通過利用關(guān)鍵點控制實現(xiàn)網(wǎng)絡(luò)終端設(shè)備在線升級的方案

隨著嵌入式操作系統(tǒng)技術(shù)的發(fā)展，在網(wǎng)絡(luò)終端設(shè)備中有越來越廣泛的應(yīng)用。在實際使用中，為了擴(kuò)展業(yè)務(wù)功能、解決軟件中存在的問題和提升設(shè)備性能，或者為了滿足設(shè)備的定制業(yè)務(wù)（如廣告業(yè)務(wù)），需要對嵌入式設(shè)備的軟件系統(tǒng)或者資源文件及時進(jìn)行更新，就是軟件系統(tǒng)的升級業(yè)務(wù)。目前，嵌入式設(shè)備軟件更新有2種方式：一種是在本地使用PC機(jī)通過串口（或者網(wǎng)口）將軟件下載到設(shè)備中完成軟件系統(tǒng)的升級；另一種是利用網(wǎng)絡(luò)進(jìn)行在線升級。前者只能在本地進(jìn)行軟件升級操作，不能夠批量更新，適合于實驗室調(diào)試使用，而后者能夠?qū)W(wǎng)絡(luò)中在線終端進(jìn)行批量升級，得到廣泛的應(yīng)用。實際上，軟件在線升級已經(jīng)成為網(wǎng)絡(luò)終端設(shè)備的一項基本功能，軟件在線升級的方案不同，升級過程的特點和安全性也不相同。

1 系統(tǒng)軟件升級常用方案

網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件保存在FLASH中，系統(tǒng)啟動時把系統(tǒng)軟件加載到內(nèi)存中運行，軟件升級的本質(zhì)是從網(wǎng)絡(luò)下載新的系統(tǒng)軟件內(nèi)容，把原來系統(tǒng)軟件內(nèi)容擦除，然后寫入新的系統(tǒng)軟件，系統(tǒng)重啟后加載新的系統(tǒng)軟件。常用的升級方案包括單系統(tǒng)升級方案和雙系統(tǒng)升級方案：

（1）單系統(tǒng)升級方案（如圖1所示）：系統(tǒng)啟動后進(jìn)行正常的業(yè)務(wù)功能，此時網(wǎng)絡(luò)后臺檢測終端版本號判斷是否有新版本可升級，如果檢測到當(dāng)前終端的版本號低于最新版本號，則立即從網(wǎng)絡(luò)下載升級包啟動升級過程，在用戶進(jìn)行業(yè)務(wù)功能的過程中后臺完成對于原系統(tǒng)軟件的擦除，并寫入新的系統(tǒng)軟件和更新當(dāng)前版本號。該升級過程對于用戶是透明的，用戶只有在終端重啟后再加載新的系統(tǒng)軟件。但是該升級方案的安全性比較弱，因為如果內(nèi)容擦除后終端斷電或者重啟，則終端中系統(tǒng)軟件被破壞，沒有可用的系統(tǒng)軟件，終端以后再不能正常啟動，必須技術(shù)支持人員到現(xiàn)場完成軟件修復(fù)升級。另外，如果新寫入的系統(tǒng)軟件因為網(wǎng)絡(luò)傳輸或者其他原因存在錯誤時，也會上面的結(jié)果。這種升級方案存在較明顯的安全性缺陷，現(xiàn)在已經(jīng)較少使用。

（2）雙系統(tǒng)升級方案（如圖2所示）：為了增強(qiáng)升級過程的安全性，出現(xiàn)了雙系統(tǒng)的升級方案，通常的處理是終端中存在一個基本運行系統(tǒng)和一個正常運行系統(tǒng)，分別處于FLASH的不同分區(qū)中，基本運行系統(tǒng)只用于升級正常運行系統(tǒng)軟件，正常運行系統(tǒng)完成用戶的正常業(yè)務(wù)。業(yè)務(wù)過程中自動從網(wǎng)絡(luò)檢測最新版本號，判斷是否需要升級系統(tǒng)軟件，如果檢測到有需要升級的系統(tǒng)軟件，則終端設(shè)置從基本運行系統(tǒng)啟動并提示用戶重啟系統(tǒng)。終端從基本運行系統(tǒng)啟動后，從網(wǎng)絡(luò)下載正常運行系統(tǒng)軟件并完成升級過程，寫入完成后更新當(dāng)前版本號，設(shè)置從正常運行系統(tǒng)啟動后重啟，終端從正常運行系統(tǒng)啟動，進(jìn)行正常的用戶業(yè)務(wù)。

該升級方案克服上單系統(tǒng)升級方案中安全性的缺陷，升級過程中如果出現(xiàn)終端異常斷電或者重啟，只有正常運行系統(tǒng)軟件的被破壞，最小備份系統(tǒng)保持正常是升級功能，系統(tǒng)重啟后繼續(xù)從最小備份系統(tǒng)啟動，完成系統(tǒng)升級功能。目前網(wǎng)絡(luò)設(shè)備中常會使用該升級，但這種升級方案每次都需要重啟系統(tǒng)，且用戶需要停止業(yè)務(wù)進(jìn)行系統(tǒng)軟件的升級，整個升級過程用戶只能等待，對于現(xiàn)在用戶體驗越來越重要的終端設(shè)備，該升級方案有較明顯的易用性缺陷。

2 基于關(guān)鍵點控制的系統(tǒng)軟件升級方案

基于關(guān)鍵點控制的升級方案是針對于上述雙系統(tǒng)升級方案的優(yōu)化和改進(jìn)，通過業(yè)務(wù)分析和統(tǒng)計，為了修改增強(qiáng)業(yè)務(wù)功能或者修改BUG，終端升級的絕大部分場景是需要升級正常運行系統(tǒng)，如果能夠?qū)崿F(xiàn)在正常運行系統(tǒng)中能夠升級自身，升級過程對用戶透明，則能夠解做到絕大部分升級過程用戶不可見。同時由于基本運行系統(tǒng)也會存在BUG或者需要增強(qiáng)功能，也有需要升級基本運行系統(tǒng)的情況。

本方案通過在系統(tǒng)中設(shè)定關(guān)鍵點，在升級過程中通過關(guān)鍵點值控制升級的流程，保證系統(tǒng)軟件升級安全性，同時做到升級過程對用戶透明，而且除了能夠升級正常運行系統(tǒng)外還可以升級基本運行系統(tǒng)（如基本運行系統(tǒng)中存在BUG需要修改時），增強(qiáng)了終端的靈活性，另外升級過程引入了XML格式的升級控制文件，有效的控制了網(wǎng)絡(luò)版本的兼容性。關(guān)鍵點記錄了當(dāng)前系統(tǒng)軟件的狀態(tài)。根據(jù)當(dāng)前系統(tǒng)軟件狀態(tài)的不同，軟件升級的流程不同，在基本運行系統(tǒng)和正常運行系統(tǒng)中都包含下面的關(guān)鍵點，各個關(guān)鍵點的取值和代表含義如下：

（1）系統(tǒng)啟動未驗證（SSNV）：系統(tǒng)升級完成后沒有啟動過，此時不能保證系統(tǒng)能夠正常啟動，不能保證系統(tǒng)能夠運行業(yè)務(wù)功能，即沒有驗證系統(tǒng)的升級功能；正常運行系統(tǒng)處于SSNV狀態(tài)時，不能在該正常運行系統(tǒng)下升級基本運行系統(tǒng)，否則可能會出現(xiàn)2個系統(tǒng)都不能正常啟動的狀態(tài)。同樣基本運行系統(tǒng)處于SSNV狀態(tài)時，不能在該基本運行系統(tǒng)中升級正常運行系統(tǒng)。

（2）系統(tǒng)升級未驗證（SUNV）：系統(tǒng)已經(jīng)正常啟動，業(yè)務(wù)功能正常運行，但沒有驗證系統(tǒng)的升級功能。如果正常運行系統(tǒng)的升級功能沒有驗證，則不能在該系統(tǒng)下升級基本運行系統(tǒng)，否則可能會造成基本運行系統(tǒng)被破壞，同時正常運行系統(tǒng)沒有升級功能的情況，以后終端再也不具有在線升級的功能。同樣基本運行系統(tǒng)處于SUNV狀態(tài)時，不能在正常運行系統(tǒng)中直接升級正常運行系統(tǒng)本身，需要重啟進(jìn)入基本運行系統(tǒng)進(jìn)行升級；

（3）系統(tǒng)升級已驗證（SUV）：系統(tǒng)除了業(yè)務(wù)功能正常外，升級功能已經(jīng)驗證過，能夠進(jìn)行正常的升級。該狀態(tài)表明系統(tǒng)功能完全經(jīng)過驗證，如基本運行系統(tǒng)處于SUV狀態(tài)，則在正常運行系統(tǒng)中可以自動升級自身，正常運行系統(tǒng)處于SUV狀態(tài)時，可以在正常運行系統(tǒng)中升級基本運行系統(tǒng)。

升級方案的具體控制流程中包含了關(guān)鍵點控制和判斷使用的時機(jī)，終端啟動后判斷從哪個系統(tǒng)啟動，如果從正常運行系統(tǒng)啟動成功，此時假設(shè)正常運行系統(tǒng)的關(guān)鍵點狀態(tài)為SSNV狀態(tài)，則設(shè)置為SUNV狀態(tài)（如圖3所示）。

系統(tǒng)運行過程中檢測到有新版本需要升級正常運行系統(tǒng)，則判斷基本運行系統(tǒng)的關(guān)鍵點狀態(tài)，如果為SUV狀態(tài)，則直接在正常運行系統(tǒng)中升級該升級包，否則需要設(shè)置從基本運行系統(tǒng)啟動，并重啟終端后在基本運行系統(tǒng)中升級該升級包。如果檢測到需要升級基本運行系統(tǒng)，則判斷正常運行系統(tǒng)關(guān)鍵點狀態(tài)，如果為SUV狀態(tài)，則直接在基本運行系統(tǒng)中升級該升級包，升級完成后設(shè)置正常運行系統(tǒng)的關(guān)鍵點狀態(tài)為SSNV狀態(tài)，否則忽略該升級包（如圖4所示）。在基本運行系統(tǒng)啟動成功，如果此時基本運行系統(tǒng)的關(guān)鍵點狀態(tài)為SSNV狀態(tài)，則設(shè)置為SUNV狀態(tài)（如圖5所示）。基本運行系統(tǒng)的主要功能就是完成正常運行系統(tǒng)的升級。啟動后如果檢測到有新版本需要升級正常運行系統(tǒng)，則下載該升級包進(jìn)行升級業(yè)務(wù)，升級完成后設(shè)置正常運行系統(tǒng)的關(guān)鍵點狀態(tài)為SSNV狀態(tài)，并表示基本運行系統(tǒng)的關(guān)鍵點狀態(tài)為SUV狀態(tài)（如圖6所示）。

通過上述的關(guān)鍵點控制，該升級方案保證了任何情況下都有一個系統(tǒng)是能夠正常運行升級系統(tǒng)，不會出現(xiàn)終端因為升級過程斷電等因素造成升級失敗后，不能再自動恢復(fù)的問題，對終端升級的安全性有較大的提升。例如在正常運行系統(tǒng)中升級正常運行系統(tǒng)時，基本運行系統(tǒng)保證是SUV狀態(tài)，如果出現(xiàn)斷電情況，終端重啟后進(jìn)入基本運行系統(tǒng)中可以把正常運行系統(tǒng)升級；在正常運行系統(tǒng)中升級基本運行系統(tǒng)時，正常運行系統(tǒng)保證是SUV狀態(tài)，如果出現(xiàn)斷電情況，終端重啟后進(jìn)入正常運行系統(tǒng)可以繼續(xù)升級基本運行系統(tǒng)；在基本運行系統(tǒng)中升級正常運行系統(tǒng)時，基本運行系統(tǒng)保證是SUV狀態(tài)，如果出現(xiàn)斷電情況，終端重啟后進(jìn)入基本運行系統(tǒng)可以繼續(xù)升級正常運行系統(tǒng)。該升級方案中不允許在基本運行系統(tǒng)中升級自身。

3 結(jié)語

該方法在醫(yī)療呼叫系統(tǒng)中進(jìn)行了應(yīng)用與驗證，嵌入式系統(tǒng)基于S3C2440處理器，負(fù)責(zé)系統(tǒng)中醫(yī)療信息的發(fā)布、查詢，語音呼叫及醫(yī)療增援服務(wù)，其中床頭機(jī)、醫(yī)護(hù)機(jī)、門口機(jī)均采用該系統(tǒng)，醫(yī)療呼叫系統(tǒng)需要全天候工作，不可能指定時間對系統(tǒng)升級，且升級過程需要用戶不可見，通過應(yīng)用本方法能夠方便的升級系統(tǒng)軟件，以修復(fù)軟件BUG或者增強(qiáng)軟件服務(wù)。升級過程中用戶不可見，且升級完成后不需要重啟終端，對于升級的易用性和友好性有較大改進(jìn)。

本文分析了常用的網(wǎng)絡(luò)終端設(shè)備在線升級的方案，在保證在線升級過程安全的基礎(chǔ)上，通過對雙系統(tǒng)升級方法的優(yōu)化和改進(jìn)，通過關(guān)鍵點狀態(tài)的記錄和判斷，實現(xiàn)了絕大部分情況下，可以在正常運行系統(tǒng)中直接升級正常運行系統(tǒng)，升級完成后不需要重啟系統(tǒng)，做到升級過程對用戶透明。同時在原來只能升級正常運行系統(tǒng)的基礎(chǔ)上，支持升級基本運行系統(tǒng)的功能，對于提升網(wǎng)絡(luò)終端設(shè)備在線升級的易用性和安全性有較大的幫助。