1、引言

Cortex-M3微控制器因其功能强大、性价比高以及易用性好，在嵌入式体系结构中得到了广泛应用。然而，在实际开发过程中，如果程序很大或运行很久后可能会遇到HardFault异常。为了快速有效地解决HardFault异常，本文将讨论定位HardFault问题的方法。

2、常见引发HardFault原因

1）访问非法内存地址：编程中处理指针时可能导致访问未定义的内存地址，特别是在数组越界、非法指针解引用等情况下。

2）叠栈溢出：程序运行过程中如果栈溢出，会导致栈上数据错误，从而引发异常。

3）寄存器未正确初始化：寄存器配置和使用不正确，可能导致硬件异常。

4）除0运算：当程序试图执行除0运算时，可能发生硬件故障异常。

5）总线错误：外设总线通信发生错误，可能引起硬件故障。

3、软件触发HardFault异常

ES32F36xx是Cortex-M3内核，当被除数为0时，硬件将触发一个异常，导致系统进入Hard Fault异常状态。这种情况下，处理器不能正常运行，并且不能恢复，直到硬件或软件采取措施使得系统回到正常状态。在ES32_SDK中，ES32F36xx 的KEY_LED_ADC例程中增加如下程序：

// B函数
void B_Function(void)
{
    printf_e("Enter B function\r\n");
    C_Function(0);
    printf_e("Exit B function\r\n");
}
// A函数
void A_Function(void)
{
    printf_e("Enter A function\r\n");
    B_Function();
    printf_e("Exit A function\r\n");
}
// C函数
int C_Function(int val)
{
    return 100/val;
    }
// D函数
void D_Function(void)
{
    printf_e("Enter D function\r\n");
    C_Function(1);
    printf_e("Exit D function\r\n");
}
// TestDebug函数
void TestDebug(void)
{
    // 使能除0异常
volatile int *CCR = (volatile int *)0xE000ED14;
    *CCR |= (1 << 4);
    
    A_Function();
    D_Function();
}
// 主函数
int main(void)
{   
    uart_stdio_init();
    
    TestDebug();
    while(1);
}

如图 1所示，工程文件中，User选项中增加“fromelf -a -c --output=all.dis  .\obj\out.axf“，生成汇编文件。

图1 MDK工程生成汇编文件配置

4、HardFault异常函数调用关系及问题定位

上述程序运行过程中会发生hardfault异常，发生hardfault异常瞬间，程序立刻中止运行，硬件自动保存“调用者保存寄存器“的值到栈，同时跳转到异常向量表执行异常处理函数。如图 2所示为发生异常瞬间，硬件自动保存xPSR、ReturnAddress、LR、R12、R3、R2、R1及R0寄存器。

图2 处理器进入异常时的栈帧

硬件仅保存了部分寄存器，为了保存发生异常瞬间所有寄存器值，程序跳转到中断向量处需要执行如下的汇编代码：

;get current context
    TST          lr, #0x04        ;if (!EXC_RETURN[2])
    ITE          EQ
    ;[2]=0 ==> Z=1, get fault context from handler
MRSEQ        r0, msp          
    ;[2]=1 ==> Z=0, get fault context from thread
MRSNE        r0, psp         
    
    STMFD        r0!, {r4 - r11}  ; push r4 - r11 register
    STMFD        r0!, {lr}         ; 将EXC_RETURN值压栈
    
    TST          lr, #0x04        ;if (!EXC_RETURN[2])
    ITE          EQ                 
; R0为栈值，作为hw_hardfault_exception函数首个参数
MSREQ        msp, r0
;[2]=1 ==> Z=0, get fault context from thread     
    MSRNE        psp, r0          
    
;再次将EXC_RETURN值压栈
    PUSH         {lr}              
    ;跳转至hw_hardfault_exception函数    
BL           hw_hardfault_exception 
    POP          {lr}
    ORR           lr, lr, #0x04
    BX            lr
    ENDP

上述汇编代码的主要功能是获取栈（SP）地址，并将R4 ~ R11压栈，跳转执行hw_hardfault_exception函数。压栈后栈中的数据情况如图 3所示：

图3 hardfault异常瞬间栈中完整寄存器

Return Address是发生异常指令点，LR是发生异常指令所在函数的下一条指令地址。在hw_hardfault_exception函数中将栈中的寄存器值都通过串口打印出来。

void hw_hardfault_exception(struct exception_info *exception_info)
{
    uint32_t *app_sp = NULL;
int i = 0;
/*sp指向发生hardfault前栈地址*/
    app_sp = (uint32_t *)(exception_info + 1);  /* context + 16*4 */
    
    printf_e("psr: 0x%08x\r\n", exception_info->psr);
    printf_e("r00: 0x%08x\r\n", exception_info->r0);
    printf_e("r01: 0x%08x\r\n", exception_info->r1);
    printf_e("r02: 0x%08x\r\n", exception_info->r2);
    printf_e("r03: 0x%08x\r\n", exception_info->r3);
    printf_e("r04: 0x%08x\r\n", exception_info->r4);
    printf_e("r05: 0x%08x\r\n", exception_info->r5);
    printf_e("r06: 0x%08x\r\n", exception_info->r6);
    printf_e("r07: 0x%08x\r\n", exception_info->r7);
    printf_e("r08: 0x%08x\r\n", exception_info->r8);
    printf_e("r09: 0x%08x\r\n", exception_info->r9);
    printf_e("r10: 0x%08x\r\n", exception_info->r10);
    printf_e("r11: 0x%08x\r\n", exception_info->r11);
    printf_e("r12: 0x%08x\r\n", exception_info->r12);
    printf_e(" lr: 0x%08x\r\n", exception_info->lr);
    printf_e(" pc: 0x%08x\r\n", exception_info->pc);
    
    printf_e("stacks: \r\n");
    
    for (i = 0; i < 1024; ++i)
    {
        printf_e("%08x ", *app_sp);
        app_sp++;
        ++i;
        if (i % 16 == 0)
            printf_e("\r\n");
    }
    printf_e("\r\n");
    while(1);
}

在hw_hardfault_handler函数中打印出了所有相关寄存器，如图 4所示：

图4 发生异常时栈数据

从打出来的返回地址值（PC）为0x00000644，在生成的all.dis汇编文件搜索该地址，如图 5所示，该地址是C_Function函数中的一个除法指令，R0寄存器值除以R1寄存器值，并将结果存放R0中。R0为0x64，确认R1寄存器值即可。

图5 发生hardfault异常瞬间执行的指令

图 4中，LR的值为0x0000060f，all.dis无法搜索到该地址。由于Cortex-M3使用的是Thumb指令集，bit0置位指示该地址地址指令是Thumb指令。bit0复位，搜索0x0000060e，如图 6所示，该地址在B_Function函数中。B_Function函数调用了C_Function函数，R0为传递的参数0。由此可知，图 5中，R1的除数值0，故程序会发生hardfault异常。

图6 B_Function函数的汇编代码

图 6中，调用C_Function函数前，R4和LR寄存器被压入了栈中。即图 7中，LR的值为0x000005D1，R4的值为0xe000ed14。

图 7 B_Function函数压栈值

如图 8所示，在all.dis文件搜索0x000005D0地址在A_Function函数中，在执行A_Function函数前，对R4和LR进行了压栈。A_Function函数调用了B_Function函数。

图 8 A_Function函数汇编代码

如图 9所示，A_Function函数压入的R4值为0xe000ed14，LR值为0x000006a1。

图 9 A_Function函数压栈值

如图 10，在all.dis文件中，搜索0x000006a0，发现该地址在TestDebug函数中，且该函数将R4和LR压入栈中。

图 10 TestDebug函数汇编代码

如图 11所示，A_Function函数压入的R4值为0xe0001c18，LR值为0x00001ab9。

图 11 TestDebug函数压栈值

如图 12所示，在all.dis文件中，搜索0x00001ab8，该地址在main函数中。

图 12 main函数的汇编代码

至此，如图 13所示为发生hardfault异常时函数的调用关系，在C_Function函数中，被除数为0是导致进入hardfault异常的原因。

图 13 发生hardfault时的函数调用关系

TrustZone

恩智浦基于Cortex M33内核的MCU，LPC55S6x/LPC55S1x, RT600/RT500等产品提供了对TrustZone的支持，并在SOC上提供了安全AHB控制器等功能，旨在帮助客户完成良好的安全隔离，并建立可信执行环境。

在产品设计之初，我们就要有一个基本的“隔离”的概念。

需要考虑的问题大致有以下两个方面：

• 产品中的哪些功能和模块应该放在安全区？（这部分代码往往是核心且精简，且经过安全审查的，安全区的内容不允许非安全区的代码触碰）；
• 哪些功能应该放在非安全区？（这样放在非安全区中的代码，即使出现安全漏洞（例如栈溢出漏洞等等）后被攻击，MCU的安全区中的资源和外设也无法被攻击者利用）。

令人头疼的HardFault

对于MCU工程师，TrustZone是一个比较新的技术，在开发调试过程中，由于TrustZone配置问题，时常遇到各种意料之外的HardFault，我们也经常调侃，这个TrustZone也太安全了，连我们自己都进不去。

其实这种问题往往是由于在开发阶段，我们实际的行为和我们对TrustZone的划分不一致。

平常我们认为正常的行为与操作，对于TrustZone来说，已经越界违规了，这就会使TruztZone触发HardFault，并阻止违规行为。

在这种情况下，我们就需要找到导致HardFault的原因，并调整对于TrustZone的配置。

注：TrustZone相关的故障会触发SecureFault异常。在芯片上电后的默认情况下，SecureFault异常并没有被使能，因此，此异常会被“升级”为HardFault。在通常情况下，建议使用默认的设置，因为HardFault拥有更高的中断优先级，可以使故障在第一时间被响应。

获取违规操作的蛛丝马迹

Cortex M33内核本身在SAU中提供了两个寄存器：SFSR(Secure FaultStatus Register，安全故障状态寄存器)和SFAR(Secure Fault Address Register，安全故障地址寄存器)。

SFSR寄存器用于指示出现错误的类型，例如非安全区试图访问安全区，从安全区到非安全区的非法跳转等。

SFAR寄存器用于指示出现错误的内存地址。

看起来这两个寄存器就足以帮助我们查到问题的根源了。但是，有时候，我们从这两个寄存器拿到了错误的原因和地址，仔细检查后发现无论是安全区还是非安全区的程序，都没有显式的访问这个地址。

这是由于MCU系统愈发复杂，总线上除了M33内核之外，还有许许多多的其他的外设，例如DMA，USB等等。肇事者不一定是M33内核，还有可能是其他的外设，例如DMA。

下面是一种常见的事故：被划分为非安全的DMA在工作中访问了安全区的地址或外设，违反了TrustZone的配置，造成了HardFault。

恩智浦的MCU在SOC层面提供了一个安全AHB控制器，能够帮我们侦查肇事现场，找出肇事者的蛛丝马迹。

其实原理很简单，安全AHB控制器提供了三个寄存器，SEC_VIO_INFO_VALID，SEC_VIO_MISC_INFO和SEC_VIO_ADDR。

SEC_VIO_INFO_VALID用来指示肇事现场，这个寄存器中存储了肇事现场的AHB 的端口号(port number)，端口号与外设的对应关系参见用户手册的”Memory map overview”章节。

每一个AHB端口都相应有一个SEC_VIO_MISC_INFO寄存器，用来指示肇事的信息，例如违规操作是读操作引起的还是写操作引起的等等，最重要的是会指出肇事者的身份：

每个AHB端口还有一个SEC_VIO_ADDR，用来指示肇事现场的地址。

有了上述信息，我们就捉到了真正的肇事者。在开发阶段，我们就可以利用这些信息去调整我们的TrustZone的配置。

更进一步

当然，上述功能不只能在开发阶段帮我们排查HardFault。我们也可以利用这个机制在产品出厂之后为我们提供防御措施。

产品出厂后，当我们检测到由TrustZone产生的HardFault的原因之后，可以将其记录，以便于后续分析。如果设备有联网能力，可以将其传输至服务器。利用这些信息我们可以发现产品的哪些模块受到了攻击，方便我们后续针对性地进行OTA升级。云端和设备本地也可在此时检测镜像以及存储介质的完整性，以检查程序和存储介质是否被恶意篡改。

小结

综上所述，利用SAU和安全AHB控制器调查HardFault的方法并不复杂，NXP的MCUXpresso SDK也提供了一个完整的demo。

以LPC55S69为例，demo的路径如下：SDK\boards\lpcxpresso55s69\trustzone_examples\secure_faults。

这个demo中，人为制造了几种TrustZone触发HardFault的案例，在产生HardFault后，使用上文描述的方法，处理相关寄存器并打印事故信息。

通常来说，在开发阶段，我们可以参考demo中HardFault的处理代码，按需移植到自己的工程中。