Considere o exemplo de uma unidade de controle eletrônico (ECU) usando software incorporado estático tradicional. O bootloader é um componente de software usado tanto para iniciar a inicialização do software principal da ECU, incluindo a cópia do software na RAM, quanto para realizar qualquer verificação no software antes da inicialização. O bootloader também é responsável pela atualização do software, recebendo, verificando e gravando o software atualizado na memória, geralmente memória Flash. Portanto, o termo Flash Bootloader também é comumente usado.
Os mesmos bootloaders são usados no desenvolvimento e na produção?
Normalmente, o mesmo carregador de inicialização pode ser usado no desenvolvimento de veículos e das ECUs associadas e na produção normal, com proteções para garantir que as ECUs de produção tenham muitos recursos de desenvolvimento ou de carregadores de inicialização de engenharia desativados. Durante o desenvolvimento do veículo, geralmente é desejável remover os mecanismos de segurança dos carregadores de inicialização de produção para permitir a rápida implantação do software de desenvolvimento.
Bootloader seguro
Cada vez mais, todos os bootloaders precisam estar seguros. No entanto, tradicionalmente, essa tem sido uma distinção, geralmente implementada para proteger a funcionalidade relacionada à segurança e, às vezes, ao desempenho.
Os bootloaders geralmente verificam a memória do software da ECU na inicialização e no software recebido antes de uma atualização de software e na memória depois.
Os mecanismos geralmente incluem:
- Autenticação do software recebido e/ou presente na memória no momento da inicialização, geralmente usando um hash do binário do software para verificar a exatidão gerada por um processo de compilação seguro de versões de software lançadas oficialmente.
- Autenticação do remetente usando uma semente e uma chave, proteções de dados seguros dentro da ECU usando memória segura e mapas de memória para definir áreas acessíveis/regraváveis.
Carregador de inicialização duplo
Algumas implementações de carregadores de inicialização são divididas em duas partes, daí o termo carregador de inicialização duplo. Nesse caso, o carregador de inicialização primário não é atualizável, como parte da proteção do carregador de inicialização. Isso se refere à inicialização do módulo e à atualização do carregador de inicialização secundário. O bootloader secundário pode ser atualizado, por meio de um processo seguro, permitindo modificações no processo de atualização de software, por exemplo, mapa de memória, permitindo que eles normalmente sejam bloqueados. Esse tipo de bootloader é menos comum agora devido aos novos métodos de proteger o processo de atualização usando hardware seguro integrado, por exemplo, o HSM (Hardware Secure Module).
Observe que esse termo é como inicialização dupla, em que dois blocos de inicialização ou memórias completas estão disponíveis, permitindo que uma atualização ocorra na versão não utilizada enquanto uma versão está ativa. Isso requer memória extra em cada ECU compatível com esse método de atualização.
Capital Embedded Bootloader
Capital Embedded Bootloader suporta atualizações confiáveis da ECU durante o desenvolvimento, na produção do veículo e durante a vida útil do veículo, por meio de ferramentas de diagnóstico conectadas ou metodologias aéreas. O protocolo padrão ISO 14229 UDS é usado em uma variedade de barramentos de rede de veículos comuns, Ethernet, CAN/CAN-FD, LIN, FlexRay, e também é possível usar outros métodos, como os protocolos de calibração ASAM. A Cybersecurity é um aspecto fundamental do fluxo de atualização de software e os recursos que permitem a autenticação do software, e as opções de inicialização segura fazem parte da solução. Para satisfazer os requisitos específicos de OEM (fabricantes de equipamentos originais) e MCU, um amplo suporte está disponível para uma ampla gama de projetos de ECU.
Qual é a diferença entre OTA e FOTA?
A atualização OTA (over the air), ou FOTA (firmware over the air), é um método para obter a recepção de novo software para um dispositivo embarcado, por exemplo, ECU automotiva, de forma remota, não por meio de uma ferramenta de serviço conectada diretamente em uma oficina. Isso pode exigir algum recurso de testador de diagnóstico integrado em uma ECU coordenada e/ou habilidades de recuperação e autoteste no próprio carregador de inicialização.
