引 言
IAP即在应用中编程,对于嵌入式产品,指在不影响产品正常运行的情况下实现应用程序的更新。许多ARM芯片都提供该操作接口,相对于ISP(在系统编程)方式,具有方便灵活且不需要借助专用boot装载程序或工具的特点,而且在不影响嵌入式产品正常运行的情况下即可完成应用程序的动态升级。在工业控制领域尤其是电力系统控制领域中,嵌入式产品必须保证连续、稳定、可靠地运行,由各种原因导致的应用程序的更新都必须在产品正常运行过程中完成,因此许多用户对相关产品的IAP功能都有明确的要求。
LPC2214是Philips公司推出的一款32位ARM7TDMI-S工业用微控制器。内置256 KB高速Flash,128位宽度接口/加速器可以实现60 MHz的操作频率;配置有2个uART接口、4个外部片选,支持8、16、32外部总线;片内boot下载程序可以实现在系统编程(ISP)和在应用中编程(IAP)。由于该芯片的内置Flash速度很快,并且支持128位宽度接口/加速,应用程序存储并运行在片内Flash中可以获得较快的执行速度。
本文提供一种基于LPC2214的在应用编程方案,可以实现应用程序方便、可靠的升级,以及当地维护串口或远方GPRS方式的代码更新。更新过程中,通信中断、装置异常复位、装置停电等异常情况的发生,都不会导致因程序更新而造成的产品死机。
1嵌入式产品应用程序启动方式
在嵌入式产品中,应用程序可以运行在RAM或Flash中。对于中高端产品,由于要求较高的执行速度和效率,一般采用Coldfire、x86、PowerPC、ARM9等CPU。此类CPU一般都有DRAM控制器,支持DRAM操作,为了获得较快的执行速度,将应用程序从代码Flash中复制到DRAM的代码空间后才开始执行。对于x86模式,应用程序以文件方式保存在硬盘或电子盘上。在不同的嵌入式操作系统上,应用程序在DRAM上的展开方式存在一定差异,例如VxWorks系统可以完成对压缩应用程序的展开,而早期的PSOS操作系统则是直接展开,但其基本过程类似。
对于低端产品,由于成本的严格控制,在满足产品功能需求的前提下一般采用性价比较高的CPU,如8位、16位、低端ARM等。此类CPU一般有内部RAM、内部Flash,由于采用内部高速总线,内部Flash具有较高的执行速度。在外部RAM中运行的产品,执行速度较快,但是由于启动过程较为复杂,导致时间较长(尤其是x86系统,启动过程可能需要半分钟以上);而在Flash上直接运行的产品,即使CPU具有较高的主频,执行速度也会受到Flash速度的限制,但是此类产品启动较快,一般可以在几秒钟内完成启动。
嵌入式产品应用程序的启动方式决定了应用程序动态更新的方式。对于代码在外部RAM执行的情况,正常情况下更新Flash中的代码不会影响系统正常运行,实现起来较为简单。例如PC104模块,应用程序一般保存在电子盘上,以文件系统方式管理,应用程序的在线更新非常方便。对于代码在Flash上直接执行的情况,由于应用程序正常运行过程中会不断从Flash上读取指令,给在线更新程序带来一定困难,如果不借助一定手段或方法,很、难保证应用程序的可靠升级。
2硬件实现方案
本产品为电力负荷用电管理终端,用来实现对厂矿、企业、机关等电力用户的用电监测和控制,提高用电质量。终端产品通过GPRS/CDMA无线通信接口完成与电力局远方调度主站的信息交互。由于终端产品分散分布在一个区域的各个位置,调度主站必须通过GPRS/CDMA方式实现对终端产品应用程序的在线升级,因此产品在线升级的可靠性会对电力用户造成很大的影响。
终端产品采用图1所示的硬件方案。考虑到LPC2214片内Flash的特点,应用程序固化在内部Flash中并在其中执行。LPC2214通过数据线、地址线与RAM、外部Flash、LCD、扩展串口芯片连接,通过串行总线与A/D转换器通信。LPC2214本身提供的2路UART接口可以分别实现本地维护接口和GPRS/CDMA无线网络接口,扩展串口芯片可以扩展出2路UART,实现本地红外维护和RS485方式的抄表功能。
为了确保应用程序的在线更新,片外RAM和Flash除了满足应用程序的正常使用外,还必须满足应用程序更新时临时备份代码的需求。
3应用程序IAP实现方案
如图2所示,需要更新的应用程序代码通过GPRS/CDMA无线网络接口或本地维护接口下载到RAM的程序代码缓存区中。经过校验检查正确后,导入到外部Flash的应用程序代码区。导入成功后,设置相关标志,再通过LPC2214的IAP接口功能函数,将应用程序代码保存到CPU内部Flash中。由于应用程序运行在CPU内部的高速Flash上,因此产品正常运行过程中无法完成内部Flash中代码的更新。为了解决上述问题,采用“应用boot”的方式加以实现。将内部Flash分为2个区域:应用boot和应用程序代码区。应用boot为一个简单的应用程序,实现从外部Flash导入应用程序代码以及向应用程序代码区入口跳转的功能。应用boot存放在CPU内部Flash的开始部分,一旦写入后不再修改。产品上电或复位后,CPU的PC指针首先指向应用boot的入口,应用boot开始执行。一旦检测到外部Flash中有完整的用户代码需要更新,则通过LPC2214的IAP接口将应用程序代码导入到内部Flash的应用程序代码区,并跳转到应用程序代码的人口处执行新的应用程序;如果没有应用程序需要更新,boot程序会直接跳转到当前应用程序代码的入口处执行。
在整个应用程序在线升级过程中,应用程序代码正常写入片外Flash之前都不影响产品的正常运行。正确写入片外Flash后,应用程序自动复位,然后启动应用boot,通过应用boot将新的应用程序写入内部Flash。经测试,该过程可以在10 s内完成,完全满足用户的使用要求。
4应用boot设计
应用boot是应用代码更新的关键,它不但解决了在线升级的问题,而且提供了一种异常防护机制。即使在内部Flash的应用程序代码区写入失败的情况下,由于boot可以正常运行,仍然可以通过boot程序的功能重新更新应用程序。boot程序基本功能包括:内部Flash更新、向应用程序跳转以及本地下载更新应用程序。为保证该软件的可靠性,同时考虑硬件配置情况,采用μC/OS-Ⅱ嵌入式操作系统。通过对该操作系统的合理裁剪和软件优化,可以将boot程序代码控制在12 KB以内,从而为应用程序代码提供了足够的片内Flash存储空间。
当boot程序从内部Flash中读取指令执行时,不能擦除该Flash。为解决该问题,boot程序执行时首先将boot程序代码复制到RAM中,然后跳转到RAM中执行,这样就可以对内部Flash的应用程序代码区进行修改操作。
boot程序的启动部分非常重要,会直接影响整个系统的运行情况。启动代码首先初始化CPU总线控制器;然后初始化RAM和外部Flash片选,将boot程序代码复制到RAM中并在RAM中执行;最后初始化堆栈和基本系统后进入主程序入口。
boot程序的IAP实现,主要包括两个接口函数:CPU内部Flash扇区的擦除和写入。对于擦除操作,按照IAP提供的操作方式即可实现,注意发送完擦除指令后需要一段时间的延时,并借助指令检查擦除是否成功。对于写入操作,需要根据IAP操作的相关要求,将数据首先复制到CPU的内部RAM中;然后通过相应的IAP写入命令将其写入到内部Flash中;写入操作完成后,需要进行一定的延时并检查写入是否成功。为了保证上述操作过程的完整性,对于μc/OS-II操作系统,需要借助OS_ENTER_CRITICAL函数进行必要的保护。
5异常情况应对措施
对于嵌入式产品的在线升级过程,突发的在线升级过程异常中止、装置停电或异常复位,以及更新程序代码错误等情况会导致严重后果,而本产品的IAP在线升级方案完全解决了上述问题,可以保证产品的可靠升级。
①在线升级过程异常中止的情况。外部无线网络或人为原因都可能导致代码下载中断的发生。而对于本产品,下载中止只会导致本次下载失败,再次开始下载即可;而且由于采用了断点续传的软件技术,后续下载可以从上次下载失败处继续进行,从而提高了下载效率。
②装置停电或异常复位的情况。当停电或复位发生在下载到外部RAM过程中时,只会导致本次下载失败,重新启动装置可以再次下载;发生在代码从外部RAM向外部Flash导入过程中时,也只会导致本次下载失败,不会影响产品的正常运行;发生在代码从外部Flash向CPU内部Flash导入过程中时,内部Flash的应用程序代码区被破坏,应用程序无法正常运行,但是boot程序可以继续工作,可以在boot程序中完成应用程序的更新工作。
③更新程序代码错误的情况。例如由于人为原因下载了一个错误版本的应用程序,导致产品循环异常复位无法正常运行。应用程序中加入了复位监测机制,当异常复位连续达到一定范围时会自动进入boot程序运行状态,可以在boot程序中完成应用程序的更新修复工作。
结 语
采用本IAP设计方案的终端产品,经过上千个用户现场的应用程序在线升级的实际应用检验,完全达到了快速、稳定、可靠的使用要求。该方案为现场服务人员和用户提供了一种简单、可靠的产品维护手段,对于其他嵌入式产品的设计和开发也具有一定的指导和借鉴意义。