|
2012年�,特斯拉發(fā)布的Model S,也正是它�����,將OTA技術(shù)帶入到汽車行業(yè)����,每年都會通過OTA來修復(fù)問題或者新增功能(圖1是特斯拉歷年的OTA次數(shù)統(tǒng)計)。 圖1 特斯拉歷年的OTA次數(shù) 而今距離那年已經(jīng)過去了10年���,OTA已經(jīng)被汽車行業(yè)廣泛認可和接受�����,并且各主機廠也陸陸續(xù)續(xù)在部署����。 首先來簡單聊聊,為啥OTA在汽車行業(yè)被越來越接受呢���?估計大家偶爾會聽到特斯拉召回事件�����,比如今年4月27號特斯拉因為功率半導(dǎo)體存在微小的制造差異��,可能會導(dǎo)致后逆變器發(fā)生故障��,造成逆變器不能正?��?刂齐娏?��,召回部分車型�����,而仔細一看��,是遠程OTA更新電機控制器軟件����。 圖2 特斯拉召回 OTA修復(fù)通知 從中可以看出,遠程OTA可以幫助主機廠為用戶遠程修復(fù)軟件問題�,大幅度縮短中間步驟的時間,以前還要回4S店更新軟件��,現(xiàn)在只需用戶在中控上點擊軟件升級即可����,大大減少了主機廠的召回成本和用戶的時間成本,其次OTA還可以為車輛增加新功能����,增加用戶的新鮮感,比如更新卡拉����、影院模式等;最后以前買車對主機廠而言就是一錘子買賣����,而OTA的加持,可以拓寬主機廠的“服務(wù)”和“運營”的范疇�,增加車輛的附加價值,比如自動駕駛付費軟件包�����,功能訂閱等等。 01.
OTA類別 從更新的范圍來看����,OTA分為SOTA(software-OTA)和FOTA(firmware-OTA)。 SOTA通俗點說是應(yīng)用程序升級����,是一種小范圍的應(yīng)用軟件更新,比如你在手機上更新個抖音��,這種就是SOTA�。SOTA通常應(yīng)用在座艙控制器,以及后續(xù)電子電氣架構(gòu)升級后的中央計算單元以及大型域控制器等����。比如座艙控制器中的地圖更新、主題壁紙更新�、儀表盤風格更新等���,特斯拉2019年10月的V10車機更新中影院模式�、卡拉OK����、地圖功能升級�����、茶杯頭游戲�,這些就是SOTA����。 由于SOTA的升級范圍比較小,對控制器的影響也比較小�����,因此升級的前置條件也比較寬松��,比如在主機廠的控制器的UDS升級規(guī)范中�,通常要求在升級前檢查蓄電池電壓是否合適、車輛檔位����、車速、高壓等����,對于SOTA來說����,可能檔位���、車速�����、高壓都不用看了�����,車邊開邊升級����。 FOTA是固件升級����,需要將控制器的整個軟件重新刷一遍,來達到系統(tǒng)功能完整的升級更新或者是bug的修復(fù)���,這里就類似于以前Android手機的刷機,電腦的重裝系統(tǒng)���。目前像整車控制器���、DCDC�����、電機控制器�、BMS的升級都是FOTA���,比如電機控制器的IGBT的過流故障的保護策略有漏洞�����,需要更新軟件���;2020年4月特斯拉為Model S和Model X Peformance的升級,將百公里加速縮短至2.3s����,車輛熱性能提升3倍,升級彈射模式�����,這些就是FOTA。 由于FOTA升級會影響整個控制器的功能����,因此升級前置條件會很嚴苛,正如前面說����,升級前需要檢查蓄電池電壓是否合適、車輛檔位���、車速�、高壓����、點火信號等。 目前基本大多數(shù)車企都已實現(xiàn)OTA(不管是SOTA還是FOTA)�����,不過大部分是實現(xiàn)重要控制器的OTA功能�,比如自動駕駛控制器,中控�����、電池管理����、電機控制等。各車企的實現(xiàn)情況如圖3所示�����。 
圖3 當前各主機廠的OTA能力(來源頭豹) 02.
車輛OTA系統(tǒng)組成 為了實現(xiàn)車輛上控制器的OTA�����,主機廠必須搭建整個OTA系統(tǒng)�����,其簡要架構(gòu)如圖4所示��。整個系統(tǒng)由OTA云端服務(wù)器�����,OTA終端�����,一般為T-Box,OTA對象——車載控制器組成���。 
圖4 OTA系統(tǒng)的構(gòu)成 OTA云端服務(wù)器 OTA云端服務(wù)器包含主機廠支持OTA升級的控制器全部的完整的升級包���。OTA云端的設(shè)計要求是獨立的平臺,支持多車型���、多型號規(guī)格����、多種類型ECU軟件的升級����。OTA云端的框架結(jié)構(gòu)主要包括五部分:OTA管理平臺、OTA升級服務(wù)�����、任務(wù)調(diào)度���、文件服務(wù)���、任務(wù)管理���,如圖5所示。在安全性方面���,支持多種安全加密和解密算法,例如常用的對稱加密算法DES�、AES等和非對稱加密算法RSA、DSA���。 圖5 OTA云端服務(wù)器架構(gòu) OTA終端 OTA終端主要包含OTA引擎和OTA適配器�����,其中OTA引擎是一個連接OTA終端與OTA云端的橋梁��,實現(xiàn)云端同終端的安全通信���,包括升級包下載、升級包解密�、差分包重構(gòu)等功能。OTA適配器是為兼容不同的軟件或設(shè)備的不同更新邏輯或流程�,根據(jù)統(tǒng)一的接口要求封裝的不同實現(xiàn)。升級適配器由需要OTA升級的各個ECU軟件實現(xiàn)提供。 OTA對象 OTA對象就是車上能支持OTA的控制器�,主要包括座艙控制器、ADAS控制器����,以及車內(nèi)嵌入式控制器。為了支持OTA功能�,控制器必須具有軟件備份功能,也就是A/B分區(qū)��,簡單的來說����,控制器會存兩份軟件,一份為當前最新�����,另一份為上一次的�。當更新異常或者更新失敗后��,可以用回上一版的軟件�����。保證控制器不會刷死。 圖6 控制器A/B分區(qū)基本方式 03.
OTA流程 在車輛出廠之前�,主機廠通常需要將車型和車輛信息錄入到OTA云端的信息管理系統(tǒng)中。然后當車出售給用戶后�,車輛OTA終端首先要在OTA云端進行注冊激活。OTA終端上傳自身 SN 及車輛 VIN 向OTA云端服務(wù)端申請證書���, VIN 及 SN 驗證合法后(SN 是否在已激活列表中)�����,后臺將下發(fā)證書,修改車輛狀態(tài)為已激活����。這樣終端與云端的通信鏈路已經(jīng)建立。當市場用戶反饋或者是主機廠內(nèi)部測試控制器軟件存在Bug時�,各個控制器的供應(yīng)商修復(fù)問題,然后后向主機廠提供軟件升級包��,在主機廠內(nèi)部走完測試��、驗證和簽字發(fā)布流程后���,進入到OTA云端服務(wù)器的待升級軟件列表���。
然后由OTA的管理人員創(chuàng)建OTA升級對象���,升級計劃以及升級內(nèi)容,并下發(fā)通知到對應(yīng)的用戶車輛���。
用戶根據(jù)中控屏幕的提示�,在合適的時候確認升級����,OTA終端開始從云端將軟件包下載下來。這里有兩種情況����,如果本地沒有當前版本軟件包的備份,則申請下載當前版本的全量包���,如果有�,則下載當前軟件包的差分包�。差分包的原理是通過差分算法,常用的為Xdelta 算法��、 Vcdiff 算法�、 Bsdiff 算法 �,在OTA云端對比新軟件包與舊軟件包的差別����,然后生成一個差分包,將差分包下載到OTA終端后����,再將其與本地存的舊文件進行對比,還原新軟件包�����。
圖7 差分原理 當OTA終端完成新軟件包的下載���,以及校驗和驗簽后,在滿足對應(yīng)ECU的刷寫條件的時候�,比如上面提到的車輛的狀態(tài):蓄電池電壓、車速��、高壓狀態(tài)����,以及OTA終端當前的狀態(tài)(如圖8所示),都符合條件后對ECU進行軟件更新�����。
這里還有一種就是預(yù)約升級場景,比如預(yù)約晚上10點進行升級�。這種情況下T-Box需要具備定時喚醒功能,在預(yù)約的時間T-Box被喚醒�����,然后喚醒BCM給整車上電���,同時升級過程中 BCM 還需禁止車內(nèi)大功率用電負荷(空調(diào)����、前照燈等)工作��,避免蓄電池電量消耗過多����。在判斷車輛的條件滿足后,啟動升級流程對控制器進行升級����。 圖8 OTA終端升級任務(wù)管理(來源知網(wǎng)) 在升級過程中,OTA終端要把ECU升級進度及時上傳給OTA管理服務(wù)器 ���,升級完成后匯報升級成功結(jié)果 �。 整個OTA升級的流程如圖9所示。 圖9 OTA 發(fā)布升級流程(來源知網(wǎng)) 04.
OTA系統(tǒng)的安全機制 整個OTA系統(tǒng)的安全需要從OTA云端到OTA終端以及OTA對象的整個鏈路進行全方位的防護��。從軟件上傳到OTA云端�、OTA云端到OTA終端以及車輛內(nèi)部升級過程的各個環(huán)節(jié),都采用適宜的加密機制來提升整個升級過程的安全性�����,包括OTA云端的權(quán)限限制�、證書驗證、簽名驗證和權(quán)限驗證�。 在軟件包下載前,OTA云端和終端首先使用 PKI/CA 認證系統(tǒng)進行雙向身份驗證��。驗證通過后���,云端和車輛端會建立基于 TLS 安全協(xié)議的安全通信通道,該通道保證云端與車輛端之間信息傳輸?shù)陌踩?��。在車輛內(nèi)部��, T-Box�、IVI車機和網(wǎng)關(guān)之間的交互信息采用私有協(xié)議密文傳輸,升級固件的加解密通過在 T-Box��、 IVI 和網(wǎng)關(guān)內(nèi)部集成的硬件安全模塊進行�����,同時硬件安全模塊還能保存加密秘鑰����,防止軟件包被篡改。 從OTA云端與OTA終端之間的安全方案如下圖所示�����。 圖10 OTA云端與OTA終端之間的安全策略(來源知網(wǎng)) 當OTA終端對新軟件包完成安全校驗后�����,開始對特性控制器進行軟件更新���,這里的安全策略通常是采用對軟件包二進制文件的CRC校驗��,診斷的0x27或者SFD進行權(quán)限校驗來保證����。這些驗證后,開始通過UDS協(xié)議將新軟件下載到控制器中�。 05.
軟件OTA升級法規(guī) 在汽車行業(yè)剛引入OTA之時,由于沒有法規(guī)監(jiān)管�,以及統(tǒng)一的標準,各主機廠按照自己的理解開展OTA推送���,或者有些主機廠為了趕上市�,搶市場�,先發(fā)布產(chǎn)品,后續(xù)慢慢OTA完善軟件����。 為了使OTA技術(shù)在汽車行業(yè)良性地發(fā)展,相關(guān)的法規(guī)以及行業(yè)指南也慢慢在完善����。
2020年11月25日國家市場監(jiān)督管理總局出臺了《關(guān)于進一步加強汽車遠程升級(OTA)技術(shù)召回監(jiān)管的通知》,目的是通過有效的手段和方法辨識召回與升級的差別�。以避免OEM通過OTA方式消除缺陷,掩蓋召回事實的行為���。 主機廠在采用OTA方式對已售車輛開展技術(shù)服務(wù)活動的,應(yīng)按照根據(jù)《缺陷汽車產(chǎn)品召回管理條例》及《缺陷汽車產(chǎn)品召回管理條例實施辦法》要求,向市場監(jiān)管總局質(zhì)量發(fā)展局備案���。如發(fā)現(xiàn)生產(chǎn)者存在未按規(guī)定備案有關(guān)信息或召回計劃��、不配合缺陷調(diào)查�����、隱瞞缺陷或未按照已備案的召回計劃實施召回等違法行為的��,將嚴格依法處理�����。 2021年4月��,工業(yè)和信息化部裝備工業(yè)一司組織編制了《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理指南》�,該指南是它涉及功能安全��、信息安全�、軟件升級、數(shù)據(jù)記錄��、仿真/實車測試等方面����。而在軟件升級上又主要包括對管理制度�、標準規(guī)范��、升級影響�����、測試和驗證�����、適配性�、可追溯性、告知義務(wù)和安全性等內(nèi)容寫明了相應(yīng)規(guī)范���,整體的規(guī)范如圖11所示����。 
圖11 指南中軟件升級的規(guī)范(來源網(wǎng)絡(luò))2022年4月15日����,工業(yè)和信息化部裝備工業(yè)發(fā)展中心發(fā)布了《關(guān)于開展汽車軟件在線升級備案的通知》,主要從備案范圍�����、備案要求、備案工作流程�、實施安排和企業(yè)責任五個方面來規(guī)范主機廠OTA升級��,比如明確備案范圍:OTA升級應(yīng)進行備案�,并且申請主體應(yīng)是汽車整車生產(chǎn)企業(yè)。
智能網(wǎng)聯(lián)汽車整車OTA功能設(shè)計研究智能網(wǎng)聯(lián)汽車 FOTA 系統(tǒng)安全機制的研究與實現(xiàn)整車OTA系統(tǒng)中的車身動力域ECU升級與軟件匹配自動駕駛汽車的軟件升級技術(shù)管理與監(jiān)管策略分析��,焉知智能汽車
|
