1. 资源访问的线程安全问题
在多任务系统中,当多个任务或中断拥有同一资源访问权限时,可能发生资源访问的错误。当一个任务未完整访问完一个资源就退出运行态,其他任务或中断再访问同一资源时,可能导致数据损坏或其他错误。
1.1 哪些资源访问存在线程安全问题
外设资源
读-改-写操作
非原子性访问变量
函数重入
1.2 如何确保资源访问的线程安全
保证任务或中断在对资源访问时的独占性,也就是一旦开始访问改资源就独占该资源,直到完整访问完后再释放改资源。也就是称之为“互斥”的技术。
2 互斥技术
2.1 临界段
代码的临界段也称为临界区,指处理时不可分割的代码区域,一旦这部分代码开始执行,则不允许任何中断打断。为确保临界段代码的执行不被中断,在进入临界段之前须关中断,而临界段代码执行完毕后,要立即打开中断。
临界段必须短小,否则影响中断响应时间。
支持嵌套,在嵌套深度为0是才退出对资源的独占
禁止任务及部分/全部中断的抢占
2.2 挂起内核调度
只任务禁止抢占,中断可抢占
恢复内核调度时间较长
2.3 互斥信号量
互斥信号量,可以被看成是一个令牌。当要请求访问一个共享资源时,必须先取得令牌的所有权,成为令牌所有者并完成资源的访问后,必须返还令牌,这样其他任务才可继续申请令牌完成资源的访问。
2.3.1 互斥信号量的使用风险
互斥信号量保证了资源的互斥访问,同时也带来了一些风险和使用隐患,比如优先级反转、死锁、同任务优先级时序影响等。
2.3.1.1 优先级反转
假设图1信号量实现资源互斥中的Task A优先级较低,Task B优先级较高,但是Task B确被Task A阻塞。高优先级被低优先级阻塞的现象,我们称之为“优先级反转”。
假设此时还有一个任务C,优先级在Task A(低优先级)和Task B(高优先级)之间,在Task B等待资源时,Task C却能抢占Task A而执行,这样不仅Task A阻塞了Task B,而且Task C也阻塞了Task B,如果有更多的中等优先级位于Task A 和 Task B之间,会发生更多的优先级反转。能否减少优先级反转的情况发生呢?
优先级继承
优先级继承就是一种让优先级反转影响最小化的一种机制。它的原理是:暂时提升令牌持有者的优先级到正试图持有令牌的最高优先级任务的优先级,并在令牌持有者返还令牌时恢复其原来的优先级。
互斥信号量与二值信号量的不同就是有优先级继承机制
优先级继承会影响任务的优先级,所以中断服务程序中不能使用互斥信号量。
2.3.1.2 死锁
互锁
当两个任务都在等待另一个任务持有的资源而无法继续执行时就发生了死锁。假设有两个任务Task A和Task B都需要获取资源互斥信号量M1 和 M2,并按如下情形执行:
- TASK A执行并成功获取M1。
- Task B抢占Task A并成功获取M2, 然后试图获取M1,但M1已被TASK A持有,TASK B只能挂起等待M1的释放。
- TASK A继续执行,并试图获取M2,但M2已被TASK B持有,TASK A只能挂起等待M1的释放。
至此,TASK A在等待TASK B释放M2, 而TASK B在等待TASK A释放M1,两个任务都无法继续执行而形成死锁。
- TASK A继续执行,并试图获取M2,但M2已被TASK B持有,TASK A只能挂起等待M1的释放。
如何解除死锁
- 设计层面考虑避免死锁发生的风险
- 在获取资源互斥信号量时不要无限期等待,设置合理的超时等待时间,该时间比预期等待的最大时间长一些就可以。如果获取互斥信号量超时事件发生,可能发生了死锁,这也有利于帮助我们重新审视资源管理的设计是否存在合理。
自锁
当一个任务已经是互斥资源的持有者,并再次尝试获取该资源互斥信号量,就陷入了自我等待的死锁状态。这种死锁状态通常发生在任务持有互斥资源后,其调用的库又试图获取该互斥资源,可以通过递归互斥技术来避免。
递归互斥
递归互斥可以在同一任务中多次‘获取’,直到之前每一个‘获取’互斥都‘释放’了才恢复有效。第一次获取,之后的每次‘获取’只增加递归深度;每次'释放'递减递归深度,直到递归深度为0,互斥信号量才恢复有效。
是否为了避免自锁,我们就都使用递归互斥呢?实际应用中应尽量避免使用互斥递归,从设计上杜绝自锁的发生。可以将资源对资源的访问进行封装,每一次访问都是先获取资源互斥,使用完释放资源互斥,使资源的管理尽量简单可靠。
2.3.1.3 同任务优先级调度时序
同优先级的任务,系统在调度时使用基于时间片的轮转调度,以保证各任务能获得大致均等的执行时间。假如同一优先级的多任务使用同一资源信号量,未持有资源互斥信号量的任务在自己的时间片到来时申请资源互斥量进入阻塞态而放弃其余下时间片,资源信号量的持有者任务继续其时间片。如果资源持有者的任务是一个紧密的循环执行体,其时间片内发生资源的释放和再获取,这样其他同优先级也使用该资源的任务较少甚至没有机会获得该资源,这样同一优先级的多任务的执行时间将有较大差异,甚至发生死锁。针对这种情况,可以在其资源释放并距资源获取发生了tick值改变时,让任务放弃当前的时间片占用,当然更好的方法是避免这样的设计。
2.4 守护任务
守护任务是一种资源把关任务,对资源拥有唯一所有权的任务。只有守护任务能直接访问资源,其他任务只能间接通过守护任务来实现资源的访问。
可见守护任务是一种干净利落实现互斥访问的方式,而且不存在优先级反转和死锁问题。