回滚与安全机制

回滚与安全机制

概述

本节介绍 OTA 升级过程中的安全机制和回滚策略。安全机制是 OTA 方案的核心保障，直接影响设备可靠性。学习完成后，您将能够：

• 理解 ESP32 双分区回滚机制
• 实现 OTA 健康检查功能
• 设计升级失败的处理流程
• 评估 OTA 方案的安全风险

前置要求

在开始本节之前，请确保：

• 理解 OTA 双分区架构
• 了解 ESP32 Watchdog（看门狗）功能
• 了解固件版本管理

Dual Partition Rollback

回滚机制原理

ESP32 的 OTA 回滚基于双应用分区设计：

              ┌─────────────────┐
              │   Bootloader    │ ← 选择启动哪个分区
              └────────┬────────┘
                       │
       ┌───────────────┴───────────────┐
       ▼                               ▼
┌─────────────────┐       ┌─────────────────┐
│   APP A (OTA_0)  │       │   APP B (OTA_1)  │
│  当前正在运行    │       │  备用（下一个）    │
└─────────────────┘       └─────────────────┘
       │                           │
       │  OTA 更新: 写入 APP B     │
       │  重启 → 启动 APP B        │
       │  APP B 健康检查失败        │
       │  → Bootloader 回滚到 APP A │
       ▼                           ▼
┌─────────────────┐       ┌─────────────────┐
│   APP A (OTA_0)  │       │   APP B (OTA_1)  │
│  ← 回滚到这里    │       │  更新失败(标记)  │
└─────────────────┘       └─────────────────┘

otadata 状态管理

ESP32 使用 otadata 分区跟踪 OTA 状态：

状态	值	含义
OTA_OK	0	固件正常运行，已确认
OTA_NOT_CHECKED	1	新固件启动，尚未确认
OTA_ROLLBACK	2	需要回滚到旧固件
OTA_ABORT	3	升级已中止

Health Check Implementation

启动健康检查

#include <esp_ota_ops.h>

void setup() {
  Serial.begin(115200);

  // 获取当前启动分区
  const esp_partition_t* running = esp_ota_get_running_partition();
  Serial.printf("当前运行分区: %s\n", running->label);

  // 健康检查：标记固件正常运行
  esp_ota_img_states_t ota_state;
  if (esp_ota_get_state_partition(running, &ota_state) == ESP_OK) {
    if (ota_state == ESP_OTA_IMG_PENDING_VERIFY) {
      Serial.println("新固件首次启动，进行健康检查...");

      // 执行健康检查
      if (performHealthCheck()) {
        // 确认固件正常
        esp_ota_mark_app_valid_cancel_rollback();
        Serial.println("健康检查通过，固件已确认");
      } else {
        Serial.println("健康检查失败，触发回滚");
        esp_ota_mark_app_invalid_rollback_and_reboot();
      }
    }
  }
}

bool performHealthCheck() {
  // 1. WiFi 连接测试
  if (WiFi.status() != WL_CONNECTED) {
    int retries = 0;
    while (WiFi.status() != WL_CONNECTED && retries < 10) {
      delay(1000);
      retries++;
    }
    if (WiFi.status() != WL_CONNECTED) return false;
  }

  // 2. MQTT 连接测试
  if (!client.connected()) {
    if (!client.connect("esp32_health_check")) return false;
  }

  // 3. 传感器读取测试
  if (!sensor.begin()) return false;
  float temp = sensor.readTemperature();
  if (isnan(temp)) return false;

  // 4. 内存检查
  if (ESP.getFreeHeap() < 10000) return false;  // 至少 10KB 空闲

  // 所有检查通过
  return true;
}

MQTT 健康状态上报

void publishHealthStatus() {
  DynamicJsonDocument doc(256);

  doc["device_id"] = "esp32_factory_001";
  doc["fw_version"] = FIRMWARE_VERSION_STR;
  doc["uptime"] = millis() / 1000;
  doc["free_heap"] = ESP.getFreeHeap();
  doc["wifi_rssi"] = WiFi.RSSI();
  doc["boot_count"] = bootCount;
  doc["last_ota_success"] = lastOtaSuccess;
  doc["status"] = "healthy";

  char buffer[256];
  serializeJson(doc, buffer);
  client.publish("esp32/health", buffer);
}

Watchdog Timer

硬件看门狗

看门狗定时器（WDT）是防止固件挂起的关键保护机制：

#include "esp_task_wdt.h"

void setup() {
  // 初始化看门狗，超时 10 秒
  esp_task_wdt_init(10, true);  // 10秒超时，触发重启
  esp_task_wdt_add(NULL);       // 添加当前任务到看门狗

  // OTA 过程中禁用看门狗
  esp_task_wdt_delete(NULL);
  performOTA();                  // OTA 下载可能需要较长时间
  esp_task_wdt_add(NULL);
}

void loop() {
  // 主循环中定期喂狗
  esp_task_wdt_reset();

  // 业务逻辑...
  delay(1000);
}

OTA Safety Checklist

升级前检查

• 电池电量充足（>30%）或使用电源供电
• WiFi 信号强度 > -70dBm
• 固件大小不超过 OTA 分区的 90%
• 固件版本号 > 当前版本
• 固件兼容性检查通过
• 设备不在执行关键任务

升级中保护

• 禁用看门狗定时器（防止 OTA 过程中超时重启）
• 写入每个数据块后进行校验
• 监控网络连接状态，断线自动重试
• 记录 OTA 进度，支持断点续传（可选）

升级后验证

• 固件完整性校验（SHA256）
• 外设驱动初始化正常
• 网络连接正常
• 核心功能正常运行
• MQTT 上报新版本信息

Rollback Strategies

自动回滚 vs 手动回滚

回滚方式	触发条件	适用场景
自动回滚	健康检查失败 → 自动回滚	升级后立即检查
看门狗回滚	固件挂起 → WDT 触发	无声崩溃保护
手动回滚	用户/管理员触发回滚命令	发现功能缺陷后回滚
N 版本回滚	回滚到上一个稳定版本	多次升级后的恢复

Node-RED 远程回滚

// Node-RED: 接收回滚命令
msg.topic = "esp32/ota/command";
msg.payload = {
  action: "rollback",
  target_version: "1.2.0"  // 回滚的目标版本
};

// ESP32 处理回滚:
// 1. 检查本地是否缓存了目标版本固件
// 2. 从服务器下载目标版本
// 3. 执行标准 OTA 流程
// 4. 健康检查后确认

Error Recovery Scenarios

常见故障恢复

故障场景	影响	恢复策略
OTA 下载中断	备用分区不完整	重启后回滚，重试下载
固件校验失败	固件损坏	重新下载，最多重试 3 次
新固件无法启动	设备无法工作	看门狗超时 → 自动回滚
功能异常但能启动	部分功能不可用	健康检查检测 → 回滚
分区表损坏	无法启动任何固件	需要串行线刷（严重故障）

ESP32 Crash Recovery

#include <esp_system.h>

void checkResetReason() {
  esp_reset_reason_t reason = esp_reset_reason();

  switch (reason) {
    case ESP_RST_POWERON:
      Serial.println("上电复位");
      break;
    case ESP_RST_SW:
      Serial.println("软件重启");
      break;
    case ESP_RST_PANIC:
      Serial.println("异常崩溃重启");
      // 记录崩溃日志
      recordCrashInfo();
      // 如果连续崩溃超过 3 次，标记固件无效
      crashCount++;
      if (crashCount >= 3) {
        esp_ota_mark_app_invalid_rollback_and_reboot();
      }
      break;
    case ESP_RST_WDT:
      Serial.println("看门狗超时重启");
      break;
    default:
      break;
  }
}

Pre-sales Key Points

安全机制价值说明

机制	价值	买家沟通要点
双分区回滚	升级失败不会变砖	”两个固件分区，一个升级另一个保底”
健康检查	自动检测新固件正常	”升级后自动检测功能是否正常”
看门狗	设备死机自动恢复	”设备死机了会自动重启恢复”
远程回滚	管理员可主动回滚	”发现问题可远程回退到旧版本”

常见买家问题

Q1: 如果升级过程中断电怎么办？ A: ESP32 的双分区机制保障——升级写入备用分区。如果写入过程中断电，下次上电时仍然从当前分区的旧固件启动，数据不受影响。只有新固件完整写入并确认后，才会切换启动分区。

Q2: 升级失败设备会变砖吗？ A: 不会。ESP32 的 Bootloader 会根据 otadata 选择有效的分区启动。如果新固件启动失败（超时或崩溃），看门狗会触发重启，Bootloader 检测到新分区无效后自动切换到旧分区。这是硬件级别的保护机制。

Q3: 如何确认新固件正常工作？ A: 代码中实现了健康检查功能——新固件首次启动时会检查 WiFi 连接、MQTT 连接、传感器读取和内存使用。所有检查通过后才会标记为新固件有效。任何一项失败都会触发自动回滚。

Summary

本节介绍了 OTA 的安全机制和回滚策略：

1. 双分区回滚：两个应用分区，一个升级另一个保底
2. 健康检查：自动检测 WiFi、MQTT、传感器和内存状态
3. 看门狗定时器：固件挂起时自动重启
4. 回滚策略：自动回滚、手动回滚、N 版本回滚
5. 故障恢复：从下载中断到固件崩溃的完整恢复流程