1. 项目概述EFR32BG22的OTA升级方案设计与实现在物联网设备开发中固件升级是一个绕不开的核心环节。想象一下你的智能门锁、蓝牙温湿度计或者工业传感器部署在成千上万个现场一旦发现一个软件Bug或者需要增加新功能难道要派人一个个去拆机、烧录吗显然不现实。这就是OTAOver-The-Air空中升级技术存在的意义。它让设备能够通过无线网络远程、安全地更新固件是产品生命周期管理的关键。今天要聊的是基于Silicon Labs芯科科技EFR32BG22系列蓝牙SoC的OTA升级方案。EFR32BG22以其超低功耗和强大的射频性能在蓝牙Mesh、蓝牙5.2等应用中非常流行。但官方SDK提供的OTA示例往往更侧重于功能演示当你想把它集成到一个真实产品中并确保其稳定、可靠、安全时会发现有大量的细节需要打磨。我最近刚完成一个基于BG22的大批量蓝牙Mesh灯控项目OTA模块是其中的重中之重踩了不少坑也总结了一套相对成熟的实践方案。这篇文章我就把这些从方案选型、代码实现到生产部署的全链路经验毫无保留地分享出来。2. 核心需求与方案选型解析2.1 为什么EFR32BG22的OTA值得单独讨论EFR32BG22虽然属于EFR32系列但其内存资源RAM最高32KBFlash最高512KB相较于更高端的型号如EFR32MG24显得比较紧凑。这意味着我们的OTA方案必须非常“精打细算”不能像在资源丰富的平台上那样“挥霍”。一个失败的OTA升级轻则导致设备需要返厂重则可能让设备“变砖”造成现场维护的灾难。因此我们的核心需求不仅仅是“能升级”更是“安全、可靠、省资源地升级”。具体来说一个工业级的OTA方案需要满足以下几点双区备份与回滚这是可靠性的基石。设备Flash需要划分成两个独立的固件区Active和Download和一个Bootloader区。新固件下载到Download区校验成功后由Bootloader负责切换启动到新固件。如果新固件启动失败应能自动回滚到旧版本。断电保护升级过程中任何时刻断电设备再次上电后都应能恢复到可工作的状态绝不能变砖。安全校验必须对下载的固件镜像进行完整性如CRC32、SHA256和真实性数字签名校验防止恶意固件被注入。低内存开销整个OTA过程包括固件接收、校验、写入Flash需要在有限的RAM中完成不能影响设备基本功能如保持蓝牙连接。进度报告与状态管理主机端如手机App或网关需要能查询升级进度设备端也需要清晰的状态机来管理整个流程。2.2 主流OTA方案对比与我们的选择针对EFR32BG22市面上主要有三种实现路径基于Silicon Labs Gecko Bootloader的OTA原理使用Silicon Labs Simplicity Studio内置的Gecko Bootloader。这是一个功能强大的二级Bootloader原生支持双区切换、安全启动、串口/蓝牙/USB DFU等多种升级方式。优点官方支持集成度高安全性好支持AES-128/256签名验证有图形化工具配置。缺点Bootloader本身占用Flash较大通常20KB以上对于Flash只有256KB的BG22C来说可能占比过高。配置相对复杂需要深入理解链接脚本.ld文件。自定义轻量级Bootloader 应用层OTA原理自己编写一个极其精简的Bootloader可能只有2-4KB仅负责跳转到有效的应用固件。主要的OTA逻辑固件接收、校验、写入放在应用层的一个独立模块中升级完成后触发软件复位由Bootloader引导至新固件。优点极其节省Flash空间灵活性极高可以完全自定义流程。缺点实现复杂度高需要手动处理Flash分区、中断向量表重映射等底层细节安全性需要自己实现容易出错。基于第三方OTA库或中间件原理使用如MCUboot一个开源的通用Bootloader或其他商业OTA中间件。优点功能完善社区支持可能比官方方案更节省资源。缺点需要移植和适配增加项目的不确定性可能与Silicon Labs的软件架构存在集成难度。我们的选择优化后的Gecko Bootloader方案。经过评估对于大多数产品化项目我强烈推荐使用方案一但需要进行深度优化。原因如下可靠性优先官方Bootloader经过大量测试其双区切换和断电保护机制非常健壮自己从头实现风险太高。安全基础内置的安全启动Secure Boot和签名验证是产品安全的刚需自己实现加密算法和信任链容易有漏洞。工具链成熟Simplicity Studio提供了完整的工具链blhostcommander来生成和签署固件便于集成到CI/CD流水线。当然我们承认其资源占用大的缺点。因此接下来的重点就是如何为EFR32BG22“瘦身”Gecko Bootloader并设计一个与之完美配合的应用层OTA管理模块。3. 开发环境准备与Bootloader配置3.1 硬件与软件准备硬件EFR32BG22开发板如SLTB010A或自定义板。J-Link或Silicon Labs Debug Adapter用于调试和烧录。软件Simplicity Studio v5这是核心开发环境。GCC ARM Embedded Toolchain通常随Studio一起安装。Python 3.9用于后期编写自动化签名和发布脚本。3.2 创建项目与启用Bootloader创建蓝牙应用项目在Simplicity Studio中基于“Bluetooth - SoC Empty”示例创建一个新项目。这个空项目最干净便于我们添加OTA功能。通过Project Configurator启用Bootloader打开项目的.slcp文件。在 “SOFTWARE COMPONENTS” 标签页中搜索并添加 “Bootloader” 组件。关键一步不要直接使用默认的“Application” Bootloader。我们需要一个更精简的。添加 “Bootloader Application” 组件后在它的配置中将 “Bootloader type” 从默认的 “Application” 改为“Application - Single Image on 512kB devices”或类似的精简版本。这个版本专为512KB Flash以下的设备优化占用空间更小。同时添加 “Bootloader Application Storage” 组件用于管理下载固件的存储区。3.3 深度配置与分区表优化这是节省Flash空间的核心环节。我们需要手动调整链接脚本和配置。理解Flash分区打开生成的autogen/linkerfile.ld文件。你会看到类似下面的分区定义FLASH (rx) : ORIGIN 0x0, LENGTH 0x80000 // 512KB ... m_app_flash (RX) : ORIGIN 0x800, LENGTH 0x3F000 // Bootloader之后的应用区Gecko Bootloader默认会放在Flash起始位置0x0。我们的目标是在保证功能的前提下尽可能压缩Bootloader的大小为应用腾出空间。精简Bootloader功能在Bootloader组件的配置界面进行如下裁剪Storage Plugin只保留 “Internal Storage” 内部Flash存储。如果你的产品只用蓝牙OTA可以移除 “SPI Flash Storage” 等不需要的驱动。Communication Plugin只保留 “BLE” 如果只用蓝牙升级。坚决移除“UART”和“USB CDC”除非你的产品确实需要。每一个插件都会增加大小。Security根据需求选择。如果产品安全性要求高务必启用“Crypto”和“Signed Image”。注意签名验证本身也会增加一些代码量但这是值得的。可以选择“SHA-256 with ECDSA-P256”这种强验证。Graphics全部禁用。Bootloader不需要任何图形界面这能省下好几KB。Debug在发布版本中关闭Bootloader的所有调试输出和日志。调整分区大小经过上述裁剪后编译Bootloader项目查看其生成的.map文件或编译输出记下Bootloader的实际大小例如12KB。然后回到主应用的linkerfile.ld文件调整m_app_flash的起始地址ORIGIN确保它紧挨着Bootloader结束的位置中间没有浪费空间。例如如果Bootloader实际占用0x300012KB那么应用区可以从0x3000开始。配置双应用槽Slot这是实现可靠升级的关键。在linkerfile.ld中你需要定义两个大小完全相同的“槽”Slot一个用于运行Slot 0一个用于下载Slot 1。// 假设Flash总大小512KB (0x80000) Bootloader占0x3000 我们为每个应用槽分配192KB (0x30000) FLASH (rx) : ORIGIN 0x0, LENGTH 0x80000 // Bootloader 区 m_bootloader_flash (RX) : ORIGIN 0x0, LENGTH 0x3000 // 应用槽 Slot 0 (主固件) m_app_flash (RX) : ORIGIN 0x3000, LENGTH 0x30000 // 应用槽 Slot 1 (OTA下载区) m_ota_flash (RX) : ORIGIN 0x33000, LENGTH 0x30000 // 剩余空间可用于其他存储如NVM m_storage_flash (RW) : ORIGIN 0x63000, LENGTH 0x1D000注意m_app_flash和m_ota_flash的LENGTH必须严格相等且要能容纳你的最大固件镜像。实操心得分区表的艺术分区是OTA的蓝图一定要在项目初期就规划好。一个常见的坑是固件版本迭代后体积增长超过了预留的槽大小导致升级失败。我的经验是为每个应用槽预留的容量至少要比当前固件预估的最大体积多出20%-30%。例如当前固件100KB那就给每个槽分配130KB。这为未来的功能扩展留出了余地。计算时务必使用十六进制并确保起始和结束地址对齐到Flash页的整数倍EFR32BG22的Flash页通常是4KB。4. 应用层OTA管理器的实现Bootloader准备好了它只负责“切换”和“验证”。而固件的“接收”、“管理”和“触发”则需要我们在应用层实现一个OTA管理器。这个模块是连接蓝牙协议栈和Bootloader的桥梁。4.1 OTA状态机设计一个健壮的OTA管理器必须是一个清晰的状态机。以下是我们设计的状态typedef enum { OTA_STATE_IDLE 0, // 空闲等待升级命令 OTA_STATE_METADATA_REQ, // 向服务器请求升级元数据固件大小、版本号、CRC等 OTA_STATE_METADATA_PARSE, // 解析元数据检查是否需升级 OTA_STATE_DOWNLOADING, // 正在通过蓝牙接收固件数据包 OTA_STATE_DOWNLOAD_COMPLETE, // 固件数据接收完成 OTA_STATE_VERIFYING, // 进行完整性校验计算SHA256等 OTA_STATE_VERIFY_SUCCESS, // 校验成功 OTA_STATE_VERIFY_FAILED, // 校验失败 OTA_STATE_REBOOT_PENDING, // 校验成功等待重启以应用升级 OTA_STATE_ERROR, // 发生错误 } ota_state_t;4.2 关键数据结构和接口固件存储接口我们需要一个模块来管理向Download Slotm_ota_flash写入数据。由于BG22的Flash写入需要按页Page操作且必须先擦除我们必须实现一个带缓冲区的写入器。// ota_flash_writer.c 简化示例 #define FLASH_PAGE_SIZE 4096 static uint8_t flash_write_buffer[FLASH_PAGE_SIZE]; static uint32_t buffer_offset 0; static uint32_t current_flash_addr SLOT_1_START_ADDR; // m_ota_flash起始地址 sl_status_t ota_flash_write_chunk(uint8_t *data, uint32_t len, uint32_t total_len) { sl_status_t ret SL_STATUS_OK; uint32_t data_processed 0; while (data_processed len) { uint32_t space_in_buffer FLASH_PAGE_SIZE - buffer_offset; uint32_t copy_len (len - data_processed) space_in_buffer ? (len - data_processed) : space_in_buffer; memcpy(flash_write_buffer[buffer_offset], data[data_processed], copy_len); buffer_offset copy_len; data_processed copy_len; // 缓冲区满了或者这是最后一块数据则写入Flash if (buffer_offset FLASH_PAGE_SIZE || (data_processed len total_len current_flash_addr - SLOT_1_START_ADDR buffer_offset)) { // 1. 擦除当前页如果是新页 if ((current_flash_addr % FLASH_PAGE_SIZE) 0) { ret flash_erase_page(current_flash_addr); if (ret ! SL_STATUS_OK) return ret; } // 2. 写入数据 ret flash_write(current_flash_addr, flash_write_buffer, buffer_offset); if (ret ! SL_STATUS_OK) return ret; current_flash_addr buffer_offset; buffer_offset 0; memset(flash_write_buffer, 0, FLASH_PAGE_SIZE); } } return ret; }注意事项Flash操作的原子性与功耗Flash写操作期间CPU会被阻塞且功耗会有一个尖峰。对于蓝牙设备长时间的阻塞可能导致连接断开。因此务必在蓝牙连接事件Connection Event的间隔期内进行小块的Flash写入或者将大的Flash操作拆分成多个小块在空闲时执行。同时要确保在写入关键数据如升级标志位时系统不会被打断必要时可关闭全局中断。与Bootloader通信应用层需要告诉Bootloader有一个新固件待切换。这通常通过写入一个特定的“升级标记”到Bootloader的存储区由Bootloader Application Storage管理来实现。在Gecko Bootloader中这个标记是一个叫做BootloaderStorageSlot的数据结构。#include “bootloader_interface.h” #include “bootloader_interface_app.h” // 通知Bootloader升级 sl_status_t ota_finalize_and_reboot(void) { int32_t slot_id 1; // 对应我们的 m_ota_flash (Slot 1) uint32_t image_start_addr SLOT_1_START_ADDR; uint32_t image_len ...; // 从元数据中获取的实际固件长度 // 1. 将Download Slot标记为包含一个可启动的镜像 sl_status_t ret bootloader_application_validate_image(slot_id, image_start_addr, image_len); if (ret ! SL_STATUS_OK) { // 验证失败可能是签名错误或CRC错误 return ret; } // 2. 设置下次启动从Slot 1引导 ret bootloader_application_set_image_to_bootload(slot_id); if (ret ! SL_STATUS_OK) { return ret; } // 3. 可选在这里可以做一些清理工作如持久化保存当前系统状态 // 4. 延时一段时间让状态回复包有机会通过蓝牙发送出去 sl_sleeptimer_delay_millisecond(500); // 5. 软件复位Bootloader将接管并启动新固件 NVIC_SystemReset(); return SL_STATUS_OK; // 实际上不会执行到这里 }4.3 蓝牙GATT服务设计OTA升级过程需要通过蓝牙通信。我们需要自定义一个GATT服务Service包含以下特征CharacteristicUUID特征名属性说明XXXX-XXXX-...-OTA-CONTROLOTA ControlWrite, Notify手机App向设备发送控制命令如开始升级、暂停、确认重启设备通知命令执行结果。XXXX-XXXX-...-OTA-METADATAOTA MetadataRead, Write用于交换升级元数据如固件版本、大小、CRC32值等。通常以JSON格式传输。XXXX-XXXX-...-OTA-DATAOTA DataWrite Without Response用于高速传输固件二进制数据包。使用“Write Without Response”可以提升传输效率但需要应用层自己保证数据包的顺序和完整性。XXXX-XXXX-...-OTA-PROGRESSOTA ProgressNotify设备向手机App实时通知下载进度百分比。实现要点数据分包与流控蓝牙MTU通常只有20-247字节。我们需要将固件文件分成多个小包发送。在OTA Data特征的回调函数中接收数据包并调用ota_flash_write_chunk写入Flash。同时可以实现简单的流控设备端缓冲区快满时通过OTA Control特征通知手机端暂停发送。断点续传为了应对升级过程中蓝牙连接意外断开可以在元数据中加入“已接收数据长度”字段。重新连接后设备可以告知手机从断点开始传输而不是从头开始。这需要在Flash中持久化记录已写入的位置。功耗管理在下载过程中可以适当延长蓝牙连接间隔Connection Interval以减少射频活动从而降低平均功耗。但要注意间隔太长会影响下载速度。5. 服务器端与固件镜像处理5.1 生成可升级的GBL镜像Simplicity Studio编译应用后生成的是.axf或.s37文件Bootloader不能直接使用。必须将其转换为Gecko Bootloader格式.gbl。使用Commander命令行工具commander gbl create my_firmware.gbl --app my_firmware.s37这会生成一个基本的GBL文件。添加签名强烈建议commander gbl create my_firmware_signed.gbl --app my_firmware.s37 --signkey private_key.pem --force你需要一个ECDSA私钥private_key.pem来签名。对应的公钥需要被编译进Bootloader中用于验证。生成带元数据的完整包一个完整的OTA包通常不仅包含GBL文件还有一个描述性的manifest.json文件里面包含版本号、文件大小、SHA256摘要、兼容硬件版本等信息。手机App先下载这个json文件进行解析和判断然后再下载GBL文件。5.2 简单的升级服务器逻辑你可以搭建一个简单的HTTP/HTTPS服务器来提供OTA升级服务。服务器端逻辑如下设备通过手机App上报当前固件版本和设备ID。服务器根据设备ID和当前版本查询数据库判断是否有可用更新。如果有则返回manifest.json的内容。手机App解析manifest提示用户升级并开始下载.gbl文件。下载过程中手机App通过蓝牙将数据分包发送给设备。实操心得版本管理与兼容性务必建立严格的固件版本命名和管理规则如语义化版本主版本.次版本.修订号。在manifest中不仅要定义“目标版本”最好还能定义“最低兼容版本”。例如新固件V2.0可能要求Bootloader也必须升级到V2.0以上。如果设备检测到Bootloader版本过低则应先进行Bootloader的OTA这更复杂需要独立的Bootloader升级流程然后再进行应用升级。永远要向后兼容确保新版本的升级逻辑能处理旧版本设备上报的所有字段。6. 全流程测试与常见问题排查6.1 测试流程单元测试单独测试Flash写入器、校验和计算、状态机逻辑。集成测试使用Simplicity Studio的“Apploader”功能通过J-Link手动将GBL文件写入Download Slot然后触发复位测试Bootloader切换是否正常。使用手机App如Silicon Labs的“EFR Connect”或自研App进行端到端的蓝牙OTA测试从下载到重启的全过程。压力与异常测试断电测试在升级过程的各个阶段10% 50% 90% 校验中随机断电再上电设备必须能正常恢复要么回滚到旧版本要么继续完成升级。断连测试在蓝牙传输过程中模拟连接断开然后重连测试断点续传功能。错误镜像测试尝试升级一个损坏的或签名错误的GBL文件设备必须能识别并拒绝回滚到旧版本。内存泄漏测试长时间、多次重复进行OTA操作监控RAM使用情况确保没有内存泄漏。6.2 常见问题与排查技巧下表列出了开发过程中最常遇到的“坑”及其解决方案问题现象可能原因排查步骤与解决方案升级后设备无响应变砖1. 新固件本身有致命Bug。2. Bootloader损坏或版本不兼容。3. 中断向量表地址配置错误。1.连接调试器看Bootloader能否启动PC指针停在哪里。2. 检查链接脚本中应用固件的起始地址VECTOR_TABLE_OFFSET是否正确指向Slot 0或Slot 1的起始地址。3. 确保Bootloader和App使用相同版本的Gecko SDK。升级过程中蓝牙断开无法续传1. 未实现断点续传逻辑。2. Flash写入操作阻塞时间过长导致连接超时。1. 实现基于Flash偏移量的断点续传机制。2. 将大的Flash写入操作拆分成多个小于连接间隔的小块在连接事件外执行。使用sl_sleeptimer等定时器来调度。升级成功但设备不断重启1. 新固件初始化失败如外设驱动、堆栈初始化。2. 中断优先级配置冲突。1. 在新固件的app_init()最开头加一个延时并点亮LED确认代码能执行到这里。2. 检查SystemInit()和中断NVIC配置确保与Bootloader没有冲突。Bootloader可能会修改一些时钟或中断设置。签名验证失败1. 用于签名的私钥与Bootloader中烧录的公钥不匹配。2. GBL文件在传输过程中损坏。1. 使用commander bootloader print-signature-key命令检查设备中Bootloader的公钥信息。2. 在设备端计算下载镜像的SHA256与manifest中的值对比确认数据传输无误。升级进度卡在某个百分比1. 手机端发送的数据包顺序错乱或丢失。2. 设备端Flash写入缓冲区管理有Bug。1. 在OTA Data特征的数据接收回调中加入包序检查。每个数据包可以带一个序列号。2. 仔细检查ota_flash_write_chunk函数特别是缓冲区满和最后部分数据写入的逻辑。Bootloader空间不足编译报错Bootloader功能启用过多超出预留分区。回到3.3节进一步裁剪Bootloader功能。移除所有非必需的插件如Graphics 多余的Communication接口。考虑使用“Minimal”版本的Bootloader。一个关键的调试技巧利用Bootloader的调试输出。在开发阶段可以启用Bootloader的串口日志即使产品中不用。通过commander工具在设备复位后立即连接可以读取Bootloader的启动日志它会清楚地告诉你是否找到了有效镜像、在哪个Slot、签名是否通过、为什么启动失败等等。这是诊断OTA问题最直接的手段。commander device listen -d 你的设备调试接口7. 生产部署与后续维护建议当OTA功能在开发板上测试稳定后就需要考虑如何部署到量产产品中。出厂固件与Bootloader烧录在生产线上需要使用量产编程器如Segger J-Flash将Bootloader和第一个版本的应用固件V1.0一次性烧录到设备的对应Flash区域。确保Bootloader的写保护Write Protection被正确配置防止被意外擦除。密钥管理用于签名的私钥必须严格保密最好使用硬件安全模块HSM存储。用于验证的公钥则被编译进Bootloader。如果未来需要更换密钥就需要一个支持密钥更新的Bootloader升级方案这非常复杂。因此首次生产时务必妥善生成并备份密钥对。版本服务器与回滚策略部署一个稳健的OTA版本管理服务器。建议服务器始终保留最近一到两个稳定版本。在设备的升级逻辑中可以加入“升级后运行自检”环节如果自检失败如关键传感器无法初始化则自动触发回滚并通过蓝牙上报错误日志。这为现场设备提供了最后一层保障。监控与统计在手机App或网管平台中加入OTA升级成功率的统计。记录设备型号、旧版本、新版本、升级时长、是否失败、失败原因等信息。这些数据对于评估OTA系统稳定性和定位共性问题至关重要。最后我想强调一个心态OTA升级是产品的一部分而不是事后添加的功能。从项目第一天起就要将Flash分区、Bootloader、升级协议、版本管理纳入架构设计。对于EFR32BG22这类资源受限的设备每一次优化都意义重大。我上面分享的配置和代码都是经过实际项目验证的希望能帮你避开那些我曾经掉进去的坑。在实际操作中最耗时间的往往不是代码本身而是对底层机制的理解和调试。多阅读Silicon Labs的AN应用笔记特别是AN1084使用Gecko Bootloader和AN1135构建OTA解决方案你会对整个过程有更体系化的认识。
)
)
)
)
