做嵌入式，2017年一定要關注ARM的這三大技術

　　ARM作為全球領先的IP供應商，憑借其核心優(yōu)勢，在移動設備時代，混的風生水起。而近年來隨著設備轉變的需求，ARM也針對性的做了提高，推出更適合的高效能產品。我們來盤點一下2017年不能錯過ARM的三大技術：

　　獲得Trust Zone加持的ARMv8-M

　　ARM TrustZone 是針對片上系統(tǒng)(SoC)設計的系統(tǒng)級安全技術，它基于硬件，內置于CPU和系統(tǒng)內核，為半導體芯片設計師設計設備安全性能(如可信根)量身打造。TrustZone可用于任何基于ARM Cortex?-A的系統(tǒng)，隨著全新Cortex-M23和Cortex-M33處理器的發(fā)布與升級，Cortex-M也已經支持該技術。從尺寸最小的微控制器(搭載針對Cortex-M處理器優(yōu)化的TrustZone技術)，到高性能處理器(搭載針對Cortex-A處理器優(yōu)化的TrustZone技術)，設計師們終于可以從設計初始就著手打造出色的安全性能了。

　　TrustZone技術的核心理念是將可信資源與非可信資源在硬件上實現隔離。在處理器內部，軟件只能安裝于安全或非安全域其中一處;在兩個域間切換則必須經過Cortex-A處理器的軟件(后文稱安全監(jiān)視器)和Cortex-M處理器的硬件(核心邏輯)處理才能執(zhí)行。這種將安全(可信)域和非安全(非可信)域隔離理念的實現不僅涉及CPU，還涵蓋存儲、片上總線系統(tǒng)、中斷、周邊設備接口和SoC上的軟件。

　　TrustZone安全技術將非可信資源和可信資源隔離

　　針對ARMv8-M處理器的TrustZone技術

　　ARMv8-M架構將TrustZone技術拓展至Cortex-M級系統(tǒng)，實現了對所有成本點的安全防護。為Cortex-M度身設計的TrustZone技術可以保護固件和周邊設備，并為安全啟動、可信更新以及可信根執(zhí)行實現隔離。該架構具備嵌入式解決方案應有的確定性實時響應能力。同時，因為安全與非安全域間的上下文切換在硬件中完成，所以更快實現轉換及更高的電源效率。該架構無需安裝任何安全監(jiān)視器軟件，因為處理器本身就能完成切換任務，不僅可以減少存儲足跡，還能降低代碼執(zhí)行的動態(tài)功率。

　　在繼續(xù)討論編程之前，我們先介紹以下幾個概念：

　　地址定義安全

　　新增執(zhí)行狀態(tài)

　　跨域調用

　　概念1：地址定義安全

　　第一個需要了解的概念是：地址定義安全，即每一個地址都與一個特定的安全狀態(tài)相關。Cortex-M處理器采用全新引入的安全屬性單元來檢查地址的安全狀態(tài)。根據整體SoC設計，系統(tǒng)級接口可以重寫該屬性。選擇此狀態(tài)后，該地址還會通過一個存儲保護單元(視系統(tǒng)配置而定)。

　　地址定義安全圖解

　　概念2：新增執(zhí)行狀態(tài)

　　第二個概念是“新增執(zhí)行狀態(tài)”。ARMv7-M和ARMv6-M架構定義了兩種執(zhí)行模式：管理者模式(handler mode)和線程模式(thread mode)。管理者模式是特權模式，可以接入SoC的所有資源;而線程模式則可以設定為特權或非特權兩種。憑借TrustZone安全拓展技術，我們可以對處理器模式進行鏡像處理，構造安全和非安全兩種狀態(tài)，每種狀態(tài)都各自包含管理者模式和線程模式。安全狀態(tài)和處理器模式是正交的，因此可形成4種狀態(tài)和模式的組合。在安全的存儲器中運行軟件時，處理器自動設定為安全狀態(tài);反之，在非安全存儲器中運行軟件時，處理器自動設定為非安全狀態(tài)。這種設計消除了本來用于管理狀態(tài)切換的安全監(jiān)控軟件的必要性，從而實現減少存儲足跡和功耗的目的。

　　新增正交態(tài)

　　概念3：跨域調用

　　ARMv8-M為實現Cortex-M的性能專門設計，具備確定性實時運行功能。換言之，只要遵守以預先設定的安全狀態(tài)接入點為基礎的特定規(guī)則，任何狀態(tài)下的任何功能都可以直接調用其他狀態(tài)下的任何其他功能。此外，每個狀態(tài)都有一個獨特的堆棧集和對應的堆棧指示器，用來保護安全域資產。由于無需使用API層管理調度，成本大幅減少。基于預先設定的接入點，調度可以直接讀取被調函數。

　　跨域調用

　　應用案例簡述

　　如下圖表介紹了一個使用案例簡述。該環(huán)境下，用戶應用和I/O驅動都處于非安全狀態(tài)，而系統(tǒng)的啟動代碼和通訊堆棧則處于安全狀態(tài)。用戶應用調度并轉入通訊堆棧以傳輸、接收數據，而該堆棧將使用非安全狀態(tài)的I/O驅動來完成界面上的數據傳輸和接收。

　　所有相似系統(tǒng)環(huán)境下，示例軟件配置都可以得益于TrustZone技術的安全狀態(tài)功能：

　　非安全應用不能接入安全資源，除非通過事先定義好的安全服務功能接入點

　　安全固件既可以接入安全存儲，也可以進入非安全存儲

　　安全和非安全代碼可以用不同的定時器制定獨立的時間進度

　　每根中斷線都可以設置為安全或非安全。安全軟件和非安全軟件的中斷向量表也可以分開。

　　盡管處理器硬件可以為安全軟件提供核心保護，但安全軟件依然需要謹慎的編寫，才能確保整個系統(tǒng)的安全。以下是軟件開發(fā)商在設計安全軟件時必須牢記的三個內容：

　　使用最新的ARM C語言拓展(ACLE)技術

　　驗證非可信指示

　　為異步非安全存儲修改專門設計

　　建議1：使用最新的ARM C語言拓展技術

　　經過優(yōu)化，ARMv8-M的TrustZone技術引入了全新指令，支持安全狀態(tài)轉換。軟件開發(fā)商再也無需創(chuàng)建封裝器來生成這些指令了，他們現在可以使用ARM C語言拓展功能(ACLE)中定義的全新編譯器，讓軟件工具理解上述功能的安全使用，并生成所需的最佳代碼。ACLE功能由多家編譯器廠商實現并支持，代碼非常便捷易用。

　　比如說，在創(chuàng)建可以從非安全狀態(tài)調度的安全API時，應該使用一個名為“cmse_nonsecure_entry”的全新功能屬性來做函數聲明。安全狀態(tài)調度功能使用結束時，處理器中的寄存器仍可能保留一些秘密信息。憑借正確的功能屬性，編譯器便可自動插入代碼，清空R0-R3、R12和應用程序狀態(tài)寄存器(APSR)中仍保留秘密信息的寄存器，但是寄存器將結果返還給非安全軟件的情況除外。寄存器R4到R11有不同的處理方式，因為它們的內容在函數邊界保持不變。如果它們的值在函數執(zhí)行過程中改變，那么就必須在返還非安全調度功能之前改回原值。

　　建議2：驗證非可信指標

　　有時候，非安全代碼會提供錯誤的設計指示，試圖接入安全存儲。為了徹底杜絕這一可能，ARMv8-M引入了一個全新指令——測試目標(TT)指令。TT指令可以將一個地址的安全屬性返還，安全軟件即可由此判斷該指示指向安全還是非安全地址。

　　為了提高指示檢查效率，每個存儲區(qū)都有一個安全配置定義的區(qū)域號。軟件可以用區(qū)域號判斷相鄰的存儲區(qū)是否具有類似的安全屬性。

　　TT指令將來自地址值的安全屬性和區(qū)域號(還有MPU的區(qū)域號)返還原軟件。如果在存儲段的起始和終止地址上使用TT指令，并確定兩個地址都處于同一個區(qū)域號內時，軟件便可迅速判斷存儲范圍(如數據陣列或數據結構)是否完全位于非安全空間。

　　檢查指示是否指向安全的區(qū)域邊界

　　使用上述機制，憑借API調度進安全側的安全代碼即可判斷，非安全軟件區(qū)域發(fā)起的指示請求是否具備符合該API的安全屬性。通過這種方法，我們可以阻止非安全軟件在安全軟件中使用API來讀取或破壞安全信息。

　　建議3：為異步非安全存儲修改專門設計

　　非安全中斷服務程序可以修改正在被安全軟件處理的非安全數據。因此，已經通過安全API驗證的輸入數據可以在經過驗證之后被一個非安全的ISR更改。避免這種情況的一個方法就是在安全存儲中為那份輸入數據建立一個本地副本，并用安全副本進行處理(包括輸入數據的驗證)以避免非安全存儲讀取;無法創(chuàng)建該副本時(如在特定存儲區(qū)域中處理大量數據)，則可以選擇另一種方法，即對安全屬性單元進行編程，以確保該存儲區(qū)域的安全。

　　確保整個系統(tǒng)的安全性并阻止安全數據泄漏至非安全側，是安全軟件開發(fā)商的責任。為實現這一目標，我們向安全軟件開發(fā)商介紹TrustZone 技術3大關鍵理念與3個重要使用建議——保護調度函數寄存器數據的ACLE技術、驗證指示的TT指令;最后一點開發(fā)商也必須牢記，非安全側可能會通過干擾安全側來修改數據。

　　擁有五大優(yōu)勢的Cortex-M33

　　Cortex-M33是首款采用TrustZone 安全技術和數字信號處理技術的ARMv8-M全功能實現處理器。該處理器可以支持大量靈活的配置選項，并在廣泛應用中進行部署，此外還提供專用的協同處理器界面以支持經常需要加速和大量運算的運作。Cortex-M33是一款在性能、功耗、安全與生產力之間達到最佳平衡的處理器。

　　為了顯著降低系統(tǒng)功耗，Cortex-M33處理器采用有序三階管線技術。大部分指令在頭兩個階段就能完成，而復雜的指令則需要3個階段。此外，某些16位指令將采用雙發(fā)射機制，以增強性能。處理器內核有兩個AMBA 5 AHB5界面：C-AHB和S-AHB，完全對稱，指令和數據提取性能不分伯仲。

　　在MPU、DSP、FPU、TrustZone、ETM、MTB、ITM、BPU、DWT和協同處理器界面功能中選擇最佳組合方案，設計師即可迅速打造強大系統(tǒng)。在最低限度的控制系統(tǒng)中，NVIC可以被設定成只容納一個外部中斷;而在周邊設備豐富的系統(tǒng)中，NVIC能夠設定成可容納至多480個外部中斷，包含至多256個優(yōu)先級。而對于那些依賴大量主動流程和線程以保持可靠運行的系統(tǒng)，設計師還可以增加MPU，用特權和非特權接入控制來強行隔離處理進程。如需更高級別的代碼、數據和資源保護， TrustZone則是設計師的不二之選。

　　應用復雜度越來越高，片上調試和追蹤技術的價值也日益凸顯，對保障產品按期交付至關重要。Cortex-M33處理器的內置調試功能可以加速軟件驗證。設計師可以用JTAG端口或雙插針串行調試端口來驗證系統(tǒng)，還可以選擇ETM或MTB進行出色的指令追蹤，而BPU和DWT則可以允許在調試中使用斷點和硬件觀測點。

　　現在，讓我們探討一下Cortex-M33的五大特色：

　　1 為ARMv8-M 量身優(yōu)化的TrustZone技術為整個系統(tǒng)的安全保駕護航

　　采用TrustZone技術的Cortex-M33處理器擁有兩個安全狀態(tài)及多種相關特色：

　　兩種全新的正交狀態(tài)

　　安全狀態(tài)和非安全狀態(tài)的全面利用，必將開啟眾多新機遇和新應用的大門。該系統(tǒng)使用的高價值專利固件可以在安全狀態(tài)下運行。在安全狀態(tài)下設置的監(jiān)管員代碼則可以在系統(tǒng)受到攻擊或不可靠運行后將其恢復初始;而非安全側則像以前一樣向正在用Cortex-M開發(fā)軟件的數百萬開發(fā)者開放。

　　2 協同處理器界面，實現高擴展性

　　對某些應用而言，專用運算起到的作用可謂非同小可;但為了實現專用運算，這個全球最強大設計生態(tài)系統(tǒng)的所有優(yōu)點必須完美保留，即允許設計師在開發(fā)工具、編譯器、調試器、操作系統(tǒng)和中間件之間最大限度的進行選擇。ARM生態(tài)系統(tǒng)可以幫助開發(fā)商節(jié)約時間和成本，進一步提高生產力。

　　Cortex-M33處理器包含一個可以選配、類似總線的專用界面，主要用于集成緊耦合加速器硬件。對需要頻繁運算的操作而言，該界面可以幫助設計師用自定義的處理硬件提升通用運算能力。須著重指出的是，這樣做并不會使整個生態(tài)系統(tǒng)分裂。該界面包含最多可用于8個協同處理器的控制和數據通路，發(fā)出的信號可顯示處理器的特權狀態(tài)和安全狀態(tài)、指令類型、相關寄存器和操作字段。協同處理器通常會合理的在幾個少數循環(huán)內完成，或在后臺運行并在完成時自動停止。操作的細節(jié)和數據可以通過該界面與單指令同時傳輸，如有需要，還可插入等待狀態(tài)。

　　3 用于任務隔離的存儲保護單元(MPU)

　　設計師可以自行對選配的MPU編程，為每個安全狀態(tài)和非安全狀態(tài)提供多達16個區(qū)域。在多任務環(huán)境中，操作系統(tǒng)可以在任務情境切換時重新編程MPU，為每個任務定義存儲訪問許可。比如說，某個應用的某個任務只被允許訪問某些應用數據和特定的周邊設備，這種情況，MPU將保護所有其他的存儲和周邊設備，將訛誤或未授權訪問阻擋在外，有效提升系統(tǒng)可靠性。

　　存儲區(qū)設置更簡易

　　Cortex-M33存儲保護架構的開發(fā)基于受保護的存儲系統(tǒng)架構PMS**8。最新版本搭載了針對各區(qū)域的基線與限值比較器，而非此前的二次方尺寸對齊模型。每個區(qū)域都有一個基線的初始地址、終止地址，以及訪問許可和存儲性質的設定值，因此在這一架構中，設計師設計MPU區(qū)域時再也無需顧慮將多個區(qū)域整合在一起的麻煩了。功能強化后，軟件開發(fā)變得更加簡單，客戶的使用意愿提升，編程步驟也得以減少，并將進而降低情境轉換次數。

　　4 DSP拓展

　　選配的整數DSP拓展可以為系統(tǒng)增加85個新指令。大多數情況下，DSP指令可將性能平均提升3倍，讓所有以數字信號控制為中心的應用性能突飛猛進。

　　為幫助設計師加速軟件開發(fā)，ARM將在CMSIS項目中提供免費的DSP庫，包含整套過濾、轉換和數學功能(如矩陣)，并支持多種數據類型。CMSIS項目是開源的，其開發(fā)詳情發(fā)布在github上。

　　5 單精度浮點單元

　　基于FPv5的選配單精度浮點拓展單元包括一份額外的16-入口 64位寄存器文件。該拓展新增45個與IEEE754-2008兼容的單精度浮點指令。使用浮點指令通常可將軟件庫平均性能提升10倍。FPU位于單獨的電源域，負責在整個單元不使用的時候切斷電源。

　　Cortex-M33是一款能在性能、功耗和安全之間實現最佳平衡的處理器。

　　嵌入式解決方案日益復雜，而它們帶來的價值也不斷凸顯，當今設計師面臨的挑戰(zhàn)是在相沖突的設計要素之間找到最佳平衡。此外，片上系統(tǒng)包含的軟件數量正在顯著增加，但項目開發(fā)時間卻不斷縮短。為了用更短的時間交付合格的產品，保證性能，減少成本，我們必須踏出正確的第一步。

　　Cortex-M33應運而生，為了邁出正確的第一步量身打造，ARM將過往經驗與現有的Cortex-M生態(tài)系統(tǒng)完美結合，實現了開發(fā)成本降低。得益于采用了多種低功耗技術的全新設計，首先降低的是系統(tǒng)功耗;對打造安全方案的用戶，TrustZone技術則為其應用和寶貴的IP提供保駕護航的堅實基礎。升級后的MPU和TrustZone共同提升系統(tǒng)的可靠性和保護能力。最后值得一提的是，我們永遠不會停止追求生產力的腳步。TrustZone的設計初衷便是保證當前用戶能夠像從前一樣，繼續(xù)在非安全領域內開發(fā)。

　　Cortex-M33還強化了調試與追蹤性能，使復雜代碼的操作更便捷。與所有其它Cortex-M處理器一樣，Cortex-M33的所有編程都可以在C語言環(huán)境下完成，包括全部異常處理程序。總而言之，上述功能誕生的目的都是為了幫助開發(fā)者提高生產力，在更短的時間內設計出更復雜的解決方案。

　　在定義并開發(fā)新一代處理器的過程中，許多芯片廠商成為了ARM的合作伙伴，并積極利用TrustZone安全技術設計芯片。ARM生態(tài)系統(tǒng)也將重點放在將工具和軟件移植到Cortex-M33。盡管Cortex-M33已經在性能、功耗、安全和生產力之間取得了最佳平衡，但ARM及其合作伙伴將繼續(xù)努力，為開發(fā)商提供更加出色的產品，幫助其揮展創(chuàng)意、實現遠見，營造更連通、更智能、更安全的世界。

　　ARM Cortex-M23采用TrustZone技術，是尺寸最小、能效最高的處理器。小型嵌入式應用對芯片的安全性能有嚴格要求，基于ARMv8-M基線架構的Cortex-M23處理器則是最佳解決方案。同樣地，它也擁有五大優(yōu)勢：

　　1. 為ARMv8-M量身打造的TrustZone技術：安全實現的基礎

　　TrustZone技術為ARMv8-M度身優(yōu)化，可以在每一臺搭載Cortex-M23處理器的設備上以硬件形式實現可信軟件和非可信軟件強制隔離。因此，采用TrustZone，設計師只需一個處理器就可以設計嵌入式應用，此前則必須使用多個處理器才能在可信區(qū)域和非可信區(qū)域之間實現物理隔離。僅需Cortex-M23處理器，既可出色實現多項安全需求，如設備識別管理、高價值固件保護、軟件認證、安全根等等。

　　采用TrustZone技術的Cortex-M23處理器具備以下兩種安全狀態(tài)：

　　安全狀態(tài) – 可以訪問安全和非安全資源(存儲、周邊設備等)

　　非安全狀態(tài) – 只可訪問非安全資源

　　兩種安全狀態(tài)下的代碼執(zhí)行轉換和代碼訪問均由硬件監(jiān)管，最大限度地降低轉換管理成本并保證確定性——這也是所有Cortex-M處理器的標志***。

　　2. 緊湊二階布線處理器

　　Cortex-M23是一款簡單的二階布線馮諾依曼處理器(Von Neumann processor)，但卻足以支持**ARMv8-M基線指令集。熟悉Cortex-M0+的用戶一定可以迅速指出Cortex-M23使能效最大化的眾多相似特色：WFI(等待中斷)/WFE(等待事件)和睡眠/深度睡眠模式、退出時睡眠、SysTIck定時器和選配的單循環(huán)IO等。

　　指令集共包含80條左右的拇指指令，其中大多數都是16位指令(為了盡可能提高代碼的緊湊度)，但仍有一些為了提升效率而設置的32位指令。Cortex-M23支持所有的ARMv6-M指令，以幫助設計師輕而易舉地將代碼從Cortex-M0和Cortex-M0+處理器轉移至Cortex-M23。此外ARMv8-M基線指令集中還加入了多條新指令以提升條件運算、互斥訪問、硬件劃分運算和即時移動的效率。

　　3. 強化的調試糾錯與追溯能力

　　僅憑一臺高效安全的32位處理器，尚無法成功實現字段部署，軟件開發(fā)的成本通常超過生產和硬件IP的總和。Cortex-M23引入更多可配置的硬件斷點和數據觀測點，對比其他ARMv6-M處理器，可以助設計師更輕松地實現軟件開發(fā)與調試。除了Cortex-M0+ 處理器中也配置的微型跟蹤緩沖器(MTB)，Cortex-M23還包括選配的嵌入式跟蹤宏單元(ETM)。有了這些選配功能，設計師可以自行判斷，究竟選擇更加豐富全面的指令追溯能力;還是性價比更高、更加精簡的指令追溯能力。

　　4. 用于任務隔離的存儲保護單元

　　Cortex-M23還包括選配存儲保護單元(MPU)，基于全新PMS**8架構打造，設計師使用起來非常方便。它可以在安全和非安全狀態(tài)的任何一個狀態(tài)下最多“保護”16個區(qū)域。每個區(qū)域都有一個基礎地址、結束地址、訪問許可和存儲屬性設置。在多任務環(huán)境下，操作系統(tǒng)可以在任務情境切換的過程中重新編程MPU，定義每個任務的存儲許可，比如允許應用任務訪問全部或部分應用數據和特定的周邊設備。通過保護許可之外的數據免遭污染，并阻止未授權來源訪問許可之外的周邊設備，該MPU可以顯著提升系統(tǒng)可靠性。

　　更易設置的存儲區(qū)域

　　Cortex-M23的存儲保護架構采用基線和限值比較器，用以定義存儲區(qū)域，而此前使用的是二次方尺寸對齊比較器。這項改進簡化了軟件研發(fā)的復雜程度，而且在某些情況下，當區(qū)域尺寸不是完美的二次方尺寸時，還能減少存儲浪費。

　　5. 全新ARMv8-M基線指令

　　對比ARMv6-M，Cortex-M23加入了許多全新指令，但絲毫沒有折損Cortex-M系列處理器的超高能效。大多數新指令(除用于安全拓展外)都繼承自ARMv7-M的架構指令集，進一步拓展Cortex-M23的功能，并與Cortex-M0+ 處理器形成鮮明區(qū)分。

　　(1)安全拓展

　　ARMv8-M采用的TrustZone安全技術為基線指令集補充了全新指令，包括安全網關(SG)、非安全支路(BXNS、BLXNS)以及測試目標(TT)指令。欲知詳情，請參閱Yiu撰寫的《ARMv8-M 架構介紹》。

　　(2)僅執(zhí)行代碼生成

　　對僅執(zhí)行(Execute-Only)代碼存儲區(qū)的支持也獲得改善，新增加的即時移動指令(從ARMv7-M繼承的MOV/MOVT)可以在僅執(zhí)行代碼中生成即時數據，讓設計師僅憑2條指令便能生成32位值，且無需運行實際負載。

　　(3)代碼優(yōu)化

　　條件比較和支路指令(從ARMv7-M繼承的CBNZ/CBZ)可以提高多項條件控制代碼序列的性能。長偏移即時支路(從ARMv7-M繼承的)可以將支路指向遙遠的目標地址;硬件整數劃分指令(從ARMv7-M繼承的SDIV/UDIV)則可以減少除法運算的處理循環(huán)。

　　(4)排斥存取

　　Cortex-M23還從ARMv7-M繼承了負載和儲存的專用指令，提升Cortex-M23在多核系統(tǒng)中的一貫性，確保多個處理器以同樣的機制處理信號。此外，為了對C11/C++11提供穩(wěn)定支持，Cortex-M23還新增ARMv8-A(Thumb 32版本)的負載獲取與儲存釋放指令，并包括這些指令的排斥存取變種。