osMessagePut发送结构体时为何出现数据截断或内存越界？

一、现象层：典型错误代码与崩溃表征

开发者常写出如下“看似合理”的代码：

typedef struct { uint8_t cmd; uint16_t value; uint32_t timestamp; } MyMsg_t;
MyMsg_t msg = {.cmd = 0x01, .value = 1234, .timestamp = HAL_GetTick()};
osMessagePut(msgQ_id, (uint32_t)&msg, 0); // ❌ 危险！栈变量地址传入

运行后可能表现为：接收端解引用时触发 HardFault_Handler；或偶发读到全零/乱码数据；在启用 MPU 的 Cortex-M33/M35P 上更易因地址高位截断（如 0x2000_1234 → 0x0000_1234）导致访问非法内存域。

二、机制层：CMSIS-RTOS v1/v2 消息模型的本质约束

CMSIS-RTOS（Keil RTX4/RTX5）将 osMessageQueue 设计为「值传递队列」，其内部 ring buffer 元素宽度恒为 sizeof(uint32_t) —— 这是 ARM 官方 ABI 对 CMSIS-RTOS v1 的硬性约定，与 POSIX mq_send() 或 FreeRTOS xQueueSend() 的泛型缓冲区设计存在根本差异。

三、风险层：三重越界隐患深度剖析

1. 生命周期越界：栈上局部变量 msg 在发送函数返回后即失效，接收任务若延迟处理，*(MyMsg_t*)ptr 将解引用已回收栈帧；
2. 地址截断越界：在 32-bit MCU 中虽暂无问题，但若项目未来迁移到 Cortex-M55（支持 40-bit 物理地址）或启用 TrustZone+MPU，则 (uint32_t)&msg 强制截断高12位，造成物理地址错位；
3. 静默数据截断：使用 *(uint32_t*)&msg 仅复制前 4 字节（Little-Endian 下为 cmd + 高字节填充），value 和 timestamp 完全丢失且编译器不报错。

四、方案层：双轨并行的工业级解决方案

五、实践层：可落地的代码范式与配置要点

✅ 正确示例（RTX5）：

// 1. 创建支持结构体的 Mail Queue（非 Message Queue！）
osMailQId_t mailQ_id = osMailCreate(osMailQDef(MyMsg_t, 16), NULL);

// 2. 发送端
MyMsg_t *pMsg = osMailAlloc(mailQ_id, osWaitForever);
if (pMsg != NULL) {
  *pMsg = (MyMsg_t){.cmd=0x02, .value=0xABCD, .timestamp=HAL_GetTick()};
  osMailPut(mailQ_id, pMsg); // 传指针，非地址强制转换
}

// 3. 接收端
osEvent event = osMailGet(mailQ_id, osWaitForever);
if (event.status == osEventMail) {
  MyMsg_t *rx = (MyMsg_t*)event.value.p;
  process_message(rx);
  osMailFree(mailQ_id, rx); // ⚠️ 必须释放！
}

⚠️ 关键配置项：os_mailq.h 中需确保 OS_MAILQ_SIZE ≥ 结构体大小 × 队列深度，并在 RTE_Components.h 启用 #define OS_USE_MAILQUEUE。