什么是SOTA?
SOTA全称是云端软件升级(Software updates Over The Air),就是指在不连接烧写器的情况下,通过CAN、UART或其它通讯方式,实现应用程序的更新。
在进行SOTA时,需要把旧的应用程序擦除,把新的应用程序写入。常规的实现方式需要分别开发BootLoader程序和APP程序,MCU上电先运行BootLoader,BootLoader根据情况选择是否跳转到APP和是否进行程序更新。具体来说有以下几种方式:方案一:更新程序时,由APP接收更新数据并暂存于Flash,再将APP更新标志位置位;MCU重启时,BootLoader检查更新标志位,如有效,则擦除旧的APP,再将暂存于Flash的新APP数据写入APP运行地址处。该方案的优点是更新数据的接收由APP完成,BootLoader不需要通讯协议栈,代码量更小,且数据传输中断时,原有APP不损坏。缺点是需要额外的Flash空间暂存更新数据。方案二:BootLoader中内置通讯协议栈,更新时,先向MCU发送指令使其跳转到BootLoader,之后先擦除旧APP,在接收新APP的同时直接将其写入Flash的APP运行地址处。该方案的优点是不需要额外的Flash暂存数据,缺点是BootLoader代码更复杂,且如果数据传输发生中断,旧的APP将不能被恢复。该方案更适合Flash容量较小的MCU。方案三:将方案一和方案二相结合,即在BootLoader程序中内置通讯协议栈,更新时,先向MCU发送指令使其跳转到BootLoader,之后接收更新数据的时候,采用方案一的方法,先将数据暂存于Flash,待数据全部接收完成后再擦除旧的APP,写入新的APP。该方案结合了方案一和方案二的优点,且能在没有APP或APP损坏的状态下实现程序更新。缺点是BootLoader代码量更大,Flash空间占用更大。方案四:在Flash中划分出两块相同大小的区域,分为A区和B区,都用来存放APP,但同一时间下只有一个区的APP是有效的,分别设置一个标志位标识其有效性。初始状态下先将APP写入A区,更新的时候,将新的APP写入B区,再把A区的APP擦除,同时更新两个区的有效性标志位状态。BootLoader中判断哪个区的APP有效,就跳转到哪个区运行。这种方法不需要重复拷贝APP数据,但最大的一个缺陷是AB区的APP程序运行地址不同,需要分别编译,从而使得可应用性大大降低。经过上面的分析,可以看出来每种方案都有其优缺点,对于Flash容量较小的MCU,通常采用方案二,因为没有过多的空间暂存APP更新数据。但对于TC3XX这一类的MCU来说,Flash容量通常都很大,足够用,所以通常要先把APP暂存下来再进行更新,防止数据传输中断导致APP不可用。上面的方案一、三、四都能实现,但并不完美。TC3XX系列的SOTA机制更类似于方案四,但它的Flash支持两种地址映射方式,从而使得APP编译时不需要区分AB区,使用相同的地址即可,从而避免了方案四的硬伤,为我们提供了一种最佳的SOTA方案。TC3XX的Flash地址映射方式
我们以TC397的Flash为例,用于存储程序代码的PFlash的标准地址映射方式(Standard Address Map)如下,表中PF0-PF5代表物理意义上的5块Flash。第二种地址映射方式被称为 Alternate Address Map,如下表所示,标准模式下PF0-1的地址范围现在被映射到了PF2-3,PF4的地址范围被映射到了PF5。TC3XX的SOTA功能描述
当SOTA功能激活时,PFLash被划分为两部分,一部分用来存储可执行代码(active bank),另一部分可用来读取和写入(inactive bank)。当APP更新完毕后,两个部分互换,即切换上面两种地址映射方式。在标准模式下使用PF0-1和PF4作为active bank,后文称作组A,在Alternate模式下使用PF2-3和PF5作为active bank,后文称作组B,就可以实现上述方案四,且能写入完全相同的APP程序,以相同的地址进行运行。
需要注意的是,所有NVM操作都是通过DMU使用PFLASH的物理系统地址执行的,也就是说,NVM操作总是使用标准的地址映射,而不管选择使用哪种地址映射。“NVM操作”是一个术语,用于任何针对FLASH的命令,如程序、擦除等,但不包括读取和执行代码。有关SOTA地址映射的参数在Flash中的UCB(User Configuration Block)中进行配置,在UCB中配置后,只有当下次MCU复位的时候才会更新配置。SOTA的配置参数
该参数决定是否开启SOTA模式,在寄存器Tuning Protection Configuration中的SWAPEN进行配置,定义如下:在UCB_SWAP区域中,对SOTA模式下使用哪种地址映射进行配置。MARKERL中的SWAP就是标记使用标准地址映射还是Alternate地址映射。MARKERH中存着与之相对应的MARKERLx.SWAP的入口地址,是用来做校验的。③ CONFIRMATIONLx (x=0-15)CONFIRMATIONL是确认代码,要写入固定的0x57B5327F,上面的MARKERLx.SWAP才有效。MARKERH中存着与之对应的 CONFIRMATIONLx.CODE的入口地址,也是用来做校验的。SOTA的初始化配置
初始化状态是使用标准地址映射,此时SOTA模式未启用。按以下步骤启用SOTA:① 用烧写器把APP烧写进PFlash的组A地址处。③ 向MARKERH0写入MARKERL0的系统地址。④ 向CONFERMATIONL0写入0x57B5327F。⑤ 向CONFERMATIONH0写入CONFERMATIONL0的系统地址。⑥ 将UCB_OTP0中SWAPEN标志位置为Enable。经过上面的步骤,就事MCU进入了SOTA模式,其中步骤②-⑤是为了启用标准地址映射。手册中给了如下的流程图供参考,其中一些加解密的步骤我这里省略了,暂时没有详细研究:SOTA的后续配置
上面说的是第一次启用SOTA时的配置,下面我们就来看一下SOTA启用后,进行APP更新的步骤:① 将新的APP写入PFlash中未激活的部分,即上文提到的Inactive Bank,并进行准确性校验。② 如果新的APP被写入组B,则向MARKERLx.SWAP写入0x000000AA,启用Alternate地址映射模式;如果新的APP被写入组A,则向MARKERLx.SWAP写入0x00000055,启用标准地址映射模式。(x是0-15的值,从0开始向上递增,由上文可知UCB_SWAP最多能存储16组标志值,存满后再擦除重新写入。)③ MARKERHx.ADDR、CONFIRMATIONLx.CODE和CONFIRMATIONHx.ADDR配置同上文。④ 向CONFIRMATIONL(x-1).CODE再次写入0xFFFFFFFF,来使上一组UCB_SWAP值失效。向PFlash再次写入全1的值不会导致PFlash操作错误。以上就是Tricore TC3XX系列SOTA机制的介绍,我目前也只是看了手册,还没有实际运用过,有不正确的地方欢迎大家交流讨论。
版权声明:本文为CSDN博主「老孟(MLY)」的原创文章,遵循CC 4.0 BY-SA版权协议,已获作者转载权限。一文详解奥迪e-tron内部系统 |附下载
ID.3 和大众的电气化平台 |附下载
一文详解CAN总线错误帧|附下载
DoIP协议介绍,资料分享!
详解车载网络 OTA系统的开发|文末附下载
一文了解汽车嵌入式AUTOSAR架构|附下载
详解汽车Bootloader设计
特斯拉Autopilot系统安全研究|附dbc下载
