【车载开发系列】UDS中Bootloader实现原理

一. Bootloader存放位置

通常在ECU在刷入bootloader后，bootloader是无法再次更新的，除非拆件。但是现在这越来越多的主机厂要求Bootloader也要支持刷写。Bootloader存储于被保护的flash区域，即使发生潜在错误时，控制器的应用软件始终可以刷新。

二. BootLoader的安全机制

为什么BootLoader需要安全机制？是因为有以下几种情况的发生。
a. 来自非法源的下载动作；
b. 当前刷新条件不满足；
c.下载错误的应用软件或应用数据到ECU；
d.软件之间不兼容；
而BootLoader中的安全机制有以下几种情况：

1）安全访问

ECU通过诊断0x27服务，SEED&KEY机制进行安全访问服务限制，保证ECU免遭未授权的编程动作影响。

2）刷新预条件

ECU确保刷新时处于安全状态，条件不满足（如高压上电、低压异常或车速高于预想值）时，刷新服务请求将被拒绝。

3）完整性校验

ECU对即将下载到flash的程序或数据进行完整性检查，当一个逻辑模块下载后，使用CRC32算法验证当前逻辑块的所有数据字节是否被正确传输和写入。
通过“检查编程完整性”例程控制激活ECU完整性校验。当ECU接收到此服务请求时，Bootloader将计算下载数据字节的CRC32值，并将计算结果与诊断仪请求报文中发送的校验值进行比较。
例程控制——31h 01h F0h 01h：此例程用来检查逻辑块的完整性。

4）一致性检查

不兼容的软件不能配合使用，如果配合使用可能会使功能异常或产生致命性错误。为此，ECU通过验证软件兼容性来检查刷新程序的一致性，包括应用软件与Bootloader软件、应用数据与应用软件检验等。
例程控制——31h 01h FFh 01h：一旦完成所有的应用软件或数据块/模块的下载，诊断仪将开始这个例程来触发ECU检查重刷新的一致性。

5）有效性检查

ECU内部有一个标志位，用于标识应用软件是否有效。如果刷新完整性检查和一致性检查都正确时，ECU才会设置应用软件的标志位为有效。只有标志位为有效时，应用软件才可以运行。

6）刷新文件格式

刷新文件格式为必须为下面三种中的一种：bin、s19、hex。
不同的MCU软件开发IDE编译链接生成的编程文件格式可能不同，但S19、HEX和BIN文件之间是可以相互转化的，所以只需要在bootloader中开一种编程文件的解析程序就可以了，其他的可以使用相应的转换工具(convert tool)在上位机上进行转换。
对编程文件的解析，目的在于获得应用程序的程序代码和数据及其在NVM中的存储地址。
(S19/HEX/BIN)都具有相应的校验和机制，所以可以采取直接传送程序编程文件行的方式；

三. bootloader与应用程序的关系

bootLoader和应用程序分别是两个完整的MCU软件工程，各自都由自己的启动代码、main()函数、链接文件、外设驱动程序和中断向量表组成。

因此bootloader和应用程序的链接文件对NVM的地址空间分配必须分开独立，不能重叠(overlap)，但是对于RAM空间的使用，可以共有，没有必须要相互独立的要求。但是从应用程序跳到BootLoader或者反向跳转时，RAM里面的内容都将被初始化。

四. bootloader到应用程序的跳转方法

开发使用bootloader后，每次ECU复位之后都将首先运行bootloader，若无远程应用程序下载请求则直接跳转到应用程序复位函数地址，这里面有两个问题需要考虑：如何获得应用程序复位函数地址：方法有：1）通过链接文件固定应用程序的复位启动函数地址；2）从应用程序中断向量表的复位向量地址获取；一般推荐使用方法2，因为其灵活性好，每次应用程序变化后无需关心应用程序复位函数被编译到了NVM的具体地址，只需要将应用程序中断向量表中的复位向量取出运行即可。

五. BootLoader跳转时机

跳转时机有两个。其一bootloader更新完应用程序并校验其完整性OK之后，将用到的外设(比如CAN/LIN通信总线模块、定时器、GPIO等)寄存器恢复到复位后的默认状态，然后直接跳转。其二bootloader更新完应用程序并校验其完整性OK之后，等待看门狗定时器超时溢出复位，在bootloader最开始判断无远程应用程序下载请求而跳转。以上两个方法当中，我们推荐使用第二种方法。因为因为方法1相对于软件复位，其跳转至应用程序复位启动函数时MCU的硬件环境与直接运行应用程序可能存在差异，而方法2的看门狗复位则属于硬件复位，其会将绝大部分外设(模拟、时钟和外设)电路复位，更接近直接运行应用程序的情况。

六. ECU BootLoader内存

ECU的NVM一般包括MCU片内集成的用于存放数据的EEPROM或者Data-Flash;用于存储程序代码/数据的Code-Flash/Program-Flash;MPU扩展的片外NORFlash或者NAND-Flash；NVM驱动程序的作用包括对NVM的擦除（erase）、编程（program）和校验（verify）等基本操作；对NVM的加密（secure）/解密（unsecure）和加保护（protection）/解保护（unprotection）操作。

七. 汽车ECU的bootloader主要作用

ECU的BootLoader一共有三个主要的作用。1.与远程程序下载端建立可靠的总线通信以获取要更新应用程序；2.解析应用程序编程文件（S19/HEX/BIN）获得其在NVM中的地址和程序代码及数据；3.运行NvM驱动将应用程序的代码和数据编程到NVM中并校验；