SD93F115B上实现断电安全的轻量级OTA架构

在资源受限的嵌入式系统中，远程固件升级（OTA）不仅是功能迭代的手段，更是保障产品长期可用性的关键。然而，在Flash容量有限、无外部存储的MCU上实现高可靠、断电容错的OTA机制极具挑战。本文以国产MCU SD93F115B（120KB Flash）为例，详解一种仅占用13KB额外空间、具备完整状态恢复能力的三区OTA架构，适用于对可靠性要求严苛的工业与汽车电子场景。

存储分区设计

系统将120KB内部Flash划分为三个逻辑区域：

Bootloader 区（0x0000–0x2FFF，12KB）：存放固件接收、校验与写入逻辑；

Flag 区（0x3000–0x33FF，1KB）：非执行区，用于持久化存储升级状态机与固件校验码；

APP 区（0x3400–0x1DFFF，107KB）：主应用程序代码与数据。

该划分在保证应用功能空间的同时，为Bootloader预留足够代码容量，并通过独立Flag区避免状态信息被意外覆盖。

启动流程与状态机

芯片复位后，启动文件需重定向入口至Bootloader（修改Reset_Handler及中断向量表基地址）。Bootloader首先读取Flag区状态字：

若为 UPDATE_SUCCESS，则跳转至APP；

若为 UPDATING 或 VERIFY_PENDING，说明上次升级未完成，立即进入恢复流程；

若校验失败或状态非法，则可选择回滚至备份固件（如有）或进入安全模式等待新镜像。

APP在运行时若收到OTA指令（如通过UART或CAN），需先原子写入Flag状态为UPDATING，再触发软复位或直接跳转至Bootloader入口。此操作确保状态变更先于控制流切换，防止“更新未开始却已跳转”的竞态风险。

断电安全机制

整个升级过程采用分阶段状态标记 + 完整性校验策略：

接收固件数据块并写入APP区；

每完成一个逻辑段，更新Flag中的进度标记；

全部写入后计算CRC32（或SHA-1），与服务器下发的校验值比对；

仅当校验一致，才将状态置为 UPDATE_SUCCESS。

由于Flag区独立且写入操作原子化，即使在任意时刻断电，重启后Bootloader均可准确识别当前状态并决定是继续、重试还是放弃升级，从根本上杜绝“半刷变砖”问题。

工程实现建议

启动重定向：在链接脚本中将Bootloader置于起始地址，APP使用偏移向量表；

Flash保护：APP运行时通过Flash控制寄存器锁定0x0000–0x2FFF区域，防止误擦；

通信层健壮性：Bootloader应支持ACK/NACK、超时重传及数据包序号校验；

内存优化：12KB代码建议采用C语言裸机开发，避免RTOS开销，缓冲区复用以节省RAM。

适用场景

该方案已在智能电表、车载BCM、工业IO模块等产品中验证，特别适合无外挂Flash、低功耗、高可靠性要求的应用。对于Flash ≤ 256KB 的MCU平台，此三区模型具有良好的可移植性，是构建低成本、高鲁棒性OTA系统的实用参考。

如需SD93F115B产品规格书、样片测试、采购等需求，请加客服微信：13310830171。