用已知值填充ROM

  軟件開(kāi)發(fā)人員往往都是非常樂(lè)觀的一群人，只要讓他們的代碼忠實(shí)地長(zhǎng)時(shí)間地運(yùn)行就可以了，僅此而已。微控制器跳出應(yīng)用程序空間并在非預(yù)想的代碼空間中執(zhí)行這種情況似乎是相當(dāng)少有的。然而，這種情況發(fā)生的機(jī)會(huì)并不比緩存溢出或錯(cuò)誤指針失去引用少。它確實(shí)會(huì)發(fā)生，發(fā)生這種情況后的系統(tǒng)行為將是不確定的，因?yàn)槟J(rèn)情況下內(nèi)存空間都是0xFF，或者由于內(nèi)存區(qū)通常沒(méi)有寫過(guò)，其中的值可能只有上帝才知道。
  不過(guò)有相當(dāng)完備的linker或IDE技巧可以用來(lái)幫助識(shí)別這樣的事件并從中恢復(fù)系統(tǒng)。技巧就是使用FILL命令對(duì)未用ROM填充已知的位模式。要填充未使用的內(nèi)存，有很多不同的可能組合可以使用，但如果是想建立更加可靠的系統(tǒng)，最明顯的選擇是在這些位置放置ISR fault handler。如果系統(tǒng)出了某些差錯(cuò)，處理器開(kāi)始執(zhí)行程序空間以外的代碼，就會(huì)觸發(fā)ISR，并在決定校正行動(dòng)之前提供儲(chǔ)存處理器、寄存器和系統(tǒng)狀態(tài)的機(jī)會(huì)。

檢查應(yīng)用程序的CRC

  對(duì)嵌入式工程師來(lái)說(shuō)一個(gè)很大的好處是，我們的IDE和工具鏈可以自動(dòng)產(chǎn)生應(yīng)用程序或內(nèi)存空間校驗(yàn)和(Checksum)，從而根據(jù)這個(gè)校驗(yàn)和驗(yàn)證應(yīng)用程序是否完好。有趣的是，在許多這些案例中，只有在將程序代碼加載到設(shè)備時(shí)，才會(huì)用到校驗(yàn)和。
  然而，如果CRC或校驗(yàn)和保持在內(nèi)存中，那么驗(yàn)證應(yīng)用程序在啟動(dòng)時(shí)(或甚至對(duì)長(zhǎng)時(shí)間運(yùn)行的系統(tǒng)定期驗(yàn)證)是否仍然完好是確保意外之事不會(huì)發(fā)生的極好途徑?，F(xiàn)在一個(gè)編程過(guò)的應(yīng)用程序發(fā)生改變的概率是很小的，但考慮每年交付的數(shù)十億個(gè)微控制器以及可能惡劣的環(huán)境，應(yīng)用程序崩潰的機(jī)會(huì)并不是零。更有可能的是，系統(tǒng)中的一個(gè)缺陷可能導(dǎo)致某一扇區(qū)發(fā)生閃存寫入或閃存擦除，從而破壞應(yīng)用程序的完整性。

在啟動(dòng)時(shí)執(zhí)行RAM檢查

  為了建立一個(gè)更加可靠和扎實(shí)的系統(tǒng)，確保系統(tǒng)硬件正常非常重要。畢竟硬件會(huì)發(fā)生故障。(幸運(yùn)的是軟件永遠(yuǎn)不會(huì)發(fā)生故障，軟件只會(huì)做代碼要它做的事，不管是正確的還是錯(cuò)誤的)。在啟動(dòng)時(shí)驗(yàn)證RAM的內(nèi)部或外部沒(méi)有問(wèn)題，是確保硬件可以如預(yù)期般運(yùn)作的一個(gè)好方法。
  有許多不同的方法可用于執(zhí)行RAM檢查，但常用的方法是寫入一個(gè)已知的模式，然后等上一小段時(shí)間再回讀。結(jié)果應(yīng)該是所讀就是所寫。真相是，在大多數(shù)情況下RAM檢查是通過(guò)的，這也是我們想要的結(jié)果。但也有極小的可能性檢查不通過(guò)，這時(shí)就為系統(tǒng)標(biāo)示出硬件問(wèn)題提供了極好的機(jī)會(huì)。

使用堆棧監(jiān)視器

  對(duì)許多的嵌入式開(kāi)發(fā)者而言，堆棧似乎是一股相當(dāng)神秘的力量。當(dāng)奇怪的事情開(kāi)始發(fā)生，工程師終于被難倒了，他們開(kāi)始思考，也許堆棧中發(fā)生了什么事。結(jié)果是盲目地調(diào)整堆棧的大小和位置等等。但該錯(cuò)誤往往是與堆棧無(wú)關(guān)的，但怎能如此確定？畢竟，有多少工程師真的實(shí)際執(zhí)行過(guò)最壞情況下的堆棧大小分析？
  堆棧大小是在編譯時(shí)就靜態(tài)分配好的，但堆棧是以動(dòng)態(tài)的方式使用的。隨著代碼的執(zhí)行，應(yīng)用程序需要的變量、返回的地址和其它信息被不斷存儲(chǔ)在堆棧中。這種機(jī)制導(dǎo)致堆棧在其分配的內(nèi)存中不斷增長(zhǎng)。然而，這種增長(zhǎng)有時(shí)會(huì)超出編譯時(shí)確定的容量極限，導(dǎo)致堆棧破壞相鄰內(nèi)存區(qū)域的數(shù)據(jù)。
  絕對(duì)確保堆棧正常的一種方法是實(shí)現(xiàn)堆棧監(jiān)視器，將它作為系統(tǒng)“保健”代碼的一部分(有多少工程師會(huì)這樣做？)。堆棧監(jiān)視器會(huì)在堆棧和“其它”內(nèi)存區(qū)域之間創(chuàng)建一個(gè)緩沖區(qū)域，并填充已知的位模式。然后監(jiān)視器會(huì)不斷的監(jiān)視圖案是否有任何變化。如果該位模式發(fā)生了改變，那就意味著堆棧增長(zhǎng)得太大了，即將要把系統(tǒng)推向黑暗地獄！此時(shí)監(jiān)視器可以記錄事件的發(fā)生、系統(tǒng)狀態(tài)以及任何其它有用的數(shù)據(jù)，供日后用于問(wèn)題的診斷。
  大多數(shù)實(shí)時(shí)操作系統(tǒng)(RTOS)或?qū)崿F(xiàn)了內(nèi)存保護(hù)單元(MPU)的微控制器系統(tǒng)中都提供有堆棧監(jiān)視器?？膳碌氖牵@些功能默認(rèn)都是關(guān)閉狀態(tài)，或者經(jīng)常被開(kāi)發(fā)人員有意關(guān)閉。在網(wǎng)絡(luò)上快速搜尋一下可以發(fā)現(xiàn)，很多人建議關(guān)閉實(shí)時(shí)操作系統(tǒng)中的堆棧監(jiān)視器以節(jié)省56字節(jié)的閃存空間等等，這可是得不償失的做法。

使用MPU

  在過(guò)去，是很難在一個(gè)小而廉價(jià)的微控制器中找到內(nèi)存保護(hù)單元(MPU)的，但這種情況已經(jīng)開(kāi)始改變?，F(xiàn)在從高端到低端的微控制器都已經(jīng)有MPU，而這些MPU為嵌入式軟件開(kāi)發(fā)人員提供了一個(gè)可以大幅提高其固件(firmware)魯棒性(robustness)的機(jī)會(huì)。
  MPU已逐漸與操作系統(tǒng)耦合，以便建立內(nèi)存空間，其中的處理都分開(kāi)，或任務(wù)可執(zhí)行其代碼，而不用擔(dān)心被stomped on。倘若真有事情發(fā)生，不受控制的處理會(huì)被取消，也會(huì)執(zhí)行其他的保護(hù)措施。請(qǐng)留意帶有這種組件的微控制器，如果有，請(qǐng)多加利用它的這種特性。

建立一個(gè)強(qiáng)大的看門狗系統(tǒng)

  你經(jīng)常會(huì)發(fā)現(xiàn)的一種總是最受喜愛(ài)的看門狗(watchdog)實(shí)現(xiàn)是，在看門狗被啟用之處(這是一個(gè)很好的開(kāi)始)，但也是可以用周期性定時(shí)器將該看門狗清零之處；定時(shí)器的啟用是完全與程序中出現(xiàn)的任何情況隔離的。使用看門狗的目的是協(xié)助確保如果出現(xiàn)錯(cuò)誤，看門狗不會(huì)被清零，即當(dāng)暫停，系統(tǒng)會(huì)被迫去執(zhí)行硬件重設(shè)定(hardware reset)，以便恢復(fù)。使用與系統(tǒng)活動(dòng)獨(dú)立的定時(shí)器可以讓看門狗保持清零，即使系統(tǒng)已失效。
  對(duì)應(yīng)用任務(wù)如何整合到看門狗系統(tǒng)中，嵌入式開(kāi)發(fā)人員需要仔細(xì)考慮和設(shè)計(jì)。例如，有種技術(shù)可能可以讓每個(gè)在一定時(shí)期內(nèi)運(yùn)行的任務(wù)標(biāo)示它們可以成功地完成其任務(wù)。在此事件中，看門狗不被清零，強(qiáng)制被復(fù)位。還有一些比較先進(jìn)的技術(shù)，像是使用外部看門狗處理器，它可用來(lái)監(jiān)視主處理器如何表現(xiàn)，反之亦然。對(duì)一個(gè)可靠的系統(tǒng)而言，建立一個(gè)強(qiáng)大的看門狗系統(tǒng)是很重要的。

避免易失存儲(chǔ)器分配

  不習(xí)慣在資源有限環(huán)境下的工程師，可能會(huì)試圖使用其編程語(yǔ)言的特性，這種語(yǔ)言讓他們可以使用易失存儲(chǔ)器分配。畢竟，這是一種常在計(jì)算器系統(tǒng)中使用的技術(shù)，在計(jì)算器系統(tǒng)中，只有在有必要時(shí)，內(nèi)存才會(huì)被分配。例如，以C開(kāi)發(fā)時(shí)，工程師可能傾向于使用malloc來(lái)分配在堆(heap)上的空間。有一個(gè)操作會(huì)執(zhí)行，一旦完成，可以使用free將被分配的內(nèi)存返回，以便堆的使用。
  在資源受限的系統(tǒng)，這可能是一場(chǎng)災(zāi)難！使用易失存儲(chǔ)器分配的其中一個(gè)問(wèn)題是，錯(cuò)誤或不當(dāng)?shù)募夹g(shù)可能會(huì)導(dǎo)致內(nèi)存泄漏或內(nèi)存碎片。如果出現(xiàn)這些問(wèn)題時(shí)，大多數(shù)的嵌入式系統(tǒng)并沒(méi)有資源或知識(shí)來(lái)監(jiān)視堆或妥善地處理它。而當(dāng)它們發(fā)生時(shí)，如果應(yīng)用程序提出對(duì)空間的要求，但卻沒(méi)有所請(qǐng)求的空間可以使用，會(huì)發(fā)生什么事呢？
  使用易失存儲(chǔ)器分配所產(chǎn)生的問(wèn)題是很復(fù)雜的，要妥善處理這些問(wèn)題，可以說(shuō)是一個(gè)噩夢(mèng)——一種替代的方法是，直接以靜態(tài)的方式，簡(jiǎn)化內(nèi)存的分配。例如，只要在程序中簡(jiǎn)單地建立一個(gè)大小為256字節(jié)長(zhǎng)的緩沖區(qū)，而不是經(jīng)由malloc請(qǐng)求這樣大小的內(nèi)存緩沖區(qū)。此一分配的內(nèi)存可在整個(gè)應(yīng)用程序的生命周期期間保持，且不會(huì)有堆或內(nèi)存碎片問(wèn)題方面的顧慮。