400-821-6015
2012年(ni§Ωán),特斯拉發布的(de)Model S,也(yě)正是(s$♦≈hì)它,将OTA技(jì)術(shù)帶入到(dào)汽車(c₩≤hē)行(xíng)業(yè),每年(nián)都(dōu)會(huì)通(tōn"↑g)過OTA來(lái)修複問(wèn)題或者新增功能(néng)(圖1是(shì)特斯拉曆年>₽↓¥(nián)的(de)OTA次數(shù)統計(jì))。
圖1 特斯拉曆年(nián)的(de)OTA次數(shù)
¥∏☆← 而今距離(lí)那(nà)年(nián)已經過去(qù)了(le)10年÷∏(nián),OTA已經被汽車(chē)行(xíng)業(yè)廣泛認可(kě)和(hé)Ω"接受,并且各主機(jī)廠(chǎng)也(yě)陸陸續續在部署。
首先來(lái)簡單聊₽♣π±聊,為(wèi)啥OTA在汽車(chē)行(xíng)業(yè)被越來(lái≈✔ )越接受呢(ne)?估計(jì)大(dà)家(jiā)偶爾會(huì)聽(tīng)到(∏Ωdào)特斯拉召回事(shì)件(jiàn),比如(rú)今年(nián)4月(yuè>€→♥)27号特斯拉因為(wèi)功率半導體(tǐ)存在微(wēi)小σ™(xiǎo)的(de)制(zhì)造差異,¥λ可(kě)能(néng)會(huì)導緻後逆變器(qì)發生(shēng)故障,造成逆♦±∏ 變器(qì)不(bù)能(néng)正常控制(zhì)電(di₹₽×àn)流,召回部分(fēn)車(chē)型,而仔細一(yī)看(kàn),是(shì)遠(↔π₹↕yuǎn)程OTA更新電(diàn)機(jī)控制'∑πβ(zhì)器(qì)軟件(jiàn)。
圖2 特斯拉召回 OTA修複通(tōng)知(zhī)
從(cón§≈∑g)中可(kě)以看(kàn)出,遠(yuǎn)程©÷OTA可(kě)以幫助主機(jī)廠(chǎng)為(wèi)用(yòng)戶遠(yuǎn)程§↕→修複軟件(jiàn)問(wèn)題,大(dà)幅度縮短(duǎ↓☆n)中間(jiān)步驟的(de)時(shí)間(α✘jiān),以前還(hái)要(yào)±✘₽回4S店(diàn)更新軟件(jiàn),現(xià¶ππ•n)在隻需用(yòng)戶在中控上(shàng)點擊軟件(ji§©àn)升級即可(kě),大(dà)大(dà)減少(shǎo)了(le)主機(jī)廠(chα→ǎng)的(de)召回成本和(hé)用(yòng)戶&∞≠®的(de)時(shí)間(jiān)成本,其次OTA還(hái)可(kě)以為(¶λ&wèi)車(chē)輛(liàng)增加新功能(néng),增加用(y♣™←Ωòng)戶的(de)新鮮感,比如(rú)更新卡拉、影(yǐng)院模式等;最後以✘Ω≠ε前買車(chē)對(duì)主機(jī)廠(chǎng)而言就(jiù)≤ ¶是(shì)一(yī)錘子(zǐ)買賣,而OTA的(de)加持,可(kě)以拓寬主機(jī)廠©☆₽(chǎng)的(de)“服務”和(hé)“§✘✘₽運營”的(de)範疇,增加車(chē)輛(liàng)的(↕σ£de)附加價值,比如(rú)自(zì)動駕駛付費(fèi)軟件(jiàn)包,功能(né÷±ng)訂閱等等。
01.
OTA類别
從(cóng)δβ®×更新的(de)範圍來(lái)看(kàn),OTA分Ω≤↑←(fēn)為(wèi)SOTA(software-OTA)和(hé)FOTA(f©→irmware-OTA)。
SOTA通(tōng)俗點說(shuō)是(♥÷$shì)應用(yòng)程序升級,是(shì)一(₩δ">yī)種小(xiǎo)範圍的(de)應用(yòng)軟件(jiàn)更新,比如(rú)你£$(nǐ)在手機(jī)上(shàng)更新個(gè)抖音(yīn),這(zhè)種就(jiù)是←€♣(shì)SOTA。SOTA通(tōng)↔±×常應用(yòng)在座艙控制(zhì)器( ↔qì),以及後續電(diàn)子(zǐ)電(diàn)氣架構升級後的(de)中央計Ω¶(jì)算(suàn)單元以及大(dà)型域控制✔&≈(zhì)器(qì)等。比 如(rú)座艙控制(zhì)器(qααì)中的(de)地(dì)圖更新、主題壁紙(zh"≠ǐ)更新、儀表盤風(fēng)格更新等,特斯拉2019年(nián)10月(yuè)的(de)V10車(chē)機(jī)更新中影(yǐng)院模式、卡$♠拉OK、地(dì)圖功能(néng)升級、茶杯頭遊戲,φ&這(zhè)些(xiē)就(jiù)是(shì)SOT÷γA。
由于SOTA的(de)升級範圍比較小(↑★xiǎo),對(duì)控制(zhì)器(qì)的(de)影(yǐng'±)響也(yě)比較小(xiǎo),因此升級的★¥δ≤(de)前置條件(jiàn)也(yě)比較寬松,比如(rú)在主機(j∑π☆ī)廠(chǎng)的(de)控制(zhì)器(qì)的(de)UDS升級規範中,通(tōng)常要(yào)求在升級前檢查蓄電∞Ω ∑(diàn)池電(diàn)壓是(shì)否合适、車(chē)輛(liàng)檔位、車(chē)&速、高(gāo)壓等,對(duì)于SOTA來(lái)說(shuō♣↔),可(kě)能(néng)檔位、車(chē)速、高(gāo)壓都(dōu)不(bù∏γ )用(yòng)看(kàn)了(le),車(chē)邊開(kāi)邊升級。
&nbs∞₩∏p; FOTA是(shì)固件(jiàn)升級,需要(yào)将控制(€→↔$zhì)器(qì)的(de)整個(gè)軟件(jiàn)重新刷一(yī★ ↑λ)遍,來(lái)達到(dào)系統功能(néng)完整的(de)升級更新或者是(shì)bug的(de)修複,這(zhè)裡(>±lǐ)就(jiù)類似于以前Android手機(jī)的(de)刷機(jī),電(diàn€₹)腦(nǎo)的(de)重裝系統。目前像整車λ♦(chē)控制(zhì)器(qì)、DCDC、電(diàn)機(jī)控制(zhì)器(qì)、Bα MS的(de)升級都(dōu)是(shì)FOTA,比如(rú)電(diàn)機(jī)控制(&×zhì)器(qì)的(de)IGBT的(de)過流故障的(de)保護策略有(•αyǒu)漏洞,需要(yào)更新軟件(jiàn);2020年(•"§nián)4月(yuè)特斯拉為(wèi)Model S和(hé)Model X P©→eformance的(de)升級,将百公裡(lǐ)加速縮短(duǎn)至2.3s,車(chē™→γ∞)輛(liàng)熱(rè)性能(néng)提升3倍,升 ×級彈射模式,這(zhè)些(xiē)就(jiù)是(shì)FOTA。
由于FOTA升級↔ σ會(huì)影(yǐng)響整個(gè)控制(zhì)器(qì)的(de)★↑€'功能(néng),因此升級前置條件(jiàn)會(huì)很(hěn)嚴苛,正如(rú)前面¥"©說(shuō),升級前需要(yào)檢查蓄電(diàn)池電(diàn)壓是(shì)否合适、¶↕車(chē)輛(liàng)檔位、車(chē)速、高(gāo∏)壓、點火(huǒ)信号等。
目前基本大(dà)多(duō)數(shù)車(chē)企都(dōu)已實現(xià₽→↑n)OTA(不(bù)管是(shì)SOTA還(★☆ ∏hái)是(shì)FOTA),不(bù)過大(dà)部分(fēn)是(shì)實現(÷xiàn)重要(yào)控制(zhì)器(qì)的(de)OTA功能(néng),比如 ↕(rú)自(zì)動駕駛控制(zhì)器(qì),♣§₩Ω中控、電(diàn)池管理(lǐ)、電(diàn)機(j♦ ♠ī)控制(zhì)等。各車(chē)企的(de)實現(xiàn)情況如(rú)圖3所示。★♠
圖3 當前各主機(jī)廠(chǎng)的(de)OTA能(néng•)力(來(lái)源頭豹)
02.
車(chē)輛(liàng)OTA系統組成≥♥
&¥₹nbsp; 為(wèi)了(le)實現(xiàn)車(chē±∞∏)輛(liàng)上(shàng)控制(zhì)器(qì)的(de ≠)OTA,主機(jī)廠(chǎng)必須搭建整個(gè)O♦↑♣&TA系統,其簡要(yào)架構如(rú)圖4所示。整個(gè)系統由OT™↑★A雲端服務器(qì),OTA終端,一(yī)♠&δ般為(wèi)T-Box,OTA對(duì)象——車(c₽↓ hē)載控制(zhì)器(qì)組成。
圖4 OTA系統的(de)構成
OTA雲端服務器(qì)
OTA雲端服務器(qδ£ì)包含主機(jī)廠(chǎng)支持OTA升級的(de)π"控制(zhì)器(qì)全部的(de)完整的(de)升級包。OTA雲端的(de)設計(jì)&"<要(yào)求是(shì)獨立的(de)平台,支持多(duō)車(chē)↓γ β型、多(duō)型号規格、多(duō)種類型ECU軟件(jiàn)©≠的(de)升級。OTA雲端的(de)框架結構主要(yào)包括五部分(f¶✔π↓ēn):OTA管理(lǐ)平台、OTA升級服務、任務調度®、文(wén)件(jiàn)服務、任務管理 ♥(lǐ),如(rú)圖5所示。在安全性方面,支持多(duō)種安全加密和(hé)解密算(suànΩ ∏♠)法,例如(rú)常用(yòng)的(de)對(duì)稱加密算(suàn)法DES<×♦、AES等和(hé)非對(duì)稱加密算(suàn)法RSA、D☆₩SA。
圖5 OTA雲端服務器(qì)架構
OTA終端
OTA終端主要(yào)包含OTA引擎和(hé)OTA适配♠ 器(qì),其中OTA引擎是(shì)一(yī)個(✘♦♣gè)連接OTA終端與OTA雲端的(de)橋梁,實現(xiàn)雲端同終端的(de)安全通(tōnβ×δ g)信,包括升級包下(xià)載、升級包解密、差分(fēn)包重構等功能(néng)。OTA>≤∞适配器(qì)是(shì)為(wèi)兼容不(bù)同的(de)軟件(jiàn)或設備的★φ(de)不(bù)同更新邏輯或流程,根據統一(yī)的(deσ'£)接口要(yào)求封裝的(de)不(bù)同實現(xiàn)。升級适配器(qì)₹♦₹×由需要(yào)OTA升級的(de)各個(gè)ECU軟件(jiàn)實現(xiàn)提供。
OTA對(duì)象
OTA對(duì)象就(jiù)是(shì)車(chē)上(shàng)能(néng)支持OTA的>δ(de)控制(zhì)器(qì),主要(yào)包括座艙控制(zhì)器(qìγ∞)、ADAS控制(zhì)器(qì),以及車(chē)內(nèi)嵌入式控制(zh<πγì)器(qì)。為(wèi)了(le)支持OTA功能(néng),控制(zhì)器£™(qì)必須具有(yǒu)軟件(jiàn)備∏απ→份功能(néng),也(yě)就(jiù)是(shì)∑γA/B分(fēn)區(qū),簡單的(de¥♦)來(lái)說(shuō),控制(zhì)器(qì)會(huì)存兩份軟件(jiàn),一(yī×≈)份為(wèi)當前最新,另一(yī)份為→ε↑(wèi)上(shàng)一(yī)次的(d€e)。當更新異常或者更新失敗後,可(kě)以用(yòng)回上(shàng)一(yī)版的(d↓₹e)軟件(jiàn)。保證控制(zhì)器(πγ₩¥qì)不(bù)會(huì)刷死。
圖6 控制(zhì)器(qì)A/B<≈♦分(fēn)區(qū)(來(lái)源十一(yī)号組織)
03.
OTA流程
在車(chē)輛(liàng)出廠(chǎng )之前,主機(jī)廠(chǎng)通(tōng)常需要(yào)将車(chē)型和(hé)車(≤$ ≠chē)輛(liàng)信息錄入到(dào)OTA雲端的(de)信息管理(€Ωlǐ)系統中。然後當車(chē)出售給用(yòng)戶後,車(chē)輛(liàng)OTA終↕ ∑端首先要(yào)在OTA雲端進行(xíng)注冊↓©激活。OTA終端上(shàng)傳自(zì)身(shē☆∏↑n) SN 及車(chē)輛(liàng) VIN 向OTA雲端服務端申請Ω$®¶(qǐng)證書(shū), VIN 及 SN 驗證合法後(S₽§N 是(shì)否在已激活列表中),後台将下(xià)發≠★ε證書(shū),修改車(chē)輛(liàng)狀态為(wèi)已激活。這(zhè)¶¶∏≤樣終端與雲端的(de)通(tōng)信鏈路(lù)已經建立。當市(shì)場(chǎng)用(yòng)戶反饋或φ≥∏•者是(shì)主機(jī)廠(chǎng)內(nèi)部測試控制(zhì)器(qì)軟件(jiàn<☆)存在Bug時(shí),各個(gè)控制✘✔↓(zhì)器(qì)的(de)供應商修複問(wèn)題,然後後向主機(jī)廠(chǎng)提供軟α≥件(jiàn)升級包,在主機(jī)廠(chǎng)內(nèi)部'走完測試、驗證和(hé)簽字發布流程後,進入到(dào)OTA雲端服務器(qì)的δ€≤'(de)待升級軟件(jiàn)列表。 
圖7 差分(fēn)原理(lǐ)
當OTA終端完成新軟件(jiàn)包的(de)下(xi&•φà)載,以及校(xiào)驗和(hé)驗簽後,在滿足對(duìπ≤®©)應ECU的(de)刷寫條件(jiàn)的(de)π♠♦時(shí)候,比如(rú)上(shàng)面提到(dào)的(de)車(chē)輛(li→★€àng)的(de)狀态:蓄電(diàn)池電(diàn)壓、車(chē)速、ε×高(gāo)壓狀态,以及OTA終端當前的(de)狀态(如(rú)圖8所示),都(dōu)符合條件(♣≥↑jiàn)後對(duì)ECU進行(xíng)軟件(jiàn)$✔"更新。
這(zh÷♣è)裡(lǐ)還(hái)有(yǒu)一(yī)種就(jiù)是(shì)預約升級場®'≥↕(chǎng)景,比如(rú)預約晚上(shàng)1÷"0點進行(xíng)升級。這(zhè)種情況下(xià)T-Box需要(yào)具備定時(shí)喚醒功能(néng),在預約的(de)時(shí)間(jiān)T-Box被喚醒§ σ≠,然後喚醒BCM給整車(chē)上(shàng)電(diàn),同時(shí)升級過程中 BCM 還(hái)需禁止車(chē)內(nèi)大(dà)功率用(yòn✔g)電(diàn)負荷(空(kōng)調、前照(zhào)燈等)工(gōng)作(✔αδ±zuò),避免蓄電(diàn)池電(diàn)量消耗過多(duō)。在判斷車(chē)輛(liàng)的(de)條件(jiàn)滿足後,啓動升級流程對↔¶(duì)控制(zhì)器(qì)進行(xíng)升級。
圖8 OTA終端升級任務管理(lǐ)(來(lái)源知(zhī)網)
γ$≠÷;在升級過程中,OTA終端要(yào)把ECU升級進度及時(shí)上(shàng)±÷γ傳給OTA管理(lǐ)服務器(qì) ,升級完成後彙報(bào)升級成功結果 。
整個(gè)OTA升級的(de)流程如(rú)圖9所示。
圖9 OTA 發布升級流程(來(lái)源知(zhī)網)
04.
OTA系統的(de)安全機(jī)制(zhì)
λπ∞整個(gè)OTA系統的(de)安全需要(yào)從(cóng)OTA雲 端到(dào)OTA終端以及OTA對(duì)象的(de)整個(gè)鏈路(lù)進行(xín↕↕g)全方位的(de)防護。從(cóng)軟件(jiàn)上(shàng)傳到(dào)OTA雲端、OTA雲端到(dào)OTA終端以及車(chē)輛(liàng)內(nèi)部升級過程的(de)各個(gè)環節,都(d$ōu)采用(yòng)适宜的(de)加密機(jī)制(zhì)來☆δ® (lái)提升整個(gè)升級過程的(de)安全性,包括OTA雲端的(de)權限限制(zhì)、證書(shū)驗證、簽名驗證φε和(hé)權限驗證。
在軟件(jiàn)包下(xià)載前,OTA雲端和(hé)終端首先使用(yòng) PKI/CA 認證系統進行(xíng)雙向身 ∑≤(shēn)份驗證。驗證通(tōng)過後,雲端和>©♥×(hé)車(chē)輛(liàng)端會(huì)建立基于 TLS β¶π安全協議(yì)的(de)安全通(tōng)信÷₩通(tōng)道(dào),該通(tōng)道(dào)保證雲端與車(ch§♠ē)輛(liàng)端之間(jiān)信息傳輸的(de)安全性。在車 Ω÷♠(chē)輛(liàng)內(nèi)部, T-Box、IVI車(chē)機(jī)和(♠α'←hé)網關之間(jiān)的(de)交互信息采用(yòng)私有(yǒu™→☆φ)協議(yì)密文(wén)傳輸,升級固件(jiàn)的(de)加解密通(tōng)過δ♠ε$在 T-Box、 IVI 和(hé)網關內β♥(nèi)部集成的(de)硬件(jiàn)安全模塊進行(xíng),同時(§ "shí)硬件(jiàn)安全模塊還(hái)能(néng)保存加密秘鑰,防止×∑軟件(jiàn)包被篡改。
從(cóng)OTA雲↑≈端與OTA終端之間(jiān)的(de)安全方案如(rú)下(xià)圖' 所示。
圖10 OTA雲端與OTA終端之間(jiān)的(deε↔ε)安全策略(來(lái)源知(zhī)網)
&nbs♥★πp;當OTA終端對(duì)新軟件(jiàn)包完成安全校σ₽(xiào)驗後,開(kāi)始對(duì)特性控制(zhì)器(qì)進行(xíng)∞♠δ↔軟件(jiàn)更新,這(zhè)裡(lǐ δ<)的(de)安全策略通(tōng)常是(shì)采用(yòng Ω∏÷)對(duì)軟件(jiàn)包二進制(zhì)文(wén)件(jiàn)的☆₹β←(de)CRC校(xiào)驗,診斷的(de)0x27或者SFD進≠↔₩行(xíng)權限校(xiào)驗來(lái)保證。這(π© ÷zhè)些(xiē)驗證後,開(kāi)始通(tō→≈↕ng)過UDS協議(yì)将新軟件(jiàn)下(xià)載到(dào)控制(zh∞β±☆ì)器(qì)中。
05.
軟件(jiàn)OTA升級法規
在汽車(chē)行(xíng) ←±•業(yè)剛引入OTA之時(shí),由于沒有(y≈ •₹ǒu)法規監管,以及統一(yī)的(de)标準,各主機(j☆ ¶¶ī)廠(chǎng)按照(zhào)自(zì)己的(de ♣)理(lǐ)解開(kāi)展OTA推送,或者有(yǒu)些(xiē)主機(jī)廠(chǎng)©♥σ♦為(wèi)了(le)趕上(shàng)市(sh€♦ì),搶市(shì)場(chǎng),先發布産品,後續慢(màn)©←≈慢(màn)OTA完善軟件(jiàn)。
為α™(wèi)了(le)使OTA技(jì)術(shù)在汽€→→車(chē)行(xíng)業(yè)良性地(dì)發展,相(xiàng)關的(de)法δ&規以及行(xíng)業(yè)指南(nán)也(yě)慢(màn)慢(màn)在完善。
2020年(nián)1λε≈1月(yuè)25日(rì)國(guó)家(jiā)市(shì)場(chǎng)監督管理λ♥(lǐ)總局出台了(le)《關于進一(yī)步加強汽車(chē)遠(yuǎn)程升級(OTA)₩✘₩φ技(jì)術(shù)召回監管的(de)通(tōng)知(zhī)》,目的(₹♦<≤de)是(shì)通(tōng)過有(yǒu)效的(de)手段和(hé)方法辨識召回與升級×ε£ 的(de)差别。以避免OEM通(tōng)過OTA方ε€€¥式消除缺陷,掩蓋召回事(shì)實的(de)行(xíng)為(wèi)。
主機(jī)廠(chǎng)在¥♦采用(yòng)OTA方式對(duì)已售車(chē)輛(lΩ★§¥iàng)開(kāi)展技(jì)術(shù)服務活動的(de),應按照(β ♣←zhào)根據《缺陷汽車(chē)産品召回管♠→ 理(lǐ)條例》及《缺陷汽車(chē)産品召回管理(lǐ)條例實施辦法》要(yào)求,向市(sπβhì)場(chǎng)監管總局質量發展局備案♥Ω。如(rú)發現(xiàn)生(shēng)産者存←> 在未按規定備案有(yǒu)關信息或召回計(jì)劃、不(bù)配合缺陷調查、隐↕<瞞缺陷或未按照(zhào)已備案的(de)←α召回計(jì)劃實施召回等違法行(xíng)為(wèi)的(φ↑♦ de),将嚴格依法處理(lǐ)。
2021年(nián)4月₹γ÷σ(yuè),工(gōng)業(yè)和(hé)信息化(πhuà)部裝備工(gōng)業(yè)一(yī)司組織編制(zhì)了(le)《智能(nén♣εg)網聯汽車(chē)生(shēng)産企業(yè)及産品準入管理(lǐ)指南(nán)》,該指南≥∏×¥(nán)是(shì)它涉及功能(néng)安全、信息安全、軟件★×↑(jiàn)升級、數(shù)據記錄、仿真/實車(ch♠✘׶ē)測試等方面。而在軟件(jiàn)升級上(shàng)又(yòu)主要(yào)≤✘ 包括對(duì)管理(lǐ)制(zhì)度、标準規範、升級σ γ₽影(yǐng)響、測試和(hé)驗證、适配性、可(kě)追溯性、告知(zhī)義務和(∞hé)安全性等內(nèi)容寫明(míng)了(le)相(xiàng)應規範,整體(✘♣®tǐ)的(de)規範如(rú)圖11所示。
2022年(nián)4月(yu←₹σè)15日(rì),工(gōng)業(yè)和(hé)信息化(huà)部裝備工≥×(gōng)業(yè)發展中心發布了(le)《關于開(kāi)展汽車(chē)軟件(jiàn∏πε )在線升級備案的(de)通(tōng)知(zhī)》,主要(yào)從(cóσ↓¶'ng)備案範圍、備案要(yào)求、備案工(gōng)作(zuò)流>♠程、實施安排和(hé)企業(yè)責任五個(gè)方面來(l♠≥ λái)規範主機(jī)廠(chǎng)OTA升級,比如(rú)明(míng)确備案範圍:OTA升級應進 α™<行(xíng)備案,并且申請(qǐng)主體(tǐ)應是(shì)汽車(chē)整車(chē)生§<(shēng)産企業(yè)。
轉自(zì)汽車(chē)ECU開(kāi)發
關注
微(wēi)信
關注官方微(wēi)信