rh850 can uds刷写 boot +OTA 1. 基于can 通讯 的bootloader

rh850 can uds刷写 boot +OTA 1. 基于can 通讯 的bootloader，芯片用的是rh850u2a16 2. 配套capl上位机 3. uds服务刷写 4. flash driver 可选择在ram中运行 5. 支持single map/ double map ota/single map GCFU ota三种模式下的刷写，支持单/双map 两种模式下的Bank切换，方便拓展icum安全固件 6. boot 与app 互访对方数据，使用标准nvm存储栈 7. app有效标记检查，app程序跳转, app刷写请求检测 8. autosar 标准架构，提供mcal， bsw 通讯栈，存储栈等配置工程 9. 附加串口控制台程序，提供log 打印，调试触发等功能 10. 量产级代码，而非Demo 11. ghs编译

RH850刷写器开发踩坑三年，最想吐槽的就是各家OEM五花八门的OTA需求。这次基于U2A16搞的Bootloader总算把单双map、GCFU这些模式全打通了，直接上干货聊聊实现细节。

先看CAN通讯层，CAPL脚本里最关键的是这个事件处理：

on diagRequest ECU_Program.SessionControl { if(this.Service == 0x10) //会话控制 { byteArray buf = {0x50,0x03,0x00,0x32,0x01,0xF4}; diagSendResponse(ECU_Program, buf); } }

这里硬核处理了0x10会话控制服务，响应里藏着安全种子和定时参数。实际项目遇到过某德系车厂要求500ms内完成种子交换，直接把定时参数从0xF4改成0x64才过关。

Flash驱动跑在RAM里这事，得这么玩内存搬运：

#pragma section ".flsdrv" const uint8_t flash_driver_code[] = {0x12,0x34,0x56,0x78,...}; //驱动二进制 #pragma section void copy_to_ram() { volatile uint32_t *ram_addr = 0xFEDC0000; memcpy(ram_addr, flash_driver_code, sizeof(flash_driver_code)); ((void(*)(void))ram_addr)(); //函数指针跳转 }

注意RH850的内存保护机制，得在工程里配置好MPC模块的寄存器，否则一跑就进TRAP。上次调试时忘了开MPU写权限，愣是卡了三天才发现。

双map切换最刺激的部分在bank切换逻辑：

void switch_bank() { NvM_WriteBlock(NVM_BANK_CONFIG, &target_bank); while(NvM_GetErrorStatus() != NVM_REQ_OK); //等写入完成 __asm("syncm"); //内存同步指令 reset_mcu(); //必须冷重启 }

这里有个坑——某些厂商的NVM驱动没做好原子操作，切换时突然断电会导致bank配置错乱。我们的方案是写双份配置镜像+CRC校验，量产装车至今零投诉。

Boot和App数据互传的核心是共享内存区：

#pragma address _SHARED_DATA_ = 0x007F8000 //固定地址 struct { uint32_t app_signature; uint8_t vin[17]; uint32_t crc32; } shared_data;

Autosar配置里得把NvM Block的RAM Mirror地址指向这个区域，两边工程里都要声明同样的结构体。实测发现GHS编译器有结构体对齐问题，必须加#pragma pack(1)才能保证兼容。

最后看编译配置的骚操作：

OPTIMIZE -Os -ipa --cross_call MEMORY_PROTECTION --mpu=rh850u2a.ptn

GHS的--cross_call选项能优化跨模块调用，配合MPU配置实现运行时保护。曾经有个bug是app里误擦boot区，加上MPU后直接硬件拦截，省了80%的调试时间。

这套方案现在支持半小时内刷完2MB程序文件，OTA失败率控制在万分之三以内。量产代码最关键是异常处理要全——比如刷写中途拔线、电压突变这些场景，我们甚至模拟了CAN线被剪断的极端情况测试恢复流程。下次有空再聊聊怎么用CAPL实现自动化冒烟测试...