基于TC3xx SWAP特性实现SOTA功能的配置和流程

什么是OTA

OTA：Over-the-Air Technology，即空中下载技术。

OTA升级：通过OTA方式实现固件或软件的升级。通过无线通信方式实现软件升级，都可以叫OTA升级，比如无线以太网/蓝牙等。

HSM：Hardware Security Module 模块保证刷写的安全可靠。

OTA 系统功能示意如图1所示：

图1 系统功能示意图

几种常见的OTA实现方式比较及优势分析

在进行SOTA更新时，需要把旧的应用程序擦除，把新的应用程序写入。常规的实现方式需要分别开发BootLoader程序和APP程序，MCU上电先运行BootLoader，BootLoader根据情况选择是否跳转到APP和是否进行程序更新。具体来说有以下几种方式：

1、方案一

BootLoader中内置通讯协议栈，更新时，先向MCU发送指令使其跳转到BootLoader，之后先擦除旧APP，在接收新APP的同时直接将其写入Flash的APP运行地址处。该方案的优点是不需要额外的Flash暂存数据，缺点是BootLoader代码更复杂，且如果数据传输发生中断，旧的APP将不能被恢复。该方案更适合Flash容量较小的MCU。

2、方案二

更新程序时，由APP接收更新数据并暂存于Flash，再将APP更新标志位置位；MCU重启时，BootLoader检查更新标志位，如有效，则擦除旧的APP，再将暂存于Flash的新APP数据写入APP运行地址处。该方案的优点是更新数据的接收由APP完成，BootLoader不需要通讯协议栈，代码量更小，且数据传输中断时，原有APP不损坏。缺点是需要额外的Flash空间暂存更新数据。

3、方案三

在Flash中划分出两块相同大小的区域，分为A区和B区，都用来存放APP，但同一时间下只有一个区的APP是有效的，分别设置一个标志位标识其有效性。初始状态下先将APP写入A区，更新的时候，将新的APP写入B区，再把A区的APP擦除，同时更新两个区的有效性标志位状态。BootLoader中判断哪个区的APP有效，就跳转到哪个区运行。这种方法不需要重复拷贝APP数据，但最大的一个缺陷是AB区的APP程序运行地址不同，需要分别编译，从而使得可应用性大大降低。

注释：同时也可以将方案一和方案二相结合，即先采用方案一在BootLoader程序中内置通讯协议栈，更新时，先向MCU发送指令使其跳转到BootLoader。之后接收更新数据的时候，采用方案二的方法，先将数据暂存于Flash，待数据全部接收完成后再擦除旧的APP，写入新的APP。结合方案一和方案二的优点，且能在没有APP或APP损坏的状态下实现程序更新。缺点是BootLoader代码量更大，Flash空间占用更大。

英飞凌AURIX TC3xx实现上述SOTA方案拓扑图，如图2 所示：

图2 TC3xx实现SOTA方案常见拓扑图

经过上面的分析，可以看到几种常见方案都有其优缺点。但对于TC3xx这一类的MCU来说，Flash容量通常都很大，足够用，所以通常可以先把APP暂存下来再进行更新，防止数据传输中断导致APP不可用。

同时AURIX TC3xx也支持AB SWAP功能。以方案三为例：TC3xx系列如果使能SOTA功能，它的AB Bank Flash物理地址支持两种不同物理地址映射到同一个逻辑地址方式（MCU自动从两种物理地址映射一个虚拟地址），从而使得APP编译时不需要区分AB区，使用相同的逻辑地址即可，从而避免了方案三的硬伤，为我们提供了一种最佳的SOTA方案。接下来，我们将以方案三作为基础，结合实例详细讲解使用英飞凌AURIX TC3xx如何实现更优的SOTA。

推荐的OTA实现方式详解

TC3xx的Flash地址映射方式

首先， TC33x和TC33xED不支持AB SWAP功能，其他TC3xx设备都能够通过AB SWAP功能实现SOTA软件更新。

TC3xx 如果使能了AB SWAP功能，Flash大小实际能用的最少减半，TC3xx各系列AB SWAP能力如图3所示。

图3 TC3xx支持AB SWAP功能芯片系列及映射关系

启用SOTA功能时，通过将PFLASH拆分为两A和B两个Bank的能力，其中一组可以读取和执行BANK组，而另一组可以写入新代码。因此虽然单个物理PFLASH Bank中不支持同时读写（RWW）功能，但是通过AB分组支持未使用的BANK组提供安全可靠地对数据执行写入和擦除操作的能力来实现SOTA功能。

举例TC387 AB SWAP特性

为了方便理解英飞凌TC3xx SOTA 功能，我们以TC387为例进行分析。TC387 PFLASH 10M空间映射关系，使能了AB SWAP后，实际使用大小为4M，如图4所示：

图4 TC387 PFLASH 映射关系以及可用PFLASH大小

TC387的4M PFlash地址空间无论是A Bank还是B Bank, 对于用户来说，统一为虚拟地址0X80000000-0x803FFFFF 4M地址空间。但是刷写过程中， A bank实际操作物理地址0X80000000-0x803FFFFF 4M空间，B Bank 实际操作物理地址0X8060 0000-0x80AF FFFF 4M空间。

注意，如果使能了AB SWAP功能，TC3xx PFLASH就没有所谓Local PFLASH和Global PFLASH概念，统一理解为Global PFLASH。CPU访问PFLASH由之前的CPUｘ可以通过Local总线访问本PFLASHｘ提高访问速度，变为CPUｘ访问PFLASH只能通过Global总线从而稍微增加了CPU访问PFLASH时间。具体参考图5所示。

图5 SOTA功能使能后只能通过Global总线访问PFLASH

TC3xx的SOTA功能描述

当TC387 SOTA功能激活时，PFLash被划分为两部分A Bank和B Bank，一部分用来存储读取可执行代码（active bank），另一部分可用来写入（inactive bank）即刷写。当APP更新完毕后，两个部分互换，即切换上面两种地址映射方式。在标准模式下使用PF0-1作为active bank，后文称作组A，在Alternate模式下使用PF2-3作为active bank，后文称作组B，就可以实现第二章节所述方案三，且能写入完全相同的APP程序，以相同的地址（逻辑地址）进行运行。

需要注意的是，所有NVM操作都是通过DMU使用PFLASH的物理系统地址执行的，也就是说，NVM操作总是使用标准的地址映射，而不管选择使用哪种地址映射。“NVM操作”是一个术语，用于任何针对FLASH的命令，如程序、擦除等，但不包括读取代码。有关SOTA地址映射的参数在Flash中的UCB（User Configuration Block）中进行配置，在UCB中配置后，只有当下次MCU复位的时候才会更新配置，后文会有详细解释。

TC3xx的SOTA功能实现详解

实现SOTA功能所需关注配置项

英飞凌AURIX TC3xx实现SOTA功能主要需要配置如图6所示：

图6 SOTA功能所需关注配置项

1

SOTA模式使能UCB_OTP.PROCONTP.SWAPEN，该参数决定是否开启SOTA模式，在寄存器Tuning Protection Configuration中的SWAPEN进行配置，对应UCB定义如下：

使能AB SWAP功能的UCB定义（UCB32-39是ORIG, 40-47 COPY，建议全部都需要配置，内容可以一样。）如下：

2

配置UCB_SWAP_ORIG/UCB_SWAP_COPY中的UCB_SWAP_ORIG_MARKERLx/UCB_SWAP_COPY_MARKERLx，激活下一次reset需要运行的标准（0x00000055）还是备选（0x000000AA）地址。在寄存器SCU_SWAPCTRL中，可以查看当前激活的是标准还是备选地址。

我们参考下面关于SOTA功能实现的UCB，内容定义：

3

同1描述UCB块，只要使能了SOTA就会自动禁止CPU通过本地总线访问PFLASH功能，红色方框中寄存器值自动为1，即禁止。

SOTA功能实现时SWAP配置及流程

SOTA功能应用时：分系统刚启动时SWAP配置和系统运行时SWAP配置。

系统启动时SWAP配置：

如果SOTA功能使能，那么代码生成的文件至少需要刷进Active Bank。为了信息安全，建议通过UCB_PFLASH设置相应的sectors读写保护。

起始地址需要在UCB_BMHD配置好。

如果当前选择的是标准地址，那么0x00000055H需要写入UCB_SWAP的MARKERL0.SWAP这个域。然后通过把MARKERL0.SWAP的地址写入MARKERH0.ADDR予以确认；同时，将CONFIRMATIONL0.CODE的地址写入CONFIRMATIONH0.ADDR；同时，将57B5327FH写入57B5327FH予以确认。

UCB_ OTP一次性刷写保护以设置所需的OTP、WOP和标定保护。请注意，任何受OTP或WOP保护的扇区都不能使用新映像重新编程。

如果使能了HSM，主核代码和HSM代码需要同时刷入到AB bank的PFLASH S0-S39。

任何受OTP保护的HSM扇区都不能使用新映像重新编程。

最后，由于SWAPEN是在UCB_OTP里面设置的，所以要在下一个重启后SOTA的使能才有效。具体流程，参考图7所示：

图7 系统刚启动时SWAP配置及流程

系统运行时SWAP配置：

下面是程序正在运行时，需要实现软件SWAP到新程序的配置流程。

为了可以正确切换到新程序中，首先新的程序需要刷到对应的非激活的PFLASH Bank，如果非激活的BANK中对应的sectors使能了读写保护，那么刷写之前要先解保护。

切记：由于NVM特性，PFLASH 和DFLASH不能同时操作。因此，在应用程序中运行的EEPROM驱动程序和执行BOOT刷写之间需要进行一些协调。确保要写入的新程序所用的的PFLASH正确无误。例如：如果在PFLASH的SOTA重新编程/擦除期间出现硬故障，可以使用替换逻辑扇区功能（有关更多详细信息，请参阅DMU章节）。此功能允许用户使用“替换逻辑扇区”命令序列将故障逻辑扇区映射到冗余扇区。

由于UCB刷写次数的限制（100次），我们可以通过16 个SWAP配置依次使用来增加SWAP的次数（100*16=1600次）。方式流程如下图8所示：

注意：上一次用过的配置，CONFIRMATIONL(x-1) ) 和CONFIRMATIONH(x-1) 全写为1。

增加SWAP次数，可以通过UCB_SWAP_ORIG/UCB_SWAP_COPY配置如下寄存器：

增加SWAP次数方法流程如图8所示：

图8 增加SWAP次数方法流程

新的配置写好后，选择下一次要激活的程序，等下一次重启即运行新刷写的程序。详细流程如图9所示：

图9 系统运行时SWAP配置

总结

TC3xx SWAP特性实现OTA功能后，特别注意以下五点：

Flash大小实际能用的最少减半，详情参考图3。

CPU访问Flash只能通过Global总线从而稍微增加了访问时间，参考图5。详细参数请查相应的数据手册。

PFLASH的prefetch功能被禁止，同样会稍微影响整个系统的性能。

功能安全方面：Active Bank 的safety_endinit保护依旧存在，但是Inactive Bank的safety_endinit保护无效。

信息安全方面：Active Bank 和Inactive Bank同样受信息安全相关寄存器的保护。

至此，TC3xx SWAP特性实现SOTA功能的配置和流程介绍完毕。

审核编辑：郭婷