片上系统中断机制的可靠性设计

由表1可以看到，除NMI之外，中断分为三种类型：故障、陷阱和中止。故障主要用于指令执行之前的中断检测，故障处理完毕之后，故障指令可以重新执行；陷阱主要用于指令执行结束之后的巾断通知，陷阱处理完毕之后，系统将继续执行下一条应该执行的指令；中止用来汇报系统的严重错误，系统接收到中止异常之后，处理程序需要重建各种系统表，并可能需要重新启动操作系统。

3.1 中断检测中的可靠性考虑

对于外部中断的检测，采取了上升沿的检测方法，要求低电平和高电平各持续8个周期以上。

对于中断提交的时机，指令内部中断可在中断转移单元空闲的任何时间提交，以便尽快的中断转移并进人中断处理程序；而对于外部中断则需要在指令窗口之间提交(即上一条指令执行结束和下一条指令即将开始之时)，以便保持指令执行的完整性。

3.2 中断转移中的可靠性考虑

由于中断转移周期较长，所以中断转移是依靠处理器固化的微程序实现的。为了防止中断转移被新的中断所打断，中断转移微程序首先设置中断电路中的状态标志字为忙碌状态，这样可以避免中断检测电路再次提交新的中断，从而保证中断转移的完整性。在中断转移完毕后，中断转移微程序设置中断电路的状态标志字为空闲状态。

3.3 中断处理中的可靠性考虑

“龙腾S1”为中断的处理提供了两种方式：中断／陷阱门和任务门。前者无需任务切换，而后者实施任务切换。如前所述，对于严重错误，如无效TSS(任务状态段)、双故障等，必须使用任务门进行中断处理，这样可以保证处理程序在一个有效的任务环境之中。其他中断通常可在当前任务环境中进行处理。中断门和陷阱门的唯一区别是中断门屏蔽可屏蔽中断，而陷阱门不屏蔽可屏蔽中断，用户可以根据需要进行选择。

“龙腾S1”为了保证中断处理过程中的堆栈安全，为不同特权级设置了不同的堆栈。“龙腾 S1”支持四种特权级，一般操作系统运行在最高特权级0，用户程序运行在最低特权级3。当用户程序发生中断时，无论是通过中断／陷阱门处理还是任务门处理，如果处理器由最低特权级转换到最高特权级，堆栈也会随之改变。通过这种机制，可以保证中断处理程序具有自己的堆栈，从而可以保证有足够的空间来保存处理器状态和任务上下文等。有关四种特权级下的堆栈指针信息全部保存在任务的任务状态段(Task State Segment)中，堆栈切换时新的堆栈将从任务状态段中读取。

“龙腾S1”中为中断定义的优先级如上表所示，一般在处理低优先级中断时又发生高优先级中断可以串行处理。但是，发生某些严重问题时，系统将不再发生新产生的中断，而是汇报双故障中断。按照各种中断的严重程序，从轻到重将中断分为良性、协作、页故障和中止，如上表所示。至于哪些中断的连续发生会导致双故障，需要按照中断性质进行考虑，如表2所示。

表2中第一行所列为正在处理的中断性质，第一列为又发生的中断性质，表格内容中所采取的策略：串行处理，双故障、页故障和中止。可看到连续发生良性异常，由于中断严重程序较低，系统策略为串行处理；而对于最为严重的中止，发生任何中断都会导致系统进入停机状态，即只有通过NMI信号输入或者系统复位才能使处理器重新启动。最后，我们给出“龙腾S1”中的中断检测电路(图1)和中断转移流程(图2)。[page]

4 小结

中断机制为处理外部请求(如外设请求)和指令执行过程中的一些异常情况和事件提供了有力的支持。中断的处理将会导致控制的转移——从应用程序转移到系统的中断处理程序。本文重点讨论了这一过程中中断检测、中断转移和中断处理三个阶段中的可靠性问题，分别给出了若干设计规则，最后给出了一种工业控制用片上系统“龙腾S1”中的安全考虑和实现方法。“龙腾S1”片上系统已经使用 SMIC 0.18微米工艺流片，样片测试中可以运行未经修改的DOS 6.22操作系统，并能运行大量应用程序，从而证明本文针对中断的可靠性设计是有效的。本文的研究结果对口益普遍的片上系统中的中断控制单元设计有着重要的参考价值。