英飞凌 AURIX TC3XX系列单片机的SOTA机制详解

1. 什么是SOTA

SOTA全称是云端软件升级（Software updates Over The Air），就是指在不连接烧写器的情况下，通过CAN、UART或其它通讯方式，实现应用程序的更新。

在进行SOTA时，需要把旧的应用程序擦除，把新的应用程序写入。常规的实现方式需要分别开发BootLoader程序和APP程序，MCU上电先运行BootLoader，BootLoader根据情况选择是否跳转到APP和是否进行程序更新。具体来说有以下几种方式：

• 方案一：更新程序时，由APP接收更新数据并暂存于Flash，再将APP更新标志位置位；MCU重启时，BootLoader检查更新标志位，如有效，则擦除旧的APP，再将暂存于Flash的新APP数据写入APP运行地址处。该方案的优点是更新数据的接收由APP完成，BootLoader不需要通讯协议栈，代码量更小，且数据传输中断时，原有APP不损坏。缺点是需要额外的Flash空间暂存更新数据。
• 方案二：BootLoader中内置通讯协议栈，更新时，先向MCU发送指令使其跳转到BootLoader，之后先擦除旧APP，在接收新APP的同时直接将其写入Flash的APP运行地址处。该方案的优点是不需要额外的Flash暂存数据，缺点是BootLoader代码更复杂，且如果数据传输发生中断，旧的APP将不能被恢复。该方案更适合Flash容量较小的MCU。
• 方案三：将方案一和方案二相结合，即在BootLoader程序中内置通讯协议栈，更新时，先向MCU发送指令使其跳转到BootLoader，之后接收更新数据的时候，采用方案一的方法，先将数据暂存于Flash，待数据全部接收完成后再擦除旧的APP，写入新的APP。该方案结合了方案一和方案二的优点，且能在没有APP或APP损坏的状态下实现程序更新。缺点是BootLoader代码量更大，Flash空间占用更大。
• 方案四：在Flash中划分出两块相同大小的区域，分为A区和B区，都用来存放APP，但同一时间下只有一个区的APP是有效的，分别设置一个标志位标识其有效性。初始状态下先将APP写入A区，更新的时候，将新的APP写入B区，再把A区的APP擦除，同时更新两个区的有效性标志位状态。BootLoader中判断哪个区的APP有效，就跳转到哪个区运行。这种方法不需要重复拷贝APP数据，但最大的一个缺陷是AB区的APP程序运行地址不同，需要分别编译，从而使得可应用性大大降低。

经过上面的分析，可以看出来每种方案都有其优缺点，对于Flash容量较小的MCU，通常采用方案二，因为没有过多的空间暂存APP更新数据。但对于TC3XX这一类的MCU来说，Flash容量通常都很大，足够用，所以通常要先把APP暂存下来再进行更新，防止数据传输中断导致APP不可用。上面的方案一、三、四都能实现，但并不完美。TC3XX系列的SOTA机制更类似于方案四，但它的Flash支持两种地址映射方式，从而使得APP编译时不需要区分AB区，使用相同的地址即可，从而避免了方案四的硬伤，为我们提供了一种最佳的SOTA方案。

2. TC3XX的Flash地址映射方式

我们以TC397的Flash为例，用于存储程序代码的PFlash的标准地址映射方式（Standard Address Map）如下，表中PF0-PF5代表物理意义上的5块Flash。

第二种地址映射方式被称为 Alternate Address Map，如下表所示，标准模式下PF0-1的地址范围现在被映射到了PF2-3，PF4的地址范围被映射到了PF5。

3. TC3XX的SOTA功能描述

当SOTA功能激活时，PFLash被划分为两部分，一部分用来存储可执行代码（active bank），另一部分可用来读取和写入（inactive bank）。当APP更新完毕后，两个部分互换，即切换上面两种地址映射方式。在标准模式下使用PF0-1和PF4作为active bank，后文称作组A，在Alternate模式下使用PF2-3和PF5作为active bank，后文称作组B，就可以实现上述方案四，且能写入完全相同的APP程序，以相同的地址进行运行。

需要注意的是，所有NVM操作都是通过DMU使用PFLASH的物理系统地址执行的，也就是说，NVM操作总是使用标准的地址映射，而不管选择使用哪种地址映射。“NVM操作”是一个术语，用于任何针对FLASH的命令，如程序、擦除等，但不包括读取和执行代码。

有关SOTA地址映射的参数在Flash中的UCB（User Configuration Block）中进行配置，在UCB中配置后，只有当下次MCU复位的时候才会更新配置。

4. SOTA的配置参数

（1）SOTA Mode Enable

该参数决定是否开启SOTA模式，在寄存器Tuning Protection Configuration中的SWAPEN进行配置，定义如下：

（2）Bank Swap

在UCB_SWAP区域中，对SOTA模式下使用哪种地址映射进行配置。

UCB_SWAP区域包含以下内容：

其中最重要的是前四个，我们分别来看一下：

① MARKERLx (x=0-15)

MARKERL中的SWAP就是标记使用标准地址映射还是Alternate地址映射。

② MARKERHx (x=0-15)

MARKERH中存着与之相对应的MARKERLx.SWAP的入口地址，是用来做校验的。

③ CONFIRMATIONLx (x=0-15)

CONFIRMATIONL是确认代码，要写入固定的0x57B5327F，上面的MARKERLx.SWAP才有效。

④ MARKERHx (x=0-15)

MARKERH中存着与之对应的 CONFIRMATIONLx.CODE的入口地址，也是用来做校验的。

5. SOTA的初始化配置

初始化状态是使用标准地址映射，此时SOTA模式未启用。按以下步骤启用SOTA：

① 用烧写器把APP烧写进PFlash的组A地址处。
② 向MARKERL0写入0x00000055。
③ 向MARKERH0写入MARKERL0的系统地址。
④ 向CONFERMATIONL0写入0x57B5327F。
⑤ 向CONFERMATIONH0写入CONFERMATIONL0的系统地址。
⑥ 将UCB_OTP0中SWAPEN标志位置为Enable。
⑦ 重启MCU。

经过上面的步骤，就事MCU进入了SOTA模式，其中步骤②-⑤是为了启用标准地址映射。手册中给了如下的流程图供参考，其中一些加解密的步骤我这里省略了，暂时没有详细研究：

6. SOTA的后续配置

上面说的是第一次启用SOTA时的配置，下面我们就来看一下SOTA启用后，进行APP更新的步骤：

① 将新的APP写入PFlash中未激活的部分，即上文提到的Inactive Bank，并进行准确性校验。
② 如果新的APP被写入组B，则向MARKERLx.SWAP写入0x000000AA，启用Alternate地址映射模式；如果新的APP被写入组A，则向MARKERLx.SWAP写入0x00000055，启用标准地址映射模式。（x是0-15的值，从0开始向上递增，由上文可知UCB_SWAP最多能存储16组标志值，存满后再擦除重新写入。）
③ MARKERHx.ADDR、CONFIRMATIONLx.CODE和CONFIRMATIONHx.ADDR配置同上文。
④ 向CONFIRMATIONL(x-1).CODE再次写入0xFFFFFFFF，来使上一组UCB_SWAP值失效。向PFlash再次写入全1的值不会导致PFlash操作错误。

手册中给了下面这个流程图供参考：

以上就是Tricore TC3XX系列SOTA机制的介绍，我目前也只是看了手册，还没有实际运用过，有不正确的地方欢迎大家交流讨论。