ARM SMMU故障诊断与内存管理优化方案

胖葫芦

1. SMMU Fault维测方案概述

在ARM架构的嵌入式系统中，SMMU（System Memory Management Unit）作为IOMMU（Input/Output Memory Management Unit）的实现，为DMA外设访问系统内存提供了关键的内存管理功能。SMMU的主要作用包括地址翻译、内存保护和设备隔离，这些功能对于现代嵌入式系统的稳定性和安全性至关重要。

1.1 SMMU的核心功能

SMMU通过以下三个核心功能为DMA设备提供系统内存访问服务：

地址翻译（Translation）：将设备提供的虚拟地址（IOVA）转换为系统物理地址（PA），使设备能够透明地访问分散在物理内存中的数据。
内存保护（Protection）：通过转换表中的权限设置，可以精细控制每个设备对内存区域的访问权限（读/写/执行），防止设备越权访问。
设备隔离（Isolation）：即使多个设备共享同一个SMMU连接，也能为每个设备配置独立的转换和保护属性，确保设备间的内存访问相互隔离。

1.2 SMMU Fault的产生机制

SMMU Fault是指当DMA设备通过SMMU访问系统内存时，由于各种原因导致访问失败而触发的错误。常见触发场景包括：

设备访问了未映射的IOVA地址
设备尝试执行没有执行权限的内存操作
设备尝试写入只读内存区域
页表项无效或不存在

这些错误会导致系统产生SMMU Fault中断，如果不妥善处理，可能引发系统稳定性问题。

2. SMMU Fault维测的挑战与目标

2.1 现有维测方案的局限性

当前高通平台分析SMMU Fault主要依赖三种手段：

SMMU Fault寄存器信息：只能获取触发问题的设备ID和访问的虚拟地址
SMMU页表信息：在kernel panic时通过ramparser解析，但问题地址通常没有页表映射
设备驱动和IPC日志：需要分析者对模块非常熟悉，且日志粒度太粗

这些方法存在信息不完整、分析效率低、对人员经验依赖高等问题。

2.2 维测方案的核心目标

我们的SMMU Fault维测方案旨在解决以下问题：

快速定位问题切入点：帮助BSP工程师迅速缩小问题范围，减少debug时间
获取完整调用栈：在发生SMMU Fault时能捕获相关线程和调用栈
捕捉低概率问题：对偶发性问题提供有效的追踪手段
降低分析门槛：减少对特定模块专业知识的依赖

2.3 主要技术挑战

在XCD等复杂平台上实现有效的SMMU Fault维测面临多重挑战：

设备多样性：平台支持多达55种外设，许多设备源码闭源或只有固件
设备复杂性：涉及Camera、GPU、USB等复杂外设，问题分析难度大
行为不可控性：DMA设备自主决定访问时机和地址，操作系统无法预知，且没有调用栈信息

3. SMMU维测方案设计

3.1 整体架构设计

我们的解决方案基于对IOVA（IO Virtual Address）的精细监控，核心思路是：

内存标记：在SMMU内存维护过程中，对IOVA进行线程和调用栈标记
状态追踪：区分已映射（mapped）、已释放（unmapped）和未使用（unused）的IOVA
异常捕获：当发生SMMU Fault时，通过问题IOVA查找标记信息，定位问题源头

3.2 关键数据结构

方案引入了以下核心数据结构：

iova_mapping结构体：记录IOVA释放时的关键信息

c复制struct iova_mapping {
    pid_t pid;      // 释放线程的进程ID
    pid_t tgid;     // 释放线程的线程组ID
    char comm[16];  // 释放线程的名称
    u64 free_nsec;  // 释放时间戳（纳秒级）
    unsigned long free_stack[8]; // 释放调用栈
};

iova_shadow结构体：管理2MB大小IOVA区域的标记信息

c复制struct iova_shadow {
    unsigned long start_pfn;  // 起始PFN
    atomic_t count;           // 使用中的iova_mapping数量
    struct hlist_node node;   // 哈希链表节点
    struct list_head list;    // 内存池链表
    struct iova_mapping mapping[512]; // 512个4K页的映射信息
};

3.3 监控点选择

方案在以下关键路径插入监控逻辑：

IOVA分配路径：

code复制alloc_iova_fast → iova_rcache_get/iova_alloc → 清除对应iova_mapping

IOVA释放路径：

code复制free_iova_fast → iova_rcache_insert/iova_free → 填充对应iova_mapping

SMMU Fault处理路径：

code复制arm_smmu_context_fault → report_iommu_fault_helper → check_iova_status

4. 方案实现细节

4.1 Rcache维测实现

Rcache用于管理小尺寸（order≤5）且频繁分配的IOVA，其维测实现包括：

数据结构扩展：
- 在iova_rcache中增加iova_mapping数组
- 每个iova_magazine关联127个iova_mapping
关键操作：
- 释放IOVA：将线程信息、时间戳和调用栈存入对应iova_mapping
- 分配IOVA：清空对应iova_mapping内容
- Fault处理：通过PFN查找iova_magazine中的映射信息

4.2 RB tree维测实现

RB tree用于管理大尺寸（order>5）的IOVA，实现更为复杂：

内存优化设计：
- 使用iova_shadow结构体管理2MB区域的512个4K页
- 采用哈希表加速查找（256个桶）
- 实现shadow_pool内存池减少动态分配
关键操作：
- 释放IOVA：找到或创建iova_shadow，填充对应iova_mapping
- 分配IOVA：查找iova_shadow，清空对应iova_mapping
- Fault处理：通过PFN定位iova_shadow，提取映射信息

4.3 性能优化措施

为确保方案的实际可用性，我们实施了多项优化：

内存占用控制：
- Rcache常开，内存占用约63MB
- RB tree按需开启，每个开启设备增加约8MB内存
- 通过设备树配置选择性启用RB tree监控
性能影响最小化：
- Rcache操作增加0-2μs延迟
- RB tree操作平均增加70μs（最坏590μs）延迟
- 采用无锁设计减少临界区竞争

5. 测试验证与效果评估

5.1 功能验证

我们在dwc3 USB驱动和GPU驱动等场景进行了充分测试：

Rcache测试案例：

log复制[ 268.528427] check_iova_status
[ 268.537031] find_iova_rcache pfn:0xef3d7 log_size:0
[ 268.547453] BUG: iova rcahce error
[ 268.555798] iova iova_domain:00000000bcc533bd pfn:0xef3d7 addr: 0xef3d7000 has been released
[ 268.569369] iova released by pid:14924 tgid:14886 comm:UsbFfs-worker free_ts 268528288266 ns
[ 268.582848] iova freed backtrace:
[ 268.591072] free_iova_fast+0x184/0x228
[ 268.591086] iommu_dma_free_iova+0x1b0/0x418

RB tree测试案例：

log复制[ T295][C0][irq/58-arm-smmu] check_iova_status
[ T295][C0][irq/58-arm-smmu] find_iova_rbtree pfn:0xfac00
[ T295][C0][irq/58-arm-smmu] iova iova_domain:ffffff88b7388008 pfn:0xfac00 addr: 0xfac00000 has been released
[ T295][C0][irq/58-arm-smmu] iova released by pid:386 tgid:386 comm:recovery free_ts 22713308089 ns