单Bank MCU无感升级方案与SPI Flash优化实践

1. 项目概述：单区MCU的无感升级挑战

在消费电子产品领域，固件升级体验直接影响用户满意度。传统单Bank MCU的OTA流程存在明显痛点：用户需要等待漫长的固件传输过程（通常2-5分钟），期间设备处于不可用状态。这种"黑屏等待"的体验对于智能手表、智能家居等日常设备而言完全不可接受。

1.1 核心需求解析

理想的无感升级应满足以下关键指标：

• 后台静默下载：用户正常使用APP时，新固件已在后台完成下载
• 快速切换：重启后升级过程控制在3秒内完成
• 安全可靠：支持版本回滚，防止变砖
• 低成本实现：不依赖高端硬件（如双Bank Flash）

以STM32F103为例，其单Bank Flash架构导致传统方案必须擦除旧固件才能写入新固件。我们的解决方案通过外挂SPI Flash（如W25Q64）构建"伪双区"架构，将升级时间从分钟级缩短到秒级。

提示：选择SPI Flash时需注意，W25Q系列兼容性好但速度一般，GD25Q系列性价比更高但需验证驱动兼容性。实测GD25Q80在Quad SPI模式下可达30MB/s读取速度。

1.2 系统架构设计

存储分区方案：

硬件连接示意图：

code复制[MCU] -- SPI --> [W25Q64]
       |-- GPIO --> FLASH_CS
       |-- GPIO --> FLASH_WP(可选)
       |-- GPIO --> FLASH_HOLD(可选)

2. 核心算法实现：安全交换机制

2.1 扇区交换算法详解

交换算法的核心挑战在于：如何在有限的RAM资源下（通常<20KB）安全交换Internal和External Flash的内容。我们采用三阶段交换协议：

c复制// 伪代码示例
void sector_swap(uint32_t sector_num) {
    // 阶段1：备份旧固件到交换区
    spi_flash_read(sector_num*4096, scratch_buf, 4096);
    spi_flash_erase(SCRATCH_SECTOR);
    spi_flash_write(SCRATCH_ADDR, scratch_buf, 4096);
    
    // 阶段2：写入新固件
    internal_flash_erase(sector_num);
    spi_flash_read(NEW_FW_BASE + sector_num*4096, sector_buf, 4096);
    internal_flash_write(sector_num*4096, sector_buf, 4096);
    
    // 阶段3：转存旧固件到备份区
    spi_flash_read(SCRATCH_ADDR, scratch_buf, 4096);
    spi_flash_erase(BACKUP_SECTOR + sector_num);
    spi_flash_write(BACKUP_BASE + sector_num*4096, scratch_buf, 4096);
}

2.2 掉电保护实现

为确保交换过程意外断电时的安全性，需要在Flash中维护状态机：

c复制typedef struct {
    uint8_t current_sector;
    uint8_t phase;  // 0=未开始 1=备份完成 2=写入完成
    uint32_t crc32;
} upgrade_state_t;

操作流程：

1. 开始交换前写入状态为
2. 完成阶段1后更新为
3. 完成阶段2后更新为
4. 整个扇区完成后清除状态

Bootloader启动时检查该状态：

• 如果phase=1：从交换区恢复旧固件
• 如果phase=2：继续下一个扇区
• 其他情况：视为正常启动

3. Bootloader自升级方案

3.1 二级引导设计

安全的自升级需要分层设计：

code复制0x08000000 +-------------------+
           | Immutable Boot     | <-- 永不更新(4KB)
           | (仅做CRC检查和跳转)|
0x08001000 +-------------------+
           | Main Bootloader    | <-- 可更新区域
           | (含加密/解密功能)  |
0x0800F000 +-------------------+
           | Application        |
           | (用户固件)         |
0x08080000 +-------------------+

3.2 RAM Updater实现要点

关键实现步骤：

1. 准备一个独立的updater工程，编译生成纯二进制文件
2. 确保updater代码位置无关(PIC)且全部使用相对跳转
3. 在Bootloader中添加updater加载逻辑：

c复制void update_bootloader(void) {
    // 1. 校验updater镜像
    if(!verify_updater()) return;
    
    // 2. 复制到RAM
    memcpy((void*)0x2000F000, updater_bin, updater_size);
    
    // 3. 设置栈指针和PC
    __asm volatile(
        "mov sp, %0\n"
        "bx %1"
        : 
        : "r" (UPGRADE_STACK), "r" (UPGRADE_ENTRY)
    );
}

危险：必须确保updater代码完全位置无关，任何绝对地址访问都会导致崩溃。建议用-fPIC编译选项并手动检查汇编输出。

4. 文件系统集成方案

4.1 LittleFS移植要点

在SPI Flash上实现可靠的文件系统需要特殊配置：

c复制struct lfs_config cfg = {
    .read  = spi_flash_read,
    .prog  = spi_flash_write,
    .erase = spi_flash_erase,
    .sync  = spi_flash_sync,
    .read_size = 64,
    .prog_size = 256,
    .block_size = 4096,
    .block_count = 2048,  // 8MB Flash
    .block_cycles = 500,
    .cache_size = 512,
    .lookahead_size = 512,
};

4.2 版本管理实现

典型文件布局：

code复制/lfs/
  ├── system/
  │   ├── config.ini
  │   └── metadata
  ├── firmware/
  │   ├── v1.0.0.bin
  │   ├── v1.1.0.bin
  │   └── v2.0.0.bin
  └── backup/
      └── golden.bin

config.ini示例：

ini复制[Boot]
CurrentVersion = v1.1.0
NextVersion = v2.0.0
FallbackCount = 3

5. 实战优化技巧

5.1 性能提升方法

1. QSPI加速：配置Quad SPI模式并启用DMA

   c复制// STM32 QSPI配置示例
   hqspi.Instance = QUADSPI;
   hqspi.Init.ClockPrescaler = 1;  // 最高时钟
   hqspi.Init.FifoThreshold = 4;
   hqspi.Init.SampleShifting = QSPI_SAMPLE_SHIFTING_HALFCYCLE;
   hqspi.Init.FlashSize = 23;      // 16MB地址空间
   hqspi.Init.ChipSelectHighTime = QSPI_CS_HIGH_TIME_2_CYCLE;
   hqspi.Init.ClockMode = QSPI_CLOCK_MODE_0;
   

2. 预取优化：在搬运数据前预先擦除目标扇区

   c复制for(int i=0; i<sector_count; i++) {
       pre_erase_sector(i);  // 后台异步擦除
       download_data(i);     // 并行下载
   }
   

5.2 常见问题排查

问题1：升级后卡在Bootloader

• 检查向量表偏移是否设置正确：SCB->VTOR = FLASH_BASE | 0x10000;
• 验证栈指针初始化：确保bin文件前4字节是正确的初始SP值

问题2：SPI Flash写入失败

• 检查写保护引脚状态
• 验证发送WREN指令后读取WEL位
• 降低时钟频率测试（有些Flash芯片在高温下需要降频）

问题3：RAM Updater崩溃

• 检查链接脚本是否生成位置无关代码
• 验证所有中断在跳转前已禁用
• 确保没有使用任何绝对地址访问（包括全局变量）

6. 安全增强措施

6.1 加密方案选择

推荐使用AES-128-CTR模式加密固件：

c复制void encrypt_firmware(uint8_t* data, uint32_t len) {
    mbedtls_aes_context aes;
    mbedtls_aes_init(&aes);
    mbedtls_aes_setkey_enc(&aes, key, 128);
    
    uint8_t iv[16] = {0};
    uint8_t stream_block[16] = {0};
    size_t nc_off = 0;
    
    mbedtls_aes_crypt_ctr(&aes, len, &nc_off, iv, 
                         stream_block, data, data);
}

6.2 安全启动流程

完整校验流程：

1. 检查Immutable Boot签名（ECDSA-P256）
2. 验证Main Bootloader的CRC和版本
3. 解密应用程序固件头
4. 检查应用程序签名
5. 验证硬件绑定信息（如UID加密哈希）

7. 量产测试方案

7.1 自动化测试框架

推荐测试用例：

python复制class TestBootloader(unittest.TestCase):
    def test_swap_algorithm(self):
        # 模拟断电测试
        for sector in range(0, 256, 16):
            power_cycle_at(sector, phase=1)
            self.assertTrue(check_recovery())
            
    def test_updater(self):
        # 注入错误updater测试恢复
        flash_write(0x90000, corrupt_data)
        trigger_update()
        self.assertEqual(get_state(), 'recovery_mode')

7.2 压力测试方法

1. 连续升级测试：循环升级100次，检查Flash磨损
2. 边界测试：传输故意损坏的固件包
3. 低电压测试：在2.7V-3.6V区间随机断电

我在实际项目中总结出一个黄金法则：每次升级流程修改后，必须进行至少50次完整升级循环测试，其中包含5次随机断电测试。这个简单的规则帮我们避免了90%以上的现场故障。