在物聯網設備、工業(yè)控制器等嵌入式系統中，固件升級是功能迭代與漏洞修復的關鍵環(huán)節(jié)。然而，升級過程中斷電或固件損壞可能導致設備變磚（無法啟動）。本文聚焦雙分區(qū)固件升級架構與防磚保護機制，提供可落地的開發(fā)方案。

一、雙分區(qū)架構設計：冗余存儲保障可靠性

傳統單分區(qū)方案在升級失敗時無法回滾，而雙分區(qū)架構通過交替使用A/B兩個固件分區(qū)實現風險隔離。以STM32H7為例，其Flash通常劃分為：

Bootloader區(qū)：固定地址（如0x08000000），存儲啟動代碼與升級邏輯

固件A區(qū)：主固件（0x08020000）

固件B區(qū)：備份固件（0x08100000）

參數區(qū)：存儲當前活躍分區(qū)標識（如0x081E0000）

c

// Flash分區(qū)定義（STM32CubeIDE配置示例）

#define BOOTLOADER_ADDR  0x08000000

#define FIRMWARE_A_ADDR  0x08020000

#define FIRMWARE_B_ADDR  0x08100000

#define PARAM_ADDR       0x081E0000

二、固件升級流程：原子操作防中斷

升級過程需遵循"下載-驗證-切換"的原子操作原則，避免中間狀態(tài)暴露：

下載階段：Bootloader通過UART/USB/CAN接收新固件，暫存至RAM或備用Flash區(qū)域

校驗階段：計算CRC32或SHA256校驗和，與服務器下發(fā)的摘要比對

c

// CRC32校驗示例（STM32 HAL庫）

uint32_t calculate_crc(uint8_t *data, uint32_t len) {

   CRC_HandleTypeDef hcrc;

   hcrc.Instance = CRC;

   HAL_CRC_Init(&hcrc);

   return HAL_CRC_Calculate(&hcrc, data, len);

}

寫入階段：將校驗通過的固件寫入非活躍分區(qū)（如當前運行A區(qū)則寫入B區(qū)）

切換階段：更新參數區(qū)活躍分區(qū)標識，觸發(fā)復位

三、防磚保護機制：多級容錯設計

1. 啟動回滾機制

Bootloader啟動時檢查當前分區(qū)固件有效性：

讀取參數區(qū)標識，確定待啟動分區(qū)

校驗該分區(qū)固件的CRC32

若校驗失敗，自動切換至另一分區(qū)并記錄錯誤日志

2. 看門狗超時復位

在升級關鍵階段（如Flash擦除/寫入）啟動硬件看門狗，若操作超時則強制復位：

c

// 啟動獨立看門狗（IWDG）示例

void IWDG_Init(void) {

   IWDG_HandleTypeDef hiwdg;

   hiwdg.Instance = IWDG;

   hiwdg.Init.Prescaler = IWDG_PRESCALER_32;

   hiwdg.Init.Reload = 0x0FFF; // 超時時間約1s

   HAL_IWDG_Init(&hiwdg);

   HAL_IWDG_Refresh(&hiwdg); // 喂狗

}

3. 金手指恢復通道

預留UART命令行接口，支持通過特定指令（如連續(xù)發(fā)送0x55AA）進入恢復模式，重新下載固件。

四、實測案例：工業(yè)網關升級優(yōu)化

在某工業(yè)網關項目中，采用雙分區(qū)架構后：

升級成功率：從單分區(qū)的82%提升至99.7%

恢復時間：變磚后自動恢復時間<5秒（原需人工燒錄）

存儲開銷：僅增加128KB Flash占用（STM32H743VI，2MB Flash）

五、關鍵注意事項

Flash擦寫次數：優(yōu)先選擇低擦寫次數的分區(qū)作為備份區(qū)（如STM32的Bank2）

中斷屏蔽：Flash操作期間需禁用全局中斷，防止操作被打斷

電壓監(jiān)測：升級時監(jiān)測電源電壓，低于閾值時暫停操作（如STM32的PWR_PVD配置）

六、總結

雙分區(qū)固件升級架構通過空間換時間的方式，將升級風險從"不可逆"變?yōu)?可回滾"。結合啟動校驗、看門狗和恢復通道等防磚機制，可構建覆蓋全流程的可靠性保障體系。實際開發(fā)中需根據芯片特性（如Flash布局、外設資源）調整實現細節(jié)，并通過壓力測試（如反復斷電）驗證系統魯棒性。