開源免費的FreeRTOS由Richard Barry在WHIS工作時創建，WHIS基于FreeRTOS的功能模型，通過完整的HAZOP分析，確定了功能模型和API中的所有的弱點，減輕所有薄弱環節，并采用IEC 61508 SIL 3的開發生命周期，重新設計實現了SAFERTOS。

SAFERTOS及其配套的設計保證包（DAP）為安全應用提供卓越的性能和安全關鍵的可靠性，同時消耗最少的資源。

由于FreeRTOS內核和SAFERTOS共享相同的功能模型，升級很容易。許多開發者基于FreeRTOS內核實現產品原型，并在正式開發階段升級為SAFERTOS。

SAFERTOS和FreeRTOS共享一個功能模型，使用起來非常相似。然而與FreeRTOS相比，SAFERTOS：

? 具有較少的應用程序編程接口（API）

? 函數中執行更多的錯誤檢查

? 大多數API調用返回狀態碼

? 要求應用提供所有堆棧、任務控制塊和隊列緩沖區存儲空間

? 使用靜態分配，不提供heap函數

? 默認使用處理器的MPU（Memory Protection Unit）功能

? 重新設計，滿足安全關鍵軟件的需求

因此，當將一個FreeRTOS項目遷移到SAFERTOS時，需要做一些工作來啟動和運行內核。

FreeRTOS內部隱藏了內存管理實現，如任務創建時動態分配堆棧，在內核啟動時為內核數據分配緩沖區等。在FreeRTOS中也可以配置使用靜態分配機制，由應用程序提供相應的內存，但大多數用戶更傾向于由FreeRTOS實現分配功能。

FreeRTOS還提供了許多編譯時選項，允許應用程序設計人員通過Hook函數機制在內核中插入額外的功能代碼，在任務切換時運行，如任務創建或刪除時，調用Hook函數。

API區別

FreeRTOS和SAFERTOS中API函數名稱基本一致，參數不同，如任務創建函數，

FreeRTOS中實現：

SAFERTOS中實現：

WHIS提供了如何從FreeRTOS升級到SAFERTOS的說明文檔，詳細介紹了FreeRTOS和SAFERTOS API差異。

升級文檔及簡單的SAFERTOS用戶手冊，可以訪問https://www.highintegritysystems.com/down-loads/manuals-datasheets/safertos-datasheet-downloads/注冊下載。

RTOS定義的抽象類型名稱及# include文件也不相同。在FreeRTOS中，一個應用程序文件需要包含所使用的API（任務、隊列、信號量等）相應的頭文件，而使用的SAFERTOS應用只需要包含SafeRTOS_API.h頭文件。

靜態分配和MPU

SAFERTOS要求應用程序提供管理任務和內核對象所需的內存空間。

例如，FreeRTOS和SAFERTOS都創建了運行在最低優先級的空閑任務，來確保系統中永遠有可調度的就緒任務。空閑任務不能阻塞，可以將空閑任務用于“后臺”應用程序功能，實現節能或其他特定的應用需求。顯然，空閑任務需要一個任務堆棧及任務控制塊。FreeRTOS從堆中分配這些空間(除非配置使用靜態分配機制)，而SAFERTOS要求應用提供這些緩沖區空間。部分原因是在安全關鍵系統中，靜態分配通常是首選，因為它更容易保證所有運行時環境都有足夠的內存，但另一個需要考慮的事實是，絕大多數情況下，SAFERTOS接口層假定使用MPU。

使用MPU意味著應用設計人員需要監督所有內存結構在地址中的確切位置，內核任務和隊列緩沖區顯然是其中重要的一部分。此外，MPU機制通常對保護區域的對齊和大小有限制，分配的空間需滿足MPU要求，避免資源浪費。

在FreeRTOS中，在調用xTaskCreate之前需確保heap中有足夠的空閑空間，使用SAFERTOS時，需要靜態地為堆棧和任務TCB預分配并顯式定位一個相應大小和對齊的緩沖區，然后將指向這些結構的指針傳遞給xTaskCreate任務參數。

任務特權和內核函數封裝層

每個SAFERTOS任務被分配一個操作權限：特權或非特權模式。特權任務與內核代碼具有相同的權限。許多CPU支持特權和非特權模式，限制非特權模式下使用的CPU指令，用戶可以通過軟件陷阱、異?；蛑袛嘣诓煌貦嗄Ｊ街苯忧袚Q。

通常，將盡可能多的應用程序運行在非特權模式，每個任務都提供一組MPU參數，這些參數通常任務切換時配置相應的MPU域。

SAFERTOS任務創建時，為每個任務添加了一個額外的MPU區域，用于訪問用戶任務堆棧，應用程序須確保任務的堆棧符合MPU關于對齊和尺寸的限制。

非特權任務還需要具有對內核API函數的執行訪問權。內核API工作在特權模式， SAFERTOS的每個API函數都有一個特權升級封裝，通常使用系統調用異常機制實現。API封裝層將在需要時臨時提升任務權限，允許非特權任務執行內核API，執行完成后返回任務原先的權限。因為實際的API函數與調用時的名稱不同，調試不方便。

盡管FreeRTOS可以使用類似的權限升級機制來支持MPU，但僅提供了有限的MPU移植層支持。在SAFERTOS中，我們假定應用程序任務運行在非特權模式。在FreeRTOS的MPU移植中，任務默認以特權模式運行，但是任務可以選擇創建為restricted，即非特權模式。

嵌入式系統不斷擴大的互聯性導致了復雜的操作環境和越來越多的攻擊媒介，增加了安全需求。SAFERTOS基于FreeRTOS功能模型，用戶可以快速從FreeRTOS升級到功能安全的SAFERTOS。更多視頻、文檔及示例工程，可以訪問WHIS官網下載。