的時(shí)間間隔長(zhǎng)得多；任何此類(lèi)搶占時(shí)間間隔的長(zhǎng)度將取決于GPOS內(nèi)核中任何模塊（例如，網(wǎng)絡(luò)）的最長(zhǎng)關(guān)鍵部分。此外，一個(gè)可搶占的GPOS內(nèi)核不會(huì)處理其他可能造成無(wú)限延遲的條件，例如，當(dāng)客戶(hù)端調(diào)用驅(qū)動(dòng)程序或其他系統(tǒng)服務(wù)時(shí)發(fā)生的優(yōu)先級(jí)信息丟失。

■ 避免優(yōu)先級(jí)反轉(zhuǎn)

在GPOS中，甚至在實(shí)時(shí)操作系統(tǒng)中，低優(yōu)先級(jí)線程可能無(wú)意中阻止高優(yōu)先級(jí)線程訪問(wèn)cpu，這種情況稱(chēng)為優(yōu)先級(jí)反轉(zhuǎn)。當(dāng)發(fā)生無(wú)限優(yōu)先級(jí)反轉(zhuǎn)時(shí)，可能會(huì)錯(cuò)過(guò)關(guān)鍵的最后期限，從而導(dǎo)致從異常系統(tǒng)行為到徹底失敗的結(jié)果。不幸的是，在系統(tǒng)設(shè)計(jì)過(guò)程中，優(yōu)先級(jí)反轉(zhuǎn)常常被忽略。優(yōu)先級(jí)反轉(zhuǎn)的例子很多，其中包括1997年7月火星探險(xiǎn)者項(xiàng)目。

一般來(lái)說(shuō)，當(dāng)兩個(gè)不同優(yōu)先級(jí)的任務(wù)共享一個(gè)資源，而高優(yōu)先級(jí)的任務(wù)無(wú)法從低優(yōu)先級(jí)的任務(wù)獲得資源時(shí)，就會(huì)發(fā)生優(yōu)先級(jí)反轉(zhuǎn)。為了防止這種情況超過(guò)有限的時(shí)間間隔，實(shí)時(shí)操作系統(tǒng)可以提供GPOS中不可用的機(jī)制選擇，包括優(yōu)先級(jí)繼承和優(yōu)先級(jí)上限模擬。我們不可能公正地對(duì)待這兩種機(jī)制，所以讓我們關(guān)注一個(gè)優(yōu)先級(jí)繼承的例子。.

首先，我們必須考慮任務(wù)同步如何導(dǎo)致阻塞，以及阻塞如何反過(guò)來(lái)導(dǎo)致優(yōu)先級(jí)反轉(zhuǎn)。假設(shè)兩個(gè)任務(wù)正在運(yùn)行，任務(wù)1和任務(wù)2，并且任務(wù)1具有更高的優(yōu)先級(jí)。如果任務(wù)1已準(zhǔn)備好執(zhí)行，但必須等待任務(wù)2完成活動(dòng)，則會(huì)阻塞。此阻塞可能是由于同步造成的；例如，任務(wù)1和任務(wù)2共享由鎖或信號(hào)量控制的資源，而任務(wù)1正在等待任務(wù)2解鎖該資源。或者，可能是因?yàn)槿蝿?wù)1正在請(qǐng)求任務(wù)2當(dāng)前使用的服務(wù)。

阻塞允許任務(wù)2運(yùn)行，直到發(fā)生任務(wù)1正在等待的條件（例如，任務(wù)2解鎖兩個(gè)任務(wù)共享的資源）。此時(shí)，任務(wù)1開(kāi)始執(zhí)行。任務(wù)1必須等待的總時(shí)間稱(chēng)為阻塞因子。如果任務(wù)1要滿足其任何時(shí)間限制，則此阻塞因子不能隨任何參數(shù)（例如線程數(shù)或系統(tǒng)輸入）而變化。換句話說(shuō)，阻塞因子必須是有界的。

現(xiàn)在讓我們介紹第三個(gè)任務(wù)，任務(wù) 3，它的優(yōu)先級(jí)高于任務(wù) 2，但低于任務(wù) 1（參見(jiàn)圖1）。如果任務(wù)3在任務(wù)2執(zhí)行時(shí)準(zhǔn)備好運(yùn)行，則它將搶占任務(wù)2，并且任務(wù)2將無(wú)法再次運(yùn)行，直到任務(wù)3阻塞或完成。當(dāng)然，這個(gè)新任務(wù)會(huì)增加任務(wù)1的阻塞因子；也就是說(shuō)，它會(huì)進(jìn)一步延遲任務(wù)1的執(zhí)行。搶占引入的總延遲是一個(gè)優(yōu)先級(jí)反轉(zhuǎn)。

圖2 任務(wù)2繼承任務(wù)1的較高優(yōu)先級(jí)，從而防止任務(wù)3搶占任務(wù)2。任務(wù)3不再延遲任務(wù)1的執(zhí)行。

■ 分區(qū)調(diào)度器

對(duì)于許多系統(tǒng)，保證資源可用性是至關(guān)重要的。如果一個(gè)關(guān)鍵的子系統(tǒng)被剝奪了，比如說(shuō)，CPU周期，那么這個(gè)子系統(tǒng)提供的服務(wù)對(duì)于用戶(hù)來(lái)說(shuō)就變得不可用了。例如，在拒絕服務(wù)(DoS)攻擊中，惡意用戶(hù)可以用需要高優(yōu)先級(jí)進(jìn)程處理的請(qǐng)求轟炸系統(tǒng)。這個(gè)進(jìn)程可能會(huì)使CPU超載，使其他進(jìn)程的CPU周期中斷，從而使系統(tǒng)對(duì)用戶(hù)不可用。

安全漏洞并不是進(jìn)程饑餓的唯一原因。在許多情況下，向系統(tǒng)添加軟件功能會(huì)將系統(tǒng)推向“崩潰的邊緣”，并使現(xiàn)有的應(yīng)用程序占用大量CPU時(shí)間。及時(shí)運(yùn)行的應(yīng)用程序或服務(wù)不再按預(yù)期或要求作出響應(yīng)。從歷史上看，解決這個(gè)問(wèn)題的唯一辦法要么是改造硬件，要么是重新編碼(或重新設(shè)計(jì))軟件——兩者都是不受歡迎的選擇。為了解決這些問(wèn)題，系統(tǒng)設(shè)計(jì)人員需要一個(gè)分區(qū)方案，通過(guò)硬件或軟件強(qiáng)制執(zhí)行CPU運(yùn)算，以防止進(jìn)程或線程獨(dú)占其他進(jìn)程或線程所需的CPU周期。由于實(shí)時(shí)操作系統(tǒng)已經(jīng)提供了對(duì)CPU、內(nèi)存和其他計(jì)算資源的集中訪問(wèn)，所以實(shí)時(shí)操作系統(tǒng)是執(zhí)行CPU分區(qū)運(yùn)算的最佳選擇。

有些實(shí)時(shí)操作系統(tǒng)提供一個(gè)固定的分區(qū)調(diào)度器。使用此調(diào)度器，系統(tǒng)設(shè)計(jì)人員可以將任務(wù)劃分為組或分區(qū)，并為每個(gè)分區(qū)分配一定百分比的CPU時(shí)間。使用這種方法，任何給定分區(qū)中的任務(wù)消耗的CPU時(shí)間都不會(huì)超過(guò)分區(qū)靜態(tài)定義的百分比。例如，假設(shè)一個(gè)分區(qū)分配了30%的CPU。如果該分區(qū)中的進(jìn)程隨后成為拒絕服務(wù)攻擊的目標(biāo)，那么它消耗的CPU時(shí)間將不超過(guò)30%。這個(gè)分配的限制允許其他分區(qū)保持其可用性;例如，它可以確保用戶(hù)界面(例如遠(yuǎn)程終端)保持可訪問(wèn)性。因此，操作員可以訪問(wèn)系統(tǒng)并解決問(wèn)題，而不必按下復(fù)位開(kāi)關(guān)。 

然而，這種方法有一個(gè)問(wèn)題。因?yàn)檎{(diào)度算法是固定的，所以一個(gè)分區(qū)永遠(yuǎn)不能使用分配給其他分區(qū)的CPU周期，即使這些分區(qū)沒(méi)有使用它們分配的周期。這種方法會(huì)浪費(fèi)CPU周期，并阻止系統(tǒng)處理峰值需求。因此，系統(tǒng)設(shè)計(jì)者必須使用更昂貴的處理器，容忍更慢的系統(tǒng)，或者限制系統(tǒng)能夠支持的功能數(shù)量。

■ 自適應(yīng)分區(qū)