自定义文件系统：NOR Flash上实现掉电安全的日志存储系统

在工业控制、汽车电子等可靠性要求极高的场景中，系统突然掉电导致日志数据丢失是常见痛点。基于NOR Flash的特性设计一套"Crash-proof"日志存储系统，可有效解决这一问题。本文将解析其核心设计原理，并结合实际代码说明实现方法。

一、NOR Flash特性与挑战

NOR Flash具有随机读取能力强、芯片内执行（XIP）等优势，但存在两个关键限制：

页编程限制：每次写入必须以页（通常256/512字节）为单位，且写入前必须擦除整个块（64KB-128KB）

磨损均衡：单个块擦写次数有限（约10万次），需避免热点区域

传统文件系统（如FAT32）直接应用于NOR Flash会导致：

频繁擦写缩短寿命

掉电时正在写入的页数据损坏

碎片化问题严重

二、Crash-proof设计核心原理

1. 双缓冲机制

采用"活跃区+备份区"的镜像结构，所有写入先操作活跃区，同步更新元数据到备份区。系统启动时校验两个区域的一致性，选择完整数据区加载。

c

// 区域定义结构体

typedef struct {

   uint32_t magic_num;     // 魔术字 0xDEADBEEF

   uint32_t log_start;     // 日志起始地址

   uint32_t log_end;       // 日志结束地址

   uint32_t write_ptr;     // 当前写入指针

   uint32_t crc32;         // 区域校验和

} region_header_t;

#define ACTIVE_REGION_ADDR  0x000000

#define BACKUP_REGION_ADDR  0x100000

2. 原子写入协议

每次日志写入遵循"准备-提交-验证"三阶段：

准备阶段：在RAM中构建完整日志条目（含序号、时间戳、数据）

提交阶段：

擦除备份区（若需切换区域）

写入活跃区日志数据

更新活跃区元数据

验证阶段：计算CRC校验，确认数据完整后更新备份区指针

3. 掉电恢复流程

系统启动时执行：

c

int recover_from_crash() {

   region_header_t *active = (void*)ACTIVE_REGION_ADDR;

   region_header_t *backup = (void*)BACKUP_REGION_ADDR;

   // 校验两个区域的有效性

   if(validate_region(active) && validate_region(backup)) {

       // 选择更新时间更近的区域

       return (active->log_end > backup->log_end) ? 0 : 1;

   }

   else if(validate_region(active)) {

       return 0; // 仅活跃区有效

   }

   else {

       format_flash(); // 两个区域均损坏，格式化重建

       return -1;

   }

}

三、关键实现技术

1. 磨损均衡算法

采用动态块分配策略，维护一个块状态表（在Flash的保留区）：

c

#define BLOCK_SIZE       0x10000  // 64KB

#define BLOCK_COUNT      128

typedef struct {

   uint16_t erase_count;

   uint8_t  status;     // 0=free, 1=active, 2=bad

} block_info_t;

block_info_t block_table[BLOCK_COUNT];

每次分配新块时选择擦写次数最少的可用块，并通过坏块标记机制隔离故障区域。

2. 垃圾回收机制

当剩余空间低于阈值（如20%）时触发：

选择擦写次数最少的块作为回收目标

将有效数据迁移到新块

擦除旧块并更新块状态表

3. 性能优化技巧

日志聚合：将多个小日志合并为一个大页写入，减少Flash操作次数

写缓冲：在RAM中缓存多条日志，达到阈值或超时后批量写入

异步提交：主线程继续运行，由后台任务完成Flash写入

四、实际应用案例

某工业控制器项目采用该方案后：

日志保存完整率从78%提升至99.99%

Flash寿命延长至5年以上（原仅6个月）

写入吞吐量达120KB/s（STM32H7@480MHz）

关键代码片段（日志写入）：

c

int log_write(const char *data, uint32_t len) {

   log_entry_t entry;

   entry.seq = ++global_seq;

   entry.timestamp = get_system_time();

   memcpy(entry.payload, data, len);

   // 原子写入流程

   disable_interrupt();

   if(write_to_flash(ACTIVE_REGION_ADDR + current_ptr, &entry, sizeof(entry))) {

       update_header(ACTIVE_REGION_ADDR);

       if(sync_backup_region()) {

           current_ptr += sizeof(entry);

           enable_interrupt();

           return 0;

       }

   }

   enable_interrupt();

   return -1;

}

通过这种设计，即使在写入过程中突然掉电，系统也能通过备份区或校验机制恢复完整日志。该方案已通过IEC 61508 SIL3功能安全认证，适用于对可靠性要求严苛的嵌入式场景。