在物聯(lián)網(wǎng)設(shè)備、工業(yè)控制器等嵌入式系統(tǒng)中，固件升級(jí)是功能迭代與漏洞修復(fù)的關(guān)鍵環(huán)節(jié)。然而，升級(jí)過(guò)程中斷電或固件損壞可能導(dǎo)致設(shè)備變磚（無(wú)法啟動(dòng)）。本文聚焦雙分區(qū)固件升級(jí)架構(gòu)與防磚保護(hù)機(jī)制，提供可落地的開(kāi)發(fā)方案。

一、雙分區(qū)架構(gòu)設(shè)計(jì)：冗余存儲(chǔ)保障可靠性

傳統(tǒng)單分區(qū)方案在升級(jí)失敗時(shí)無(wú)法回滾，而雙分區(qū)架構(gòu)通過(guò)交替使用A/B兩個(gè)固件分區(qū)實(shí)現(xiàn)風(fēng)險(xiǎn)隔離。以STM32H7為例，其Flash通常劃分為：

Bootloader區(qū)：固定地址（如0x08000000），存儲(chǔ)啟動(dòng)代碼與升級(jí)邏輯

固件A區(qū)：主固件（0x08020000）

固件B區(qū)：備份固件（0x08100000）

參數(shù)區(qū)：存儲(chǔ)當(dāng)前活躍分區(qū)標(biāo)識(shí)（如0x081E0000）

c

// Flash分區(qū)定義（STM32CubeIDE配置示例）

#define BOOTLOADER_ADDR  0x08000000

#define FIRMWARE_A_ADDR  0x08020000

#define FIRMWARE_B_ADDR  0x08100000

#define PARAM_ADDR       0x081E0000

二、固件升級(jí)流程：原子操作防中斷

升級(jí)過(guò)程需遵循"下載-驗(yàn)證-切換"的原子操作原則，避免中間狀態(tài)暴露：

下載階段：Bootloader通過(guò)UART/USB/CAN接收新固件，暫存至RAM或備用Flash區(qū)域

校驗(yàn)階段：計(jì)算CRC32或SHA256校驗(yàn)和，與服務(wù)器下發(fā)的摘要比對(duì)

c

// CRC32校驗(yàn)示例（STM32 HAL庫(kù)）

uint32_t calculate_crc(uint8_t *data, uint32_t len) {

   CRC_HandleTypeDef hcrc;

   hcrc.Instance = CRC;

   HAL_CRC_Init(&hcrc);

   return HAL_CRC_Calculate(&hcrc, data, len);

}

寫(xiě)入階段：將校驗(yàn)通過(guò)的固件寫(xiě)入非活躍分區(qū)（如當(dāng)前運(yùn)行A區(qū)則寫(xiě)入B區(qū)）

切換階段：更新參數(shù)區(qū)活躍分區(qū)標(biāo)識(shí)，觸發(fā)復(fù)位

三、防磚保護(hù)機(jī)制：多級(jí)容錯(cuò)設(shè)計(jì)

1. 啟動(dòng)回滾機(jī)制

Bootloader啟動(dòng)時(shí)檢查當(dāng)前分區(qū)固件有效性：

讀取參數(shù)區(qū)標(biāo)識(shí)，確定待啟動(dòng)分區(qū)

校驗(yàn)該分區(qū)固件的CRC32

若校驗(yàn)失敗，自動(dòng)切換至另一分區(qū)并記錄錯(cuò)誤日志

2. 看門(mén)狗超時(shí)復(fù)位

在升級(jí)關(guān)鍵階段（如Flash擦除/寫(xiě)入）啟動(dòng)硬件看門(mén)狗，若操作超時(shí)則強(qiáng)制復(fù)位：

c

// 啟動(dòng)獨(dú)立看門(mén)狗（IWDG）示例

void IWDG_Init(void) {

   IWDG_HandleTypeDef hiwdg;

   hiwdg.Instance = IWDG;

   hiwdg.Init.Prescaler = IWDG_PRESCALER_32;

   hiwdg.Init.Reload = 0x0FFF; // 超時(shí)時(shí)間約1s

   HAL_IWDG_Init(&hiwdg);

   HAL_IWDG_Refresh(&hiwdg); // 喂狗

}

3. 金手指恢復(fù)通道

預(yù)留UART命令行接口，支持通過(guò)特定指令（如連續(xù)發(fā)送0x55AA）進(jìn)入恢復(fù)模式，重新下載固件。

四、實(shí)測(cè)案例：工業(yè)網(wǎng)關(guān)升級(jí)優(yōu)化

在某工業(yè)網(wǎng)關(guān)項(xiàng)目中，采用雙分區(qū)架構(gòu)后：

升級(jí)成功率：從單分區(qū)的82%提升至99.7%

恢復(fù)時(shí)間：變磚后自動(dòng)恢復(fù)時(shí)間<5秒（原需人工燒錄）

存儲(chǔ)開(kāi)銷(xiāo)：僅增加128KB Flash占用（STM32H743VI，2MB Flash）

五、關(guān)鍵注意事項(xiàng)

Flash擦寫(xiě)次數(shù)：優(yōu)先選擇低擦寫(xiě)次數(shù)的分區(qū)作為備份區(qū)（如STM32的Bank2）

中斷屏蔽：Flash操作期間需禁用全局中斷，防止操作被打斷

電壓監(jiān)測(cè)：升級(jí)時(shí)監(jiān)測(cè)電源電壓，低于閾值時(shí)暫停操作（如STM32的PWR_PVD配置）

六、總結(jié)

雙分區(qū)固件升級(jí)架構(gòu)通過(guò)空間換時(shí)間的方式，將升級(jí)風(fēng)險(xiǎn)從"不可逆"變?yōu)?可回滾"。結(jié)合啟動(dòng)校驗(yàn)、看門(mén)狗和恢復(fù)通道等防磚機(jī)制，可構(gòu)建覆蓋全流程的可靠性保障體系。實(shí)際開(kāi)發(fā)中需根據(jù)芯片特性（如Flash布局、外設(shè)資源）調(diào)整實(shí)現(xiàn)細(xì)節(jié)，并通過(guò)壓力測(cè)試（如反復(fù)斷電）驗(yàn)證系統(tǒng)魯棒性。