1． 實時操作系統的結構
     在計算的早期開發(fā)的操作系統的最原始的結構形式是一個統一的實體(monolithic)
。在這樣的系統中，提供的不同功能的模塊，如處理器管理、內存管理、輸入輸出等，
通常是獨立的。然而他們在執(zhí)行過程中并不考慮其他正在使用中的模塊，各個模塊都以
相同的時間粒度運行。
     由于現代實時環(huán)境需要許多不同的功能，以及在這樣的環(huán)境中存在的并發(fā)活動所引
起的異步性和非確定性，操作系統變得更加復雜。所以早期操作系統的統一結構的組織
已經被更加精確的內部結構所淘汰。
層次結構的起點----內核
     操作系統的最好的內部結構模型是一個層次性的結構，最低層是內核。這些層次可
以看成為一個倒置的金字塔，每一層都建立在較低層的功能之上。 內核僅包含一個操作
系統執(zhí)行的最重要的低層功能。正象一個統一結構的操作系統，內核提供了在高層軟件
與下層硬件之間的抽象層。然而，內核僅提供了構造操作系統其他部分所需的最小操作
集。
對一個實時內核的要求
     一個實時操作系統內核需滿足許多特定的實時環(huán)境所提出的基本要求，這些包括：
多任務：由于真實世界的事件的異步性，能夠運行許多并發(fā)進程或任務是很重要的。多
任務提供了一個較好的對真實世界的匹配，因為它允許對應于許多外部事件的多線程執(zhí)
行。系統內核分配CPU給這些任務來獲得并發(fā)性。
     搶占調度：真實世界的事件具有繼承的優(yōu)先級，在分配CPU的時候要注意到這些優(yōu)先
級。基于優(yōu)先級的搶占調度，任務都被指定了優(yōu)先級， 在能夠執(zhí)行的任務（沒有被掛起
或正在等待資源）中，優(yōu)先級最高的任務被分配CPU資源。換句話說，當一個高優(yōu)先級的
任務變?yōu)榭蓤?zhí)行態(tài)，它會立即搶占當前正在運行的較低優(yōu)先級的任務。
     快速靈活的任務間的通信與同步：在一個實時系統中，可能有許多任務作為一個應
用的一部分執(zhí)行。系統必須提供這些任務間的快速且功能強大的通信機制。內核也要提
供為了有效地共享不可搶占的資源或臨界區(qū)所需的同步機制。
     方便的任務與中斷之間的通信：盡管真實世界的事件通常作為中斷方式到來，但為
了提供有效的排隊、優(yōu)先化和減少中斷延時，我們通常希望在任務級處理相應的工作。
所以需要雜任務級和中斷級之間存在通信。
     性能邊界：一個實時內核必須提供最壞情況的性能優(yōu)化，而非針對吞吐量的性能優(yōu)
化。我們更期望一個系統能夠始終以50微妙執(zhí)行一個函數，而不期望系統平均以10微妙
執(zhí)行該函數，但偶爾會以75微妙執(zhí)行它。
     特殊考慮：由于對實時內核的要求的增加，必須考慮對內核支持不斷增加的復雜功
能的要求。這包括多進程處理，Ada和對更新的、功能更強的處理器結構如RISC的支持。

擁有其它名字的內核
     許多商用化的內核支持的功能遠強于上面所列的要求。在這方面，他們不是真正的
內核，而更象一個小的統一結構的操作系統。因為他們包含簡單的內存分配、時鐘管理
、甚至一些輸入輸出系統調用的功能。
     這種分類不僅僅是在語義上的爭論，在這篇文章的后面章節(jié)將說明限制內核功能和
油畫這些功能的重要性。
2． VxWorks內核：Wind
     VxWorks操作系統是一種功能最全的現在可以獲得的獨立于處理器的實時系統。然而
，VxWorks是帶有一個相當小的真正微內核的層次結構。內核僅提供多任務環(huán)境、進程間
通信和同步功能。這些功能模塊足夠支持VxWorks在較高層次所提供的豐富的性能的要求
。 通常內核操作對于用戶是不可見的。應用程序為了實現需要內核參與的任務管理和同
步使用一些系統調用，但這些調用的處理對于調用任務是不可見的。應用程序僅鏈接恰
當的VxWorks例程（通常使用VxWorks的動態(tài)鏈接功能），就象調用子程序一樣發(fā)出系統
調用。這種接口不象有些系統需要一個笨拙的跳轉表接口，用戶需要通過一個整數來指
定一個內核功能調用。
多任務
     內核的基本功能是提供一個多任務環(huán)境。多任務使得許多程序在表面上表現為并發(fā)
執(zhí)行，而事實上內核是根據基本的調度算法使他們分段執(zhí)行。每個明顯獨立的程序被成
為一個任務。每個任務擁有自己的上下文，其中包含在內核調度使該任務執(zhí)行的時候它
所看到的CPU環(huán)境和系統資源。
任務狀態(tài)
     內核維護系統中的每個任務的當前狀態(tài)。狀態(tài)遷移發(fā)生在應用程序調用內核功能服
務的時候。下面定義了wind內核狀態(tài)：
     就緒態(tài)----一個任務當前除了CPU不等待任何資源
     阻塞態(tài)----一個任務由于某些資源不可獲得而被阻塞
     延遲態(tài)----一個任務睡眠一段時間
     掛起態(tài)----主要用于調試的一個輔助狀態(tài)，掛起禁止任務的執(zhí)行
     任務被創(chuàng)建以后進入掛起態(tài)，需要通過特定的操作使被創(chuàng)建的任務進入就緒態(tài)，這
一操作執(zhí)行速度很快，使應用程序能夠提前創(chuàng)建任務，并以一種快捷的方式激活該任務
。
調度控制
     多任務需要一個調度算法分配CPU給就緒的任務。在VxWorks中默認的調度算法是基
于優(yōu)先級的搶占調度，但應用程序也可以選擇使用時間片輪轉調度。
     基于優(yōu)先級搶占調度：基于優(yōu)先級的搶占調度，每個任務被指定一個優(yōu)先級，內核
分配CPU給處于就緒態(tài)的優(yōu)先級最高的任務。調度采用搶占的方式，是因為當一個優(yōu)先級
高于當前任務的任務變?yōu)榫途w態(tài)時，內核將立即保存當前任務的上文，并切換到高優(yōu)先
級任務的上文。VxWorks有從0到255共256個優(yōu)先級。在創(chuàng)建的時候任務被指定一個優(yōu)先
級，在任務運行的過程中可以動態(tài)地修改優(yōu)先級以便跟蹤真實世界的事件優(yōu)先級。外部
中斷被指定優(yōu)先于任何任務的優(yōu)先級，這樣能夠在任何時候搶占一個任務。
     時間片輪轉：基于優(yōu)先級搶占調度可以擴充時間片輪轉調度。時間片輪轉調度允許
在相同優(yōu)先級的處于就緒態(tài)的任務公平地共享CPU。沒有時間片輪轉調度，當有多個任務
在同一優(yōu)先級共享處理器時，一個任務可能獨占CPU，不會被阻塞直到被一個更高優(yōu)先級
的任務搶占，而不給同一優(yōu)先級的其他任務運行的機會。如果時間片輪轉被使能，執(zhí)行
任務的時間計數器在每個時鐘滴答遞增。當指定的時間片耗盡，計數器會被清零，該任
務被放在同一優(yōu)先級任務隊列的隊尾。加入特定優(yōu)先級組的新任務被放在該組任務的隊
尾，并將運行計數器初始化為零。
基本的任務函數
         用于狀態(tài)控制的基本任務函數包括一個任務的創(chuàng)建、刪除、掛起和喚醒。一個
任務也可以使自己睡眠一個特定的時間間隔不去運行。
許多其他任務例程提供由任務上下文獲得的狀態(tài)信息。這些例程包括訪問一個任務當前
處理器寄存器控制。
任務刪除問題
     wind內核提供防止任務被意外刪除的機制。通常，一個執(zhí)行在臨界區(qū)或訪問臨界資
源的任務要被特別保護。我們設想下面的情況：一個任務獲得一些數據結構的互斥訪問
權，當它正在臨界區(qū)內執(zhí)行時被另一個任務刪除。由于任務無法完成對臨界區(qū)的操作，
該數據結構可能還處于被破壞或不一致的狀態(tài)。而且，假想任務沒有機會釋放該資源，
那麼現在其他任何任務現在就不能獲得該資源，資源被凍結了。
          任何要刪除或終止一個設定了刪除保護的任務的任務將被阻塞。當被保護的任
務完成臨界區(qū)操作以后，它將取消刪除保護以使自己可以被刪除，從而解阻塞刪除任務
。
     正如上面所展示的，任務刪除保護通常伴有互斥操作。
     這樣，為了方便性和效率，互斥信號量包含了刪除保護選項。（參見"互斥信號量"
）
任務間通信
     為了提供完整的多任務系統的功能，wind內核提供了一套豐富的任務間通信與同步
的機制。這些通信功能使一個應用中各個獨立的任務協調他們的活動。
共享地址空間
     wind內核的任務間通信機制的基礎是所有任務所在的共享地址空間。通過共享地址
空間，任務能夠使用共享數據結構的指針自由地通信。管道不需要映射一塊內存區(qū)到兩
個互相通信任務的尋址空間。
          不幸的是，共享地址空間具有上述優(yōu)點的同時，帶來了未被保護內存的重入訪
問的危險。UNIX操作系統通過隔離進程提供這樣的保護，但同時帶來了對于實時操作系
統來說巨大的性能損失。
互斥操作
     當一個共享地址空間簡化了數據交換，通過互斥訪問避免資源競爭就變?yōu)楸匾�的�?br/>。用來獲得一個資源的互斥訪問的許多機制僅在這些互斥所作用的范圍上存在差別。實
現互斥的方法包括禁止中斷、禁止任務搶占和通過信號量進行資源鎖定。
     中斷禁止：最強的互斥方法是屏蔽中斷。這樣的鎖定保證了對CPU的互斥訪問。這種
方法當然能夠解決互斥的問題，但它對于實時是不恰當的，因為它在鎖定期間阻止系統
響應外部事件。長的中斷延時對于要求有確定的響應時間的應用來說是不可接受的。
     搶占禁止：禁止搶占提供了強制性較弱的互斥方式。 當前任務運行的過程中不允許
其他任務搶占，而中斷服務程序可以執(zhí)行。這也可能引起較差的實時響應，就象被禁止
中斷一樣，被阻塞的任務會有相當長時間的搶占延時，就緒態(tài)的高優(yōu)先級的任務可能會
在能夠執(zhí)行前被強制等待一段不可接受的時間。為避免這種情況，在可能的情況下盡量
使用信號量實現互斥。
     互斥信號量：信號量是用于鎖定共享資源訪問的基本方式。不象禁止中斷或搶占，
信號量限制了互斥操作僅作用于相關的資源。一個信號量被創(chuàng)建來保護資源。VxWorks的
信號量遵循Dijkstra的P()和V()操作模式。
     當一個任務請求信號量，P()， 根據在發(fā)出調用時信號量的置位或清零的狀態(tài)， 會
發(fā)生兩種情況。如果信號量處于置位態(tài)， 信號量會被清零，并且任務立即繼續(xù)執(zhí)行。如
果信號量處于清零態(tài)，任務會被阻塞來等待信號量。
     當一個任務釋放信號量，V()，會發(fā)生幾種情況。如果信號量已經處于置位態(tài)，釋放
信號量不會產生任何影響。如果信號量處于清零態(tài)且沒有任務等待該信號量，信號量只
是被簡單地置位。如果信號量處于清零態(tài)且有一個或多個任務等待該信號量，最高優(yōu)先
級的任務被解阻塞，信號量仍為清零態(tài)。
     通過將一些資源與信號量關聯，能夠實現互斥操作。當一個任務要操作資源，它必
須首先獲得信號量。只要任務擁有信號量，所有其他的任務由于請求該信號量而被阻塞
。當一個任務使用完該資源，它釋放信號量，允許等待該信號量的另一個任務訪問該資
源。
     Wind內核提供了二值信號量來解決互斥操作所引起的問題。 這些問題包括資源擁有
者的刪除保護，由資源競爭引起的優(yōu)先級逆轉。
     刪除保護----互斥引起的一個問題會涉及到任務刪除。在由信號量保護的臨界區(qū)中
，需要防止執(zhí)行任務被意外地刪除。刪除一個在臨界區(qū)執(zhí)行的任務是災難性的。資源會
被破壞，保護資源的信號量會變?yōu)椴豢色@得，從而該資源不可被訪問。通常刪除保護是
與互斥操作共同提供的。由于這個原因，互斥信號量通常提供選項來隱含地提供前面提
到的任務刪除保護的機制。
     優(yōu)先級逆轉/優(yōu)先級繼承----優(yōu)先級逆轉發(fā)生在一個高優(yōu)先級的任務被強制等待一段
不確定的時間以便一個較低優(yōu)先級的任務完成執(zhí)行。考慮下面的假設：
     T1，T2和T3分別是高、中、低優(yōu)先級的任務。T3通過擁有信號量而獲得相關的資源
。當T1搶占T3，為競爭使用該資源而請求相同的信號量的時候，它被阻塞。如果我們假
設T1僅被阻塞到T3使用完該資源為止，情況并不是很糟。畢竟資源是不可被搶占的。然
而，低優(yōu)先級的任務并不能避免被中優(yōu)先級的任務搶占，一個搶占的任務如T2將阻止T3
完成對資源的操作。這種情況可能會持續(xù)阻塞T1等待一段不可確定的時間。這種情況成
為優(yōu)先級逆轉，因為盡管系統是基于優(yōu)先級的調度，但卻使一個高優(yōu)先級的任務等待一
個低優(yōu)先級的任務完成執(zhí)行。
     互斥信號量有一個選項允許實現優(yōu)先級繼承的算法。優(yōu)先級繼承通過在T1被阻塞期
間提升T3的優(yōu)先級到T1解決了優(yōu)先級逆轉引起的問題。這防止了T3，間接地防止T1，被
T2搶占。通俗地說，優(yōu)先級繼承協議使一個擁有資源的任務以等待該資源的任務中優(yōu)先
級最高的任務的優(yōu)先級執(zhí)行。當執(zhí)行完成，任務釋放該資源并返回到它正常的或標準的
優(yōu)先級。因此，繼承優(yōu)先級的任務避免了被任何中間優(yōu)先級的任務搶占。
     同步
     信號量另一種通常的用法是用于任務間的同步機制。在這種情況下，信號量代表一
個任務所等待的條件或事件。最初，信號量是在清零態(tài)。一個任務或中斷通過置位該信
號量來指示一個事件的發(fā)生。等待該信號量的任務將被阻塞直到事件發(fā)生、該信號量被
置位。一旦被解阻塞，任務就執(zhí)行恰當的事件處理程序。信號量在任務同步中的應用對
于將中斷服務程序從冗長的事件處理中解放出來以縮短中斷響應時間是很有用的。
消息隊列
     消息隊列提供了在任務與中斷服務程序或其他任務間交換變長消息的一種較低層的
機制。這種機制在功能上類似于管道，但有較少的開銷。
管道、套接字、遠程過程調用和更多
     許多高層的VxWorks機制提供任務間通信的更高層的抽象，包括管道、TCP/IP套接字
、遠程過程調用和更多。為了保持裁減內核為僅包含足夠支持高層功能的一個最小函數
集的設計目標，這些特性都是基于上面描述的內核同步方式的。
3． 內核設計的優(yōu)點
     wind內核的一個重要的設計特性是最小的搶占延時。其他的主要設計的優(yōu)點包括史
無前例的可配置性，對不可預見的應用需求的可擴展性，在各種微處理器應用開發(fā)中的
移植性。
最小的搶占延時
     正如前面所討論的，禁止搶占是獲得代碼臨界資源互斥操作的通常手段。這種技巧
的不期望的負面影響是高的搶占延時，這可以通過盡量使用信號量實現互斥和保持臨界
區(qū)盡量緊湊被減小。但即使廣泛地使用信號量也不能解決所有的可能導致搶占延時的根
源。內核本身就是一個導致搶占延時的根源。為了理解其原因，我們必須更好地理解內
核所需的互斥操作。
內核級和任務級
     在任何多任務系統中，大量的應用是發(fā)生在一個或多個任務的上下文。然而，有些
CPU時間片不在任何任務的上下文。這些時間片發(fā)生在內核改變內部隊列或決定任務調度
。在這些時間片中，CPU在內核級執(zhí)行，而非任務級。
     為了內核安全地操作它的內部的數據結構，必須有互斥操作。內核級沒有相關的任
務上下文，內核不能使用信號量保護內部鏈表。內核使用工作延期作為實現互斥的方式
。當有內核參與時，中斷服務程序調用的函數不是被直接激活，而是被放在內核的工作
隊列中。內核完成這些請求的執(zhí)行而清空內核工作隊列。
     當內核正在執(zhí)行已經被請求服務時系統將不響應到曙海嵌入式學院核的函數調用。可以簡單地
認為內核狀態(tài)類似于禁止搶占。如前面所討論的，搶占延時在實時系統中是不期望有的
，因為它增加了對于會引起應用任務重新調度的事件的響應時間.
     管操作系統在內核級（此時禁止搶占）完全避免消耗時間是不可能的，但減少這些
時間是很重要的。這是減少由內核執(zhí)行的函數的數量的主要原因， 也是不采用統一結構
的系統設計方式的原因。例如，有一種流行的實時操作系統的每個函數都是在內核級執(zhí)
行。這意味著當一個低優(yōu)先級的任務在執(zhí)行分配內存、獲得任務信息的函數時所有高優(yōu)
先級的任務被禁止搶占。
一個最小的內核
     已經說明了一個最小內核的優(yōu)點和構造高層操作系統功能的必要功能，我們使用這
些操作原語來執(zhí)行一個傳統的內核級功能，而在VxWorks中作為任務級功能執(zhí)行，內存管
理。 在這個例子中，考慮用戶可調用的子例程malloc， 用于分配所請求大小的內存區(qū)
并返回一個指向該內存區(qū)的指針。假定空閑內存區(qū)是通過搜索一個空閑內存塊的隊列找
到的，一個信號量必須被用來保護這個非搶占多用戶資源。分配內存的操作如下：
     獲得互斥信號量
搜索空閑內存塊鏈表
     釋放互斥信號量
     值得注意的是搜索一個足夠大的空閑內存塊的可能的冗長的時間是發(fā)生在調用任務
的上下文中。這是可以被高優(yōu)先級的任務搶占的（除了信號量調用的這段執(zhí)行時間）。

     在一個標準的統一結構的實時內核中，內存分配例程操作如下：
     進入內核