Rozważmy przykład elektronicznej jednostki sterującej (ECU) wykorzystującej tradycyjne statyczne oprogramowanie wbudowane. Bootloader to składnik oprogramowania używany zarówno do inicjowania uruchamiania głównego oprogramowania ECU, w tym kopiowania oprogramowania do pamięci RAM, jak i do przeprowadzania wszelkich kontroli oprogramowania przed uruchomieniem. Bootloader jest również odpowiedzialny za aktualizację oprogramowania, odbieranie, sprawdzanie i zapisywanie zaktualizowanego oprogramowania w pamięci, zwykle pamięci Flash. W związku z tym powszechnie używany jest również termin Flash Bootloader.
Czy te same bootloadery są używane w programowaniu i produkcji?
Zwykle ten sam bootloader może być używany w rozwoju pojazdów i związanych z nimi ECU oraz w normalnej produkcji, z zabezpieczeniami zapewniającymi, że ECU produkcyjne mają wiele możliwości rozwoju lub inżynierskie bootloadery dezaktywowane. Podczas tworzenia pojazdów często pożądane jest usunięcie mechanizmów bezpieczeństwa produkcyjnych bootloaderów, aby umożliwić szybkie wdrożenie oprogramowania deweloperskiego.
Bezpieczny bootloader
Coraz częściej wszystkie bootloadery muszą być bezpieczne. Jednak tradycyjnie było to rozróżnienie, zwykle wdrażane w celu ochrony funkcjonalności związanej z bezpieczeństwem, ochroną, a czasem wydajnością.
Bootloadery zwykle sprawdzają pamięć oprogramowania ECU podczas uruchamiania i odebranego oprogramowania przed aktualizacją oprogramowania oraz w pamięci po.
Mechanizmy zwykle obejmują:
- Uwierzytelnianie oprogramowania otrzymanego i/lub obecnego w pamięci podczas rozruchu, często przy użyciu skrótu pliku binarnego oprogramowania w celu sprawdzenia poprawności wygenerowanej w bezpiecznym procesie kompilacji oficjalnie wydanych wersji oprogramowania.
- Uwierzytelnianie nadawcy za pomocą ziarna i klucza, ochrona bezpiecznych danych w ECU za pomocą zabezpieczonej pamięci i map pamięci w celu zdefiniowania obszarów dostępnych/wielokrotnego zapisu.
Podwójny bootloader
Niektóre implementacje bootloaderów składają się z dwóch części, stąd określenie dual bootloader. W takim przypadku podstawowy bootloader nie może być aktualizowany w ramach zabezpieczania bootloadera. Dotyczy to uruchamiania modułu i aktualizacji dodatkowego bootloadera. Dodatkowy bootloader może być aktualizowany za pomocą bezpiecznego procesu, umożliwiając modyfikacje procesu aktualizacji oprogramowania, na przykład mapowanie pamięci, co pozwala na ich normalne zablokowanie. Ten typ bootloadera jest obecnie mniej powszechny ze względu na nowe metody zabezpieczania procesu aktualizacji za pomocą wbudowanego bezpiecznego sprzętu, na przykład HSM (Hardware Secure Module).
Należy pamiętać, że termin ten jest podobny do podwójnego rozruchu, w którym dostępne są dwa bloki rozruchowe lub pełne pamięci, co pozwala na aktualizację nieużywanej wersji, gdy jedna wersja jest aktywna. Wymaga to dodatkowej pamięci w każdym ECU obsługującym tę metodę aktualizacji.
Capital Wbudowany bootloader
Capital Embedded Bootloader obsługuje niezawodne aktualizacje ECU podczas rozwoju, produkcji pojazdu i w okresie eksploatacji pojazdu za pośrednictwem podłączonych narzędzi diagnostycznych lub metodologii over-the-air. Znormalizowany protokół UDS ISO 14229 jest używany w wielu popularnych magistralach sieciowych pojazdów, Ethernet, CAN/CAN-FD, LIN, FlexRay, a także możliwe jest użycie innych metod, takich jak protokoły kalibracji ASAM. Cyberbezpieczeństwo jest kluczowym aspektem przepływu aktualizacji oprogramowania, a funkcje umożliwiające uwierzytelnianie oprogramowania i opcje bezpiecznego rozruchu są częścią rozwiązania. Aby spełnić specyficzne wymagania producentów OEM (oryginalnego sprzętu) i MCU, dostępna jest szeroka obsługa szerokiej gamy projektów ECU.
Jaka jest różnica między OTA a FOTA?
Aktualizacja OTA (over the air) lub FOTA (firmware over the air) to metoda uzyskiwania odbioru nowego oprogramowania dla urządzenia wbudowanego, na przykład ECU samochodowego, w sposób zdalny, a nie za pomocą bezpośrednio podłączonego narzędzia serwisowego w warsztacie. Może to wymagać pewnych możliwości wbudowanego testera diagnostycznego w koordynującym ECU i/lub możliwości odzyskiwania i autotestowania w samym bootloaderze.
