您何時需要實時操作系統(tǒng)？

　　摘要

　　目前的高性能處理器和通用操作系統(tǒng)實時補丁的飛速更新，似乎又重新將嵌入式系統(tǒng)是否還需要實時操作系統(tǒng)這一問題擺在我們面前。答案依然沒變：在嵌入式環(huán)境中，只有真正的實時操作系統(tǒng)才能在低端處理器上同樣提供資源保證。

　　簡介

　　大部分嵌入式項目還需要實時操作系統(tǒng)嗎?這個問題問得好，因為現(xiàn)代高性能處理器和 Linux、Windows 和其他通用操作系統(tǒng) (GPOS) 的實時補丁的出現(xiàn)等等這些都在飛速發(fā)展中。

　　嵌入式設(shè)備的本質(zhì)道出了答案。制造設(shè)備通常都需要幾千個甚至幾百萬個部件。哪怕設(shè)備硬件的單位成本節(jié)省 1 美元，都會為制造商帶來不小的財富。換言之，設(shè)備無法承受數(shù)千兆赫茲級處理器的成本(更不用考慮功耗這些因素了)。

　　例如，在汽車遠程信息處理技術(shù)市場，常見的 32 位處理器以約 600Mhz 的速度運行——遠遠慢于臺式機和服務(wù)器的通用處理器。 在這種運行環(huán)境中，實時操作系統(tǒng)能得到低端硬件超快、可預(yù)測的響應(yīng)，因此具有顯著的節(jié)約成本的優(yōu)勢。

　　除節(jié)約成本之外，實時操作系統(tǒng)提供的服務(wù)還能使許多計算問題迎刃而解，特別是當多種運行爭奪系統(tǒng)資源時。例如，試想一個用戶期望(或需要)立即響應(yīng)輸入的系統(tǒng)。利用實時操作系統(tǒng)，軟件開發(fā)人員能確保用戶啟動的操作會先于其他系統(tǒng)活動執(zhí)行，除非必須先執(zhí)行更重要的任務(wù)(如幫助保護用戶安全的運行)。

　　再試想一個必須滿足服務(wù)質(zhì)量 (QoS) 要求的系統(tǒng)，例如一臺可播放現(xiàn)場視頻的設(shè)備。如果設(shè)備依靠軟件播放其內(nèi)容，它可能會以用戶無法接受的速率出現(xiàn)失幀現(xiàn)象——從用戶的角度看，該設(shè)備不可靠。但使用實時操作系統(tǒng)的話，軟件開發(fā)人員就能精確控制軟件進程的執(zhí)行順序，確保以適當和一致的媒體速率播放。

　　實時操作系統(tǒng)并不“公平”

　　對“硬”實時的需求——以及對實現(xiàn)該功能的實時操作系統(tǒng)的需求——仍然是嵌入式產(chǎn)品業(yè)的普遍要求。問題是：實時操作系統(tǒng)具備哪些通用操作系統(tǒng)所不具備的功能呢?適用于一些通用操作系統(tǒng)的實時擴展組件有多大用處呢?它們能提供和實時操作系統(tǒng)一樣的性能嗎?

　　讓我們先從任務(wù)調(diào)度開始。在通用操作系統(tǒng)中，調(diào)度程序通常使用一種“公平”策略，將線程和進程分配到 CPU 中。這種策略可確保臺式機和服務(wù)器的應(yīng)用程序所需的較高的總吞吐量，但無法保證優(yōu)先級高、時間要求嚴格的線程先于優(yōu)先級低的線程執(zhí)行。

　　例如，通用操作系統(tǒng)可能會降低分配給優(yōu)先級高的線程的優(yōu)先級，或按照有利于系統(tǒng)內(nèi)其他線程的公平原則，以動態(tài)方式調(diào)整優(yōu)先級。因此，優(yōu)先級高的線程就可能被優(yōu)先級低的線程搶占。此外，大多數(shù)通用操作系統(tǒng)都具有無限期的分配潛伏期：系統(tǒng)內(nèi)的線程越多，通用操作系統(tǒng)調(diào)度線程執(zhí)行所需的時間就越久。其中任何一種因素都能導(dǎo)致優(yōu)先級高的線程錯過最后期限，即使在速度很快的 CPU 上。

　　另一方面，在實時操作系統(tǒng)中，線程會按其優(yōu)先級的順序執(zhí)行。如果優(yōu)先級高的線程準備運行，它能在很短且有限的時間間隔內(nèi)，從正在執(zhí)行的優(yōu)先級低的線程那里接管 CPU。此外，優(yōu)先級高的線程還能不間斷地運行直到完成任務(wù)為止——當然，除非它被優(yōu)先級更高的線程搶占。這種眾所周知的基于優(yōu)先級的搶占式調(diào)度，可確保優(yōu)先級高的線程始終如一地滿足最后期限的要求，即使在其他線程爭奪 CPU 時間時。

　　搶占式內(nèi)核

　　大多數(shù)通用操作系統(tǒng)的操作系統(tǒng)內(nèi)核都不是搶占式的。因此，優(yōu)先級高的用戶線程無法搶占內(nèi)核調(diào)用，相反，它必須等待整個調(diào)用全部結(jié)束——即使是系統(tǒng)內(nèi)優(yōu)先級低的進程進行調(diào)用。此外，當驅(qū)動程序或其他系統(tǒng)服務(wù)(通常在內(nèi)核調(diào)用中運行)以客戶端線程的名義執(zhí)行時，操作系統(tǒng)通常會丟失所有優(yōu)先級信息。這種系統(tǒng)行為會導(dǎo)致無法預(yù)料的延遲，而且會妨礙關(guān)鍵運行按時完成。

　　另一方面，在實時操作系統(tǒng)中，內(nèi)核運行是可搶占的。在通用操作系統(tǒng)中，有一些時間窗有可能是無法被搶占的，但在精心設(shè)計的實時操作系統(tǒng)中，這些時間窗非常短暫，通常僅約幾百納秒。另外，實時操作系統(tǒng)會針對搶占推遲和中斷禁止的時限設(shè)置上限;這能保證軟件開發(fā)人員確定情況最糟的延遲期。

　　為實現(xiàn)一致的可預(yù)見性目標和及時完成關(guān)鍵運行，實時操作系統(tǒng)內(nèi)核必須盡可能簡單精致。實現(xiàn)這種簡單性的最佳途徑是設(shè)計一種只包含短執(zhí)行路徑服務(wù)的內(nèi)核。通過排除內(nèi)核中任務(wù)集中的運行(如進程加載)并將其分配到外部進程或線程，實時操作系統(tǒng)的設(shè)計人員就能保證通過內(nèi)核的最長的非搶占代碼路徑有上限。

　　在一些通用操作系統(tǒng)中，內(nèi)核增加了某種程度的可搶占性。但無法搶占的時間間隔仍然比常見實時操作系統(tǒng)的長得多;這種搶占間隔的長度取決于通用操作系統(tǒng)內(nèi)核中包含的最長的關(guān)鍵模塊部分(如網(wǎng)絡(luò))。另外，搶占式通用操作系統(tǒng)內(nèi)核不能解決可能的無限期延遲情形，例如因為客戶端調(diào)用驅(qū)動程序或其他系統(tǒng)服務(wù)時丟失優(yōu)先級信息。

　　避免優(yōu)先級反轉(zhuǎn)

　　在通用操作系統(tǒng)(甚至實時操作系統(tǒng))中，優(yōu)先級低的線程也能在無意中阻止優(yōu)先級高的線程訪問 CPU——這種情況被稱為優(yōu)先級反轉(zhuǎn)。當出現(xiàn)無限期的優(yōu)先級反轉(zhuǎn)時，可能會錯過關(guān)鍵的最后期限，進而導(dǎo)致系統(tǒng)運行異常和全面故障的結(jié)果。遺憾的是，在系統(tǒng)設(shè)計過程中人們往往會忽視優(yōu)先級反轉(zhuǎn)。有很多優(yōu)先級反轉(zhuǎn)的實例，包括 1997 年 7 月火星探路者項目遭受困擾的實例。[1]

　　一般來說，當優(yōu)先級不同的兩個任務(wù)共享資源，而優(yōu)先級高的任務(wù)無法從優(yōu)先級低的任務(wù)那里獲得資源時，就會出現(xiàn)優(yōu)先級反轉(zhuǎn)。為防止這種狀況超過有限的時間間隔，實時操作系統(tǒng)可提供一種通用操作系統(tǒng)不具備的選擇機制，包括優(yōu)先級繼承和優(yōu)先級封頂模擬。我們不能單純地評價兩種機制的優(yōu)劣，所以我們著重介紹優(yōu)先級繼承的實例。