英飞凌TC3xx SOTA分析

1.SOTA功能描述

SOTA(Sofeware update over the air)，指不连接烧写器的情况下，通过CAN、串口、以太网等通讯方式，实现应用程序的更新。汽车行业里通常有如下几种方案：

1. 针对MCU控制器，需要分别开发汽车BootLoader程序（需裁剪UDS协议）和应用程序，MCU上电后首先运行BootLoader，然后正常进入应用程序；当需要更新应用程序时，可通过诊断仪下发指令给MCU，MCU的应用程序收到指令后将设置更新标志位，然后进行复位重新进入BootLoader，Bootloader根据标志位开始擦除旧APP，接收新的APP数据并直接写在APP运行的Flash地址空间。该方案的优点是不需要额外的Flash暂存数据，缺点是BootLoader代码更复杂，且如果数据传输发生中断，旧的APP将不能被恢复。该方案更适合Flash容量较小的MCU。

2. 针对大容量Flash的MCU或者MCU+SOC异构控制器，由应用程序直接接收数据并且暂存于Flash，接收完毕后APP置位更新标志位重启MCU，BootLoader检查更新标志位，如有效，则擦除旧的APP，再将暂存于Flash的新APP数据写入APP运行地址处。该方案的优点是更新数据的接收由APP完成，BootLoader不需要通讯协议栈，代码量更小，且数据传输中断时，原有APP不损坏。缺点是需要额外的Flash空间暂存更新数据。

3. 在Flash中划分出两块相同大小的区域，分为A区和B区，都用来存放APP，但同一时间下只有一个区的APP是有效的，分别设置一个标志位标识其有效性。初始状态下先将APP写入A区，更新的时候，将新的APP写入B区，再把A区的APP擦除，同时更新两个区的有效性标志位状态。BootLoader中判断哪个区的APP有效，就跳转到哪个区运行。这种方法不需要重复拷贝APP数据，但最大的一个缺陷是AB区的APP程序运行地址不同，需要分别编译，从而使得可应用性大大降低。

4. 英飞凌SWAP功能：它的A\B Bank Flash物理地址支持两种不同物理地址映射到同一个逻辑地址方式（MCU自动从两种物理地址映射一个虚拟地址），从而使得APP编译时不需要区分AB区，使用相同的逻辑地址即可。

2.英飞凌TC3xx SWAP功能和内存映射机制

根据英飞凌TC3xx_UserManual中对SOTA的介绍。除开TC33x和TC33xED之外，所有的系列都可以将所有PFLASH划分为两个bank。当使能SOTA功能时，其中一个bank支持读取和执行，而另一组可以写入新代码。那么也意味着如果要使用SWAP功能，应用程序所能使用Flash容量至少会减半。举个例子，TC39xFlash总共16MB，那么应用程序不能超过8MB，因为要设计A/B互为备份。

由于SWAP是TC3xx支持两种不同的物理地址映射到同一个逻辑地址，因此当SWAP功能启用后，我们就要看它是如何实现这个地址映射的。

首先来看Standard address map，PF0--5按照顺序进行地址映射PF0/1/2/3/4/(5+reserved)：

当使用SWAP功能后，虚拟地址实际对应的物理flash为 PF2/3/0/1/(5+reserved)/4：

从TC39x的备选地址映射来看，PF0/1和PF2/3可以SWAP替换，PF4和PF5+reserved可以swap替换？

如果不这样理解，那就是PF0/1/4为Active Bank，PF2/3/5为Inactive Bank。这样会出现地址不连续？

这里留个疑问，先继续往下看。

3.SOTA开发配置

3.1 SOTA相关配置参数

根据芯片手册，与SOTA相关的配置参数如下：

参数	描述	对应寄存器	相关模块
UCB_OTP.PROCONTP.SWAPEN	该位使能后，在下次系统复位后进入SOTA模式。 下次系统复位后，为active bank配置的PROCONHSMCXx和PROCONHSMCOTP同样适用与inactive bank	DMU_HF_PROCONTP.SWAPEN	DMU
UCB_SWAP_ORIG/COPY	用户可编程活动地址映射是标准地址映射或备用地址映射。 进入SOTA模式后，根据上述配置选择标准还是备用地址映射