引言

2023年3月7日，英飛凌宣布其32位微控制器AURIX?系列、TRAVEO? T2G系列 和 PSoC? MCU 系列支持 Rust語言，英飛凌成為全球領(lǐng)先正式支持 Rust 的半導(dǎo)體公司。

那么什么是 Rust，為什么要關(guān)注它？在本系列博文中，我們將探討 Rust 語言及其在嵌入式系統(tǒng)開發(fā)中的潛力，以及英飛凌為創(chuàng)建嵌入式 Rust 生態(tài)系統(tǒng)所做的努力。

英飛凌  Isaac

RUST 誕生背景

隨著軟件功能的日趨強(qiáng)大，軟件開發(fā)工作量隨之劇增，軟件開發(fā)團(tuán)隊(duì)也不斷嘗試改進(jìn)軟件的開發(fā)方法，旨在保證軟件功能，質(zhì)量的情況下，減少成本，加快開發(fā)速度。

要實(shí)現(xiàn)上述目標(biāo)，關(guān)鍵在于工作量——在軟件開發(fā)中盡可能減少工作量。

軟件開發(fā)相關(guān)的工作量包括功能需求定義，功能需求的實(shí)現(xiàn)和測試，非功能需求，以及修復(fù)開發(fā)過程中引入的錯(cuò)誤的工作量。

站在軟件開發(fā)者的角度，在實(shí)現(xiàn)軟件完整功能的情況下，如何減少開發(fā)的總工作量，唯一能夠減少的部分就是用于修正錯(cuò)誤的工作量。

對軟件開發(fā)而言，一旦發(fā)現(xiàn)錯(cuò)誤，就必須加以修正，以保證軟件產(chǎn)品質(zhì)量。因此，要在不影響產(chǎn)品質(zhì)量的前提下減少工作量，唯一的解決辦法就是防止開發(fā)過程中引入軟件錯(cuò)誤。

在已知的軟件錯(cuò)誤中，內(nèi)存安全是軟件行業(yè)中最常見的錯(cuò)誤類別 [1][2] 。然而，嵌入式軟件行業(yè)的標(biāo)準(zhǔn)語言 C 和 C++ 是非內(nèi)存安全編程語言，這意味著嵌入式系統(tǒng)很容易出現(xiàn)這類錯(cuò)誤。

減少這類錯(cuò)誤的方法之一是在軟件測試、審查和驗(yàn)證方面投入人力物力，而另一種思路是用內(nèi)存安全語言取代現(xiàn)有語言 [3] 。

雖然許多內(nèi)存安全語言（如 Python、Java）已在軟件行業(yè)得到廣泛應(yīng)用，但它們并不適合嵌入式系統(tǒng)。這是因?yàn)榍度胧较到y(tǒng)對占用空間、堆棧使用和性能有嚴(yán)格的限制（這是C和C++的優(yōu)勢）。

Rust就是在這樣的背景下誕生的，它同時(shí)實(shí)現(xiàn)了高效性和內(nèi)存安全。

Rust 是什么

Rust語言在2006年作為 Mozilla 員工 Graydon Hoare 的私人項(xiàng)目出現(xiàn)，而 Mozilla 于 2009 年開始贊助這個(gè)項(xiàng)目。第一個(gè)有版本號的 Rust 編譯器于2012 年 1 月發(fā)布。Rust 1.0 是第一個(gè)穩(wěn)定版本，于 2015年5月15日發(fā)布 [4] 。

Figure 1. Rust Logo

Rust是一種在科技界大受歡迎的語言，Rust已經(jīng)連續(xù)七年（2016，2017，2018，2019，2020, 2021, 2022）在Stack Overflow開發(fā)者調(diào)查的“最受喜愛編程語言”評選項(xiàng)目中折取桂冠 [5] 。

微軟用Rust重寫它的一些核心windowns庫，在 Android 13 中，21% 的新原生代碼使用了 Rust，此外，除 C 語言外，Rust 是唯一一種支持編寫 Linux 內(nèi)核組件的語言，并被廣泛用于后端軟件、基礎(chǔ)設(shè)施和微服務(wù)。

Figure 2. rust-gentle-intro [6]

Rust是一種系統(tǒng)編程語言，旨在成為無垃圾回收的內(nèi)存安全語言。

Rust使用了包含特定規(guī)則的“所有權(quán)”機(jī)制來管理內(nèi)存，允許編譯器在編譯過程中執(zhí)行檢查工作，而不會(huì)產(chǎn)生任何的運(yùn)行時(shí)開銷。Rust中的每一個(gè)值都有一個(gè)對應(yīng)的變量作為它的所有者；在同一時(shí)間內(nèi)，值有且僅有一個(gè)所有者；當(dāng)所有者離開自己的作用域時(shí)，它持有的值就會(huì)被釋放掉。

Rust使用“借用規(guī)則”實(shí)現(xiàn)對值進(jìn)行可變和不可變引用：一個(gè)值可以有一個(gè)不可變引用或多個(gè)可變引用，但不能同時(shí)有兩個(gè)引用。編譯器中一個(gè)名為“借用檢查器”的特定部分會(huì)對此進(jìn)行檢查。

Rust中的生命周期規(guī)則：Rust的每個(gè)引用都有自己的生命周期，它對應(yīng)著引用保持有效性的作用域。生命周期最主要的目標(biāo)在于避免懸垂引用，進(jìn)而避免程序引用到非預(yù)期的數(shù)據(jù)。 [7][8]

Cargo 是 Rust 的軟件包管理器 [9] ，軟件包被稱為板條箱（Crate），cargo 有一個(gè)命令：cargo build，它能自動(dòng)解決項(xiàng)目依賴關(guān)系。另外，使用 cargo test 命令能觸發(fā)單元測試，使用 cargo doc 命令還能生成文檔網(wǎng)頁。cargo 的文檔列出了 30 多條不同的命令，用于支持軟件包處理、構(gòu)建文檔和測試。此外，cargo 還可用于安裝其他 Rust 二進(jìn)制文件，如工具 svd2rust。

嵌入式系統(tǒng)中的 Rust

Figure 3. Embedded Rust Architecture

Embedded Rust 的結(jié)構(gòu)可以分為上述5層，如上圖所示，從下往上的順序，最底層是MCU硬件層，有各個(gè)資源，外設(shè)，由不同的芯片決定；第2層是PAC，可以理解為芯片的頭文件，里面是各個(gè)寄存器的信息；第3層是在PAC的基礎(chǔ)上對寄存器進(jìn)行操作一些調(diào)度函數(shù)，里面對寄存器進(jìn)行直接操作；第4層是硬件抽象層，這一層的意義是從芯片強(qiáng)相關(guān)的驅(qū)動(dòng)函數(shù)上抽象出來，提供一個(gè)通用接口，這個(gè)通用接口由最上層的軟件驅(qū)動(dòng)層、軟件應(yīng)用層去調(diào)用，實(shí)現(xiàn)對芯片資源的調(diào)度。

在Embedded Rust中，使用svd2rust工具將芯片資源的描述文件SVD文件轉(zhuǎn)化為PAC，該接口具有良好的可讀性，便于審查和維護(hù)。此外，它還能防止出現(xiàn)錯(cuò)誤，因?yàn)槿绻O(shè)置的值對該字段無效，代碼將無法編譯。

RUST 與 C 語言的關(guān)系

Rust對硬件的內(nèi)存需求，堆棧使用，運(yùn)行效率可以和C相媲美，具體的細(xì)節(jié)差異會(huì)和編譯優(yōu)化等級，應(yīng)用等有些許差異。

此外，Rust有一個(gè)令人振奮的點(diǎn)，它可以和C語言共同使用。

Rust和C代碼間的互用性始終取決于兩種語言間的數(shù)據(jù)轉(zhuǎn)換。為了實(shí)現(xiàn)互用性，在stdlib中，有兩個(gè)專用模塊，叫做std::ffi和std::os::raw 。

std::ffi提供了一些工具去轉(zhuǎn)換更復(fù)雜的類型，比如Strings，將&str和String映射成更容易和安全處理的C類型。

std::os::raw處理底層的基本類型，這些類型可以被編譯器隱式地轉(zhuǎn)換，因?yàn)镽ust和C之間的內(nèi)存布局足夠相似或相同 [10] 。

Rust 是一種現(xiàn)代系統(tǒng)編程語言，可用于網(wǎng)絡(luò)應(yīng)用程序和裸機(jī)嵌入式系統(tǒng)。不過Rust的生態(tài)和函數(shù)庫資源等比較有限，而和C之間的互通性可以讓Rust更加便捷的應(yīng)用到現(xiàn)有的軟件中，更快的投入使用。

因此，我們將長期生活在 Rust 和 C 語言的混合環(huán)境中。盡管 Rust 聲稱內(nèi)存安全（這一點(diǎn)已經(jīng)得到證實(shí)），但是Rust 和 C 代碼的結(jié)合可能會(huì)導(dǎo)致安全的 Rust 生成的程序被不安全的 C 實(shí)現(xiàn)所違反的情況。為了確保 Rust 的安全性，有必要在 C 和 Rust 之間找到一個(gè)合理的分界點(diǎn)。

盡管如此，事實(shí)證明 Rust 是在嵌入式系統(tǒng)中替代 C 和 C++ 的合適候選語言，尤其是在新代碼開發(fā)方面。除內(nèi)存安全外，Rust 語言的其他方面，如強(qiáng)大的類型系統(tǒng)和錯(cuò)誤處理，也為 Rust 帶來了卓越的可讀性和可維護(hù)性。這提高了防錯(cuò)能力，從而在不增加開發(fā)階段額外成本的情況下實(shí)現(xiàn)更安全的代碼。

英飛凌產(chǎn)品支持Embedded Rust

軟件安全對汽車市場至關(guān)重要，Rust 編程語言內(nèi)置內(nèi)存安全軟件開發(fā)支持，是設(shè)計(jì)關(guān)鍵任務(wù)汽車軟件的重要推動(dòng)力。英飛凌科技公司為在嵌入式領(lǐng)域創(chuàng)建 Rust 生態(tài)系統(tǒng)邁出了第一步。首先推出的是市場領(lǐng)先的 AURIX? TC3xx 和 TRAVEO? T2G 汽車 MCU。TRAVEO? 使用官方 Rust 工具鏈和 Arm Cortex-M 目標(biāo)編譯器，而英飛凌的工具合作伙伴 HighTec EDV-Systeme 則為 AURIX? 開發(fā)了專用 Rust 編譯器。

Figure 4. AURIX? and TRAVEO? T2G

AURIX? TC3xx 和 TRAVEO? T2G 微控制器產(chǎn)品系列為功能安全和網(wǎng)絡(luò)安全提供了廣泛的集成硬件功能。對 Rust 的支持是對這些硬件功能在軟件方面的補(bǔ)充。英飛凌為 AURIX? 和 TRAVEO? 提供了外設(shè)訪問板條 (PAC)，以實(shí)現(xiàn)對微控制器外設(shè)的本地訪問。

HighTec Rust 編譯器專為 AURIX? TC3xx 和 TC4x 微控制器量身定制，利用先進(jìn)的開源 LLVM 技術(shù)，為具有安全、可靠、高性能和快速部署要求的應(yīng)用提供全套 Rust 語言特性，包括內(nèi)存安全、并發(fā)性和互操作性。

總結(jié)

在英飛凌的支持下， Rust 在嵌入式系統(tǒng)中的應(yīng)用將變得更加廣泛，在與 Rust FOSS 社區(qū)合作的同時(shí)，規(guī)范 Rust 在行業(yè)中的使用。最后，Rust 的日益普及令人印象深刻，而英飛凌的嵌入式 Rust 生態(tài)系統(tǒng)無疑將幫助 Rust 在業(yè)界得到更廣泛的應(yīng)用。我們將進(jìn)一步挖掘這一創(chuàng)新語言的潛力，并見證嵌入式 Rust 生態(tài)系統(tǒng)的發(fā)展。

今后，我們將推出更多博文探討 Rust，分享更多Rust for MCU 的精彩信息。

REFERENCES

[1]G. Thomas, “A proactive approach to more secure code”, available at https://msrc.microsoft.com/blog/2019/07/a-proactive-approach-to-more-secure-code/, accessed on 26.02.2023 13:38 CST

[2]J. Blessing, M. A. Specter, D. J. Weitzner, “You Really Shouldn't Roll Your Own Crypto: An Empirical Study of Vulnerabilities in Cryptographic Libraries”, arXiv, 2021

[3]Tiago Manczak, “Evaluation of Rust for Embedded Security Systems” Embedded World 2023

[4]https://blog.csdn.net/weixin_50964512/article/details/130138973 accessed on 26.01.2024 14:20 CST.

[5]https://survey.stackoverflow.co/2022/#section-most-loved-dreaded-and-wanted-programming-scripting-and-markup-languages accessed on 26.01.2024 14:20 CST.

[6]https://stevedonovan.github.io/rust-gentle-intro/ accessed on 26.01.2024 14:20 CST.

[7]https://doc.rust-lang.org/book/ch04-00-understanding-ownership.html accessed on 26.01.2024 14:20 CST.

[8]https://doc.rust-lang.org/book/ch10-03-lifetime-syntax.html accessed on 28.01.2024 15:20 CST.

[9]https://doc.rust-lang.org/cargo/index.html accessed on 26.01.2024 14:20 CST.

[10]https://xxchang.github.io/book/interoperability/index.html 29.01.2024 15:20 CST.