Vigilante de carro

Use o watchdog do carro para ajudar a depurar o VHAL. O cão de guarda do carro monitora a saúde – e elimina – processos prejudiciais. Para que um processo seja monitorado pelo car watchdog, o processo deve ser registrado no car watchdog. Quando o car watchdog elimina processos não saudáveis, o car watchdog grava o status dos processos em data/anr como acontece com outros dumps de aplicativo que não responde (ANR). Isso facilita o processo de depuração.

Este artigo descreve como os HALs e serviços do fornecedor podem registrar um processo no watchdog do carro.

Fornecedor HAL

Normalmente, o fornecedor HAL usa um pool de threads para hwbinder . No entanto, o cliente car watchdog se comunica com o daemon car watchdog por meio de binder , que difere de hwbinder . Portanto, outro conjunto de encadeamentos para binder está em uso.

Especifique o auxílio do watchdog do carro no makefile

  1. Incluir carwatchdog_aidl_interface-ndk_platform em shared_libs :

    Android.bp :

    cc_defaults {
        name: "vhal_v2_0_defaults",
        shared_libs: [
            "libbinder_ndk",
            "libhidlbase",
            "liblog",
            "libutils",
            "android.hardware.automotive.vehicle@2.0",
            "carwatchdog_aidl_interface-ndk_platform",
        ],
        cflags: [
            "-Wall",
            "-Wextra",
            "-Werror",
        ],
    }
    

Adicione uma política SELinux

  1. Permita que system_server elimine seu HAL. Se você não possui system_server.te , crie um. É altamente recomendável adicionar uma política SELinux a cada dispositivo.
  2. Permita que o HAL do fornecedor use o fichário ( macro binder_use ) e adicione o HAL do fornecedor ao domínio do cliente carwatchdog ( macro carwatchdog_client_domain ). Veja o código abaixo para systemserver.te e vehicle_default.te :

    system_server.te

    # Allow system_server to kill vehicle HAL
    allow system_server hal_vehicle_server:process sigkill;
    

    hal_vehicle_default.te

    # Configuration for register VHAL to car watchdog
    carwatchdog_client_domain(hal_vehicle_default)
    binder_use(hal_vehicle_default)
    

Implemente uma classe cliente herdando BnCarWatchdogClient

  1. Em checkIfAlive , execute a verificação de integridade. Por exemplo, poste no manipulador de loop de thread. Se estiver íntegro, chame ICarWatchdog::tellClientAlive . Veja o código abaixo para WatchogClient.h e WatchogClient.cpp :

    WatchogClient.h

    class WatchdogClient : public aidl::android::automotive::watchdog::BnCarWatchdogClient {
      public:
        explicit WatchdogClient(const ::android::sp<::android::Looper>& handlerLooper, VehicleHalManager* vhalManager);
    
    ndk::ScopedAStatus checkIfAlive(int32_t sessionId, aidl::android::automotive::watchdog::TimeoutLength timeout) override; ndk::ScopedAStatus prepareProcessTermination() override; };

    WatchogClient.cpp

    ndk::ScopedAStatus WatchdogClient::checkIfAlive(int32_t sessionId, TimeoutLength /*timeout*/) {
        // Implement or call your health check logic here
        return ndk::ScopedAStatus::ok();
    }
    

Inicie o encadeamento do fichário e registre o cliente

  1. Crie um conjunto de encadeamentos para comunicação do binder. Se o fornecedor HAL usar o hwbinder para sua própria finalidade, você deverá criar outro conjunto de encadeamentos para comunicação do fichário do watchdog do carro).
  2. Procure o daemon com o nome e chame ICarWatchdog::registerClient . O nome da interface do daemon do watchdog do carro é android.automotive.watchdog.ICarWatchdog/default .
  3. Com base na capacidade de resposta do serviço, selecione um dos três tipos de tempo limite a seguir suportados pelo watchdog do carro e, em seguida, passe o tempo limite na chamada para ICarWatchdog::registerClient :
    • crítico (3s)
    • moderado (5s)
    • normal(10s)
    Veja o código abaixo para VehicleService.cpp e WatchogClient.cpp :

    Serviço de veículo.cpp

    int main(int /* argc */, char* /* argv */ []) {
        // Set up thread pool for hwbinder
        configureRpcThreadpool(4, false /* callerWillJoin */);
    
        ALOGI("Registering as service...");
        status_t status = service->registerAsService();
    
        if (status != OK) {
            ALOGE("Unable to register vehicle service (%d)", status);
            return 1;
        }
    
        // Setup a binder thread pool to be a car watchdog client.
        ABinderProcess_setThreadPoolMaxThreadCount(1);
        ABinderProcess_startThreadPool();
        sp<Looper> looper(Looper::prepare(0 /* opts */));
        std::shared_ptr<WatchdogClient> watchdogClient =
                ndk::SharedRefBase::make<WatchdogClient>(looper, service.get());
        // The current health check is done in the main thread, so it falls short of capturing the real
        // situation. Checking through HAL binder thread should be considered.
        if (!watchdogClient->initialize()) {
            ALOGE("Failed to initialize car watchdog client");
            return 1;
        }
        ALOGI("Ready");
        while (true) {
            looper->pollAll(-1 /* timeoutMillis */);
        }
    
        return 1;
    }
    

    WatchogClient.cpp

    bool WatchdogClient::initialize() {
        ndk::SpAIBinder binder(AServiceManager_getService("android.automotive.watchdog.ICarWatchdog/default"));
        if (binder.get() == nullptr) {
            ALOGE("Failed to get carwatchdog daemon");
            return false;
        }
        std::shared_ptr<ICarWatchdog> server = ICarWatchdog::fromBinder(binder);
        if (server == nullptr) {
            ALOGE("Failed to connect to carwatchdog daemon");
            return false;
        }
        mWatchdogServer = server;
    
        binder = this->asBinder();
        if (binder.get() == nullptr) {
            ALOGE("Failed to get car watchdog client binder object");
            return false;
        }
        std::shared_ptr<ICarWatchdogClient> client = ICarWatchdogClient::fromBinder(binder);
        if (client == nullptr) {
            ALOGE("Failed to get ICarWatchdogClient from binder");
            return false;
        }
        mTestClient = client;
        mWatchdogServer->registerClient(client, TimeoutLength::TIMEOUT_NORMAL);
        ALOGI("Successfully registered the client to car watchdog server");
        return true;
    }
    

Serviços de fornecedor (nativo)

Especifique o makefile aidl do watchdog do carro

  1. Incluir carwatchdog_aidl_interface-ndk_platform em shared_libs .

    Android.bp

    cc_binary {
        name: "sample_native_client",
        srcs: [
            "src/*.cpp"
        ],
        shared_libs: [
            "carwatchdog_aidl_interface-ndk_platform",
            "libbinder_ndk",
        ],
        vendor: true,
    }
    

Adicione uma política SELinux

  1. Para adicionar uma política SELinux, permita que o domínio de serviço do fornecedor use o fichário ( macro binder_use ) e adicione o domínio de serviço do fornecedor ao domínio do cliente carwatchdog ( macro carwatchdog_client_domain ). Veja o código abaixo para sample_client.te e file_contexts :

    sample_client.te

    type sample_client, domain;
    type sample_client_exec, exec_type, file_type, vendor_file_type;
    
    carwatchdog_client_domain(sample_client)
    
    init_daemon_domain(sample_client)
    binder_use(sample_client)
    

    contextos_de_arquivo

    /vendor/bin/sample_native_client  u:object_r:sample_client_exec:s0
    

Implemente uma classe cliente herdando BnCarWatchdogClient

  1. Em checkIfAlive , execute uma verificação de integridade. Uma opção é postar no manipulador de loop de thread. Se estiver íntegro, chame ICarWatchdog::tellClientAlive . Veja o código abaixo para SampleNativeClient.h e SampleNativeClient.cpp :

    ExemploNativeClient.h

    class SampleNativeClient : public BnCarWatchdogClient {
    public:
        ndk::ScopedAStatus checkIfAlive(int32_t sessionId, TimeoutLength
            timeout) override;
        ndk::ScopedAStatus prepareProcessTermination() override;
        void initialize();
    
    private:
        void respondToDaemon();
    private:
        ::android::sp<::android::Looper> mHandlerLooper;
        std::shared_ptr<ICarWatchdog> mWatchdogServer;
        std::shared_ptr<ICarWatchdogClient> mClient;
        int32_t mSessionId;
    };
    

    ExemploNativeClient.cpp

    ndk::ScopedAStatus WatchdogClient::checkIfAlive(int32_t sessionId, TimeoutLength timeout) {
        mHandlerLooper->removeMessages(mMessageHandler,
            WHAT_CHECK_ALIVE);
        mSessionId = sessionId;
        mHandlerLooper->sendMessage(mMessageHandler,
            Message(WHAT_CHECK_ALIVE));
        return ndk::ScopedAStatus::ok();
    }
    // WHAT_CHECK_ALIVE triggers respondToDaemon from thread handler
    void WatchdogClient::respondToDaemon() {
      // your health checking method here
      ndk::ScopedAStatus status = mWatchdogServer->tellClientAlive(mClient,
            mSessionId);
    }
    

Inicie um encadeamento de fichário e registre o cliente

O nome da interface do daemon do watchdog do carro é android.automotive.watchdog.ICarWatchdog/default .

  1. Procure o daemon com o nome e chame ICarWatchdog::registerClient . Veja o código abaixo para main.cpp e SampleNativeClient.cpp :

    principal.cpp

    int main(int argc, char** argv) {
        sp<Looper> looper(Looper::prepare(/*opts=*/0));
    
        ABinderProcess_setThreadPoolMaxThreadCount(1);
        ABinderProcess_startThreadPool();
        std::shared_ptr<SampleNativeClient> client =
            ndk::SharedRefBase::make<SampleNatvieClient>(looper);
    
        // The client is registered in initialize()
        client->initialize();
        ...
    }
    

    ExemploNativeClient.cpp

    void SampleNativeClient::initialize() {
        ndk::SpAIBinder binder(AServiceManager_getService(
            "android.automotive.watchdog.ICarWatchdog/default"));
        std::shared_ptr<ICarWatchdog> server =
            ICarWatchdog::fromBinder(binder);
        mWatchdogServer = server;
        ndk::SpAIBinder binder = this->asBinder();
        std::shared_ptr<ICarWatchdogClient> client =
            ICarWatchdogClient::fromBinder(binder)
        mClient = client;
        server->registerClient(client, TimeoutLength::TIMEOUT_NORMAL);
    }
    

Serviços de fornecedor (Android)

Implemente um cliente herdando CarWatchdogClientCallback

  1. Edite o novo arquivo da seguinte forma:
    private final CarWatchdogClientCallback mClientCallback = new CarWatchdogClientCallback() {
        @Override
        public boolean onCheckHealthStatus(int sessionId, int timeout) {
            // Your health check logic here
            // Returning true implies the client is healthy
            // If false is returned, the client should call
            // CarWatchdogManager.tellClientAlive after health check is
            // completed
        }
    
        @Override
        public void onPrepareProcessTermination() {}
    };
    

Cadastre o cliente

  1. Chame CarWatchdogManager.registerClient() :
    private void startClient() {
        CarWatchdogManager manager =
            (CarWatchdogManager) car.getCarManager(
            Car.CAR_WATCHDOG_SERVICE);
        // Choose a proper executor according to your health check method
        ExecutorService executor = Executors.newFixedThreadPool(1);
        manager.registerClient(executor, mClientCallback,
            CarWatchdogManager.TIMEOUT_NORMAL);
    }
    

Cancelar registro do cliente

  1. Chame CarWatchdogManager.unregisterClient() quando o serviço for concluído:
    private void finishClient() {
        CarWatchdogManager manager =
            (CarWatchdogManager) car.getCarManager(
            Car.CAR_WATCHDOG_SERVICE);
        manager.unregisterClient(mClientCallback);
    }
    

Detectar processos encerrados pelo watchdog do carro

O watchdog do carro descarrega/elimina processos (HAL do fornecedor, serviços nativos do fornecedor, serviços Android do fornecedor) que são registrados no watchdog do carro quando estão travados e sem resposta. Esse dumping é detectado verificando logcats. O car watchdog gera um log carwatchdog killed process_name (pid:process_id) quando um processo problemático é descartado ou eliminado. Portanto:

$ adb logcat -s CarServiceHelper | fgrep "carwatchdog killed"

Os logs relevantes são capturados. Por exemplo, se o aplicativo KitchenSink (um cliente de monitoramento de carro) travar, uma linha como a abaixo será gravada no log:

05-01 09:50:19.683   578  5777 W CarServiceHelper: carwatchdog killed com.google.android.car.kitchensink (pid: 5574)

Para determinar por que ou onde o aplicativo KitchenSink travou, use o dump do processo armazenado em /data/anr da mesma forma que usaria casos de Activity ANR.

$ adb root
$ adb shell grep -Hn "pid process_pid" /data/anr/*

O exemplo de saída a seguir é específico do aplicativo KitchenSink:

$ adb shell su root grep -Hn "pid 5574" /data/anr/*.
/data/anr/anr_2020-05-01-09-50-18-290:3:----- pid 5574 at 2020-05-01 09:50:18 -----
/data/anr/anr_2020-05-01-09-50-18-290:285:----- Waiting Channels: pid 5574 at 2020-05-01 09:50:18 -----

Encontre o arquivo de despejo (por exemplo, /data/anr/anr_2020-05-01-09-50-18-290 no exemplo acima) e inicie sua análise.