基于IAP的嵌入式系统升级方案

一、 需求引入

现有嵌入式设备：基于ARM Cortex-M3处理器、带以太网通讯功能。为降低设备维护成本节省宝贵的时间和金钱，需要设计网口升级固件功能。

本文描述了基于IAP和网口升级该嵌入式系统的方法，其中处理器为NXP公司的ARM Cortex-M3，开发环境为IAR Embedded Workbench for ARM。

IAP（ In Applicatin Programming）在应用编程，一般指MCU可以通过通信端口（UART口、网口等）从外部接收应用程序镜像并烧录到FLASH中实现固件升级。

图1网口升级固件

二、 原理介绍

先温习下小知识：一个典型的嵌入式软件地址空间如图2所示，程序代码（RO段）和初始化数据（RW段）都是存储在ROM（常见为FLASH）中，当系统上电运行时，BootLoader程序会把RW段数据从ROM中拷贝到RAM中（.data），同时它会清零未初始化数据段（.bss），设置栈（.stack）和堆（.heap），之后系统就可以正常运行了。

这里会有2个疑问：为什么要拷贝RW段呢？还有BootLoader程序是什么？第一个问题很简单，既然是RW（Read&Write）数据，那就只能保存在RAM中，因为ROM是无法执行“写数据”的操作。第二个问题很容易让程序员忽视，它的实现有2种，一种是由芯片的Boot代码（固化在ROM中）来执行拷贝，另一种是由编译器自带的代码（如IAR就有__iar_program_start函数）

图2软件地址空间

基于IAP固件升级一般会把软件设计成2部分：BOOT和应用程序，其中BOOT相当于PC机的BIOS负责升级固件和引导应用程序，它对于用户是不可见的；应用代码就是常见的嵌入式软件。这2个软件的存储如图3所示：

图3存储地址视图

我们再一起来看看BOOT和APP启动时序。当系统上电时，它首先从0地址找到中断向量表，取出Reset_Handler中断服务代码，该代码先初始化芯片（如PLL和中断寄存器），然后调用BootLoader代码执行搬运工作，把存储空间布置成图2右边的“运行地址视图”，之后跳转到用户代码的main（）函数，此时BOOT软件启动完成。

BOOT代码开始检测是否需要升级固件，如果需要就从外部取APP镜像文件并烧录FLASH，最后一步都是启动APP软件。

那么BOOT代码如何启动APP代码呢？其实很简单，因为APP代码它自身包含中断向量表和BootLoader代码，BOOT代码只需要告诉MCU新的中断向量表地址，然后跳转到APP代码区。之后，APP的BootLoader会把自己的RW数据搬运到RAM中，同样也会布置存储空间如图2右边所示，最终跳转到APP代码的用户main（）函数，这样APP代码完成了启动。

三、 IAP关键技术

首先，APP代码需要将程序地址重定向，在本例中需要把代码地址重定向到0x0001 0000。为什么要执行如此操作呢？我们看一个实例，假设代码中有调用f1（），如果没有执行重定向，那么f1（）可能被链接器分配在0x1234，当PC寄存器导入该地址并解析指令执行时，致命的错误发生了——该地址根本没有f1（）代码，因为APP代码是从0x0001 0000开始存储的。重定向就是告诉链接器，请从0x0001 0000开始定位程序代码，这样在本例中f1（）将分配在0x0001 1234，才能正确调用f1（）。

在IAR环境下程序空间重定向操作如下：打开“Options”-》“Linker”-》“Config”，点击“Edit”，在弹出的窗口中设置如图4所示地址空间。

图4链接器重定向代码地址

然后，BOOT代码在使用外设后，一定要De-Initialize该外设再启动APP代码，即要让APP代码认为MCU只是刚上电运行，而不是跑完一个系统再调用自己。如果BOOT代码没有执行该动作，当APP代码运行时，MCU的外设处于不确定状态（尤其是中断未关闭），可能会带来一些预料不到的错误。

再次，BOOT代码操作FLASH是通过调用IAP函数来实现的（NXP公司的IAP库函数提供Erase（）/Write（）/Compare（）等），其中写FLASH函数一次操作只能接收256/512/1024/4096字节，如果不足也需要填充。

千万要注意的是调用IAP函数期间中断需要特别处理，一起看看NXP官方的说明文档（原为英文，翻译如下）“当IAP函数调用期间，芯片的BootLoader会暂时禁止访问用户ROM空间数据。用户ROM空间被映射到一些配置数据区以便于IAP调用。因此原来的中断向量地址没有包含正确的中断向量。所以当IAP调用正在处理时如果一个中断发生，该中断将不能被正确对待同时MCU的行为是不确定的。在一些情况下，当中断不能被正确处理时MCU将会复位。”

解决该问题有2种方法：如果中断是至关重要的（任何时候都不能禁止），那么需要把中断向量表和ISR重定向到SRAM中；另外一个简单的办法是调用IAP函数之前先禁止中断，调用完成之后再使能中断。在本固件升级中，采用第二种方法，毕竟短暂地关闭中断对于本设计是可以接受的。

最后，当APP代码被引导运行时，中断向量表不再位于0地址了，在本例中位于0x0001 0000，因此需要将这个新地址告诉MCU，有一专门寄存器VTOR（Vector Table Offset Register）用来存储该地址。该工作必须由BOOT代码来完成，因为一旦跳转到APP代码MCU第一件事情就是访问中断向量表。

千万小心的一个错误是：APP代码不要再对VTOR寄存器进行任何操作，否则MCU将因为无法访问中断向量表而紊乱。（本人就遇到这个错误，APP代码中的汇编文件startup_LPC17xx.s启动时“静悄悄地”调用了NXP库函数SystemInit，该函数会重置VTOR导致APP的中断不能使用，这个错误查了整整一天呀！）。

四、 网口下载镜像

本部分内容是偏向策略进行设计，因此很多地方值得商榷，在这里坚持的原则是——简单就是美。

首先，通信帧直接建立在802.3以太网协议上，这样保证简单化；然后，不管镜像文件实际长度，一律向1KB取整，不足则填充0；其次，因为以太网MTU为1518字节，通信帧每次传输1KB镜像文件；再次，嵌入式系统与PC机通讯采用“停等+ACK”机制，即PC机只有接收到第i帧确认后才能传输第i+1帧；最后，为确保镜像文件在传输中不受损，每帧都包含CRC校验码。

图5较好地描述了升级固件时PC与嵌入式设备的通讯逻辑。当设备发出握手帧连续10次无应答后，BOOT代码将直接引导原APP程序启动，即无需升级固件；正常升级固件时，首先有3次握手，接下来是分片传输镜像文件，最后嵌入式设备会回应“升级成功”帧；如果某分片通讯时发生错误，嵌入式设备会回应“错误原因”帧，当重传达到5次仍出错时PC机需要提醒用户，最好还能说明错误原因。

图5升级固件通讯时序

嵌入式设备回应PC的数据帧直接封装字符串，这样做的好处是可以通过截取数据包查明通信内容；而PC机传输给设备的数据帧采用二进制，主要是照顾嵌入式系统较弱的计算和存储能力，该二进制通讯帧格式如图6所示。

图6二进制通讯帧格式

FLASH一般是由Sector组成的，并且在写操作之前需要擦除该Sector。本系统中使用的FLASH共30个Sector，前16个均为4KB，后14个为32KB，为了简化设计，将BOOT放置在前16个Sector中，共计64KB，APP镜像放置在后14个32KB的Sector中，共448KB。

这样安排程序依赖如下设定：镜像文件起始位置为0x0001 0000，每接收与写入FLASH字节数为1024，当写入FLASH地址为Sector之首时需要擦除该分区，逻辑流程如图7所示。

图7分片写镜像文件