狼、羊、草過(guò)河與嵌入式固件更新

　　狼、羊、草過(guò)河問(wèn)題(也有叫狼、羊、白菜過(guò)河之類的名字)是說(shuō)：有一人帶著一只部分馴化的狼(強(qiáng)調(diào)部分馴化是說(shuō)明，人在場(chǎng)的情況下狼不會(huì)吃羊，不然要被指出邏輯漏洞了)、一只山羊和一些草來(lái)到河的左岸，欲乘一只很小的船過(guò)到河的右岸，每次人只能帶其中一個(gè)過(guò)河，當(dāng)有人在時(shí)，狼、羊、草都不會(huì)有事;當(dāng)無(wú)人在時(shí)，就不允許狼羊在一起，也不允許羊和草在一起，問(wèn)應(yīng)如何過(guò)河?

　　這個(gè)類似智力測(cè)試的題可以有多種解法，例如最短路徑之類的，甚至在很多場(chǎng)合被作為編程測(cè)試的問(wèn)題。在此我們不討論他們具體用什么方法過(guò)河，只要意識(shí)到其中的“山羊”是最關(guān)鍵因素，必須把它和其它二者在人不在場(chǎng)的情況下隔離起來(lái)就行了。問(wèn)題的關(guān)鍵是為了安全可靠地完成工作，我們往往需要采取一些額外的行動(dòng)。

　　在嵌入式系統(tǒng)的固件更新中，為了安全地?zé)龑?xiě)Flash中的內(nèi)容，我們也需要使用類似的一些手段。更新Flash中的內(nèi)容的過(guò)程本身并不復(fù)雜，只要擦除扇區(qū)中的內(nèi)容，將新的代碼下載到一個(gè)暫存空間，然后調(diào)用燒寫(xiě)函數(shù)，例如調(diào)用一些API，將暫存的代碼寫(xiě)入扇區(qū)，再重新上電即可;實(shí)際的系統(tǒng)中，我們一般用RAM來(lái)作為暫存空間。這個(gè)過(guò)程看似簡(jiǎn)單，卻有一些細(xì)節(jié)上的困難問(wèn)題，例如：如果舊代碼正在RAM中運(yùn)行，把新代碼存到RAM里將出現(xiàn)難以想象的行為，甚至是災(zāi)難(例如控制板用在強(qiáng)電場(chǎng)合)。此外，暫存代碼的過(guò)程需要RAM空間足夠大，從而可以把新代碼放在未使用的地址中。但是在實(shí)際的系統(tǒng)中我們也可以經(jīng)常發(fā)現(xiàn)，往往舊代碼在編譯的時(shí)候就已經(jīng)警告RAM里面這段空間不夠，那段空間不夠了，哪里還有足夠的空間去暫存至少和舊代碼一樣規(guī)模的新代碼呢?

　　這時(shí)候我們的希望就是使用系統(tǒng)中的緩沖區(qū)了，例如在使用TI的CCS軟件的時(shí)候，為了觀測(cè)一些變量，我們會(huì)在內(nèi)存中開(kāi)辟一些緩沖區(qū)存儲(chǔ)這些變量，從而可以在Graph窗口或者別的地方實(shí)時(shí)觀察它們，這些緩沖區(qū)往往包含大量的地址空間(例如4*0x400的地址范圍)。既然我們要燒寫(xiě)新代碼了，那舊的代碼里面待觀測(cè)的變量自然也即將失去意義，可以將它們使用的空間給占用掉了。在這個(gè)裝載程序的過(guò)程之前，首先要屏蔽使用這些緩沖區(qū)地址的中斷，不然又要產(chǎn)生各種無(wú)法預(yù)料的奇怪結(jié)果了。

　　但是在這一過(guò)程中，也存在一些異常情況，例如新代碼部分損壞(例如OMAP芯片的燒寫(xiě)就可以包含DSP部分的bin和ARM部分的bin，包含的器件越多，文件越多，失敗的概率越高)、通信錯(cuò)誤(甚至有極端情況，例如不小心把通信電纜給碰掉了)、暫存空間被意外破壞等狀況(例如使用U盤去升級(jí)BIOS時(shí)，U盤被意外拔掉了)。所以在RAM中的暫存代碼被燒入FLASH空間之前，還要有代碼的校驗(yàn)工作，這樣只要新代碼存在校驗(yàn)錯(cuò)誤，它就不會(huì)被用來(lái)替代舊代碼，我們雖然會(huì)看到“燒寫(xiě)失敗”的提示，至少對(duì)系統(tǒng)本身沒(méi)有產(chǎn)生任何損壞，只要重新上電，然后系統(tǒng)自動(dòng)加載舊代碼就可以了。

　　最后說(shuō)明，這里的一些思路是從O’REILLY出版的《Making Embeded Systems》一書(shū)里面提煉的。這是本講解相當(dāng)透徹的書(shū)，建議大家抽空讀一讀。