Rozważmy przykład elektronicznej jednostki sterującej (ECU) wykorzystującej tradycyjne oprogramowanie wbudowane statyczne. Bootloader to komponent oprogramowania używany zarówno do inicjowania rozruchu głównego oprogramowania ECU, w tym kopiowania oprogramowania do pamięci RAM, jak i do przeprowadzania wszelkich kontroli oprogramowania przed uruchomieniem. Bootloader jest również odpowiedzialny za aktualizację oprogramowania, odbieranie, sprawdzanie i zapisywanie zaktualizowanego oprogramowania do pamięci, zwykle pamięci Flash. Dlatego powszechnie używany jest również termin Flash Bootloader.
Czy te same bootloadery są używane w rozwoju i produkcji?
Zwykle ten sam bootloader może być używany w rozwoju pojazdów i powiązanych ECU oraz w normalnej produkcji, z zabezpieczeniami zapewniającymi, że produkcyjne ECU mają wiele możliwości dezaktywowanych lub inżynierskich bootloaderów. Podczas opracowywania pojazdów często pożądane jest usunięcie mechanizmów zabezpieczeń bootloaderów produkcyjnych, aby umożliwić szybkie wdrożenie oprogramowania deweloperskiego.
Bezpieczny bootloader
Coraz częściej wszystkie bootloadery muszą być bezpieczne. Jednak tradycyjnie było to wyróżnienie, zwykle wdrażane w celu ochrony funkcjonalności związanych z bezpieczeństwem, bezpieczeństwem, a czasem wydajnością.
Bootloadery zwykle sprawdzają pamięć oprogramowania ECU podczas uruchamiania i otrzymanego oprogramowania przed aktualizacją oprogramowania, a następnie w pamięci.
Mechanizmy zwykle obejmują:
- Uwierzytelnianie oprogramowania otrzymanego i/lub obecnego w pamięci podczas rozruchu, często przy użyciu skrótu binarnego oprogramowania w celu sprawdzenia poprawności wygenerowanej w wyniku bezpiecznego procesu kompilacji oficjalnie wydanych wersji oprogramowania.
- Uwierzytelnianie nadawcy za pomocą źródła i klucza, ochrona bezpiecznych danych w ECU przy użyciu zabezpieczonej pamięci i map pamięci w celu zdefiniowania obszarów dostępnych/możliwych do ponownego zapisu.
Podwójny bootloader
Niektóre implementacje bootloaderów składają się z dwóch części, stąd termin dual bootloader. W takim przypadku podstawowego bootloadera nie można zaktualizować w ramach zabezpieczania bootloadera. Dotyczy to uruchomienia modułu i aktualizacji dodatkowego bootloadera. Dodatkowy bootloader może zostać zaktualizowany za pomocą zabezpieczonego procesu, umożliwiając modyfikacje procesu aktualizacji oprogramowania, na przykład mapy pamięci, umożliwiając ich normalne blokowanie. Ten typ bootloadera jest obecnie mniej powszechny ze względu na nowe metody zabezpieczania procesu aktualizacji za pomocą wbudowanego bezpiecznego sprzętu, na przykład HSM (Hardware Secure Module).
Uwaga, termin ten przypomina podwójny rozruch, w którym dostępne są dwa bloki rozruchowe lub pełne pamięci, co pozwala na aktualizację nieużywanej wersji, gdy jedna wersja jest aktywna. Wymaga to dodatkowej pamięci w każdym ECU obsługującym tę metodę aktualizacji.
Capital Embedded Bootloader
Capital Embedded Bootloader obsługuje niezawodne aktualizacje ECU podczas opracowywania, produkcji pojazdu i podczas eksploatacji pojazdu za pomocą połączonych narzędzi diagnostycznych lub metod bezprzewodowych. Standaryzowany protokół UDS ISO 14229 jest stosowany w szeregu typowych magistrali sieciowych pojazdów, Ethernet, CAN/CAN-FD, LIN, FlexRay, a także możliwe jest stosowanie innych metod, takich jak protokoły kalibracji ASAM. Cybersecurity jest kluczowym aspektem przepływu aktualizacji oprogramowania, a funkcje umożliwiające uwierzytelnianie oprogramowania, a opcje bezpiecznego rozruchu są częścią rozwiązania. Aby spełnić specyficzne wymagania OEM (producentów oryginalnego sprzętu) i MCU, dostępne jest szerokie wsparcie dla szerokiej gamy projektów ECU.
Jaka jest różnica między OTA a FOTA?
Aktualizacja OTA (over the air) lub FOTA (firmware over the air) to metoda uzyskania odbioru nowego oprogramowania dla urządzenia wbudowanego, na przykład samochodowego ECU, w sposób zdalny, a nie za pomocą bezpośrednio podłączonego narzędzia serwisowego w warsztacie. Może to wymagać pewnych możliwości wbudowanego testera diagnostycznego w koordynującym ECU i/lub zdolności odzyskiwania i autotestu w samym bootloaderze.
