来自 cortex-m0 上的 ISR 的 kill 函数

Question

我正在使用带有裸机实现（无操作系统）的 Cortex-M0 处理器。我们有一个固件应用程序，我们希望允许第三方编写一个 C 函数，该函数将与固件的其余部分分开构建并加载到内存中（有点像 DLL），并在检测到时由主固件调用。

我遇到的问题是我想在受保护的环境中运行这个外部函数，这样如果它产生故障异常或执行时间过长，它就不会破坏主固件。所以我想做的是，从硬故障 ISR（用于故障异常）或计时器滴答 ISR（用于执行时间问题），操纵堆栈以终止外部函数并将执行返回到主固件。我意识到这在 RTOS 中是直截了当的，但主要固件已经开发完成，此时切换它需要花费大量精力。

我查看了在 c++ 中使用 try-catch，但编译器似乎不支持它。所以我看到的另一个选择是在调用外部函数之前编写一些程序集来保存堆栈指针，并从 ISR 恢复 SP 和上下文，并分支到主固件中的返回点。任何人都可以就如何最好地做到这一点给出任何指示，或者有没有更简单的方法来完成这个？

Answer 1

这是我最终使用的实现。我利用 CMSIS 内在函数 __get_MSP() 和 __set_MSP() 来访问 SP。在调用受保护的函数之前，我保存了当前的 SP。返回地址是函数压入堆栈的第一项，因此我将保存的 SP 增加一个位置，以便它指向返回地址以用于故障恢复情况。

计时器滴答 ISR 跟踪受保护函数运行了多长时间，如果超时或发生硬故障中断，则执行故障处理程序。需要的第一件事是退出中断上下文（否则您将从中断上下文执行主代码，防止进一步的中断），所以我确定了相对于 SP 的哪个堆栈位置保存 ISR 返回地址，并用故障恢复函数的地址。请注意，Timer Tick ISR 的优先级最低，因此返回地址将始终指向非中断代码。如果ISR优先级更高，可能不是这样，但我没有验证。

从任一 ISR 退出时，都会执行故障恢复功能。它需要两条指令：

__set_MSP( StackPtrSave );
__asm volatile ("pop {pc}");

这会将 SP 和 PC 恢复到正确的状态，就好像受保护的功能刚刚退出一样。但是，它不会恢复任何其他寄存器。如果返回点位于函数的末尾（并且编译器不会尝试内联它），那应该没问题。就我而言，我需要设置 StackPtrSave = 0，因为 ISR 就是这样知道受保护函数何时运行的。我尝试使用 volatile 指针强制编译器在恢复后将变量的地址重新加载到寄存器，但我无法让它工作。最后我设置了一个属性来禁用函数的优化，所以它总是会在写入 StackPtrSave 之前加载地址。

正如 cmets 中所述，这并不能提供完全受保护的环境。受保护的函数仍然可以使用指针来破坏静态变量或堆栈。我看不出有什么办法可以避免这种情况，因为 Cortex-m0 没有内存保护单元。就我而言，负责受保护功能的第三方确实对产品的功能有既得利益，因此我给出了指导方针，即他们的代码应避免使用指针或数组。我认为这提供了该平台所能提供的最高级别的保护。