在遠(yuǎn)程更新的時(shí)候，有時(shí)候需要雙鏡像來(lái)保護(hù)設(shè)計(jì)的穩(wěn)定性。在進(jìn)行更新設(shè)計(jì)的時(shí)候，只更新一個(gè)鏡像，另一個(gè)鏡像在部署之前就測(cè)試過(guò)沒(méi)問(wèn)題并不再更新。當(dāng)更新出錯(cuò)時(shí)，通過(guò)不被更新的鏡像進(jìn)行一些操作，可以將更新失敗的數(shù)據(jù)重新寫(xiě)入Flash。這樣即使更新出錯(cuò)，也能保證設(shè)計(jì)至少可以被遠(yuǎn)程恢復(fù)。

Xilinx的雙鏡像方案成為Multiboot。本文對(duì)Xilinx 7系列的Multiboot做一些簡(jiǎn)單介紹。

Multiboot直接操作的是兩個(gè)鏡像，但實(shí)際上可以用于多個(gè)鏡像。為了便于描述，Multiboot中的兩個(gè)鏡像分別成為G鏡像（Golden）和M鏡像（Multiboot）。

遠(yuǎn)程更新的方案，有一些是通過(guò)FPGA來(lái)讀寫(xiě)Flash的，例如Xilinx平臺(tái)下需要自己實(shí)現(xiàn)的Flash讀寫(xiě)控制器，Altera平臺(tái)下的ASML IP。當(dāng)無(wú)法提供JTAG等其他連接時(shí)，F(xiàn)lash的更新就只有FPGA一種方案。

當(dāng)寫(xiě)入Flash的操作出現(xiàn)錯(cuò)誤，或者Flash中部分地址中的數(shù)據(jù)出現(xiàn)錯(cuò)誤，導(dǎo)致無(wú)法正確寫(xiě)入或者存儲(chǔ)的數(shù)據(jù)出現(xiàn)錯(cuò)誤，這樣會(huì)導(dǎo)致FPGA無(wú)法加載成功。

當(dāng)FPGA無(wú)法加載成功或者工作不正常的時(shí)候，F(xiàn)lash的讀寫(xiě)操作也就無(wú)法得到保證。此時(shí)也就不能重新通過(guò)遠(yuǎn)程更新方案來(lái)重新讀寫(xiě)Flash，糾正之前的錯(cuò)誤。所以可以看到，如果Flash直接由FPGA控制，當(dāng)遠(yuǎn)程更新出現(xiàn)錯(cuò)誤時(shí)，很可能導(dǎo)致遠(yuǎn)程更新徹底失效，只能安排現(xiàn)場(chǎng)更新來(lái)修復(fù)。

對(duì)應(yīng)方案就是使用雙鏡像（多鏡像），更新的時(shí)候只更新M鏡像，更新后直接使用M鏡像。當(dāng)出現(xiàn)M鏡像更新出現(xiàn)錯(cuò)誤的時(shí)候，則啟動(dòng)G鏡像。通過(guò)G鏡像中的設(shè)計(jì)來(lái)重新更新Flash中M鏡像部分的數(shù)據(jù)。

由于G鏡像從來(lái)沒(méi)有被更新過(guò)，這樣出現(xiàn)錯(cuò)誤的概率也就非常小。這樣即使M鏡像出現(xiàn)錯(cuò)誤，可以通過(guò)G鏡像來(lái)完成一些工作（例如Flash讀寫(xiě)操作），由此來(lái)保證設(shè)計(jì)一直可以使用。

從這個(gè)分析可以看出，雙鏡像的方案，需要完成兩個(gè)任務(wù)。

1.正常情況下，加載完成時(shí)應(yīng)該是M鏡像在運(yùn)行

2.出現(xiàn)錯(cuò)誤的時(shí)候，需要返回G鏡像

圖片來(lái)自UG470

從上圖可以看到，Xilinx 7系列FPGA的Multiboot方案是從基地址開(kāi)始存放G鏡像，后續(xù)存放M鏡像。加載過(guò)程中是先加載M鏡像，配置完成后如果成功，則運(yùn)行M鏡像；如果運(yùn)行失敗，則重新加載G鏡像。

下面就從需要完成的兩個(gè)任務(wù)，結(jié)合上圖來(lái)進(jìn)行介紹。

先看第一個(gè)任務(wù)，加載M鏡像。

上電完成之后，F(xiàn)PGA就會(huì)按照設(shè)置，進(jìn)行加載操作。在主動(dòng)模式下，F(xiàn)PGA會(huì)開(kāi)始對(duì)Flash的操作，嘗試讀取Flash中存儲(chǔ)的配置鏡像數(shù)據(jù)。需要注意的是，主動(dòng)模式下的這一系列操作都是FPGA自動(dòng)完成的，用戶無(wú)法控制。

所以就出現(xiàn)了第一個(gè)問(wèn)題。既然讀取操作是自動(dòng)的，那么FPGA是如何知道M鏡像存儲(chǔ)在哪里，并先加載M鏡像呢？如果是從0地址開(kāi)始讀取，那么應(yīng)該先完成G鏡像的加載。否則，是否使用Multiboot及M鏡像的地址，是如何傳遞給FPGA、讓FPGA知曉呢？

Xilinx的Multiboot方案中的解決辦法是使用一條加載命令：IPROG。而這條命令，是放在G鏡像中。

具體說(shuō)，對(duì)于FPGA直接從0地址開(kāi)始讀取，先開(kāi)始加載G鏡像，但是這個(gè)G鏡像是經(jīng)過(guò)特別處理的，在鏡像數(shù)據(jù)剛開(kāi)始的部分添加了IPROG命令和M鏡像的地址。當(dāng)FPGA讀取到這個(gè)命令之后，就會(huì)直接跳過(guò)后面的數(shù)據(jù)，從設(shè)置的地址開(kāi)始繼續(xù)加載。這樣的操作，導(dǎo)致G鏡像只是運(yùn)行了最前面的幾條加載命令，而M鏡像也只是等了幾條命令的操作就開(kāi)始加載了，保證了M鏡像的直接加載。

需要說(shuō)明的是IPROG這是一條命令，所以既可以在G鏡像中生效，也可以在設(shè)計(jì)中任意使用。用戶可以將IPROG命令發(fā)給ICAP，來(lái)實(shí)現(xiàn)任意時(shí)間觸發(fā)重新加載的需求。通過(guò)設(shè)置合適的地址，可以實(shí)現(xiàn)多個(gè)鏡像的切換。

圖片截取自Vivado

從vivado中的設(shè)置可以看出，Multiboot的主要設(shè)置只有這6個(gè)。第一個(gè)成為Fallback，最后一個(gè)成為Watchdog。這兩個(gè)下文會(huì)做介紹。第四個(gè)第五個(gè)是關(guān)于RS pin。等熟悉Multiboot理解之后可以查看文檔進(jìn)行理解，本文不做深入介紹。

第二個(gè)是設(shè)置跳轉(zhuǎn)到的地址、第三個(gè)是在G鏡像中加入IPROG命令。這兩個(gè)操作可以以命令的形式發(fā)給ICAP接口，從而觸發(fā)Multiboot中轉(zhuǎn)跳并加載新的鏡像數(shù)據(jù)。

看完上述的分析，應(yīng)該明白如何實(shí)現(xiàn)先加載M鏡像這個(gè)需求了。下一步就是，在加載失敗時(shí)如何回退到G鏡像。

M鏡像加載不成功，需要回退到G鏡像的操作，Multiboot方案稱(chēng)這一步驟為Fallback。

Fallback在四種條件下會(huì)被觸發(fā)：

1. ID Code錯(cuò)誤
2. CRC錯(cuò)誤
3. Watchdog超時(shí)
4. BPI地址越界

ID Code錯(cuò)誤是指配置文件中的器件型號(hào)和當(dāng)前器件不匹配。CRC校驗(yàn)是指配置數(shù)據(jù)送入FPGA之后會(huì)進(jìn)行校驗(yàn)，如果數(shù)據(jù)不一樣則會(huì)提示CRC錯(cuò)誤。這兩個(gè)基本原理比較容易理解，至于具體細(xì)節(jié)，需要能解析bit文件的內(nèi)容之后才能充分理解。

Watchdog超時(shí)是指在規(guī)定的時(shí)間內(nèi)如果無(wú)法配置成功，則觸發(fā)Watchdog超時(shí)，進(jìn)而會(huì)導(dǎo)致Fallback。

BPI地址越界是指發(fā)現(xiàn)逐步增長(zhǎng)的BPI地址超過(guò)最大值，發(fā)生溢出，回到0，則除法Fallback。

大概理解一下四個(gè)條件之后可以看到，BPI是只針對(duì)BPI模式的，和Watchdog有一點(diǎn)類(lèi)似，都是在一段時(shí)間內(nèi)如果沒(méi)有加載成功，地址會(huì)逐步增加，計(jì)時(shí)器會(huì)逐步增加，超過(guò)范圍后就觸發(fā)Fallback，所以BPI就不做進(jìn)一步解釋了。

ID Code也不做進(jìn)一步解釋了，因?yàn)镮D Code不對(duì)，大概率是用錯(cuò)鏡像文件了。所以也沒(méi)有太多可以分析的。

重點(diǎn)是2和3，當(dāng)存在Multiboot鏡像的時(shí)候，如M鏡像的內(nèi)容出現(xiàn)問(wèn)題，則會(huì)觸發(fā)CRC校驗(yàn)錯(cuò)誤，這樣可以保證鏡像加載成功之后，數(shù)據(jù)是沒(méi)有問(wèn)題的。

但是如果沒(méi)有Multiboot鏡像，則CRC校驗(yàn)無(wú)法進(jìn)行，或者加載到一半就掛死了。這個(gè)時(shí)候就需要Watchdog來(lái)觸發(fā)Fallback。只要一定時(shí)間內(nèi)加載沒(méi)有完成，就一定會(huì)觸發(fā)Watchdog超時(shí)。

所以CRC是用來(lái)保證加載正確的，Watchdog是用來(lái)保證一定會(huì)提示加載失敗的。

注意，Watchdogd的計(jì)時(shí)設(shè)置，請(qǐng)?jiān)O(shè)置好然后實(shí)際測(cè)試一下，而不要僅僅憑經(jīng)驗(yàn)/文檔來(lái)推斷一個(gè)合適的值。

當(dāng)發(fā)生了Fallback之后，工程會(huì)反跳回0地址開(kāi)始加載，從新加載G鏡像。這里，F(xiàn)PGA內(nèi)部的配置寄存器會(huì)做記錄，當(dāng)發(fā)生Fallback之后，會(huì)自動(dòng)忽略IPROG命令，直接加載G鏡像后續(xù)的部分，來(lái)保證G鏡像有機(jī)會(huì)被完整的加載。

FPGA自帶一些寄存器，記錄了FPGA加載時(shí)的一些狀態(tài)，通常稱(chēng)為device status寄存器。當(dāng)初出現(xiàn)加載失敗的問(wèn)題時(shí)，可以通過(guò)JTAG查看相關(guān)寄存器來(lái)尋找一些線索，幫助定位問(wèn)題。

通過(guò)這一系列復(fù)雜的操作，可以實(shí)現(xiàn)雙鏡像的配置切換。這種方法最大的優(yōu)點(diǎn)就是速度快。在配置完成之后可以快速的跳轉(zhuǎn)、加載和返回。最關(guān)鍵的雙鏡像選擇這一步是在加載初期就進(jìn)行轉(zhuǎn)跳，所以跳轉(zhuǎn)非常迅速，適合一些對(duì)配置時(shí)間有要求的場(chǎng)合。缺點(diǎn)就是原理和設(shè)置都相對(duì)麻煩了一些。

和上述方法不一樣的一個(gè)雙鏡像切換的方法就是用戶自行做切換。大致原理是用戶利用FPGA的可編程邏輯資源對(duì)ICAP模塊進(jìn)行控制，輸入需要跳轉(zhuǎn)的地址然后輸入IPROG命令，來(lái)觸發(fā)跳轉(zhuǎn)操作。這個(gè)操作是需要先加載好G鏡像并開(kāi)始運(yùn)行，然后由用戶來(lái)控制什么時(shí)候進(jìn)行跳轉(zhuǎn)。

這樣操作的優(yōu)點(diǎn)有：

1.跳轉(zhuǎn)地址由用戶自行選擇，所以可以在多個(gè)鏡像中跳轉(zhuǎn)，而不限于兩個(gè)；

2.可以選擇在合適的時(shí)間進(jìn)行加載，用戶選擇性更大。

主要缺點(diǎn)：

1.需要對(duì)配置過(guò)程、ICAP端口和控制命令有更多的理解

2.需要加載完至少一個(gè)鏡像才能使用，所以對(duì)配置時(shí)間要求高的場(chǎng)景無(wú)法使用

如果僅僅是為了遠(yuǎn)程更新，那么這個(gè)方案，并不合適。用自動(dòng)的雙鏡像方案更簡(jiǎn)單易用一些。只要G鏡像調(diào)試完畢，整個(gè)方案對(duì)M鏡像的要求比較低。