home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus 2004 #9 / Amiga Plus CD - 2004 - No. 09.iso / amigaplus / tools / emulator / winuae / installwinuae0990.exe / Docs / README.compemu < prev    next >
Encoding:
Text File  |  2000-12-15  |  21.5 KB  |  419 lines
  1.                         The JIT compiler for UAE
  2.  
  3. Introduction
  4. ============
  5.  
  6. UAE has always been hampered by being somewhat lacking in CPU performance.
  7. Undoubtedly, it was amazingly fast for what it did, but it never really
  8. was an alternative to a decked out, no expense spared Amiga.
  9.  
  10. The Just In Time compiler should help change that.
  11.  
  12. If you just want to know how to *use* it, rather than how it works,
  13. stop right now and read the file README.umisef. Yep, that name is obscure;
  14. I just wanted to make sure you at least look at this one once ;-)
  15.  
  16. Normal Emulation
  17. ================
  18.  
  19. In order to understand how the JIT compiler works, and especially how
  20. it speeds up emulation, one has to first understand how the normal UAE
  21. CPU emulation works. As an example, here is a small 68k routine that
  22. copies a block of memory, from A1 to 0x42000000. 
  23.  
  24.          mov.l 0x42000000,A0
  25. loop:    mov.l (A1+),(A0+)
  26.          cmp.l 0x42010000,A0
  27.          bne   loop
  28.  
  29. The syntax might be a bit off, but you get the idea.
  30.  
  31. The normal emulation works one instruction at a time. It maintains a 
  32. pointer to where the next instruction can be found in the host's memory
  33. (which means you can only execute stuff from "real" memory --- can't
  34. execute the CIA registers, for example ;-).
  35.  
  36. As a first step, the emulation loads the 16 bit value that pointer points
  37. to, i.e. the opcode. The opcode is then used as an index into a lookup
  38. table that contains 65536 pointers to functions; The functions pointed to
  39. are the respective handlers for the instructions matching the opcode.
  40.  
  41. Next comes the actual call of that routine. In order to make life easier
  42. (and UAE a managable size), most handler routines handle more than one
  43. opcode --- for example, our mov.l (A1+),(A0+) would be handled by the
  44. same routine as mov.l (A7+),(A3+). In order to handle all the different
  45. opcodes for which they can be called, most handler routines extract the
  46. numbers of the registers used from the opcode (which gets that passed as
  47. an argument). In order to do so, they have to shift the bits in the 
  48. opcode around a little, and then mask out the needed bits. That then gives
  49. indices into the array that holds the current values for the registers;
  50. If a register is read from or written to, the indices are used to calculate
  51. the actual address to read from or write to.
  52.  
  53. OK, almost done --- one rather small part of emulating an instruction is
  54. actually *doing* it. The mov.l instructions up there basically just realize
  55. that they should store their source in their destination, the cmp.l subtracts
  56. the immediate from the register's value, and the bne looks at the flags and
  57. decides whether or not to change the instruction pointer.
  58.  
  59. Last but not least comes the cleanup --- if the instruction is supposed to
  60. produce flags, these need to be calculated; Also, the instruction pointer
  61. gets moved to the next instruction. Then any changed registers, any
  62. changed flags and changed state information is written back to the 
  63. respective memory locations, the handler routine executes a return, and
  64. the whole cycles starts again.
  65.  
  66. Bottlenecks
  67. ===========
  68.  
  69. This way of doing it has several big performance drawbacks. At the very
  70. start, the instruction fetch and handler lookup look sort of like this:
  71.  
  72.     opcode=*instruction_pointer;
  73.     handler=handlers[opcode];
  74.     call handler;
  75.  
  76. That's two memory accesses before we even reach the "call", and it's a
  77. straight dependency chain --- each instruction depends on the result
  78. of the previous. Hopefully, all those memory locations are in the L1,
  79. but even then, the latency is 3 cycles each time (on a PII), for 6 cycles 
  80. minimum so far.
  81. Another real biggie is the call instruction --- it is always the *same*
  82. instruction, but the target changes around all the time. This means that
  83. the CPU has little hope of ever predicting the target correctly, leading
  84. to a pipeline stall. Uh-oh! Pipeline stalls are *really* expensive on the
  85. PII, to the tune of 10 or so cycles. The total is up to 16.
  86. Most 68k instructions read at least one register, so most handler start
  87. out with a shift, an AND, and then an indexed memory access. Of course,
  88. they depend on each other, so the minimum time for this is another 5
  89. cycles before the register value can be used. Total 21, and we haven't done
  90. a thing yet.
  91. Then most instructions create flags. For many of the most often used
  92. instructions, the x86 instruction that does the calculation will produce
  93. the right flags (and for mov's, an extra TEST x86 instruction will do
  94. the trick). UAE is clever to pick these up --- but isn't clever in the
  95. way it does it. It uses pushf --- which translates in 16 micro-ops and
  96. takes at least 7 cycles. There is a better way (using LAHF and TESTO),
  97. but unless one is very careful, that way can easily lead to a so called
  98. "partial register stall" --- which just means that we get screwed in a 
  99. whole new and interesting way, but screwed we get, for another 7 cycles
  100. or so. We are now up to 28, just for the overhead of a typical instruction.
  101. [ Update: The latest versions of UAE-JIT contains patches that overcome 
  102. some of the flag-handling problems of the normal emulation. By and large,
  103. the above is still true, though]
  104.  
  105. Considering the need to increment the instruction pointer, write back
  106. the registers and flags to memory, and the "ret", and also considering
  107. that the handlers are allowed to clobber any flags they like, and that
  108. thus there is an extra memory read at the very start of the whole thing
  109. (rereading the instruction pointer from memory), the total overhead is
  110. something lik 35 cycles. That easily dwarfs the time it actually takes
  111. to *do* whatever the instrutions are supposed to do (and 35 is assuming
  112. the ideal case, where all the memory accesses are satisfied from L1).
  113.  
  114. There is one more performance killer --- 68k instructions that access memory
  115. (and let's face it, that's most of them ;-). Unfortunately, the 68k uses
  116. memory mapped I/O, so an innocent mov.l (A1+),(A0+) could access just
  117. about *anything*, depending on the values of A1 and A0. This means that
  118. each memory access has to go through several steps --- first, the address
  119. gets shifted 16 bits to the right and the result taken as an index into a
  120. lookup table. That yields a pointer to a structure; In that structure,
  121. the addresses of handler routines for reading and writing bytes, words or
  122. longwords can be found. So one more memory access gets the address of an
  123. appropriate handler, which then gets called (yep, a calculated subroutine
  124. call for every single memory access!). The handlers for "real" memory
  125. then mask the address, add it to the base address for their memory segment,
  126. and perform the requested operation. This takes a *lot* of time. It also
  127. (potentially) clobbers many registers, so that the instruction handler 
  128. routine often has to temporarily store stuff on the stack to keep it
  129. past the memory access.
  130.  
  131. Take all that together, and you get to a pretty constant average of 70 or 
  132. so x86 cycles per emulated m68k instruction. If it wasn't for great fast
  133. x86 chips, this would be really bad. As it stands, it's just annoying.
  134.  
  135.  
  136. Solving the Bottlenecks
  137. =======================
  138.  
  139. Right! Time to solve some of these problems. Let's start at the top:
  140. The 2 memory lookups and the calculated call at the start of emulating
  141. each instruction will always give the exact same results for any given
  142. instruction. So the obvious thing to do is to do it all once, and then
  143. keep the state around.
  144. At this point, the concept of a "block" needs to be introduced. A "block"
  145. is a bunch of consecutive instructions that will *always* execute all
  146. together, one after the other, as long as the first one is executed.
  147. In the example, there are two interesting blocks. Here is the example
  148. again:
  149.  
  150.             mov.l 0x42000000,A0
  151.    loop:    mov.l (A1+),(A0+)
  152.             cmp.l 0x42010000,A0
  153.             bne   loop
  154.  
  155. The first interesting block consists of all 4 instructions. The second
  156. interesting block starts at "loop" and consists of three instructions.
  157. The important thing here is that the "bne loop" instruction definitely
  158. ends a block --- what instruction comes after it depends on the state
  159. of the flags, and thus any "find out once and keep the info" scheme
  160. cannot work it out.
  161. One of the ideas behind the x86 compiler is that it operates on blocks.
  162. So whenever a block ends, we *then* check whether there is some pretranslated
  163. stuff for the block starting with the next instruction. If yes, that
  164. pretranslated stuff (a whole block) is executed. If not, the normal
  165. emulation is done in the normal way until it hits an end-of-block
  166. instruction. This means that for each block, the cache of pretranslated
  167. stuff is only checked once, reducing the extra overhead introduced by
  168. those checks. However, while doing the normal emulation, we also keep
  169. track of what locations the opcodes in the block were fetched from.
  170.  
  171. A simple compiler can do something rather ingenious --- whenever the
  172. normal emulation finishes a block, it "compiles" it into a series of
  173. native x86 instructions along the lines of
  174.  
  175.        mov $opcode1,%eax
  176.        call $handler1
  177.        mov $opcode2,%eax
  178.        call $handler2
  179.        mov $opcode3,%eax
  180.        call $handler3
  181.        
  182. and so on (the opcodes get loaded into %eax so that the handler routines
  183. can shift and mask them like they expect to). This has several advantages:
  184.  
  185.   * The whole get-instruction-pointer-then-fetch-opcode-and-look-up-handler 
  186.     stuff is done once, during compile time, and then is encoded directly 
  187.     in the x86 instruction stream. Saves about 9 cycles per instruction.
  188.   * The calls are no longer calculated, but rather constant, and each
  189.     68k instruction has a call of its own --- which will give the host CPU
  190.     ample opportunity to correctly predict the targets, thus saving another
  191.     10 or so cycles per instruction.
  192.  
  193. "Compiling" blocks in this way (and recognizing blocks in the first place)
  194. creates another opportunity to save a few cycles. In the example code,
  195. the mov.l (A1+),(A0+) is *always* followed by the comparison instruction.
  196. The comparison doesn't use any flags, and overwrites any flags the mov.l
  197. might have set or cleared. In other words, the flags generated by the mov.l
  198. can never make any difference. Because this can be determined during
  199. compilation time, and because the particular mov.l gets compiled into
  200. a particular call, we can call a different handler for it --- one which
  201. does the same thing, but just doesn't bother generating any flags. Of course,
  202. those handlers need to be generated somehow, but that's trivial. And
  203. every time generating the flags can be avoided by this, it save another 
  204. 7 or more cycles.
  205.  
  206. One more problem --- what happens when the 68k overwrites some memory we
  207. have pretranslated? Well, Motorola did the right thing, and didn't fudge
  208. some silly logic into their processors that transparently detects this
  209. situation. Instead, if you want the CPU to acknowledge new code, you need
  210. to explicitly flush the icache. And every time the emulated 68020 does
  211. that, we simply throw away all translations and restart with a blank slate.
  212.  
  213. Implementing these rather simple compilation options will result in 30-100%
  214. speedup, depending on the task.
  215.  
  216.  
  217. Getting more aggressive
  218. =======================
  219.  
  220. Once we have taken that first step, however, and have all the infrastructure
  221. for detecting and handling blocks in place, it becomes soooo much easier
  222. to get a little bit more aggressive, step by step.
  223.  
  224. First, instead of outputting the 
  225.  
  226.       mov $opcode_x,%eax
  227.       call $handler_x
  228.  
  229. sequence, we can directly output code to just do what the instruction is
  230. supposed to do. And we can do this step by step, because if we can't handle
  231. a particular instruction, there is always the simple mov/call pair to fall
  232. back on. Of course, the best choices for opcodes to do this for first are
  233. the opcodes that get executed the most. And because at compile time, we
  234. already know the exact opcode, we can work out what registers get used
  235. *then*, and can simply address them directly (rather than doing the 
  236. shift-mask-and-address_indexed routine of the normal handler routine).
  237. And of course it also saves the call/return overhead, not to mention that
  238. some of the hand-designed x86 code tends to be a fair bit more efficient
  239. than what gcc creates from the portable C code.
  240.  
  241. A word about how to do the translating --- UAE has a wonderful framework
  242. in place to generate the handler routines for the normal emulation. Simply
  243. copying that framework allows us to create translation routines in much
  244. the same way. Of course, instead of actually *doing* stuff, those routines
  245. must themselves *generate code* that will eventually do stuff, and this
  246. extra level of indirection (writing a program which outputs routines which
  247. generate routines which emulate 68k instructions) can be a bit mind-twisting
  248. at times, but it definitely beats the alternatives.
  249.  
  250. And here is another word of hard earned wisdom (aka "Tried it, and after
  251. a few days, had myself thoroughly backed into a corner, so had to scrap
  252. it" ;-): Keep it simple. Don't try to cram too much into one layer,
  253. rather introduce more layers, just as long as you can keep each one
  254. simple and manageable.
  255. In the UAE JIT compiler, the translation routines generated don't actually
  256. contain code to emit x86 code. Instead, they contain lots of calls along the
  257. lines of
  258.  
  259.       mov_l_rr(src,dst);
  260.       cmp_l_ri(dst,1889);
  261.  
  262. and so on. Here is an almost-actual example (I removed some stuff that
  263. we haven't dealt with yet, and formatted more nicely):
  264.  
  265. {
  266.     uae_s32 srcreg = imm8_table[((opcode >> 1) & 7)];
  267.     uae_s32 dstreg = (opcode >> 8) & 7;
  268.         uae_u8 scratchie=S1;
  269.     int src = scratchie++;
  270.     mov_l_ri(src,srcreg);
  271.         {
  272.         int dst=dstreg+8;
  273.         int tmp=scratchie++;
  274.         sign_extend_16_rr(tmp,src);
  275.         add_l(dst,tmp);
  276.         mov_l_rr(dstreg+8,dst);
  277.     }
  278. }
  279.  
  280. That's the code that would get called for  "mov.w 3,a0". The way it works
  281. is like this --- the routine targets an x86-like processor, but one with
  282. 32 registers. The first 16 of these are mapped to D0-D7 and A0-A7; The
  283. next three hold flags and the instruction pointer, and then there are 13
  284. scratch registers, S1 to S13. First, the routine works out what register
  285. and immediate to use. It then calls mov_l_ri(), which will generate code
  286. to move the immediate into a register (in this case, a scratch register).
  287. That value then gets sign extended (pointless in this case, but that's 
  288. what you get for generating these routines with a program...) into yet
  289. another scratch register, then adds the immediate to the register, and
  290. moves the result back into the register. But all the translation routine does
  291. is to call other routines which will (eventually) generate the code.
  292.  
  293. Writing this sort of code is manageable. In the next layer down, the 32
  294. register x86 gets mapped onto the real, 7 register PII, i.e. register
  295. allocation takes place. Also, some optimization takes place here ---
  296. in the example above, the last mov_l_rr() gets ignored, because its source
  297. and destination are the same. Also, if an immediate is moved into a 
  298. register (and that register thus has a known value, like "src" in the
  299. example), more optimization is possible, and is indeed done. As a result
  300. of that optimization, the superfluous sign extension never actually makes
  301. it into x86 code for this example.
  302. Last but not least, this layer keeps track of what 68k registers need
  303. to be written back to memory to complete the emulated instruction.
  304.  
  305. On the lowest layer, actual bits and bytes are written to memory to encode
  306. raw x86 instructions. If you happen to have an x86-like processor that just
  307. happens to use different instruction encodings, this layer is all you'd need
  308. to change. To actually port to a different target processor, such as a PPC
  309. or StrongArm, you'd have to take care of some more details related to the
  310. way x86 instructions do and don't set flags, but you should still benefit
  311. greatly from the clear separation of layers (hint, hint !-).
  312.  
  313. Each of those layers is fairly complex (and the ^%&$$#$%&*& x86 certainly
  314. doesn't make it any easier; Orthogonality, what's that?), but I can wrap
  315. my mind around each one individually. Trying to do it all in one go would
  316. be far beyond me.
  317.  
  318.  
  319. Using these techniques, it is fairly simple to cover 90+ percent of all
  320. the instructions that get executed in a typical Amiga application, and
  321. the resulting speedup is rather nice.
  322.  
  323.  
  324. Beyond Individual Instructions
  325. ==============================
  326.  
  327. When 90+ percent of instructions are covered, it's fairly likely that
  328. a real translated instruction is followed by another. In that case,
  329. there really isn't much point in writing back all the 68k registers at
  330. the end of the first, only to reload them at the start of the second.
  331. So instead of writing back between any two instructions, the whole
  332. state of the middle layer (which handles register allocation) is simply
  333. kept alive. Of course, we still need to write it all back each time
  334. we fall back on the mov/call method, because those handlers expect
  335. the 68k registers/flags/other state to live in certain places in
  336. memory. That's why it can pay off to generate translation routines for
  337. rarely used instructions --- the average lifetime of a middle-layer
  338. state might increase dramatically. Oh, and of course at the end of a
  339. block everything needs to be written back.
  340.  
  341.  
  342. Memory Access
  343. =============
  344.  
  345. If you do all that, you run up against the last remaining performance killer:
  346. Memory access. Nothing will screw up your performance like the occasional
  347. call to a C function that will not only take several cycles for itself, but
  348. will also potentially clobber all your registers --- meaning you have to 
  349. store it all back before the call, and start from scratch afterwards.
  350.  
  351. The *vast* majority of memory accesses are to "real" memory. The JIT
  352. compiler has two methods for speeding these up.
  353. The first method is simple, safe and a good bit faster than the default
  354. memory access (see above). For this method, instead of having a lookup
  355. table with 65536 pointers to structures that tell us how to get to memory,
  356. we have another table with 65536 values. For memory areas which are 
  357. *not* real memory, this table holds the same info as the other one,
  358. except that the LSB is set. However, for memory areas which *are* 
  359. real memory, this table holds the difference between the address the
  360. x86 sees and the address the emulated Amiga sees. 
  361. So a memory access looks up the content of the appropriate slot in the
  362. table. If the LSB is set, the usual song and dance has to be done. But
  363. if the LSB is clear, we simply add the Amiga address to what we got
  364. from the table, and voila, there is the x86 address of real memory,
  365. from which we can load (or to which we can write) our value, without
  366. calling any C routines, and without clobbering registers. 
  367.  
  368. The other method is much more radical. The Amiga, while it has an address
  369. space of 4GB, only seems to use less than 1.5G of that (From 0x00000000
  370. to 0x60000000). Linux, at least in the 2.4 flavour, allows user programs
  371. pretty much full control over 3GB; But it, too, tends to leave 0x50000000
  372. to 0xbfff0000 unused.
  373. In order to make things fast, we simply map all the real memory from the
  374. Amiga into Linux's address space, with a constant offset. In particular,
  375. the Amiga address X ends up at Linux address 0x50000000+X; So when a 
  376. translation routine wants to generate a memory access at address Y
  377. *and* knows that this access goes to real memory, then it can simply
  378. access the memory at 0x50000000+Y. The magic behind the scenes that is
  379. needed to keep those mappings accurate is a bit complicated, mainly
  380. because the Amiga tends to overmap some areas over and over, but none
  381. of that is really worrysome.
  382. The much bigger problem is "How the heck do we know whether a particular
  383. instruction accesses real mem or I/O?". And here comes the major
  384. hand-waving: We guess! We are making the assumption that any given
  385. instruction will either always access real memory, or always access
  386. I/O. In other words, we expect this to be consistent.
  387. Based on those assumptions, during the normal emulation (i.e. the
  388. data-gathering phase for the compiler), we simply set a flag to 0 
  389. before emulating each instruction; All the I/O memory handlers contain
  390. code that set this flag to non-zero, so if the instruction completes and
  391. the flag is still 0, then that instruction didn't access any I/O. During
  392. the data gathering, the value of this flag is saved after each instruction,
  393. and thus when it comes to compiling, the translation routines know whether
  394. or not the instruction they are translating can use the aggressive method
  395. for memory access.
  396.  
  397. Alas, these assumptions don't always hold. That's why there are many
  398. options for forcing memory access to the slower but safer method. 
  399. If the assumptions don't hold, you will notice --- because there is
  400. no safety net, you *will* get a lovely core dump. (Theoretically,
  401. it would be possible to write a SIGSEGV handler that works out what
  402. the instruction that failed tried to do, and calls the appropriate 
  403. I/O handler; I have done that in the past for the Alpha, but the idea
  404. of trying to decode x86 instructions fills me with dread and fear.
  405. Any takers? ;-). [Update: Hey, that was easier than I imagined --- such
  406. a SIGSEGV handler is now in place, and apparently working just fine. Of
  407. course, it isn't completely general, but instead only handles the
  408. instructions I use for direct memory access....]
  409.  
  410.  
  411.  
  412. Conclusion
  413. ==========
  414.  
  415. UAE can now emulate the CPU at considerably more than 060 speeds. That
  416. should do for a while --- although I am sure that further speedups are
  417. still possible. Patches welcome ;-)
  418.  
  419.