通過下面兩張圖了解一下bootloader的軟件堆棧架構及刷寫的流程。

• 下圖為bootloader程序架構圖：

1 為什么要搞Bootloader？為什么要基于UDS搞Bootloader

假如你的控制器有外殼，卻沒有設計bootloader的話，每次更新ECU的程序，你都需要把外殼拆開，用燒寫器來更新程序。有了bootloader，你就可以通過CAN線來更新程序了。更方便些的話，甚至可以通過OTA進行遠程升級。

那為什么使用UDS呢？主要是為了規(guī)范bootloader的全過程。比如燒寫小明牌ECU時，我們肯定希望其他牌子的ECU處于一個靜默的狀態(tài)，都歇一歇，這就需要一個大家共同執(zhí)行的標準來進行規(guī)范，什么時候停發(fā)數(shù)據(jù)，什么時候不能再儲存DTC了等等。

又比如在調(diào)試時，大家肯定希望你的控制器經(jīng)由CAN燒寫的過程是大家都能看得懂的，是滿足于某種規(guī)范的。由此，UDS在設計時考慮了bootloader的需求，專門為bootloader設計了幾個服務，供大家使用。主機廠在發(fā)需求時自然就要求大家要在UDS規(guī)范的基礎上完成bootloader功能了。

2 Bootloader應支持的UDS服務

顯然bootloader不需要支持19/14等故障類服務。

在boot程序中，10/27/11/3E這樣的基礎診斷服務需要支持，22/2E讀寫DID的服務需要支持，31/34/36/37這4個bootloader主打服務需要支持，共10個。

在app段程序中，85和28服務需要支持，保證暫停CAN正常通信，暫停記錄DTC，讓被升級設備專心升級。

3 Bootloader——三段式

（1）預編程階段

1. 3E TP報文。

2. 10服務切換到03擴展模式。

3. 85服務和28服務，關DTC和非診斷報文。使整個CAN網(wǎng)絡處于安靜的狀態(tài)。這是對整車網(wǎng)絡進行操作的，一般都是以功能尋址的方式來發(fā)送。注意先用85服務關閉DTC，再使用28服務關報文。

（2）主編程階段

1. 10服務切換到編程模式，這里要注意，正確的方式是App段程序回復0x78 NRC，接下來跳轉(zhuǎn)到boot段程序，最后由Boot段程序來回復10 02的肯定響應。錯誤的方式是由App段回復10 02的肯定響應，再進行跳轉(zhuǎn)。

2. 讀取一個DID，tester要判斷一下返回值。返回值里面可能包含密鑰的一部分信息。

3. 27服務，解鎖，通過安全驗證。

注意10 02服務不應直接進行肯定響應，存在風險

4. 寫DID指紋，標記寫軟件人的身份，ECU回復寫指紋成功。（根據(jù)OEM要求來執(zhí)行）

5. 31服務-擦除Flash。ECU肯定響應，擦除成功。

6. 34服務，請求數(shù)據(jù)下載，ECU回復確認最大塊大小。

7. 36服務，開始傳輸數(shù)據(jù)。每個塊傳輸完成后，ECU肯定響應。判斷是否還有更多塊需要下載。最多可以支持255個塊。

8. 37服務，請求退出傳輸。ECU肯定響應。

9. 31服務-校驗APP段程序，檢查編程一致性/完整性。ECU肯定響應。校驗成功。

10. 若有更多塊需要下載，重新執(zhí)行31（擦除Flash區(qū)域）-34-36-37-31（校驗）服務。若無，往下執(zhí)行。

11. 11服務，ECU復位。之后應直接跳轉(zhuǎn)到新下載的APP段程序中。

（3）后編程狀態(tài)

1. 10服務切換到03擴展會話。

2. 執(zhí)行28服務和85服務，使能非診斷報文和DTC。這是對整車網(wǎng)絡進行操作的，一般都是以功能尋址的方式來發(fā)送。注意先執(zhí)行28，后執(zhí)行85，避免DTC誤報。

3. 27服務，安全校驗，準備寫入數(shù)據(jù)。

4. 2E服務，將編程信息寫入到ECU中。

5. 10服務，退回01默認會話。結(jié)束。

4 BootLoader的啟動順序與轉(zhuǎn)換流程

以下流程僅作為參考，有很多不規(guī)范之處。歡迎大家留言探討。

1. ECU上電或復位后，先進入Boot段。從Flash/EEPROM中讀取 App有效標志，運行boot標志 。

2. 判斷 運行boot標志 ，若為1，則進入Boot段的編程會話（安全等級為上鎖），之后寫Flash/EEPROM（不安全操作）， 運行boot標志 清零。若S3定時器超時則退回Boot段默認會話。

3. 經(jīng)過安全訪問進入Level2解鎖狀態(tài)，開始執(zhí)行App內(nèi)存擦除，擦除后 App有效標志 清零（不安全操作）。

4. 開始燒寫。燒寫成功后 運行boot標志 寫0，App有效標志 寫1。

2*. 判斷 運行boot標志 ，若為0，則進入Boot段的默認會話。

3*. 50ms后判斷 App有效標志 ，若為1，則 跳轉(zhuǎn)到 App段默認會話。實現(xiàn)時使用匯編指令執(zhí)行APP段程序；若為0，退回Boot段默認會話，且不再判斷 App有效標志，不會再嘗試進入App段。

4*. App段程序若收到了編程會話請求， 運行boot標志寫1 ，隨即執(zhí)行ECU復位，這樣會重新進入boot段程序。

注：從BOOT跳入APP前需要判斷APP的數(shù)據(jù)完整性，例如進行CRC校驗。

5 問題點

Q:假如燒進去了不良App段程序，無法返回boot段程序怎么辦？

A:參照電腦的開機方式，在ECU開機之后，預留很短的一段時間維持在boot狀態(tài)，在這段時間內(nèi)，若收到指定報文（比如，電腦是按住F8），那么就不跳轉(zhuǎn)到App段了。

Q:運行boot標志和App有效標志為了安全起見，應該保存到哪里？

A:運行boot標志可以放置在RAM中，由Boot和App共用。

Q:上文圖中的CAN數(shù)據(jù)實例，為什么出現(xiàn)了兩次CRC的校驗？CRC校驗是對哪些數(shù)據(jù)的校驗？

A:OEM不希望ECU中保存有可以擦寫Flash的代碼，所以BootLoader需要在燒錄App之前，先把擦寫Flash的代碼通過UDS燒寫到RAM中，燒完了之后進行一下31服務下的CRC校驗。之后燒錄ECU的App程序，App可能會因為地址不連續(xù)而分為很多段下載。下載完畢后需要進行總的CRC校驗。不管哪次校驗，CRC所校驗的數(shù)據(jù)是代碼的數(shù)據(jù)段，即36服務中傳輸?shù)挠行?shù)據(jù)。

點擊文章開頭上方藍字可關注微信公眾號『糖果Autosar』，分享文章至朋友圈或者點在看，通過微信『cloud2sunshine』備注“加群”加入汽車電子與AUTOSAR技術交流群，備注“汽車電子資料”領取技術資料。