嵌入式Bootloader开发：双分区固件升级与防砖保护机制

在物联网设备、工业控制器等嵌入式系统中，固件升级是功能迭代与漏洞修复的关键环节。然而，升级过程中断电或固件损坏可能导致设备变砖（无法启动）。本文聚焦双分区固件升级架构与防砖保护机制，提供可落地的开发方案。

一、双分区架构设计：冗余存储保障可靠性

传统单分区方案在升级失败时无法回滚，而双分区架构通过交替使用A/B两个固件分区实现风险隔离。以STM32H7为例，其Flash通常划分为：

Bootloader区：固定地址（如0x08000000），存储启动代码与升级逻辑

固件A区：主固件（0x08020000）

固件B区：备份固件（0x08100000）

参数区：存储当前活跃分区标识（如0x081E0000）

c

// Flash分区定义（STM32CubeIDE配置示例）

#define BOOTLOADER_ADDR  0x08000000

#define FIRMWARE_A_ADDR  0x08020000

#define FIRMWARE_B_ADDR  0x08100000

#define PARAM_ADDR       0x081E0000

二、固件升级流程：原子操作防中断

升级过程需遵循"下载-验证-切换"的原子操作原则，避免中间状态暴露：

下载阶段：Bootloader通过UART/USB/CAN接收新固件，暂存至RAM或备用Flash区域

校验阶段：计算CRC32或SHA256校验和，与服务器下发的摘要比对

c

// CRC32校验示例（STM32 HAL库）

uint32_t calculate_crc(uint8_t *data, uint32_t len) {

   CRC_HandleTypeDef hcrc;

   hcrc.Instance = CRC;

   HAL_CRC_Init(&hcrc);

   return HAL_CRC_Calculate(&hcrc, data, len);

}

写入阶段：将校验通过的固件写入非活跃分区（如当前运行A区则写入B区）

切换阶段：更新参数区活跃分区标识，触发复位

三、防砖保护机制：多级容错设计

1. 启动回滚机制

Bootloader启动时检查当前分区固件有效性：

读取参数区标识，确定待启动分区

校验该分区固件的CRC32

若校验失败，自动切换至另一分区并记录错误日志

2. 看门狗超时复位

在升级关键阶段（如Flash擦除/写入）启动硬件看门狗，若操作超时则强制复位：

c

// 启动独立看门狗（IWDG）示例

void IWDG_Init(void) {

   IWDG_HandleTypeDef hiwdg;

   hiwdg.Instance = IWDG;

   hiwdg.Init.Prescaler = IWDG_PRESCALER_32;

   hiwdg.Init.Reload = 0x0FFF; // 超时时间约1s

   HAL_IWDG_Init(&hiwdg);

   HAL_IWDG_Refresh(&hiwdg); // 喂狗

}

3. 金手指恢复通道

预留UART命令行接口，支持通过特定指令（如连续发送0x55AA）进入恢复模式，重新下载固件。

四、实测案例：工业网关升级优化

在某工业网关项目中，采用双分区架构后：

升级成功率：从单分区的82%提升至99.7%

恢复时间：变砖后自动恢复时间<5秒（原需人工烧录）

存储开销：仅增加128KB Flash占用（STM32H743VI，2MB Flash）

五、关键注意事项

Flash擦写次数：优先选择低擦写次数的分区作为备份区（如STM32的Bank2）

中断屏蔽：Flash操作期间需禁用全局中断，防止操作被打断

电压监测：升级时监测电源电压，低于阈值时暂停操作（如STM32的PWR_PVD配置）

六、总结

双分区固件升级架构通过空间换时间的方式，将升级风险从"不可逆"变为"可回滚"。结合启动校验、看门狗和恢复通道等防砖机制，可构建覆盖全流程的可靠性保障体系。实际开发中需根据芯片特性（如Flash布局、外设资源）调整实现细节，并通过压力测试（如反复断电）验证系统鲁棒性。