Arm Compiler链接器配置与嵌入式内存管理详解

1. Arm Compiler链接器配置基础解析

在嵌入式安全应用开发中，内存布局的精确控制直接关系到系统的可靠性和安全性。Arm Compiler的链接器通过scatter-loading机制，为开发者提供了细粒度的内存映射控制能力。不同于桌面应用的自动内存分配，嵌入式系统往往需要手动规划不同属性代码段的物理位置，这主要基于三个关键考量：

首先，嵌入式设备的存储架构通常采用分层的设计。比如STM32系列MCU将Flash和SRAM物理隔离，Flash存放RO代码和常量，SRAM存放RW数据和ZI区。这种隔离要求链接器必须明确知道各段的加载地址和执行地址。

其次，安全关键系统对内存保护有严格要求。例如，将可执行代码与数据段分离可以防止数据区被恶意执行，而XO(Execute-Only)区域的引入则能进一步防止代码被读取。Armv8-M的TrustZone技术更是需要精确的region划分来实现安全隔离。

第三，性能优化需求。将频繁访问的数据放在紧耦合存储器(TCM)或核心附近的SRAM能显著提升性能，而冷数据可以存放在外部SDRAM。这需要链接器支持非连续区域的配置。

1.1 关键概念解析

加载视图(Load View)与执行视图(Execution View)：

• 加载视图描述的是程序烧录到存储介质时的布局，通常是连续的
• 执行视图描述的是运行时各段在内存中的实际位置，可能是非连续的
• 链接器负责在启动时代码中自动完成从加载视图到执行视图的转换

内存属性分类：

• RO(Read-Only)：代码和常量，通常驻留在Flash
• RW(Read-Write)：已初始化的全局变量，需从Flash拷贝到RAM
• ZI(Zero-Init)：未初始化的全局变量，运行时清零
• XO(eXecute-Only)：仅可执行不可读的代码，防止代码被提取

地址属性：

• ABSOLUTE：固定地址，最常见配置
• PI(Position Independent)：位置无关代码，可通过MMU重定位
• RELOC：可重定位代码，包含重定位信息供后续处理

2. Type 2内存模型详解

Type 2模型是嵌入式系统中最常用的内存布局方式，其特征是单一加载区域对应多个非连续的执行区域。这种模型适合大多数具有独立Flash和RAM的微控制器。

2.1 典型配置示例

以下是一个典型的Type 2 scatter文件配置，对应命令行参数--ro_base=0x010000 --rw_base=0x040000：

c复制LR_1 0x010000        ; 加载区域LR_1起始于0x010000
{
    ER_RO +0         ; RO执行区域从加载区域起始地址开始
    {
        * (+RO)      ; 所有RO段集中存放
    }
    ER_RW 0x040000   ; RW执行区域固定在0x040000(通常是SRAM)
    {
        * (+RW)      ; 所有RW段集中存放
    }
    ER_ZI +0         ; ZI区域紧接RW区域之后
    {
        * (+ZI)      ; 所有ZI段集中存放
    }
}

2.2 关键配置参数

--ro_base：

• 设置RO区域的加载地址和执行地址
• 在Flash中通常配置为Flash起始地址(如0x08000000)
• 也决定了向量表的存放位置，直接影响中断响应

--rw_base：

• 设置RW区域的执行地址
• 必须指向有效的RAM地址空间
• 与RO区域的偏移量需考虑拷贝效率，过大可能导致启动延迟

地址继承规则：

• ER_RO继承LR_1的ABSOLUTE属性
• ER_ZI通过"+0"继承ER_RW的地址属性
• 如果ER_RW标记为PI，ER_ZI也会继承PI属性

2.3 带XO区域的配置变体

对于支持Execute-Only内存的Armv7-M/Armv8-M架构，配置需特别处理：

c复制LR_1 0x010000
{
    ER_XO +0         ; XO区域必须放在最前面
    {
        * (+XO)
    }
    ER_RO +0         ; 常规RO区域紧随XO之后
    {
        * (+RO)
    }
    /* RW/ZI区域配置不变 */
}

重要提示：XO区域不能与ROPI(position-independent)同时使用，否则链接器会报错。在Armv6-M架构上XO功能不可用。

3. Type 3内存模型高级配置

Type 3模型进一步将加载区域分割，允许RO、RW等段存放在完全独立的存储设备中。这种模型适用于：

• 多存储介质的系统(如NOR Flash + NAND Flash)
• 需要动态加载的模块化系统
• 安全系统中隔离安全与非安全代码

3.1 多加载区域配置

以下示例对应命令行参数--ro_base=0x010000 --rw_base=0x040000 --split：

c复制LR_1 0x010000     ; RO加载区域
{
    ER_RO +0
    {
        * (+RO)
    }
}
LR_2 0x040000     ; RW加载区域
{
    ER_RW +0
    {
        * (+RW)
    }
    ER_ZI +0
    {
        * (+ZI)
    }
}

3.2 可重定位(RELOC)配置

RELOC属性生成包含重定位信息的目标文件，适合后续由bootloader进行二次加载：

c复制LR_1 0x010000 RELOC
{
    ER_RO +0
    {
        * (+RO)
    }
}
LR2 0x040000 RELOC 
{
    ER_RW +0
    {
        * (+RW)
    }
    ER_ZI +0
    {
        * (+ZI)
    }
}

重定位信息包括：

• 段加载地址与运行地址的偏移量
• 需要修正的指针位置
• 符号引用表

3.3 带XO的多加载区域配置

当系统需要XO保护且存储介质分离时：

c复制LR_XO 0x010000     ; XO专用加载区域
{
    ER_XO +0
    {
        * (+XO)
    }
}
LR_RO 0x020000     ; 常规RO区域
{
    ER_RO +0
    {
        * (+RO)
    }
}
/* RW/ZI区域配置同上 */

4. 高级主题与疑难解析

4.1 输入段匹配规则

当多个执行区域匹配同一输入段时，链接器按以下优先级处理：

1. 精确的输入段名称(如".vector_table")最高优先级
2. 模块选择模式越具体优先级越高
3. 段属性描述越具体优先级越高

冲突解决示例：

c复制ER_ROM 0x040000
{
    startup.o (+ENTRY)   ; 入口代码
}
ER_TEXT 0x041000
{
    * (+RO-CODE)        ; 其他代码段
}

在此例中，startup.o中的ENTRY段会优先放入ER_ROM，即使它也匹配ER_TEXT的+RO-CODE属性。

4.2 位置无关代码(PIC)配置

RWPI配置示例：

c复制LR_1 0x010000
{
    ER_RO +0            ; 绝对地址RO
    {
        * (+RO)
    }
    ER_RW 0x018000 PI   ; 位置无关RW
    {
        * (+RW)
    }
    ER_ZI +0            ; 继承PI属性
    {
        * (+ZI)
    }
}

关键限制：

• ROPI/RWPI不能与XO区域共存
• Armv6-M不支持任何形式的PIC
• AArch64状态不支持PI属性

4.3 常见问题排查

问题1：ZO区域地址溢出

• 现象：链接错误"Region ER_ZI overflowed"
• 排查：检查RW区域大小是否预留足够空间给ZI
• 解决：调整RW_BASE或优化数据结构减少内存占用

问题2：XO区域配置错误

• 现象：提示"execute-only sections not supported with ROPI"
• 排查：确认是否错误地同时启用了XO和ROPI
• 解决：移除冲突属性或改用绝对地址

问题3：重定位失败

• 现象：运行时数据段内容错误
• 排查：检查启动代码是否正确执行了数据段拷贝
• 解决：确保RELOC区域的加载/执行地址差被正确处理

5. 安全实践建议

1. 关键数据隔离：

   • 将安全敏感数据(如加密密钥)单独放在受保护的执行区域
   • 使用MPU配置区域访问权限

   c复制ER_SECURE 0x10000000 0x1000
   {
       secure_data.o (+RW)
   }
   

2. 代码保护措施：

   • 对核心算法启用XO保护
   • 定期校验RO区域完整性
   • 使用--protect选项防止区域重叠

3. 启动安全检查：

   • 在启动代码中添加散列校验
   • 验证关键段地址是否在预期范围内
   • 确保ZI区域已正确清零

4. 工具链安全配置：

   bash复制armlink --no_merge --no_merge_litpools --protect
   

   • 禁用常量合并防止数据泄露
   • 启用区域保护防止意外重叠

6. 性能优化技巧

1. 热代码布局：

   c复制ER_ITCM 0x00000000
   {
       critical.o (+RO-CODE)
   }
   

   • 将中断处理等关键代码放在TCM
   • 使用性能分析工具确定热点函数

2. 数据对齐优化：

   c复制ER_RAM ALIGN 32
   {
       * (+RW-DATA)
   }
   

   • 32字节对齐提升DMA传输效率
   • 4KB对齐便于MMU分页管理

3. 压缩与尺寸优化：

   • 对非关键RO段启用压缩
   • 使用--info=sizes生成详细尺寸报告
   • 考虑使用--split将冷数据分离

在实际项目中，我曾遇到一个因ZI区域未正确清零导致的随机崩溃问题。通过分析生成的map文件，发现链接器虽然正确设置了ZI区域地址和大小，但启动代码中对应的清零循环被优化器意外移除。解决方法是在scatter文件中明确标注ZI区域：

c复制ER_ZI +0 EMPTY 0x800  ; 明确指定ZI区域大小
{
    * (+ZI)
}

并在启动代码中添加__attribute__((optimize("O0")))防止关键初始化代码被优化。这个案例凸显了链接器配置与启动代码协同工作的重要性。