基于UDS服务的BootLoader架构和刷写流程
1. BootLoader支持的UDS服务
-
bootloader 不需要支持19/14等故障类服务
-
在boot程序中, 10/27/11/3E 这样的基础服务需要支持;
-
22/2E读写DID的服务需要支持
-
31/34/36/37这bootloader主打服务需要支持
-
在app段程序中,85和28服务需要支持,保证暂停CAN正常通信,暂停记录DTC,让被升级设备专心升级。
SID ISO 14229 功能描述 0x10 DiagnosticSessionControl 外部设备切换会话模式 0x85 ControlDTCSetting 打开或关闭DTC 0x28 CommunicationControl 打开或关闭CAN报文 0x27 SecurityAccess 解锁ECU 0x34 RequestDownload 请求命令 0x36 TransferData 传输数据 0x37 RequestTransferExit 请求退出传输命令 0x31 RoutineControl 触发指令 0x2E WriteDataByIdentifier 外部设备写入数据到ECU 0x22 ReadDataByIdentifier 与ECU内部数据传输 0x11 EcuReset ECU复位 0x3E TesterPresent
2. Bootloader–三段式
2.1 预编程阶段
- (1) 3E TP报文
- (2) 10服务切换到03扩展模式
- (3) 85服务和28服务, 关DTC和非诊断报文.使得整个CAN网络处于安静的状态
这是对整车网络进行操作,一般以功能寻址的方式发送。 注意先用85服务关闭DTC,再使用28服务关报文
| 编号 | 收发 | 报文 | 说明 |
|---|---|---|---|
| 440 | Rx | 02 3E 80 00 00 00 00 00 | |
| 703 | Rx | 02 10 03 00 00 00 00 00 | 切换到扩展诊断模式 |
| 4E0 | Tx | 06 50 03 00 14 03 E8 00 | P2=20ms; P2* = 1000ms |
| 440 | Rx | 02 85 82 00 00 00 00 00 | 关闭DTC |
| 440 | Rx | 03 28 81 01 00 00 00 00 | 关闭报文 |
2.2 主编程阶段
-
(1) 10服务切换到编程模式
正确的方式是App段程序回复0x78 NRC, 接下来跳转到boot段程序,最后由Boot段程序来回复10 02的肯定响应。 错误的方式是由App段回复10 02的肯定响应,再进行跳转。
-
(2) 读取一个DID,tester要判断一下返回值,返回值里可能包含密钥的一部分信息
-
(3) 27服务,解锁,通过安全验证
| 编号 | 收发 | 报文 | 说明 |
|---|---|---|---|
| 703 | Rx | 02 10 02 00 00 00 00 00 | 切换到编程模式 |
| 4E0 | Tx | 06 50 02 00 14 03 E8 00 | |
| 703 | Rx | 03 22 F1 00 00 00 00 00 | 读DID = 0xF100 |
| 4E0 | Tx | 03 7F 22 78 00 00 00 00 | 0x78否定响应码 |
| 4E0 | Tx | 07 62 F1 00 01 00 00 02 | ECU返回0xF100的DID |
| 703 | Rx | 02 27 05 00 00 00 00 00 | 安全反问, 请求不同安全级别的种子 |
| 4E0 | Tx | 10 0A 67 05 08 27 11 F0 | 8字节的种子(多包第一帧数据) |
-
10 02服务不应直接进行肯定响应,存在风险
-
(1) 写DID(Data identifier)指纹, 标记写软件人的身份,ECU回复写指纹成功
-
(2) 31服务-擦除Flash。ECU肯定响应,擦除成功
-
(3) 34服务,请求数据下载,ECU回复确认最大块大小
-
(4) 36服务,开始传输数据,每个块传输完成后,ECU肯定响应,判断是否还有更多块需要下载,最多255块
-
(5) 37服务,请求退出传输。ECU肯定响应
-
(6) 31服务-检验APP段程序,检查编程一致性/完整性。ECU肯定响应。校验成功
-
(7) 若有更多块需要下载,重新执行31(擦除Flash区域)-34-36-37-31(校验)服务。若无,往下执行
-
(8) 11服务,ECU复位。之后直接跳转到新下载的APP段程序中
| 编号 | 收发 | 报文 | 说明 |
|---|---|---|---|
| 703 | Rx | 21 00 02 20 02 40 02 80 | |
| 703 | Rx | 22 02 F0 02 F0 02 F0 02 | |
| 703 | Rx | 23 F0 02 F0 02 F0 02 F0 | |
| 703 | Rx | 24 02 F0 02 F0 02 F0 02 | |
| 703 | Rx | 25 F0 02 F0 02 F0 02 F0 | |
| 703 | Rx | 26 02 F0 02 BF 03 03 00 | |
| 703 | Rx | 27 00 00 00 00 00 00 00 | |
| 703 | Rx | 03 7E 36 78 00 00 00 00 | |
| 703 | Tx | 02 76 01 78 00 00 00 00 | 完成数据传输 |
| 4E0 | Tx | 01 37 00 00 00 00 00 00 | 请求退出传输 |
| 4E0 | Tx | 01 77 01 78 00 00 00 00 | |
| 703 | Rx | 10 0A 31 01 FF 01 00 04 | 启动例程: 校验应用程序 |
| 4E0 | Tx | 30 00 00 FF FF FF FF FF | |
| 703 | Rx | 21 6A DD AE F8 00 00 00 | |
| 4E0 | Tx | 03 7E 31 78 00 00 00 00 | |
| 4E0 | Tx | 05 71 01 FF 01 00 00 00 | 校验完成 |
| 703 | Rx | 02 11 01 00 00 00 00 00 | ECU硬件复位 |
2.3 后编程阶段
- (1) 10服务切换到03扩展会话
- (2) 执行28服务和85服务,使能非诊断报文和DTC(Diagnostic Trouble Code)。
- 这是对整车网络进行操作的,一般都是以功能寻址的方式来发送。注意先执行28,后执行85,避免DTC误报。
| 编号 | 收发 | 报文 | 说明 |
|---|---|---|---|
| 4E0 | Tx | 02 51 01 FF 01 00 00 00 | 复位肯定响应 |
| 440 | Rx | 03 28 00 01 00 00 00 00 | 连接控制请求: 使能收发应用程序报文 |
| 4E0 | Tx | 02 68 00 FF 01 00 00 00 | |
| 440 | Rx | 02 85 01 00 00 00 00 00 | 使能DTC设置 |
| 4E0 | Tx | 02 C5 01 FF 01 00 00 00 |
- (1) 27服务,安全校验,准备写入数据
- (2) 2E服务,将编程信息写入到ECU中
- (3) 10服务,退回01默认会话。结束
3. BootLoader的启动顺序和转换流程
- (1) ECU上电或复位之后,先进入Boot段。从Flash/EEPROM中读取App有效标志 ,运行boot标志
- (2) 判断 运行boot标志,若为1,则进入Boot段的编程会话(安全等级为上锁),之后写Flash/EEPROM(不安全操作),运行boot标志清零。若S3定时器超时则退回Boot段默认会话。
- (3) 经过安全访问进入Level2解锁状态,开始执行App内存擦除,擦除后App有效标志清零(不安全操作)。
- (4) 开始烧写。烧写成功后运行boot标志 写0,App有效标志 写1。