狼、羊、草過河與嵌入式固件更新

　　狼、羊、草過河問題(也有叫狼、羊、白菜過河之類的名字)是說：有一人帶著一只部分馴化的狼(強(qiáng)調(diào)部分馴化是說明，人在場的情況下狼不會(huì)吃羊，不然要被指出邏輯漏洞了)、一只山羊和一些草來到河的左岸，欲乘一只很小的船過到河的右岸，每次人只能帶其中一個(gè)過河，當(dāng)有人在時(shí)，狼、羊、草都不會(huì)有事;當(dāng)無人在時(shí)，就不允許狼羊在一起，也不允許羊和草在一起，問應(yīng)如何過河?

　　這個(gè)類似智力測試的題可以有多種解法，例如最短路徑之類的，甚至在很多場合被作為編程測試的問題。在此我們不討論他們具體用什么方法過河，只要意識到其中的“山羊”是最關(guān)鍵因素，必須把它和其它二者在人不在場的情況下隔離起來就行了。問題的關(guān)鍵是為了安全可靠地完成工作，我們往往需要采取一些額外的行動(dòng)。

　　在嵌入式系統(tǒng)的固件更新中，為了安全地?zé)龑?a class="contentlabel" href="http://www.ex-cimer.com/news/listbylabel/label/Flash">Flash中的內(nèi)容，我們也需要使用類似的一些手段。更新Flash中的內(nèi)容的過程本身并不復(fù)雜，只要擦除扇區(qū)中的內(nèi)容，將新的代碼下載到一個(gè)暫存空間，然后調(diào)用燒寫函數(shù)，例如調(diào)用一些API，將暫存的代碼寫入扇區(qū)，再重新上電即可;實(shí)際的系統(tǒng)中，我們一般用RAM來作為暫存空間。這個(gè)過程看似簡單，卻有一些細(xì)節(jié)上的困難問題，例如：如果舊代碼正在RAM中運(yùn)行，把新代碼存到RAM里將出現(xiàn)難以想象的行為，甚至是災(zāi)難(例如控制板用在強(qiáng)電場合)。此外，暫存代碼的過程需要RAM空間足夠大，從而可以把新代碼放在未使用的地址中。但是在實(shí)際的系統(tǒng)中我們也可以經(jīng)常發(fā)現(xiàn)，往往舊代碼在編譯的時(shí)候就已經(jīng)警告RAM里面這段空間不夠，那段空間不夠了，哪里還有足夠的空間去暫存至少和舊代碼一樣規(guī)模的新代碼呢?

　　這時(shí)候我們的希望就是使用系統(tǒng)中的緩沖區(qū)了，例如在使用TI的CCS軟件的時(shí)候，為了觀測一些變量，我們會(huì)在內(nèi)存中開辟一些緩沖區(qū)存儲(chǔ)這些變量，從而可以在Graph窗口或者別的地方實(shí)時(shí)觀察它們，這些緩沖區(qū)往往包含大量的地址空間(例如4*0x400的地址范圍)。既然我們要燒寫新代碼了，那舊的代碼里面待觀測的變量自然也即將失去意義，可以將它們使用的空間給占用掉了。在這個(gè)裝載程序的過程之前，首先要屏蔽使用這些緩沖區(qū)地址的中斷，不然又要產(chǎn)生各種無法預(yù)料的奇怪結(jié)果了。

　　但是在這一過程中，也存在一些異常情況，例如新代碼部分損壞(例如OMAP芯片的燒寫就可以包含DSP部分的bin和ARM部分的bin，包含的器件越多，文件越多，失敗的概率越高)、通信錯(cuò)誤(甚至有極端情況，例如不小心把通信電纜給碰掉了)、暫存空間被意外破壞等狀況(例如使用U盤去升級BIOS時(shí)，U盤被意外拔掉了)。所以在RAM中的暫存代碼被燒入FLASH空間之前，還要有代碼的校驗(yàn)工作，這樣只要新代碼存在校驗(yàn)錯(cuò)誤，它就不會(huì)被用來替代舊代碼，我們雖然會(huì)看到“燒寫失敗”的提示，至少對系統(tǒng)本身沒有產(chǎn)生任何損壞，只要重新上電，然后系統(tǒng)自動(dòng)加載舊代碼就可以了。

　　最后說明，這里的一些思路是從O’REILLY出版的《Making Embeded Systems》一書里面提煉的。這是本講解相當(dāng)透徹的書，建議大家抽空讀一讀。