嵌入式操作系統(tǒng)自更新機(jī)制的設(shè)計(jì)與應(yīng)用
引言
隨著嵌入式系統(tǒng)的發(fā)展和廣泛應(yīng)用,必不可少的維護(hù)工作變得日益繁重。如移動(dòng)電話在用戶使用過(guò)程中,部分未能在軟件研發(fā)階段發(fā)現(xiàn)的缺陷會(huì)逐漸暴露,不可避免地增加了維護(hù)成本。又如在設(shè)備運(yùn)行期間,用戶往往會(huì)基于原有軟硬件對(duì)產(chǎn)品提出新功能或更高的性能要求,這對(duì)軟件重用性提出了挑戰(zhàn)。在移動(dòng)設(shè)備數(shù)量較多, 而且使用地點(diǎn)無(wú)法預(yù)知的情況下, 采用傳統(tǒng)的人工更新方式會(huì)耗費(fèi)大量的人力物力。自更新技術(shù)在嵌入式系統(tǒng)中分為兩個(gè)相互聯(lián)系又相互獨(dú)立的階段:首先是將更新包下載至本地移動(dòng)設(shè)備中,然后在本地移動(dòng)設(shè)備中實(shí)現(xiàn)自更新。
將自更新技術(shù)嵌入RTOS中的關(guān)鍵在于自更新后系統(tǒng)啟動(dòng)的穩(wěn)定性。嵌入式移動(dòng)系統(tǒng)一般都有獨(dú)立的bootloader對(duì)系統(tǒng)進(jìn)行初始化并引導(dǎo)加載內(nèi)核。這種啟動(dòng)基于bootloader,該自更新機(jī)制決定了bootloader不僅僅起到加載內(nèi)核鏡像這一基本功能,而是被看作是一個(gè)虛擬系統(tǒng)。
1 自更新機(jī)制的架構(gòu)
支持自更新功能的嵌入式系統(tǒng)由服務(wù)器端和客戶端兩部分組成。服務(wù)器端通過(guò)OMA協(xié)議,與客戶端建立無(wú)線連接。客戶端采用基于ARM9的微處理器,配有8MB的RAM和32 MB的NOR Flash存儲(chǔ)器,及其他相關(guān)外圍設(shè)備,具有相對(duì)可見的bootloader程序。自更新機(jī)制架構(gòu)如圖1所示。
圖1 自更新機(jī)制架構(gòu)圖
自更新機(jī)制總體流程如下: a. 設(shè)備廠商根據(jù)需求,生成包括升級(jí)到新版本或返回到舊版本的多個(gè)更新包。b. 這些更新包將被送至無(wú)線服務(wù)提供商處進(jìn)行統(tǒng)一管理,并最終將更新包提供給用戶。c. 在更新包提供給用戶前,每個(gè)單獨(dú)的移動(dòng)設(shè)備將會(huì)選擇最優(yōu)方案(即網(wǎng)絡(luò)提供商)。d. 服務(wù)器端通過(guò)傳輸機(jī)制(如OMADL 1.0協(xié)議標(biāo)準(zhǔn)或網(wǎng)絡(luò)提供商標(biāo)準(zhǔn))與客戶端建立會(huì)話連接,客戶端將下載并存儲(chǔ)更新包。e. 更新應(yīng)用程序?qū)⑴c用戶交互以獲得更新權(quán)限并進(jìn)入更新進(jìn)程。整個(gè)更新過(guò)程由bootloader完全控制,直到更新成功。f. 更新后的目標(biāo)設(shè)備重啟,并將更新結(jié)果發(fā)送至服務(wù)器端。
2 更新系統(tǒng)的設(shè)計(jì)
2.1 Flash 存儲(chǔ)器的布局
原有嵌入式系統(tǒng)Flash存儲(chǔ)器的布局如圖2(a)所示。系統(tǒng)啟動(dòng)時(shí)從Flash的首地址開始執(zhí)行,而bootloader和RTOS都位于code區(qū),也就是bootloader并不獨(dú)立于內(nèi)核。將原本與代碼區(qū)相鄰的文件系統(tǒng)區(qū)后移,用于存儲(chǔ)更新包。這種布局也是很多嵌入式系統(tǒng)所采用的,尤其是許多商業(yè)系統(tǒng)。系統(tǒng)在更新過(guò)程中根據(jù)自更新算法與原有代碼區(qū)進(jìn)行比對(duì),燒寫到Flash中。這種Flash部署方法有一個(gè)致命的缺點(diǎn),就是沒(méi)有考慮到更新過(guò)程中可能遇到的突發(fā)事件。比如,在更新過(guò)程中因?yàn)椴豢深A(yù)料的掉電使得燒寫錯(cuò)誤,完全可能導(dǎo)致軟件更新后系統(tǒng)無(wú)法啟動(dòng),出現(xiàn)這種情況后必須人工重新燒寫原有軟件。
圖2 存儲(chǔ)器布局
為了在原有基礎(chǔ)上使系統(tǒng)具有高穩(wěn)定性與擴(kuò)展性,需要對(duì)Flash進(jìn)行重新布局, 如圖2(b)所示。將代碼區(qū)劃分為兩個(gè)區(qū)域:bootloader區(qū),這個(gè)區(qū)域不可被擦寫更新;RTOS區(qū)域,存放內(nèi)核及應(yīng)用程序。將更新包存儲(chǔ)區(qū)設(shè)計(jì)為4部分。其中一個(gè)用來(lái)存儲(chǔ)系統(tǒng)啟動(dòng)和更新過(guò)程的標(biāo)識(shí)參數(shù),這些數(shù)據(jù)極為重要,掉電后仍需保存于Flash中。另一個(gè)存儲(chǔ)區(qū)用于存放更新時(shí)用到的更新包, 稱為更新包區(qū)。第三個(gè)區(qū)域存儲(chǔ)下載的更新包,稱為更新包備份區(qū)。最后一個(gè)區(qū)域存放設(shè)備出廠時(shí)的軟件版本。bootloader固定在第一個(gè)分區(qū),這樣的設(shè)計(jì)具有很強(qiáng)的可擴(kuò)展性,涵蓋了更新算法。為了使人機(jī)接口更人性化,此區(qū)域包括LCD及其控制器的驅(qū)動(dòng)和應(yīng)用程序,使更新過(guò)程對(duì)用戶可見。系統(tǒng)啟動(dòng)時(shí)設(shè)置異常向量表,初始化內(nèi)存、堆棧指針寄存器、I/O器件、系統(tǒng)需求的RAM變量,使能中斷,然后根據(jù)啟動(dòng)地址和更新標(biāo)識(shí)這兩個(gè)參數(shù)跳轉(zhuǎn)執(zhí)行相應(yīng)代碼,每次更新都不改變bootloader區(qū)域的內(nèi)容。其中,啟動(dòng)地址指向bootloader要執(zhí)行的代碼,更新標(biāo)識(shí)用于記錄更新階段。
2.2 更新進(jìn)程的設(shè)計(jì)
系統(tǒng)每次啟動(dòng)后, 服務(wù)器端主動(dòng)報(bào)告當(dāng)前有無(wú)可更新的軟件包。如果客戶端響應(yīng)并發(fā)起會(huì)話,則隨后檢查Flash上的更新包備份區(qū),存儲(chǔ)下載的更新包,并更新標(biāo)識(shí)。為了增強(qiáng)傳輸過(guò)程的安全性, 在應(yīng)用層設(shè)計(jì)一套具有校驗(yàn)、確認(rèn)和斷點(diǎn)續(xù)傳功能的收發(fā)協(xié)議, 以保證數(shù)據(jù)能夠準(zhǔn)確地通過(guò)移動(dòng)通信系統(tǒng)傳輸?shù)娇蛻舳恕?/P>
當(dāng)更新包下載完畢后, 先將更新包由備份區(qū)拷貝至更新包區(qū),更新進(jìn)程根據(jù)已經(jīng)設(shè)定的代碼區(qū)在Flash中的地址,調(diào)用Flash的讀寫函數(shù)通過(guò)比對(duì)算法將更新包寫入代碼區(qū)。更新結(jié)束后設(shè)置標(biāo)識(shí),如果由于某種原因沒(méi)有更新成功則標(biāo)識(shí)位不變,系統(tǒng)復(fù)位后繼續(xù)更新直到更新成功。可參考如下代碼:
更新進(jìn)程的程序流程如圖3 所示。
圖3 更新進(jìn)程流程
2.3 更新后的啟動(dòng)流程
通過(guò)以上更新流程,系統(tǒng)完成了一次軟件版本的升級(jí)。重新部署Flash后,客戶端具有相對(duì)獨(dú)立的bootloader,并固化在Flash的低地址處,能夠保證系統(tǒng)啟動(dòng)后總是先進(jìn)入bootloader。bootloader通過(guò)讀取對(duì)比標(biāo)識(shí)存儲(chǔ)區(qū)的啟動(dòng)地址參數(shù)來(lái)跳轉(zhuǎn)執(zhí)行代碼。在正常情況下, 啟動(dòng)地址總是指向RTOS。當(dāng)更新完成重新啟動(dòng)客戶端后, bootloader便會(huì)引導(dǎo)新的鏡像文件。
為了確保軟件更新后系統(tǒng)啟動(dòng)的穩(wěn)定性,通過(guò)設(shè)計(jì)異常處理程序來(lái)加載代碼備份存儲(chǔ)區(qū)的文件防止系統(tǒng)癱瘓。當(dāng)bootloader引導(dǎo)更新后的鏡像文件失敗后, 系統(tǒng)進(jìn)入異常處理函數(shù), 在此函數(shù)中將啟動(dòng)地址指向代碼備份區(qū),并設(shè)置標(biāo)識(shí)位。代碼備份區(qū)保存的是設(shè)備出廠時(shí)最初版本的image文件,具有非常高的穩(wěn)定性,這樣就保證系統(tǒng)功能正常運(yùn)行,并確保服務(wù)器端與客戶端正常通信。異常處理流程如圖4所示。
圖4 異常處理流程圖
當(dāng)軟件更新過(guò)程中遇到致命異常時(shí),通過(guò)異常處理程序,系統(tǒng)能夠重新啟動(dòng)備份的軟件版本, 有效地提高了嵌入式系統(tǒng)自更新機(jī)制的安全性, 避免了系統(tǒng)徹底崩潰。
3 測(cè)試
為了評(píng)估自更新機(jī)制的穩(wěn)定性和安全性,確保其適用于真實(shí)設(shè)備與網(wǎng)絡(luò),測(cè)試應(yīng)盡可能覆蓋現(xiàn)實(shí)情況中可能遇到的情況。用戶能看到的升級(jí)性能主要有更新包下載時(shí)間和自更新時(shí)間。設(shè)備廠商關(guān)注的是高穩(wěn)定性和安全性,以及更新包所占Flash的比例。測(cè)試中應(yīng)考慮到各種版本,制作測(cè)試矩陣,然后按順序測(cè)試,包括回退更新。
在一個(gè)實(shí)際運(yùn)行的移動(dòng)設(shè)備中驗(yàn)證和測(cè)試更新機(jī)制的性能。首先測(cè)試更新進(jìn)程的通信狀況。結(jié)果表明, 每次均能正確地與服務(wù)器端建立會(huì)話,并進(jìn)行數(shù)據(jù)傳輸;更新包均能通過(guò)無(wú)線網(wǎng)絡(luò)準(zhǔn)確下載并存儲(chǔ)至客戶端。測(cè)試的重點(diǎn)是系統(tǒng)更新結(jié)束后新程序啟動(dòng)的穩(wěn)定性和安全性。對(duì)軟件更新過(guò)程進(jìn)行干擾,以測(cè)試bootloader能否正確啟動(dòng)。測(cè)試中模擬了兩大類情況:一類是更新包隨機(jī)挑選版本的相互升級(jí),另一類是人為設(shè)置導(dǎo)致更新包出現(xiàn)不能啟動(dòng)錯(cuò)誤的數(shù)據(jù),然后進(jìn)行升級(jí)。設(shè)計(jì)三種具體方案進(jìn)行測(cè)試, 每個(gè)方案測(cè)試30 次,查看系統(tǒng)能否按預(yù)期結(jié)果啟動(dòng)程序。測(cè)試方案及結(jié)果如表1所列。
表1 啟動(dòng)可靠性測(cè)試結(jié)果
從測(cè)試結(jié)果看出, 系統(tǒng)更新后,每次均能正確啟動(dòng)程序;此外,更新機(jī)制對(duì)代碼區(qū)具有較強(qiáng)的修復(fù)能力,防止了由于數(shù)據(jù)異常而導(dǎo)致的無(wú)法啟動(dòng)。本更新機(jī)制能有效地提高嵌入式軟件更新后重新啟動(dòng)的穩(wěn)定性和可靠性。
結(jié)語(yǔ)
本文提出了一種具有較高穩(wěn)定性和安全性、基于bootloader的嵌入式軟件自動(dòng)更新機(jī)制。該更新機(jī)制同時(shí)保存了3個(gè)文件, 需要較多的Flash存儲(chǔ)空間,但同時(shí)降低了維護(hù)成本。其創(chuàng)新點(diǎn)在于設(shè)置1個(gè)標(biāo)識(shí)區(qū)、3個(gè)程序存儲(chǔ)區(qū)并設(shè)計(jì)了異常機(jī)制,提高了嵌入式系統(tǒng)更新過(guò)程的穩(wěn)定性,尤其能夠有效地防止軟件更新后系統(tǒng)啟動(dòng)失敗的情況,具有較高的實(shí)用價(jià)值。
評(píng)論