基于商用車遠(yuǎn)程數(shù)據(jù)升級（FOTA）的技術(shù)研究

張新宇 吳磊 郭曉軒 胡必謙 李杰 張煥巖 劉宏君 佘武45

摘要：本文以商用車遠(yuǎn)程排放監(jiān)控技術(shù)為基礎(chǔ)，詳細(xì)介紹了基于商用車遠(yuǎn)程數(shù)據(jù)升級（FOTA）技術(shù)方案，包括：FOTA系統(tǒng)架構(gòu)、發(fā)動機控制器（ECU）新特性、TBOX新特性和遠(yuǎn)程數(shù)據(jù)升級現(xiàn)實意義等內(nèi)容。

關(guān)鍵詞：遠(yuǎn)程數(shù)據(jù)升級，F(xiàn)OTA，ECU，TBOX

Abstract ：Based on the remote emission monitoring technology of commercial vehicles，this paper introduces in detail the technical scheme of firmware Over-The-Air （FOTA）based on commercial vehicles，including FOTA system architecture，new characteristics of engine controller （ECU），new characteristics of TBOX and the practical significance of FOTA

Key words：remote data upgrade，F(xiàn)OTA，ECU，TBOX

引言

2021年7月1日GB17691-2018 《重型柴油車污染物排放限值及測量方法（中國第六階段）》的正式實施，其中要求每臺商用車都必須通過車載排放終端（TBOX）將車輛排放數(shù)據(jù)、故障碼和各類運行參數(shù)等數(shù)據(jù)上傳到國家大數(shù)據(jù)平臺（GB17691-2018附錄Q中要求），或者先將數(shù)據(jù)上傳到企業(yè)平臺后再上傳到國家平臺，如圖1所示。

目前大部分主機廠的企業(yè)平臺在滿足國家平臺的數(shù)據(jù)監(jiān)管要求后，會采用大數(shù)據(jù)分析算法來對數(shù)據(jù)進行深度分析和挖掘，發(fā)現(xiàn)車輛的各類質(zhì)量問題和潛在失效的風(fēng)險項。雖然車輛在開發(fā)過程中會進行各種極端環(huán)境下的可靠性、耐久性、駕駛性等諸多試驗，但車輛在交付給終端用戶后的實際使用的工況遠(yuǎn)比試驗開發(fā)時遇到的要復(fù)雜的多，存在諸多整車開發(fā)階段無法預(yù)知的質(zhì)量問題和風(fēng)險。

在解決質(zhì)量問題和風(fēng)險的過程中，難免會對發(fā)動機控制器（ECU）進行數(shù)據(jù)升級。目前ECU的數(shù)據(jù)升級方式一般是售后服務(wù)人員通過診斷儀進行手動數(shù)據(jù)升級。而面對大批量的市場在用車的數(shù)據(jù)升級，售后服務(wù)的工作量無疑巨大。如果商用車具備FOTA（遠(yuǎn)程數(shù)據(jù)升級）技術(shù)，則用戶可以進行自主主動數(shù)據(jù)升級或者后臺被動升級，不僅能夠提升數(shù)據(jù)升級服務(wù)效率，而且能快速響應(yīng)用戶需求，提升用戶體驗。

本文就FOTA系統(tǒng)在商用車方面的創(chuàng)新技術(shù)進行論述，包括FOTA系統(tǒng)架構(gòu)、和ECU、TBOX的新特性。

1 FOTA系統(tǒng)架構(gòu)

目前商用車上的車載排放監(jiān)控終端（TBOX）能夠同時與云端服務(wù)器和ECU進行數(shù)據(jù)通信（如圖2所示），是進行FOTA升級開發(fā)最為合適的載體。整個FOTA系統(tǒng)即為基于當(dāng)前遠(yuǎn)程排放監(jiān)控系統(tǒng)的基礎(chǔ)上的創(chuàng)新設(shè)計。

FOTA系統(tǒng)的架構(gòu)如圖3所示。根據(jù)法規(guī)要求、市場問題統(tǒng)計和用戶需求，研發(fā)設(shè)計人員進行制作相應(yīng)的ECU數(shù)據(jù)升級文件。并將此文件提交給系統(tǒng)FOTA系統(tǒng)管理員，管理員將此數(shù)據(jù)和升級指令部署到云服務(wù)器平臺。

之后云服務(wù)器將ECU數(shù)據(jù)發(fā)送需要升級車輛的TBOX，最終由TBOX完成ECU數(shù)據(jù)的升級操縱。

為保證ECU數(shù)據(jù)升級的安全和可靠性，數(shù)據(jù)升級前需要用戶確認(rèn)和車輛狀態(tài)確認(rèn)，在用戶允許、車輛狀態(tài)滿足要求的前提條件下進行數(shù)據(jù)升級。如圖4所示。

2 ECU新特性

為確保ECU數(shù)據(jù)升級的合規(guī)性、安全性和可靠性，ECU全新開發(fā)了A/B分區(qū)和EOL分層的新特性。

2.1 A/B分區(qū)設(shè)計

ECU內(nèi)部memory采用A/B兩個分區(qū)，兩個分區(qū)為并列的關(guān)系，無任何交互的信息。如圖5所示。在無數(shù)據(jù)升級的情況下，車輛默認(rèn)使用ECU內(nèi)的A分區(qū)數(shù)據(jù)。當(dāng)車輛需要進行數(shù)據(jù)升級時，TBOX會先將數(shù)據(jù)傳輸至ECU內(nèi)的B分區(qū)中。

當(dāng)車輛停機后，ECU檢測到B分區(qū)內(nèi)有新數(shù)據(jù)時，此時ECU會切換到優(yōu)先使用B分區(qū)內(nèi)的數(shù)據(jù)，若ECU使用B分區(qū)內(nèi)的數(shù)據(jù)在連續(xù)多個駕駛循環(huán)無異常和報錯，則ECU會在車輛下一次停機后將B分區(qū)內(nèi)的數(shù)據(jù)覆蓋掉原A分區(qū)的數(shù)據(jù)。同時將B分區(qū)的數(shù)據(jù)擦除。ECU恢復(fù)到默認(rèn)使用A分區(qū)數(shù)據(jù)狀態(tài)。

若ECU在使用B分區(qū)中的數(shù)據(jù)過程中出現(xiàn)異常、報錯和無法起動等問題，經(jīng)過用戶確認(rèn)ECU可繼續(xù)使用原A分區(qū)數(shù)據(jù)，同時將B分區(qū)中數(shù)據(jù)擦除。

2.2 EOL分層設(shè)計

根據(jù)國六階段排放法規(guī)要求國家監(jiān)管部門會對ECU的版本狀態(tài)進行監(jiān)管，任何數(shù)據(jù)升級都需要在國家監(jiān)管平臺進行備案，同時ECU內(nèi)部會對ECU數(shù)據(jù)進行CVN計算，依據(jù)ECU的CVN碼來確保數(shù)據(jù)的唯一性。因此，為了滿足用戶的自定義需求，ECU將A與B分區(qū)都分成多個數(shù)據(jù)層，包括啟動層（startup block）、應(yīng)用層（application block）、排放數(shù)據(jù)層（dataset block）和用戶自定義層（user block）。其中用戶自定義層被設(shè)置為不影響法規(guī)、安全和排放的數(shù)據(jù)層，可以不參與CVN計算。如圖6所示。

用戶自定義層允許用戶對整車功能如（巡航、排輔、電加熱等）和動力性、經(jīng)濟性進行選擇、設(shè)置和自適應(yīng)調(diào)整。能夠滿足不同用戶的需求，提升用戶滿意度。

3? TBOX 新特性

TBOX作為FOTA系統(tǒng)的核心部件，承擔(dān)著數(shù)云服務(wù)器與車輛數(shù)據(jù)交互的重任。為滿足FOTA功能要求，對TBOX進行了重新設(shè)計，提升了功能安全能力、增加異常上報能力和收集用戶自定義需求的能力。

3.1? 功能安全

TBOX要具備防止黑客入侵、防止數(shù)據(jù)被篡改和丟失的能力。其中車載終端存儲、傳輸數(shù)據(jù)應(yīng)該是加密的，應(yīng)采用非對稱加密算法，可使用國密SM2算法或者RSA算法，并且需要采用硬件方式對私鑰進行嚴(yán)格保護。

基于上述安全要求，TBOX需內(nèi)置安全芯片，能夠通過硬件方式對私鑰進行保護和對傳輸數(shù)據(jù)進行監(jiān)控，其監(jiān)控流程如圖7所示。

同時數(shù)據(jù)傳輸過程應(yīng)當(dāng)對數(shù)據(jù)進行掃描，即使發(fā)現(xiàn)惡意的數(shù)據(jù)及攻擊行為，安全檢測應(yīng)當(dāng)檢出95%以上的攻擊，誤報率小于1%，在攻擊開始后10s內(nèi)發(fā)現(xiàn)并啟動保護措施。TBOX基于安全芯片對于云服務(wù)器平臺發(fā)送的指令進行實時監(jiān)控，如發(fā)現(xiàn)異常則終止響應(yīng)平臺，并且TBOX會進入鎖定狀態(tài)。此狀態(tài)下TBOX僅保留數(shù)據(jù)上傳的功能，不進行任何ECU數(shù)據(jù)刷寫和其他操作，直到平臺提供正確的解鎖指令。

3.2? 異常主動上報

TBOX持續(xù)監(jiān)控ECU數(shù)據(jù)升級過程，主動上報數(shù)據(jù)升級過程，在發(fā)現(xiàn)車輛異常時（如數(shù)據(jù)中斷、車輛異常斷電等）向云服務(wù)器平臺和用戶報警。

企業(yè)云服務(wù)器在收到報警和故障信息后，會通知企業(yè)客服人員（400）和附近4s店關(guān)注異常車輛以便第一時間進行現(xiàn)場處理。同時TBOX通過中控臺提醒用戶采取正確的處置方法。如圖8所示。

3.3 用戶自定義需求

TBOX能夠收集用戶通過中控臺反饋的自定義需求，并反饋到企業(yè)云服務(wù)器，由FOTA系統(tǒng)管理員提交給企業(yè)研發(fā)設(shè)計模塊進行評估和開發(fā)設(shè)計。

4? 結(jié)論

隨著汽車技術(shù)的不斷升級，越來越多的商用車裝配了TBOX，開發(fā)商用車遠(yuǎn)程數(shù)據(jù)升級技術(shù)（FOTA）具有十分重要的戰(zhàn)略意義，不僅能夠快速、有效的進行市場問題處理，提升產(chǎn)品品質(zhì)，而且能夠滿足用戶的定制化需求，提升用戶體驗和滿意度。

本文對商用車FOTA技術(shù)的應(yīng)用、FOTA系統(tǒng)架構(gòu)、ECU新特性、和TBOX新特性等方面進行介紹，并對其創(chuàng)新設(shè)計點和能夠解決的實際問題進行了說明。

隨著汽車行業(yè)的數(shù)字化轉(zhuǎn)型的不斷推進，商用車FOTA技術(shù)將會進行不斷的升級和拓展。

參考文獻

[1]重型柴油車污染物排放限值及測量方法（中國第六階段）GB17691-2018