功能安全Flash全片自检优化：KEIL环境下Linker自定义变量自动获取 ROM 大小

在功能安全应用（如 ClassB、SIL 等级）中，Flash 全片自检是必备环节，需通过 CRC 校验确保 ROM 区数据完整性。传统配置方式需手动填写 ROM 大小，一旦代码修改导致 ROM 占用变化，易因配置参数不匹配引发自检失败。本文基于 STM32 功能安全自检库（ClassB 4.0），详解 Flash 自检原理，并提供 KEIL 环境下通过 Linker（链接器）自定义变量自动计算实际 ROM 大小的方案，彻底解决手动配置的繁琐与误差问题。

资料获取：Flash全片自检过程中巧用Linker自定义变量

1. 应用背景与核心痛点

1.1 Flash 自检的功能安全意义

Flash 自检分为启动时自检与运行时自检，核心目标是检测 ROM 区是否因电磁干扰、硬件老化等因素出现数据篡改，是功能安全认证的强制要求。其依赖 CRC 算法实现，对 ROM 区的校验范围准确性要求极高。

1.2 传统配置的核心痛点

传统方案中，开发者需手动查看编译结果获取 ROM 占用大小，再配置到自检参数中，存在两大问题：

效率低：每次代码修改（如新增功能、优化逻辑）都可能改变 ROM 占用，需重复手动更新配置；
风险高：遗漏配置更新会导致校验范围与实际 ROM 大小不匹配，直接触发自检失败，影响产品功能安全认证。

2. 功能安全 Flash 自检原理（基于 ClassB 4.0）

Flash 自检通过 “CRC 预计算” 与 “CRC 比较” 两步实现，核心逻辑围绕 ROM 区的精准划分与校验展开：

2.1 CRC 预计算：生成校验基准值

预计算阶段需为编译后的可执行文件生成 CRC 校验值，并存储到 Flash 的专属区域，步骤如下：

Flash 分区：划分为 “程序区” 与 “CRC 区域”。CRC 区域用于存储预计算的 CRC 值，其起始地址公式为：CRC区域起始地址 = Flash结束地址 - 4×(Flash大小/1024)（例：2M 字节 Flash，起始地址 0x08000000，CRC 区域起始地址 = 0x08200000 - 4×(0x200000/1024)=0x081E0000）；
程序区划分：程序区从 Flash 起始地址开始，按 1024 字节划分为连续 Section，不足 1024 字节的末尾部分也视为一个 Section；
CRC 生成与存储：使用 STM32_Programmer_CLI 工具，仅对实际占用的 ROM 段（Code、RO、RW 段，需 4 字节对齐）生成 CRC 值，每个 Section 对应一个 CRC 值，所有 CRC 值按顺序存储到 CRC 区域；
烧录流程：将可执行文件二进制代码烧录到程序区，CRC 值烧录到 CRC 区域。

2.2 CRC 比较：运行时校验

程序运行阶段，调用功能安全库自检 API，通过配置STL_MemSubSet_t结构体指定校验范围，核心要求：

需准确配置StartAddr（ROM 起始地址）与EndAddr（ROM 实际结束地址）；
自检 API 读取 CRC 区域的预计算值，与运行时实时计算的 ROM 区 CRC 值对比，一致则自检通过，否则判定为 Flash 数据异常。

3. 核心方案：Linker 自定义变量自动计算 ROM 大小

KEIL 编译器的 Linker 支持通过预定义变量获取各存储区域的长度信息，无需手动计算，直接在代码中引用即可动态获取实际 ROM 大小。

3.1 Linker 预定义变量说明

KEIL 的 Linker 脚本（Scatter 文件）中定义的存储区域（如 ER_IROM1、RW_IRAM1），对应预定义变量格式为`Load

$re g i o n - nam e$

Length`，变量值为该区域的实际占用长度。核心变量包括：

Load$$ER_IROM1$$Length：程序区（ER_IROM1）的实际占用长度；
Load$$RW_IRAM1$$Length/Load$$RW_IRAM2$$Length等：各 RAM 区域的占用长度（ROM 大小需包含这些需固化的 RW 段长度）。

3.2 Scatter 文件示例（基础参考）

以 2M 字节 Flash（起始地址 0x08000000）、RAM 起始地址 0x20000000 为例，Scatter 文件定义如下

LR_IROM1 0x08000000 0x00200000  ; 加载区域：Flash起始地址+大小
{
  ER_IROM1 0x08000000 0x00200000  ; 执行区域：程序区
  {
    *.o(RESET, +First)
    *(InRoot$$Sections)
    .ANY(+RO)
  }
  RW_IRAM1 0x20000000 0x00100000  ;  RW数据区域1
  {
    *(backup_buffer_section)
  }
  RW_IRAM2 +0  ;  RW数据区域2（偏移接续）
  {
    .ANY(+RW+ZI)
  }
  RW_IRAM3 +0  ; 栈区域
  {
    .ANY(STACK)
  }
  RW_IRAM4 +0  ; 堆区域
  {
    .ANY(HEAP)
  }
}

3.3 代码实现：计算实际 ROM 大小

在用户代码中通过外部声明引用 Linker 变量，累加得到实际 ROM 大小，代码如下：

uint32_t u32RomSize = 0;
// 外部声明Linker预定义变量
extern uint32_t Load$$ER_IROM1$$Length;
extern uint32_t Load$$RW_IRAM1$$Length;
extern uint32_t Load$$RW_IRAM2$$Length;
extern uint32_t Load$$RW_IRAM3$$Length;
extern uint32_t Load$$RW_IRAM4$$Length;

// 计算实际ROM大小（程序区+需固化的RW段长度）
u32RomSize = (uint32_t)&(Load$$ER_IROM1$$Length) +
             (uint32_t)&(Load$$RW_IRAM1$$Length) +
             (uint32_t)&(Load$$RW_IRAM2$$Length) +
             (uint32_t)&(Load$$RW_IRAM3$$Length) +
             (uint32_t)&(Load$$RW_IRAM4$$Length);

3.4 自检配置适配

将计算得到的u32RomSize用于配置STL_MemSubSet_t结构体，自动适配 ROM 实际范围：

STL_MemSubSet_t flashCheckSubSet = {
  .StartAddr = 0x08000000,  // ROM起始地址（固定）
  .EndAddr = 0x08000000 + u32RomSize - 1  // 实际ROM结束地址
};

4. 方案优势与注意事项

4.1 核心优势

自动适配：代码修改后，Linker 变量会自动更新，无需手动调整配置，彻底避免因 ROM 大小变化导致的自检失败；
精准高效：直接获取编译器计算的实际占用长度，精度高于手动估算，且简化开发流程；
兼容性强：适配 KEIL MDK V5.40 及以上版本，支持 STM32 全系列功能安全应用（ClassB/SIL）。

4.2 注意事项

变量声明：需使用extern关键字声明 Linker 变量，否则会导致编译错误；
4 字节对齐：确保 ROM 段（Code、RO、RW）满足 4 字节对齐要求，否则会影响 CRC 计算准确性；
Scatter 文件匹配：Linker 变量的region-name需与 Scatter 文件中定义的区域名完全一致，否则无法正确获取长度。

功能安全 Flash 全片自检的核心是 “校验范围精准匹配实际 ROM 大小”，Linker 自定义变量方案通过编译器原生支持的预定义变量，实现 ROM 大小的动态自动计算，完美解决传统手动配置的效率低、风险高问题。该方案无需额外工具，仅需简单的代码引用与配置，即可适配代码迭代过程中 ROM 大小的变化，大幅提升功能安全应用的开发效率与可靠性，适用于所有基于 KEIL 环境的 STM32 功能安全项目。