IEC 61508標(biāo)準(zhǔn)強(qiáng)烈推薦使用靜態(tài)內(nèi)存管理方式。在安全應(yīng)用設(shè)計(jì)中，我們都在遵循這個建議。但我們可能會需要這樣的功能：

? 運(yùn)行時配置

? 刪除組件的編譯時配置

? 更靈活的控制外部行為或硬件

? 平臺作為完整的一代產(chǎn)品

這些功能需要動態(tài)內(nèi)存管理解決方案。

IEC61508中推薦使用靜態(tài)內(nèi)存管理方式的原因與動態(tài)內(nèi)存管理相關(guān)的編程錯誤導(dǎo)致的潛在風(fēng)險(xiǎn)相關(guān)，我們必須避免和發(fā)現(xiàn)這些編程錯誤，潛在風(fēng)險(xiǎn)包括：

1 內(nèi)存碎片

2 沒有可用內(nèi)存

3 空閑內(nèi)存丟失

4 內(nèi)存釋放到錯誤內(nèi)存池

5 內(nèi)存多次釋放

6 釋放后繼續(xù)使用內(nèi)存

7 使用時釋放內(nèi)存

一類解決方案只允許分配內(nèi)存，這類解決方案通過避免內(nèi)存重用來解決上述問題中的3-7，這是一種有效的解決方案，通常用于不同產(chǎn)品變體啟動期間中的內(nèi)存靈活配置，在運(yùn)行期間保持內(nèi)存布局不變。

當(dāng)這類方法不能滿足需求時，我們需要一種更通用的方法來系統(tǒng)地避免或檢測所有列出的風(fēng)險(xiǎn)情況。

1內(nèi)存碎片

內(nèi)存碎片是一種效應(yīng)，當(dāng)我們使用不同的內(nèi)存大小執(zhí)行多個分配和釋放周期時可能會產(chǎn)生這種效應(yīng)。

在實(shí)時系統(tǒng)中，我們需要確定性和恒定的執(zhí)行時間。使用改進(jìn)的分配算法（如首次適配算法），執(zhí)行時間嚴(yán)重將依賴于以前的內(nèi)存活動，這對我們的系統(tǒng)設(shè)計(jì)是不利的。

避免內(nèi)存碎片的方法是使用一個（或一組）固定大小的內(nèi)存塊池。好消息是專業(yè)的實(shí)時內(nèi)核為用戶提供了固定大小內(nèi)存塊的內(nèi)存管理機(jī)制，用戶可以使用實(shí)時內(nèi)核提供的這些服務(wù)。在本文中，我們考慮實(shí)時內(nèi)核的主函數(shù)接口。

作為參考，一個簡單的使用序列為：

ptr =MemAlloc(pool);
/* use memory via ptr */
MemFree(pool, ptr);

在啟動過程中調(diào)用：

pool= Create(mem, size, num);

2沒有可用內(nèi)存

如果沒有足夠的內(nèi)存滿足當(dāng)前分配請求，內(nèi)存分配函數(shù)會反饋相應(yīng)信息（如NULL指針）。用戶應(yīng)該檢查函數(shù)返回值并采取適當(dāng)?shù)拇胧?/p>

ptr =MemAlloc(pool);
if(ptr ==NULL) {
 MemErrOutOfMemory(pool);
}
/* use memory via ptr */
MemFree(pool, ptr);

使用實(shí)時內(nèi)核時，我們可以通過擴(kuò)展內(nèi)存分配函數(shù)，進(jìn)一步避免丟失檢查和失敗處理的風(fēng)險(xiǎn)，使用阻塞等待空閑內(nèi)存：

ptr =MemAllocWait(pool);
/* use memory via ptr */
MemFree(pool, ptr);
ptr =MemAllocWait(pool);

通過阻塞等待方式確保返回的指針是一個有效的內(nèi)存塊。強(qiáng)制性安全任務(wù)監(jiān)視器將檢測任務(wù)是否在定義的截止時間內(nèi)獲得足夠的內(nèi)存。

3內(nèi)存釋放到錯誤內(nèi)存池

如果用戶負(fù)責(zé)將內(nèi)存釋放到正確的內(nèi)存池中（例如，內(nèi)存池是釋放內(nèi)存的參數(shù)），可能會出錯。我們可以通過向info區(qū)域添加額外的參數(shù)來避免這個錯誤。為了簡單（快速）地訪問這些數(shù)據(jù)，info區(qū)作為已分配內(nèi)存的一部分。應(yīng)用程序不能使用這部分?jǐn)?shù)據(jù)，并且位于應(yīng)用程序內(nèi)存塊引用的前面：

改進(jìn)后的內(nèi)存使用順序如下：

ptr =MemAllocWait(pool);
/* use memory via ptr */
MemFree(ptr);

4空閑內(nèi)存丟失

所謂的“內(nèi)存泄漏”發(fā)生在內(nèi)存分配且被使用之后，但沒有釋放內(nèi)存塊的時候。此錯誤不容易檢測，特別是當(dāng)分配和釋放操作將在不同的函數(shù)（或任務(wù)）中實(shí)現(xiàn)時。

在不知道應(yīng)用程序細(xì)節(jié)的情況下，檢測內(nèi)存泄漏的一種方法是使用內(nèi)存看門狗，看門狗的工作方式類似于通常使用的執(zhí)行看門狗。

假設(shè)在內(nèi)存分配過程中定義了一個看門狗時間，這迫使我們在這段時間內(nèi)觸發(fā)看門狗，以保持內(nèi)存塊有效。

我們將內(nèi)存計(jì)時數(shù)據(jù)存儲在info區(qū)域中。

為了檢查所有分配的內(nèi)存塊的看門狗時間周期，我們引入了一個檢查函數(shù)。下列偽代碼可以幫助了解我們?nèi)绾螜z查內(nèi)存塊。

voidMemCheck(pool)
{
 foreach'block'in'pool'do:
   if('block::timeout'isgreater than0) then:
      decrement'block::timeout'by1
   if('block::timeout'isequal to0) then:
     callMemErrTimeout(block)
}

我們系統(tǒng)安全自檢過程中定期調(diào)用這個函數(shù)。使用序列如下所示。

ptr =MemAllocWait(timeout, pool);
MemUseTrigger(ptr);
/*use memory via ptr*/
MemFree(ptr);

如果錯過了看門狗時間周期，我們可以在回調(diào)函數(shù)中執(zhí)行適當(dāng)?shù)膭幼鳎?/p>

voidMemErrTimeout(ptr)
{
 /* action on timeout: */
 /* log diagnostic data */
 /* initiate safe state */
}

5內(nèi)存多次釋放

當(dāng)在沒有檢測機(jī)制的情況下多次（錯誤地）釋放一個內(nèi)存塊時，可能導(dǎo)致正在運(yùn)行系統(tǒng)的奇怪行為。這種錯誤很難調(diào)試，必須避免。

在info區(qū)域中添加一個額外的冗余值，可以非常有效地處理這個問題。推薦使用內(nèi)存池參數(shù)的補(bǔ)值，需在內(nèi)存分配函數(shù)中將這兩個值設(shè)置為匹配的一對。

內(nèi)存釋放函數(shù)可以檢查這些冗余信息，將內(nèi)存塊放回相應(yīng)的內(nèi)存池中，然后破壞冗余信息。實(shí)現(xiàn)偽代碼如下：

voidMemFree(ptr)
{
 if('ptr::pool'isequal to complement of'ptr::inv_pool') then:
    release memory block'ptr'to'ptr::pool'
   set'ptr::inv_pool'to'ptr::pool'
 else:
   callMemErrDoubleFree(ptr)
}

最后，我們可以在回調(diào)函數(shù)中為這種錯誤情況定義適當(dāng)?shù)牟僮鳎篗emErrDoubleFree（ptr）。

6釋放后繼續(xù)使用內(nèi)存

這個編程錯誤聽起來不可思議，但在多任務(wù)環(huán)境中，這個錯誤可能存在，在最壞的情況下，很長一段時間都沒有被發(fā)現(xiàn)。

為了檢測這種情況，我們可以重用info區(qū)域中的數(shù)據(jù)冗余。在這種情況下，我們在使用內(nèi)存塊之前檢查冗余是否損壞。為了使代碼順序盡可能簡單，我們可以集成內(nèi)存看門狗觸發(fā)：

voidMemStartAccess(ptr)
{
 if('ptr::pool'is not equal to complement of'ptr::inv_pool') then:
    callMemErrUsedFree(ptr)
 else
    set'ptr::timeout'to'ptr::watchdog_time'
}

最后，在回調(diào)函數(shù)MemErrUsedFree（ptr）中為這種錯誤情況定義適當(dāng)?shù)牟僮鳌?/p>

在使用內(nèi)存塊之前，該檢測機(jī)制將需要一個額外的函數(shù)調(diào)用。

ptr =MemAllocWait(timeout, pool);
MemStartAccess(ptr);
/* use memory block via ptr */
MemFree(ptr);

7使用時釋放內(nèi)存

這個編程錯誤與前面的錯誤屬于同一類。在多任務(wù)環(huán)境中，可能釋放了被中斷任務(wù)占用的內(nèi)存塊。該任務(wù)重新運(yùn)行時，其使用的內(nèi)存已經(jīng)被釋放。

針對這個問題，我們可以使用一個對稱函數(shù)的解決方案。對應(yīng)MemStartAccess()函數(shù)，引入結(jié)束函數(shù)。這個新函數(shù)可以通知用戶內(nèi)存塊不能使用了：

void MemEndAccess (ptr);

通過相應(yīng)的阻塞函數(shù)來釋放內(nèi)存，我們可以避免這類編程錯誤。

void MemFreeWait (ptr);

對應(yīng)的動態(tài)內(nèi)存使用序列如下：

ptr =MemAllocWait(timeout, pool);
MemStartAccess(ptr);
/*use memory block via ptr*/
MemEndAccess(ptr);
MemFreeWait(ptr);

總結(jié)

在本文中，我們發(fā)現(xiàn)了一種在IEC61508系統(tǒng)中使用動態(tài)內(nèi)存的方法，避免相應(yīng)的編程錯誤并在檢測到錯誤后做出響應(yīng)。我們?yōu)檫@些安全功能付出了相應(yīng)的代價：每個分配的內(nèi)存塊將占用額外內(nèi)存空間，消耗了CPU運(yùn)行時間。

盡管如此，還是建議在安全關(guān)鍵型系統(tǒng)中謹(jǐn)慎使用動態(tài)內(nèi)存。

Flexible Safety RTOS是基于μC/OS-II+MPU機(jī)制實(shí)現(xiàn)的功能安全操作系統(tǒng)，提供了基于塊的內(nèi)存管理機(jī)制。麥