剖析汽车ECU的bootloader程序

BootLoad（简称Boot）是一种启动加载程序，或者称为引导程序，我们在操作系统和嵌入式开发中经常用到，因为汽车ECU也是一种嵌入式系统，Boot程序主要用于ECU软件更新，汽车OTA升级，本文主要讲述汽车bootloader程序的工作原理和设计方法。

01

bootloader的功能

BootLoader，通常是驻留在ECU非易失性存储器（NVM，None Valitale Momory）中的一段程序加载代码，每次ECU复位后，都会运行bootloader。它会检查是否有来自通信总线的远程程序加载请求。

如果有，则进入bootloader模式，建立与程序下载端（通常为PC上位机）的总线通信并接收通信总线下载的应用程序、解析其地址和数据代码，运行NVM驱动程序，将其编程到NVM中，并校验其完整性，从而完成应用程序更新。

如果没有来自通信总线的远程程序加载请求，则直接跳转到应用程序复位入口函数（复位中断ISR，也称作Entry_Point（）–使用Processor Expert的CodeWarrior 工程或者Startup（）函数–普通CodeWarrior 工程），运行应用程序。

因此，汽车ECU的bootloader三个主要的作用：

与远程程序下载端建立可靠的总线通信以获取要更新应用程序；

解析应用程序编程文件（S19/HEX/BIN）获得其在NVM中的地址和程序代码及数据；

运行NVM驱动将应用程序的代码和数据编程到NVM中并校验；

下面就围绕这三个方面展开讲述。

02

如何建立可靠的总线通信？

汽车ECU常见的数据总线有CAN和LIN，因此通常汽车ECU的bootloader都是通过CAN或者LIN下载数据的。当然也可以基于其他总线，比如基于SPI总线或者I2C总线（典型如一些带有安全监测的功能安全ECU，通过主MCU对功能安全监测MCU的程序进行升级）以及以太网（基于Enternet通信的中控或者全液晶仪表的ECU以及下一代高速网关和ADAS ECU）。

注意事项：

不同的ECU通信总线不一样，具体需要用到某种通信总线取决于实际应用;

通信总线由ECU的MCU外设实现，所以在bootloader中必须开发相应的通信总线外设驱动程序，实现基本的数据发送和接收功能；

为了保证通信的可靠性，必须开发一个基于通信总线完善的通信协议，应用程序下载端和bootloader之间需要建立请求命令（request command）、确认（acknowledge）、等待（block wait）、错误重传（errorre-send）等机制----bootloader根据不同的请求命令完成不同的任务并确认操作是否完成（ACK）以及数据是否正被确完整的传输，若出现数据错误（通过校验和或者ECC实现），需要进行自动重传；

应用程序下载端通过需要在PC上基于VC或者C#、QT、Labview等开发GUI软件，实现中要求的总线通信协议，一般在其底层都是通过调用相应的总线设备，如USB转CAN/LIN的转发器设备的动态库（DLL）的API接口来实现数据的收发，相应的总线USB转发设备都会提供相应的驱动库（DLL）。因此bootloader开发者一般还需具备一定的PC上位机软件开发能力；

为了实现数据的可靠传输，一般在总线通信协议中添加信源编码，即在发送是对有效数据进行校验和或者ECC计算并将结果在通信数据帧中和有效数据一起发送，bootloader接收端，接收到数据帧后对有效数据域进行发送端同样的校验和或者ECC计算，得出结果与接收到的校验和或者ECC计算结果值进行比较从而判断数据的完整性。应用程序编程文件（S19/HEX/BIN）都具有相应的校验机制，所以可以采取直接传送程序编程文件行的方式；

否则，用户需要在上位机软件中首先解析编程文件，再将其中的地址和数据及代码封装打包成某种定制的通信协议，在bootloader中还得对其进行解包，这样一来，略显麻烦，但有些主机厂为了知识产权保护，有自己的bootloader协议，这种情况下，bootloader开发者就必须按照主机厂的要求来开发；

一些正规的大主机厂要求其ECU供应商开发放入ECU bootloader必须基于UDS等总线诊断协议，在UDS中规定了相应的CAN ID给bootloader使用，那么就必须在该类ECU中的bootloader工程中加入相应的UDS协议栈；

3和5的注意事项都是为了满足Boot程序设计的安全要求，要特别重视。

03

解析编程文件（S19/HEX/BIN）

不同的MCU软件开发IDE编译链接生成的编程文件格式可能不同，但S19、HEX和BIN文件之间是可以相互转化的，所以只需要在bootloader中开一种编程文件的解析程序就可以了，其他的可以使用相应的转换工具（convert tool）在上位机上进行转换;MCU的软件开发IDE一般都集成不同编程文件之间的转换工具：比如S32DS的objcopy（Create Flash Image ）以及Keil的Motorola S-Record to BINARY File Converter 。

解析编程文件的目的在于获得应用程序的程序代码和数据及其在NVM中的存储地址；

为了解析编程文件必须先了解其中的编码格式和原理，常用的S19、HEX和BIN文件的格式说明请自行查阅。

S19和HEX文件都是可以直接使用文本编辑器（比如记事本，notepad++）打开的，只需要将包含地址和数据代码的S1、S2和S3开始的S19文件行合并即可，可以手动拷贝，也可以编写window批处理脚本来处理；当然也有专门的可以支持两个S19文件的合并，网上可以找到很多开源软件，比如常见的Srecord等；

04

NVM驱动程序开发

ECU的NVM一般包括：

MCU片内集成的用于存放数据的EEPROM或者Data-Flash;

用于存储程序代码/数据的Code-Flash/Program-Flash;

MPU扩展的片外NORFlash或者NAND-Flash；

NVM驱动程序 的作用包括

对NVM的擦除（erase）、编程（program）和校验（verify）等基本操作；

对NVM的加密（secure）/解密（unsecure）和加保护（protecTIon）/解保护（unprotecTIon）操作。

注意事项：

MCU片上集成的NVM中EEPROM/D-Flash和C_Flash/P-Flash一般属于不同的block，所以可以直接在Flash上运行NVM驱动对EEPROM/D-Flash进行擦除和编程操作；

NVM驱动一般都是通过运行一个NVM command序列，在其中通过NVM控制器寄存器给出不同的NVM操作命令代码、NVM编程数据和目标地址的方式完成，典型的NVM command序列有（Freescale的S12（X）系列MCU Flash write command 序列）；

由于NVM的工作速度一般较CPU内核频率和总线频率低，所以运行NVM驱动前必须对NVM进行初始化，将设置分频器其工作频率设置为正常工作所需频率范围；

MCU片内的NVM同一个block上不能运行NVM的驱动对其自身进行擦除和编程操作，否则会传出read while write的总线访问冲突（每个NVM block只有一条数据总线，一个时刻只能进行读出或者写入，不支持同时读出和写入）。

因此对于仅有一个block Flash的MCU来说，就必须在RAM中调用其NVM驱动，来对其自身进行擦除和编程操作，同时在launch Flash command到等待command完成期间必须关闭CPU全局中断，禁止外设中断响应，否则取中断向量和运行中断ISR都会访问Flash。要使能中断，就必须将中断向量表偏移到RAM或者NVM block（EEPROM/D-Flash）并将响应的中断ISR也拷贝到其他RAM或者NVM block上（当然该中断向量表也必须更新指导新的中断ISR）；

由于以上2的要求，通常需要将bootloader的NVM驱动拷贝到MCU的RAM中运行，其可以将其完成的NVM拷贝到RAM中运行，也可以只拷贝NVM command launch到等待command完成的几条指令到RAM执行即可，因为NVM驱动中其他操作（比如填写NVM操作命令、写入编程地址和数据等）并不会往占用数据总线上往NVM中写入数据；

NVM的驱动程序驻留在Flash中，如果出现堆栈溢出等意外程序跑飞意外运行NVM驱动程序则会造成NVM内容意外擦除丢失或者修改的情况。因此需要对关键数据或代码（比如bootloader本身）进行保护以防止意外修改，或者更为安全的方法是**不将NVM驱动程序存放在NVM中，而是在bootloader最开始通过上位机将其下载到RAM中运行，bootloader结束后将该区域RAM清除，**从而避免由于意外运行NVM驱动程序造成的NVM数据丢失和修改。

一般MCU厂商都会给出其MCU的NVM驱动库，用户可以使用该类库实现NVM操作，如果是Freescale/NXP的汽车级MCU，还可以使用CodeWarrior IDE集成的Processor Expert生成相应的NVM驱动程序；

02

bootloader开发的其他要点

1. bootloader与应用程序的关系：

bootloader和应用程序分别是两个完整的MCU软件工程，各自都由自己的启动代码、main（）函数、链接文件、外设驱动程序和中断向量表；

因此bootloader和应用程序的链接文件中，对NVM的地址空间分配必须分开独立，不能重叠（overlap），但其RAM分配没有约束，两者都可以使用整个RAM空间，因为跳转到应用工程后，将启动代码将重新初始化RAM；

bootloader必须使用MCU默认的中断向量表，因为每次复位后MCU都是从其默认中断向量表的复位向量取地址执行的；应用程序的中断向量必须进行偏移（通过相应的中断向量偏移寄存器，如S12（X）系列MCU的IVBR寄存器或者ARM Cortex M系列MCU的SCB-》VTOR寄存器）；

而NVM（P-Flash）的擦除都是按照sector进行的，所以为了充分利用NVM（P-Flash）空间，都将bootloader分区到包含默认中断向量表的若干NVM（P-Flash）sector（S12（X）系列MCU的NVM最后若干sector， ARM Cortex M系列MCU从0地址开始的若干sector）；

注意：

如果应用程序新过程中断电或者意外复位，则应用程序更新失败，相应的应用程序完整性校验通不过，当然得重新下载，为了避免这种情况下应用程序丢失，常常BootLoader需要对应用程序进行双备份，即使用两个不同的NVM分区来保存应用程序，只有新的应用程序更新成功之后，才擦除老的应用程序，否则下次复位之后还是运行老的应用程序

2. bootloader到应用程序的跳转方法：

开发使用bootloader后，每次ECU复位之后都将首先运行bootloader，若无远程应用程序下载请求则直接跳转到应用程序复位函数地址，这里面有两个问题需要考虑：

如何获得应用程序复位函数地址：方法有：1）通过链接文件固定应用程序的复位启动函数地址；2）从应用程序中断向量表的复位向量地址获取；推荐方法2）：因为其灵活性好，每次应用程序变化后无需关心应用程序复位函数被编译到了NVM的具体地址，只需要将应用程序中断向量表中的复位向量取出运行即可：

典型方法如下（假设S12（X）系列MCU的应用程序中断向量表基地址寄存器IVBR=0x7F）：

typedef void （near tIsrFunc）（void）;/ ISR prototype definition */

word *Ptr; /pointer used for ISR vector fecth/

Ptr = （word *）0x7FFE; /*get the ISR vector from the interrupt vector table of APP project */

（（tIsrFunc）（*Ptr））（）; /covert and run/

跳转时机：方法有：

1）bootloader更新完应用程序并校验其完整性OK之后，将用到的外设（比如CAN/LIN通信总线模块、定时器、GPIO等）寄存器恢复到复位后的默认状态，然后直接跳转；bootloader更新完应用程序并校验其完整性OK之后，等待看门狗定时器超时溢出复位，在bootloader最开始判断无远程应用程序下载请求而跳转；

推荐使用方法2）：因为方法1）相对于软件复位，其跳转至应用程序复位启动函数时MCU的硬件环境与直接运行应用程序可能存在差异，而方法2）的看门狗复位则属于硬件复位，其会将绝大部分外设（模拟、时钟和外设）电路复位，更接近直接运行应用程序的情况。

编辑：jq