STM32单片机是直接将程序下载到内部 Flash中,上电以后直接运行内部 Flash中的程序。
STM32MP157内部没有供用户使用的 Flash,系统都是存放在外部 Flash里面的,比如 EMMC、NAND等,因此 STM32MP157上电以后需要从外部 Flash加载程序到内存中。而且STM32MP157支持多种启动方式,这些启动方式都是怎么运行的,这都涉及到 STM32MP1的启动方式。
STM32MP1启动模式
STM32MP1支持从多种设备启动,比如 EMMC、 SD、 NAND、 NOR、 USB、 UART等。STM32MP1内部有一段 ROM来存放 ST自己编写的程序,这段 ROM空间是不开放给用户使用的,仅供 ST存放自己的 ROM代码, ROM空间如下图所示:
如上图中所示,CA7是Cortex-A7的缩写,可看出A7啮合有128KB的ROM空间,起始地址为0X00000000,STM32MP1上电后会先运行这段 ROM代码。 STM32MP157有三个 BOOT引脚: BOOT0~BOOT2,这三个 BOOT引脚通过拉高 /拉低来设置从哪种设备启动,正点原子
STM32MP157开发板上的拨码开关就是控制这三个 BOOT引脚的,正点原子开发板的BOOT原理图如下图所示:
从上图可看出,当 BOOT0-BOOT1拨到“ ON”的时候就会接到 3.3V上,此时就是逻辑 1,拨到 OFF的时候 BOOT0-BOOT1就悬空 (也可以外接下拉电阻 ),此时就是逻辑 0(悬空或接地都为逻辑 0),三个引脚不同电平对应的启动模式,如下图所示:
注: STM32MP1 的引脚具有复用功能,因此一个外设有很多不同引脚可以使用,比如 SDMMC2 的D0引脚就可以使用PB14或PE6 。STM32MP1 内部ROM代码肯定会有个默认的引脚,比如内部默认使用PB14,如果你自己绘制的板子用了 PE6 ,那么就会出问题。当然了,可以通过修改OTP来设置启动设备所使用的引脚,但是OTP只能改一次,如果改错了开发板就废了,所以如果自制开发板启动设备的引脚一定要和ST官方一致比较方便!
正点原子 STM32MP157开发板上通过拨码开关来选择启动模式,开发板上有丝印提示如何选择不同的启动方式,如下图所示:
开发板拨码开关3个开关从左到右依次对应: BOOT0 BOOT1和 BOOT2。在查询启动方式的时候引脚号一定要对应好。
STM32MP1启动流程详解
STM32MP1内部有一段 ST自己编写的 ROM代码,这段 ROM代码上电以后就会自动运行, ROM代码会读取 BOOT0~BOOT2这三个引脚电平,获取启动模式信息。
内部ROM代码
内部 ROM代码支持如下功能:
- Secure boot(安全启动),不管是串行启动还是从 Flash设备启动;
- Engineering boot(工程启动),当 BOOT2~BOOT0设置为 100的时候,我们就可以通过 STLINK访问A7或者M4内核;(一般是通过此方法来调试M4内核代码)
- Secondary core boot(第二个内核启动),复位以后STM32MP157的每个A7内核都会启动,并且运行相同的指令。内部ROM代码会分离执行流,只有Core0才会运行ROM代码,另外一个内核会处于一个死循环状态,等待应用程序发送信号来进行下一步操作。这个信号是由SGI(软中断)和另外两个BACKUP寄存器: MAGIC_NUMBER、 BRANCH_ADDRESS组成。(如果要启动Core1,运行在Core0的应用程序需要:将跳转地址写入 BRANCH_ADDRESS寄存器;将 0xCA7FACE1这个值写入到 MAGIC_NUMBER寄存器;向Core1和发送SGI中断)也就是说,只要不手动开启第二个核,那么由于内部 ROM代码的作用,此时STM32MP157就相当于单核A7。这样有利于我们编写的STM32MP157的A7裸机例程(因为只需要考虑单核情况);
- RMA boot,RMA是 Return Material Authorization的缩写,正点原子的教程中并没有涉及这种启动方式;
- 低功耗唤醒;
- 提供安全相关服务。
内部ROM的启动流程可以概括为下图:
这张图中,红色的区域就是最常用的启动方法,所以我们需要重点关注!这一部分就是上电/复位后的运行流程:
- 首先检查当前是不是CPU0运行,如果不是就启动CPU1;(正常上电肯定是CPU0)
- 如果是CPU0,检查复位原因;
- 检查是否为退出Standby导致的复位,如果不是进入RMA检查;
- 检查是否为RMA启动,不是检查是否为ENGI启动;
- 检查是否为ENGI启动,不是就直接进冷启动;
- 进入冷启动后就从FLASH中加载系统并进行鉴权,如果鉴权成功就运行系统。
安全启动
首先了解两个概念:
- FSBL 全称为 First stage boot loader,也就是第一阶段启动文件;
- SSBL 全称为 Second stage boot loader,也就是第二阶段启动文件。
当设置好BOOT2~BOOT0,选择从外部 Flash,比如 EMMC、 NAND或 NOR等启动的时候就会进入安全启动流程。 STM32MP157的安全启动流程比较复杂,这里只做大概介绍:
- 首先ROM代码从选定的Flash设备中加载 FSBL镜像文件, FSBL镜像就是ROM加载的第一个用户编写的可执行程序,一般是TF-A镜像,但是我们可以换成自己编写的程序,比如A7裸机代码。(这个FSBL镜像是有要求的,不是简单的把bin文件丢过来就可以,而是需要在bin文件前面添加一个头部信息)
- FSBL镜像加载后需要对其进行鉴权;
- 如果鉴权成功,那么就会跳转到FSBL镜像入口地址,开始运行FSBL固件。
内部ROM首先从选定的 Flash设备中读取 FSBL镜像文件并运行,但是此时DDR还没有初始化,FSBL镜像要存放在内部RAM,ST32MP1内部有 256KB的SYSRAM,如下图所示:
从上图中可看出,SYSRAM地址范围为: 0X2FFC0000~0X2FFFFFFF,一共是 256KB。ROM代码会将FSBL镜像拷贝到0X2FFC2400地址,但是要注意,FSBL镜像的起始地址不是0X2FFC2400,因为FSBL镜像前面还有一个 256(0X100)字节的头部信息,因此 FSBL镜像的真正起始地址为0X2FFC2400+0X100=0X2FFC2500。(搞清楚这个起始地址,是为了方便在之后将FSBL镜像换成A7裸机例程,编译的时候要指定链接起始地址,这个链接起始地址就是 0X2FFC2500)由此可以计算出整个FSBL镜像大小不能超过 0X30000000-0X2FFC2500=252672B=246.75KB。
FSBL镜像鉴权成功后, ROM代码会boot上下文的起始地址保存到R0寄存器,然后跳转到 FSBL镜像的入口地址,这个入口地址会定义到头部里面,其实就是上面讲的 0X2FFC2500。
boot上下文会保存到SYSRAM的前512字节里面,boot上下文包含了boot信息,比如选定的 boot设备,还有一些和安全启动鉴权有关的服务。结构体boot_api_context_t定义了 boot上下文结构,boot_api_context_t结构体是定义在
TF-A源码里面的(plat/st/stm32mp1/include/boot_api.h),内容如下所示:
typedef struct {
/*
* Boot interface used to boot : take values from defines
* BOOT_API_CTX_BOOT_INTERFACE_SEL_XXX above
*/
uint16_t boot_interface_selected;
uint16_t boot_interface_instance;
uint32_t reserved1[12];
uint32_t usb_context;
uint32_t otp_afmux_values[3];
uint32_t reserved[2];
/*
* Log to boot context, what was the kind of boot action
* takes values from defines BOOT_API_BOOT_ACTION_XXX above
*/
uint32_t boot_action;
/*
* STANDBY Exit status to be checked by FSBL in case
* field 'boot_action' == BOOT_API_CTX_BOOT_ACTION_WAKEUP_STANDBY
* take values from defines above 'BOOT_API_CTX_STBY_EXIT_STATUS_XXX'
* depending on encountered situation
*/
uint32_t stby_exit_status;
/*
* CSTANDBY Exit status to be checked by FSBL in case
* boot_action == BOOT_API_CTX_BOOT_ACTION_WAKEUP_CSTANDBY
* take values from defines above 'BOOT_API_CTX_CSTBY_EXIT_STATUS_XXX'
* depending on encountered situation
*/
uint32_t cstby_exit_status;
uint32_t auth_status;
/*
* Pointers to bootROM External Secure Services
* - ECDSA check key
* - ECDSA verify signature
* - ECDSA verify signature and go
*/
uint32_t (*bootrom_ecdsa_check_key)(uint8_t *pubkey_in,
uint8_t *pubkey_out);
uint32_t (*bootrom_ecdsa_verify_signature)(uint8_t *hash_in,
uint8_t *pubkey_in,
uint8_t *signature,
uint32_t ecc_algo);
uint32_t (*bootrom_ecdsa_verify_and_go)(uint8_t *hash_in,
uint8_t *pub_key_in,
uint8_t *signature,
uint32_t ecc_algo,
uint32_t *entry_in);
/*
* Information specific to an SD boot
* Updated each time an SD boot is at least attempted,
* even if not successful
* Note : This is useful to understand why an SD boot failed
* in particular
*/
uint32_t sd_err_internal_timeout_cnt;
uint32_t sd_err_dcrc_fail_cnt;
uint32_t sd_err_dtimeout_cnt;
uint32_t sd_err_ctimeout_cnt;
uint32_t sd_err_ccrc_fail_cnt;
uint32_t sd_overall_retry_cnt;
/*
* Information specific to an eMMC boot
* Updated each time an eMMC boot is at least attempted,
* even if not successful
* Note : This is useful to understand why an eMMC boot failed
* in particular
*/
uint32_t emmc_xfer_status;
uint32_t emmc_error_status;
uint32_t emmc_nbbytes_rxcopied_tosysram_download_area;
uint32_t hse_clock_value_in_hz;
/*
* Boot partition :
* ie FSBL partition on which the boot was successful
*/
uint32_t boot_partition_used_toboot;
/*
* Address of SSP configuration structure :
* given and defined by bootROM
* and used by FSBL. The structure is of type
* 'boot_api_ssp_config_t'
*/
boot_api_ssp_config_t *p_ssp_config;
/*
* boot context field containing bootROM updated SSP Status
* Values can be of type BOOT_API_CTX_SSP_STATUS_XXX
*/
uint32_t ssp_status;
/* Pointer on ROM constant containing ROM information */
const boot_api_rom_version_info_t *p_rom_version_info;
} __packed boot_api_context_t;
boot_api_context_t结构体目前不需要去研究,后面学习 TF-A的时候根据实际情况在看是
否有必要学习。
串行启动
当我们设置BOOT2~BOOT0为串行启动,也就是从USB或UART启动的时候就会进入此模式。当选择串行启动以后ROM代码就会并行扫描所有可以启动的UART以及USB OTG接口。当扫描到某个活动的串行接口以后, ROM代码就会使用此串行接口,并且忽略掉其他的串行接口。
USB启动
内部ROM代码支持USB OTG启动,我们一般使用 STM32CubeProgrammer软件通过USB OTG接口来向STM32MP1烧写系统。USB OTG需要一个48M和60M的时钟,这两个时钟由HSE生成。 ROM代码支持的 HSE时钟值如下:
8,10,12,14,16,20,24,25,26,28,32,36,40,48 MHz |
正点原子STM32MP157开发板使用24M有源晶振作为HSE时钟源。可通过设置OTP来更改ROM代码的HSE晶振大小,设置如下图所示:
从上图中可以看出,默认情况下HSE选择 24MHz,虽然可以通过修改OTP来更改HSE,但是强烈不建议!因为OTP只能修改一次,一旦修改错误芯片就废了!
UART启动
如果要选择UART启动,也就是通过UART烧写系统,那么只能使用USART2、USART3、UART4、UART5、USART6、UART7或UART8,此时串口工作模式为1位起始位、8位数据位、偶校验、1位停止位、波特率115200。
由于STM32的IO复用功能,1个串口可能有多个 IO可以使用,比如UART4的RX(接收)可以使用PI10、PH14、PA1、PA11、PB2、PB8、PC11 PD0或PD2,一共9个IO可以用作UART4_RX引脚,但是ROM代码里面的UART4_RX引脚肯定只会使用这个9个里面的其中一个,所以我们板子的串口引脚要和ROM代码里面的一致,否则就无法使用串口启动。ROM代码里面串口使用的引脚如下图所示:
如果要使用串口启动,那么相关串口IO一定要参考上图中定义的IO引脚,比如正点原子开发板UART4的RX引脚使用PB2,TX引脚使用PG11。
FLASH设备启动要求
STM32MP1支持从SD、EMMC、NAND或NOR等 Flash设备启动,但是不同的Flash设备在启动的时候有不同的要求。linux系统自身编译出来就是一个镜像文件,但是这个镜像文件要运行是需要一大堆的“小弟”来辅助。比如需要uboot来启动,启动以后还需要根文件系统 (rootfs),传统的嵌入式linux有三巨头: uboot、 kernel和 rootfs,但是对于STM32MP1而言,又多了几个需求,比如TF-A、TEE、vendorfs等,所有这一大堆构成了 最终的系统镜像。系统镜像是要烧写到Flash设备中的,这些不同的文件肯定要按照一定的要求,分门别类的烧写并存放到指定位置。
针对Flash设备,可以通过创建不同的分区来存放不同的文件,ST针对STM32MP1系列给出了官方分区建议,这些建议包含了Flash分区数量、分区最小空间、分区存放的内容等,如下图所示:
NAND启动
NAND前几个块(block)里面包含了多份FSBL,ROM代码会从第一个块开始扫描,并且加载第一个有效块里面的FSBL。ROM代码支持并行NAND和串行NAND,并行NAND连接到FMC总线上,串行NAND连接到QSPI上。
ROM代码支持的并行NAND要求如下图所示:
ROM代码支持串行NAND要求如下图所示:
EMMC启动
EMMC在物理结构上有boot1、boot2、RPMB(Replay Protected Memory Block)、GPP(General Purpose Partitions GPP最多 4个分区)以及UDA(User Data Area)这5种分区,比如三星的KLM系列EMMC 5.1的分区结构如下图所示:
一般常用的就是UDA分区,也就是用户数据区域,很少会关心boot1、boot2这样的分区。boot1、 boot2、 RPMB这三个分区大小是固定的,用户不能修改, boot1、 boot2分区
存在的意义就是用于引导系统。正点原子STM32MP157开发板所使用的EMMC型号为KLM8G1GETF,这是三星的一颗8GB EMMC 5.1芯片,boot1、boot2和RPMB分区大小如下图所示:
从图中可以看出,对于三星的8GB的EMMC而言,boot1和boot2分区默认大小为4096KB,RPMB 为512KB。
ST会使用EMMC的boot1和boot2这两个分区作为FSBL,但是同一时间只有一个有效,ROM代码会加载有效的那个FSBL。ROM代码使用单bit模式来操作EMMC,默认情况下ROM代码使用连接到SDMMC2上的EMMC,可以通过OTP来修改EMMC所使用的SDMMC接口,但是这里不建议(OTP只能更改一次)!
SD卡启动
SD卡也包含两个FSBL,但是SD卡没有boot1和boot2这样的物理分区。ROM代码默认尝试加载第一个FSBL,如果第一个FSBL加载失败,那么ROM代码就会加载第二个FSBL。
ROM代码首先在SD卡上查找GPT分区,如果找到的话就查找名字以“fsbl”开始的两个FSBL分区。如果没有找到GPT分区的话就直接根据物理地址查找两个FSBL,第一个FSBL的起始偏移地址为LBA34,地址为34512=17408=0X4400,所以第一个FSBL的起始地址为0X4400。第二个FSBL的起始偏移地址为LBA546,地址为546512=279552=0X44400,所以第二个FSBL的起始地址为0X44400。
ROM代码默认也是使用单bit模式操作SD卡,并且默认使用连接到SDMMC1接口上的
SD卡。
STM32MP1二进制头部信息
之前的内容就是讲了:ROM代码会先读取FSBL代码,一般是TF-A或者Uboot的SPL,也可以是A7 裸机代码。比如TF-A我们直接编译生成二进制bin文件,但是这个bin文件不能直接拿来用,需要在前面添加一段头部信息,这段头部信息也包含了鉴权内容。加入头部信息以后的FSBL代码结构如下图所示:
头部信息一共是256字节,这些头部信息的具体含义如下图所示:
头部信息不需要手动添加,在编译ST官方提供的TF-A或者Uboot的时候会自动添加,因为ST提供了个名为“stm32image”的工具专门用于在bin文件前面添加头部信息。这个工具就是一个stm32image.c文件,在正点原子的开源资料中是有的,可以直接获取;在编写A7裸机的时候需要自己使用stm32image工具在bin文件前面添加头部信息, stm32image是在Ubuntu下运行的,所以需要先编译,将stm32image.c发送到Ubuntu下,然后输入如下命令编译:
gcc stm32image.c -o stm32image |
编译成功以后就会生成一个名为stm32image的可执行文件,如下图所示:
运行上图中编译出来的 stm32image工具,输入“ “-s”选项可以查看使用方法,stm32image在使用中需要搭配一系列参数:
-s:指定源文件; -d:生成的目标文件; -l:加载地址; -e:入口地址; -m:主版本号; -n 次版本号。 |
在正点原子的开发板光盘里面找到正点原子出厂的tf-a固件,里面的tf-a-stm32mp157d-atk-trusted.stm32就是加入了头部信息的 TF-A可执行文件。使用winhex软件打开 tf-a-stm32mp157d-atk-trusted.stm32,如下图所示:
上图tf-a-stm32mp157d-atk-trusted.stm32文件原始数据,其中前 256个字节就是头部信息。可以分析一下tf-a头部信息中几个比较重要的参数:
- Magic number:起始偏移地址为0,长度为4个字节,值依次为0X53、0X54、0X4D、0X32,合起来就是0X53544D32,这个就是魔术数 ,注意这四个字节的顺序是大端模式,即高字节数据存放在底地址处,低字节数据存放在高字节处;
- Header Version:起始偏移地址为72,长度为4个字节,也就是上图中第 72~75这4个字节的数据,分别为: 0X00、0X00、0X01和0X00;整个头部信息中,除了Magic number采用大端模式存储以外,其他都是小端模式存储,也就是低字节数据存放在底地址处,高字节数据存放在高字节处。因此0X00、0X00、0X01和0X00这四个字节的拼出结果为 0X00010000;
- Image length:起始偏移地址为76,长度为4个字节,也就是上图76~79这4个字节的数据,为:0X40、0XB0、0X03和0X00,按照小端模式拼起来就是0X0003B040=241728,约为236.1KB,说明此TF-A的 bin镜像大小为236.1KB;
- Image entry Point:起始偏移地址为80,长度为4个字节,也就是图80~83这4个字节的数据,为:0X00、0X60、0XFD和0X2F,按照小端模式拼起来就是0X2FFD6000,说明入口地址为 0X2FFD6000;
- Load address:起始偏移地址为88,长度为4个字节,也就是上图88~91这4个字节的数据,为:0X00、0X25、0XFC和0X2F,按照小端模式拼起来就是0X2FFC2500,说明加载地址为0X2FFC2500,就是FSBL镜像起始地址;
- Binary type:起始偏移地址为255,也就是最后一个字节,为0X10,表示当前二进制文件是TF-A。
STM32MP1 Linux系统启动过程
STM32MP1是面向Linux领域的,因此以上所有启动过程都是为了启动Linux内核。 STM32MP1启动 Linux内核的流程如图所示:
从上图中可以看出,STM32MP1启动linux内核一共分为5个步骤:
- ROM代码
这是ST自己编写的代码,在STM32MP1出厂的时候就已经烧写进去的,不能被修改的。ROM 代码因为保存在STM32内部ROM里面,因此也就直接简单明了的叫做“ROM 代码”了。它是处理器上电以后首先执行的程序,ROM代码的主要工作就是读取STM32MP1的BOOT引脚电平,然后根据电平判断当前启动设备,最后从选定的启动设备里面读取FSBL代码,并将FSBL代码放到对应的RAM空间。
为了安全性的要求,从上图中可以看出。STM32MP1启动Linux内核的过程是一个链式结构:ROM Code→FSBL→SSBL→Linux kernel→rootfs,系统启动的过程中要保证整个链式结构都是安全的。ROM代码作为第一链,首先要对FSBL代码进行鉴权,同样的,FSBL以及后面的每一链都要对下一个阶段的镜像进行鉴权,直到设备系统正确启动。
- FSBL
FSBL代码初始化时钟树、初始化外部RAM控制器,也就是DDR。最终FSBL将SSBL加载到DDR里面并运SSBL代码。
一般FSBL代码是TF-A或者Uboot的SPL代码,当然也可以换成A7内核裸机代码。
- SSBL
由于SSBL代码运行在DDR里面,无需担心空间不够,因此SSBL代码的功能就可以做的很全面,比如使能USB、网络、显示等等。这样我们就可以在SSBL中灵活的加载 linux内核,比如从Flash设备上读取,或者通过网络下载下载等,用户使用起来也非常的友好。SSBL一般是Uboot,用来启动Linux内核。
- Linux内核
SSBL部分的Uboot就一个使命,启动Linux内核,Uboot会将Linux内核加载到DDR上并运行。 Linux内核启动过程中会初始化板子上的各种外设。
- Linux用户空间
系统启动的时候会通过init进程切换到用户空间,在这个过程中会初始化根文件系统里面的各种框架以及服务。
总结
这一章的主要内容就是大概介绍了一下STM32MP1系列的启动过程,介绍了STM32MP1的启动模式是通过3个BOOT引脚的切换进行选择;启动通过ROM代码运行FSBL代码(一般是TF-A代码,也可以是A7裸机代码);主要的内容就是启动的部分,可以从USB或者UART启动,也可以Flash设备启动;SSBL是第二阶段的启动,这其中就是启动Linux内核和用户空间。