设备驱动程序：连接软件与硬件的桥梁

设备驱动程序是任何计算系统中最关键却又常被忽视的组件之一。它充当着至关重要的中介，将操作系统的抽象命令转换为物理硬件的具体动作。这种处于软件与硬件边界的独特定位，使得驱动程序成为整个系统的缩影，需要应对性能、并发、安全和可靠性等挑战。然而，这种复杂性常常使其蒙上一层神秘的面纱。本文旨在揭开这层面纱，提供对设备驱动程序是什么以及它为何重要的深入架构理解。我们将首先探讨其核心的​​原理与机制​​，审视驱动程序在系统中的位置，它们如何通过 DMA 和中断来使用芯片的语言，以及它们如何扮演系统完整性的守护者。随后，在​​应用与跨学科联系​​一章中，我们将揭示这些基础概念如何支撑着从系统启动过程、虚拟化到资源安全，乃至未来的量子计算接口等一切事物。读完本文，您将对设备驱动程序在我们数字世界中的深远作用有一个全面的认识。

设备驱动程序是计算机中最引人入胜的软件之一。它集外交官、翻译员和守护者于一身。它存在于一个非凡的位置，恰好在两个截然不同的世界之间：干净、抽象的软件世界与混乱、物理的硬件世界。一边是操作系统发出简单、逻辑化的请求，如“从此文件中读取 100 字节”。另一边则是一块只理解特定电信号序列、寄存器写入和内存地址的硅片。驱动程序的工作就是跨越这道鸿沟，将抽象转化为具体，再将具体转化回抽象。

要真正理解设备驱动程序，我们必须首先问：它存在于何处？这个问题的答案是操作系统设计中的一大哲学争论。驱动程序是应该位于​​内核​​——操作系统的核心——受保护的内部圣殿中？还是应该被推到权限较低的​​用户空间​​，即应用程序所在之处？

传统的​​宏内核​​就像一个繁华、包罗万象的城市。所有东西——文件系统、网络协议栈以及所有设备驱动程序——都共同存在于一个庞大的特权地址空间（在许多架构上是 ring $0$）中。这样做效率很高。从文件系统到磁盘驱动程序的调用只是一个函数调用，速度极快。但这样做也很危险。一个行为不当的驱动程序，就像市中心的醉酒司机，可能会导致整个系统崩溃。

与此形成鲜明对比的是，​​微内核​​更像一个极简主义的联邦政府。内核本身只做成为一个操作系统所必需的最少量工作：管理内存、调度线程以及处理不同程序间的通信。其他所有东西——包括设备驱动程序——都被下放到用户空间，作为独立的进程运行。这种方式非常鲁棒。如果一个网络驱动程序崩溃了，那只是一个进程的死亡；系统的其余部分，包括内核，会继续运行。这种安全性的代价是性能。每当应用程序需要与网卡通信时，它必须通过内核向驱动程序进程发送消息并等待回复，这个过程远比一个简单的函数调用要慢。

这种架构选择对驱动程序的构建方式有着深远的影响。一个运行在宏内核 ring $0$ 的驱动程序拥有巨大的权力。它通常可以执行任何指令，包括那些直接操作 I/O 端口或在全系统范围内禁用中断的指令。而用户空间驱动程序则运行在较低的权限级别（如 ring $3$）。它是一个公民，而非国王。为了让它能与硬件通信，微内核必须明确授予其权限。这可以通过巧妙地利用硬件特性来实现，例如 x86 处理器上的​​I/O 权限级别（IOPL）​​和​​任务状态段（TSS）I/O 权限位图​​，这些特性允许内核授予特定用户空间进程访问特定 I/O 端口的权限，而非其他端口。用户空间驱动程序受到约束，其权力被警惕的内核仔细地加以限制。

无论位于何处，驱动程序都必须使用其硬件的母语。这种对话主要包含三个部分：找到设备、控制它，以及与之进行数据传输。

首先，驱动程序如何在计算机浩瀚的硬件海洋中找到它的设备？它不能想当然地认为设备位于一个固定的地址。想象一下，你正在为一款网络控制器编写一个单一的、可移植的驱动程序，而这款控制器会用在两种截然不同的产品中：基于 x86 的台式机和基于 ARM 的嵌入式系统。这两个平台使用完全不同的机制来描述它们的硬件。台式机使用 ​​ACPI（高级配置与电源接口）​​，其中固件提供了一个复杂的对象和方法数据库。驱动程序必须通过匹配像 "VND1234" 这样的​​硬件标识符（HID）​​来找到它的设备。而嵌入式系统使用​​设备树（DT）​​，一种更简单、静态地描述硬件的数据结构。在这里，驱动程序通过匹配像 "vendor,netctrl" 这样的“兼容性”字符串来找到它的设备。一个设计良好的驱动程序的美妙之处在于，它本身并不进行这种解析。它只是注册它支持的标识符——无论是 ACPI 还是 DT 的——并依赖操作系统的总线子系统来完成解析固件表并将匹配的设备对象交给它的繁重工作。这是一个绝佳的抽象范例；驱动程序编写者专注于控制设备，而不是平台特定固件的繁琐细节。

一旦找到设备，驱动程序就需要控制它。这通常通过​​内存映射 I/O（MMIO）​​来完成，其中设备的控制寄存器看起来就像内存中的位置。向一个特定的内存地址写入一个值，就等同于向设备发送一个命令。

但最关键的任务是数据传输。让主 CPU 逐字节地复制大量数据是极其低效的。解决方案是一种名为​​直接内存访问（DMA）​​的优美机制。驱动程序告诉设备：“这里是内存中的一个数据块。请将其发送出去”（对于网卡）或“请用来自磁盘的数据填充这个内存块”（对于存储控制器）。然后，驱动程序用内存缓冲区的物理地址对设备进行编程，设备直接与主内存进行数据传输，无需 CPU 的进一步介入。这使得 CPU 可以解放出来做其他有用的工作。无论我们讨论的是磁盘 I/O 路径还是网络 I/O 路径，这一原则都是通用的。现代设备甚至支持​​分散-聚集 DMA​​，驱动程序可以提供一个物理上不连续的内存块列表，让设备将它们视为一个单一的、连续的数据流。

驱动程序与其设备之间的对话是双向的。在驱动程序通过 DMA 向设备发出命令后，它如何知道任务何时完成？当然，它可以不断地问：“你完成了吗？你完成了吗？”这被称为​​轮询​​，虽然简单，但极度浪费 CPU 时间。

更优雅的解决方案是​​中断​​。当设备完成其任务时，它会向 CPU 发送一个信号——一个中断。CPU 会立即停止当前的工作，保存其状态，并跳转到驱动程序提供的一个特殊函数：​​中断服务例程（ISR）​​。

现在，我们遇到了一个需要精妙平衡的问题。当 ISR 运行时，系统通常处于部分“冻结”状态。至少，来自同一设备的中断会被阻塞，在某些系统上，所有中断都可能被禁用。如果 ISR 耗时过长，其他设备就无法获得 CPU 的关注，整个系统可能会感觉迟钝或无响应。

考虑一个网络驱动程序，当一批数据包到达时它会收到一个中断。它有一系列任务要执行：确认中断、读取状态寄存器、将数据包复制到内核内存，并准备设备以接收更多数据包。数据包复制是迄今为止最耗时的任务。如果驱动程序试图在 ISR 中完成所有工作，大量突发的数据包可能会导致它长时间独占 CPU，违反了操作系统的“响应性预算”。

解决方案是一种被称为​​上半部/下半部​​划分的优美分工。

• ​​上半部​​是 ISR 本身。它只做最少量、时间紧迫的工作：通常是确认中断以使硬件安静下来，并调度其余工作稍后完成。它必须尽可能快。

• ​​下半部​​（或​​延迟过程​​）在稍后、中断开启的情况下，在更宽松的上下文中运行。它负责繁重的工作，比如复制数据包并将其向上传递给网络协议栈。

这种划分确保了系统在高效处理 I/O 的同时，仍能对其他事件保持响应。这是几乎所有高性能驱动程序中都能看到的一个基本模式。

驱动程序并非独角戏；它是一个团队的重要成员，与操作系统的其他子系统深度集成。一个 I/O 请求的完整旅程揭示了这种协作。当你的网页浏览器想要从磁盘读取一个文件时，它会进行一个单一的 read() ​​系统调用​​。这个请求在 I/O 栈中开始了一段漫长的旅程。

首先，​​文件系统层​​将文件和偏移量转换为存储设备上的逻辑块号。然后，​​块 I/O 层​​可能会调度这个请求，或许会将其与附近的其他请求合并以提高效率。最后，它将请求传递给​​设备驱动程序​​。驱动程序将这个逻辑请求转换为其硬件能理解的特定命令，设置 DMA 传输，并启动它。请求现在处于“飞行”状态。当设备的中断信号表示完成时，通知会沿着栈一路向上传递：从驱动程序的 ISR，到块层，到文件系统，最后，数据被复制到浏览器的缓冲区，系统调用返回。一个命中​​页面缓存​​——磁盘内容的内存缓存——的磁盘读取是一个美妙的例外。它完全在软件中完成，内核只是将数据从内存的一个部分复制到另一部分，完全不打扰驱动程序或物理设备。

驱动程序与​​内存管理子系统​​之间的关系可能更为深刻。一些驱动程序不使用 read() 和 write() 调用，而是允许用户进程将设备的硬件缓冲区直接​​内存映射​​到其自身的地址空间中。当进程第一次尝试从这个内存区域读取时，那里还没有物理内存！这会触发一个​​页错误​​。内核的页错误处理程序看到这个内存区域属于一个特殊设备，便不会分配普通 RAM。取而代之，它将错误委托给设备驱动程序。然后驱动程序做了一件了不起的事：它将设备的物理硬件缓冲区直接映射到进程的页表中。现在，进程可以像读写普通 RAM 一样读写那块内存，但实际上，它是在直接与硬件通信。这项强大的技术，位于内存管理和设备 I/O 的交叉点，是高性能图形和视频处理的基础。

教科书中干净的世界常常假设硬件完美工作。现实世界则要混乱得多。设备会挂起，固件有 bug，而作为第一道防线的驱动程序必须做好准备。

如果驱动程序向存储设备发送命令后，完成中断就是丢失了，会发生什么？也许是驱动程序错误配置了中断控制器，或者是有硬件故障。内核不能永远等待。一个鲁棒的 I/O 子系统有一个​​看门狗计时器​​。当块层向驱动程序发送请求时，它会启动一个倒计时。如果在完成中断到达之前计时器到期，内核会做最坏的打算。它会触发一个恢复路径：停止发送新请求，尝试重置设备控制器，然后重新发出超时的请求。这种超时与恢复的协作对于构建一个在面对硬件故障时不会挂起的系统至关重要。

驱动程序还必须应对固件 bug。想象一个网卡，其固件声称支持 $64$ 个中断向量，但实际上硬件只有 $32$ 个的空间。如果驱动程序相信了固件并试图使用超过 $32$ 个，它将写入无效内存，导致神秘的系统崩溃。一个精心设计的驱动程序包含一个“怪癖”表——一个已知有问题的硬件数据库，通过供应商、型号和固件版本来识别。在初始化期间，驱动程序检查其设备是否在此列表上。如果找到匹配项，它会应用一个特定的变通方法，例如将中断向量的数量限制在 $32$ 个，实际上是对自己撒谎以弥补硬件的谎言。这种数据驱动的方法将变通方案与主驱动逻辑清晰地隔离开来，使驱动程序能够在各种良好和有 bug 的硬件上正确运行。

因为设备驱动程序在如此低的层次上运行，它拥有巨大的权力，使其成为系统安全的关键部分。一个有 bug 或恶意的驱动程序可以危及整个内核。我们如何驯服这种权力？

一种方法，如我们所见，是微内核架构，它将驱动程序限制在权限较低的用户空间沙箱中。但即使在宏内核内部，我们也可以建墙。实现这一点的关键硬件是​​输入-输出内存管理单元（IOMMU）​​。IOMMU 位于设备和主内存之间，其作用就像 CPU 的 MMU：它转换地址。当驱动程序想要发起 DMA 传输时，它不给设备一个物理内存地址。相反，它给它一个 I/O 虚拟地址。控制 IOMMU 的内核会对其进行编程，只允许从该 I/O 虚拟地址到为该 DMA 指定的特定物理内存缓冲区的转换。这可以防止一个有 bug 的驱动程序意外（或恶意）地编程 DMA 来覆盖内存的其他部分，例如内核自己的代码。IOMMU 是 DMA 的一道防火墙。

我们可以通过采用正式的​​对象-能力规程​​来更进一步。在这样的系统中，执行一个动作的权利不是基于环境权限（“你是谁”），而是基于拥有一个不可伪造的令牌，即​​能力​​（“你拥有什么”）。要执行 DMA，驱动程序必须向内核出示两种能力：一种（$c_d$）证明其对设备的权威，另一种（$c_f$）指定一个具有特定权限（例如，仅 DMA_read）的特定内存窗口。内核只需验证这些能力并相应地编程 IOMMU。这种优雅的设计消除了一整类被称为“糊涂的代理人”（confused deputy）问题的漏洞，即一个特权组件被欺骗滥用其权限。它严格执行​​最小权限原则​​，确保每个组件，包括一个强大的设备驱动程序，都只拥有完成其工作所需的最低限度的权限。

从一个简单的翻译器到一个复杂的守护者，设备驱动程序是整个操作系统的缩影。它需要处理架构、性能、并发性、可靠性和安全性等问题。理解设备驱动程序，就是理解软件如何指挥物理世界的核心。

窥探了设备驱动程序错综复杂的机制后，人们可能会倾向于将其归为一个利基话题，一个复杂但自成体系的计算谜题的一部分。这大错特错。我们所揭示的原理并不仅限于一个盒子里；它们回响在系统的每一层，从它闪烁生命之光的那一刻，到物理学遥远的前沿。设备驱动程序不仅仅是一个翻译者；它是一个编舞者、一个守护者、一个侦探和一个先驱。要领会其真正的角色，就需要看到那张将我们的数字世界维系在一起的美丽、相互关联的思想之网。

想象一台计算机正在启动。这是一个充满无限可能，却也极度无知的时刻。处理器苏醒了，但它对世界一无所知。它看不到存储着它的记忆——操作系统——的磁盘。这是驱动程序的第一个，也是最英勇的行为。在操作系统的宏大剧场甚至还未开门之前，一小队临时的驱动程序，被打包在一个微小的内存文件系统（即 [initramfs](/sciencepedia/feynman/keyword/initramfs)）中，必须与时间展开一场疯狂的赛跑。

思考一下在现代机器上寻找根文件系统的过程。这并非简单地查看一个地方。驱动程序必须首先学会主板总线的语言，然后找到一个存储控制器，接着可能需要将几个物理磁盘组装成一个单一的冗余阵列（RAID）。这个阵列之后可能成为一个更灵活的逻辑卷（LVM）的构建块，而这个逻辑卷又可能被加密，需要另一个驱动程序用正确的密钥来解锁它。只有在这个精心设计的、多层次的技术“栈”被构建起来，每个驱动程序都按完美顺序添加其部分之后，最终的文件系统驱动程序才能介入并说：“啊哈！这就是我们世界的根！”。这个启动序列是依赖管理和关键路径优化的杰作，所有这一切都由少数在黑暗中工作的驱动程序精心策划。

当系统不是在疯狂赛跑，而是在休息时，又会发生什么？在这里，驱动程序同样是一个沉默的守护者。当你合上笔记本电脑的盖子时，操作系统并不仅仅是关闭所有东西。它会要求每个设备驱动程序执行一段精巧的舞蹈，引导其硬件进入低功耗睡眠状态。对于一个复杂的网卡来说，这并非一个简单的“关闭”开关。驱动程序必须首先停止网络流量，命令其硬件停止所有独立的内存访问（DMA），并耐心等待确认硬件真正进入静默状态。只有到那时，它才会小心地将设备的“状态”——它的配置、网络地址、操作设置——保存到系统内存中，因为设备本身在其深度睡眠状态（$D_3$）中很快就会失忆。最后，它向硬件发出断电命令。唤醒时，驱动程序必须以完美的精度反向执行整个芭蕾舞：恢复供电，等待设备稳定，重新启用其总线访问，小心地将保存的上下文写回硬件寄存器，然后才宣布设备准备就绪。这个序列中的任何一个失误都可能导致系统崩溃、数据损坏或设备干脆拒绝唤醒。这就是驱动程序作为生命周期管理者的角色，一个能量和状态的保管人。

驱动程序与其硬件之间的对话是极其精确的。硬件不会用雄辩的句子说话；它用中断线上的电脉冲来表明其需求。误解其中一个信号可能导致令人费解的全系统问题，感觉就像机器中的幽灵。

想象一个场景，一个网卡在成功发送一个数据包后，开始疯狂地寻求关注。它断言（assert）其中断线，CPU 尽职地停下一切来运行驱动程序的中断服务例程（ISR）。驱动程序看到任务已完成，安排稍后进行最终清理，并告知中断控制器它已处理该事件。但一微秒后，中断再次触发。然后又一次。又一次，每秒数千次，造成一场“中断风暴”，完全消耗了 CPU，使所有其他程序都无法运行，导致系统变得迟钝和无响应 [@problem_D:3648066]。

发生了什么？驱动程序的程序员犯了一个微妙但关键的错误。硬件正在使用电平触发中断，这意味着只要引起中断的条件仍然存在，它就会一直保持中断线断言——一直“大喊大叫”。然而，程序员编写驱动程序时，却把它当作是*边沿触发中断（一次“轻拍肩膀”）。驱动程序的 ISR 记下了事件，但未能清除硬件中表示“我有一个完成情况要报告！”的状态位。所以，硬件遵循自己的规则，继续大喊。CPU 确认了这次呼喊，但因为噪声的源头从未被平息，中断控制器立即再次报告它。一旦谜团解开，解决方案很简单：ISR 本身必须写入设备以清除状态位，在告诉 CPU 它完成之前先让硬件安静下来*。这个侦探故事揭示了一个深刻的真理：设备驱动程序不仅仅是代码，它是一个契约的体现，是对一个硬件独特“个性”的深刻而字面的理解。

虽然一些驱动程序管理单个硬件，但其他驱动程序则是更宏伟的软件构造的基石。它们为构建全新的现实提供了基础。

考虑像 Btrfs 或 ZFS 这样的现代文件系统。它们不仅仅看到单个磁盘；它们看到一个存储设备池。它们充当一种“元驱动程序”，为了速度将数据条带化到多个磁盘上，为了安全而复制元数据。如果池中的一个物理磁盘突然发生故障，世界并不会终结。文件系统会自行检测到故障。它会查询自己的冗余记录，在健康的磁盘上找到任何丢失元数据的幸存副本，并使用“写时复制”策略在一个新位置重建丢失的信息。它平静地自我修复，通常无需任何管理员干预。这种弹性不是魔法；它是直接构建在文件系统层中的一种更高阶的智能，而文件系统层又反过来协调其下更简单的块设备驱动程序。

这种分层和编排的概念在虚拟化中达到了顶峰。当你运行一个虚拟机（VM）时，你正在运行一个完整的、模拟的计算机。但是那个模拟的机器如何与真实的硬件，比如物理网卡，进行通信呢？设备驱动程序在系统架构中的位置成为一个对性能和安全都有深远影响的决策。

在一种模型（第二类虚拟机监控程序）中，驱动程序存在于主要的“宿主”操作系统中，VM 请求宿主为其执行 I/O。这很简单，但整个宿主操作系统都成为了可信计算基（TCB）的一部分——任何宿主驱动程序中的一个 bug 都可能导致整个系统崩溃。一个更复杂的模型（第一类虚拟机监控程序）将虚拟机监控程序缩减到一个最小的核心，并将设备驱动程序移动到一个特殊的、隔离的 VM 中，称为“驱动域”。现在，驱动程序崩溃被限制在该域内；它不会拖垮虚拟机监控程序或其他 VM。这提高了隔离性，但代价是性能，因为每个 I/O 请求现在都必须跨越多个边界：从客户 VM 到虚拟机监控程序，再到驱动域，然后返回。为了弥补这种性能损失，一种新型的“开明”驱动程序应运而生：半虚拟化驱动程序。在客户机内部，一个 [virtio](/sciencepedia/feynman/keyword/virtio) 驱动程序知道它在一个虚拟世界中。在启动期间，它扫描模拟的 PCI 总线。它可能会看到一个旧的、完全模拟的网卡，但它也会寻找一个特殊的签名——一个表示“我是一个高速半虚拟化接口！”的供应商 ID。当它找到这个时，它会与之绑定，打开一个直接且高效的与虚拟机监控程序的通信通道，完全绕过了缓慢、笨拙的模拟路径。

随着我们的系统变得更加互联和多租户，驱动程序作为守护者的角色变得至关重要。硬件接口即权力接口，而权力若处理不当，便是安全风险。

在类 Unix 系统中，设备在 /dev 目录中被表示为文件。这种优雅的抽象，然而，也可能成为一种武器。想象一个共享服务器，一个恶意用户创建了一个归档文件。其中深藏着一个条目，当被一个特权维护脚本解压时，会在一个共享目录中创建一个设备文件。这不是一个普通文件；它是一个指针，一个门户。它可能拥有对应于原始系统磁盘的主设备号和次设备号。如果那个特权的“糊涂代理人”脚本稍后尝试打开这个文件，它不是在读取数据；它是在打开一个通往磁盘驱动程序的直接通道，可能获得覆盖整个操作系统的能力。对此的防御必须是多层次的：文件系统必须以 nodev 选项挂载，告诉内核“绝不将此卷上的设备文件视为真实设备”，并且特权脚本必须被加固，绝不盲目信任用户提供的内容。

这种在访问与安全之间的张力在云中更为明显。你如何给予客户的 VM 对物理 GPU 的高性能访问权限？你可以使用设备直通。但对于 VM 和容器，其安全影响截然不同。对于共享宿主内核的容器，“直通”意味着将宿主自身的 GPU 驱动程序接口暴露给容器。容器的进程现在可以直接对宿主的驱动程序进行系统调用——这是一个庞大、复杂的代码块。该驱动程序中的任何 bug 现在都成为容器危及整个宿主的潜在攻击向量。

对于 VM，方法则根本不同，且安全得多。物理 GPU 从宿主驱动程序中解绑，并直接分配给 VM。关键是，一个名为输入-输出内存管理单元（IOMMU）的硬件单元由虚拟机监控程序编程以构建一道防火墙。它确保来自该 GPU 的任何 DMA 请求只能访问该特定 VM 拥有的内存。客户 VM 加载其自己的 GPU 驱动程序。现在，即使客户机是恶意的并且其驱动程序试图破坏系统，IOMMU 硬件也会阻止它。宿主的攻击面从一个巨大、复杂的驱动程序缩小到虚拟机监控程序和 IOMMU 的更小、更可验证的接口。即便如此，挑战依然存在。当我们运行 GPU 加速的容器时（这在 AI 领域很常见），一个特殊的容器运行时必须小心地在容器的隔离层上打洞，挂载必要的设备文件和库。但是像 cgroups 这样的标准操作系统工具，虽然可以限制容器的 CPU 和 RAM，却对 GPU 自身的内存一无所知，使得真正的资源隔离成为一个持续的挑战。

最终，驱动程序的命令并不会消失在一个抽象的机器中；它们操纵着物理世界。其后果是真实的、可测量的，有时甚至是惊人的，弥合了计算机科学与其他科学学科之间的鸿沟。

在混合信号微芯片内部，用于无线电或音频处理的敏感模拟电路与嘈杂的数字逻辑共享同一硅基板。当一个高速 I/O 驱动程序（例如 USB 端口的驱动程序）每秒开关其晶体管数十亿次时，它不仅仅是发送数据。它向硅片注入电流脉冲，产生一股电噪声的“冲击波”。开关时间越快，这种噪声的高频成分就越丰富。一个快速的 I/O 驱动程序在高频下比一个慢速的内部逻辑门“更响亮”，即使其峰值电流相似。这种噪声可以通过基板耦合并破坏精密的模拟信号，迫使芯片设计者建造精密的“保护环”——硅中的沟槽——来隔离他们的敏感组件。驱动程序的行为是电磁学方程的直接输入。

未来又将如何？当我们考虑用全新的物理学，如量子协处理器，来构建计算机时，我们将如何控制它们？那些赋予我们设备驱动程序的永恒的抽象和分层原则将是我们的指南。我们当然不希望每个应用程序员都去编写原始的微波脉冲序列来操纵量子比特。相反，我们可以设想一个分层系统。指令集架构（ISA）的一个新扩展将定义抽象的量子操作（q-ops）。一个用户空间运行时会将高级量子算法编译成这些 q-ops。操作系统将管理对量子设备的访问，调度来自不同进程的作业并分配宝贵的量子比特。并且，位于最底层的是一个设备驱动程序，它将抽象的 q-ops 转换为使特定量子硬件起舞所需的、特定于设备的脉冲序列，同时还管理其易出错的特性并配置安全的 IOMMU 映射以检索测量结果。

从赋予计算机生命，到在充满敌意的世界中确保其安全，再到调解其与物理定律的互动，设备驱动程序是抽象力量的证明。它是一个谦卑但至关重要的软件，体现了计算机科学中一些最深刻、最美丽的思想，证明了要驾驭机器，必须首先学会与它的所有纷繁部件对话、倾听和共舞。