緣起今生：英飛凌車規(guī)MCU全系支持Rust 語言開發(fā)

隨著軟件功能的日趨強(qiáng)大，軟件開發(fā)工作量隨之劇增，軟件開發(fā)團(tuán)隊也不斷嘗試改進(jìn)軟件的開發(fā)方法，旨在保證軟件功能，質(zhì)量的情況下，減少成本，加快開發(fā)速度。

要實現(xiàn)上述目標(biāo)，關(guān)鍵在于工作量——在軟件開發(fā)中盡可能減少工作量。

軟件開發(fā)相關(guān)的工作量包括功能需求定義，功能需求的實現(xiàn)和測試，非功能需求，以及修復(fù)開發(fā)過程中引入的錯誤的工作量。

站在軟件開發(fā)者的角度，在實現(xiàn)軟件完整功能的情況下，如何減少開發(fā)的總工作量，唯一能夠減少的部分就是用于修正錯誤的工作量。

對軟件開發(fā)而言，一旦發(fā)現(xiàn)錯誤，就必須加以修正，以保證軟件產(chǎn)品質(zhì)量。因此，要在不影響產(chǎn)品質(zhì)量的前提下減少工作量，唯一的解決辦法就是防止開發(fā)過程中引入軟件錯誤。

在已知的軟件錯誤中，內(nèi)存安全是軟件行業(yè)中最常見的錯誤類別[1][2]。然而，嵌入式軟件行業(yè)的標(biāo)準(zhǔn)語言 C 和 C++ 是非內(nèi)存安全編程語言，這意味著嵌入式系統(tǒng)很容易出現(xiàn)這類錯誤。

減少這類錯誤的方法之一是在軟件測試、審查和驗證方面投入人力物力，而另一種思路是用內(nèi)存安全語言取代現(xiàn)有語言[3]。

雖然許多內(nèi)存安全語言（如 Python、Java）已在軟件行業(yè)得到廣泛應(yīng)用，但它們并不適合嵌入式系統(tǒng)。這是因為嵌入式系統(tǒng)對占用空間、堆棧使用和性能有嚴(yán)格的限制（這是C和C++的優(yōu)勢）。

Rust就是在這樣的背景下誕生的，它同時實現(xiàn)了高效性和內(nèi)存安全。

Rust 是什么

Rust語言在2006年作為 Mozilla 員工 Graydon Hoare 的私人項目出現(xiàn)，而 Mozilla 于 2009 年開始贊助這個項目。第一個有版本號的 Rust 編譯器于2012 年 1 月發(fā)布。Rust 1.0 是第一個穩(wěn)定版本，于 2015年5月15日發(fā)布 [4] 。

Figure 1. Rust Logo

Rust是一種在科技界大受歡迎的語言，Rust已經(jīng)連續(xù)七年（2016，2017，2018，2019，2020, 2021, 2022）在Stack Overflow開發(fā)者調(diào)查的“最受喜愛編程語言”評選項目中折取桂冠[5]。

微軟用Rust重寫它的一些核心windowns庫，在 Android 13 中，21% 的新原生代碼使用了 Rust，此外，除 C 語言外，Rust 是唯一一種支持編寫 Linux 內(nèi)核組件的語言，并被廣泛用于后端軟件、基礎(chǔ)設(shè)施和微服務(wù)。（找元器件現(xiàn)貨上唯樣商城）

Figure 2. rust-gentle-intro [6]

Rust是一種系統(tǒng)編程語言，旨在成為無垃圾回收的內(nèi)存安全語言。

Rust使用了包含特定規(guī)則的“所有權(quán)”機(jī)制來管理內(nèi)存，允許編譯器在編譯過程中執(zhí)行檢查工作，而不會產(chǎn)生任何的運(yùn)行時開銷。Rust中的每一個值都有一個對應(yīng)的變量作為它的所有者；在同一時間內(nèi)，值有且僅有一個所有者；當(dāng)所有者離開自己的作用域時，它持有的值就會被釋放掉。

Rust使用“借用規(guī)則”實現(xiàn)對值進(jìn)行可變和不可變引用：一個值可以有一個不可變引用或多個可變引用，但不能同時有兩個引用。編譯器中一個名為“借用檢查器”的特定部分會對此進(jìn)行檢查。

Rust中的生命周期規(guī)則：Rust的每個引用都有自己的生命周期，它對應(yīng)著引用保持有效性的作用域。生命周期最主要的目標(biāo)在于避免懸垂引用，進(jìn)而避免程序引用到非預(yù)期的數(shù)據(jù)。[7][8]

Cargo 是 Rust 的軟件包管理器[9]，軟件包被稱為板條箱（Crate），cargo 有一個命令：cargo build，它能自動解決項目依賴關(guān)系。另外，使用 cargo test 命令能觸發(fā)單元測試，使用 cargo doc 命令還能生成文檔網(wǎng)頁。cargo 的文檔列出了 30 多條不同的命令，用于支持軟件包處理、構(gòu)建文檔和測試。此外，cargo 還可用于安裝其他 Rust 二進(jìn)制文件，如工具 svd2rust。

嵌入式系統(tǒng)中的 Rust

Figure 3. Embedded Rust Architecture

Embedded Rust 的結(jié)構(gòu)可以分為上述5層，如上圖所示，從下往上的順序，最底層是MCU硬件層，有各個資源，外設(shè)，由不同的芯片決定；第2層是PAC，可以理解為芯片的頭文件，里面是各個寄存器的信息；第3層是在PAC的基礎(chǔ)上對寄存器進(jìn)行操作一些調(diào)度函數(shù)，里面對寄存器進(jìn)行直接操作；第4層是硬件抽象層，這一層的意義是從芯片強(qiáng)相關(guān)的驅(qū)動函數(shù)上抽象出來，提供一個通用接口，這個通用接口由最上層的軟件驅(qū)動層、軟件應(yīng)用層去調(diào)用，實現(xiàn)對芯片資源的調(diào)度。

在Embedded Rust中，使用svd2rust工具將芯片資源的描述文件SVD文件轉(zhuǎn)化為PAC，該接口具有良好的可讀性，便于審查和維護(hù)。此外，它還能防止出現(xiàn)錯誤，因為如果設(shè)置的值對該字段無效，代碼將無法編譯。

RUST 與 C 語言的關(guān)系

Rust對硬件的內(nèi)存需求，堆棧使用，運(yùn)行效率可以和C相媲美，具體的細(xì)節(jié)差異會和編譯優(yōu)化等級，應(yīng)用等有些許差異。

此外，Rust有一個令人振奮的點，它可以和C語言共同使用。

Rust和C代碼間的互用性始終取決于兩種語言間的數(shù)據(jù)轉(zhuǎn)換。為了實現(xiàn)互用性，在stdlib中，有兩個專用模塊，叫做std::ffi和std::os::raw 。

std::ffi提供了一些工具去轉(zhuǎn)換更復(fù)雜的類型，比如Strings，將&str和String映射成更容易和安全處理的C類型。

std::os::raw處理底層的基本類型，這些類型可以被編譯器隱式地轉(zhuǎn)換，因為Rust和C之間的內(nèi)存布局足夠相似或相同[10]。

Rust 是一種現(xiàn)代系統(tǒng)編程語言，可用于網(wǎng)絡(luò)應(yīng)用程序和裸機(jī)嵌入式系統(tǒng)。不過Rust的生態(tài)和函數(shù)庫資源等比較有限，而和C之間的互通性可以讓Rust更加便捷的應(yīng)用到現(xiàn)有的軟件中，更快的投入使用。

因此，我們將長期生活在 Rust 和 C 語言的混合環(huán)境中。盡管 Rust 聲稱內(nèi)存安全（這一點已經(jīng)得到證實），但是Rust 和 C 代碼的結(jié)合可能會導(dǎo)致安全的 Rust 生成的程序被不安全的 C 實現(xiàn)所違反的情況。為了確保 Rust 的安全性，有必要在 C 和 Rust 之間找到一個合理的分界點。

盡管如此，事實證明 Rust 是在嵌入式系統(tǒng)中替代 C 和 C++ 的合適候選語言，尤其是在新代碼開發(fā)方面。除內(nèi)存安全外，Rust 語言的其他方面，如強(qiáng)大的類型系統(tǒng)和錯誤處理，也為 Rust 帶來了卓越的可讀性和可維護(hù)性。這提高了防錯能力，從而在不增加開發(fā)階段額外成本的情況下實現(xiàn)更安全的代碼。

英飛凌產(chǎn)品支持Embedded Rust

軟件安全對汽車市場至關(guān)重要，Rust 編程語言內(nèi)置內(nèi)存安全軟件開發(fā)支持，是設(shè)計關(guān)鍵任務(wù)汽車軟件的重要推動力。英飛凌科技公司為在嵌入式領(lǐng)域創(chuàng)建 Rust 生態(tài)系統(tǒng)邁出了第一步。首先推出的是市場領(lǐng)先的 AURIX? TC3xx 和 TRAVEO? T2G 汽車 MCU。TRAVEO? 使用官方 Rust 工具鏈和 Arm Cortex-M 目標(biāo)編譯器，而英飛凌的工具合作伙伴 HighTec EDV-Systeme 則為 AURIX? 開發(fā)了專用 Rust 編譯器。

Figure 4. AURIX? and TRAVEO? T2G

AURIX? TC3xx 和 TRAVEO? T2G 微控制器產(chǎn)品系列為功能安全和網(wǎng)絡(luò)安全提供了廣泛的集成硬件功能。對 Rust 的支持是對這些硬件功能在軟件方面的補(bǔ)充。英飛凌為 AURIX? 和 TRAVEO? 提供了外設(shè)訪問板條 (PAC)，以實現(xiàn)對微控制器外設(shè)的本地訪問。

HighTec Rust 編譯器專為 AURIX? TC3xx 和 TC4x 微控制器量身定制，利用先進(jìn)的開源 LLVM 技術(shù)，為具有安全、可靠、高性能和快速部署要求的應(yīng)用提供全套 Rust 語言特性，包括內(nèi)存安全、并發(fā)性和互操作性。

審核編輯 黃宇