基于IAP和網(wǎng)口的ARM Cortex- M3固件升級技術※

蔣俊，藍敏

（長沙職業(yè)技術學院，長沙410081）

引 言

現(xiàn)有的一臺嵌入式設備基于ARM Cortex-M3處理器，具有以太網(wǎng)通信功能。為了降低設備維護成本，需要設計網(wǎng)口升級固件功能。本文描述了基于IAP和網(wǎng)口升級該嵌入式系統(tǒng)的方法，其中處理器為NXP公司的ARM Cortex-M3，開發(fā)環(huán)境為IAR Embedded Workbench for ARM。

IAP（In Application Programming，在應用編程），一般指MCU可以通過通信端口 （UART 口、網(wǎng) 口等）從外部接收應用程序鏡像并燒錄到FLASH中實現(xiàn)固件升級，如圖1所示。

圖1 網(wǎng)口升級固件

1 原理介紹

先溫習下小知識：一個典型的嵌入式軟件地址空間如圖2所示，程序代碼（RO段）和初始化數(shù)據(jù)（RW段）都是存儲在ROM（常見為FLASH）中，當系統(tǒng)上電運行時，Boot Loader程序會把RW段數(shù)據(jù)從ROM中拷貝到RAM中（.data），同時它會清零未初始化數(shù)據(jù)段（.bss）、設置棧（.stack）和堆（.heap），之后系統(tǒng)就可以正常運行了[1]。

這里會有兩個疑問：為什么要拷貝RW段呢？Boot-Loader程序是什么？第一個問題很簡單，既然是RW（Read＆Write）數(shù)據(jù)，就只能保存在RAM中，因為ROM是無法執(zhí)行“寫數(shù)據(jù)”操作的。第二個問題很容易被程序員忽視，它的實現(xiàn)有兩種，一種是由芯片的Boot代碼（固化在ROM中）來執(zhí)行拷貝，另一種是編譯器自帶的代碼（如IAR就有＿＿iar＿program＿start函數(shù)）。

圖2 軟件地址空間

基于IAP固件升級一般會把軟件設計成兩部分：BOOT和應用程序。其中BOOT相當于PC機的BIOS，負責升級固件和引導應用程序，它對于用戶是不可見的；應用程序就是常見的嵌入式軟件。這兩個軟件的存儲地址如圖3所示。

再來看看BOOT和APP啟動時序，當系統(tǒng)上電時，它首先從0地址找到中斷向量表，取出Reset＿Handler中斷服務代碼，該代碼先初始化芯片（如PLL和中斷寄存器），然后調(diào)用Boot Loader代碼執(zhí)行搬運工作，把存儲空間布置成圖2（b）所示的“運行地址視圖”，之后跳轉(zhuǎn)到用戶代碼的main（）函數(shù)，此時BOOT軟件啟動完成。BOOT代碼開始檢測是否需要升級固件，如果需要，就從外部取APP鏡像文件并燒錄到FLASH中，最后一步是啟動APP軟件。

那么，BOOT代碼如何啟動APP代碼呢？其實很簡單，因為APP代碼自身包含中斷向量表和Boot Loader代碼，BOOT代碼只需要告訴MCU新的中斷向量表地址，然后跳轉(zhuǎn)到APP代碼區(qū)。之后，APP的Boot Loader會把自己的RW數(shù)據(jù)搬運到RAM中，同樣也會布置存儲空間（如圖2（b）所示），最終跳轉(zhuǎn)到APP代碼的用戶main（）函數(shù)，這樣APP代碼就完成了啟動。

圖3 存儲地址視圖

2 IAP關鍵技術

首先，APP代碼需要將程序地址重定向，在本例中，需要把代碼地址重定向到0x0001 0000。為什么要如此操作呢？看一個實例，假設代碼中有調(diào)用f1（），如果沒有執(zhí)行重定向，那么f1（）可能被鏈接器分配在0x 1234。當PC寄存器導入該地址并解析指令執(zhí)行時，致命的錯誤發(fā)生了——該地址根本沒有f1（）代碼，因為APP代碼是從0x0001 0000開始存儲的。重定向就是告訴鏈接器，請從0x0001 0000開始定位程序代碼，這樣在本例中f1（）分配在0x0001 1234，才能被正確調(diào)用。

在IAR環(huán)境下程序空間重定向操作如下：打開“Options”→“Linker”→“Config”，點擊“Edit”，在彈出的窗口中設置如圖4所示的地址空間[2]。

圖4 鏈接器重定向代碼地址

然后，BOOT代碼在使用外設后，一定要De-Initialize該外設后再啟動APP代碼，即要讓APP代碼認為MCU只是剛上電運行，而不是跑完一個系統(tǒng)再調(diào)用自己。如果BOOT代碼沒有執(zhí)行該動作，當APP代碼運行時，MCU的外設處于不確定狀態(tài)（尤其是中斷未關閉），可能會帶來一些預料不到的錯誤。

再次，BOOT代碼操作FLASH是通過調(diào)用IAP函數(shù)來實現(xiàn)的（NXP公司的IAP庫函數(shù)提供Erase（）/Write（）/Compare（）等），其中寫FLASH函數(shù)一次操作只能接收256/512/1 024/4 096字節(jié)，如果不足就需要填充[3]。

千萬要注意的是，調(diào)用IAP函數(shù)期間，中斷需要特別處理，一起看看NXP官方的說明文檔：在IAP函數(shù)調(diào)用期間，芯片的Boot Loader會暫時禁止訪問用戶ROM空間數(shù)據(jù)，用戶ROM空間被映射到一些配置數(shù)據(jù)區(qū)以便于IAP調(diào)用。因為原來的中斷向量地址沒有包含正確的中斷向量，所以當IAP調(diào)用正在處理時發(fā)生一個中斷，該中斷將不能被正確對待，同時MCU的行為也是不確定的。在一些情況下，當中斷不能被正確處理時，MCU將會復位[4]。

解決該問題有兩種方法：如果中斷是至關重要的（任何時候都不能禁止），那么需要把中斷向量表和ISR重定向到SRAM中；另外一個簡單的辦法是調(diào)用IAP函數(shù)之前先禁止中斷，調(diào)用完成之后再使能中斷。在本固件升級中，采用第二種方法，因為短暫地關閉中斷對于本設計來說是可以接受的。

最后，當APP代碼被引導運行時，中斷向量表不再位于0地址了，在本例中位于0x0001 0000，因此需要將這個新地址告訴MCU，有一個專門寄存器VTOR（Vector Table Offset Register）用來存儲該地址。該工作必須由BOOT代碼來完成，因為一旦跳轉(zhuǎn)到APP代碼，MCU的第一件事情就是訪問中斷向量表。

千萬要注意的一個問題是：APP代碼不要再對VTOR寄存器進行任何操作，否則MCU將因為無法訪問中斷向量表而紊亂。（筆者就遇到這個問題，APP代碼中的匯編文件startup＿LPC17xx.s啟動時“靜悄悄地”調(diào)用了NXP庫函數(shù)SystemInit，該函數(shù)會重置VTOR導致APP的中斷不能使用）。

3 網(wǎng)口下載鏡像

這部分內(nèi)容是偏向策略進行的設計，因此很多地方值得商榷，在這里堅持的原則是——簡單就是美。

首先，通信幀直接建立在802.3以太網(wǎng)協(xié)議上，這樣可以保證簡單化；其次，不管鏡像文件的實際長度是多少，一律向1 KB取整，不足則填充0；然后，因為以太網(wǎng)MTU為1 518字節(jié)，通信幀每次傳輸1 KB鏡像文件；再次，嵌入式系統(tǒng)與PC機通信采用“停等＋ACK”機制，即PC機只有接收到第i幀確認后才能傳輸?shù)趇＋1幀；最后，為確保鏡像文件在傳輸中不受損，每幀都包含CRC校驗碼。

升級固件時，PC與嵌入式設備的通信邏輯如下：當設備發(fā)出握手幀連續(xù)10次無應答后，BOOT代碼將直接引導原APP程序啟動，即無需升級固件，如圖5所示。

圖5 無需升級固件通信時序

當正常升級固件時，首先有3次握手，接下來是分片傳輸鏡像文件，最后嵌入式設備會回應“升級成功”幀，如圖6所示。

圖6 正常升級固件通信時序

如果某分片通信時發(fā)生錯誤，嵌入式設備會回應“錯誤原因”幀，當重傳達到5次仍出錯時，PC機需要提醒用戶，最好還能說明錯誤原因，如圖7所示。

圖7 升級固件出錯通信時序

嵌入式設備回應PC的數(shù)據(jù)幀直接封裝字符串，這樣做的好處是可以通過截取數(shù)據(jù)包查明通信內(nèi)容；而PC機傳輸給設備的數(shù)據(jù)幀采用二進制，主要是考慮到嵌入式系統(tǒng)較弱的計算和存儲能力，該二進制通信幀格式如圖8所示。

圖8 二進制通信幀格式

FLASH一般是由Sector組成的，并且在寫操作之前需要擦除該Sector。本系統(tǒng)中使用的FLASH共30個Sector，前16個均為4 KB，后14個為32 KB。為了簡化設計，將BOOT放置在前16個Sector中，共計64 KB；APP鏡像放置在后14個32 KB的Sector中，共448 KB。

這樣安排程序依賴如下設定：鏡像文件起始位置為0x0001 0000，每次接收與寫入FLASH的字節(jié)數(shù)為1 024，當寫入FLASH地址為Sector之首時需要擦除該分區(qū)，邏輯流程如圖9所示。

圖9 分片寫鏡像文件流程圖

結 語

本文重點研究了基于IAP和網(wǎng)口的固件升級技術，雖然基于NXP公司的ARM Cortex-M3處理器和IAR開發(fā)環(huán)境，但技術原理對于其他架構的嵌入式系統(tǒng)也是適用的。論文中涉及的技術方法在IAR V6.0和NXP LPC1768芯片上測試成功，并研制成產(chǎn)品，接受過嚴格的現(xiàn)場升級考驗。實踐證明，論文中的方法穩(wěn)定可行。

編者注：源程序見本刊網(wǎng)站www.mesnet.com.cn。

[1]David E.Simon.嵌入式系統(tǒng)軟件教程[M].陳向群，等譯.北京：機械工業(yè)出版社，2005.

[2]IAR.IAR embedded workbench user guides，2010.

[3]NXP.LPC176x/5x user manual，2013.

[4]NXP.AN11333 interrupt handling during IAP calls for LPC177x＿8x and LPC407x＿8x ，2014.