WO2024108456A1

WO2024108456A1 - 一种控制器升级方法以及装置

Info

Publication number: WO2024108456A1
Application number: PCT/CN2022/133870
Authority: WO
Inventors: 何朗; 吴自贤; 吴环宇; 徐彩丽
Original assignee: 华为技术有限公司
Priority date: 2022-11-24
Filing date: 2022-11-24
Publication date: 2024-05-30

Abstract

一种控制器升级方法以及装置，该方法包括：控制器通过升级文件中的引导装载BL程序升级包先对控制器中作为备份存储区域的第一存储区域进行BL程序升级，升级成功后将第一存储区域设置为运行存储区域，将第二存储区域设置为备份区域，在升级一个存储区域的BL程序时，可以使用另一个存储区域的BL程序提供服务，避免BL程序升级过程断电导致控制器变砖，提高远程升级的成功率。

Description

一种控制器升级方法以及装置

技术领域

本申请涉及汽车诊断信息技术领域，尤其涉及一种控制器升级方法以及装置。

背景技术

随着整车电子电气架构的演进，新能源汽车上会有许多重要的电子控制单元。而绝大部分电子控制单元在启动时需要通过引导装载(BootLoader，BL)程序进行启动。BL程序是系统的引导加载程序，是系统上电或复位后运行的第一段代码，主要功能包括初始化，应用程序的安全校验和加载。对于非双备份控制器，BL程序还具备统一诊断服务(unified diagnosis service，UDS)刷写功能，在BL程序模式下更新应用程序(application program，APP)。当控制器量产后，加载在控制器中的程序可能存在错误，需要进行软件优化或漏洞(bug)修复。

当前双备份控制器会对APP进行备份，可以在APP模式下运行APP的同时升级APP。虽然从机制上APP模式下也可以升级BL程序，但是BL程序承担着基本的启动初始化和加载APP的功能，当升级BL程序时容易受断电影响导致变砖，无法可靠地远程升级。

发明内容

本申请提供了一种控制器升级方法以及装置，用于提高远程升级的成功率。

本申请第一方面提供了一种控制器升级方法，该控制器包括第一存储区域和第二存储区域，第一存储区域和第二存储区域中分别保存有引导装载(BootLoader，BL)程序，该方法包括：获取升级文件，升级文件包括BL程序升级包；根据BL程序升级包对第一存储区域的BL程序进行升级，第一存储区域为备份存储区域，第二存储区域为运行存储区域；当第一存储区域的BL程序升级成功时，将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域。

上述方面中，通过升级文件中的BL程序升级包先对控制器中作为备份存储区域的第一存储区域进行BL程序升级，升级成功后将第一存储区域设置为运行存储区域，将第二存储区域设置为备份区域，在升级一个存储区域的BL程序时，可以使用另一个存储区域的BL程序提供服务，避免BL程序升级过程断电导致控制器变砖，提高远程升级的成功率。

一种可能的实施方式中，在将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域之后，该方法还包括：根据BL程序升级包对第二存储区域的BL程序进行升级。

上述可能的实施方式中，在将第一存储区域切换为运行存储区域后，还可以继续将当前作为备份区域的第二存储区域的BL程序进行升级，在第一存储区域故障时，可以切换到有最新的BL程序的第二存储区域运行，提高用户体验。

一种可能的实施方式中，上述步骤根据BL程序升级包对第一存储区域的BL程序进行升级之前，该方法还包括：接收来自上位机的版本号获取请求；根据版本号获取请求向上位机发送第一存储区域的应用程序APP的底软版本号；当底软版本号属于黑名单时，接收来自上位机的指令，黑名单包括BL程序无法升级对应的版本号，指令指示第一存储区域的APP在第一存储区域的BL程序之前升级。

上述可能的实施方式中，由于存储区域的BL程序升级有时候受该存储区域的APP的版本影响，即存在BL程序无法升级对应的APP的版本号的黑名单，上位机可以通过版本号获取请求，来读取控制器中存储区域的APP的底软版本号，控制器可以向上位机反馈第一存储区域或第二存储区域的APP的底软版本号。如果上位机匹配到该底软版本号属于该黑名单，则表明存储区域的BL程序无法在当前底软版本号的APP下升级，因此需要通过指令指示控制器先升级存储区域的APP，再升级存储区域的BL程序，可以提高BL程序的升级成功率。

一种可能的实施方式中，升级文件还包括APP升级包和/或标定Cal文件升级包，上述步骤将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域之前，该方法还包括：根据APP升级包升级第一存储区域的APP；和/或，根据Cal文件升级第一存储区域的Cal文件。

上述可能的实施方式中，在升级文件中还可以包括APP升级包和/或Cal文件升级包,即该升级文件中可以包括APP升级包，或者包括Cal文件升级包，还可以同时包括APP升级包和Cal文件升级包，此处不作限定。则在将第一存储区域由备份存储区域切换成运行存储区域之前，控制器还需要将第一存储区域的APP和/或第一存储区域的Cal文件进行升级，即将APP升级包覆盖第一存储区域的APP的存储地址，将Cal文件升级包覆盖第一存储区域的Cal文件的存储地址，提高程序版本匹配度。

一种可能的实施方式中，升级文件包括升级地址，上述步骤根据BL程序升级包对第一存储区域的BL程序进行升级包括：根据升级地址确定第一擦除地址，第一擦除地址为对第一存储区域的BL进行擦除的地址；校验第一擦除地址是否在第一存储区域的BL程序所在的地址空间；当校验通过时，将第一擦除地址上的内容擦除；将BL程序升级包的数据存储在第一擦除地址。

上述可能的实施方式中，对于控制器根据升级文件中的BL程序升级包对第一存储区域的BL程序进行升级的过程中，控制器可以从升级文件中解析出升级地址，其中，该升级地址可以包括该BL程序升级包对应的擦除地址，由于控制器的存储区域分为第一存储区域和第二存储区域，当需要对第一存储区域的BL程序进行升级时，可以根据该擦除地址确定第一存储区域中对BL程序的第一擦除地址。此时，控制器可以对该第一擦除地址进行校验，校验该第一擦除地址是否在该第一存储区域中为BL程序分配的地址空间内，如果不在该地址空间内，则表示该第一擦除地址有误，可以向上位机反馈否定响应。如果第一擦除地址在该地址空间内，则表示该第一擦除地址有效，可以直接将该第一擦除地址上的数据擦除，然后再将该BL程序升级包的数据存储在擦除后的第一擦除地址上，以完成第一存储区域的BL程序的升级。通过分配的地址空间校验擦写地址，保障BL程序的升级效果，提高BL程序的升级成功率。

一种可能的实施方式中，上述步骤根据BL程序升级包对第二存储区域的BL程序进行升级包括：根据升级地址确定第二擦除地址，第二擦除地址为对第二存储区域的BL程序进行擦除的地址；校验第二擦除地址是否在第二存储区域的BL程序所在的地址空间；当校验通过时，将第二擦除地址上的内容擦除；将BL程序升级软件包的数据存储在第二擦除地址。

上述可能的实施方式中，控制器也可以同样根据升级文件中的升级地址确定对第二存储区域的BL程序进行擦除的第二擦除地址，该升级地址可以包括该BL程序升级包对应的擦除地址，由于控制器的存储区域分为第一存储区域和第二存储区域，当需要对第二存储区域的BL程序进行升级时，可以根据该擦除地址确定第二存储区域中对BL程序的第二擦除地址。此时，控制器可以对该第二擦除地址进行校验，校验该第二擦除地址是否在该第二存储区域中为BL程序分配的地址空间内，如果不在该地址空间内，则表示该第二擦除地址有误，可以向上位机反馈否定响应。如果第二擦除地址在该地址空间内，则表示该第二擦除地址有效，可以直接将该第二擦除地址上的数据擦除，然后再将该BL程序升级包的数据存储在擦除后的第二擦除地址上，以完成第二存储区域的BL程序的升级。通过分配的地址空间校验擦写地址，保障BL程序的升级效果，提高BL程序的升级成功率。

一种可能的实施方式中，上述步骤将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域之前，该方法还包括：校验第一存储区域的BL程序的哈希值和第二存储区域的BL程序的哈希值是否相同；当相同时，则触发将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤；当不同时，校验第一存储区域的BL程序的完整性；当校验成功时，交换第一存储区域和第二存储区域的安全启动设置值，并触发将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤。

上述可能的实施方式中，控制器还需要检测第一存储区域的BL程序是否完成升级，可以检测第一存储区域的BL程序和第二存储区域的BL程序的是否相同，如通过校验第一存储区域的BL程序的哈希值和第二存储区域的BL程序的哈希值是否相同，即比较第一存储区域的BL程序的二进制与第二存储区域的BL程序的二进制是否相同。当第一存储区域的BL程序的二进制与第二存储区域的BL程序的哈希值相同时，可以触发控制器将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤。当第一存储区域的BL程序的二进制与第二存储区域的BL程序的哈希值不同时，则表示第一存储区域的BL程序已经过升级，不过不清楚升级是否成功，则控制器还可以校验该第一存储区域的BL程序的完整性。当校验失败，即完整性不足时，则可以重刷第一存储区域的BL程序，或者向上位机反馈否定响应，当校验成功时，则表示第一存储区域的BL程序已升级成功，可以交换第一存储区域和第二存储区域的安全启动设置值，其中，该安全启动设置值为控制器复位时选择启动存储区域的校验依据，即第一存储区域的安全启动设置值切换到优先选择的值，复位后控制器可以将第一存储区域作为运行存储区域，以完成将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤。通过哈希值校验以及完整性校验，提高切换到允许存储区域的第一存储区域的升级成功准确度。

一种可能的实施方式中，上述步骤根据BL程序升级包对第二存储区域的BL程序进行升级之后，该方法还包括：校验第一存储区域的BL程序的哈希值和第二存储区域的BL程序的哈希值是否相同；当不同时，触发根据BL程序升级包对第二存储区域的BL程序进行升级的步骤。

上述可能的实施方式中，当对第二存储区域中的BL程序进行升级后，还可以校验第一存储区域的BL程序哈希值和第二存储区域的BL程序的哈希值是否相同，即判断第二存储区域的BL程序是否升级成功，当校验失败，即第一存储区域的BL程序哈希值和第二存储区域的BL程序的哈希值不同时，则表示该第二存储区域的BL程序升级失败，需要重新升级，则可以再次执行根据BL程序升级包对第二存储区域的BL程序进行升级的步骤。通过校验两个存储区域的BL程序的哈希值，在哈希值不同的情况下重新升级，提高升级成功率。

一种可能的实施方式中，上述步骤根据BL程序升级包对第二存储区域的BL程序进行升级之后，该方法还包括：执行后编程阶段，后编程阶段用于恢复本地的通信状态。

上述可能的实施方式中，当升级完第二存储区域中的BL程序后，控制器和上位机还可以执行后编程阶段，控制器通过复位使得控制器的软件生效，响应上位机的服务指令，完成必要的重置工作，重新开启控制器和上位机的通信，并开启控制诊断故障代码(diagnostic trouble code，DTC)、清DTC，以及诊断会话跳转，以恢复控制器的通信状态，使得控制器可以正常使用，及时恢复通行状态，提高用户体验。

本申请第二方面提供了一种控制器升级方法，控制器包括第一存储区域和第二存储区域，第一存储区域和第二存储区域中分别保存有引导装载BL程序，该方法包括：向控制器发送版本号获取请求，版本号获取请求用于读取第一存储区域的应用程序APP的底软版本号；接收来自控制器的底软版本号；当底软版本号属于黑名单时，向控制器发送指令，黑名单包括BL程序无法升级对应的版本号，指令指示第一存储区域的APP在第一存储区域的BL程序之前升级。

上述方面中，由于存储区域的BL程序升级有时候受该存储区域的APP的版本影响，即存在BL程序无法升级对应的APP的版本号的黑名单，上位机可以通过版本号获取请求，来读取控制器中存储区域的APP的底软版本号，控制器可以向上位机反馈第一存储区域或第二存储区域的APP的底软版本号。如果上位机匹配到该底软版本号属于该黑名单，则表明存储区域的BL程序无法在当前底软版本号的APP下升级，因此需要通过指令指示控制器先升级存储区域的APP，再升级存储区域的BL程序，可以提高BL程序的升级成功率。

一种可能的实施方式中，该方法还包括：执行后编程阶段，后编程阶段用于恢复本地的通信状态。

本申请第三方面提供了一种控制器升级装置，可以实现上述第一方面或第一方面中任一种可能的实施方式中的方法。该装置包括用于执行上述方法的相应的单元或模块。该装置包括的单元或模块可以通过软件和/或硬件方式实现。该装置例如可以为网络设备，也可以为支持网络设备实现上述方法的芯片、芯片系统、或处理器等，还可以为能实现全部或部分网络设备功能的逻辑模块或软件。

本申请实施例第四方面提供了一种控制器升级装置，可以实现上述第二方面或第二方面中任一种可能的实施方式中的方法。该装置包括用于执行上述方法的相应的单元或模块。该装置包括的单元或模块可以通过软件和/或硬件方式实现。该装置例如可以为网络设备，也可以为支持网络设备实现上述方法的芯片、芯片系统、或处理器等，还可以为能实现全部或部分网络设备功能的逻辑模块或软件。

本申请第五方面提供了一种计算机设备，包括：处理器，该处理器与存储器耦合，该存储器用于存储指令，当指令被处理器执行时，使得该计算机设备实现上述第一方面或第一方面中任一种可能的实施方式中的方法。该计算机设备例如可以为网络设备，也可以为支持网络设备实现上述方法的芯片或芯片系统等。

本申请第六方面提供了一种计算机设备，包括：处理器，该处理器与存储器耦合，该存储器用于存储指令，当指令被处理器执行时，使得该计算机设备实现上述第二方面或第二方面中任一种可能的实施方式中的方法。该计算机设备例如可以为网络设备，也可以为支持网络设备实现上述方法的芯片或芯片系统等。

本申请第七方面提供了一种计算机可读存储介质，该计算机可读存储介质中保存有指令，当该指令被处理器执行时，实现前述第一方面或第一方面任一种可能的实施方式、前述第二方法或第二方法任一种可能的实施方式提供的方法。

本申请第八方面提供了一种计算机程序产品，计算机程序产品中包括计算机程序代码，当该计算机程序代码在计算机上执行时，实现前述第一方面或第一方面任一种可能的实施方式、前述第二方法或第二方法任一种可能的实施方式提供的方法。

附图说明

图1为本申请实施例提供的一种通信传输的系统架构图；

图2为本申请实施例提供的一种控制器升级方法的流程示意图；

图3为本申请实施例提供的一种预编程步骤的流程示意图；

图4为本申请实施例提供的一种重编程步骤的流程示意图；

图5为本申请实施例提供的一种切区操作步骤的流程示意图；

图6为本申请实施例提供的一种安全启动设置值的交换示意图；

图7为本申请实施例提供的一种控制器升级BL程序的总流程示意图；

图8为本申请实施例提供的一种控制器升级装置的结构示意图；

图9为本申请实施例提供的另一种控制器升级装置的结构示意图；

图10为本申请实施例提供的一种计算机设备的结构示意图；

图11为本申请实施例提供的另一种计算机设备的结构示意图。

具体实施方式

本申请实施例提供了一种节点升级方法以及装置，用于降低上位机和从属节点的工作量，节约了研发和生产成本。

下面结合附图，对本申请的实施例进行描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。本领域普通技术人员可知，随着技术的发展和新场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

下面先对本申请实施例可能涉及的相关术语和概念进行介绍。

(1)电子控制单元(electronic control unit，ECU)

ECU又称为行车电脑、车载电脑等，从用途上讲则是汽车专用微机控制器，也叫汽车专用单片机，它和普通的电脑一样，由微处理器(microcontroller Unit，MCU)、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、输入/输出接口(I/O)、模数转换器(A/D)以及整形、驱动等大规模集成电路组成。

在ECU中，中央处理器(central processing unit，CPU)是核心部分，它具有运算与控制的功能，例如，发动机在运行时，它采集各传感器的信号进行运算，并将运算的结果转变为控制信号，控制被控对象的工作；它还实行对存储器(如，ROM)、I/O和其它外部电路的控制。ECU一般都具备故障自诊断和保护功能，当系统产生故障时，它能在RAM中自动记录故障代码并采用保护措施从固有程序中读取替代程序来维持对应组件的(如，发动机)运转，同时这些故障信息会显示在仪表盘上并保持不灭，可以使车主及时发现问题并将车能开到修理店。正常情况下，RAM也会不停地记录汽车在行驶过程中的数据，并通过自适应程序对实时记录的数据进行学习，为适应车主的驾驶习惯提供最佳的控制状态。

传统的ECU相对来说结构比较简单，整车上面可能会有几十上百个ECU，例如，发动机上应用的ECU、防抱死制动系统上应用的ECU等，每个ECU的功能都是相对独立的，随着数字汽车尤其是自动驾驶技术的发展，汽车上的ECU逐渐变得复杂并有集中在一个超级ECU上的趋势，随之而来对ECU的诊断难度也越来越大。

(2)上位机

上位机是指可以直接发出操控命令的计算机设备，在本申请实施例中，能够对ECU基于UDS协议进行通信的计算机设备都可称为上位机(也可称为诊断仪、诊断机、诊断工具等)，例如，个人计算机(personal computer，PC)、手机、平板电脑等智能手持终端设备，以及智能手环、智能手表等智能可穿戴设备，甚至是单片机，只要该设备能够运行相应的诊断软件，且能与ECU基于UDS协议进行通信的设备都可作为本申请实施例中的上位机，具体此处不做限定。

(3)统一诊断服务(unified diagnosis service，UDS)

不同诊断通信协议的开发、调整、实施和维护会给车辆制造商、系统供应商和ECU供应商带来不必要的成本。为了解决此问题，将不同的技术协议和数据通信原理编译为一个国际标准化组织(international organization for standardization，ISO)制定的标准，通常称为UDS(也可称为ISO 14229-1)，UDS是一种汽车通用诊断协议，与数据链路无关，其中，UDS面向于开放式系统互联(open system interconnection，OSI)模型中的应用层，它可在不同的汽车总线(如，控制器局域网(controller area network，CAN)、局域互联网络(local interconnect network，LIN)、Flexray、以太网(ethernet)、杀线(K-line)等)上实现。目前，大部分汽车厂商均采用UDS on CAN的诊断协议，形象的说，就是使用一套仪器(一般称为上位机)，对当前汽车上ECU内部的信息/数据进行分析，而这套仪器与ECU交谈所使用的语言就是UDS(不是唯一方法)。

请参阅图1，如图1所示为本申请实施例提供的一种通信传输的系统架构图，该通信系统包括空中下载技术(over-the-airtechnology，OTA)服务器101和双备份控制器102，其中，双备份控制器102包括CAN/以太通信模块1021，闪存驱动(FlashDriver)模块1022，闪存(Flash)存储区1023，中央处理器(central processing unit，CPU)单元1024。

其中，OTA服务器通过移动通信的接口实现对软件进行远程管理，固件升级时，远端OTA服务器101通过中间转发节点103将升级指令通过CAN/以太通信模块1021传递给控制器进行升级。

Flash存储区1023包括A区和B区，其中，A区和B区分别存储有引导装载程序(BootLoader，BL)，应用程序(application program，APP)，标定(calibration，Cal)文件。

上面的OTA服务器为本申请的上位机。

随着整车电子电气架构的演进，新能源汽车上会有许多重要的电子控制单元。而绝大部分电子控制单元在启动时需要通过BL进行启动。BL是系统的引导加载程序，是系统上电或复位后运行的第一段代码，主要功能包括初始化，应用程序的安全校验和加载。对于非双备份控制器，BL还具备统一诊断服务(unified diagnosis service，UDS)刷写功能，在BL模式下更新应用程序(application program，APP)。当控制器量产后，加载在控制器中的程序可能存在错误，需要进行软件优化或漏洞(bug)修复。

当前双备份控制器会对APP进行备份，可以在APP模式下运行APP的同时升级APP。虽然从机制上APP模式下也可以升级BL，但是BL承担着基本的启动初始化和加载APP的功能，当升级BL时容易受断电影响导致变砖，无法可靠地远程升级。

为解决上述问题，本申请实施例提供了一种控制器升级方法，该方法如下所述。

请参阅图2，如图2所示为本申请实施例提供的一种控制器升级方法的流程示意图，该方法包括：

步骤201.控制器获取升级文件，升级文件包括BL程序升级包。

本实施例中，该升级文件为OTA服务器提供，当OTA服务器要升级控制器的BL程序时，可以向控制器发送携带BL程序升级包的升级文件，相应的，控制器可以接收来自OTA服务器的升级文件。

上位机在确定需要升级目标车辆的ECU程序时，可以先通过版本查询指令，向该目标车辆的控制器的信息，该信息包括APP的版本信息，再在选取该控制器的APP版本时选择与目标车辆其他ECU版本匹配的版本。上位机可以将该控制器的各个升级软件包打包到总的升级文件中，其中，该升级文件包括BL程序升级软件包，然后进入上位机升级流程，即上位机将该升级文件发送给控制器。

步骤202.控制器根据BL程序升级包对第一存储区域中的BL程序进行升级，第一存储区域为备份存储区域，第二存储区域为运行存储区域。

本实施例中，该控制器的存储区域可以多个存储区域，其中一个存储区域为运行存储区域，其他存储区域为备份存储区域，每个存储区域都保存有BL程序，本申请实施例以两个存储区域为例。控制器当前使用作为运行存储区域的第二存储区域的BL程序提供BL程序服务，为不停止BL程序服务，控制器可以先对作为备份存储区域的第一存储区域的BL程序进行升级，即将BL程序升级包对第一存储区域的BL程序的存储地址进行覆盖。

在一个示例中，控制器在根据BL程序升级包对第一存储区域中的BL程序进行升级之前，在预编程步骤，还需要接收来自上位机的版本号获取请求，根据版本号获取请求向上位机发送第一存储区域的应用程序APP的底软版本号，当底软版本号属于黑名单时，接收来自上位机的指令，黑名单包括BL程序无法升级对应的版本号，指令指示第一存储区域的APP在第一存储区域的BL程序之前升级。

具体的，由于存储区域的BL程序升级有时候受该存储区域的APP的版本影响，即存在BL程序无法升级对应的APP的版本号的黑名单，上位机可以通过版本号获取请求，来读取控制器中存储区域的APP的底软版本号，控制器可以向上位机反馈第一存储区域或第二存储区域的APP的底软版本号。如果上位机匹配到该底软版本号属于该黑名单，则表明存储区域的BL程序无法在当前底软版本号的APP下升级，因此需要通过指令指示控制器先升级存储区域的APP，再升级存储区域的BL程序。

具体的，该预编程步骤的流程如图3所示，步骤301.进入扩展会话($10$03)；步骤302.预编程条件检查($31)；步骤303.关控制诊断故障代码(diagnostic trouble code，DTC)($85$02)；步骤304.关通信($28)，步骤305.读底软版本号($22$F1FF)。其中，控制器关DTC和通信是为了避免通信出错以及DTC报错。

其中，在升级文件中还可以包括APP升级包和/或Cal文件升级包,即该升级文件中可以包括APP升级包，或者包括Cal文件升级包，还可以同时包括APP升级包和Cal文件升级包，此处不作限定。则在将第一存储区域由备份存储区域切换成运行存储区域之前，控制器还需要将第一存储区域的APP和/或第一存储区域的Cal文件进行升级，即将APP升级包覆盖第一存储区域的APP的存储地址，将Cal文件升级包覆盖第一存储区域的Cal文件的存储地址。

对于控制器根据升级文件中的BL程序升级包对第一存储区域的BL程序进行升级的过程中，控制器可以从升级文件中解析出升级地址，其中，该升级地址可以包括该BL程序升级包对应的擦除地址，由于控制器的存储区域分为第一存储区域和第二存储区域，当需要对第一存储区域的BL程序进行升级时，可以根据该擦除地址确定第一存储区域中对BL程序的第一擦除地址。此时，控制器可以对该第一擦除地址进行校验，校验该第一擦除地址是否在该第一存储区域中为BL程序分配的地址空间内，如果不在该地址空间内，则表示该第一擦除地址有误，可以向上位机反馈否定响应。如果第一擦除地址在该地址空间内，则表示该第一擦除地址有效，可以直接将该第一擦除地址上的数据擦除，然后再将该BL程序升级包的数据存储在擦除后的第一擦除地址上，以完成第一存储区域的BL程序的升级。

步骤203.当第一存储区域中的BL程序升级成功时，控制器将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域。

本实施例中，在升级完第一存储区域的BL程序后，可以将当前运行的存储区切换成升级了BL程序的第一存储区域，以提供更好的服务，此时第一存储区域为运行存储区域，第二存储区域为备份存储区域。

在执行步骤203之前，控制器还需要检测第一存储区域的BL程序是否完成升级，可以检测第一存储区域的BL程序和第二存储区域的BL程序的是否相同，如通过校验第一存储区域的BL程序的哈希值和第二存储区域的BL程序的哈希值是否相同，即比较第一存储区域的BL程序的二进制与第二存储区域的BL程序的二进制是否相同。当第一存储区域的BL程序的二进制与第二存储区域的BL程序的哈希值相同时，可以触发控制器将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤。当第一存储区域的BL程序的二进制与第二存储区域的BL程序的哈希值不同时，则表示第一存储区域的BL程序已经过升级，不过不清楚升级是否成功，则控制器还可以校验该第一存储区域的BL程序的完整性。当校验失败，即完整性不足时，则可以重刷第一存储区域的BL程序，或者向上位机反馈否定响应，当校验成功时，则表示第一存储区域的BL程序已升级成功，可以交换第一存储区域和第二存储区域的安全启动设置值，其中，该安全启动设置值为控制器复位时选择启动存储区域的校验依据，即第一存储区域的安全启动设置值切换到优先选择的值，复位后控制器可以将第一存储区域作为运行存储区域，以完成将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤。

即本申请实施例在重编程阶段修改了擦内存的执行方式，以及增加了切区操作，该重编程阶段的流程如图4所示，步骤401.进入编程会话($10$02)；步骤402.安全解锁($27)；步骤403.写指纹($2E$F184)；步骤404.下载闪存驱动程序(FlashDriver)；步骤405.擦除第一存储区域的内存($31$01$FF00)；步骤406.下载BL程序/APP/Cal文件；步骤407.判断是否下载完所有字节，是则执行步骤408，否则执行步骤405；步骤408.编程依赖性检查；步骤409.切区操作。

其中，步骤409的具体执行流程可以如图5所示，步骤501.计算第一存储区域的BL程序的哈希值和第二存储区域的BL程序的哈希值；步骤502.比较两个哈希值是不是不一致，是则执行步骤503，否则执行步骤511；步骤503.校验第一存储区域的BL程序的完整性；步骤504.判断校验是否通过，是则执行步骤505，否则执行步骤510；步骤505.交换第一存储区域和第二存储区域的安全启动设置值；步骤506.判断交换是否成功，是则执行步骤507，否则执行步骤510；步骤507.修改用户配置块(user configuration block，UCB)的配置，将第一存储区域设置为下一次启动运行区；步骤508.判断是否设置成功，是则执行步骤509，否则执行步骤510；步骤509.回复肯定响应；步骤510.回复否定响应；步骤511.重新对第一存储区域的BL程序进行升级。

对于该第一存储区域和第二存储区域的安全启动设置值的交换示意图可以参阅图6所示，原本第二存储区域的安全启动设置值为entry1，第一存储区域的安全启动设置值为entry12，交换后第二存储区域的安全启动设置值为entry12，第一存储区域的安全启动设置值为entry1。则后续每次控制器启动时会先对entry1进行启动校验，校验通过就使用第一存储区域进行启动。

其中，完整性校验的方式可以是，如果最近一次刷写的是BL程序文件，先校验BL程序版本号的格式是否正确(用来校验刷写的是BL程序文件而非APP或其他文件，BL程序版本号固定存放在BL程序代码段的起始位置)，如果校验不通过，则记录对区BL程序完整性标志位BootOK_Flag(uint8)＝0，并存储EEPROM，之后回复否定响应；如果BL程序版本号校验通过，说明刷写的是BL程序文件，再对BL程序进行完整性校验，验签通过，更新对区BL程序的加密信息识别码(cypher-based message authentication code，CMAC)值，存放在UCB的某个位置(如entry12)，之后回复肯定响应，否则记录对区Boot完整性标志位BootOK_Flag(uint8)＝0，并存储EEPROM，之后回复否定响应。

在将第一存储区域切换为运行存储区域后，还可以继续将当前作为备份区域的第二存储区域的BL程序进行升级，在第一存储区域故障时，可以切换到有最新的BL程序的第二存储区域运行，提高用户体验。

在一个示例中，控制器也可以同样根据升级文件中的升级地址确定对第二存储区域的BL程序进行擦除的第二擦除地址，该升级地址可以包括该BL程序升级包对应的擦除地址，由于控制器的存储区域分为第一存储区域和第二存储区域，当需要对第二存储区域的BL程序进行升级时，可以根据该擦除地址确定第二存储区域中对BL程序的第二擦除地址。此时，控制器可以对该第二擦除地址进行校验，校验该第二擦除地址是否在该第二存储区域中为BL程序分配的地址空间内，如果不在该地址空间内，则表示该第二擦除地址有误，可以向上位机反馈否定响应。如果第二擦除地址在该地址空间内，则表示该第二擦除地址有效，可以直接将该第二擦除地址上的数据擦除，然后再将该BL程序升级包的数据存储在擦除后的第二擦除地址上，以完成第二存储区域的BL程序的升级。

其中，控制器升级第二存储区域的BL程序的流程也可以参阅图4的流程，此处不再赘述。

当对第二存储区域中的BL程序进行升级后，还可以校验第一存储区域的BL程序哈希值和第二存储区域的BL程序的哈希值是否相同，即判断第二存储区域的BL程序是否升级成功，当校验失败，即第一存储区域的BL程序哈希值和第二存储区域的BL程序的哈希值不同时，则表示该第二存储区域的BL程序升级失败，需要重新升级，则可以再次执行根据BL程序升级包对第二存储区域的BL程序进行升级的步骤。

当升级完第二存储区域中的BL程序后，控制器和上位机还可以执行后编程阶段，控制器通过复位使得控制器的软件生效，响应上位机的服务指令，完成必要的重置工作，重新开启控制器和上位机的通信，并开启DTC、清DTC，以及诊断会话跳转，以恢复控制器的通信状态，使得控制器可以正常使用。

本申请实施例控制器升级BL程序的总流程示意图可以是参阅图7所示，步骤701.控制器获取升级文件；步骤702.控制器升级第一存储区域的BL程序、APP和Cal文件；步骤703.检测第一存储区域是否升级成功，是则执行步骤705，否则执行步骤704；步骤704：控制器停留在第二存储区域运行并重新升级第一存储区域的程序；步骤705.控制器将运行存储区域切换到第一存储区域；步骤706.控制器升级第二存储区域的BL程序；步骤707.检测第二存储区域的BL程序是否升级成功，是则执行步骤708，否则执行步骤706；步骤708.校验第一存储区域和第二存储区域的BL程序是否具有一致性，是则完成升级，否则执行步骤702。

本申请实施例通过升级文件中的BL程序升级包先对控制器中作为备份存储区域的第一存储区域进行BL程序升级，升级成功后将第一存储区域设置为运行存储区域，将第二存储区域设置为备份存储区域，在升级一个存储区域的BL程序时，可以使用另一个存储区域的BL程序提供服务，避免BL程序升级过程断电导致控制器变砖，提高远程升级的成功率。

上面讲述了控制器升级方法，下面对执行该方法的装置进行描述。

请参阅图8，如图8所示为本申请实施例提供的一种控制器升级装置，控制器包括第一存储区域和第二存储区域，第一存储区域和第二存储区域中分别保存有引导装载BL程序，装置80包括：

处理单元801，用于获取升级文件，升级文件包括BL程序升级包，根据BL程序升级包对第一存储区域的BL程序进行升级，第一存储区域为备份存储区域，第二存储区域为运行存储区域，当第一存储区域的BL程序升级成功时，将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域。

其中，处理单元801用于执行图2方法实施例中的步骤201至步骤203。

可选的，处理单元801还用于：根据BL程序升级包对第二存储区域的BL程序进行升级。

可选的，装置80还包括收发单元802，收发单元802具体用于：

接收来自上位机的版本号获取请求；

根据版本号获取请求向上位机发送第一存储区域的应用程序APP的底软版本号；

当底软版本号属于黑名单时，接收来自上位机的指令，黑名单包括BL程序无法升级对应的版本号，指令指示第一存储区域的APP在第一存储区域的BL程序之前升级。

可选的，升级文件还包括APP升级包和/或标定Cal文件升级包，处理单元801还用于：

根据APP升级包升级第一存储区域的APP；和/或，

根据Cal文件升级第一存储区域的Cal文件。

可选的，升级文件包括升级地址，处理单元801具体用于：

根据升级地址确定第一擦除地址，第一擦除地址为对第一存储区域的BL进行擦除的地址；

校验第一擦除地址是否在第一存储区域的BL程序所在的地址空间；

当校验通过时，将第一擦除地址上的内容擦除；

将BL程序升级包的数据存储在第一擦除地址。

可选的，处理单元801具体用于：

根据升级地址确定第二擦除地址，第二擦除地址为对第二存储区域的BL程序进行擦除的地址；

校验第二擦除地址是否在第二存储区域的BL程序所在的地址空间；

当校验通过时，将第二擦除地址上的内容擦除；

将BL程序升级软件包的数据存储在第二擦除地址。

可选的，处理单元801还用于：

校验第一存储区域的BL程序的哈希值和第二存储区域的BL程序的哈希值是否相同；

当相同时，则触发将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤；

当不同时，校验第一存储区域的BL程序的完整性；

当校验成功时，交换第一存储区域和第二存储区域的安全启动设置值，并触发将第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤。

可选的，处理单元801还用于：

当不同时，触发根据BL程序升级包对第二存储区域的BL程序进行升级的步骤。

可选的，处理单元801还用于：

执行后编程阶段，后编程阶段用于恢复本地的通信状态。

请参阅图9，如图9所示为本申请实施例提供的另一种控制器升级装置，控制器包括第一存储区域和第二存储区域，第一存储区域和第二存储区域中分别保存有引导装载BL程序，该装置90包括：

收发单元901，用于向控制器发送版本号获取请求，版本号获取请求用于读取第一存储区域的应用程序APP的底软版本号，接收来自控制器的底软版本号，当底软版本号属于黑名单时，向控制器发送指令，黑名单包括BL程序无法升级对应的版本号，指令指示第一存储区域的APP在第一存储区域的BL程序之前升级。

可选的，装置90还包括处理单元902，处理单元902具体用于：

执行后编程阶段，后编程阶段用于恢复本地的通信状态。

图10所示，为本申请的实施例提供的计算机设备100的一种可能的逻辑结构示意图。计算机设备100包括：处理器1001、通信接口1002、存储系统1003以及总线1004。处理器1001、通信接口1002以及存储系统1003通过总线1004相互连接。在本申请的实施例中，处理器1001用于对计算机设备100的动作进行控制管理，例如，处理器1001用于执行图2方法实施例中控制器所执行的步骤。通信接口1002用于支持计算机设备100进行通信。存储系统1003，用于存储计算机设备100的程序代码和数据。

其中，处理器1001可以是中央处理器单元，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器1001也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理器和微处理器的组合等等。总线1004可以是外设部件互连标准(Peripheral Component Interconnect，PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

装置80中的收发单元802相当于计算机设备100中的通信接口1002，装置80中的处理单元801相当于计算机设备100中的处理器1001。

本实施例的计算机设备100可对应于上述图2方法实施例中的控制器，该计算机设备100中的通信接口1002可以实现上述图2方法实施例中的控制器所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

图11所示，为本申请的实施例提供的计算机设备110的一种可能的逻辑结构示意图。计算机设备110包括：处理器1101、通信接口1102、存储系统1103以及总线1104。处理器1101、通信接口1102以及存储系统1103通过总线1104相互连接。在本申请的实施例中，处理器1101用于对计算机设备110的动作进行控制管理，例如，处理器1101用于执行图2方法实施例中上位机所执行的步骤。通信接口1102用于支持计算机设备110进行通信。存储系统1103，用于存储计算机设备110的程序代码和数据。

其中，处理器1101可以是中央处理器单元，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器1101也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理器和微处理器的组合等等。总线1104可以是外设部件互连标准(Peripheral Component Interconnect，PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

装置90中的收发单元901相当于计算机设备110中的通信接口1102，装置90中的处理单元902相当于计算机设备110中的处理器1101。

本实施例的计算机设备110可对应于上述图2方法实施例中的上位机，该计算机设备110中的通信接口1102可以实现上述图2方法实施例中的上位机所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

应理解以上装置中单元的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且装置中的单元可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分单元以软件通过处理元件调用的形式实现，部分单元以硬件的形式实现。例如，各个单元可以为单独设立的处理元件，也可以集成在装置的某一个芯片中实现，此外，也可以以程序的形式存储于存储器中，由装置的某一个处理元件调用并执行该单元的功能。此外这些单元全部或部分可以集成在一起，也可以独立实现。这里所述的处理元件又可以成为处理器，可以是一种具有信号的处理能力的集成电路。在实现过程中，上述方法的各步骤或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路实现或者以软件通过处理元件调用的形式实现。

在一个例子中，以上任一装置中的单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，ASIC)，或，一个或多个微处理器(digital singnal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)，或这些集成电路形式中至少两种的组合。再如，当装置中的单元可以通过处理元件调度程序的形式实现时，该处理元件可以是通用处理器，例如中央处理器(central processing unit，CPU)或其它可以调用程序的处理器。再如，这些单元可以集成在一起，以片上系统(system-on-a-chip，SOC)的形式实现。

在本申请的另一个实施例中，还提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，当设备的处理器执行该计算机执行指令时，设备执行上述方法实施例中主控制节点所执行的方法。

在本申请的另一个实施例中，还提供一种计算机程序产品，该计算机程序产品包括计算机执行指令，该计算机执行指令存储在计算机可读存储介质中。当设备的处理器执行该计算机执行指令时，设备执行上述方法实施例中主控制节点所执行的方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，read-only memory)、随机存取存储器(RAM，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims

一种控制器升级方法，其特征在于，所述控制器包括第一存储区域和第二存储区域，所述第一存储区域和第二存储区域中分别保存有引导装载BL程序，所述方法包括：

获取升级文件，所述升级文件包括BL程序升级包；

根据所述BL程序升级包对所述第一存储区域的BL程序进行升级，所述第一存储区域为备份存储区域，所述第二存储区域为运行存储区域；

当所述第一存储区域的BL程序升级成功时，将所述第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域。
根据权利要求1所述的方法，其特征在于，在将所述第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域之后，所述方法还包括：

根据所述BL程序升级包对所述第二存储区域的BL程序进行升级。
根据权利要求1或2所述的方法，其特征在于，所述根据所述BL程序升级包对第一存储区域的BL程序进行升级之前，所述方法还包括：

接收来自上位机的版本号获取请求；

根据所述版本号获取请求向所述上位机发送所述第一存储区域的应用程序APP的底软版本号；

当所述底软版本号属于黑名单时，接收来自所述上位机的指令，所述黑名单包括BL程序无法升级对应的版本号，所述指令指示所述第一存储区域的APP在所述第一存储区域的BL程序之前升级。
根据权利要求1-3任一项所述的方法，其特征在于，所述升级文件还包括APP升级包和/或标定Cal文件升级包，所述将所述第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域之前，所述方法还包括：

根据所述APP升级包升级所述第一存储区域的APP；和/或，

根据所述Cal文件升级所述第一存储区域的Cal文件。
根据权利要求1-4任一项所述的方法，其特征在于，所述升级文件包括升级地址，所述根据所述BL程序升级包对所述第一存储区域的BL程序进行升级包括：

根据所述升级地址确定第一擦除地址，所述第一擦除地址为对所述第一存储区域的BL进行擦除的地址；

校验所述第一擦除地址是否在所述第一存储区域的BL程序所在的地址空间；

当校验通过时，将所述第一擦除地址上的内容擦除；

将所述BL程序升级包的数据存储在所述第一擦除地址。
根据权利要求5所述的方法，其特征在于，所述根据所述BL程序升级包对第二存储区域的BL程序进行升级包括：

根据所述升级地址确定第二擦除地址，所述第二擦除地址为对所述第二存储区域的BL程序进行擦除的地址；

校验所述第二擦除地址是否在所述第二存储区域的BL程序所在的地址空间；

当校验通过时，将所述第二擦除地址上的内容擦除；

将所述BL程序升级软件包的数据存储在所述第二擦除地址。
根据权利要求1-6任一项所述的方法，其特征在于，所述将所述第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域之前，所述方法还包括：

校验所述第一存储区域的BL程序的哈希值和所述第二存储区域的BL程序的哈希值是否相同；

当相同时，则触发所述将所述第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤；

当不同时，校验所述第一存储区域的BL程序的完整性；

当校验成功时，交换所述第一存储区域和所述第二存储区域的安全启动设置值，并触发所述将所述第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤。
根据权利要求2所述的方法，其特征在于，所述根据所述BL程序升级包对第二存储区域的BL程序进行升级之后，所述方法还包括：

校验所述第一存储区域的BL程序的哈希值和所述第二存储区域的BL程序的哈希值是否相同；

当不同时，触发所述根据所述BL程序升级包对所述第二存储区域的BL程序进行升级的步骤。
根据权利要求2或8所述的方法，其特征在于，所述根据所述BL程序升级包对第二存储区域的BL程序进行升级之后，所述方法还包括：

执行后编程阶段，所述后编程阶段用于恢复本地的通信状态。
一种控制器升级方法，其特征在于，所述控制器包括第一存储区域和第二存储区域，所述第一存储区域和第二存储区域中分别保存有引导装载BL程序，所述方法包括：

向控制器发送版本号获取请求，所述版本号获取请求用于读取所述第一存储区域的应用程序APP的底软版本号；

接收来自所述控制器的所述底软版本号；

当所述底软版本号属于黑名单时，向所述控制器发送指令，所述黑名单包括BL程序无法升级对应的版本号，所述指令指示所述第一存储区域的APP在所述第一存储区域的BL程序之前升级。
根据权利要求10所述的方法，其特征在于，所述方法还包括：

执行后编程阶段，所述后编程阶段用于恢复本地的通信状态。
一种控制器升级装置，其特征在于，所述控制器包括第一存储区域和第二存储区域，所述第一存储区域和第二存储区域中分别保存有引导装载BL程序，所述装置包括：

处理单元，用于获取升级文件，所述升级文件包括BL程序升级包，根据所述BL程序升级包对所述第一存储区域的BL程序进行升级，所述第一存储区域为备份存储区域，所述第二存储区域为运行存储区域，当所述第一存储区域的BL程序升级成功时，将所述第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域。
根据权利要求12所述的装置，其特征在于，所述处理单元还用于：

根据所述BL程序升级包对所述第二存储区域的BL程序进行升级。
根据权利要求12或13所述的装置，其特征在于，所述装置还包括收发单元，所述收发单元具体用于：

接收来自上位机的版本号获取请求；

根据所述版本号获取请求向所述上位机发送所述第一存储区域的应用程序APP的底软版本号；

当所述底软版本号属于黑名单时，接收来自所述上位机的指令，所述黑名单包括BL程序无法升级对应的版本号，所述指令指示所述第一存储区域的APP在所述第一存储区域的BL程序之前升级。
根据权利要求12-14任一项所述的装置，其特征在于，所述升级文件还包括APP升级包和/或标定Cal文件升级包，所述处理单元还用于：

根据所述APP升级包升级所述第一存储区域的APP；和/或，

根据所述Cal文件升级所述第一存储区域的Cal文件。
根据权利要求12-15任一项所述的装置，其特征在于，所述升级文件包括升级地址，所述处理单元具体用于：

根据所述升级地址确定第一擦除地址，所述第一擦除地址为对所述第一存储区域的BL进行擦除的地址；

校验所述第一擦除地址是否在所述第一存储区域的BL程序所在的地址空间；

当校验通过时，将所述第一擦除地址上的内容擦除；

将所述BL程序升级包的数据存储在所述第一擦除地址。
根据权利要求16所述的装置，其特征在于，所述处理单元具体用于：

根据所述升级地址确定第二擦除地址，所述第二擦除地址为对所述第二存储区域的BL程序进行擦除的地址；

校验所述第二擦除地址是否在所述第二存储区域的BL程序所在的地址空间；

当校验通过时，将所述第二擦除地址上的内容擦除；

将所述BL程序升级软件包的数据存储在所述第二擦除地址。
根据权利要求12-17任一项所述的装置，其特征在于，所述处理单元还用于：

校验所述第一存储区域的BL程序的哈希值和所述第二存储区域的BL程序的哈希值是否相同；

当相同时，则触发所述将所述第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤；

当不同时，校验所述第一存储区域的BL程序的完整性；

当校验成功时，交换所述第一存储区域和所述第二存储区域的安全启动设置值，并触发所述将所述第一存储区域设置为运行存储区域，并将第二存储区域设置为备份存储区域的步骤。
根据权利要求13所述的装置，其特征在于，所述处理单元还用于：

校验所述第一存储区域的BL程序的哈希值和所述第二存储区域的BL程序的哈希值是否相同；

当不同时，触发所述根据所述BL程序升级包对所述第二存储区域的BL程序进行升级的步骤。
根据权利要求13或19所述的装置，其特征在于，所述处理单元还用于：

执行后编程阶段，所述后编程阶段用于恢复本地的通信状态。
一种控制器升级装置，其特征在于，所述控制器包括第一存储区域和第二存储区域，所述第一存储区域和第二存储区域中分别保存有引导装载BL程序，所述装置包括：

收发单元，用于向控制器发送版本号获取请求，所述版本号获取请求用于读取所述第一存储区域的应用程序APP的底软版本号，接收来自所述控制器的所述底软版本号，当所述底软版本号属于黑名单时，向所述控制器发送指令，所述黑名单包括BL程序无法升级对应的版本号，所述指令指示所述第一存储区域的APP在所述第一存储区域的BL程序之前升级。
根据权利要求21所述的装置，其特征在于，所述装置还包括处理单元，所述处理单元具体用于：

执行后编程阶段，所述后编程阶段用于恢复本地的通信状态。
一种计算机设备，其特征在于，包括：处理器，所述处理器与存储器耦合，

所述处理器用于执行所述存储器中存储的指令，使得所述计算机设备执行如权利要求1至9中任一项所述的方法。
一种计算机设备，其特征在于，包括：处理器，所述处理器与存储器耦合，

所述处理器用于执行所述存储器中存储的指令，使得所述计算机设备执行如权利要求10至11中任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当所述指令被处理器执行时，实现如权利要求1至11中任一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机程序产品中包括计算机程序代码，其特征在于，当所述计算机程序代码在计算机上运行时，实现如权利要求1至11中任一项所述的方法。