文章总结： 文档详述了汽车ECUBootLoader的架构与升级机制。内容涵盖BootLoader定义、UDS协议应用及PBL与SBL的功能划分。重点分析了OBD与OTA两种升级方式，解析了OTA的A/B双bank策略及UDS诊断流程的预编程、编程、后编程阶段。文章明确了车速与电压等安全检查要求，为从业者提供了ECU刷写的理论指导与实操规范，确保升级过程的稳定与安全。 综合评分： 75 文章分类： 车联网安全,安全开发,技术标准

---

汽车ECU BootLoader升级

谈思实验室

2026年3月2日 18:20 上海

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

01

什么是 BootLoader

MCU正常运行时总是从固定地方取指令，顺序运行，程序更新时需要使用烧录器等工具烧录，于是有人将程序设计成，由一个程序跳转到另一个程序，这个程序通常称作Bootloader，另一个叫做APP。

Bootloader是一段独立的程序。它包含启动代码、中断、主程序（Boot_main函数）、操作系统（非必须）。Bootloader存在的意义就是指更新App程序。

02

Bootloader刷写使用的协议

UDS（Unified Diagnostic Services，统一诊断服务）诊断协议是用于汽车行业诊断通信的需求规范，由ISO 14229系列标准定义。

03

Bootloader 的划分

一个ECU包含了三部分 Boot Manager、Application Software以及Boot Software，其中Boot Software由Boot Manager和Reprogramming Software组成，在汽车嵌入式中，我们常说的bootloader就是Boot Software。

• Boot manager：引导程序启动
• Reprogramming Software: 更新软件程序，主要更新App程序

程序运行到Boot Manager以后，通过一些条件判断，决定进入Application Software还是Reprogramming Software。

如果进入Application Software，则意味着功能运行；如果进入Reprogramming Software，则意味着需要更新Application Software。

04

FBL、PBL、SBL

Boot Loader在嵌入式系统里，一般分为两部分：PBL（Primary Bootloader，第一引导加载程序）和SBL（Second Bootloader，第二引导加载程序）。

FBL 和 PBL 实际是一个。

ECU的内存至少需要划分三个部分：FBL、SBL、App。

1、SBL

SBL的本质就是Reprogramming Software，和我们经常提到的”Bootloader”作用一样，为更新Application而生。

2、PBL

因为整车销售到终端用户以后，只能通过OBD接口或者OTA方式升级Application，而这两种方式，均需要依赖Bootloader程序，如果Bootloader程序不可用，对应的ECU就不能正常使用。

所以，针对Bootloader更新失败这种工况，需要一个程序专门刷写Reprogramming Software，这个程序仅出厂烧录一次，以后永远不更新。这个程序就是 PBL。

这样，即使刷写Reprogramming Software失败，还可以重新刷写Reprogramming Software，之后，Reprogramming Software再更新Application程序。这样，就不会出现ECU不可用的情况。

PBL依然保留刷写程序的功能，但是，限定PBL仅刷写或者激活SBL，激活SBL以后，由SBL负责更新Application Software。

05

ECU 升级/刷写

ECU 升级的内容一般分为 boot 和 APP 。

同时，ECU的升级方式又有2种：

• 通过 OBD 接口升级
• 通过 OTA 云升级

1、OBD接口升级

OBD接口升级，即使用诊断仪，通过OBD 接口与 ECU 连接进行升级。

Boot 刷新所用到的两个文件是FlashDriver驱动程序 和boot软件，在这里我们可以将SBL理解为FlashDriver驱动程序，PBL理解为Boot软件。

Boot 刷写一般都是刷写 SBL，SBL存在的意义就是更新APP程序。

当MCU收到1002请求，ECU复位后会进入PBL模式中判断是否跳转到 SBL；如果需要进行APP 更新，程序就会跳转到SBL进行APP更新。

APP 刷新是通过 SBL，SBL先擦除 APP flash数据，再将新的 APP 刷写到 flash。

2、OTA 云升级

OTA是Over-the-Air的简称，既空中下载的意思，具体指远程无线方式。

对于汽车的OTA升级，主要分FOTA和SOTA两种。

• SOTA只针对软件升级，例如显示屏上某个APP软件的升级；是对车系系统的VI展现、操作方式方面的优化,对于车辆驾驶体验来说不会有任何提升。
• FOTA是对ECU、悬架控制单元等等车辆核心驾控部件的升级，带来的更多是驾驶体验的整体提升。例如更新 BMS的 APP 数据。

OTA 升级只能用来升级 APP 数据，通常使用 A/B 双bank 分区策略。

所谓A/B 双bank 分区升级，是指在设备上开辟两个存储空间（A/B存储空间），每个存储空间上均安装有一个系统，其中一个系统处于激活使用状态，另外一个系统处于备用待命状态。在进行系统升级时候，可在激活的系统中对备用系统进行升级，升级完成重启后切换成新升级的系统。

06

Bootloader中诊断升级流程

UDS服务设计复杂，Bootloader升级一般分为以下三步：

• 1）预编程
• 2）编程
• 3）后编程

1、预编程

在进入刷新之前，UDS的85服务和28服务，关闭DTC诊断同时停发非诊断报文。使整个CAN 网络处于静默（Silent）状态。这是对整车网络进行操作的，一般都是以功能寻址（Functional addressing）的方式来发送。

注意：先用85服务关闭DTC，再使用28服务关报文。

• 关闭DTC诊断是防止升级过程误报DTC（例如通信丢失DTC等）
• 关闭CAN通信是为了降低总线负载，加快刷写速度。

此阶段的主要做一些Application Software升级前的检查，确保正式升级Application软件之前，车辆工况的安全性。

这里举几个常见的检查条件：车速、诊断电压、KL15信号有效性等。

• 车速：约束车速＜2Km/h，也就是说不允许车辆行驶过程中进行软件升级。
• 诊断电压：诊断电压会约束在一定的范围，比如：10V~16V，避免升级过程中，因电压过低或者过高导致刷写失败。
• KL15信号有效性：为了确保收到的信号质量，一般会检查这个信号的有效性（Valid or Invalid），有效的信号才能确保升级过程中的稳定性。

以上这些都是安全检查，目的就是一个保证安全。

2、编程

3、后编程

刷写完成之后，ECU进行重启，重新进入扩展会话，打开之前关闭的配置。

注意：先使用28服务开启报文，再用85服务打开DTC记录。

ECU重启 常用的做法就是执行ECU Reset，也可以让诊断刷写的S3时间超时，程序重新复位。

谈思-汽车出海安全合规（欧洲）

交流群

谈思 AutoSec Europe 峰会旨在搭建一个能融汇全球视野与中国实践、连接技术前沿与落地应用的国际性专业平台，以助力中国汽车应对在出海过程中面临的网络与数据安全合规痛点。从前沿技术研讨、合规要点解析到经验交流，都将通过本平台为您提供持续支持。社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

谈思-SDV&AIDV技术出海

交流群

诚邀行业同仁加入谈思SDV&AIDV出海技术交流群，聚焦软件定义汽车、AI定义汽车、下一代EEA、智能座舱、智能驾驶、软件架构、域控制器开发、芯片技术、软件工具等核心议题，欢迎大家加群交流探讨~~社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

end

谈思汽车媒体门户

精品活动推荐

AutoSec系列沙龙

专业社群

部分入群专家来自：

新势力车企：

特斯拉、理想、极氪、小米、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯……

外资传统主流车企代表:

大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚……

内资传统主流车企：

吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用……

全球领先一级供应商：

博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、潍柴集团、地平线、紫光同芯、字节跳动、……

二级供应商(500+以上)：

中科数测、ETAS、BlackDuck、NXP、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、加特兰微电子、浙江大学……

人员占比

公司类型占比

文章

不要错过哦，这可能是汽车网络安全产业最大的专属社区！

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：谈思实验室 《汽车ECU BootLoader升级》