Versucht man die Beleuchtung um Bootloader einzuschalten crashed dieser, und zwar in einem ganz anderen Bereich des Codes.

Mehr zum Thema Barebox:

• Ahmad Fatoum "Beyond Just Booting - Barebox Bells and Whistles"

Mehr dazu, was schon passiert bevor überhaupt der Bootloader startet:

• Ahmad Fatoum "From Reset Vector to Kernel - Navigating the ARM Matryoshka"
• Rouven Czerwinski "How ARM Systems are Booted: An Introduction to the ARM Boot Flow"

Erste Vermutungen:

• Probleme im NAND-Code (der Speicher auf dem die Daten und Programme des Systems abgelegt werden).
• Probleme durch Änderungen an der Hardware (z.B. mehr Arbeitsspeicher)

Neuer Lösungsansatz: Fehlersuche mit printf.

Neues Problem: mit printf verschwinden die Fehler.

Warum können Probleme durch Einfügen von printfs verschwinden?

• Timing der ausgeführten Funktionen ändert sich
• Codestücke verschieben sich im Speicher

Timing sollte eigentlich keine große Rolle spielen, da im Bootloader noch alles ohne Nebenläufigkeit eins nach dem anderen ausgeführt wird.

Vermutung: DMA

Durch falsch eingestelltes DMA (Direct Memory Access) könnten auch im Bootloader Dinge im Hintergrund passieren. Im Bootloader wird DMA genutzt, um Daten aus dem NAND in den Hauptspeicher zu lesen.

Vermutung: Schlecht angebundener RAM

Beim neuen Hardwaredesign könnte sich z.B. das Layout der RAM-Leitungen verschlechtert haben.

Brainstorming mit den Kollegen. Sind es vielleicht die Caches?

Das DMA im verwendeten Prozessor ist nicht Cache coherent. Das heißt man muss zu den richtigen Zeiten den Inhalt der Caches wegwerfen, sonst erhält man falsche Daten.

Ist es vielleicht Spekulation?

Um nicht immer darauf warten zu Müssen, dass die richtigen Daten vom Cache in den RAM geladen wurden führt der Prozessor zukünftige Operationen schon einmal "spekulativ" aus und lädt dabei Daten in die Caches. Falls falsch spekuliert wird, werden diese Daten eigentlich einfach verworfen.

Oder vielleicht nicht?

Warum können auch lesende spekulative Speicherzugriffe ein Problem sein?

Nicht alles was im Adressraum des Prozessors liegt ist auch Speicher, sondern es gibt dort auch eine Vielzahl an Peripherieeinheiten.

Lösungsansatz: Nicht-Speicher auch spekulative nicht ausführen.

Um zu verhindern, dass ein Adressbereich (spekulativ) ausgeführt wird kann er als nicht ausführbar markiert werden. Bei Programmen, die unter einem Betriebssystem laufen macht man das z.B. für alle Daten, die nicht Teil des Programmcodes sind, z.B. aus dem Internet geladene Dinge. Im Bootloader ist man da etwas laxer, auch weil Sachen in den Speicher zu laden und auszuführen zur Kernfunktionalität gehört.

Die entsprechende Markierung der Adressbereiche lieferte auch keine Abhilfe.

Letzter Akt der Verzweiflung: lesen des Arm Architecture Reference Manual (Seite 9198) liefert den entscheidenden Hinweis.

When using the Short-descriptor translation table format, the XN attribute is not checked for domains marked as Manager. Therefore, the system must not include read-sensitive memory in domains marked as Manager, because the XN field does not prevent speculative fetches from a Manager domain.

Im Modus "Manager" ignoriert der Prozessor die gesetzten Restriktionen für Speicherbereiche. Der Bootloader läuft im Manager-Modus.

Die Codeänderung damit der Bootloader in der Client Domain und nicht in der Manager Domain läuft löst das Problem.

Außerdem: ein kleiner Ausblick darauf welche Software es sonst falsch /richtig gemacht hat.