0 引言

    隨著后PC時代的到來，嵌入式系統(tǒng)已廣泛應(yīng)用于航空航天、通信、國防等可靠性要求較高的關(guān)鍵領(lǐng)域，其復(fù)雜度及功能性日益增強。同時，為了高效使用資源，多應(yīng)用、多任務(wù)并行的軟件設(shè)計方法被普遍采用，這也不可避免地導(dǎo)致了系統(tǒng)中各類錯誤和異常增多。當異常出現(xiàn)時，如果不能有效處理，很有可能導(dǎo)致應(yīng)用程序終止，系統(tǒng)崩潰，甚至引發(fā)災(zāi)難性事故，這是人們不愿看到的。然而，傳統(tǒng)面向硬件的異常處理方法無法適應(yīng)當前嵌入式軟件的變化，必須引入新的機制，保證系統(tǒng)可靠穩(wěn)定運行。

    通過深入分析嵌入式系統(tǒng)對異常處理的需求，參考現(xiàn)有異常處理機制的設(shè)計思想，本文提出一種結(jié)構(gòu)化的異常處理框架模型，將一些新的功能引入其中，并基于自主研發(fā)的電信級嵌入式操作系統(tǒng)(Carrier Grade Embedded Linux，CGEL)^[1]，具體實現(xiàn)了該異常處理框架。

1 嵌入式系統(tǒng)異常處理需求

    傳統(tǒng)的嵌入式系統(tǒng)異常處理通常采用中斷響應(yīng)方式，當異常發(fā)生時，系統(tǒng)通過異常向量表跳轉(zhuǎn)到對應(yīng)的異常處理函數(shù)中。隨著嵌入式系統(tǒng)及應(yīng)用日益復(fù)雜，異常的種類也在不斷增多，出現(xiàn)了許多新的需求。本文通過分析嵌入式應(yīng)用軟件特征，歸納出以下異常處理新的需求。

    (1)異常處理框架。為了滿足日益復(fù)雜的異常處理場景，提供具有基本異常處理流程及應(yīng)用開發(fā)接口的框架是必要的。該框架既可使異常從發(fā)生到處理都具備完整的處理流程，同時，也為應(yīng)用開發(fā)者提供標準的接口，用于自定義異常處理函數(shù)。開發(fā)者自定義的內(nèi)容不會改變整個異常處理的流程，但能夠豐富某個階段的異常處理功能。

    (2)狀態(tài)機。缺少異常處理會降低系統(tǒng)的可靠性，而有缺陷的異常處理也會導(dǎo)致嚴重的系統(tǒng)故障。研究表明^[2]，有相當一部分錯誤是由不正確的異常處理造成的。狀態(tài)機可以有效避免異常處理過程中出現(xiàn)二次異常的問題，通過定義異常處理過程中的各個狀態(tài)及狀態(tài)間的跳轉(zhuǎn)條件，規(guī)定了各狀態(tài)下可能的動作，從而識別異常處理過程中的二次異常，并予以合理地解決。

    (3)嵌套異常處理。現(xiàn)代嵌入式應(yīng)用往往包含多個任務(wù)，存在各種嵌套關(guān)系。異常處理不僅需要隨著函數(shù)調(diào)用的深入形成嵌套關(guān)系，還要隨著函數(shù)調(diào)用的返回逐層解開，并回退嵌套的堆棧^[3]。當異常發(fā)生時，異常處理框架首先對匹配異常處理函數(shù)進行搜索，若異常發(fā)生在第10層的函數(shù)調(diào)用，而異常處理函數(shù)在第5層，異常處理框架則需要將當前堆棧從第10層逐層回退到第5層，恢復(fù)第5層的運行環(huán)境進行異常處理。

    (4)自定義鉤子函數(shù)。傳統(tǒng)的異常處理機制與處理器架構(gòu)緊密相關(guān)，需要通過匯編語言對寄存器操作，這導(dǎo)致軟件的移植性和健壯性很差?，F(xiàn)代操作系統(tǒng)提供了鉤子掛接機制，在應(yīng)用程序中通過鉤子函數(shù)接入自定義的異常處理模塊，當異常發(fā)生時，鉤子函數(shù)會捕捉到內(nèi)核發(fā)出的異常信號，獲得控制權(quán)并予以處理。通過鉤子函數(shù)能夠避免對寄存器直接操作，獲取異常信息與處理器無關(guān)，有效增強嵌入式軟件的移植性和健壯性。

    (5)異常拋出機制。傳統(tǒng)的嵌入式軟件異常處理只能響應(yīng)系統(tǒng)級異常，無法處理程序邏輯異常。而隨著系統(tǒng)復(fù)雜性的增加，程序邏輯上錯誤也會對系統(tǒng)造成嚴重的影響。異常拋出^[4]是處理程序邏輯異常的有效機制，但目前大多數(shù)嵌入式軟件編程語言并沒有提供這種機制，比如C、匯編等。所以異常處理框架需提供異常拋出機制，開發(fā)者通過調(diào)用相關(guān)函數(shù)啟動異常拋出功能，對代碼段進行監(jiān)控，捕捉異常信息并處理。

    面對現(xiàn)代嵌入式系統(tǒng)對異常處理機制提出的需求，國內(nèi)外研究者進行了深入研究并取得了一系列成果。文獻[5]采用有限狀態(tài)機，通過對異常上下文信息進行分析，有效提升了異常處理的效率和準確性。但異常處理策略單一，并沒有解決異常處理過程中二次異常和異常擴散等問題。文獻[6]針對嵌入式系統(tǒng)提出了一種異常定位方法，對系統(tǒng)運行時出現(xiàn)的異常進行分類，但并未給出異常處理的策略。文獻[7]提出了一種分層次多策略的異常處理框架，通過檢查點回滾恢復(fù)實現(xiàn)多級異常處理。然而，該框架無法判別異常處理方法本身的缺陷。

    針對這些新的需求，本文設(shè)計了一個基于結(jié)構(gòu)化模型的異常處理框架，可提供多層面的解決方案，涵蓋嵌入式系統(tǒng)異常處理的絕大多數(shù)特性，為系統(tǒng)處理各類異常提供有效支持。同時，異常處理框架還具有豐富的鉤子函數(shù)掛載接口，開發(fā)者可掛載自定義的異常處理模塊，提高程序運行的健壯性。

2 異常處理框架的設(shè)計實現(xiàn)

2.1 異常處理框架模型

    異常處理框架定義了對異常的捕獲、處理、保存以及跟蹤等一整套流程。從功能上可分為3個模塊：異?？刂?、異常捕獲及異常處理。其中，異?？刂剖且粋€邏輯概念，它負責維護異常處理狀態(tài)機，控制著整個處理流程，防止異常處理過程中出現(xiàn)二次異常；異常捕獲則完成系統(tǒng)及應(yīng)用在運行時異常的捕獲，并通過直接調(diào)用或發(fā)送信號等手段啟動異常處理模塊；異常處理模塊接收異常信息，對捕獲到的異常提供基本處理方法，也支持用戶自定義的處理手段。

    圖1是異常處理框架在CGEL中的具體實現(xiàn)模型，框架基于標準的信號機制實現(xiàn)。其中異常捕獲對系統(tǒng)及應(yīng)用在運行過程中出現(xiàn)的異常進行捕獲，通過信號調(diào)用異常處理模塊予以處理，整個處理流程由異?？刂颇K維護。同時，異常處理框架還可以調(diào)用狀態(tài)監(jiān)控等系統(tǒng)服務(wù)，進行錯誤信息的存儲和告警操作，對異常進行有效定位。

    為了避免應(yīng)用程序?qū)Φ讓佑布苯硬僮?，異常處理框架為?yīng)用開發(fā)提供了線程級和進程級兩個層次的回調(diào)鉤子函數(shù)。應(yīng)用中每個線程都分配一個異?；卣{(diào)函數(shù)鏈表，當出現(xiàn)異常時，框架會從該線程異?；卣{(diào)鏈表尾部開始搜索匹配的異常回調(diào)函數(shù)，鏈表還可支持程序中多層異常嵌套。而進程級異?；卣{(diào)函數(shù)對整個應(yīng)用有效，該函數(shù)只能被掛接一次，當所有線程都無法處理異常時，進程級異?；卣{(diào)函數(shù)將被調(diào)用。開發(fā)者可以根據(jù)需要在不同層次的回調(diào)鉤子上掛接自定義的異常處理程序。

2.2 異常處理狀態(tài)機

    通過對異常處理所處狀態(tài)的統(tǒng)一管理，狀態(tài)機能夠幫助異常處理過程有序地進行，支持各種異常處理方法的協(xié)調(diào)運行。當系統(tǒng)出現(xiàn)異常，狀態(tài)機會了解出現(xiàn)異常的狀態(tài)，比如是否進入了循環(huán)異常、是否為系統(tǒng)異常等，并決定處理異常的動作，指導(dǎo)異常處理框架的工作，用最優(yōu)的方式解決異常。為了避免異常重復(fù)進入，異常處理模塊的狀態(tài)機設(shè)計了3種狀態(tài)：正常態(tài)-Normal、異常處理態(tài)-ExcProc、異常升級處理態(tài)-ExcEscal。各狀態(tài)含義及跳轉(zhuǎn)條件如表1所示。

    圖2是異常處理狀態(tài)機的遷移圖。在CGEL中，應(yīng)用狀態(tài)在線程的線程本地存儲（Thread Local Storage，TLS）中保存，如果使用pthread庫時，可使用庫提供的TLS功能，否則需要實現(xiàn)一個簡單的TLS功能來保存每個線程的異常處理狀態(tài)。

2.3 多級異常處理流程

    異?？刂茽顟B(tài)機劃分了異常處理過程的不同狀態(tài)，如何利用其進行異常處理，則是異常處理流程的工作。異常處理框架提供了一個開放式的多級處理流程，開發(fā)者可根據(jù)應(yīng)用情況掛接不同級別的自定義異常處理函數(shù)，逐級完成異常處理功能。異常處理模塊程序流程圖如圖3所示。下面介紹使用框架進行多級異常處理的步驟：

    步驟1：在需要使用異常處理功能的應(yīng)用程序中，對異常處理框架進行初始化，掛接主處理函數(shù)Usr_ExcMain()；

    步驟2：函數(shù)Usr_TrdExcHdlReg()和Usr_TrdExcHdlUnReg()用來注冊/注銷線程級異常處理鉤子，每個線程維護一個異常處理鉤子函數(shù)鏈表，新注冊的線程級異常處理鉤子以節(jié)點形式被掛接在鏈表尾；

    步驟3：函數(shù)Usr_ProcExcHookReg()和Usr_ProcExc-HookUnReg()用來注冊/注銷進程級異常處理鉤子，進程級異常處理鉤子對整個應(yīng)用進程有效，只能被注冊一次，后面注冊的鉤子將覆蓋前面注冊的；

    步驟4：當有線程出現(xiàn)異常，框架將調(diào)用Usr_ExcMain()進入主處理流程，從尾部節(jié)點開始遍歷該線程的異常處理函數(shù)鏈表，通過節(jié)點上有效異常過濾函數(shù)，判斷節(jié)點能否處理該異常。若能則調(diào)用該節(jié)點上掛接的異常處理鉤子，否則獲取前一節(jié)點；

    步驟5：如遍歷完線程異常處理鉤子鏈表仍無法修復(fù)，異常處理框架將把該異常升級為進程全局異常，獲取進程級異常處理鉤子函數(shù)gpf_UsrExcHook()予以處理；

    步驟6：若所有的異常處理都失敗，將根據(jù)用戶在函數(shù)Usr_SetExcExitAct()中設(shè)定的動作退出該應(yīng)用進程。

    上述步驟實現(xiàn)細節(jié)被封裝在異常處理框架中，用戶只需調(diào)用框架所提供的注冊接口掛接自定義的異常處理函數(shù)，從而提高了異常處理機制的可移植性和健壯性。

2.4 異常捕獲

    異常捕獲模塊主要完成對各類異常的動態(tài)捕捉，對于捕獲到的硬件異常，異常處理框架通過傳統(tǒng)的中斷響應(yīng)方式處理。對于不同的處理器體系，具體的異常編號和種類會有所不同，但主要有：(1)CPU運行異常，如浮點錯誤、除零錯誤、越權(quán)保護錯誤、非法指令等；(2)內(nèi)存管理異常，如數(shù)據(jù)寫異常、頁面異常、緩沖區(qū)異常等。

    除了以上這些硬件異常，應(yīng)用程序還有可能出現(xiàn)邏輯異常。這就需要異常處理框架能夠?qū)Υa段進行監(jiān)視，并可啟動異常處理流程。拋出異常是一種處理程序邏輯異常的有效機制，其代碼如下：

    TRY_BEGIN

        //需要保護的代碼

    THROW 異常

    TRY_END

    CATCH_BEGIN

        //異常處理代碼

    CATCH_END

    通過try-catch-throw語句，可以拋出程序中的異常，轉(zhuǎn)由正?？刂屏饕酝獾拇a處理。拋出異常對于分離異常和正常代碼，有效增強異常處理功能非常重要。由于C語言缺乏對拋出異常的支持，需要在異常處理框架中添加類似功能。同時，針對C語言特征對拋出異常機制進行了修改，例如：C語言沒有類的概念，框架弱化了異常類型的概念，用異常號（unsigned int）表示異常類型；C語言無關(guān)鍵字try、catch、throw的支持，框架借助宏定義予以實現(xiàn)，如表2所示。

    除了設(shè)計必要的宏外，為了支持在多線程環(huán)境實現(xiàn)嵌套的try塊，異常處理框架還定義了一種處理try塊的棧式結(jié)構(gòu)，該棧式結(jié)構(gòu)在線程初始化階段動態(tài)申請空間，其指針保存在TLS中，在線程終止時釋放。

3 相關(guān)工作

    一些主流的嵌入式操作系統(tǒng)也提供了異常處理機制，下面將分析這些操作系統(tǒng)中異常處理機制的特點，并與本文提出的異常處理框架進行對比。

    從異常處理機制完備性和功能性角度而言，Windows CE^[8]是比較全面的，它具有結(jié)構(gòu)化的異常處理機制，為開發(fā)者提供了有力的處理程序錯誤或異常的武器。但針對C語言的異常拋出功能，Windows CE本身不支持，只能結(jié)合編譯器提供語言級的支持。另外，其異常處理流程沒有狀態(tài)機控制，無法解決在異常處理過程中出現(xiàn)的錯誤。

    VxWorks^[9]是業(yè)界非常著名的嵌入式實時操作系統(tǒng)，它提供的全局異常鉤子回調(diào)函數(shù)在嵌入式系統(tǒng)中實用性很強，同時，VxWorks還提供了操作系統(tǒng)缺省異常處理，會對異常發(fā)生現(xiàn)場作函數(shù)調(diào)用鏈分析，并將異常信息通過終端輸出。但是，VxWorks的異常處理機制非常簡單，不支持異常處理狀態(tài)機以及異常拋出等高級功能，難以滿足現(xiàn)代嵌入式軟件的需求。

    由于具有豐富的系統(tǒng)功能、高度定制性及開放源碼特征，Linux在嵌入式領(lǐng)域得到了越來越廣泛的關(guān)注。Linux內(nèi)核^[10]沒有提供統(tǒng)一的異常處理框架，異常處理流程被歸類在與CPU體系相關(guān)的代碼中，雖然流程基本一致，但隨著CPU體系不同還是有所差異。應(yīng)用程序需要采用接受異常信號的方式調(diào)用異常處理流程，不支持鉤子回調(diào)函數(shù)，不支持異常處理狀態(tài)機，這些都降低了應(yīng)用程序異常處理的健壯性及可移植性。

    本文的異常處理框架結(jié)合了主流嵌入式系統(tǒng)異常處理機制的特點，具有完備的動態(tài)鏈表模型和狀態(tài)機，可以有效處理二次異常，還提供適合于嵌入式系統(tǒng)使用的回調(diào)函數(shù)，同時對程序可能出現(xiàn)的邏輯異常提供了異常拋出機制，滿足現(xiàn)代嵌入式軟件對異常處理的需求。表3總結(jié)了上述各異常處理機制的特點，并與CGEL進行了功能對比。

4 結(jié)束語

    異常處理已成為提升嵌入式系統(tǒng)健壯性和可用性的關(guān)鍵，本文針對現(xiàn)代嵌入式應(yīng)用軟件新的異常處理需求，提出了一種結(jié)構(gòu)化的異常處理框架模型，框架包含了3個主要功能模塊：異常捕獲、異常處理、異?？刂?，涵蓋嵌入式系統(tǒng)異常處理絕大多數(shù)特性，多級異常處理流程也為系統(tǒng)處理各類異常提供了多層面支持。

    目前，異常處理框架已在電信級嵌入式操作系統(tǒng)CGEL上實現(xiàn)，并成功應(yīng)用于多款電信設(shè)備上，大大增強了系統(tǒng)的可靠性。同時，良好的編程接口縮短了應(yīng)用軟件的開發(fā)周期，提高了開發(fā)質(zhì)量。高性能和分布式是未來嵌入式系統(tǒng)的主要特征，動態(tài)改變異常處理程序優(yōu)先級、分布式的異常拋出及處理都是重要的研究方向，有待進一步研究。

參考文獻

[1] 王繼剛，鄭緯民，鐘衛(wèi)東，等.基于Linux的混合實時操作系統(tǒng)[J].清華大學(xué)學(xué)報，2009，49(7)：1012-1015.

[2] Herbert Hecht.A systems engineering approach to exception handling[C].Proceeding of the Third International Conference on Systems.Washington DC，USA，2008：190-195.

[3] 朱劍鋒，繆萬勝，康介祥.基于堆?；厮莸漠惓Ｌ幚韀J].計算機工程與設(shè)計，2014，35(12)：4176-4180.

[4] Mao Chengying，Lu Yansheng.Study on the analysis and testing of exception handling in C++ programs[J].Mini-Micro Systems，2006，27(3)：481-485.

[5] Cabdq Filho，Rmc Andrade，Ls Rocha，et al.ConExT-U：A context-aware exception handling mechanism for task-based ubiquitous systems[C].28th International Conference on Advanced Information Networking and Applications Work-shops.BC，Canada，2014：127-132.

[6] SAWADPONG P，ALLEN E B，WILLIAMS B J.Exception handling defects：an empirical study[C].14th International Symposium on High-Assurance Systems Engineering.Washington DC，USA，2012：90-97.

[7] Lu Zhou，Zhang Kailong，Zhou Xingshe.A software Fault-Tol-erant method based on exception handing in RT/E system[C].10th IEEE International Conference on Trust，Security and Privacy in Computing and Communications，Changsha，China，2011：1283-1287.

[8] 羊建林，周安民.Windows異常處理與軟件安全[J].信息安全與通信保密，2011，9(4)：58-60.

[9] Wind River.VxWorks kernel programmers guide 6.9[M].California：Wind River Systems，2011.

[10] Robert Love.Linux kernel development[M].USA：Addison-Wesley Professional，2010.

作者信息:

王繼剛1，方  芳2，張華強1

（1.中興通訊股份有限公司 技術(shù)規(guī)劃部，江蘇 南京210012；

2.信息產(chǎn)業(yè)電子第十一設(shè)計研究院科技工程股份有限公司 信息中心，四川 成都610021）