汽車在線升級(jí)系統(tǒng)（OTA）開發(fā)淺析

姜楠　姜姍姍　韓小鵬

摘 要：介紹了汽車在線升級(jí)系統(tǒng)（OTA）的應(yīng)用場(chǎng)景及功能，闡明了升級(jí)系統(tǒng)中車端及云端模塊開發(fā)策略及架構(gòu);同時(shí)明確了與整車其他ECU的交互需求;最后介紹了在線升級(jí)系統(tǒng)測(cè)試相關(guān)內(nèi)容。汽車在線升級(jí)逐步成為整車標(biāo)準(zhǔn)配置，本文通過這幾部分的介紹，明確了在線升級(jí)系統(tǒng)開發(fā)框架，對(duì)后續(xù)產(chǎn)品開發(fā)具有指導(dǎo)意義。

關(guān)鍵詞：在線升級(jí) OTA 開發(fā)策略

1 引言

汽車聯(lián)網(wǎng)能力日漸普及，以“互聯(lián)網(wǎng)云服務(wù)”為中心的內(nèi)容及服務(wù)系統(tǒng)逐步建立，為每位客戶建立個(gè)人賬戶系統(tǒng)，提供語音交互，在線導(dǎo)航、新聞資訊、在線音樂電臺(tái)等典型互聯(lián)網(wǎng)特色的內(nèi)容;同時(shí)，企業(yè)為完善自身的信息化建設(shè)和軟件管理能力，搭建OTA及信息安全管理平臺(tái)勢(shì)在必行。按照智能網(wǎng)聯(lián)要求，重新規(guī)劃構(gòu)造汽車端的架構(gòu)及總線體系，自主構(gòu)建統(tǒng)一的OTA更新體系，同時(shí)為智能網(wǎng)聯(lián)核心功能的發(fā)展和迭代打下堅(jiān)實(shí)的基礎(chǔ)。另一方面，推出支撐駕駛輔助及低級(jí)別自動(dòng)駕駛的智能網(wǎng)聯(lián)汽車，通過已經(jīng)建立好的OTA體系，不斷優(yōu)化輔助駕駛的算法和能力，逐步向高級(jí)別推進(jìn)，車聯(lián)網(wǎng)后臺(tái)也可通過OTA渠道收集并處理更多與輔助駕駛相關(guān)的大數(shù)據(jù)，為后續(xù)開發(fā)提供依據(jù)。

2 OTA應(yīng)用場(chǎng)景

OTA（Over-the-Air ）空中升級(jí)技術(shù)，主要包括：

FOTA，固件軟件（Firmware）遠(yuǎn)程升級(jí)，比如可以通過對(duì)整車某零件ECU刷寫新版調(diào)校參數(shù)，從而改善某些駕駛性能。

SOTA，應(yīng)用軟件（Software）遠(yuǎn)程升級(jí)、軟件可售，像中控大屏、數(shù)字儀表和HUD帶有操作系統(tǒng)，可獨(dú)立升級(jí)操作系統(tǒng)之上的應(yīng)用軟件。

2.1 OTA功能介紹

OTA功能在整車開發(fā)中的優(yōu)勢(shì)日漸突出，可極大降低售后成本，同時(shí)為客戶省去了維修、保養(yǎng)的時(shí)間，具體優(yōu)點(diǎn)如下：

對(duì)軟件缺陷進(jìn)行修復(fù)及安全漏洞修復(fù)：更便捷的控制器軟件修復(fù)，降低召回成本，低成本的故障解決和問題修復(fù)，問題漏洞及時(shí)關(guān)閉。

新功能導(dǎo)入和迭代：功能服務(wù)的導(dǎo)入和迭代，提升人機(jī)交互和服務(wù)升級(jí)，用戶體驗(yàn)持續(xù)提升，產(chǎn)品性能優(yōu)化;車輛功能及主題等不定期優(yōu)化，使用戶體驗(yàn)到常用常新的新鮮感。

軟件可售及升級(jí)運(yùn)營：汽車軟件、功能、主題皮膚等可售安裝、升級(jí)、軟件服務(wù)制定、節(jié)日彩蛋等。

長周期的功能開發(fā)：可提前規(guī)劃產(chǎn)品開發(fā)型譜，如更高級(jí)的駕駛場(chǎng)景，待技術(shù)成熟后推送給客戶，以達(dá)到功能增值的目的。

2.2 OTA應(yīng)用場(chǎng)景介紹

整車電子架構(gòu)圍繞中央智能網(wǎng)關(guān)分為4個(gè)域段：分別為車身舒適域、智能駕駛與智能泊車域、動(dòng)力域、信息娛樂域，不同域段對(duì)OTA的應(yīng)用場(chǎng)景不盡相同，詳見表1：

3 軟件模塊

3.1 車端集成軟件模塊

為實(shí)現(xiàn)OTA功能，車端需要集成以下軟件功能：

DM：Download Management，主要功能為車云業(yè)務(wù)交互及下載。

UC：Update Controller，常分為UC Mastr和UC Slave，主要功能為升級(jí)任務(wù)檢測(cè)、車輛信息收集、人機(jī)交互、升級(jí)包驗(yàn)簽、升級(jí)包分發(fā)、升級(jí)執(zhí)行、進(jìn)度日志;車輛信息收集，實(shí)現(xiàn)自身升級(jí)和下級(jí)ECU的升級(jí)管理。

UA：Update Agent，主要功能為目標(biāo)設(shè)備升級(jí)能力程序，差分還原、升級(jí)流程、異常處理、AB分區(qū)、Recover分區(qū)。

DPC：Diagnostic programming Controller，主要功能為診斷刷寫，通過實(shí)現(xiàn)ECU信息采集進(jìn)行ECU刷新。

其中，圖1為車端集成軟件架構(gòu)。

3.2 云端集成軟件模塊

云端集成軟件模塊功能方案如下：

車輛管理：單車升級(jí)狀態(tài)查詢。

項(xiàng)目管理：項(xiàng)目的增刪改，項(xiàng)目信息統(tǒng)計(jì)。

版本管理：項(xiàng)目把版本對(duì)應(yīng)關(guān)系，差分關(guān)系建立。

策略配置：配置下載條件、配置升級(jí)條件、配置升級(jí)策略。

升級(jí)包測(cè)試：設(shè)定測(cè)試范圍、測(cè)試升級(jí)過程、測(cè)試審核結(jié)果。

任務(wù)發(fā)布：項(xiàng)目策略正式生效，向車輛推送任務(wù)。

數(shù)據(jù)統(tǒng)計(jì)：項(xiàng)目升級(jí)數(shù)據(jù)分析。

可視化管理：全局情況掌握，可視化展示。

用戶管理：用戶角色分配，用戶權(quán)限管理。

對(duì)接服務(wù)：與各種系統(tǒng)對(duì)接服務(wù)。

3.3 控制器的OTA模式要求

當(dāng)車輛處于OTA過程中時(shí)，基于安全因素和OTA的需求考慮，需定義部分控制器在OTA模式下的特殊需求，車輛部分功能受到限制或不可用。

發(fā)動(dòng)機(jī)怠速發(fā)電保持：怠速情況下對(duì)其他控制器OTA升級(jí)時(shí)發(fā)動(dòng)機(jī)不可熄火。

AT車型P/N檔保持及駐車制動(dòng)保持：TCU保持P/N檔，EPB保持出車制動(dòng)，同時(shí)TCU和EPB在診斷規(guī)范體現(xiàn)具體的診斷功能要求。

換擋請(qǐng)求禁止：BDC換擋功能禁止，換擋器換擋請(qǐng)求禁止，需在BDC及ERTS中定義OTA模式需求。

特殊顯示相關(guān)內(nèi)容：車機(jī)、儀表定義OTA模式要求，儀表及空調(diào)屏幕可不顯示OTA相關(guān)信息。

設(shè)防狀態(tài)保持：BDC定義OTA模式要求，在設(shè)防狀態(tài)下進(jìn)入OTA模式，需保持設(shè)防狀態(tài)。

禁止大功率用電器，空調(diào)、座椅模塊、DBC、車機(jī)定義OTA模式需求，空調(diào)鼓風(fēng)機(jī)禁止、座椅通風(fēng)加熱禁止、后視鏡加熱禁止、車機(jī)音響禁止。

燈光特殊要求：氛圍燈、背光、晝行燈需根據(jù)特殊設(shè)置要求進(jìn)行設(shè)置。

防止OBD接口干擾：網(wǎng)關(guān)定義OTA模式，OTA過程中禁止OBD診斷。

3.4 整車中不同ECU的要求

針對(duì)不同類型ECU，需根據(jù)其功能和通訊形式定義技術(shù)要求。

CGW：采集域內(nèi)CAN（FD）總線數(shù)據(jù)以及以太網(wǎng)報(bào)文，需包含網(wǎng)段標(biāo)識(shí)、報(bào)文時(shí)間等信息，以規(guī)定周期，打包成以太網(wǎng)報(bào)文上傳至TBOX。

TBOX：使用本地RAM緩存接收到的以太網(wǎng)報(bào)文，解析數(shù)據(jù)，在規(guī)定周期內(nèi)壓縮并上傳至云端，針對(duì)觸發(fā)事件，TBOX接受觸發(fā)事件標(biāo)識(shí)位，上傳至EPPOM命名的文件。TBOX實(shí)現(xiàn)車內(nèi)診斷儀功能，在滿足特定車輛工況下，讀取ECU本地記錄特定事件數(shù)據(jù)，TBOX使用專用存儲(chǔ)空間進(jìn)行數(shù)據(jù)存儲(chǔ)，循環(huán)覆蓋;若由于網(wǎng)絡(luò)信號(hào)差等原因造成上傳云端失敗，斷網(wǎng)數(shù)據(jù)存儲(chǔ)在EMMC中，待網(wǎng)絡(luò)信號(hào)轉(zhuǎn)好后，補(bǔ)充上傳未成功的數(shù)據(jù)。針對(duì)其他ECU，需有信號(hào)標(biāo)識(shí)位，在功能異?；虍惓Ｊ录蛉魏喂收习l(fā)生時(shí)信號(hào)置位，TBOX通過判斷此信號(hào)置位與否，決定是否上傳ERROR文件。

4 OTA測(cè)試

4.1 OTA測(cè)試方案

OTA測(cè)試方案完整框架如圖2所示：

4.2 OTA功能測(cè)試用例

OTA功能測(cè)試包含云端功能測(cè)試、車端流程測(cè)試、車云接口測(cè)試、車云策略測(cè)試、車云管理測(cè)試五方面內(nèi)容。

云端功能測(cè)試包含首頁功能、零件管理、汽車管理、策略管理、任務(wù)管理、統(tǒng)計(jì)分析、日志管理、企業(yè)管理、系統(tǒng)管理、安全管理、登陸管理、用戶信息管理。

車端流程測(cè)試包含車輛注冊(cè)流程、升級(jí)檢測(cè)流程、升級(jí)下載流程、升級(jí)安裝流程、結(jié)果上報(bào)流程、HMI測(cè)試、整車交互流程。

云車接口測(cè)試包含車云注冊(cè)接口、獲取服務(wù)器配置、上報(bào)汽車端信息、檢測(cè)版本接口、升級(jí)結(jié)果上報(bào)接口、日志上傳接口、事件上報(bào)接口、統(tǒng)計(jì)分析接口、根證書下發(fā)。

車云策略測(cè)試包含總體策略、測(cè)試通過標(biāo)準(zhǔn)制定、微服務(wù)基準(zhǔn)壓測(cè)策略、場(chǎng)景壓測(cè)測(cè)試策略、數(shù)據(jù)正確性驗(yàn)證。

車云管理測(cè)試包含通訊安全、認(rèn)證測(cè)試、信息泄露測(cè)、會(huì)話管理、文件管理、接口重放攻擊、XSS攻擊、跨站點(diǎn)請(qǐng)求偽造、權(quán)限管理測(cè)試、安全日志測(cè)試等。

5 結(jié)語

眾所周知，針對(duì)高級(jí)別自動(dòng)駕駛的實(shí)現(xiàn)，必須通過硬件冗余及軟件OTA迭代的方式，具有強(qiáng)大的硬件性能和軟件OTA能力的車輛才能成為真正意義上的智能終端，車聯(lián)網(wǎng)也將成為將大數(shù)據(jù)監(jiān)控、分析、更新能力、用戶服務(wù)管理能力融為一體的“下一代車聯(lián)網(wǎng)”。因此，OTA的發(fā)展必將成為推動(dòng)汽車發(fā)展的一大助力。