一个思路： 缩短MultiBoot流程中的回跳 (Fallback) 时间

作者：Ivy Guo，AMD 赛灵思开发者

MultiBoot是FPGA远程更新配置文件时一种非常普遍的应用 ——为了确保安全，我们通常需要安排一个Golden Image，升级失败后FPGA能回跳（Fallback）到此配置，从而使FPGA始终处于可被检测的工作状态。

很多客户有同样的问题：我在升级Update Image一半时突然掉电了，为什么回跳机制不起作用了呢？FPGA怎么挂死了呢？其实这个现象是‘符合预期’的，回跳机制不能应付这种异常。如果配置文件写到一半突然中断，嵌在配置数据流里面的指令序列同样也没有了，并且有可能中断在任意位置。FPGA的控制逻辑此时就失去了工作方向，不知道下一步该做什么。https://docs.xilinx.com/v/u/en-US/xapp1247-multiboot-spi

Xapp1247, Appendix A提供了一个很好的解决方案。利用两个timer或者称之为barrier的小image，嵌在Golden和Update之间或附在Update之后，通过合理的给两个timer赋值，可以解决Update Image刷新时同步字丢失或者半程掉电的情况。

但是同时又有客户提出了问题：我的应用对回跳时间要求很高，Xapp1247，Appendix A的方案对于半程掉电的场景，只有搜索完整个Update Image区域，看到Timer#2的设置才能完成回跳。有没有办法缩短这段时间呢？

MultiBoot的跳转实际上是非常灵活的，我们这里就尝试提供一种思路。

1. 去掉Timer#2，只保留Timer#1作为Golden和Update Image之间的barrier Image。
2. Update Image采取从后往前倒着烧录的办法。（在实际应用中，烧写flash都是用CPU/MCU/FPGA控制或者第三方编程器实现的，所以这一点也很容易实现）。
3. 精确设定Timer#1的值，使其看到Update中的TIMER指令及赋值但不需更多。

工作原理如下：

Timer寄存器的值只有在Power-Cycle或者PROG_B过程中才能被清除，或者被新的Timer值覆盖，或者在整个配置数据加载完毕后自动失效。

我们通过精确设定Timer#1的值，使FPGA控制逻辑有足够时间看到Update Image中新的Timer值。TIMER指令位于Image的头部。因为Update Image是倒着写入的，能看到新的Timer值，说明Update Image基本已经更新好了。由于新的timer值是足够控制逻辑加载完整的配置数据的，Timer寄存器被新值更新后，Timer#1相当于失效了。FPGA有充足时间可以顺利读入完整配置数据，开启正常工作。

如果由于断电等原因，Update更新到一半就停止了，此时会缺失Update的同步字，TIMER指令等等位于头部的信息。Timer#1在一个有限的时间内搜索Update Timer但是没有看到，timeout之后就会直接触发回跳。因此不用等待搜索整个Update存储空间完毕，依靠尾部的Timer#2才能触发回跳了。

整个解决方案的重点就在于设定Timer#1的值。

这个其实很简单，根据你自己生成的Timer#1和Update的MCS文件 （方法参考Xapp1247），计算一下Timer#1的指令到Update的TIMER之间的字节数即可。

以KU040的bit为例，观察Update Image头部的命令/数据序列，可以看到有3002 2001，这就是设置Timer寄存器的命令TIMER。我们想Timer#1的时间足够看到Update中的3002 2001命令以及赋值，其他不需要了，随意添加几个cycle或者几个字的裕量即可。

比如我们设到3000 8001，多3个字的余量。

Timer的格式如下：

Barrier/Timer#1里从TIMER及赋值开始，后面有两个NOOP 字，加上后续Update里从FFFFFFFF开始直到3000 8001有28个字，一共30个字，那么就是30*32=960 bit。SPIx1串行配置中，一个CCLK读取一个bit，所以Timer#1的值设置为h‘3C0.

注意根据自己实际的Image来计算。假设说你的Timer#1和Update之间还有一些其他的Padding，那么这些字节也需要计算进去。

如果使用了SPI x4, x8或BPI并行配置，同样对应计算一下：

如上图，30 03 E0 01是把bus width从默认的x1切到x4的命令。如果在读入Timer#1之前中执行了该命令（比如Golden里面），那么Timer#1的值需要按照一个CCLK cycle，读取4个bit来计算。和Timer命令类似，在FPGA控制逻辑读取数据的过程中，如果没有碰到新的30 03 E0 01设定新的数据宽度，那么将一直按照之前设定的bus width来读入数据或者指令。

假设Timer#1以及Update都是以x4读取的，那么Timer#1需设为h’F0.

综上，通过合理设定barrier#1中的Timer#1数值，我们可以极大地缩短升级掉电这种MultiBoot失效场景的回跳时间。