AURIX™TC3xx基于以太网的OTA研究与实现

OTA 系统功能示意如图1所示：

图1 系统功能示意图

在进行SOTA更新时，需要把旧的应用程序擦除，把新的应用程序写入。常规的实现方式需要分别开发BootLoader程序和APP程序，MCU上电先运行BootLoader，BootLoader根据情况选择是否跳转到APP和是否进行程序更新。具体来说有以下几种方式：

注释：同时也可以将方案一和方案二相结合，即先采用方案一在BootLoader程序中内置通讯协议栈，更新时，先向MCU发送指令使其跳转到BootLoader。之后接收更新数据的时候，采用方案二的方法，先将数据暂存于Flash，待数据全部接收完成后再擦除旧的APP，写入新的APP。结合方案一和方案二的优点，且能在没有APP或APP损坏的状态下实现程序更新。缺点是BootLoader代码量更大，Flash空间占用更大。

英飞凌AURIX™ TC3xx实现上述SOTA方案拓扑图，如图2 所示：

图2  TC3xx实现SOTA方案常见拓扑图

经过上面的分析，可以看到几种常见方案都有其优缺点。但对于TC3xx这一类的MCU来说，Flash容量通常都很大，足够用，所以通常可以先把APP暂存下来再进行更新，防止数据传输中断导致APP不可用。

同时AURIX™ TC3xx也支持AB SWAP功能。以方案三为例：TC3xx系列如果使能SOTA功能，它的AB Bank Flash物理地址支持两种不同物理地址映射到同一个逻辑地址方式（MCU自动从两种物理地址映射一个虚拟地址），从而使得APP编译时不需要区分AB区，使用相同的逻辑地址即可，从而避免了方案三的硬伤，为我们提供了一种最佳的SOTA方案。接下来，我们将以方案三作为基础，结合实例详细讲解使用英飞凌AURIX™ TC3xx如何实现更优的SOTA。

TC3xx的Flash地址映射方式

首先， TC33x和TC33xED不支持AB SWAP功能，其他TC3xx设备都能够通过AB SWAP功能实现SOTA软件更新。

TC3xx 如果使能了AB SWAP功能，Flash大小实际能用的最少减半，TC3xx各系列AB SWAP能力如图3所示。

图3  TC3xx支持AB SWAP功能芯片系列及映射关系

启用SOTA功能时，通过将PFLASH拆分为两A和B两个Bank的能力，其中一组可以读取和执行BANK组，而另一组可以写入新代码。因此虽然单个物理PFLASH Bank中不支持同时读写（RWW）功能，但是通过AB分组支持未使用的BANK组提供安全可靠地对数据执行写入和擦除操作的能力来实现SOTA功能。

举例TC387 AB SWAP特性

为了方便理解英飞凌TC3xx  SOTA 功能，我们以TC387为例进行分析。TC387 PFLASH 10M空间映射关系，使能了AB  SWAP后，实际使用大小为4M，如图4所示：

图4 TC387 PFLASH 映射关系以及可用PFLASH大小

TC387的4M PFlash地址空间无论是A Bank还是B Bank, 对于用户来说，统一为虚拟地址0X80000000-0x803FFFFF 4M地址空间。但是刷写过程中， A bank实际操作物理地址0X80000000-0x803FFFFF 4M空间，B Bank 实际操作物理地址0X8060 0000-0x80AF FFFF 4M空间。

注意，如果使能了AB SWAP功能，TC3xx PFLASH就没有所谓Local PFLASH和Global PFLASH概念，统一理解为Global PFLASH。CPU访问PFLASH由之前的CPUｘ可以通过Local总线访问本PFLASHｘ提高访问速度，变为CPUｘ访问PFLASH只能通过Global总线从而稍微增加了CPU访问PFLASH时间。具体参考图5所示。

图5  SOTA功能使能后只能通过Global总线访问PFLASH

TC3xx的SOTA功能描述

当TC387 SOTA功能激活时，PFLash被划分为两部分A Bank和B Bank，一部分用来存储读取可执行代码（active bank），另一部分可用来写入（inactive bank）即刷写。当APP更新完毕后，两个部分互换，即切换上面两种地址映射方式。在标准模式下使用PF0-1作为active bank，后文称作组A，在Alternate模式下使用PF2-3作为active bank，后文称作组B，就可以实现第二章节所述方案三，且能写入完全相同的APP程序，以相同的地址（逻辑地址）进行运行。

需要注意的是，所有NVM操作都是通过DMU使用PFLASH的物理系统地址执行的，也就是说，NVM操作总是使用标准的地址映射，而不管选择使用哪种地址映射。“NVM操作”是一个术语，用于任何针对FLASH的命令，如程序、擦除等，但不包括读取代码。有关SOTA地址映射的参数在Flash中的UCB（User Configuration Block）中进行配置，在UCB中配置后，只有当下次MCU复位的时候才会更新配置，后文会有详细解释。

实现SOTA功能所需关注配置项

英飞凌AURIX™ TC3xx实现SOTA功能主要需要配置如图6所示：

图6 SOTA功能所需关注配置项

SOTA功能实现时SWAP配置及流程

SOTA功能应用时：分系统刚启动时SWAP配置和系统运行时SWAP配置。

系统启动时SWAP配置：

如果SOTA功能使能，那么代码生成的文件至少需要刷进Active Bank。为了信息安全，建议通过UCB_PFLASH设置相应的sectors读写保护。

起始地址需要在UCB_BMHD配置好。

如果当前选择的是标准地址，那么0x00000055H需要写入UCB_SWAP的MARKERL0.SWAP这个域。然后通过把MARKERL0.SWAP的地址写入MARKERH0.ADDR予以确认；同时，将CONFIRMATIONL0.CODE的地址写入CONFIRMATIONH0.ADDR；同时，将57B5327FH写入57B5327FH予以确认。

UCB_ OTP一次性刷写保护以设置所需的OTP、WOP和标定保护。请注意，任何受OTP或WOP保护的扇区都不能使用新映像重新编程。

如果使能了HSM，主核代码和HSM代码需要同时刷入到AB bank的PFLASH S0-S39。

任何受OTP保护的HSM扇区都不能使用新映像重新编程。

最后，由于SWAPEN是在UCB_OTP里面设置的，所以要在下一个重启后SOTA的使能才有效。具体流程，参考图7所示：

图7 系统刚启动时SWAP配置及流程

系统运行时SWAP配置：

下面是程序正在运行时，需要实现软件SWAP到新程序的配置流程。

为了可以正确切换到新程序中，首先新的程序需要刷到对应的非激活的PFLASH Bank，如果非激活的BANK中对应的sectors使能了读写保护，那么刷写之前要先解保护。

切记：由于NVM特性，PFLASH 和DFLASH不能同时操作。因此，在应用程序中运行的EEPROM驱动程序和执行BOOT刷写之间需要进行一些协调。确保要写入的新程序所用的的PFLASH正确无误。例如：如果在PFLASH的SOTA重新编程/擦除期间出现硬故障，可以使用替换逻辑扇区功能（有关更多详细信息，请参阅DMU章节）。此功能允许用户使用“替换逻辑扇区”命令序列将故障逻辑扇区映射到冗余扇区。

由于UCB刷写次数的限制（100次），我们可以通过16 个SWAP配置依次使用来增加SWAP的次数（100*16=1600次）。方式流程如下图8所示：

注意：上一次用过的配置，CONFIRMATIONL(x-1) ) 和CONFIRMATIONH(x-1) 全写为1。

增加SWAP次数，可以通过UCB_SWAP_ORIG/UCB_SWAP_COPY配置如下寄存器：

增加SWAP次数方法流程如图8所示：

图8 增加SWAP次数方法流程

图9 系统运行时SWAP配置

TC3xx  SWAP特性实现OTA功能后，特别注意以下五点：

1. Flash大小实际能用的最少减半，详情参考图3。

2. CPU访问Flash只能通过Global总线从而稍微增加了访问时间，参考图5。详细参数请查相应的数据手册。

3. PFLASH的prefetch功能被禁止，同样会稍微影响整个系统的性能。

4. 功能安全方面：Active Bank 的safety_endinit保护依旧存在，但是Inactive Bank的safety_endinit保护无效。

5. 信息安全方面：Active Bank 和Inactive Bank同样受信息安全相关寄存器的保护。

   
   

至此，TC3xx  SWAP特性实现SOTA功能的配置和流程介绍完毕。

推荐阅读

国内主机整车EEA架构汇总

谈谈整车控制器对油门信号处理的理解

谈谈整车OTA系统的理解

五千字说清汽车基础软件及国产现状

带不带功能安全(IS26262)的区别，功能安全要做啥？

谈谈simulink自动代码生成

浅谈电机控制器及其功能

谈谈Bootloader自更新

电子电气架构设计需要考虑哪些方面？

汽车E/E架构的网络安全分析

深度解读汽车域控制器

自动驾驶域控制器信息梳理

深度分析整车控制域现状与发展

分享不易，恳请点个【👍】和【在看】