1. 项目概述与核心价值
在嵌入式产品开发中,固件更新能力是决定产品生命周期和维护成本的关键。想象一下,一个部署在智能家居或工业现场的传感器节点,如果发现了一个软件缺陷或需要增加新功能,你不可能每次都派人去现场拆机、连接调试器。这时,一个可靠、安全的远程或通过主处理器进行的固件更新机制就显得至关重要。NXP LPC86x系列微控制器提供的SPI从属引导加载器(Secondary Bootloader, SBL)方案,正是为解决这类“从处理器”的固件更新难题而生。
这个方案的核心价值在于,它允许LPC86x作为“从设备”(例如传感器集线器)时,其固件可以通过与“主设备”(例如应用处理器AP)之间最常用的SPI接口进行更新,而无需依赖传统的SWD调试接口或UART ISP接口。这尤其适用于那些为了成本、空间或安全性考虑,在最终产品中不预留调试接口的场景。我曾在多个传感器融合和边缘计算项目中采用类似方案,实测下来,它不仅简化了生产流程,也为后续的现场维护和功能迭代铺平了道路。本文将深入拆解LPC86x SPI SBL的实现细节、应用编程(IAP)流程,并分享从工程实践中总结的配置要点和避坑指南。
2. SPI从属引导加载器的核心设计思路
2.1 为何需要二级引导加载器?
LPC86x微控制器内部固化了一段不可更改的Boot ROM代码,即主引导加载器。它负责芯片上电或复位后的初始启动流程,通常支持通过UART进行在系统编程(ISP)。然而,ISP模式往往需要手动触发(如按住某个按钮复位),且依赖UART物理接口,这在集成度高的从设备系统中并不总是可用或方便。
二级引导加载器则是一段由用户编写、存储在用户Flash前部的程序。它的核心作用是扩展Boot ROM的功能,提供除UART ISP之外的另一种固件更新通道。对于LPC86x SPI SBL而言,这个通道就是SPI从机接口。其设计思路非常巧妙:芯片复位后,Boot ROM首先运行,然后跳转到用户Flash的起始地址执行。如果我们把SBL程序放在这个起始地址,那么控制权就交给了SBL。SBL再根据预设的逻辑(如检查特定标志位、等待主机命令或校验应用程序完整性)来决定是进入固件更新模式,还是跳转到真正的用户应用程序(App)去执行。
这种设计的最大优势是灵活性和安全性。开发者可以完全定制SBL的行为,例如增加复杂的握手协议、加密校验或双备份固件机制,而无需改动芯片底层。LPC86x的SBL方案就实现了双固件备份,有效防止了固件更新失败导致设备“变砖”的风险。
2.2 系统架构与通信桥梁
要实现PC或主机处理器通过SPI对LPC86x进行编程,需要一个可靠的通信桥梁。原厂文档中使用了MCU-Link Pro调试探针。这块板子的妙处在于,它不仅仅是一个调试器,其内置的LPC55S69微控制器还实现了USB到SPI/I2C的桥接功能。
整个数据流是这样的:PC上的工具(如SPI-Util.exe)通过USB连接到MCU-Link Pro,MCU-Link Pro再将USB命令转换为SPI时序,通过其GPIO引脚模拟SPI主机,与LPC86x的SPI从机接口通信。这样一来,即使你的最终产品主板没有预留USB转SPI芯片,在开发阶段也可以利用MCU-Link Pro快速搭建测试环境,验证SBL的完整流程。
在实际项目中,如果主机处理器是另一个MCU或MPU,那么可以省去MCU-Link Pro,直接由该主机处理器的SPI主控制器与LPC86x通信,通信协议则需参照SBL定义的命令集进行实现。这要求主机端有相应的固件或驱动来发起SBL命令。
2.3 内存空间规划:双备份的智慧
LPC86x拥有64KB的用户Flash,被划分为64个扇区,每个扇区1KB。SBL方案对这片有限的存储空间做了精心的规划:
- 0x0000 - 0x1FFF (8KB): 分配给SPI SBL程序本身。这是SBL代码和数据的家,必须确保其不会被应用程序或更新过程意外擦写。
- 0x2000 - 0x8FFF (28KB): 分配给用户应用程序1(App1)。这是第一个应用程序的存储区域。
- 0x9000 - 0xFFFF (28KB): 分配给用户应用程序2(App2)。这是第二个应用程序的存储区域。
这里的关键在于双备份机制。SBL会同时维护两个应用程序映像。当需要更新固件时,新的固件会被写入到非当前运行的那个应用程序区域。例如,当前系统正在从App1启动,那么新固件就会被下载到App2的区域。下载完成后,SBL通过比较两个区域的固件版本号或CRC校验结果,决定下次启动哪个版本。这种机制确保了即使新固件下载或校验失败,设备仍然可以回退到旧版本正常启动,极大地提升了系统可靠性。
注意:28KB的应用程序空间对于LPC86x这类资源受限的MCU需要精打细算。在规划你的应用程序时,务必使用链接脚本(.sct文件)严格控制代码和数据的存放位置,避免溢出到SBL或其他应用程序区域,导致不可预知的崩溃。
3. 引导流程与固件映像深度解析
3.1 SBL引导流程详解
SBL的启动逻辑是其大脑,理解它对于调试和自定义至关重要。其工作流程可以概括为以下几个关键决策点:
- 复位与移交:芯片复位,Boot ROM运行完毕后,硬件自动跳转到用户Flash起始地址(0x00000000),即SBL的入口。
- 映像头检查:SBL首先检查预设的应用程序入口地址(App1的0x00002100或App2的0x00009100)是否存在一个有效的映像头。这个头结构是SBL与应用程序之间的“契约”。
- 决策树展开:
- 如果无映像头:说明Flash中可能没有有效的用户程序,或需要强制进入编程模式。SBL会初始化SPI接口,然后进入“等待主机命令”的状态循环。此时,主机可以通过SPI发送命令来探测设备、擦写Flash等。
- 如果有映像头:SBL会解析头中的
imageType字段。这是一个决定后续行为的关键标志:IMG_NORMAL:正常启动模式。SBL会检查主机中断线(nHostIRQ)状态。如果主机拉低了此线(表示主机需要通信),SBL则暂停启动,返回命令处理模式;否则,继续进行CRC校验,校验通过则启动该应用程序。IMG_NO_WAIT:无等待启动模式。SBL忽略nHostIRQ线状态,直接进行CRC校验并启动应用。适用于主机不需要在启动前干预的场景。IMG_AP_WAIT:应用等待模式。SBL不自动启动应用,而是直接进入命令处理循环,等待主机通过SPI发送BOOT命令来触发启动。这给了主机完全的控制权。IMG_NO_CRC:无CRC校验模式。SBL跳过CRC校验步骤,直接启动应用程序。此模式风险较高,仅建议在开发初期或确信映像完整时使用。
- CRC校验:对于需要校验的模式,SBL会计算应用程序区域的CRC32值,并与映像头中存储的预期值比对。不一致则视为映像损坏,启动失败。
- 版本仲裁与跳转:当两个应用程序区域(App1和App2)都有有效的映像头且CRC校验通过时,SBL会比较两者的版本号(
FW_VERSION)。版本号更高的被认定为“更新”的固件,并被执行。如果版本号相同,则默认启动App1。
3.2 映像头与CRC生成工具
映像头是嵌在应用程序二进制文件特定位置(App1在0x2100, App2在0x9100)的一段数据结构。它至少包含魔数、映像类型、CRC校验值、映像长度和版本号等信息。手动构造这个头非常繁琐且容易出错。
NXP提供了命令行工具lpc86x_secimgcr.exe来自动化这个过程。它的用法很简单,但有几个细节需要注意:
# 基本用法:为整个映像生成CRC并插入头 lpc86x_secimgcr.exe input_app.bin output_app_with_crc.bin # 指定CRC计算范围 lpc86x_secimgcr.exe -n1 input_app.bin output_full_crc.bin # -n1: 对整个映像计算CRC (默认) lpc86x_secimgcr.exe -n2 input_app.bin output_header_crc.bin # -n2: 仅对映像头计算CRC实操心得:
- 在量产或发布固件时,务必使用
-n1(全映像CRC)模式。这能最大程度地保证应用程序代码的完整性,防止因Flash位翻转等原因导致的程序跑飞。 -n2模式仅校验头部的完整性,速度更快,但无法保证应用程序代码区无误。仅建议在快速开发迭代、且通过其他手段(如看门狗)保证系统可恢复时使用。- 生成带CRC的bin文件后,一定要用hexdump或二进制查看工具确认一下文件开头和0x100偏移处的内容是否发生了变化,确保工具执行成功。我曾遇到过因路径包含中文空格导致工具静默失败,烧录后设备无法启动的情况。
3.3 从应用程序中重新调用SBL
一个高级但非常有用的功能是:允许正在运行的用户应用程序主动跳转回SBL。这用于实现“软件复位进入固件更新模式”的功能,而无需物理按压复位键。
在LPC86x的SBL示例中,这是通过一个固定在RAM地址的函数指针实现的。应用程序调用bootSecondaryLoader()函数,该函数会设置一些参数,然后跳转到绝对地址0x00001F00。这个地址在SBL的代码空间中,存放着一个指向secondaryLoaderEntry()的指针,最终会执行SBL的入口函数。
关键配置点:
- SBL的链接脚本必须确保其代码段包含
0x00001F00这个地址,并且在该地址处正确放置了跳转指针。 - 应用程序和SBL需要约定好参数传递的RAM区域(示例中为
0x10000004-0x1000000B)。应用程序在跳转前可以在此处设置标志,告诉SBL跳转的原因(如:请求更新、工厂测试模式等)。 - SBL的链接脚本中,RAM的起始地址必须避开这个参数传递区,例如从
0x1000000C开始,防止数据被覆盖。
4. 实战:构建、下载与更新全流程
4.1 开发环境搭建与SBL下载
首先,你需要准备好硬件:LPCXpresso860-MAX开发板、MCU-Link Pro调试器,以及用于连接的杜邦线。软件方面需要Keil MDK(或其它支持ARM的IDE)和NXP提供的SBL软件包。
步骤一:下载SBL到LPC86xSBL本身也是一个需要被编程到Flash中的程序。有两种主要方式:
- 通过SWD调试器下载:这是最直接的方式。用Keil打开SBL工程,连接MCU-Link Pro的SWD接口到板子的调试口,直接编译下载即可。确保在调试配置中正确设置了Flash下载算法,覆盖地址从0x00000000开始。
- 通过UART ISP使用Flash Magic下载:如果板载调试器不可用,可以使用ISP模式。操作方法是:按住板上的ISP按钮(SW1),再按一下复位按钮(SW3),然后释放复位按钮,最后释放ISP按钮。此时芯片停留在Boot ROM的ISP模式。使用Flash Magic工具,选择正确的串口、芯片型号(LPC86x),加载SBL的
.hex文件(注意:Flash Magic通常需要hex格式,Keil可生成),然后进行编程。
注意:初次下载SBL后,芯片的启动流程就改变了。之后每次复位,都会先运行SBL。如果你的应用程序下载后无法运行,首先应检查SBL是否已正确烧录。
4.2 构建双应用程序映像
示例工程通过一个Keil项目配合不同的配置来生成App1和App2。核心差异在于两点:
链接脚本(Scatter File):
- App1使用
lpc86x_firmware1.sct,其加载区域(LR_IROM1)的起始地址为0x00002000。 - App2使用
lpc86x_firmware2.sct,起始地址为0x00009000。 在Keil的“Options for Target” -> “Linker”选项卡中切换Scatter File。
- App1使用
应用程序标识宏: 在
main.c中,通过APP1_ENABLE宏来区分两个应用的行为(例如点亮不同颜色的LED)。构建App1时,定义APP1_ENABLE为1;构建App2时,定义为0。固件版本号: 版本号
FW_VERSION被定义在固定的绝对地址(App1:0x2114, App2:0x9114)。每次发布新固件时,务必递增版本号,因为SBL依赖版本号高低来判断哪个固件更新。
构建流程:
- 在Keil中为App1配置好链接脚本和宏,点击Build,生成
app1.bin。 - 切换配置为App2,再次Build,生成
app2.bin。 - 分别对两个bin文件运行
lpc86x_secimgcr.exe工具,生成带CRC校验头的app1_crc.bin和app2_crc.bin。
4.3 使用SPI-Util工具进行固件更新
这是模拟主机通过SPI进行更新的关键测试环节。确保硬件连接正确:MCU-Link Pro的SPI引脚(MOSI, MISO, SCK, SSEL)和GPIO引脚(用于nHostIRQ)与LPC86x板子对应连接,共地。
- 启动连接:打开命令行,进入工具目录,运行
SPI-Util.exe。工具会尝试通过MCU-Link Pro与LPC86x建立SPI通信。 - 探测设备:输入命令
0发送PROBE命令(0xA5)。如果通信正常,会收到SBL的响应。这是检查物理连接和SBL是否运行的第一步。 - 进入编程模式(关键步骤):如果LPC86x当前正在运行一个有效的应用程序(LED在闪烁),你需要中断它并让其回到SBL。
- 输入命令
f。这个命令会让MCU-Link Pro将连接LPC86xnHostIRQ引脚(对应GPIO1.14)的GPIO输出低电平。 - 手动按下LPC86x开发板的复位键(SW3)。SBL在启动时检测到
nHostIRQ为低,便会停止启动应用程序,转而进入等待命令的模式。 - 输入命令
g。这个命令将MCU-Link Pro对应的GPIO重新配置为输入,释放对nHostIRQ线的控制,让LPC86x可以将其用作输入来检测主机中断。
- 输入命令
- 验证与更新:
- 输入命令
8获取SBL版本,确认连接稳定。 - 输入命令
1开始更新固件。根据提示,输入你准备好的带CRC的bin文件名(如app2_crc.bin)。 - 工具会通过SPI分页将固件数据写入LPC86x的Flash。此过程需要一定时间,请勿断电或复位。
- 输入命令
- 启动新固件:
- 更新完成后,输入命令
b发送BOOT命令。SBL会执行前文所述的引导流程:检查映像头、CRC、版本号,然后跳转到版本更高的应用程序执行。 - 观察开发板上的LED,如果从橙色(App1)变成了红色(App2),说明更新成功。
- 更新完成后,输入命令
常见问题与排查:
- SPI-Util连接失败:检查MCU-Link Pro的驱动是否安装(LIBUSBSIO),USB连接是否正常,SPI线序是否接对,时钟极性相位(CPOL/CPHA)是否匹配(SBL通常为标准模式0)。可以尝试降低SPI时钟频率。
- 更新后无法启动:最常见的原因是CRC校验失败。请确认:
- 是否使用了
lpc86x_secimgcr.exe处理过的bin文件? - 更新时是否选对了应用程序区域?SBL会根据当前运行的应用和版本号自动选择目标区域,但理解其逻辑有助于排查。
- 应用程序的链接地址是否正确?App1必须是0x2000,App2必须是0x9000。
- 是否使用了
nHostIRQ流程不工作:确保硬件上nHostIRQ引脚连接正确,并且MCU-Link Pro和LPC86x的GPIO电平兼容。使用逻辑分析仪抓取该引脚在复位前后的波形,是诊断此类问题最有效的方法。
5. 主机命令集解析与自定义开发指南
5.1 标准命令集详解
SPI-Util工具实现的命令集,实际上是SBL所能理解的所有协议的体现。理解这些命令是进行二次开发的基础。下表整理了核心命令:
| 命令 | 发送值 | 功能描述 | 使用场景与备注 |
|---|---|---|---|
0 | 0xA5 | 探测 | 用于初始通信测试。SBL会返回固定响应,确认其存在且SPI通信正常。 |
1 | 0x01 | 更新固件 | 主更新命令。主机需随后发送固件文件名,工具会读取文件并分页发送。 |
2 | 0x02 | 读取固件映像 | 将Flash中的应用程序映像读回主机,用于备份或验证。 |
3 | 0x03 | 擦除一页 | Flash擦除操作的最小单位是扇区(1KB),此命令可能内部映射为扇区擦除。 |
6 | 0x06 | 擦除指定扇区 | 需要提供扇区号。用于精细化的Flash管理。 |
8 | 0x08 | 获取版本 | 获取SBL自身的版本信息,用于兼容性检查。 |
9 | 0x09 | 复位芯片 | 让LPC86x执行软件复位,重新从SBL开始执行。 |
b | 0x0B | 引导应用程序 | 命令SBL执行引导流程,跳转到用户应用程序。 |
f | 0x0F | 拉低nHostIRQ线 | 使主机控制GPIO输出低电平,用于中断应用程序启动。 |
g | 0x10 | 设置nHostIRQ为输入 | 释放GPIO控制权,使其变为高阻输入状态。 |
通信协议浅析:虽然文档未明说,但此类基于串行接口的引导加载器协议通常遵循一个简单的“命令-响应-数据”帧结构。例如,主机发送一个字节的命令码(如0x01),SBL回应一个状态字节(如ACK=0x00),然后主机开始发送数据包(包含地址、长度、数据、校验等)。SPI-Util.exe的源码(如果提供)是学习该协议的最佳资料。
5.2 集成到自定义主机系统
在实际产品中,你的主机可能是一个运行Linux的MPU或另一个高性能MCU。你需要将SPI-Util的功能移植到你的主机程序中。这个过程可以分为几个步骤:
实现SPI主驱动:在你的主机操作系统或固件中,配置好连接LPC86x的SPI控制器为主模式,并设置正确的时钟频率(通常从低速开始,如1MHz,确保稳定)、极性和相位(Mode 0或3,需与SBL代码一致)。
封装协议函数:将每个SBL命令封装成一个独立的函数。例如:
// 伪代码示例 sbl_status_t sbl_probe(spi_handle_t *spi) { uint8_t cmd = 0xA5; uint8_t response[4]; spi_transfer(spi, &cmd, 1, response, 4); // 解析response,判断是否为预期的应答(如 “SBLO”) return parse_probe_response(response); } sbl_status_t sbl_update_firmware(spi_handle_t *spi, const char *bin_path) { // 发送命令0x01 // 打开bin文件,分页读取 // 对每一页:发送地址、长度、数据、CRC // 等待SBL对每页的ACK // 发送结束标志 }设计更新流程:在你的主机应用程序中,设计一个健壮的更新流程:
- 预处理:校验待更新bin文件的完整性(如计算MD5)。
- 进入SBL模式:尝试通过
nHostIRQ信号复位从机进入SBL。如果没有硬件复位线,可以考虑让从机应用程序在收到特定网络或串口命令后,主动调用bootSecondaryLoader()跳回SBL。 - 握手与探测:发送
PROBE命令确认SBL就绪。 - 擦除与写入:根据SBL的响应,决定是否需要先擦除目标扇区,然后分页发送固件数据。务必加入超时和重试机制,应对SPI通信中的偶发错误。
- 验证与重启:更新完成后,可以发送
READ命令读回部分数据校验,或直接发送BOOT命令让从机启动新固件。最后发送RESET命令复位从机。
增加安全性与可靠性:
- 断点续传:在协议层增加数据包序号,如果更新中断,可以从最后一个确认收到的包开始继续发送,而不是重头开始。
- 加密与签名:在传输前对bin文件进行加密,在SBL端进行解密和签名验证,防止固件被篡改。
- 状态报告:让SBL在更新过程中返回更详细的状态(如当前擦写扇区、CRC校验结果),主机可以显示进度或记录日志。
避坑指南:
- 电源稳定性:Flash编程操作对电源噪声非常敏感。务必确保在更新过程中,LPC86x的供电电压稳定、纹波小。不稳定的电源是导致Flash写入失败、数据损坏的主要原因之一。
- 看门狗处理:如果你的应用程序或SBL开启了看门狗,必须在执行长时间的Flash擦写操作前将其暂停或定期喂狗,否则会导致复位。
- 中断冲突:在SBL进行Flash操作(擦除、写入)时,必须禁止所有中断。因为Flash控制器在操作期间,CPU不能访问Flash取指。在自定义SBL或修改其代码时,要特别注意这一点。
