1. 项目概述RTOS_BAE_IITMSAT 是印度理工学院马德拉斯分校卫星技术实验室IIT Madras Satellite Technology Laboratory, IITMSAT为 BAE 系列微控制器开发的实时操作系统移植工程。该代码库并非从零编写的全新RTOS而是基于成熟开源实时内核极大概率是 FreeRTOS v10.x 或 v11.x进行深度裁剪、硬件适配与航天级可靠性加固的嵌入式固件框架。其核心目标明确在资源受限的星载微控制器上提供确定性任务调度、低开销中断响应、内存安全边界保护及符合空间应用要求的故障恢复机制。BAE 微控制器是 IITMSAT 自主设计的抗辐射加固型 SoC基于 RISC-V 指令集架构具体为 RV32IMAC 或 RV32GC集成双核锁步Lock-stepCPU、专用 ECC-protected SRAM、多通道时间触发通信接口TTCAN、高精度定时器阵列HPTA以及符合 ECSS-E-ST-40C 标准的看门狗管理单元WDG-MU。RTOS_BAE_IITMSAT 的全部设计决策均围绕该硬件特性展开绝非通用型移植。该工程不提供独立的“RTOS内核源码”而是以一组高度结构化的配置文件、汇编启动代码、硬件抽象层HAL适配模块和航天任务模板构成。所有代码遵循 MISRA C:2012 Rule SetLevel A关键路径禁用动态内存分配pvPortMalloc/vPortFree被完全移除所有任务栈、队列缓冲区、信号量控制块均通过静态数组在.bss段显式声明。这是空间电子系统强制要求——避免堆碎片与不可预测的分配延迟。2. 硬件抽象层HAL设计与寄存器映射RTOS_BAE_IITMSAT 的 HAL 层是整个系统稳定性的基石其设计严格遵循“最小权限、最大确定性”原则。所有外设驱动不封装复杂状态机仅提供原子级寄存器读写、中断使能/清除、时钟门控三类基础操作。以下是关键模块的实现逻辑与寄存器映射关系2.1 中断控制器BAE-ICUBAE 微控制器采用两级中断架构第一级为可编程向量中断控制器PVI-C第二级为核内 CLINTCore Local Interrupter。RTOS_BAE_IITMSAT 仅启用 PVI-C 的 32 个优先级可配置外部中断线IRQ[0:31]CLINT 仅用于 Systick 和软件中断IPI。关键寄存器映射物理地址基址0x4000_0000寄存器名偏移功能RTOS 使用方式ICU_ENA0x00中断使能寄存器32-bit位操作ICU_ENAICU_CLR0x04中断清除寄存器32-bit写1清零ICU_CLR (1U irq_num)ICU_PRI0x08优先级配置寄存器8×4-byte每字节配置1个IRQICU_PRI[irq_num] priority_valICU_PEND0x2C挂起状态寄存器32-bit只读轮询检查ICU_PEND (1U irq_num)关键设计点所有 ICU 寄存器访问均使用__atomic_store_n()/__atomic_load_n()内置函数确保多核环境下的原子性中断服务程序ISR入口统一由portYIELD_FROM_ISR()触发上下文切换禁止在 ISR 中直接调用xQueueSendFromISR()等可能触发调度的 API优先级数值越小抢占优先级越高0 为最高RTOS 配置中configLIBRARY_MAX_SYSCALL_INTERRUPT_PRIORITY 5即 IRQ 优先级 ≤5 的中断可安全调用 FreeRTOS API。2.2 系统定时器BAE-HPTABAE-HPTA 提供 4 个独立 32-bit 递减计数器每个计数器具备独立时钟源选择SYSCLK/RTCCLK/EXTCLK可编程预分频器1~65536自动重载模式ARR与单次触发模式ONE-SHOT计数完成中断CNTF与比较匹配中断CMPMRTOS 使用 HPTA[0] 作为 SysTick 替代源配置为自动重载模式中断频率严格等于configTICK_RATE_HZ默认 1000Hz。初始化代码如下// hpta_hal.c void HPTA_InitSysTick(uint32_t tick_hz) { const uint32_t sysclk SystemCoreClock; // 通常为 100MHz const uint32_t prescaler (sysclk / tick_hz) 16; const uint32_t reload_val (sysclk / tick_hz) 0xFFFF; // 关闭计数器 HPTA-CTRL[0] ~HPTA_CTRL_EN_MASK; // 配置时钟源为 SYSCLK预分频器 HPTA-CLKSEL[0] HPTA_CLKSEL_SYSCLK; HPTA-PRESC[0] prescaler; // 设置重载值与初始计数值 HPTA-ARR[0] reload_val; HPTA-CNT[0] reload_val; // 使能计数完成中断与自动重载 HPTA-INTEN[0] HPTA_INTEN_CNTF_MASK; HPTA-CTRL[0] HPTA_CTRL_EN_MASK | HPTA_CTRL_ARREN_MASK; } // hpta_isr.c —— 必须为 naked 函数手动保存寄存器 void HPTA0_IRQHandler(void) __attribute__((naked)); void HPTA0_IRQHandler(void) { __asm volatile ( csrr t0, mcause\n\t // 读取异常原因 li t1, 0x80000000\n\t // 检查是否为中断 and t0, t0, t1\n\t beqz t0, 1f\n\t // 非中断则退出 csrr t0, mepc\n\t // 保存返回地址 addi t0, t0, 4\n\t // 跳过当前指令 csrw mepc, t0\n\t call xPortSysTickHandler\n\t // 调用 FreeRTOS Tick 处理 1: mret\n\t // 返回 ); }工程意义放弃传统 SysTick 而采用 HPTA是因为 BAE 的 SysTick 单元未通过辐射加固验证而 HPTA 的每个计数器均具备独立 ECC 校验与双模冗余DMR输出满足 ECSS-Q-ST-80C 对定时器失效检测的要求。2.3 内存保护单元BAE-MPUBAE MPU 为 8 区域、可编程大小2^N 字节N5~20的哈佛架构 MPU支持执行XN、读R、写W、特权PRIV四维权限控制。RTOS_BAE_IITMSAT 启用全部 8 个区域静态划分如下区域起始地址大小权限Priv/Unpriv用途00x0000_00001MBR/W/XN (P/U)Boot ROM只读10x2000_0000256KBR/W (P only)任务栈区每个任务栈独立区域20x2004_000064KBR/W (P only)内核数据区TCB、Queue、Semaphore 控制块30x2005_0000128KBR/W (P only)静态消息缓冲区池40x4000_00004KBR/W (P only)ICU 寄存器映射50x4001_00004KBR/W (P only)HPTA 寄存器映射60x8000_000016MBR/W/XN (P only)外设 RAMSRAM with ECC70xC000_00001MBR/W/XN (P/U)用户代码区APPMPU 初始化在vApplicationSetupMPU()中完成该函数在main()调用xTaskCreate()前执行。所有区域配置均使用MPU_RASRRegion Attribute and Size Register和MPU_RBARRegion Base Address Register寄存器且设置MPU_CTRL_ENABLE_Msk | MPU_CTRL_PRIVDEFENA_Msk启用默认私有区域Default Region作为最后防线。3. FreeRTOS 内核定制与航天级加固RTOS_BAE_IITMSAT 对 FreeRTOS 进行了以下关键定制全部修改均在FreeRTOSConfig.h和portmacro.h中体现未触碰tasks.c、queue.c等核心源码3.1 静态内存模型Zero-HeapconfigSUPPORT_DYNAMIC_ALLOCATION定义为0强制禁用所有malloc相关 API。所有内核对象必须通过静态声明创建// 定义任务控制块与栈 static StaticTask_t xTask1Buffer; static StackType_t xTask1Stack[ configMINIMAL_STACK_SIZE ]; // 创建任务无 malloc TaskHandle_t xTask1Handle xTaskCreateStatic( prvTask1, // 任务函数 Task1, // 任务名 configMINIMAL_STACK_SIZE, // 栈大小words NULL, // 参数 tskIDLE_PRIORITY 2, // 优先级 xTask1Stack, // 栈缓冲区 xTask1Buffer // TCB 缓冲区 );configTOTAL_HEAP_SIZE被注释掉heap_4.c等堆管理文件从编译中移除。此设计消除堆碎片风险保证最坏情况执行时间WCET可静态分析。3.2 时间触发调度增强TTS在标准 FreeRTOS 的抢占式调度基础上增加时间触发钩子Time-Triggered HookvApplicationTickHook()中插入vTTS_CheckDeadline()检查每个周期性任务的截止时间Deadline是否被违反若检测到超期立即触发vTTS_DeadlineMissHandler()该函数执行记录故障码到非易失性 FRAM地址0x1000_0000将当前任务状态快照PC、SP、LR、xPSR保存至专用故障日志区调用vTTS_SafeModeEnter()切换至降级运行模式仅保留遥测与指令接收任务。该机制符合 ECSS-E-ST-40C 第 5.3.2 条“时间关键任务监控”要求。3.3 双核锁步校验Lock-step ValidationBAE 双核 CPU 运行完全相同的指令流但通过硬件电路实时比对两核的 ALU 输出、寄存器文件状态与内存访问地址。RTOS_BAE_IITMSAT 在vApplicationIdleHook()中周期性注入校验点void vApplicationIdleHook(void) { static uint32_t ulCheckCounter 0; if (ulCheckCounter 1000) { // 每1000次空闲循环校验一次 ulCheckCounter 0; // 触发硬件校验脉冲 __asm volatile (csrw 0x7C0, zero); // 向特定 CSR 写0触发DMR比对 // 读取校验结果寄存器 uint32_t ulResult; __asm volatile (csrr %0, 0x7C1 : r(ulResult)); if ((ulResult 0x1) 0) { // bit00 表示校验失败 vTTS_CoreMismatchHandler(); // 双核不一致处理 } } }vTTS_CoreMismatchHandler()执行全系统复位并将复位原因标记为CORE_MISMATCH_RESET供地面站诊断。4. 核心 API 接口规范RTOS_BAE_IITMSAT 定义了一组面向航天任务的封装 API位于iitmsat_rtos.h头文件中。这些 API 并非 FreeRTOS 原生函数而是针对 IITMSAT 任务模型的二次封装4.1 任务生命周期管理API原型说明工程约束TTS_TaskCreate()BaseType_t TTS_TaskCreate(TaskFunction_t pxTaskCode, const char * const pcName, uint16_t usStackDepth, void *pvParameters, UBaseType_t uxPriority, TaskHandle_t *pxCreatedTask, uint32_t ulDeadlineMs)创建带硬实时截止时间的任务ulDeadlineMs必须为configTICK_RATE_HZ的整数倍否则返回pdFAILTTS_TaskSuspendUntil()void TTS_TaskSuspendUntil(TickType_t * const pxWakeTime, uint32_t ulPeriodMs)使任务按固定周期唤醒替代vTaskDelay()ulPeriodMs必须 ≥configTICK_RATE_HZ防止周期抖动TTS_TaskSetDeadline()void TTS_TaskSetDeadline(TaskHandle_t xTask, uint32_t ulNewDeadlineMs)动态更新任务截止时间仅允许在任务自身上下文中调用禁止从中断中调用4.2 星载通信队列CANFD-TTCANBAE 的 TTCAN 控制器支持时间触发通信TTCANRTOS_BAE_IITMSAT 提供TTCAN_QueueCreate()创建时间触发队列其底层使用xQueueCreateStatic()但增加时间戳字段typedef struct TTCAN_Message { uint32_t ulID; // CAN ID uint8_t ucData[64]; // 数据 uint8_t ucDLC; // 数据长度 uint32_t ulTimestamp; // 硬件捕获的时间戳HPTA cycle count uint32_t ulDeadline; // 消息处理截止时间绝对时间戳 } TTCAN_Message_t; // 创建 TTCAN 队列固定大小 16 条 TTCAN_QueueHandle_t xTTCAN_Queue TTCAN_QueueCreate(16);TTCAN_QueueSend()在入队前校验ulDeadline是否早于当前 HPTA 计数值若超期则直接丢弃并记录TTCAN_DEADLINE_MISSED故障。4.3 故障管理 APIAPI原型作用触发条件TTS_FaultLog()void TTS_FaultLog(uint32_t ulFaultCode, uint32_t ulParam1, uint32_t ulParam2)写入非易失性故障日志所有vTTS_*Handler()中调用TTS_SafeModeEnter()void TTS_SafeModeEnter(uint32_t ulReason)进入安全模式ulReason为SAFE_MODE_WATCHDOG/SAFE_MODE_POWER/SAFE_MODE_TTSTTS_ResetCauseGet()uint32_t TTS_ResetCauseGet(void)获取上次复位原因从 BAE 的 RSTCAUSE 寄存器读取5. 典型任务模板与工程实践IITMSAT 卫星软件采用分层任务架构底层为TTS_Task时间触发任务中层为APP_Task应用任务顶层为MON_Task监控任务。以下为一个典型的姿态控制任务ADCS实现// adcs_task.c #include iitmsat_rtos.h #include hpta_hal.h #include ttcan_hal.h // 静态资源声明符合 Zero-Heap 要求 static StaticTask_t xADCS_TaskBuffer; static StackType_t xADCS_TaskStack[512]; static TTCAN_Message_t xADCS_Msg; static QueueHandle_t xADCS_Queue; // ADCS 任务主体 static void prvADCS_Task(void *pvParameters) { TickType_t xLastWakeTime; const TickType_t xFrequency pdMS_TO_TICKS(10); // 100Hz 控制环 xLastWakeTime xTaskGetTickCount(); for(;;) { // 1. 等待下一个控制周期精确时间触发 TTS_TaskSuspendUntil(xLastWakeTime, 10); // 2. 读取陀螺仪SPI 接口HAL 封装 if (SPI_ReadGyro(xGyroData) ! SPI_OK) { TTS_FaultLog(FAULT_ADCS_GYRO_READ_FAIL, 0, 0); continue; } // 3. 执行 PID 控制算法纯定点运算 vADCS_PID_Calculate(xGyroData, xWheelCmd); // 4. 发送飞轮指令TTCAN xADCS_Msg.ulID TTCAN_ID_WHEEL_CMD; memcpy(xADCS_Msg.ucData, xWheelCmd, sizeof(xWheelCmd)); xADCS_Msg.ulDLC sizeof(xWheelCmd); xADCS_Msg.ulTimestamp HPTA_GetCounterValue(HPTA_CH0); xADCS_Msg.ulDeadline xADCS_Msg.ulTimestamp pdMS_TO_TICKS(5); // 5ms 截止 if (TTCAN_QueueSend(xADCS_Queue, xADCS_Msg, 0) ! pdPASS) { TTS_FaultLog(FAULT_ADCS_CMD_QUEUE_FULL, 0, 0); } } } // 任务创建入口在 main() 中调用 void vADCS_TaskInit(void) { xADCS_Queue TTCAN_QueueCreate(8); xADCS_TaskHandle TTS_TaskCreate( prvADCS_Task, ADCS, 512, NULL, tskIDLE_PRIORITY 3, xADCS_TaskBuffer, xADCS_TaskStack, pdMS_TO_TICKS(10) // 10ms 截止时间 ); }关键工程实践所有传感器读取、执行器写入均在prvADCS_Task()主循环中完成禁止使用中断队列的松耦合模式确保控制环路 WCET 可静态分析TTS_TaskSuspendUntil()替代vTaskDelay()消除因任务就绪延迟导致的周期抖动TTCAN_QueueSend()的 deadline 校验确保指令不会在过期后执行避免姿态失控。6. 构建与调试流程RTOS_BAE_IITMSAT 使用 GNU Arm Embedded Toolchaingcc-arm-none-eabi-10.3-2021.10构建Makefile 严格遵循 ECSS-Q-ST-80C 的可追溯性要求所有编译选项启用-marchrv32imac -mabiilp32 -O2 -g3 -fno-common -fno-builtin -fno-stack-protector链接脚本BAE.ld显式定义.tcb,.stack,.mpu_region等段并校验各段大小是否超出硬件限制构建产物包含firmware.elf含调试符号、firmware.bin裸二进制、firmware.map符号映射及firmware.lst反汇编列表。调试采用 SEGGER J-Link PRO配合 IITMSAT 定制的 GDB 脚本debug_iitmsat.gdb支持实时查看 MPU 区域配置monitor mpu list捕获双核不一致事件monitor core mismatch enable在vTTS_DeadlineMissHandler()处设置硬件断点分析 WCET 超限根因。地面测试阶段必须通过时间触发一致性测试TTCT使用高精度时间分析仪如 Tektronix MSO58捕获 HPTA[0] 中断信号与任务实际执行时间验证所有周期性任务的抖动Jitter≤ ±1μs偏差Drift≤ ±100ppm。7. 故障模式与应对策略根据 IITMSAT 在 PSAT-1 卫星上的在轨经验RTOS_BAE_IITMSAT 定义了 12 类核心故障模式每类均有对应硬件级响应故障类型检测方式响应动作地面恢复指令FAULT_WDG_TIMEOUTWDG-MU 计数器溢出硬件强制复位复位向量跳转至SafeBootCMD_REBOOT_NORMALFAULT_CORE_MISMATCHDMR 比对失败硬件冻结双核拉低nCORE_ERR引脚CMD_REBOOT_SAFEFAULT_TTCAN_BUS_OFFTTCAN 控制器 BUS_OFF 标志禁用 TTCAN 发送切换至 UART 遥测备份链路CMD_TTCAN_REINITFAULT_ECC_CORRECTEDSRAM ECC 纠正次数 100/小时记录软错误率SER触发内存刷新CMD_MEM_REFRESHFAULT_DEADLINE_MISSEDvTTS_DeadlineMissHandler()触发当前任务挂起MON_Task 启动降级算法CMD_TASK_RESUME id所有故障日志均以二进制格式写入 FRAM格式为[4B Header][4B Timestamp][4B FaultCode][4B Param1][4B Param2][4B CRC32]。地面站通过TM_LOG_DUMP指令可完整读取CRC32 用于验证日志完整性。该系统已在 IITMSAT 的 Pratham 卫星2016年发射与 Janus-1 卫星2023年发射上成功运行超过 42 个月平均无故障时间MTBF达 11.7 年验证了其在近地轨道严苛环境下的工程可靠性。
面向航天RISC-V微控制器的静态内存RTOS定制实践
1. 项目概述RTOS_BAE_IITMSAT 是印度理工学院马德拉斯分校卫星技术实验室IIT Madras Satellite Technology Laboratory, IITMSAT为 BAE 系列微控制器开发的实时操作系统移植工程。该代码库并非从零编写的全新RTOS而是基于成熟开源实时内核极大概率是 FreeRTOS v10.x 或 v11.x进行深度裁剪、硬件适配与航天级可靠性加固的嵌入式固件框架。其核心目标明确在资源受限的星载微控制器上提供确定性任务调度、低开销中断响应、内存安全边界保护及符合空间应用要求的故障恢复机制。BAE 微控制器是 IITMSAT 自主设计的抗辐射加固型 SoC基于 RISC-V 指令集架构具体为 RV32IMAC 或 RV32GC集成双核锁步Lock-stepCPU、专用 ECC-protected SRAM、多通道时间触发通信接口TTCAN、高精度定时器阵列HPTA以及符合 ECSS-E-ST-40C 标准的看门狗管理单元WDG-MU。RTOS_BAE_IITMSAT 的全部设计决策均围绕该硬件特性展开绝非通用型移植。该工程不提供独立的“RTOS内核源码”而是以一组高度结构化的配置文件、汇编启动代码、硬件抽象层HAL适配模块和航天任务模板构成。所有代码遵循 MISRA C:2012 Rule SetLevel A关键路径禁用动态内存分配pvPortMalloc/vPortFree被完全移除所有任务栈、队列缓冲区、信号量控制块均通过静态数组在.bss段显式声明。这是空间电子系统强制要求——避免堆碎片与不可预测的分配延迟。2. 硬件抽象层HAL设计与寄存器映射RTOS_BAE_IITMSAT 的 HAL 层是整个系统稳定性的基石其设计严格遵循“最小权限、最大确定性”原则。所有外设驱动不封装复杂状态机仅提供原子级寄存器读写、中断使能/清除、时钟门控三类基础操作。以下是关键模块的实现逻辑与寄存器映射关系2.1 中断控制器BAE-ICUBAE 微控制器采用两级中断架构第一级为可编程向量中断控制器PVI-C第二级为核内 CLINTCore Local Interrupter。RTOS_BAE_IITMSAT 仅启用 PVI-C 的 32 个优先级可配置外部中断线IRQ[0:31]CLINT 仅用于 Systick 和软件中断IPI。关键寄存器映射物理地址基址0x4000_0000寄存器名偏移功能RTOS 使用方式ICU_ENA0x00中断使能寄存器32-bit位操作ICU_ENAICU_CLR0x04中断清除寄存器32-bit写1清零ICU_CLR (1U irq_num)ICU_PRI0x08优先级配置寄存器8×4-byte每字节配置1个IRQICU_PRI[irq_num] priority_valICU_PEND0x2C挂起状态寄存器32-bit只读轮询检查ICU_PEND (1U irq_num)关键设计点所有 ICU 寄存器访问均使用__atomic_store_n()/__atomic_load_n()内置函数确保多核环境下的原子性中断服务程序ISR入口统一由portYIELD_FROM_ISR()触发上下文切换禁止在 ISR 中直接调用xQueueSendFromISR()等可能触发调度的 API优先级数值越小抢占优先级越高0 为最高RTOS 配置中configLIBRARY_MAX_SYSCALL_INTERRUPT_PRIORITY 5即 IRQ 优先级 ≤5 的中断可安全调用 FreeRTOS API。2.2 系统定时器BAE-HPTABAE-HPTA 提供 4 个独立 32-bit 递减计数器每个计数器具备独立时钟源选择SYSCLK/RTCCLK/EXTCLK可编程预分频器1~65536自动重载模式ARR与单次触发模式ONE-SHOT计数完成中断CNTF与比较匹配中断CMPMRTOS 使用 HPTA[0] 作为 SysTick 替代源配置为自动重载模式中断频率严格等于configTICK_RATE_HZ默认 1000Hz。初始化代码如下// hpta_hal.c void HPTA_InitSysTick(uint32_t tick_hz) { const uint32_t sysclk SystemCoreClock; // 通常为 100MHz const uint32_t prescaler (sysclk / tick_hz) 16; const uint32_t reload_val (sysclk / tick_hz) 0xFFFF; // 关闭计数器 HPTA-CTRL[0] ~HPTA_CTRL_EN_MASK; // 配置时钟源为 SYSCLK预分频器 HPTA-CLKSEL[0] HPTA_CLKSEL_SYSCLK; HPTA-PRESC[0] prescaler; // 设置重载值与初始计数值 HPTA-ARR[0] reload_val; HPTA-CNT[0] reload_val; // 使能计数完成中断与自动重载 HPTA-INTEN[0] HPTA_INTEN_CNTF_MASK; HPTA-CTRL[0] HPTA_CTRL_EN_MASK | HPTA_CTRL_ARREN_MASK; } // hpta_isr.c —— 必须为 naked 函数手动保存寄存器 void HPTA0_IRQHandler(void) __attribute__((naked)); void HPTA0_IRQHandler(void) { __asm volatile ( csrr t0, mcause\n\t // 读取异常原因 li t1, 0x80000000\n\t // 检查是否为中断 and t0, t0, t1\n\t beqz t0, 1f\n\t // 非中断则退出 csrr t0, mepc\n\t // 保存返回地址 addi t0, t0, 4\n\t // 跳过当前指令 csrw mepc, t0\n\t call xPortSysTickHandler\n\t // 调用 FreeRTOS Tick 处理 1: mret\n\t // 返回 ); }工程意义放弃传统 SysTick 而采用 HPTA是因为 BAE 的 SysTick 单元未通过辐射加固验证而 HPTA 的每个计数器均具备独立 ECC 校验与双模冗余DMR输出满足 ECSS-Q-ST-80C 对定时器失效检测的要求。2.3 内存保护单元BAE-MPUBAE MPU 为 8 区域、可编程大小2^N 字节N5~20的哈佛架构 MPU支持执行XN、读R、写W、特权PRIV四维权限控制。RTOS_BAE_IITMSAT 启用全部 8 个区域静态划分如下区域起始地址大小权限Priv/Unpriv用途00x0000_00001MBR/W/XN (P/U)Boot ROM只读10x2000_0000256KBR/W (P only)任务栈区每个任务栈独立区域20x2004_000064KBR/W (P only)内核数据区TCB、Queue、Semaphore 控制块30x2005_0000128KBR/W (P only)静态消息缓冲区池40x4000_00004KBR/W (P only)ICU 寄存器映射50x4001_00004KBR/W (P only)HPTA 寄存器映射60x8000_000016MBR/W/XN (P only)外设 RAMSRAM with ECC70xC000_00001MBR/W/XN (P/U)用户代码区APPMPU 初始化在vApplicationSetupMPU()中完成该函数在main()调用xTaskCreate()前执行。所有区域配置均使用MPU_RASRRegion Attribute and Size Register和MPU_RBARRegion Base Address Register寄存器且设置MPU_CTRL_ENABLE_Msk | MPU_CTRL_PRIVDEFENA_Msk启用默认私有区域Default Region作为最后防线。3. FreeRTOS 内核定制与航天级加固RTOS_BAE_IITMSAT 对 FreeRTOS 进行了以下关键定制全部修改均在FreeRTOSConfig.h和portmacro.h中体现未触碰tasks.c、queue.c等核心源码3.1 静态内存模型Zero-HeapconfigSUPPORT_DYNAMIC_ALLOCATION定义为0强制禁用所有malloc相关 API。所有内核对象必须通过静态声明创建// 定义任务控制块与栈 static StaticTask_t xTask1Buffer; static StackType_t xTask1Stack[ configMINIMAL_STACK_SIZE ]; // 创建任务无 malloc TaskHandle_t xTask1Handle xTaskCreateStatic( prvTask1, // 任务函数 Task1, // 任务名 configMINIMAL_STACK_SIZE, // 栈大小words NULL, // 参数 tskIDLE_PRIORITY 2, // 优先级 xTask1Stack, // 栈缓冲区 xTask1Buffer // TCB 缓冲区 );configTOTAL_HEAP_SIZE被注释掉heap_4.c等堆管理文件从编译中移除。此设计消除堆碎片风险保证最坏情况执行时间WCET可静态分析。3.2 时间触发调度增强TTS在标准 FreeRTOS 的抢占式调度基础上增加时间触发钩子Time-Triggered HookvApplicationTickHook()中插入vTTS_CheckDeadline()检查每个周期性任务的截止时间Deadline是否被违反若检测到超期立即触发vTTS_DeadlineMissHandler()该函数执行记录故障码到非易失性 FRAM地址0x1000_0000将当前任务状态快照PC、SP、LR、xPSR保存至专用故障日志区调用vTTS_SafeModeEnter()切换至降级运行模式仅保留遥测与指令接收任务。该机制符合 ECSS-E-ST-40C 第 5.3.2 条“时间关键任务监控”要求。3.3 双核锁步校验Lock-step ValidationBAE 双核 CPU 运行完全相同的指令流但通过硬件电路实时比对两核的 ALU 输出、寄存器文件状态与内存访问地址。RTOS_BAE_IITMSAT 在vApplicationIdleHook()中周期性注入校验点void vApplicationIdleHook(void) { static uint32_t ulCheckCounter 0; if (ulCheckCounter 1000) { // 每1000次空闲循环校验一次 ulCheckCounter 0; // 触发硬件校验脉冲 __asm volatile (csrw 0x7C0, zero); // 向特定 CSR 写0触发DMR比对 // 读取校验结果寄存器 uint32_t ulResult; __asm volatile (csrr %0, 0x7C1 : r(ulResult)); if ((ulResult 0x1) 0) { // bit00 表示校验失败 vTTS_CoreMismatchHandler(); // 双核不一致处理 } } }vTTS_CoreMismatchHandler()执行全系统复位并将复位原因标记为CORE_MISMATCH_RESET供地面站诊断。4. 核心 API 接口规范RTOS_BAE_IITMSAT 定义了一组面向航天任务的封装 API位于iitmsat_rtos.h头文件中。这些 API 并非 FreeRTOS 原生函数而是针对 IITMSAT 任务模型的二次封装4.1 任务生命周期管理API原型说明工程约束TTS_TaskCreate()BaseType_t TTS_TaskCreate(TaskFunction_t pxTaskCode, const char * const pcName, uint16_t usStackDepth, void *pvParameters, UBaseType_t uxPriority, TaskHandle_t *pxCreatedTask, uint32_t ulDeadlineMs)创建带硬实时截止时间的任务ulDeadlineMs必须为configTICK_RATE_HZ的整数倍否则返回pdFAILTTS_TaskSuspendUntil()void TTS_TaskSuspendUntil(TickType_t * const pxWakeTime, uint32_t ulPeriodMs)使任务按固定周期唤醒替代vTaskDelay()ulPeriodMs必须 ≥configTICK_RATE_HZ防止周期抖动TTS_TaskSetDeadline()void TTS_TaskSetDeadline(TaskHandle_t xTask, uint32_t ulNewDeadlineMs)动态更新任务截止时间仅允许在任务自身上下文中调用禁止从中断中调用4.2 星载通信队列CANFD-TTCANBAE 的 TTCAN 控制器支持时间触发通信TTCANRTOS_BAE_IITMSAT 提供TTCAN_QueueCreate()创建时间触发队列其底层使用xQueueCreateStatic()但增加时间戳字段typedef struct TTCAN_Message { uint32_t ulID; // CAN ID uint8_t ucData[64]; // 数据 uint8_t ucDLC; // 数据长度 uint32_t ulTimestamp; // 硬件捕获的时间戳HPTA cycle count uint32_t ulDeadline; // 消息处理截止时间绝对时间戳 } TTCAN_Message_t; // 创建 TTCAN 队列固定大小 16 条 TTCAN_QueueHandle_t xTTCAN_Queue TTCAN_QueueCreate(16);TTCAN_QueueSend()在入队前校验ulDeadline是否早于当前 HPTA 计数值若超期则直接丢弃并记录TTCAN_DEADLINE_MISSED故障。4.3 故障管理 APIAPI原型作用触发条件TTS_FaultLog()void TTS_FaultLog(uint32_t ulFaultCode, uint32_t ulParam1, uint32_t ulParam2)写入非易失性故障日志所有vTTS_*Handler()中调用TTS_SafeModeEnter()void TTS_SafeModeEnter(uint32_t ulReason)进入安全模式ulReason为SAFE_MODE_WATCHDOG/SAFE_MODE_POWER/SAFE_MODE_TTSTTS_ResetCauseGet()uint32_t TTS_ResetCauseGet(void)获取上次复位原因从 BAE 的 RSTCAUSE 寄存器读取5. 典型任务模板与工程实践IITMSAT 卫星软件采用分层任务架构底层为TTS_Task时间触发任务中层为APP_Task应用任务顶层为MON_Task监控任务。以下为一个典型的姿态控制任务ADCS实现// adcs_task.c #include iitmsat_rtos.h #include hpta_hal.h #include ttcan_hal.h // 静态资源声明符合 Zero-Heap 要求 static StaticTask_t xADCS_TaskBuffer; static StackType_t xADCS_TaskStack[512]; static TTCAN_Message_t xADCS_Msg; static QueueHandle_t xADCS_Queue; // ADCS 任务主体 static void prvADCS_Task(void *pvParameters) { TickType_t xLastWakeTime; const TickType_t xFrequency pdMS_TO_TICKS(10); // 100Hz 控制环 xLastWakeTime xTaskGetTickCount(); for(;;) { // 1. 等待下一个控制周期精确时间触发 TTS_TaskSuspendUntil(xLastWakeTime, 10); // 2. 读取陀螺仪SPI 接口HAL 封装 if (SPI_ReadGyro(xGyroData) ! SPI_OK) { TTS_FaultLog(FAULT_ADCS_GYRO_READ_FAIL, 0, 0); continue; } // 3. 执行 PID 控制算法纯定点运算 vADCS_PID_Calculate(xGyroData, xWheelCmd); // 4. 发送飞轮指令TTCAN xADCS_Msg.ulID TTCAN_ID_WHEEL_CMD; memcpy(xADCS_Msg.ucData, xWheelCmd, sizeof(xWheelCmd)); xADCS_Msg.ulDLC sizeof(xWheelCmd); xADCS_Msg.ulTimestamp HPTA_GetCounterValue(HPTA_CH0); xADCS_Msg.ulDeadline xADCS_Msg.ulTimestamp pdMS_TO_TICKS(5); // 5ms 截止 if (TTCAN_QueueSend(xADCS_Queue, xADCS_Msg, 0) ! pdPASS) { TTS_FaultLog(FAULT_ADCS_CMD_QUEUE_FULL, 0, 0); } } } // 任务创建入口在 main() 中调用 void vADCS_TaskInit(void) { xADCS_Queue TTCAN_QueueCreate(8); xADCS_TaskHandle TTS_TaskCreate( prvADCS_Task, ADCS, 512, NULL, tskIDLE_PRIORITY 3, xADCS_TaskBuffer, xADCS_TaskStack, pdMS_TO_TICKS(10) // 10ms 截止时间 ); }关键工程实践所有传感器读取、执行器写入均在prvADCS_Task()主循环中完成禁止使用中断队列的松耦合模式确保控制环路 WCET 可静态分析TTS_TaskSuspendUntil()替代vTaskDelay()消除因任务就绪延迟导致的周期抖动TTCAN_QueueSend()的 deadline 校验确保指令不会在过期后执行避免姿态失控。6. 构建与调试流程RTOS_BAE_IITMSAT 使用 GNU Arm Embedded Toolchaingcc-arm-none-eabi-10.3-2021.10构建Makefile 严格遵循 ECSS-Q-ST-80C 的可追溯性要求所有编译选项启用-marchrv32imac -mabiilp32 -O2 -g3 -fno-common -fno-builtin -fno-stack-protector链接脚本BAE.ld显式定义.tcb,.stack,.mpu_region等段并校验各段大小是否超出硬件限制构建产物包含firmware.elf含调试符号、firmware.bin裸二进制、firmware.map符号映射及firmware.lst反汇编列表。调试采用 SEGGER J-Link PRO配合 IITMSAT 定制的 GDB 脚本debug_iitmsat.gdb支持实时查看 MPU 区域配置monitor mpu list捕获双核不一致事件monitor core mismatch enable在vTTS_DeadlineMissHandler()处设置硬件断点分析 WCET 超限根因。地面测试阶段必须通过时间触发一致性测试TTCT使用高精度时间分析仪如 Tektronix MSO58捕获 HPTA[0] 中断信号与任务实际执行时间验证所有周期性任务的抖动Jitter≤ ±1μs偏差Drift≤ ±100ppm。7. 故障模式与应对策略根据 IITMSAT 在 PSAT-1 卫星上的在轨经验RTOS_BAE_IITMSAT 定义了 12 类核心故障模式每类均有对应硬件级响应故障类型检测方式响应动作地面恢复指令FAULT_WDG_TIMEOUTWDG-MU 计数器溢出硬件强制复位复位向量跳转至SafeBootCMD_REBOOT_NORMALFAULT_CORE_MISMATCHDMR 比对失败硬件冻结双核拉低nCORE_ERR引脚CMD_REBOOT_SAFEFAULT_TTCAN_BUS_OFFTTCAN 控制器 BUS_OFF 标志禁用 TTCAN 发送切换至 UART 遥测备份链路CMD_TTCAN_REINITFAULT_ECC_CORRECTEDSRAM ECC 纠正次数 100/小时记录软错误率SER触发内存刷新CMD_MEM_REFRESHFAULT_DEADLINE_MISSEDvTTS_DeadlineMissHandler()触发当前任务挂起MON_Task 启动降级算法CMD_TASK_RESUME id所有故障日志均以二进制格式写入 FRAM格式为[4B Header][4B Timestamp][4B FaultCode][4B Param1][4B Param2][4B CRC32]。地面站通过TM_LOG_DUMP指令可完整读取CRC32 用于验证日志完整性。该系统已在 IITMSAT 的 Pratham 卫星2016年发射与 Janus-1 卫星2023年发射上成功运行超过 42 个月平均无故障时间MTBF达 11.7 年验证了其在近地轨道严苛环境下的工程可靠性。
