什么是OTA
OTA:Over-the-Air Technology,即空中下載技術(shù)。
OTA升級:通過OTA方式實現(xiàn)固件或軟件的升級。通過無線通信方式實現(xiàn)軟件升級,都可以叫OTA升級,比如無線以太網(wǎng)/藍牙等。
HSM:Hardware Security Module 模塊保證刷寫的安全可靠。
OTA 系統(tǒng)功能示意如圖1所示:
圖1 系統(tǒng)功能示意圖
幾種常見的OTA實現(xiàn)方式比較及優(yōu)勢分析
在進行SOTA更新時,需要把舊的應(yīng)用程序擦除,把新的應(yīng)用程序?qū)懭搿3R?guī)的實現(xiàn)方式需要分別開發(fā)BootLoader程序和APP程序,MCU上電先運行BootLoader,BootLoader根據(jù)情況選擇是否跳轉(zhuǎn)到APP和是否進行程序更新。具體來說有以下幾種方式:
1
方案一
BootLoader中內(nèi)置通訊協(xié)議棧,更新時,先向MCU發(fā)送指令使其跳轉(zhuǎn)到BootLoader,之后先擦除舊APP,在接收新APP的同時直接將其寫入Flash的APP運行地址處。該方案的優(yōu)點是不需要額外的Flash暫存數(shù)據(jù),缺點是BootLoader代碼更復(fù)雜,且如果數(shù)據(jù)傳輸發(fā)生中斷,舊的APP將不能被恢復(fù)。該方案更適合Flash容量較小的MCU。
2
方案二
更新程序時,由APP接收更新數(shù)據(jù)并暫存于Flash,再將APP更新標(biāo)志位置位;MCU重啟時,BootLoader檢查更新標(biāo)志位,如有效,則擦除舊的APP,再將暫存于Flash的新APP數(shù)據(jù)寫入APP運行地址處。該方案的優(yōu)點是更新數(shù)據(jù)的接收由APP完成,BootLoader不需要通訊協(xié)議棧,代碼量更小,且數(shù)據(jù)傳輸中斷時,原有APP不損壞。缺點是需要額外的Flash空間暫存更新數(shù)據(jù)。
3
方案三
在Flash中劃分出兩塊相同大小的區(qū)域,分為A區(qū)和B區(qū),都用來存放APP,但同一時間下只有一個區(qū)的APP是有效的,分別設(shè)置一個標(biāo)志位標(biāo)識其有效性。初始狀態(tài)下先將APP寫入A區(qū),更新的時候,將新的APP寫入B區(qū),再把A區(qū)的APP擦除,同時更新兩個區(qū)的有效性標(biāo)志位狀態(tài)。BootLoader中判斷哪個區(qū)的APP有效,就跳轉(zhuǎn)到哪個區(qū)運行。這種方法不需要重復(fù)拷貝APP數(shù)據(jù),但最大的一個缺陷是AB區(qū)的APP程序運行地址不同,需要分別編譯,從而使得可應(yīng)用性大大降低。
注釋:同時也可以將方案一和方案二相結(jié)合,即先采用方案一在BootLoader程序中內(nèi)置通訊協(xié)議棧,更新時,先向MCU發(fā)送指令使其跳轉(zhuǎn)到BootLoader。之后接收更新數(shù)據(jù)的時候,采用方案二的方法,先將數(shù)據(jù)暫存于Flash,待數(shù)據(jù)全部接收完成后再擦除舊的APP,寫入新的APP。結(jié)合方案一和方案二的優(yōu)點,且能在沒有APP或APP損壞的狀態(tài)下實現(xiàn)程序更新。缺點是BootLoader代碼量更大,F(xiàn)lash空間占用更大。
英飛凌AURIX TC3xx實現(xiàn)上述SOTA方案拓撲圖,如圖2 所示:
圖2 TC3xx實現(xiàn)SOTA方案常見拓撲圖
經(jīng)過上面的分析,可以看到幾種常見方案都有其優(yōu)缺點。但對于TC3xx這一類的MCU來說,F(xiàn)lash容量通常都很大,足夠用,所以通常可以先把APP暫存下來再進行更新,防止數(shù)據(jù)傳輸中斷導(dǎo)致APP不可用。
同時AURIX TC3xx也支持AB SWAP功能。以方案三為例:TC3xx系列如果使能SOTA功能,它的AB Bank Flash物理地址支持兩種不同物理地址映射到同一個邏輯地址方式(MCU自動從兩種物理地址映射一個虛擬地址),從而使得APP編譯時不需要區(qū)分AB區(qū),使用相同的邏輯地址即可,從而避免了方案三的硬傷,為我們提供了一種最佳的SOTA方案。接下來,我們將以方案三作為基礎(chǔ),結(jié)合實例詳細講解使用英飛凌AURIX TC3xx如何實現(xiàn)更優(yōu)的SOTA。
推薦的OTA實現(xiàn)方式詳解
TC3xx的Flash地址映射方式
首先, TC33x和TC33xED不支持AB SWAP功能,其他TC3xx設(shè)備都能夠通過AB SWAP功能實現(xiàn)SOTA軟件更新。
TC3xx 如果使能了AB SWAP功能,F(xiàn)lash大小實際能用的最少減半,TC3xx各系列AB SWAP能力如圖3所示。
圖3 TC3xx支持AB SWAP功能芯片系列及映射關(guān)系
啟用SOTA功能時,通過將PFLASH拆分為兩A和B兩個Bank的能力,其中一組可以讀取和執(zhí)行BANK組,而另一組可以寫入新代碼。因此雖然單個物理PFLASH Bank中不支持同時讀寫(RWW)功能,但是通過AB分組支持未使用的BANK組提供安全可靠地對數(shù)據(jù)執(zhí)行寫入和擦除操作的能力來實現(xiàn)SOTA功能。
舉例TC387 AB SWAP特性
為了方便理解英飛凌TC3xx SOTA 功能,我們以TC387為例進行分析。TC387 PFLASH 10M空間映射關(guān)系,使能了AB SWAP后,實際使用大小為4M,如圖4所示:
圖4 TC387 PFLASH 映射關(guān)系以及可用PFLASH大小
TC387的4M PFlash地址空間無論是A Bank還是B Bank, 對于用戶來說,統(tǒng)一為虛擬地址0X80000000-0x803FFFFF 4M地址空間。但是刷寫過程中, A bank實際操作物理地址0X80000000-0x803FFFFF 4M空間,B Bank 實際操作物理地址0X8060 0000-0x80AF FFFF 4M空間。
注意,如果使能了AB SWAP功能,TC3xx PFLASH就沒有所謂Local PFLASH和Global PFLASH概念,統(tǒng)一理解為Global PFLASH。CPU訪問PFLASH由之前的CPUx可以通過Local總線訪問本PFLASHx提高訪問速度,變?yōu)镃PUx訪問PFLASH只能通過Global總線從而稍微增加了CPU訪問PFLASH時間。具體參考圖5所示。
圖5 SOTA功能使能后只能通過Global總線訪問PFLASH
TC3xx的SOTA功能描述
當(dāng)TC387 SOTA功能激活時,PFLash被劃分為兩部分A Bank和B Bank,一部分用來存儲讀取可執(zhí)行代碼(active bank),另一部分可用來寫入(inactive bank)即刷寫。當(dāng)APP更新完畢后,兩個部分互換,即切換上面兩種地址映射方式。在標(biāo)準模式下使用PF0-1作為active bank,后文稱作組A,在Alternate模式下使用PF2-3作為active bank,后文稱作組B,就可以實現(xiàn)第二章節(jié)所述方案三,且能寫入完全相同的APP程序,以相同的地址(邏輯地址)進行運行。
需要注意的是,所有NVM操作都是通過DMU使用PFLASH的物理系統(tǒng)地址執(zhí)行的,也就是說,NVM操作總是使用標(biāo)準的地址映射,而不管選擇使用哪種地址映射。“NVM操作”是一個術(shù)語,用于任何針對FLASH的命令,如程序、擦除等,但不包括讀取代碼。有關(guān)SOTA地址映射的參數(shù)在Flash中的UCB(User Configuration Block)中進行配置,在UCB中配置后,只有當(dāng)下次MCU復(fù)位的時候才會更新配置,后文會有詳細解釋。
TC3xx的SOTA功能實現(xiàn)詳解
實現(xiàn)SOTA功能所需關(guān)注配置項
英飛凌AURIX TC3xx實現(xiàn)SOTA功能主要需要配置如圖6所示:
圖6 SOTA功能所需關(guān)注配置項
1
SOTA模式使能UCB_OTP.PROCONTP.SWAPEN,該參數(shù)決定是否開啟SOTA模式,在寄存器Tuning Protection Configuration中的SWAPEN進行配置,對應(yīng)UCB定義如下:
使能AB SWAP功能的UCB定義(UCB32-39是ORIG, 40-47 COPY,建議全部都需要配置,內(nèi)容可以一樣。)如下:
2
配置UCB_SWAP_ORIG/UCB_SWAP_COPY中的UCB_SWAP_ORIG_MARKERLx/UCB_SWAP_COPY_MARKERLx,激活下一次reset需要運行的標(biāo)準(0x00000055)還是備選(0x000000AA)地址。在寄存器SCU_SWAPCTRL中,可以查看當(dāng)前激活的是標(biāo)準還是備選地址。
我們參考下面關(guān)于SOTA功能實現(xiàn)的UCB,內(nèi)容定義:
3
同1描述UCB塊,只要使能了SOTA就會自動禁止CPU通過本地總線訪問PFLASH功能,紅色方框中寄存器值自動為1,即禁止。
SOTA功能實現(xiàn)時SWAP配置及流程
SOTA功能應(yīng)用時:分系統(tǒng)剛啟動時SWAP配置和系統(tǒng)運行時SWAP配置。
系統(tǒng)啟動時SWAP配置:
如果SOTA功能使能,那么代碼生成的文件至少需要刷進Active Bank。為了信息安全,建議通過UCB_PFLASH設(shè)置相應(yīng)的sectors讀寫保護。
起始地址需要在UCB_BMHD配置好。
如果當(dāng)前選擇的是標(biāo)準地址,那么0x00000055H需要寫入UCB_SWAP的MARKERL0.SWAP這個域。然后通過把MARKERL0.SWAP的地址寫入MARKERH0.ADDR予以確認;同時,將CONFIRMATIONL0.CODE的地址寫入CONFIRMATIONH0.ADDR;同時,將57B5327FH寫入57B5327FH予以確認。
UCB_ OTP一次性刷寫保護以設(shè)置所需的OTP、WOP和標(biāo)定保護。請注意,任何受OTP或WOP保護的扇區(qū)都不能使用新映像重新編程。
如果使能了HSM,主核代碼和HSM代碼需要同時刷入到AB bank的PFLASH S0-S39。
任何受OTP保護的HSM扇區(qū)都不能使用新映像重新編程。
最后,由于SWAPEN是在UCB_OTP里面設(shè)置的,所以要在下一個重啟后SOTA的使能才有效。具體流程,參考圖7所示:
圖7 系統(tǒng)剛啟動時SWAP配置及流程
系統(tǒng)運行時SWAP配置:
下面是程序正在運行時,需要實現(xiàn)軟件SWAP到新程序的配置流程。
為了可以正確切換到新程序中,首先新的程序需要刷到對應(yīng)的非激活的PFLASH Bank,如果非激活的BANK中對應(yīng)的sectors使能了讀寫保護,那么刷寫之前要先解保護。
切記:由于NVM特性,PFLASH 和DFLASH不能同時操作。因此,在應(yīng)用程序中運行的EEPROM驅(qū)動程序和執(zhí)行BOOT刷寫之間需要進行一些協(xié)調(diào)。確保要寫入的新程序所用的的PFLASH正確無誤。例如:如果在PFLASH的SOTA重新編程/擦除期間出現(xiàn)硬故障,可以使用替換邏輯扇區(qū)功能(有關(guān)更多詳細信息,請參閱DMU章節(jié))。此功能允許用戶使用“替換邏輯扇區(qū)”命令序列將故障邏輯扇區(qū)映射到冗余扇區(qū)。
由于UCB刷寫次數(shù)的限制(100次),我們可以通過16 個SWAP配置依次使用來增加SWAP的次數(shù)(100*16=1600次)。方式流程如下圖8所示:
注意:上一次用過的配置,CONFIRMATIONL(x-1) ) 和CONFIRMATIONH(x-1) 全寫為1。
增加SWAP次數(shù),可以通過UCB_SWAP_ORIG/UCB_SWAP_COPY配置如下寄存器:
增加SWAP次數(shù)方法流程如圖8所示:
圖8 增加SWAP次數(shù)方法流程
新的配置寫好后,選擇下一次要激活的程序,等下一次重啟即運行新刷寫的程序。詳細流程如圖9所示:
圖9 系統(tǒng)運行時SWAP配置
總結(jié)
TC3xx SWAP特性實現(xiàn)OTA功能后,特別注意以下五點:
Flash大小實際能用的最少減半,詳情參考圖3。
CPU訪問Flash只能通過Global總線從而稍微增加了訪問時間,參考圖5。詳細參數(shù)請查相應(yīng)的數(shù)據(jù)手冊。
PFLASH的prefetch功能被禁止,同樣會稍微影響整個系統(tǒng)的性能。
功能安全方面:Active Bank 的safety_endinit保護依舊存在,但是Inactive Bank的safety_endinit保護無效。
信息安全方面:Active Bank 和Inactive Bank同樣受信息安全相關(guān)寄存器的保護。
至此,TC3xx SWAP特性實現(xiàn)SOTA功能的配置和流程介紹完畢。
審核編輯:劉清
-
mcu
+關(guān)注
關(guān)注
146文章
17148瀏覽量
351213 -
SWAP
+關(guān)注
關(guān)注
0文章
51瀏覽量
12826 -
OTA
+關(guān)注
關(guān)注
7文章
580瀏覽量
35230
原文標(biāo)題:AURIX? TC3xx基于以太網(wǎng)的OTA研究與實現(xiàn)
文章出處:【微信號:eng2mot,微信公眾號:汽車ECU開發(fā)】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論