在資源受限的嵌入式系統(tǒng)中，遠程固件升級（OTA）不僅是功能迭代的手段，更是保障產(chǎn)品長期可用性的關鍵。然而，在Flash容量有限、無外部存儲的MCU上實現(xiàn)高可靠、斷電容錯的OTA機制極具挑戰(zhàn)。本文以國產(chǎn)MCU SD93F115B（120KB Flash）為例，詳解一種僅占用13KB額外空間、具備完整狀態(tài)恢復能力的三區(qū)OTA架構(gòu)，適用于對可靠性要求嚴苛的工業(yè)與汽車電子場景。

存儲分區(qū)設計

系統(tǒng)將120KB內(nèi)部Flash劃分為三個邏輯區(qū)域：

Bootloader 區(qū)（0x0000–0x2FFF，12KB）：存放固件接收、校驗與寫入邏輯；

Flag 區(qū)（0x3000–0x33FF，1KB）：非執(zhí)行區(qū)，用于持久化存儲升級狀態(tài)機與固件校驗碼；

APP 區(qū)（0x3400–0x1DFFF，107KB）：主應用程序代碼與數(shù)據(jù)。

該劃分在保證應用功能空間的同時，為Bootloader預留足夠代碼容量，并通過獨立Flag區(qū)避免狀態(tài)信息被意外覆蓋。

啟動流程與狀態(tài)機

芯片復位后，啟動文件需重定向入口至Bootloader（修改Reset_Handler及中斷向量表基地址）。Bootloader首先讀取Flag區(qū)狀態(tài)字：

若為 UPDATE_SUCCESS，則跳轉(zhuǎn)至APP；

若為 UPDATING 或 VERIFY_PENDING，說明上次升級未完成，立即進入恢復流程；

若校驗失敗或狀態(tài)非法，則可選擇回滾至備份固件（如有）或進入安全模式等待新鏡像。

APP在運行時若收到OTA指令（如通過UART或CAN），需先原子寫入Flag狀態(tài)為UPDATING，再觸發(fā)軟復位或直接跳轉(zhuǎn)至Bootloader入口。此操作確保狀態(tài)變更先于控制流切換，防止“更新未開始卻已跳轉(zhuǎn)”的競態(tài)風險。

斷電安全機制

整個升級過程采用分階段狀態(tài)標記 + 完整性校驗策略：

接收固件數(shù)據(jù)塊并寫入APP區(qū)；

每完成一個邏輯段，更新Flag中的進度標記；

全部寫入后計算CRC32（或SHA-1），與服務器下發(fā)的校驗值比對；

僅當校驗一致，才將狀態(tài)置為 UPDATE_SUCCESS。

由于Flag區(qū)獨立且寫入操作原子化，即使在任意時刻斷電，重啟后Bootloader均可準確識別當前狀態(tài)并決定是繼續(xù)、重試還是放棄升級，從根本上杜絕“半刷變磚”問題。

工程實現(xiàn)建議

啟動重定向：在鏈接腳本中將Bootloader置于起始地址，APP使用偏移向量表；

Flash保護：APP運行時通過Flash控制寄存器鎖定0x0000–0x2FFF區(qū)域，防止誤擦；

通信層健壯性：Bootloader應支持ACK/NACK、超時重傳及數(shù)據(jù)包序號校驗；

內(nèi)存優(yōu)化：12KB代碼建議采用C語言裸機開發(fā)，避免RTOS開銷，緩沖區(qū)復用以節(jié)省RAM。

適用場景

該方案已在智能電表、車載BCM、工業(yè)IO模塊等產(chǎn)品中驗證，特別適合無外掛Flash、低功耗、高可靠性要求的應用。對于Flash ≤ 256KB 的MCU平臺，此三區(qū)模型具有良好的可移植性，是構(gòu)建低成本、高魯棒性OTA系統(tǒng)的實用參考。

如需SD93F115B產(chǎn)品規(guī)格書、樣片測試、采購等需求，請加客服微信：13310830171。