当前位置：首页 > news >正文

第九章：OTA 与 Flash 驱动 —— 如何用TDD验证固件升级逻辑的鲁棒性

news 2026/6/1 2:28:58

这一章我们将切入一个非常关键且具有挑战性的场景：OTA（Over-the-Air）固件更新。

OTA 逻辑最怕的是什么？是中途断电、Flash 写入失败、校验和不匹配。如果你在真机上测试这些异常，可能需要反复烧录、断开电源，甚至不小心把片子变“砖”。在 TDD 的世界里，我们可以优雅地模拟这些灾难。

9.1 OTA 测试的痛点

硬件寿命：频繁擦写内部 Flash 也是有寿命限制的。
场景模拟：你很难手动模拟“在写入第 1024 个字节时突然断电”。
复杂校验：CRC32、SHA256 的验证在 PC 上跑比在 MCU 上快得多。

9.2 接口抽象：`Storage_Interface.h`

为了让 OTA 逻辑可测，我们必须隔离 STM32 的HAL_FLASH_Program。

// Storage_Interface.h
#ifndef STORAGE_INTERFACE_H
#define STORAGE_INTERFACE_H

#include <stdint.h>
#include <stdbool.h>

typedef enum { FLASH_OK, FLASH_ERROR, FLASH_BUSY } FlashStatus_t;

FlashStatus_t HW_Flash_ErasePage(uint32_t page_addr);
FlashStatus_t HW_Flash_Write(uint32_t addr, uint8_t* data, uint32_t len);
void HW_System_Reset(void);

#endif

9.3 实战：测试“断点续传”逻辑

我们要实现一个 OTA 接收器：它按包接收固件，记录已写入的偏移量，如果写入失败要能重试。

编写测试 (test_Ota_Service.c)：我们要模拟一个非常极端的情况：第一次写入成功，第二次写入失败。

#include "unity.h"
#include "mock_Storage_Interface.h"
#include "Ota_Service.h"

void test_Ota_Should_HandleFlashWriteFailure(void) {
uint8_t dummy_data[128] = {0xA5};

// 1. 模拟第一包数据写入：返回成功
HW_Flash_Write_ExpectAndReturn(0x08010000, dummy_data, 128, FLASH_OK);
bool result = Ota_ProcessPacket(0, dummy_data, 128);
TEST_ASSERT_TRUE(result);

// 2. 模拟第二包数据写入：硬件突然报错（比如电压不稳或页损坏）
HW_Flash_Write_ExpectAndReturn(0x08010080, dummy_data, 128, FLASH_ERROR);

result = Ota_ProcessPacket(128, dummy_data, 128);

// 验证：逻辑层应该识别出失败，并返回 false，以便触发重传机制
TEST_ASSERT_FALSE(result);
}

9.4 进阶技巧：模拟“脏数据”与校验失败

在 OTA 中，校验和（Checksum）是最后一道防线。

void test_Ota_Should_RejectFirmware_WhenChecksumMismatch(void) {
// 模拟 Flash 读取出的数据
// 我们不需要真的读 Flash，直接 Mock 掉读取函数返回“坏数据”
HW_Flash_Read_StubWithCallback(my_Fake_Flash_Read_Bad_Data);

// 执行校验逻辑
bool is_valid = Ota_VerifyChecksum();

// 验证：校验不通过，且绝不调用系统重启去运行坏固件
TEST_ASSERT_FALSE(is_valid);
// 确保没有误触发系统重启（这也是一种验证）
HW_System_Reset_Expect(); // 如果你预期它报错后重启到 Bootloader
}