01
问题描述
客户要在STM32U5 SBSFU的基础上开发自己的项目，SBSFU由三个工程组成，Boot，APP，Loader。其中的Boot工程由开源项目MCU boot移植而来，它负责整个系统的安全启动以及升级部分。客户想在此基础上新增一个串口通信，不使用DMA模式的情况下，串口能够正常工作，但切换到DMA模式的时候就不正常了，PC端连接串口发送引脚，显示接收的数据全为0。如下图所示：

▲ 图1 SBSFU Boot运行的置log信息及串口收到的数据全为0

02
问题分析及定位
此问题看起来应该是DMA哪里配置出了问题。为了快速找到问题，不如先从STM32CubeMx重新生成一个基于trustzone的USART且带DMA的测试工程，等到测试工程测试通过后，直接移植到boot工程内不就完了？
于是我直接使用STM32CubeMx新建一个工程，使用LPUART1外设PA2，PA3引脚。并分配其为M33 Secure。配置115200 bps。1+8+1数据格式。

▲ 图2 串口基本配置

在其DMA配置页面下，点Go to GPDMA1，切换到GPDMA1配置：在上面Mode页面下激活通道0和通道1，并将通道0分配给LPUSART1_TX：

▲ 图3 通道0分配给串口发送

▲ 图4 通道1分配给串口接收

在security页面下配置通道，目标和源均为“secure”：

▲ 图5 DMA通道的安全属性配置

然后就是配置内存了。在ld文件中配置使用的内存是SRAM1：

1. /* Memories definition */
   
2. MEMORY
   
3. {
   
4. RAM (xrw)  : ORIGIN = 0x30000000, LENGTH = 192K     
   
5. /* Memory is divided. Actual start is 0x30000000 and actual length is 768K */
   
6. SRAM4 (xrw)    : ORIGIN = 0x38000000, LENGTH = 16K
   
7. FLASH (rx)   : ORIGIN = 0x0C006000, LENGTH = 500K   
   
8. /* Memory is divided.
   
9. Actual start is 0x0C000000 and actual length is 2048K */
   
10. FLASH_NSC (rx) : ORIGIN = 0x0C0FE000, LENGTH = 8K
    
11. /* Non-Secure Call-able region*/
    
12. }

复制代码

然后在GTZC中配置MPCBB1：

▲ 图 6 GTZC下MPCBB1配置

在MPCBB1中将192KB的SRAM1配置为全部安全。
然后生成测试工程。
为了让测试代码跟boot工程保护一致，我们也让测试工程从0x0C006000，见之前ld文件中FLASH的定义范围。
还需要在修改向量偏移位置到0x6000处：
#define VECT_TAB_OFFSET  0x00006000UL
然后在main函数处增加测试代码：

1. void HAL_UART_TxCpltCallback(UART_HandleTypeDef *huart)
   
2. {
   
3. txPendingFlag =0;
   
4. }
   
5. int main(void)
   
6. {
   
7. //…
   
8. while (1)
   
9. {  
   
10. if(txPendingFlag==0)
    
11.    {
    
12.     txPendingFlag =1;
    
13. HAL_UART_Transmit_DMA(&hlpuart1, (uint8_t *)aTxBuffer, sizeof(aTxBuffer));
    
14.    }   
    
15.   HAL_Delay(100);
    
16. }
    
17. //…
    
18. }

复制代码

让主函数周期性地从串口发送数据。为了让程序正常运行，需要使用STM32CubeProgrammer修改MCU从0x0C00 6000地址启动(主要为了与SBSFU_Boot保持一致):

▲ 图7 让MCU从0x0C00 6000地址启动

编译并烧录程序，并让程序运行起来后，使用示波器测量PA2引脚的波形，结果一切正常。
于是接下来移植到SBSFU_Boot工程。
由于在测试工程中已经测试OK，按理说，移植到boot工程后，带DMA的串口也应该发送正常。但实际测试却是跟客户所描述一样，发送内容全为0！
问题出在哪里？
仔细对比两者的差别，发现测试工程是有配置GTZC。MPCBB1的，对应SRAM1，但是Boot工程，它使用的是SRAM2，代码并没有配置MPCBB2，其初始化函数：

1. static void  gtzc_init_cfg(void)
   
2. {
   
3. __HAL_RCC_GTZC1_CLK_ENABLE();
   
4. #ifdef TFM_ERROR_HANDLER_NON_SECURE
   
5. /*  unsecure only one block in SRAM1 */
   
6. GTZC_MPCBB1_S->SECCFGR[0] = 0xfffffffe;
   
7. #endif
   
8. /*  TFM_ERROR_HANDLER_NON_SECURE */
   
9. }

复制代码

在宏TFM_ERROR_HANDLE_NON_SECURE打开的情况下也只会配置MPCBB1，并没有配置MPCBB2。因此，SRAM的安全及特权属性应该是保留为默认属性，那么其默认属性是怎么定义的呢？
在参考手册RM0456 Rev 4第5.4.6节中，我们找到如下内容：

▲ 图 8 SRAM的默认属性定义

这说明，在默认情况下(TZEN)，SRAM2的默认属性是Secure+Privieged的。之前在测试代码对应的STM32CubeMx配置中，我们配置了通道，目标及源为安全属性，但并没有配置其特权属性。在CubeMx中其默认为非特权，见之前的图5所示。也就是说，我们需要将通道也配置成特权属性，于是直接修改代码：

1. //…
   
2. __HAL_LINKDMA(huart, hdmarx, handle_GPDMA1_Channel1);
   
3. if (HAL_DMA_ConfigChannelAttributes(&handle_GPDMA1_Channel1,
   
4. DMA_CHANNEL_PRIV|DMA_CHANNEL_SEC|DMA_CHANNEL_SRC_SEC|DMA_CHANNEL_DEST_S
   
5. EC) != HAL_OK)
   
6. {
   
7. Error_Handler();
   
8. }
   
9. //…
   
10. __HAL_LINKDMA(huart, hdmatx, handle_GPDMA1_Channel0);
    
11. if (HAL_DMA_ConfigChannelAttributes(&handle_GPDMA1_Channel0,
    
12. DMA_CHANNEL_PRIV|DMA_CHANNEL_SEC|DMA_CHANNEL_SRC_SEC|DMA_CHANNEL_DEST_S
    
13. EC) != HAL_OK)
    
14. {
    
15. Error_Handler();
    
16. }
    
17. //…

复制代码

如上代码所示，在代码中配置DMA通道处(红色标记处)，将其改为配置特权属性。然后编译后再次测试，这次则能正常发送数据了：

▲ 图 9 串口正常发送数据

03
小结
在trustzone使能的情况下，MCU内的资源，若代码中没有显式设置的情况下，要注意其默认状态，内部flash，SRAM，片外存储映射区域以及GPIO引脚均为安全的，且特权，Securable外设基本都是非安全的,在STM32U5安全培训的一页PPT中有做总结，如下图所示：

本文所描述的问题，正是由于MPCBB2(Boot工程对应的RAM)没有配置，其默认为Secure+Prileged属性，但DMA默认属性为NonSecre+NonPrileged。代码中只配置DMA通道为Secure属性，并没有配置其为Prileged，因此导致其访问SRAM2时失败，这也就是为什么发送内容全为0的原因了。这也提醒我们，在开发trustzone相关的项目时，对各个资源的安全属性配置一定要小心。