一文了解 -- bootloader
2023-6-24 18:2:6 Author: 谈思实验室(查看原文) 阅读量:18 收藏

Bootloader 介绍

大多数Bootloader 包含两种操作模式。

  • 启动加载模式

  • 下载模式

对于大多数汽车软件开发者来说,从客户需求的角度,他们更多关心Bootloader的下载模式。下面我们将从CAN Bootloader的一般需求入手,来介绍一下CAN Bootloader 的整个实现过程。

CAN Bootloader 简述

通过CAN网络升级一般需要考虑下面几个方向。

01

针对单一节点

CAN网络是串行结构,在对节点升级的时候,不能被别的节点影响,也不能影响到别的节点。这里就需要进行点对点升级。在OEM 的规范中会对每一个ECU 都有自己的诊断ID。一般情况下针对CAN网络的ECU有。

两个接收ID

  • 功能寻址ID

  • 物理寻址ID

一个发送ID

  • 诊断发送ID

这样可以确保点对点的操作,和其他节点互相不干扰。

02

节点的智能设计

在CAN网络中实现数据更新,最进本的就是master ECU 把数据有效的传输给Slave ECU, 这样Slave ECU 对自身的flash 进行操作。在这个过程中需要对数据进行一定要求。

  • 保证数据传递的有效性-->传输过程没有错误

  • 保证数据本身的真实性--> 未被篡改

  • 保证数据发送方的可靠性-->被授权的ECU

  • 保证数据本身的正确性--> 是否与Bootloader 兼容

  • 等等需求

这里对传输过程的保证,汽车OEM 一般通过UDS 让Master ECU 和 Slave 进行交互。通过握手协议,以及一些routine 来对上面需求进行一一实现。

针对UDS 这里不一一介绍,可以翻阅14229 自行查询。

注意这里缺少新版的 0x29 服务。

UDS诊断29认证服务-Authentication Service

03

进入Bootloader 模式

一般来说这里有一下几种方式

  • APP 主动跳转至 Bootloader 模式

  • 上电启动由于Bootloader 检测APP 失效,主动停留在Bootloader

  • APP 软件异常,自动复位到Bootloader 模式下。

这里针对OEM 的升级需求,一般是 第一种, APP 主动跳转至Bootloader 模式。因为Bootloader 不一定都是需要依赖UDS的,这里统一叫Bootloader 模式,OEM 的 UDS 的规范里面的名称叫做programming session。

一般来说OEM 会在APP 里面先进行session 跳转,身份验证。

最后通过 10 02 命令让APP 跳转到Bootloader 模式下。

在我们进行bootloader设计的时候,可以通过任何特定方式,注意这里的特定方式不能是随随便便就可以触发 的,防止误触进入bootloader 模式。

因为跳转的逻辑是 APP 检测到一定的条件,然后 对某些寄存器,或者某些Bootloader 可读的内存空间进行写flag. 随后进行reset. 这样在reset完成之后, bootloader 会检测到,这次不需要跳转至APP 了。

04

对bootloader的要求

从实际的研发需求出发,这里列出了一些常用的需求。实际OEM 的bootloader 可能会细化需求,但是最终都是为了下面的目的提出来的需求。

  • 多次数据更新

  • 刷写速度,传输速度

  • 差分更新

  • 身份验证

  • 数据格式的标准化

  • 对数据的完整性,有效性等进行校验

  • 对APP 的有效性进行校验

  • 上位机方便友好

OEM 对Bootloader 的基本要求

在OEM 的需求里,在刷写过程一般分为三个步骤。

  • 前处理

  • 刷写

  • 后处理

分别是做什么的呢?

前处理

需求各不相同,但是目的基本都一致。

  • 避免其他节点对升级过程的影响

  • 避免自身节点对升级过程的影响

  • 避免自身节点对其他节点的影响

刷写

通过一系列的UDS 命令进行 点对点 交互。其目的和前面提到的一致。

  • 发送数据的ECU 可靠

  • 数据传输过程可靠

  • 数据有效性(识别有没有被篡改)

  • 数据加密解密数据安全

  • 等等

后处理

解除自身的特殊状态。更新配置参数等等。

这里面 ECU 需要做好和APP 的相互校验。需要达到

  • APP 是否有效,Bootloader 需要能判断出

  • APP 运行时无效,需要能有效进入Bootloader模式。

  • APP 无效, Bootloader 不应该跳入

  • 等等

Bootloader的设计与实现

总结一句话

最基本的Bootloader通过传输协议把数据可靠的写入指定的内存空间

通过上面的分析,总结一下我们需要实现哪些功能。

01

控制器最小系统

单纯运行Bootloader的软件,这里是不需要os的。只需要一个while(1) + 中断系统顺序执行即可。

本文以Aurix Tricore芯片示例代码介绍。

启动代码

static void __StartUpSoftware(void);static void __StartUpSoftware_Phase2(void);static void __StartUpSoftware_Phase3ApplicationResetPath(void);static void __StartUpSoftware_Phase3PowerOnResetPath(void);static void __StartUpSoftware_Phase4(void);static void __StartUpSoftware_Phase5(void);static void __StartUpSoftware_Phase6(void);static void __Core0_start(void);

main 函数

这里面实现很简单,只需要判断是否进入app. 如果不进入app. 就只需要监听通讯接口的数据,进行相对应的操作即可。

int main(void){  if(*((uint32_t *)APP_EXE_FLAG_START_ADDR)==0x80001000){    CAN_BOOT_JumpToApplication(APP_START_ADDR);  }  __set_PRIMASK(0);//开启总中断  CAN_Configuration(1000000);

 while (1)  {    if(CAN1_CanRxMsgFlag){      CAN_BOOT_ExecutiveCommand(&CAN1_RxMessage);      CAN1_CanRxMsgFlag = 0;    }  }}

02

通讯驱动

这里面采用的是比较简单的CAN 通讯。

一般来说因为上位机在传输数据的时候,速度是很快的。我们bootloader里面的CAN 接收需要采用中断的模式进行收发。

对于CAN 的参数配置。

波特率

typedef  struct {  unsigned char   SJW;  unsigned char   BS1;  unsigned char   BS2;  unsigned short  PreScale;} tCAN_BaudRate;

可以根据芯片手册的原理进行配置。

这里面对于Bootloader来说,比较重要的就是波特率和收发报文ID 以及中断模式。

因为这些是需要和上位机进行配合的。

这里给出以下Mcal 代码初始化CAN时候的形参。可以大概看出需要初始化的内容

/********************************************************************************* Traceability   : [cover parentID={196A1432-EAB1-461a-BD6C-259784BF6397}]   ****                                                                            ****  Syntax           : void Can_17_McmCan_Init                                ****                    (                                                       ****                      const Can_17_McmCan_ConfigType* const Config          ****                    )                                                       ****                                                                            ****  Description      : Driver Module Initialization function                  ****                    * This function initializes:                            ****                    * Static variables, including flags                     ****                    * CAN HW Unit global hardware settings                  ****                    * Controller specific settings for each CAN Controller  ****  All CAN Controllers will be in state CANIF_CS_STOPPED after initialization****  [/cover]                                                                  ****                                                                            ****  Service ID       : 0x00                                                   ****                                                                            ****  Sync/Async       : Synchronous                                            ****                                                                            ****  Reentrancy       : Non-Reentrant                                          ****                                                                            ****  Parameters(in)   : Config - Pointer to all cores CAN driver configuration ****                                                                            ****  Parameters (out) : none                                                   ****                                                                            ****  Return value     : none                                                   ****                                                                            *********************************************************************************/

对于bootloader来说,这里只需要三个接口

初始化,收,发

void CAN_Configuration_init(uint32_t BaudRate);uint8_t CAN_WriteData(CanTxMsg *TxMessage);uint16_t Read_CAN_Address(void);

03

内存驱动

首先看一下内存分配

PFLASH

DFLASH

一般来说 被刷的软件格式是Hex 或S19. 针对这两种格式就不说了。

code 和 data 可以根据主机厂需求分为两个或多个Hex.

所以这里需要对Pflash 和 DFlash 都进行操作。

需要注意的是两个不同的flash 操作的 扇区大小是不一样的。Mcal提供的接口已经做了相对应的处理。

对于bootloader来说,需要的接口 擦除 和 写入。

/********************************************************************************* Syntax           :  FlsLoader_ReturnType FlsLoader_Write(                  ****                      const FlsLoader_AddressType TargetAddress,            ****                      const FlsLoader_LengthType Length,                    ****                      const uint8* const SourceAddressPtr)                  ****                                                                            **** Service ID       : 0x31                                                    ****                                                                            **** Sync/Async       : Synchronous                                             ****                                                                            **** Reentrancy       : Non Reentrant                                           ****                                                                            **** Parameters(in)   : Length: Number of bytes to be written. It should be     ****                      multiple of the following page sizes of the           ****                      selected Flash for write.                             ****                      PFlash: 32 Bytes                                      ****                      DFlash: 8 Bytes                                       ****                    SourceAddressPtr: Pointer to source data buffer         ****                    TargetAddress: Target address in Flash memory.          ****                      It should be aligned to the following page sizes      ****                      of the selected Flash for write.                      ****                      PFlash: 32 Bytes                                      ****                      DFlash: 8 Bytes                                       ****                                                                            **** Parameters (out) : None                                                    ****                                                                            **** Return value     : FLSLOADER_E_OK: Successful execution.                   ****                    FLSLOADER_E_BUSY: Flash is busy with erase/write        ****                      operation.                                            ****                    FLSLOADER_E_NOT_OK: Returned when DET, Sequence error,  ****                      Program/Erase verify errors occur, SourceAddressPtr is****                      null pointer.                                         ****                    FLSLOADER_E_LOCKED: Programming a locked sector.        ****                                                                            **** Description      : This function is used to program a page of internal     ****                    Flash. Sectors of PFlash and DFlash can be programmed.  *********************************************************************************/
/********************************************************************************* Syntax           :  FlsLoader_ReturnType FlsLoader_Erase(                  ****                      const FlsLoader_AddressType TargetAddress,            ****                      const FlsLoader_LengthType Length                     ****                    )                                                       ****                                                                            **** Service ID       : 0x32                                                    ****                                                                            **** Sync/Async       : Synchronous                                             ****                                                                            **** Reentrancy       : Non Reentrant                                           ****                                                                            **** Parameters(in)   : Length: Number of Flash (PFlash or DFlash) sectors to   ****                    be erased. Note: Number of sectors should lie within    ****                    single Flash bank. Erase operation across the Flash     ****                    banks is not supported.                                 ****                    TargetAddress: Target address in Flash memory. It       ****                    should be aligned to the following sector sizes of the  ****                    selected Flash for erase.                               ****                    PFlash: 16 Kbyte                                        ****                    DFlash: 4 Kbyte                                         ****                                                                            **** Parameters (out) : None                                                    ****                                                                            **** Return value     : FLSLOADER_E_OK: Successful completion.                  ****                    FLSLOADER_E_BUSY: Flash is busy with erase/write        ****                    operation.                                              ****                    FLSLOADER_E_NOT_OK: Returned when DET, Sequence error,  ****                    Erase verify errors occur.                              ****                    FLSLOADER_E_LOCKED: Sector is protected.                ****                                                                            **** Description      : This function erases the logical sectors of the         **                      internal Flash. The completion of this operation is     **                      denoted by clearing of busy status flag or error.       **

04

额外需求库

这里比如需要对数据进行CRC 校验

需要对数据包进行数据解密用到的加密算法

等等

05

交互逻辑 上层应用

根据具体的OEM 需求实现的功能。比如说。配置参数的交换,与APP软件的有

效位相互校验,等等需求。这里无法给出对应代码。

总结 一张图

码上报名

AutoSec 2023 第七届中国汽车网络安全周暨第四届智能汽车数据安全展,9月13-15日,上海

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。

扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

谈思实验室,为汽车科技赋能,推动产业创新发展!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247523358&idx=1&sn=901192c25b8653dada6fc737a44c083c&chksm=e927d8c5de5051d3309136b0e74e96df223903d8666c08684bfa76698cdea0cb2de987703b4f#rd
如有侵权请联系:admin#unsafe.sh