Armadilloフォーラム

竹之下です。

> イメージの書き換え中に電源が落ちることを想定し、イメージを２面持ちにして書き込みが完了したことを確認した上でブートするパーティションを切り替えるようにしたいです。
リモートからの書き換えを考慮すると、このような対応は必要ですよね。

> このためには、アプリケーションからブートローダーの起動オプションを取得・設定できる必要があるのですが、このようなことは実現可能でしょうか？
Linuxアプリケーションからブートローダーのパラメータ(起動オプション)を
書き換えられるようなツールは今の所提供しておりません。
hermit-at(ブートローダー)のソースを解析すれば、ツールを作ることも
可能ではありますが、ブートローダーのパラメータを書き換えている時に
電源が落ちることも考慮すると、hermit-at自身に手を入れる必要が
あると思います。

少し視点を変えて、正常に書き込まれたイメージか、起動する前にブート
ローダーがチェックするという方法はいかがでしょうか？

フラッシュメモリのパーティション構成を下記のように分割したとします。
1. bootloader
2. kernel1 (復旧用)
3. kernel2
4. userland1 (復旧用)
5. userland2
6. config

そして、Linuxカーネル、ユーザーランドのイメージ作成時、ファイルの最後に
チェックサムを付加しておきます。
(Atmark Distでイメージを生成すると、自動的にチェックサムが付加されるように
なっています)

ネットワーク経由で更新するイメージは、常にkernel2/userland2に書き込みます。
イメージ書き込み時は、チェックサムごとフラッシュメモリに書き込みます。もし、
書き込み途中に電源断が発生したら、チェックサムが書き込まれません。

起動時、まずkernel2に書き込まれているイメージのチェックサムを確認します。
チェックサムが正しければkernel2のイメージで起動し、正しくなければkernel1の
イメージで起動します。
userlandについても同様のシーケンスにします。
もし、kernel1またはuserland1で起動していたら、kernel2/userland2の復旧を
試みるよう設定しておくと良いでしょう。

このようなシーケンスにしておくと、イメージ書き込み時に電源断が発生しても、
必ず復旧できるようになります。

> また、再起動後にカーネルパニック・アプリケーションの起動失敗することを考慮して、一定時間経過しても正常起動を確認できなかった場合は、起動オプションをきり戻して自動的に再起動させることは可能でしょうか？
ハードウェアウォッチドッグ機能がありますので、正常起動できなかったら、再起動するということは可能です。
しかしながら、再起動要因を取得できないので、オプションを切り戻すという動作は難しいですね。