狼、羊、草過(guò)河與嵌入式固件更新

　　狼、羊、草過(guò)河問(wèn)題(也有叫狼、羊、白菜過(guò)河之類(lèi)的名字)是說(shuō)：有一人帶著(zhù)一只部分馴化的狼(強調部分馴化是說(shuō)明，人在場(chǎng)的情況下狼不會(huì )吃羊，不然要被指出邏輯漏洞了)、一只山羊和一些草來(lái)到河的左岸，欲乘一只很小的船過(guò)到河的右岸，每次人只能帶其中一個(gè)過(guò)河，當有人在時(shí)，狼、羊、草都不會(huì )有事;當無(wú)人在時(shí)，就不允許狼羊在一起，也不允許羊和草在一起，問(wèn)應如何過(guò)河?

　　這個(gè)類(lèi)似智力測試的題可以有多種解法，例如最短路徑之類(lèi)的，甚至在很多場(chǎng)合被作為編程測試的問(wèn)題。在此我們不討論他們具體用什么方法過(guò)河，只要意識到其中的“山羊”是最關(guān)鍵因素，必須把它和其它二者在人不在場(chǎng)的情況下隔離起來(lái)就行了。問(wèn)題的關(guān)鍵是為了安全可靠地完成工作，我們往往需要采取一些額外的行動(dòng)。

　　在嵌入式系統的固件更新中，為了安全地燒寫(xiě)Flash中的內容，我們也需要使用類(lèi)似的一些手段。更新Flash中的內容的過(guò)程本身并不復雜，只要擦除扇區中的內容，將新的代碼下載到一個(gè)暫存空間，然后調用燒寫(xiě)函數，例如調用一些API，將暫存的代碼寫(xiě)入扇區，再重新上電即可;實(shí)際的系統中，我們一般用RAM來(lái)作為暫存空間。這個(gè)過(guò)程看似簡(jiǎn)單，卻有一些細節上的困難問(wèn)題，例如：如果舊代碼正在RAM中運行，把新代碼存到RAM里將出現難以想象的行為，甚至是災難(例如控制板用在強電場(chǎng)合)。此外，暫存代碼的過(guò)程需要RAM空間足夠大，從而可以把新代碼放在未使用的地址中。但是在實(shí)際的系統中我們也可以經(jīng)常發(fā)現，往往舊代碼在編譯的時(shí)候就已經(jīng)警告RAM里面這段空間不夠，那段空間不夠了，哪里還有足夠的空間去暫存至少和舊代碼一樣規模的新代碼呢?

　　這時(shí)候我們的希望就是使用系統中的緩沖區了，例如在使用TI的CCS軟件的時(shí)候，為了觀(guān)測一些變量，我們會(huì )在內存中開(kāi)辟一些緩沖區存儲這些變量，從而可以在Graph窗口或者別的地方實(shí)時(shí)觀(guān)察它們，這些緩沖區往往包含大量的地址空間(例如4*0x400的地址范圍)。既然我們要燒寫(xiě)新代碼了，那舊的代碼里面待觀(guān)測的變量自然也即將失去意義，可以將它們使用的空間給占用掉了。在這個(gè)裝載程序的過(guò)程之前，首先要屏蔽使用這些緩沖區地址的中斷，不然又要產(chǎn)生各種無(wú)法預料的奇怪結果了。

　　但是在這一過(guò)程中，也存在一些異常情況，例如新代碼部分損壞(例如OMAP芯片的燒寫(xiě)就可以包含DSP部分的bin和ARM部分的bin，包含的器件越多，文件越多，失敗的概率越高)、通信錯誤(甚至有極端情況，例如不小心把通信電纜給碰掉了)、暫存空間被意外破壞等狀況(例如使用U盤(pán)去升級BIOS時(shí)，U盤(pán)被意外拔掉了)。所以在RAM中的暫存代碼被燒入FLASH空間之前，還要有代碼的校驗工作，這樣只要新代碼存在校驗錯誤，它就不會(huì )被用來(lái)替代舊代碼，我們雖然會(huì )看到“燒寫(xiě)失敗”的提示，至少對系統本身沒(méi)有產(chǎn)生任何損壞，只要重新上電，然后系統自動(dòng)加載舊代碼就可以了。

　　最后說(shuō)明，這里的一些思路是從O’REILLY出版的《Making Embeded Systems》一書(shū)里面提煉的。這是本講解相當透徹的書(shū)，建議大家抽空讀一讀。