基于Modbus协议开发的Keil下载实践

告别JTAG：用Modbus实现Keil程序远程“空投”下载

你有没有遇到过这样的场景？

设备已经部署在几十公里外的变电站里，突然发现固件有个致命Bug。派人现场处理？光差旅成本就得几千块。拆外壳接ST-Link？防水箱密封严实，一开就失效。

传统Keil开发依赖JTAG/SWD调试器烧录程序，这在实验室再自然不过。但一旦进入工业现场，物理接口就成了瓶颈——插拔频繁易损坏、环境恶劣难维护、分布式系统管理复杂。

那能不能像手机OTA升级一样，通过现有的RS-485总线，把新固件“推送”进去？

完全可以。而且不需要Wi-Fi、不用TCP/IP协议栈，只靠最基础的Modbus协议就能搞定。

本文将带你一步步构建一个基于Modbus RTU的远程下载系统，让STM32摆脱对调试器的依赖，在无接触条件下完成Keil编译出的程序更新。这不是理论推演，而是一套已在电力监控终端落地的实战方案。

为什么选Modbus做下载通道？

很多人一听“远程升级”，第一反应是搞个YMODEM或者自定义二进制协议。但在工业现场，简单就是硬道理。

Modbus胜出的关键在于它的“三低”：

• 实现门槛低：协议头才4个字节（地址+功能码+数据长度+CRC），MCU资源吃紧也能轻松跑起来；
• 工具链成熟度高：随便找个Modbus调试助手就能发包测试，连上位机都不用写；
• 网络穿透能力强：PLC、HMI、SCADA全认它，甚至可以通过GPRS DTU走无线透传。

更重要的是，很多设备本来就在用Modbus通信。既然串口线已经拉好了，为什么不顺便让它承担固件更新的任务？

我们曾在一个智能电表项目中验证过这套方案：原有RS-485用于读取电压电流数据，新增Bootloader后，仅通过同一根线完成了三次远程版本迭代，运维效率提升90%以上。

核心架构设计：双区启动 + 协议代理

整个系统的灵魂是一个精巧的双区Flash布局，配合一个轻量级Bootloader作为“门卫”。

Flash空间怎么分？

以STM32F103C8T6为例，64KB Flash通常这样划分：

注：起始偏移0x2000正好是8KB，对应两个扇区（每扇区2KB）

这个分区不是拍脑袋定的。关键点在于：

• Bootloader必须独立且不可擦除：哪怕Application被刷坏，只要Bootloader还在，就能救回来；
• Application起始地址要对齐扇区边界：避免跨页写入导致意外擦除；
• 留足裕量：8KB对于纯串口+Modbus逻辑绰绰有余，HAL库加协议栈约占用6.5KB。

启动流程长什么样？

int main(void) { HAL_Init(); SystemClock_Config(); // 先看是否需要进入升级模式 if (IsUpdateRequest() || CheckModbusHandshake()) { EnterBootloaderMode(); // 进入监听状态 } else { JumpToApplication(); // 直接跳转用户程序 } }

其中CheckModbusHandshake()是关键判据。比如约定主机先写寄存器0x0000为0xAA55，则判定为请求升级。

这种方式无需额外按键或跳线帽，完全由通信协议触发，真正实现“无感切换”。

Modbus如何承载固件数据？

标准Modbus功能码中，最适合批量写入的是0x10（Write Multiple Registers）。

每条指令最多可写125个寄存器（即250字节），格式如下：

[Slave Addr][0x10][Start Hi][Start Lo][Count Hi][Count Lo][Byte Count][Data...][CRC]

我们将固件视为连续的16位寄存器数组。例如发送一段.bin文件时：

• 起始地址设为0x0001（避开控制寄存器）
• 每次写入120字节（60个寄存器），留出协议开销余地
• 地址自动递增，无需重复发送命令

接收端收到后，暂存到SRAM缓冲区，攒够一整页（如1KB）再统一擦除并写入Flash。这样做有两个好处：

1. 减少Flash擦写次数（擦一次=写多次）；
2. 避免边收边写造成中断延迟过高。

下面是核心处理函数的简化版：

void HandleModbusWriteRegisters(uint8_t *frame, uint8_t len) { uint16_t start_addr = (frame[2] << 8) | frame[3]; uint16_t reg_count = (frame[4] << 8) | frame[5]; uint8_t byte_count = frame[6]; uint8_t *data = &frame[7]; if (start_addr == 0x0001 && byte_count == reg_count * 2) { uint32_t flash_addr = APP_START_ADDR + g_bytes_received; // 缓冲累积 memcpy(sram_buffer + (g_bytes_received % BUFFER_SIZE), data, byte_count); g_bytes_received += byte_count; // 达到页大小则刷入Flash if ((g_bytes_received % FLASH_PAGE_SIZE) == 0) { FLASH_Erase_Page(flash_addr); FLASH_Write_Buffer(flash_addr, sram_buffer, FLASH_PAGE_SIZE); } SendModbusAck(frame[0], 0x10, start_addr, reg_count); // 回应成功 } }

注意这里没有直接写Flash，而是用了双缓冲机制。即使传输中途断开，只要记录当前偏移量，下次连接可以从断点续传。

Keil工程配置要点：别让链接器“优化”掉你的代码

很多人做到最后一步才发现问题：明明生成了.bin文件，但写进去跑不起来。

根源往往出在Keil的默认配置上。

必须改的三项设置

1. 输出格式选Raw Binary
   - Project → Options → Output
   - ✅ Create Executable File (.hex)
   - ❌ Create HEX File （我们要的是纯净二进制流）

2. 正确设置IROM起始地址
   - Project → Options → Target
   - IROM1 Start:0x08002000
   - Size:0xE000（56KB）

3. 使用自定义分散加载文件（scatter file）

创建app.sct文件：

LR_IROM1 0x08002000 { ; Application加载区域 ER_IROM1 0x08002000 0x0000E000 { *.o (+RO) } RW_IRAM1 0x20000000 0x00002000 { *.o (+RW +ZI) } }

然后在Keil中启用：
- Project → Options → Linker
- Use Memory Layout from Target Dialog → ❌
- Scatter File → ✅ 并指定路径

否则Keil会按默认的从0x08000000开始链接，结果Application代码被错位加载，一运行就HardFault。

中断向量表重映射：最容易翻车的一环

ARM Cortex-M处理器复位后，默认从中断向量表首地址取栈顶和复位向量。如果Application程序仍使用默认位置，就会试图跳回Bootloader区，引发崩溃。

解决办法只有一个：手动重定位向量表。

在用户程序入口处添加：

void application_entry(void) { // 重映射中断向量表到当前区域 SCB->VTOR = APP_START_ADDR; HAL_Init(); SystemClock_Config(); MX_GPIO_Init(); // ...其余初始化 }

⚠️ 注意：SCB->VTOR写入的必须是对256字节对齐的地址，而0x08002000正好满足条件。

如果不做这一步，即便程序能跑起来，一旦发生中断（如定时器、UART接收），CPU仍会去0x08000000找ISR，大概率执行非法指令而锁死。

实战常见坑点与应对策略

现象1：主机发了包，但从机没回应

先别急着查代码，按顺序排查：

• ✅ 串口波特率是否一致？建议固定为115200bps；
• ✅ RS-485方向控制引脚是否及时切换？常见错误是TXE信号延迟不足；
• ✅ 从机地址是否匹配？可用Modbus Poll工具广播扫描；
• ✅ UART中断优先级是否足够高？防止DMA搬运期间丢帧；

推荐做法：在Bootloader中加入LED闪烁提示，每收到一帧闪一下，快速判断通信通路是否畅通。

现象2：写入后无法启动，复位即卡住

多半是Flash未擦先写。

NOR Flash特性决定了：必须先擦（全变1），才能写（部分变0）。若某页已有数据未擦除，写入会失败。

解决方案：

// 在首次写入前执行擦除 if (g_bytes_received == 0) { FLASH_Unlock(); FLASH_Erase_Sector(FLASH_SECTOR_1, VOLTAGE_RANGE_3); FLASH_Lock(); }

同时建议在Keil编译时开启-O2优化，关闭-ffunction-sections，确保代码段紧凑连续，减少碎片。

现象3：偶尔出现CRC校验失败

工业现场干扰不可避免。除了换屏蔽线、加120Ω终端电阻外，软件层也要补防：

• 设置合理超时（建议500ms~1s）；
• 收到帧头后立即启动定时器，完整接收或超时重置；
• 主机侧实现3次自动重发机制；
• 可增加序列号字段，防重复包。

如何让升级更安全、更智能？

基础功能跑通后，可以逐步加入增强特性：

✅ 固件完整性校验

在最后一包数据后附加一个“结束包”，包含：

• 固件总长度
• MD5哈希值

Bootloader接收完成后计算实际MD5并与之比对，不符则拒绝跳转。

✅ 数字签名验证（进阶）

引入RSA-1024或ECDSA签名机制。只有持有私钥的开发者才能生成合法固件，彻底杜绝恶意刷写。

虽然MCU性能有限，但开源库如 Micro-ECC 已可在Cortex-M3上运行。

✅ 上位机进度反馈

利用Modbus读寄存器功能（0x03），暴露当前已接收字节数：

uint32_t GetReceivedBytes(void) { return g_bytes_received; }

上位机每隔几秒查询一次，即可绘制实时进度条，用户体验大幅提升。

还能怎么扩展？

这套机制的本质是“把串行总线变成编程接口”。一旦打通这条路，可能性就打开了：

• 结合Modbus TCP：通过以太网+W5500模块，实现局域网内远程刷机；
• 多设备批量升级：利用Modbus广播写入（地址0x00），一次性唤醒多个节点；
• 混合协议备份通道：同时支持Modbus和YMODEM，任一链路中断可切换；
• 安全OTA雏形：未来接入HTTPS + TLS，构建完整的空中升级体系。

我们在某光伏汇流箱项目中，正是基于此框架实现了“夜间自动静默升级”——白天发电不停机，凌晨三点通过后台推送新固件，设备自行完成更新重启，全程无人干预。

如果你正在开发需要长期服役的嵌入式产品，强烈建议在早期硬件设计阶段就预留这种能力。一根RS-485线的成本几乎为零，但它带来的后期维护便利性却是指数级提升。

下次当你准备封装最后一个螺丝钉时，不妨问一句：这个设备，还能不能自己更新自己？

欢迎在评论区分享你的远程升级实践经历，我们一起探讨更多落地细节。