基于UDS服务的BootLoader架构和刷写流程

基于UDS服务的BootLoader架构和刷写流程

---

1. BootLoader支持的UDS服务

• bootloader 不需要支持19/14等故障类服务

• 在boot程序中， 10/27/11/3E 这样的基础服务需要支持；

• 22/2E读写DID的服务需要支持

• 31/34/36/37这bootloader主打服务需要支持

• 在app段程序中，85和28服务需要支持，保证暂停CAN正常通信，暂停记录DTC，让被升级设备专心升级。

  SID	ISO 14229	功能描述
  0x10	DiagnosticSessionControl	外部设备切换会话模式
  0x85	ControlDTCSetting	打开或关闭DTC
  0x28	CommunicationControl	打开或关闭CAN报文
  0x27	SecurityAccess	解锁ECU
  0x34	RequestDownload	请求命令
  0x36	TransferData	传输数据
  0x37	RequestTransferExit	请求退出传输命令
  0x31	RoutineControl	触发指令
  0x2E	WriteDataByIdentifier	外部设备写入数据到ECU
  0x22	ReadDataByIdentifier	与ECU内部数据传输
  0x11	EcuReset	ECU复位
  0x3E	TesterPresent

---

2. Bootloader–三段式

2.1 预编程阶段

• (1) 3E TP报文
• (2) 10服务切换到03扩展模式
• (3) 85服务和28服务， 关DTC和非诊断报文.使得整个CAN网络处于安静的状态
  这是对整车网络进行操作，一般以功能寻址的方式发送。 注意先用85服务关闭DTC，再使用28服务关报文

编号	收发	报文	说明
440	Rx	02 3E 80 00 00 00 00 00
703	Rx	02 10 03 00 00 00 00 00	切换到扩展诊断模式
4E0	Tx	06 50 03 00 14 03 E8 00	P2=20ms; P2* = 1000ms
440	Rx	02 85 82 00 00 00 00 00	关闭DTC
440	Rx	03 28 81 01 00 00 00 00	关闭报文

2.2 主编程阶段

• (1) 10服务切换到编程模式

  ​ 正确的方式是App段程序回复0x78 NRC， 接下来跳转到boot段程序，最后由Boot段程序来回复10 02的肯定响应。 错误的方式是由App段回复10 02的肯定响应，再进行跳转。

• (2) 读取一个DID，tester要判断一下返回值，返回值里可能包含密钥的一部分信息

• (3) 27服务，解锁，通过安全验证

编号	收发	报文	说明
703	Rx	02 10 02 00 00 00 00 00	切换到编程模式
4E0	Tx	06 50 02 00 14 03 E8 00
703	Rx	03 22 F1 00 00 00 00 00	读DID = 0xF100
4E0	Tx	03 7F 22 78 00 00 00 00	0x78否定响应码
4E0	Tx	07 62 F1 00 01 00 00 02	ECU返回0xF100的DID
703	Rx	02 27 05 00 00 00 00 00	安全反问, 请求不同安全级别的种子
4E0	Tx	10 0A 67 05 08 27 11 F0	8字节的种子(多包第一帧数据)

• 10 02服务不应直接进行肯定响应，存在风险

• (1) 写DID（Data identifier）指纹， 标记写软件人的身份，ECU回复写指纹成功

• (2) 31服务-擦除Flash。ECU肯定响应，擦除成功

• (3) 34服务，请求数据下载，ECU回复确认最大块大小

• (4) 36服务，开始传输数据，每个块传输完成后，ECU肯定响应，判断是否还有更多块需要下载，最多255块

• (5) 37服务，请求退出传输。ECU肯定响应

• (6) 31服务-检验APP段程序，检查编程一致性/完整性。ECU肯定响应。校验成功

• (7) 若有更多块需要下载，重新执行31（擦除Flash区域）-34-36-37-31（校验）服务。若无，往下执行

• (8) 11服务，ECU复位。之后直接跳转到新下载的APP段程序中

编号	收发	报文	说明
703	Rx	21 00 02 20 02 40 02 80
703	Rx	22 02 F0 02 F0 02 F0 02
703	Rx	23 F0 02 F0 02 F0 02 F0
703	Rx	24 02 F0 02 F0 02 F0 02
703	Rx	25 F0 02 F0 02 F0 02 F0
703	Rx	26 02 F0 02 BF 03 03 00
703	Rx	27 00 00 00 00 00 00 00
703	Rx	03 7E 36 78 00 00 00 00
703	Tx	02 76 01 78 00 00 00 00	完成数据传输
4E0	Tx	01 37 00 00 00 00 00 00	请求退出传输
4E0	Tx	01 77 01 78 00 00 00 00
703	Rx	10 0A 31 01 FF 01 00 04	启动例程: 校验应用程序
4E0	Tx	30 00 00 FF FF FF FF FF
703	Rx	21 6A DD AE F8 00 00 00
4E0	Tx	03 7E 31 78 00 00 00 00
4E0	Tx	05 71 01 FF 01 00 00 00	校验完成
703	Rx	02 11 01 00 00 00 00 00	ECU硬件复位

2.3 后编程阶段

• (1) 10服务切换到03扩展会话
• (2) 执行28服务和85服务，使能非诊断报文和DTC（Diagnostic Trouble Code）。
  • 这是对整车网络进行操作的，一般都是以功能寻址的方式来发送。注意先执行28，后执行85，避免DTC误报。

编号	收发	报文	说明
4E0	Tx	02 51 01 FF 01 00 00 00	复位肯定响应
440	Rx	03 28 00 01 00 00 00 00	连接控制请求: 使能收发应用程序报文
4E0	Tx	02 68 00 FF 01 00 00 00
440	Rx	02 85 01 00 00 00 00 00	使能DTC设置
4E0	Tx	02 C5 01 FF 01 00 00 00

• (1) 27服务，安全校验，准备写入数据
• (2) 2E服务，将编程信息写入到ECU中
• (3) 10服务，退回01默认会话。结束

---

3. BootLoader的启动顺序和转换流程

• (1) ECU上电或复位之后，先进入Boot段。从Flash/EEPROM中读取App有效标志 ，运行boot标志
• (2) 判断 运行boot标志，若为1，则进入Boot段的编程会话（安全等级为上锁），之后写Flash/EEPROM（不安全操作），运行boot标志清零。若S3定时器超时则退回Boot段默认会话。
• (3) 经过安全访问进入Level2解锁状态，开始执行App内存擦除，擦除后App有效标志清零（不安全操作）。
• (4) 开始烧写。烧写成功后运行boot标志 写0，App有效标志 写1。