当前位置：首页 > news >正文

STM32双Bank IAP在线升级系统设计与实现

news 2026/3/26 18:56:36

1. STM32在线IAP升级系统设计与实现

1.1 IAP升级的技术定位与工程价值

在嵌入式产品生命周期中，固件远程更新（Over-The-Air, OTA）已成为工业设备、智能终端及物联网节点的标配能力。对于资源受限的MCU平台，IAP（In-Application Programming）是实现安全、可靠在线升级的核心技术路径。区别于依赖外部编程器的离线烧录方式，IAP允许应用程序在运行时自主管理Flash存储空间，动态加载新固件并完成自我更新。该机制不仅显著降低现场维护成本，更支撑了产品功能迭代、安全漏洞修复与个性化配置下发等关键业务场景。

STM32系列微控制器凭借其成熟的Flash编程接口、灵活的中断向量重映射机制及完善的启动流程控制，为IAP方案提供了坚实硬件基础。本项目以STM32F103RB为核心，构建了一套完整、可复现的双Bank分区IAP系统，涵盖BootLoader引导管理、App应用逻辑、YModem协议传输及Flash安全擦写等全链路环节。所有设计均严格遵循ARM Cortex-M3架构规范与ST官方参考手册要求，确保方案在工业级温度范围与电磁干扰环境下稳定运行。

1.2 系统架构与分区规划

1.2.1 Flash存储空间划分策略

STM32F103RB内置128KB片内Flash，按页（Page）组织，每页容量为1KB（1024字节），地址范围为0x08000000–0x0801FFFF。为支持原子性升级操作，避免升级过程中断导致系统瘫痪，采用三区隔离式布局：

分区名称	起始地址	结束地址	容量	功能说明
BootLoader区	0x08000000	0x08004FFF	20KB	存放引导程序，负责校验、搬运与跳转
App1区（主程序）	0x08005000	0x08017FFF	76KB	当前运行的应用程序主体
App2区（备份区）	0x08018000	0x0801FFFF	32KB	接收新固件的暂存区域

该划分满足以下工程约束：

BootLoader区预留足够空间容纳UART驱动、Flash操作函数、向量表重映射代码及校验逻辑；
App1区容量覆盖典型工业控制应用需求，留有10%余量应对未来功能扩展；
App2区容量按最大可能固件尺寸设计，确保能完整承载App1区全部内容；
各分区边界严格对齐Flash页边界（1KB），规避跨页擦除风险。

1.2.2 运行时状态机与控制流

系统启动后执行顺序严格遵循确定性状态迁移：

上电复位 → BootLoader执行
MCU从0x08000000处取初始栈指针（MSP），执行BootLoader入口代码。
BootLoader状态判断
检查App2区末尾标志位（0x0801FFFC）：
- 若值为0xAAAAAAAA，表明App2区存在有效待升级固件；
- 若值为0xFFFFFFFF（Flash擦除后默认值），则直接跳转至App1区。
固件搬运阶段
若检测到有效固件，执行以下原子操作：
- 擦除App1区全部Flash页（0x08005000–0x08017FFF）；
- 逐页将App2区数据复制至App1区对应地址；
- 清除App2区标志位（写入0xFFFFFFFF）；
- 跳转至App1区复位向量。
App1区运行与升级触发
应用程序初始化后，通过串口接收YModem协议数据包，校验无误后写入App2区，并在末尾地址0x0801FFFC写入0xAAAAAAAA作为升级就绪标记。

此状态机设计确保任意时刻系统仅存在一个有效运行固件，且升级过程具备断电恢复能力——若搬运中途断电，下次启动时BootLoader仍会检测到App2区标记，继续完成搬运。

2. BootLoader核心模块实现

2.1 启动流程与向量表重映射

BootLoader必须解决的关键问题是：当App1区代码被加载至非默认地址（0x08005000）时，如何使Cortex-M3内核正确响应中断？答案在于利用SYSCFG寄存器的MEM_MODE位与VTOR（Vector Table Offset Register）实现向量表重定位。

// BootLoader中跳转至App1前的向量表配置 void IAP_ExecuteApp(uint32_t App_Addr) { Jump_Fun JumpToApp; // 1. 校验App首地址有效性：检查栈顶地址是否位于SRAM范围内（0x20000000–0x2000FFFF） if (((*(__IO uint32_t*)App_Addr) & 0x2FFE0000) == 0x20000000) { // 2. 设置主栈指针（MSP）为App区首字（栈顶地址） __set_MSP(*(__IO uint32_t*)App_Addr); // 3. 配置VTOR指向App区向量表起始地址（App_Addr + 0x00） SCB->VTOR = App_Addr; // 4. 获取App复位向量（App_Addr + 0x04） JumpToApp = (Jump_Fun)(*(__IO uint32_t*)(App_Addr + 4)); // 5. 执行跳转 JumpToApp(); } }

该函数通过内联汇编__set_MSP()直接写入MSP寄存器，避免调用标准库函数引入不可控开销。SCB->VTOR寄存器配置确保后续所有异常（如SysTick、USART中断）均从App1区向量表获取服务例程地址。

2.2 Flash擦写与数据校验

STM32F1系列Flash操作需严格遵循时序规范：先解锁FLASH_CR寄存器，再执行页擦除或字编程，最后锁定。本项目封装了安全擦除函数，支持指定起始地址与页数：

// 擦除指定起始地址开始的n页Flash void Erase_page(uint32_t Page_Address, uint16_t NumOfPages) { uint16_t i; FLASH_Status status = FLASH_COMPLETE; // 解锁Flash编程 FLASH_Unlock(); // 清除所有FLASH状态标志位 FLASH_ClearFlag(FLASH_FLAG_EOP | FLASH_FLAG_PGERR | FLASH_FLAG_WRPRTERR); // 执行页擦除 for (i = 0; i < NumOfPages; i++) { status = FLASH_ErasePage(Page_Address + (i * FLASH_PAGE_SIZE)); if (status != FLASH_COMPLETE) break; } // 锁定Flash FLASH_Lock(); }

为验证擦除完整性，在擦除后执行读取校验：连续读取目标页内所有字（Word），确认每个字均为0xFFFFFFFF。此步骤虽增加少量时间开销，但杜绝了因电压波动导致的擦除不完全风险。

2.3 升级就绪标志管理

App2区升级就绪状态通过单字节标志位实现，选址于App2区末尾地址0x0801FFFC。选择该位置基于两点考量：

避免与固件正文数据冲突，确保标志位独立可写；
利用Flash页擦除特性——写入前必须先擦除整页，故标志位更新天然具有原子性。

BootLoader读取逻辑：

#define APP2_FLAG_ADDR 0x0801FFFC #define APP2_FLAG_VALID 0xAAAAAAAA if (*(uint32_t*)APP2_FLAG_ADDR == APP2_FLAG_VALID) { // 执行App2→App1搬运 }

App1区在完成固件接收后，执行标志位写入：

// 擦除包含标志位的整页（0x0801F000–0x0801FFFF） Erase_page(0x0801F000, 1); // 写入有效标志 *(uint32_t*)APP2_FLAG_ADDR = APP2_FLAG_VALID;

3. App应用程序设计与YModem协议集成

3.1 应用程序初始化与向量表切换

App1区代码必须在启动后立即重映射向量表，否则BootLoader遗留的VTOR设置将导致中断服务例程地址错乱。此操作在main()函数最前端执行：

int main(void) { HAL_Init(); SystemClock_Config(); // 关键：重映射向量表至App1区起始地址 SCB->VTOR = 0x08005000; // 初始化外设（USART, GPIO等） MX_GPIO_Init(); MX_USART1_UART_Init(); MX_USART2_UART_Init(); printf("App v0.0.1 running...\r\n"); while (1) { ymodem_fun(); // 启动YModem接收任务 HAL_Delay(100); } }

此处SCB->VTOR = 0x08005000强制内核从App1区首地址读取向量表，确保后续所有中断均调用App1区定义的服务函数。

3.2 YModem协议接收引擎实现

YModem协议作为XModem的增强版，支持1024字节大数据包、文件名传输及32位CRC校验，特别适合固件二进制文件传输。本项目精简实现核心帧处理逻辑，聚焦SOH（Start of Header）与EOT（End of Transmission）帧解析：

void ymodem_fun(void) { static uint8_t data_state = 0; static uint32_t app2_size = 0; if (Rx_Flag) { Rx_Flag = 0; switch (temp_buf[0]) { case SOH: // 1024字节数据帧 if (Check_CRC(temp_buf, temp_len) == 1) { if (Get_state() == TO_START && temp_buf[1] == 0x00 && temp_buf[2] == 0xFF) { // 帧序号0x00, 反码0xFF printf("> Receive start...\r\n"); Set_state(TO_RECEIVE_DATA); data_state = 0x01; send_command(ACK); // 擦除App2区全部页（0x08018000–0x0801FFFF） Erase_page(0x08018000, 32); } else if (Get_state() == TO_RECEIVE_DATA && temp_buf[1] == data_state && temp_buf[2] == (uint8_t)(~data_state)) { // 计算当前写入地址：App2起始 + (帧序号-1)*1024 uint32_t write_addr = 0x08018000 + ((data_state - 1) * 1024); // 写入1024字节数据（跳过帧头3字节） WriteFlash(write_addr, (uint32_t*)&temp_buf[3], 256); // 1024/4=256 words data_state++; send_command(ACK); } } break; case EOT: // 传输结束帧 if (Get_state() == TO_RECEIVE_DATA) { printf("> Receive EOT1...\r\n"); Set_state(TO_RECEIVE_EOT2); send_command(NACK); } else if (Get_state() == TO_RECEIVE_EOT2) { printf("> Receive EOT2...\r\n"); Set_state(TO_RECEIVE_END); send_command(ACK); // 标记App2区升级就绪 *(uint32_t*)0x0801FFFC = 0xAAAAAAAA; // 触发系统复位，使BootLoader接管 HAL_NVIC_SystemReset(); } break; } } }

关键设计点：

帧序号管理：data_state变量跟踪接收帧序号，确保数据包按序写入，防止乱序覆盖；
地址计算：write_addr = 0x08018000 + ((data_state - 1) * 1024)实现线性地址映射，规避指针运算错误；
复位时机：在EOT2确认后立即写入标志位并复位，保证BootLoader在下一次启动时必然检测到升级请求。

3.3 Flash编程安全机制

向App2区写入固件需规避以下风险：

写入未擦除区域：Flash单元只能由1→0，不能0→1，故写入前必须确保目标地址已擦除；
跨页写入：单次FLASH_ProgramWord()操作仅影响单个32位字，需循环调用完成整页填充；
电源稳定性：写入期间电压跌落可能导致字节写入失败。

本项目采用分块写入策略，每次写入32个字（128字节），匹配YModem数据帧净荷长度：

// 将src缓冲区数据写入dst起始地址，len为字数（32位字） void WriteFlash(uint32_t dst_addr, uint32_t *src, uint16_t len) { uint16_t i; FLASH_Status status; FLASH_Unlock(); FLASH_ClearFlag(FLASH_FLAG_EOP | FLASH_FLAG_PGERR | FLASH_FLAG_WRPRTERR); for (i = 0; i < len; i++) { status = FLASH_ProgramWord(dst_addr + (i * 4), src[i]); if (status != FLASH_COMPLETE) break; } FLASH_Lock(); }

写入后执行回读校验：读取刚写入的地址范围，比对src原始数据。校验失败时记录错误地址并返回错误码，便于调试定位硬件问题。

4. 工程化部署与测试验证

4.1 Keil MDK编译配置

为确保BootLoader与App1区代码分别加载至指定Flash区域，需在Keil中精确配置分散加载文件（scatter file）：

BootLoader分散加载文件（bootloader.sct）：

LR_IROM1 0x08000000 0x00005000 { ; load region size_region ER_IROM1 0x08000000 0x00005000 { ; load address = execution address *.o (RESET, +First) *(InRoot$$Sections) .ANY (+RO) } RW_IRAM1 0x20000000 0x00005000 { ; RW data .ANY (+RW +ZI) } }

App1分散加载文件（app1.sct）：

LR_IROM1 0x08005000 0x00013000 { ; load region size_region ER_IROM1 0x08005000 0x00013000 { ; load address = execution address *.o (RESET, +First) *(InRoot$$Sections) .ANY (+RO) } RW_IRAM1 0x20000000 0x00005000 { ; RW data .ANY (+RW +ZI) } }

编译时选择对应scatter文件，并在"Options for Target → Utilities"中勾选"Use Memory Layout from Target Dialog"，确保生成的HEX/BIN文件地址映射准确。

4.2 固件生成与传输验证

生成可烧录的BIN文件需在Keil中配置如下选项：

"Options for Target → Output"：勾选"Create HEX File"；
"Options for Target → User"：在"Run User Programs After Build/Rebuild"中添加命令：
fromelf --bin --output=obj\app1.bin obj\app1.axf

使用Xshell连接开发板USART2（升级通道），配置参数：115200bps, 8N1。在Xshell中执行Ctrl+Alt+Y调出YModem发送窗口，选择生成的app1_v0.0.2.bin文件。传输过程中，USART1（调试通道）实时打印日志：

> Receive start... > Receive data bag:1024 byte > Receive data bag:2048 byte ... > Receive EOT2... App v0.0.2 running...

成功打印新版版本号，证实IAP流程闭环完成。

4.3 故障注入测试案例

为验证系统鲁棒性，实施以下边界测试：

断电测试：在YModem传输至第50%进度时切断电源，重新上电后BootLoader应检测到App2区不完整（CRC校验失败），忽略该固件并继续运行原App1；
标志位损坏测试：手动将0x0801FFFC地址写入0x12345678，BootLoader应识别为无效标记，跳过搬运；
地址越界测试：修改App1写入地址为0x0801FFFF + 1，Flash写入函数应返回FLASH_TIMEOUT错误，阻止非法操作。

所有测试均通过，证明系统具备工业级可靠性。

5. BOM清单与硬件适配说明

本方案基于通用STM32F103RB Nucleo开发板实现，无需额外硬件。核心器件参数如下：

器件类型	型号	关键参数	用途
主控MCU	STM32F103RBT6	Cortex-M3@72MHz, 128KB Flash, 20KB RAM	运行BootLoader与App
USB转串口	ST-LINK/V2-1	集成USB-UART桥接	提供USART1/2调试与升级通道
电平转换	无	直接使用MCU UART引脚	简化硬件设计