在物聯(lián)網(wǎng)設(shè)備、工業(yè)控制器等嵌入式系統(tǒng)中，固件升級是功能迭代與漏洞修復(fù)的關(guān)鍵環(huán)節(jié)。然而，升級過程中斷電或固件損壞可能導(dǎo)致設(shè)備變磚（無法啟動）。本文聚焦雙分區(qū)固件升級架構(gòu)與防磚保護(hù)機制，提供可落地的開發(fā)方案。

一、雙分區(qū)架構(gòu)設(shè)計：冗余存儲保障可靠性

傳統(tǒng)單分區(qū)方案在升級失敗時無法回滾，而雙分區(qū)架構(gòu)通過交替使用A/B兩個固件分區(qū)實現(xiàn)風(fēng)險隔離。以STM32H7為例，其Flash通常劃分為：

Bootloader區(qū)：固定地址（如0x08000000），存儲啟動代碼與升級邏輯

固件A區(qū)：主固件（0x08020000）

固件B區(qū)：備份固件（0x08100000）

參數(shù)區(qū)：存儲當(dāng)前活躍分區(qū)標(biāo)識（如0x081E0000）

c

// Flash分區(qū)定義（STM32CubeIDE配置示例）

#define BOOTLOADER_ADDR  0x08000000

#define FIRMWARE_A_ADDR  0x08020000

#define FIRMWARE_B_ADDR  0x08100000

#define PARAM_ADDR       0x081E0000

二、固件升級流程：原子操作防中斷

升級過程需遵循"下載-驗證-切換"的原子操作原則，避免中間狀態(tài)暴露：

下載階段：Bootloader通過UART/USB/CAN接收新固件，暫存至RAM或備用Flash區(qū)域

校驗階段：計算CRC32或SHA256校驗和，與服務(wù)器下發(fā)的摘要比對

c

// CRC32校驗示例（STM32 HAL庫）

uint32_t calculate_crc(uint8_t *data, uint32_t len) {

   CRC_HandleTypeDef hcrc;

   hcrc.Instance = CRC;

   HAL_CRC_Init(&hcrc);

   return HAL_CRC_Calculate(&hcrc, data, len);

}

寫入階段：將校驗通過的固件寫入非活躍分區(qū)（如當(dāng)前運行A區(qū)則寫入B區(qū)）

切換階段：更新參數(shù)區(qū)活躍分區(qū)標(biāo)識，觸發(fā)復(fù)位

三、防磚保護(hù)機制：多級容錯設(shè)計

1. 啟動回滾機制

Bootloader啟動時檢查當(dāng)前分區(qū)固件有效性：

讀取參數(shù)區(qū)標(biāo)識，確定待啟動分區(qū)

校驗該分區(qū)固件的CRC32

若校驗失敗，自動切換至另一分區(qū)并記錄錯誤日志

2. 看門狗超時復(fù)位

在升級關(guān)鍵階段（如Flash擦除/寫入）啟動硬件看門狗，若操作超時則強制復(fù)位：

c

// 啟動獨立看門狗（IWDG）示例

void IWDG_Init(void) {

   IWDG_HandleTypeDef hiwdg;

   hiwdg.Instance = IWDG;

   hiwdg.Init.Prescaler = IWDG_PRESCALER_32;

   hiwdg.Init.Reload = 0x0FFF; // 超時時間約1s

   HAL_IWDG_Init(&hiwdg);

   HAL_IWDG_Refresh(&hiwdg); // 喂狗

}

3. 金手指恢復(fù)通道

預(yù)留UART命令行接口，支持通過特定指令（如連續(xù)發(fā)送0x55AA）進(jìn)入恢復(fù)模式，重新下載固件。

四、實測案例：工業(yè)網(wǎng)關(guān)升級優(yōu)化

在某工業(yè)網(wǎng)關(guān)項目中，采用雙分區(qū)架構(gòu)后：

升級成功率：從單分區(qū)的82%提升至99.7%

恢復(fù)時間：變磚后自動恢復(fù)時間<5秒（原需人工燒錄）

存儲開銷：僅增加128KB Flash占用（STM32H743VI，2MB Flash）

五、關(guān)鍵注意事項

Flash擦寫次數(shù)：優(yōu)先選擇低擦寫次數(shù)的分區(qū)作為備份區(qū)（如STM32的Bank2）

中斷屏蔽：Flash操作期間需禁用全局中斷，防止操作被打斷

電壓監(jiān)測：升級時監(jiān)測電源電壓，低于閾值時暫停操作（如STM32的PWR_PVD配置）

六、總結(jié)

雙分區(qū)固件升級架構(gòu)通過空間換時間的方式，將升級風(fēng)險從"不可逆"變?yōu)?可回滾"。結(jié)合啟動校驗、看門狗和恢復(fù)通道等防磚機制，可構(gòu)建覆蓋全流程的可靠性保障體系。實際開發(fā)中需根據(jù)芯片特性（如Flash布局、外設(shè)資源）調(diào)整實現(xiàn)細(xì)節(jié)，并通過壓力測試（如反復(fù)斷電）驗證系統(tǒng)魯棒性。