Які методи використовуються для того, щоб користувач міг безпечно оновити прошивку пристрою після продажу? Я хочу зробити це за допомогою мікроконтролера Cortex M3 / 4, але я думаю, що методи для будь-якого мікроконтролера повинні робити.
Переважно з найменшою кількістю додаткових компонентів, звичайно.
Відповіді:
Використовуйте чіп, у якого вдвічі більше обсягу флеш-пам’яті, який вам знадобиться для вашого коду. Таким чином ви можете отримати нову прошивку до цієї пам’яті, залишаючи стару, якщо щось піде не так.
Після розшифрування та перевірки контрольних сум на новій прошивці завантажувач може скопіювати її до остаточного місця, замінивши стару. Якщо в цій частині щось піде не так, після важкого скидання завантажувач повинен побачити, що нова прошивка недійсна (запустивши контрольну суму ще раз) та повторіть копіювання.
Це найпростіший і найбезпечніший спосіб, який я знаю. Він також вимагає невеликого коду у завантажувачі та не потребує дублювання будь-якої функціональності між основною програмою та завантажувачем (вам не потрібна будь-яка логіка зв'язку в завантажувачі).
Використовуйте завантажувач і кілька Кб додаткового спалаху.
Оновлення виконується завантажувачем, надсилаючи якусь спеціальну команду через UART, USB, I2C або інший протокол. Оновлюється лише основний код - код завантажувача ніколи не торкається, за винятком зовнішнього програміста (наприклад, JTAG / PICkit для PIC тощо).
Якщо оновлення не вдається (збою живлення, хтось заткнувся на провід або інша причина), віджет не працюватиме, але завантажувач все ще буде там, тому оновлення можна буде спробувати повторно.
Прапор може бути встановлений в якомусь байті десь, що запобігає неправильному виконанню основного коду, оскільки він не був повністю оновлений.
Якщо ваш пристрій порівняно дорогий і ви можете дозволити собі витрати (а ви, клієнти дбаєте про оновлення), ви можете це зробити ...
(як правило, ця техніка вимагає або зовнішнього зберігання, або нечесного використання jtag ..)
Майте фіксований мікропрограмний мікрофон (на зразок невеликого ПОС), який може зупинити систему та перепрограмувати її.
оскільки ви не можете змінити прошивку "оновлення процесора", вона ніколи не може піти не так.
1) користувач може оновити пристрій
2) якщо оновлення не вдалося, вони завжди можуть спробувати ще раз. Це не можна цеглити
3) навіть коли ваш цільовий пристрій не підтримує завантажувач (він просто хоче завантажитися і запустити), ви все одно можете змусити його робити те, що ви хочете.
працює для FPGA, DSP та інших дивовижних цілей.
Може мати по-справжньому інтерфейс користувача (навіть PIC може запускати веб-сервер ....)
Переконайтеся, що ваш продукт має якийсь простий послідовний інтерфейс, бажано EIA232. Нестандартний роз'єм добре, якщо у вас немає місця для DB-9. Наприклад, роз'єм TRS - це все, що потрібно для TxD, RxD та землі.
При першому програмуванні пристрою включіть завантажувач . Це повинно бути максимально простим , тому що рано чи пізно ви хочете оновити сам завантажувач, якщо йому знадобляться нові функції. (Ви, мабуть, не можете навіть оновити його)
Потім роз'єм TRS. Використовуйте гніздо з перемикачем, щоб ви могли виявити, коли є роз'єм. Просто перевірте перезавантаження та запустіть завантажувач, якщо плагін присутній, інакше запустіть програму. Таким чином завантажувач і програма програми користувача залишаються добре розділеними. (Перевірка насправді є частиною завантажувача; він нам знадобиться незалежно від версії програми, інакше ми не зможемо ввести завантажувач!)
Яке обладнання буде доступне для "вихователя"? ПК, USB-накопичувач, мікро-карта SD?
Одним із способів може бути додаток у знімному елементі (USB-накопичувач, SD-карта тощо). Чіп завантажує свою програму з елемента. Ваш випускник просто поміняє предмет і перезавантажиться.
Мікроконтролер ARM і Cortex, які я знаю (NXP, Atmel), мають вбудований послідовний завантажувач, тому якщо ваш оновник приходить із ПК та послідовним кабелем (а ви домовились про інтерфейс COM-порту), він може просто завантажити ваш оновлення.