Forum: Mikrocontroller und Digitale Elektronik Bootloader und "doppeltes" FW-Images

Adam P. schrieb:
> So sehe ich das auch. Zur Compile-Zeit existiert die Adresse die im
> Linker-Script oder in den Configs hinterlegt ist.

Verdammt!

Adam P. schrieb:
> Warum möchtest du überhaupt die FW 2x im Flash halten (alt / & neu)?

Weil das die für mich einfachste und schönste Lösung ist. Ansonsten 
müsste ich im Bootloader nach einem Update immer Image 2 an die Stelle 
von Image 1 kopieren und dann das neue Image booten.

Direkt an die Stelle von Image 1 kann ich nicht schreiben, da die Daten 
über UART in einem etwas komplexen Protokoll rein kommen für dessen 
Abhandlung Timer, und die RTOS Laufzeitumgebung benötigt werden. Das 
kann man nicht in den RAM oder so auslagern, zumal der Platz da eh eng 
bemessen ist.
Deshalb war die Idee alles gemütlich an die Speicherstelle 2 zu 
schreiben, zu prüfen und neu zu starten ...

Adam P. schrieb:
> Also soll die FW-Flash-Funktionalität in der FW selbst sein:
> FW 1 flasht FW 2
> oder
> FW 2 flasht FW 1? Richtig verstanden? Und der Bootloader soll dann nur
> entscheiden welche er beim Restart anspringt?

Richtig.

Adam P. schrieb:
> Aber dann müsste das doch auch gehen.
> - Beide FW erstellen
> - Aktive FW teilt mit welche Sie ist oder welche FW sie empfangen möchte
> - Übertragen & abspeichern
> - Falls CRC(Prüfung) + Flashen OK, dann löscht aktive FW ihren reset
> vector Eintrag im Flash und erzeugt ein Reset (oder halt eine Info im
> EEPROM)
> - Bootloader prüft an beiden Basis-Adr. welcher reset vector noch gültig
> ist und springt die FW an.
>
> Denke das müsste machbar sein.

Eigentlich ja.
Hat aber drei Nachteile:
1. Das Update-Image ist immer doppelt so groß, da ja beide Versionen 
enthalten sein müssen
2. Es müssen dementsprechend auch immer zwei Versionen des Projekts 
kompiliert werden.
3. Im Protokoll müsste diese "Abhandlung" hinterlegt werden ...


Ein "Suchen und Ersetzen" während dem Flashen, bei dem die Adressen von 
einen in den anderen Adressbereich über einen Offset geändert werden, 
geht vermutlich nicht, oder?
(Ist vermutlich eine bescheuerte Idee ... ! - Ich vermute ich muss mit 
den drei Nachteilen leben müssen!)

Stefan K. schrieb:
> Warum das nicht alles in den Bootloader mit reinpacken? Wenn Dein
> Bootloader dieses Protokoll beherrscht, dann kann er komplett unabhängig
> von der alten Firmware-Version agieren,

Weil das echt zuviel für ein Bootloader wird ... Grob überschlagen würde 
er auf 30k Flash anwachsen.

Stefan K. schrieb:
> Welchen mc benutzt Du?

STM32L151RD

Wenn die Update Routine im booter ist, kann sie nicht so einfach 
ausgetauscht werden. Das ist ggf ein schwerwiegenden Nachteil. Weiter 
wird er dadurch komplexer und hat mehr Fehler.

Ich bin auch generell dafür den booter so schlank wie möglich zu 
gestalten. Je weniger Code um so weniger Fehler.

Und Software ist nie fehlerfrei.

Bei Update Routinen im Image immer überprüfen ob das da Update aus 
beiden danach noch tut.

Stefan K. schrieb:
> (384kb - 8kb) / 2 = 188kb für jedes Firmware-Image.

Ein wenig muss man auch auf die Sectoren achten...

Im aktuellen Stand ist die FW knapp 153k groß...


ABC schrieb:
> Ich bin auch generell dafür den booter so schlank wie möglich zu
> gestalten. Je weniger Code um so weniger Fehler.
>
> Und Software ist nie fehlerfrei.


Noch ein Punkt, was gegen die Sache mit "alles im Bootloader" spricht:
Das Protokoll darf sich nie ändern!
Liegt alles in der FW selbst, kann man das mit einem FW-Update eben 
beheben. Im Bootloader wird schwer ...

Hmmm ...

Ganz anderer Vorschlag! - Gar kein Bootloader verwenden, sondern die 
zwei Bänke des Controllers verwenden:
http://www.st.com/content/ccc/resource/technical/document/application_note/group0/ab/6a/0f/b7/1a/84/40/c3/DM00230416/files/DM00230416.pdf/jcr:content/translations/en.DM00230416.pdf

Das heißt:
1. Aktuelle FW flasht neues Image in die andere Bank.
2. Aktuelle FW prüft die Prüfsumme
3. Falls alles passt wird das Boot bit (BFB2 gesetzt, oder gelöscht)


Nachtrag: Habe eben erst gesehen, dass da noch zwei Antworten kamen, 
während ich geantwortet habe!

Adam P. schrieb:
> Nein, sehe ich nicht so. Du hast in deinem Projekt 2 Configs und
> erstellst diese beiden, dann hast du zwei FW z.b:
> - Release_FW_1
> - Release_FW_2
>
> Und per Protokollabsprache wird dann das richtige übertragen.

Ja, das meine ich ja. Aber Release_FW_1 und Release_FW_2 müssten dann 
halte beide beim Host sein, damit das richtige übertragen werden kann. 
Das meine ich mit doppelter Größe... - Also beim Host.

Torsten R. schrieb:
> Das ist nicht unüblich. Letztendlich ist bei jedem Programm, dass auf
> einem modernem OS läuft zur Linkzeit nicht klar, an welche Adresse es
> beim Start geladen wird:
>
> https://en.wikipedia.org/wiki/Relocation_(computing)
>
> Diese Tabelle müsstet Du idealerweise dann im RAM halten können, bzw. so
> über das Image verteilen, dass der Teil, den Du im RAM halten müsstest
> klein genug.

Funktioniert dieses Reallocation auch bei einem embedded Controller 
(Cortex-M3)?!?

Naja ... Das der Linker entsprechend die Adressen anpassen kann ist ja 
klar.
Deshalb auch zwei Images.
Meine Idee war immer nur eine FW für Image 1 zu kompilieren.
Wenn das Gerät dann erkennt, dass es das ganze in Flash 2 schreiben 
muss, sucht es im übertragenen Image nach den Sprung-Adressen und 
ersetzt sie durch die richtigen.

Was aber auch bescheuert ist, da nämlich dann auf jeden Fall die 
Prüfsumme falsch ist ...

Alles doof! :-(

Ich kenne das so:

- Firmware lädt Update in einen separaten Flashbereich, z.B. obere 
Hälfte und checkt mit CRC, ob das Image OK ist. Wenn nicht, gibt's ne 
Fehlermeldung im Protokoll, und es wird abgebrochen.
- Firmware setzt irgendwo im Flash ein "hallo, Update ist da"-Flag.
- Firmware rebootet.
- Bootloader guckt auf das Update-Flag, ob es gesetzt ist.
- Bootloader prüft selber nochmal das Update-Image per CRC.
- Bootloader kopiert das Update in den Firmware-Bereich.
- Bootloader checkt CRC der Firmware - wenn OK, wird das "Update ist 
da"-Flag resettet, sonst nochmal kopiert.
- Bootloader startet Firmware.

Mit so einem Design kann auch zu jedem Zeitpunkt der Strom abgedreht 
werden. Wenn das beim Kopieren der Firmware im Bootloader passiert, 
wiederholt er die Nummer beim nächsten Start eben.

Man kann auch z.B. noch das runtergeladene Update komprimieren und auch 
so komprimiert speichern. Dann braucht man nicht das Doppelte an Flash. 
Dafür wird der Bootloader aufwendiger, weil er dekomprimieren können 
muß.

Außerdem kann der Bootloader auch ohne gesetztes Update-Flag die 
eigentliche Firmware vor dem Starten per CRC checken, und wenn das 
fehlschlägt, nachsehen, ob das letzte Update vielleicht noch verfügbar 
ist zum Drüberkopieren.

Zur Sicherheit sollte außerdem im Bootloader noch ein rudimentäres 
Protokoll sein, mit dem man ein Hexfile in den Updatebereich laden kann. 
Das ist, wenn alles schiefgeht, als Notnagel. Also wenn die Firmware 
kaputt ist und auch kein letztes Update rumliegt.

Das sollte nur auf einem UART mit geringer Baudrate sein. Hauptsächliche 
Einschränkung, weswegen das nicht für das reguläre Update gedacht ist: 
remote Update geht so nicht.

Nop schrieb:
> Ich kenne das so:
>
> - Firmware lädt Update in einen separaten Flashbereich, z.B. obere
> Hälfte und checkt mit CRC, ob das Image OK ist. Wenn nicht, gibt's ne
> Fehlermeldung im Protokoll, und es wird abgebrochen.
> - Firmware setzt irgendwo im Flash ein "hallo, Update ist da"-Flag.
> - Firmware rebootet.
> - Bootloader guckt auf das Update-Flag, ob es gesetzt ist.
> - Bootloader prüft selber nochmal das Update-Image per CRC.
> - Bootloader kopiert das Update in den Firmware-Bereich.
> - Bootloader checkt CRC der Firmware - wenn OK, wird das "Update ist
> da"-Flag resettet, sonst nochmal kopiert.
> - Bootloader startet Firmware.

Entspricht so in etwa dem bestehenden Speicherkonzept.
Nur das der Bootloader immer Image 1 lädt und bei einem update zuvor die 
aktuelle FW von Image 2 Speicherbereich in den Image 1 Speicher bereich 
kopiert.
D.h. ein Backup wäre nicht da, außer man hat genug Speicher für beide 
8ggf. komprimierte) Images.
Sind Sie komprimiert darf aber beim Entpacken (und Schreiben in das 
Flash) nichts schief laufen ...

Adam P. schrieb:
> ...wie hast du dir das angedacht?
> Wenn in einem Update Funktionen verändert wurden bzw. neue hinzukamen,
> woher soll der Bootloader wissen was er wie zu ersetzen hat.
>
> Und die Funktionen sind doch nicht immer gleich groß oder liegen immer
> an der selben stelle, was mit einem Offset zu lösen wäre - aber
> bezweifel, dass es dafür eine Lösung gibt.
> Lasse mich jedoch gern eines besseren belehren.

Ja ... war ja nur ein Gedanke, wenn quasi ein Jump immer im 
Hex-Datenstrom durch einen eindeutigen Identifier und einer 
nachfolgenden Adresse mit 0x080????? beginnend steht ...