Hãy xem xét ví dụ về một đơn vị điều khiển điện tử (ECU) sử dụng phần mềm nhúng tĩnh truyền thống. Bootloader là một thành phần phần mềm được sử dụng cả để bắt đầu khởi động phần mềm chính của ECU, bao gồm sao chép phần mềm vào RAM và để thực hiện bất kỳ kiểm tra nào trên phần mềm trước khi khởi động. Bộ tải khởi động cũng chịu trách nhiệm cập nhật phần mềm, nhận, kiểm tra và ghi phần mềm cập nhật vào bộ nhớ, thường là bộ nhớ Flash. Do đó, thuật ngữ Flash Bootloader cũng được sử dụng phổ biến.
Các bộ tải khởi động giống nhau có được sử dụng trong phát triển và sản xuất không?
Thông thường, cùng một bộ tải khởi động có thể được sử dụng trong việc phát triển các phương tiện và các ECU liên quan và trong sản xuất bình thường, với các biện pháp bảo vệ để đảm bảo rằng ECU sản xuất có nhiều khả năng phát triển hoặc bộ tải khởi động kỹ thuật bị vô hiệu hóa. Trong quá trình phát triển phương tiện, người ta thường mong muốn loại bỏ các cơ chế bảo mật của bộ tải khởi động sản xuất để cho phép triển khai nhanh chóng phần mềm phát triển.
Bộ tải khởi động an toàn
Càng ngày tất cả các bootloader được yêu cầu phải an toàn. Tuy nhiên, theo truyền thống, đây là một sự khác biệt, thường được thực hiện để bảo vệ các chức năng liên quan đến bảo mật, an toàn và đôi khi hiệu suất.
Bootloader thường kiểm tra bộ nhớ phần mềm của ECU khi khởi động và nhận phần mềm trước khi cập nhật phần mềm và trong bộ nhớ sau đó.
Các cơ chế thường bao gồm:
- Xác thực phần mềm nhận và/hoặc hiện diện trong bộ nhớ tại thời điểm khởi động, thường sử dụng hàm băm của nhị phân phần mềm để kiểm tra tính chính xác được tạo ra từ quá trình biên dịch an toàn của các phiên bản phần mềm được phát hành chính thức.
- Xác thực người gửi bằng cách sử dụng hạt giống và khóa, bảo vệ dữ liệu an toàn trong ECU bằng bộ nhớ bảo mật và bản đồ bộ nhớ để xác định các khu vực có thể truy cập/ghi lại.
Bộ tải khởi động kép
Một số triển khai của bootloader có hai phần, do đó thuật ngữ bộ tải khởi động kép. Trong trường hợp này, bộ tải khởi động chính không thể cập nhật, như một phần của việc bảo mật bộ tải khởi động. Điều này liên quan đến việc khởi động mô-đun và cập nhật bộ tải khởi động thứ cấp. Bộ tải khởi động thứ cấp có thể được cập nhật, thông qua một quy trình bảo mật, cho phép sửa đổi quá trình cập nhật phần mềm, ví dụ, bản đồ bộ nhớ, cho phép chúng thường bị khóa. Loại bộ tải khởi động này ít phổ biến hơn bây giờ do các phương pháp mới để bảo mật quá trình cập nhật bằng phần cứng bảo mật trên bo mạch, ví dụ, HSM (Mô-đun bảo mật phần cứng).
Lưu ý, thuật ngữ này giống như khởi động kép, trong đó các khối hai khởi động hoặc bộ nhớ đầy đủ có sẵn, cho phép cập nhật diễn ra trên phiên bản không sử dụng trong khi một phiên bản đang hoạt động. Điều này đòi hỏi thêm bộ nhớ trong mỗi ECU hỗ trợ phương pháp cập nhật này.
Capital Embedded Bootloader
Capital Embedded Bootloader hỗ trợ cập nhật ECU đáng tin cậy trong quá trình phát triển, trong sản xuất xe và trong suốt vòng đời của xe, thông qua các công cụ chẩn đoán được kết nối hoặc phương pháp không dây. Giao thức ISO 14229 UDS được tiêu chuẩn hóa được sử dụng trên một loạt các bus mạng xe phổ biến, Ethernet, CAN/CAN-FD, LIN, FlexRay và cũng có thể sử dụng các phương pháp khác như giao thức hiệu chuẩn ASAM. An ninh mạng là một khía cạnh quan trọng của luồng cập nhật phần mềm và các tính năng cho phép xác thực phần mềm và các tùy chọn khởi động an toàn là một phần của giải pháp. Để đáp ứng các yêu cầu cụ thể của OEM (nhà sản xuất thiết bị gốc) và MCU, hỗ trợ rộng rãi có sẵn cho một loạt các dự án ECU.
Sự khác biệt giữa OTA và FOTA là gì?
Cập nhật OTA (over the air), hay FOTA (firmware over the air), là một phương pháp để đạt được việc tiếp nhận phần mềm mới cho một thiết bị nhúng, ví dụ ECU ô tô, theo cách từ xa, không thông qua công cụ dịch vụ được kết nối trực tiếp trong một xưởng. Điều này có thể yêu cầu một số khả năng kiểm tra chẩn đoán tích hợp trong ECU phối hợp và/hoặc khả năng phục hồi và tự kiểm tra trong chính bộ tải khởi động.
