電動(dòng)汽車FOTA技術(shù)原理與測(cè)試方法研究

龐宇達(dá)　黎飛　黃祖朋　張亮　練朝春

摘 要：隨著人們對(duì)汽車的各項(xiàng)要求逐漸提高，車輛朝著智能化、網(wǎng)聯(lián)化趨勢(shì)發(fā)展。車聯(lián)網(wǎng)、無(wú)線通信、遠(yuǎn)距離無(wú)線通信、專用短程通信、5G通信等技術(shù)的日趨成熟，為汽車FOTA技術(shù)應(yīng)用提供充足條件。本文系統(tǒng)闡述了電動(dòng)汽車FOTA系統(tǒng)的組成方案、升級(jí)流程和升級(jí)方式，詳細(xì)介紹了電動(dòng)汽車FOTA的測(cè)試目的和測(cè)試方法。

關(guān)鍵詞：FOTA系統(tǒng) 升級(jí)流程 測(cè)試內(nèi)容 測(cè)試方法

在現(xiàn)代汽車領(lǐng)域中，各種智能ECU（電子控制單元）模塊的廣泛使用，給汽車行業(yè)帶來(lái)了巨大變革。由于汽車的電子控制單元增多，汽車軟件隨之也越來(lái)越復(fù)雜，代碼數(shù)量增加，加大了軟件缺陷的發(fā)生概率。依靠線下店召回的傳統(tǒng)模式已不能滿足快速響應(yīng)的需求，使得汽車遠(yuǎn)程刷新FOTA技術(shù)得以迅速發(fā)展。車輛通過(guò)FOTA 技術(shù)可以快速更新軟件算法和程序性能，彌補(bǔ)信息安全漏洞，實(shí)現(xiàn)汽車自身迭代升級(jí)。

1 電動(dòng)汽車FOTA系統(tǒng)概述

FOTA （firmware over-the-air）：中文翻譯為固件空中遠(yuǎn)程升級(jí)，是指利用無(wú)線通信技術(shù)，通過(guò)云平臺(tái)實(shí)現(xiàn)對(duì)車輛固件的遠(yuǎn)程更新。

1.1 電動(dòng)汽車FOTA系統(tǒng)整體方案

汽車固件遠(yuǎn)程升級(jí)（FOTA）系統(tǒng)包含：移動(dòng)端、FOTA云平臺(tái)、無(wú)線車載終端、支持FOTA功能的車輛ECU。FOTA云平臺(tái)和無(wú)線車載終端通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行連接，無(wú)線車載終端和車輛ECU通過(guò)CAN網(wǎng)絡(luò)進(jìn)行連接。汽車FOTA系統(tǒng)的整體方案見(jiàn)圖1。

1.1.1 移動(dòng)端

主要用于人員權(quán)限管理、升級(jí)任務(wù)創(chuàng)建、升級(jí)包創(chuàng)建、車輛注冊(cè)管理等。

1.1.2 FOTA云平臺(tái)

主要用于對(duì)整個(gè)升級(jí)過(guò)程的管控，主要功能包括：車輛管理、車主管理、升級(jí)包管理、升級(jí)包加密和完整性校驗(yàn)、升級(jí)條件管理、升級(jí)任務(wù)管理、升級(jí)任務(wù)創(chuàng)建等。

1.1.3 無(wú)線車載終端

作為車內(nèi)和車外互聯(lián)網(wǎng)關(guān)，主要功能包括：車內(nèi)控制器版本上報(bào)、升級(jí)包下載、升級(jí)包解密、升級(jí)包完整性校驗(yàn)、升級(jí)包存儲(chǔ)、車內(nèi)升級(jí)條件檢測(cè)、升級(jí)進(jìn)度上報(bào)等。

1.1.4 車輛ECU（電子控制單元）

包含整車控制器、車身控制器、電池管理系統(tǒng)、車載充電機(jī)、電機(jī)控制器、高級(jí)駕駛輔助系統(tǒng)等節(jié)點(diǎn)，各節(jié)點(diǎn)固件需支持FOTA升級(jí)功能。

1.2 電動(dòng)汽車FOTA系統(tǒng)安全策略

FOTA系統(tǒng)的安全策略是從FOTA云平臺(tái)到車輛端的多階段、多層級(jí)、全方位的防護(hù)，即升級(jí)包上傳到FOTA云平臺(tái)、FOTA云平臺(tái)到車輛端以及車輛端內(nèi)部都采用不同類型的加密機(jī)制來(lái)提升整個(gè)升級(jí)過(guò)程的安全等級(jí)。FOTA云平臺(tái)對(duì)登陸用戶需要進(jìn)行安全訪問(wèn)限制和認(rèn)證，對(duì)上傳到FOTA云平臺(tái)的軟件經(jīng)過(guò)證書(shū)驗(yàn)證、簽名驗(yàn)證和權(quán)限驗(yàn)證。為保證FOTA升級(jí)安全性，車輛端與FOTA云平臺(tái)之間的每次信息交互，都必須攜帶身份驗(yàn)證信息，否則接收者驗(yàn)證不通過(guò)，并向發(fā)送者發(fā)出身份驗(yàn)證挑戰(zhàn)。車輛端與FOTA云平臺(tái)之間，使用HTTPS進(jìn)行通信，保證傳輸通道安全性。車輛端與FOTA云平臺(tái)之間的每次信息交互，都必須在HTTP請(qǐng)求頭中攜帶消息內(nèi)容完整性校驗(yàn)信息。

1.3 電動(dòng)汽車FOTA系統(tǒng)升級(jí)流程

FOTA升級(jí)流程主要包含上傳升級(jí)包、任務(wù)創(chuàng)建、任務(wù)刷新三個(gè)部分。FOTA升級(jí)人員通過(guò)移動(dòng)端上傳升級(jí)包至FOTA云平臺(tái)，待管理人員審批通過(guò)后，創(chuàng)建升級(jí)任務(wù)。管理人員對(duì)升級(jí)任務(wù)進(jìn)行審批，審批通過(guò)后，升級(jí)人員開(kāi)始任務(wù)刷新。升級(jí)任務(wù)結(jié)束后，如任務(wù)失敗，則需要用CAN盒連接車輛，重試任務(wù)復(fù)現(xiàn)問(wèn)題，采集CAN報(bào)文和無(wú)線車載終端日志，開(kāi)展問(wèn)題分析。待問(wèn)題解決后重新測(cè)試。FOTA升級(jí)流程圖見(jiàn)圖2。

2 電動(dòng)汽車FOTA測(cè)試驗(yàn)證

2.1 電動(dòng)汽車FOTA測(cè)試工具

在開(kāi)展FOTA測(cè)試前，需把測(cè)試工具準(zhǔn)備齊全，同時(shí)為提高升級(jí)成功率，測(cè)試車輛應(yīng)放置在網(wǎng)絡(luò)通訊良好的場(chǎng)地。測(cè)試工具見(jiàn)表1。

2.2 電動(dòng)汽車FOTA測(cè)試內(nèi)容

測(cè)試內(nèi)容包含常規(guī)測(cè)試和條件測(cè)試。

2.2.1 常規(guī)測(cè)試

常規(guī)測(cè)試包含全模塊測(cè)試、單模塊測(cè)試兩種類型。全模塊和單模塊升級(jí)包傳至FOTA云平臺(tái)后，根據(jù)測(cè)試目的建立不同升級(jí)任務(wù)刷新。例如無(wú)線車載終端包含MCU（單片機(jī)）和MPU（微處理器）兩個(gè)模塊，需上傳三個(gè)升級(jí)包，第一個(gè)升級(jí)包MCU/MPU模塊均為低版本，第二個(gè)升級(jí)包MCU模塊為高版本/MPU模塊為低版本，第三個(gè)升級(jí)包MCU /MPU模塊均為高版本。

2.2.2 條件測(cè)試

條件測(cè)試是在刷新過(guò)程中模擬用戶常見(jiàn)使用場(chǎng)景，例如：

1）在升級(jí)任務(wù)刷新過(guò)程中，拔插無(wú)線車載終端電源線。

2）在升級(jí)任務(wù)刷新過(guò)程中，拔插無(wú)線車載終端天線。

3）在升級(jí)任務(wù)刷新過(guò)程中，先開(kāi)關(guān)車門(mén)，踩剎車，OFF->ACC->ON檔位切換操作。

4）車輛鑰匙處于OFF檔/ACC檔/ON檔/READY不同狀態(tài)進(jìn)行任務(wù)刷新。

3 電動(dòng)汽車FOTA測(cè)試方法

3.1 FOTA測(cè)試前提條件

測(cè)試電腦登錄連接至FOTA云平臺(tái)，云平臺(tái)服務(wù)器正常運(yùn)行。FOTA云平臺(tái)已成功注冊(cè)測(cè)試車輛和ECU零件。測(cè)試人員已準(zhǔn)備好ECU零件升級(jí)包。ECU零件升級(jí)包已成功刷寫(xiě)在測(cè)試車輛上。測(cè)試車輛狀態(tài)良好且已放置在網(wǎng)絡(luò)通訊良好的場(chǎng)地。

3.2 ECU零件升級(jí)條件閥值

為保證升級(jí)成功，各ECU零件根據(jù)自身需求設(shè)定升級(jí)任務(wù)刷新前，測(cè)試車輛需滿足的條件閥值。FOTA云平臺(tái)閥值見(jiàn)表2。

3.3 測(cè)試步驟

3.3.1 上傳升級(jí)包

1）升級(jí)人員登錄FOTA云平臺(tái)。

2）將準(zhǔn)備好的低/高版本升級(jí)包按順序上傳至FOTA云平臺(tái)。

3.3.2 升級(jí)任務(wù)

1）新建升級(jí)任務(wù)。

2）執(zhí)行升級(jí)任務(wù)。

3）當(dāng)執(zhí)行升級(jí)任務(wù)后，F(xiàn)OTA平臺(tái)將檢測(cè)車輛實(shí)際狀態(tài)是否與設(shè)置的前置條件一致。如車輛實(shí)際狀態(tài)符合要求，F(xiàn)OTA云平臺(tái)將開(kāi)啟升級(jí)任務(wù)進(jìn)入刷新模式。

4）在任務(wù)刷新過(guò)程中，由于出現(xiàn)車輛電池電壓低或CAN線不穩(wěn)定等意外情況，導(dǎo)致任務(wù)無(wú)法正常刷新，則要求升級(jí)的ECU零件要支持回滾，使ECU零件的軟件能夠回滾到上一版本或者初始版本，保證車輛正常運(yùn)行。

5）FOTA任務(wù)刷新完成后，查看升級(jí)結(jié)果。

3.4 期望結(jié)果

在實(shí)車測(cè)試中，要求所有測(cè)試用例均需要通過(guò)，才能判定升級(jí)包可用于用戶車輛升級(jí)。具體要求如表3所示。

4 結(jié)束語(yǔ)

整車FOTA功能是實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車快速迭代升級(jí)的必備條件，是電動(dòng)汽車未來(lái)發(fā)展的必然趨勢(shì)。本文分析了電動(dòng)汽車FOTA 系統(tǒng)的組成和升級(jí)流程，并建立完整的測(cè)試用例，列舉了單節(jié)點(diǎn)正向測(cè)試、多節(jié)點(diǎn)組合正向測(cè)試和單節(jié)點(diǎn)場(chǎng)景測(cè)試的詳細(xì)要求和操作步驟。通過(guò)完整的測(cè)試流程，目的是驗(yàn)證整車升級(jí)過(guò)程的可行性、安全性和可靠性。期望能對(duì)相關(guān)測(cè)試人員具有一定的指導(dǎo)意義。FOTA技術(shù)在汽車上的應(yīng)用，極大提升了用戶體驗(yàn)，也為整車制造廠創(chuàng)造巨大的經(jīng)濟(jì)效益，同時(shí)進(jìn)一步促進(jìn)汽車朝著網(wǎng)聯(lián)化、智能化、共享化的方向發(fā)展。

基金項(xiàng)目：廣西創(chuàng)新驅(qū)動(dòng)發(fā)展專項(xiàng)資金資助項(xiàng)目（桂科AA18242039）;柳州市科學(xué)研究與技術(shù)開(kāi)發(fā)計(jì)劃資助項(xiàng)目（2019AG10202）

參考文獻(xiàn)：

[1]李志濤.FOTA功能測(cè)試的研究與分析[J].汽車電器，2020（7）：21—24.

[2]李立安，趙幗娟，任廣樂(lè).OTA實(shí)現(xiàn)方案及汽車端設(shè)計(jì)分析[J].智能網(wǎng)聯(lián)汽車，2020（14）：16—19.

[3]王棟梁，湯利順，陳博，柳旭，劉闖.智能網(wǎng)聯(lián)汽車整車OTA功能設(shè)計(jì)研究[J].汽車技術(shù)，2018（10）：29—33.

[4]武翔宇，趙德華，郝鐵亮.淺談汽車OTA的現(xiàn)狀與未來(lái)發(fā)展趨勢(shì)[J].汽車實(shí)用技術(shù)，2019（3）：215—216.

[5]李銳，杜貴鋒，謝祥東.商用車FOTA人機(jī)交互設(shè)計(jì)[J].汽車電器，2019（6）：9—10.