嵌入式操作系統自更新機制的設計與應用

引言

　　隨著(zhù)嵌入式系統的發(fā)展和廣泛應用,必不可少的維護工作變得日益繁重。如移動(dòng)電話(huà)在用戶(hù)使用過(guò)程中，部分未能在軟件研發(fā)階段發(fā)現的缺陷會(huì )逐漸暴露,不可避免地增加了維護成本。又如在設備運行期間,用戶(hù)往往會(huì )基于原有軟硬件對產(chǎn)品提出新功能或更高的性能要求，這對軟件重用性提出了挑戰。在移動(dòng)設備數量較多, 而且使用地點(diǎn)無(wú)法預知的情況下, 采用傳統的人工更新方式會(huì )耗費大量的人力物力。自更新技術(shù)在嵌入式系統中分為兩個(gè)相互聯(lián)系又相互獨立的階段：首先是將更新包下載至本地移動(dòng)設備中，然后在本地移動(dòng)設備中實(shí)現自更新。

　　將自更新技術(shù)嵌入RTOS中的關(guān)鍵在于自更新后系統啟動(dòng)的穩定性。嵌入式移動(dòng)系統一般都有獨立的bootloader對系統進(jìn)行初始化并引導加載內核。這種啟動(dòng)基于bootloader，該自更新機制決定了bootloader不僅僅起到加載內核鏡像這一基本功能，而是被看作是一個(gè)虛擬系統。

　　1 自更新機制的架構

　　支持自更新功能的嵌入式系統由服務(wù)器端和客戶(hù)端兩部分組成。服務(wù)器端通過(guò)OMA協(xié)議，與客戶(hù)端建立無(wú)線(xiàn)連接?？蛻?hù)端采用基于A(yíng)RM9的微處理器,配有8MB的RAM和32 MB的NOR Flash存儲器,及其他相關(guān)外圍設備，具有相對可見(jiàn)的bootloader程序。自更新機制架構如圖1所示。

圖1 自更新機制架構圖

　　自更新機制總體流程如下： a. 設備廠(chǎng)商根據需求，生成包括升級到新版本或返回到舊版本的多個(gè)更新包。b. 這些更新包將被送至無(wú)線(xiàn)服務(wù)提供商處進(jìn)行統一管理，并最終將更新包提供給用戶(hù)。c. 在更新包提供給用戶(hù)前，每個(gè)單獨的移動(dòng)設備將會(huì )選擇最優(yōu)方案（即網(wǎng)絡(luò )提供商）。d. 服務(wù)器端通過(guò)傳輸機制(如OMADL 1.0協(xié)議標準或網(wǎng)絡(luò )提供商標準)與客戶(hù)端建立會(huì )話(huà)連接，客戶(hù)端將下載并存儲更新包。e. 更新應用程序將與用戶(hù)交互以獲得更新權限并進(jìn)入更新進(jìn)程。整個(gè)更新過(guò)程由bootloader完全控制，直到更新成功。f. 更新后的目標設備重啟，并將更新結果發(fā)送至服務(wù)器端。

　　2 更新系統的設計

　　2.1 Flash 存儲器的布局

　　原有嵌入式系統Flash存儲器的布局如圖2(a)所示。系統啟動(dòng)時(shí)從Flash的首地址開(kāi)始執行，而bootloader和RTOS都位于code區，也就是bootloader并不獨立于內核。將原本與代碼區相鄰的文件系統區后移，用于存儲更新包。這種布局也是很多嵌入式系統所采用的，尤其是許多商業(yè)系統。系統在更新過(guò)程中根據自更新算法與原有代碼區進(jìn)行比對，燒寫(xiě)到Flash中。這種Flash部署方法有一個(gè)致命的缺點(diǎn)，就是沒(méi)有考慮到更新過(guò)程中可能遇到的突發(fā)事件。比如，在更新過(guò)程中因為不可預料的掉電使得燒寫(xiě)錯誤,完全可能導致軟件更新后系統無(wú)法啟動(dòng),出現這種情況后必須人工重新燒寫(xiě)原有軟件。

圖2 存儲器布局

　　為了在原有基礎上使系統具有高穩定性與擴展性,需要對Flash進(jìn)行重新布局, 如圖2(b)所示。將代碼區劃分為兩個(gè)區域：bootloader區，這個(gè)區域不可被擦寫(xiě)更新；RTOS區域，存放內核及應用程序。將更新包存儲區設計為4部分。其中一個(gè)用來(lái)存儲系統啟動(dòng)和更新過(guò)程的標識參數，這些數據極為重要，掉電后仍需保存于Flash中。另一個(gè)存儲區用于存放更新時(shí)用到的更新包, 稱(chēng)為更新包區。第三個(gè)區域存儲下載的更新包,稱(chēng)為更新包備份區。最后一個(gè)區域存放設備出廠(chǎng)時(shí)的軟件版本。bootloader固定在第一個(gè)分區,這樣的設計具有很強的可擴展性，涵蓋了更新算法。為了使人機接口更人性化，此區域包括LCD及其控制器的驅動(dòng)和應用程序，使更新過(guò)程對用戶(hù)可見(jiàn)。系統啟動(dòng)時(shí)設置異常向量表，初始化內存、堆棧指針寄存器、I/O器件、系統需求的RAM變量，使能中斷,然后根據啟動(dòng)地址和更新標識這兩個(gè)參數跳轉執行相應代碼，每次更新都不改變bootloader區域的內容。其中，啟動(dòng)地址指向bootloader要執行的代碼,更新標識用于記錄更新階段。

　　2.2 更新進(jìn)程的設計

　　系統每次啟動(dòng)后, 服務(wù)器端主動(dòng)報告當前有無(wú)可更新的軟件包。如果客戶(hù)端響應并發(fā)起會(huì )話(huà)，則隨后檢查Flash上的更新包備份區,存儲下載的更新包，并更新標識。為了增強傳輸過(guò)程的安全性, 在應用層設計一套具有校驗、確認和斷點(diǎn)續傳功能的收發(fā)協(xié)議, 以保證數據能夠準確地通過(guò)移動(dòng)通信系統傳輸到客戶(hù)端。

　　當更新包下載完畢后, 先將更新包由備份區拷貝至更新包區，更新進(jìn)程根據已經(jīng)設定的代碼區在Flash中的地址,調用Flash的讀寫(xiě)函數通過(guò)比對算法將更新包寫(xiě)入代碼區。更新結束后設置標識,如果由于某種原因沒(méi)有更新成功則標識位不變,系統復位后繼續更新直到更新成功?？蓞⒖既缦麓a：

　　更新進(jìn)程的程序流程如圖3 所示。

圖3 更新進(jìn)程流程

2.3 更新后的啟動(dòng)流程

　　通過(guò)以上更新流程,系統完成了一次軟件版本的升級。重新部署Flash后，客戶(hù)端具有相對獨立的bootloader,并固化在Flash的低地址處,能夠保證系統啟動(dòng)后總是先進(jìn)入bootloader。bootloader通過(guò)讀取對比標識存儲區的啟動(dòng)地址參數來(lái)跳轉執行代碼。在正常情況下, 啟動(dòng)地址總是指向RTOS。當更新完成重新啟動(dòng)客戶(hù)端后, bootloader便會(huì )引導新的鏡像文件。

　　為了確保軟件更新后系統啟動(dòng)的穩定性,通過(guò)設計異常處理程序來(lái)加載代碼備份存儲區的文件防止系統癱瘓。當bootloader引導更新后的鏡像文件失敗后, 系統進(jìn)入異常處理函數, 在此函數中將啟動(dòng)地址指向代碼備份區,并設置標識位。代碼備份區保存的是設備出廠(chǎng)時(shí)最初版本的image文件，具有非常高的穩定性，這樣就保證系統功能正常運行,并確保服務(wù)器端與客戶(hù)端正常通信。異常處理流程如圖4所示。

圖4 異常處理流程圖

　　當軟件更新過(guò)程中遇到致命異常時(shí)，通過(guò)異常處理程序,系統能夠重新啟動(dòng)備份的軟件版本, 有效地提高了嵌入式系統自更新機制的安全性, 避免了系統徹底崩潰。

　　3 測試

　　為了評估自更新機制的穩定性和安全性，確保其適用于真實(shí)設備與網(wǎng)絡(luò )，測試應盡可能覆蓋現實(shí)情況中可能遇到的情況。用戶(hù)能看到的升級性能主要有更新包下載時(shí)間和自更新時(shí)間。設備廠(chǎng)商關(guān)注的是高穩定性和安全性，以及更新包所占Flash的比例。測試中應考慮到各種版本，制作測試矩陣，然后按順序測試，包括回退更新。

　　在一個(gè)實(shí)際運行的移動(dòng)設備中驗證和測試更新機制的性能。首先測試更新進(jìn)程的通信狀況。結果表明, 每次均能正確地與服務(wù)器端建立會(huì )話(huà)，并進(jìn)行數據傳輸；更新包均能通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò )準確下載并存儲至客戶(hù)端。測試的重點(diǎn)是系統更新結束后新程序啟動(dòng)的穩定性和安全性。對軟件更新過(guò)程進(jìn)行干擾,以測試bootloader能否正確啟動(dòng)。測試中模擬了兩大類(lèi)情況:一類(lèi)是更新包隨機挑選版本的相互升級,另一類(lèi)是人為設置導致更新包出現不能啟動(dòng)錯誤的數據,然后進(jìn)行升級。設計三種具體方案進(jìn)行測試, 每個(gè)方案測試30 次,查看系統能否按預期結果啟動(dòng)程序。測試方案及結果如表1所列。

表1 啟動(dòng)可靠性測試結果

　　從測試結果看出, 系統更新后,每次均能正確啟動(dòng)程序；此外,更新機制對代碼區具有較強的修復能力,防止了由于數據異常而導致的無(wú)法啟動(dòng)。本更新機制能有效地提高嵌入式軟件更新后重新啟動(dòng)的穩定性和可靠性。

　　結語(yǔ)

　　本文提出了一種具有較高穩定性和安全性、基于bootloader的嵌入式軟件自動(dòng)更新機制。該更新機制同時(shí)保存了3個(gè)文件, 需要較多的Flash存儲空間，但同時(shí)降低了維護成本。其創(chuàng )新點(diǎn)在于設置1個(gè)標識區、3個(gè)程序存儲區并設計了異常機制,提高了嵌入式系統更新過(guò)程的穩定性,尤其能夠有效地防止軟件更新后系統啟動(dòng)失敗的情況,具有較高的實(shí)用價(jià)值。