[发明专利]控制器程序管理方法和装置

说明书

本发明实施例提供控制器程序管理方法和装置。上述方法包括：在基于硬件供应商提供的下线检测EOL程序执行下线检测后，通过硬件供应商提供的第一BootLoader程序将EOL程序擦除，其中，第一BootLoader程序和EOL程序于裸板阶段被烧写至控制器非易失性内存中；通过第一BootLoader程序将产品供应商提供的第二BootLoader程序及application文件刷写进非易失性内存中；通过第一BootLoader程序将预设的擦除代码存储至预设内存，通过擦除代码对第一BootLoader程序执行擦除操作，以保证控制器中无硬件供应商程序残余。

技术领域

本发明涉及汽车电子技术领域，特别涉及控制器程序管理方法和装置。

背景技术

现有的汽车控制器在生产过程中，通常在控制器的PCBA阶段(指完成控制器电路板上的元器件安装焊接但还没有完成壳体安装及灌胶时的状态)将EOL程序、BootLoader程序和产品应用程序(application，也是最终样件出厂需要运行的、实现控制器产品具体功能的程序)软件一同注入(烧写)至控制器的主控单片机(MCU)中，之后完成壳体安装和灌胶。

当前行业中有些控制器的软硬件开发由不止一家厂商共同协作完成，通常EOL程序由控制器硬件供应商(Hardware supplier)一并开发，而控制器的BootLoader及产品应用程序一般由产品供应商(Product supplier)进行开发。

上述EOL程序用于在控制器组装完成下流水线时，进行下线检测，确保控制器硬件功能没有异常；BootLoader的主要功能是支持对产品应用程序进行更新(也即刷写程序)。

需要说明的是，在完成壳体安装和灌胶后，将无法再向MCU中烧写程序，但可通过硬件供应商(Hardware supplier)提供的BootLoader刷新程序。

对于EOL程序、BootLoader程序的处理，一般有两种方案来实现。

第一种方案如图1所示，在控制器裸板阶段将硬件供应商提供的EOL程序，产品供应商开发的BootLoader程序烧写到控制器的flash中，进行完EOL测试后，通过上位机与硬件供应商提供的EOL程序建立通信，先将硬件供应商的EOL程序擦除，再向flash中刷入产品应用程序。

这种方案的优势在于：出厂后，控制器内部不会残留EOL程序，从而不会存在留有后门的风险。

但是在执行EOL程序擦除以及刷入产品应用程序之前，需要通过BootLoader的安全访问鉴权，才可调用BootLoader，这就要求产品供应商需向硬件供应商提供用于解锁安全访问的算法，而这对于产品供应商来说，通常是难以释放的。

第二种方案如下：

请参见图2，硬件供应商提供EOL程序，产品供应商开发BootLoader程序及application，将这三部分程序合成为一个二进制文件，一同烧写到控制器的flash中，在控制器生产完后直接调用EOL程序进行下线检测。

这种方案的优势在于：

所有的程序在控制器裸板阶段直接烧写到控制器中，不需要后续使用产品供应商开发的BootLoader去刷写程序，因此，产品供应商不需要向硬件供应商提供用于解锁安全访问的算法。

然而，使用上述方案在控制器下线后还会残存硬件供应商的EOL程序代码，无法规避代码中留有程序后门的风险。

综上，上述两方案存在控制器残留EOL代码，或者需要释放安全访问算法两个相互矛盾的问题，当前现有方案难以做到二者兼顾。

发明内容

有鉴于此，本发明实施例提供控制器程序管理方法和装置，以实现在清除程残留EOL代码并不需要产品供应商释放安全访问算法。