隨著軟件功能的日趨強大，軟件開發工作量隨之劇增，軟件開發團隊也不斷嘗試改進軟件的開發方法，旨在保證軟件功能，質量的情況下，減少成本，加快開發速度。

要實現上述目標，關鍵在于工作量——在軟件開發中盡可能減少工作量。

軟件開發相關的工作量包括功能需求定義，功能需求的實現和測試，非功能需求，以及修復開發過程中引入的錯誤的工作量。

站在軟件開發者的角度，在實現軟件完整功能的情況下，如何減少開發的總工作量，唯一能夠減少的部分就是用于修正錯誤的工作量。

對軟件開發而言，一旦發現錯誤，就必須加以修正，以保證軟件產品質量。因此，要在不影響產品質量的前提下減少工作量，唯一的解決辦法就是防止開發過程中引入軟件錯誤。

在已知的軟件錯誤中，內存安全是軟件行業中最常見的錯誤類別[1][2]。然而，嵌入式軟件行業的標準語言 C 和 C++ 是非內存安全編程語言，這意味著嵌入式系統很容易出現這類錯誤。

減少這類錯誤的方法之一是在軟件測試、審查和驗證方面投入人力物力，而另一種思路是用內存安全語言取代現有語言[3]。

雖然許多內存安全語言（如 Python、Java）已在軟件行業得到廣泛應用，但它們并不適合嵌入式系統。這是因為嵌入式系統對占用空間、堆棧使用和性能有嚴格的限制（這是C和C++的優勢）。

Rust就是在這樣的背景下誕生的，它同時實現了高效性和內存安全。

Rust 是什么

Rust語言在2006年作為 Mozilla 員工 Graydon Hoare 的私人項目出現，而 Mozilla 于 2009 年開始贊助這個項目。第一個有版本號的 Rust 編譯器于2012 年 1 月發布。Rust 1.0 是第一個穩定版本，于 2015年5月15日發布 [4] 。

Figure 1. Rust Logo

Rust是一種在科技界大受歡迎的語言，Rust已經連續七年（2016，2017，2018，2019，2020, 2021, 2022）在Stack Overflow開發者調查的“最受喜愛編程語言”評選項目中折取桂冠[5]。

微軟用Rust重寫它的一些核心windowns庫，在 Android 13 中，21% 的新原生代碼使用了 Rust，此外，除 C 語言外，Rust 是唯一一種支持編寫 Linux 內核組件的語言，并被廣泛用于后端軟件、基礎設施和微服務。（找元器件現貨上唯樣商城）

Figure 2. rust-gentle-intro [6]

Rust是一種系統編程語言，旨在成為無垃圾回收的內存安全語言。

Rust使用了包含特定規則的“所有權”機制來管理內存，允許編譯器在編譯過程中執行檢查工作，而不會產生任何的運行時開銷。Rust中的每一個值都有一個對應的變量作為它的所有者；在同一時間內，值有且僅有一個所有者；當所有者離開自己的作用域時，它持有的值就會被釋放掉。

Rust使用“借用規則”實現對值進行可變和不可變引用：一個值可以有一個不可變引用或多個可變引用，但不能同時有兩個引用。編譯器中一個名為“借用檢查器”的特定部分會對此進行檢查。

Rust中的生命周期規則：Rust的每個引用都有自己的生命周期，它對應著引用保持有效性的作用域。生命周期最主要的目標在于避免懸垂引用，進而避免程序引用到非預期的數據。[7][8]

Cargo 是 Rust 的軟件包管理器[9]，軟件包被稱為板條箱（Crate），cargo 有一個命令：cargo build，它能自動解決項目依賴關系。另外，使用 cargo test 命令能觸發單元測試，使用 cargo doc 命令還能生成文檔網頁。cargo 的文檔列出了 30 多條不同的命令，用于支持軟件包處理、構建文檔和測試。此外，cargo 還可用于安裝其他 Rust 二進制文件，如工具 svd2rust。

嵌入式系統中的 Rust

Figure 3. Embedded Rust Architecture

Embedded Rust 的結構可以分為上述5層，如上圖所示，從下往上的順序，最底層是MCU硬件層，有各個資源，外設，由不同的芯片決定；第2層是PAC，可以理解為芯片的頭文件，里面是各個寄存器的信息；第3層是在PAC的基礎上對寄存器進行操作一些調度函數，里面對寄存器進行直接操作；第4層是硬件抽象層，這一層的意義是從芯片強相關的驅動函數上抽象出來，提供一個通用接口，這個通用接口由最上層的軟件驅動層、軟件應用層去調用，實現對芯片資源的調度。

在Embedded Rust中，使用svd2rust工具將芯片資源的描述文件SVD文件轉化為PAC，該接口具有良好的可讀性，便于審查和維護。此外，它還能防止出現錯誤，因為如果設置的值對該字段無效，代碼將無法編譯。

RUST 與 C 語言的關系

Rust對硬件的內存需求，堆棧使用，運行效率可以和C相媲美，具體的細節差異會和編譯優化等級，應用等有些許差異。

此外，Rust有一個令人振奮的點，它可以和C語言共同使用。

Rust和C代碼間的互用性始終取決于兩種語言間的數據轉換。為了實現互用性，在stdlib中，有兩個專用模塊，叫做std::ffi和std::os::raw 。

std::ffi提供了一些工具去轉換更復雜的類型，比如Strings，將&str和String映射成更容易和安全處理的C類型。

std::os::raw處理底層的基本類型，這些類型可以被編譯器隱式地轉換，因為Rust和C之間的內存布局足夠相似或相同[10]。

Rust 是一種現代系統編程語言，可用于網絡應用程序和裸機嵌入式系統。不過Rust的生態和函數庫資源等比較有限，而和C之間的互通性可以讓Rust更加便捷的應用到現有的軟件中，更快的投入使用。

因此，我們將長期生活在 Rust 和 C 語言的混合環境中。盡管 Rust 聲稱內存安全（這一點已經得到證實），但是Rust 和 C 代碼的結合可能會導致安全的 Rust 生成的程序被不安全的 C 實現所違反的情況。為了確保 Rust 的安全性，有必要在 C 和 Rust 之間找到一個合理的分界點。

盡管如此，事實證明 Rust 是在嵌入式系統中替代 C 和 C++ 的合適候選語言，尤其是在新代碼開發方面。除內存安全外，Rust 語言的其他方面，如強大的類型系統和錯誤處理，也為 Rust 帶來了卓越的可讀性和可維護性。這提高了防錯能力，從而在不增加開發階段額外成本的情況下實現更安全的代碼。

英飛凌產品支持Embedded Rust

軟件安全對汽車市場至關重要，Rust 編程語言內置內存安全軟件開發支持，是設計關鍵任務汽車軟件的重要推動力。英飛凌科技公司為在嵌入式領域創建 Rust 生態系統邁出了第一步。首先推出的是市場領先的 AURIX? TC3xx 和 TRAVEO? T2G 汽車 MCU。TRAVEO? 使用官方 Rust 工具鏈和 Arm Cortex-M 目標編譯器，而英飛凌的工具合作伙伴 HighTec EDV-Systeme 則為 AURIX? 開發了專用 Rust 編譯器。

Figure 4. AURIX? and TRAVEO? T2G

AURIX? TC3xx 和 TRAVEO? T2G 微控制器產品系列為功能安全和網絡安全提供了廣泛的集成硬件功能。對 Rust 的支持是對這些硬件功能在軟件方面的補充。英飛凌為 AURIX? 和 TRAVEO? 提供了外設訪問板條 (PAC)，以實現對微控制器外設的本地訪問。

HighTec Rust 編譯器專為 AURIX? TC3xx 和 TC4x 微控制器量身定制，利用先進的開源 LLVM 技術，為具有安全、可靠、高性能和快速部署要求的應用提供全套 Rust 語言特性，包括內存安全、并發性和互操作性。

審核編輯 黃宇