一種用戶(hù)連接單元OTA其他ECU節(jié)點(diǎn)的方案

梁金安，程 登，蘇國(guó)傳

（上汽通用五菱汽車(chē)股份有限公司廣西汽車(chē)新四化重點(diǎn)實(shí)驗(yàn)室，廣西 柳州 545007）

1 內(nèi)容綜述

隨著技術(shù)的迭代，汽車(chē)技術(shù)能提供給用戶(hù)的體驗(yàn)也就會(huì)逐漸豐富化，但由于汽車(chē)設(shè)計(jì)成型時(shí)功能已然鎖定。若想增加新功能，傳統(tǒng)方式是更換硬件或到4S店更新系統(tǒng)，這種方式花費(fèi)昂貴且浪費(fèi)時(shí)間?，F(xiàn)在，隨著汽車(chē)技術(shù)的成熟，各大車(chē)企開(kāi)始推出了OTA的方式[1]。本文主要闡述一種通過(guò)用戶(hù)連接單元OTA車(chē)上其他ECU節(jié)點(diǎn)的方案。用戶(hù)連接單元是大部分新能源車(chē)對(duì)外部網(wǎng)絡(luò)的唯一連接通道，這就為用戶(hù)連接單元的OTA功能增加提供了有利的條件，作為汽車(chē)內(nèi)部CAN網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接的唯一通道，在保證安全的前提下，用戶(hù)連接單元就能夠完成對(duì)于車(chē)載電子控制單元的相關(guān)刷寫(xiě)操作，即用戶(hù)連接單元OTA其他ECU節(jié)點(diǎn)的功能。

OTA升級(jí)是時(shí)下比較流行且技術(shù)相對(duì)成熟的一種升級(jí)方式，比如智能手機(jī)的系統(tǒng)升級(jí)，這種OTA流程已經(jīng)有比較完善的安全校驗(yàn)方式，也有很多諸如差分升級(jí)、固件升級(jí)、系統(tǒng)升級(jí)的升級(jí)場(chǎng)景。因此將OTA升級(jí)方案應(yīng)用于汽車(chē)電子控制單元部件的升級(jí)，將會(huì)減少車(chē)企的開(kāi)發(fā)和售后維護(hù)成本，完善車(chē)載電子控制單元的功能，豐富車(chē)載多媒體系統(tǒng)等，優(yōu)化用戶(hù)用車(chē)體驗(yàn)，下面就具體介紹相關(guān)的方案[2]。

2 OTA升級(jí)方案

對(duì)于用戶(hù)連接單元OTA其他ECU 節(jié)點(diǎn)的升級(jí)流程，可以參考以下圖1示流程。

首先，各ECU節(jié)點(diǎn)的工程師需要對(duì)升級(jí)包進(jìn)行功能性信息安全性的驗(yàn)證測(cè)試。之后再驗(yàn)證升級(jí)包的文件格式、接口參數(shù)、文件完整性和信息安全性之后，F(xiàn)OTA企業(yè)平臺(tái)工程師向平臺(tái)上傳完整的升級(jí)包，備注升級(jí)包屬性和優(yōu)化的功能等信息，F(xiàn)OTA企業(yè)平臺(tái)服務(wù)器會(huì)自動(dòng)對(duì)文件進(jìn)行排序管理。完成以上的準(zhǔn)備工作，在車(chē)輛的某個(gè)ECU節(jié)點(diǎn)需要進(jìn)行OTA時(shí)，對(duì)應(yīng)的ECU節(jié)點(diǎn)工程師對(duì)目標(biāo)車(chē)輛進(jìn)行檢驗(yàn)，查看實(shí)車(chē)車(chē)型、軟件版本等信息與升級(jí)包的信息是否匹配，確認(rèn)無(wú)誤后由FOTA企業(yè)平臺(tái)工程師部署OTA任務(wù)，部署升級(jí)時(shí)填寫(xiě)對(duì)應(yīng)的升級(jí)先決條件，經(jīng)過(guò)FOTA平臺(tái)相關(guān)領(lǐng)導(dǎo)審核后，升級(jí)任務(wù)才能繼續(xù)往下執(zhí)行。

此時(shí)，F(xiàn)OTA企業(yè)平臺(tái)服務(wù)器會(huì)將更新的升級(jí)信息通過(guò)APP或短信等渠道發(fā)布給對(duì)應(yīng)車(chē)主并彈出窗口進(jìn)行OTA功能的確認(rèn)，此時(shí)車(chē)主通過(guò)手機(jī)APP或車(chē)機(jī)顯示屏可以知道本次OTA的原因以及OTA期間應(yīng)該讓車(chē)輛達(dá)到怎樣的先決條件，如果用戶(hù)選擇本次不升級(jí)，則OTA進(jìn)程不執(zhí)行，該用戶(hù)所屬車(chē)輛本次OTA取消；如果用戶(hù)選擇OTA升級(jí)，則會(huì)再次提醒用戶(hù)確認(rèn)車(chē)輛是否處于所要求的先決條件狀態(tài)，達(dá)到先決條件后車(chē)輛開(kāi)始執(zhí)行OTA指令[3]。

當(dāng)FOTA企業(yè)平臺(tái)服務(wù)器收到確認(rèn)OTA升級(jí)的應(yīng)答之后，用戶(hù)連接單元會(huì)通過(guò)網(wǎng)絡(luò)連接OTA云建立與FOTA企業(yè)平臺(tái)服務(wù)器的鏈接，F(xiàn)OTA企業(yè)平臺(tái)服務(wù)器通過(guò)校驗(yàn)OTA目標(biāo)車(chē)型和版本來(lái)匹配對(duì)應(yīng)的升級(jí)包，匹配對(duì)應(yīng)升級(jí)包后進(jìn)行信息完整性校驗(yàn)，通過(guò)校驗(yàn)后壓縮升級(jí)包，下載壓縮包到用戶(hù)連接單元特定儲(chǔ)存區(qū)域。另外，在升級(jí)壓縮包下載的過(guò)程中，由于用戶(hù)連接單元內(nèi)部有備用電池，不用擔(dān)心下載過(guò)程的供電問(wèn)題，但是需要確保用戶(hù)連接單元的網(wǎng)絡(luò)通訊，同時(shí)確保用戶(hù)連接單元支持差分升級(jí)包、固件升級(jí)包的下載，并且能夠支持?jǐn)帱c(diǎn)續(xù)傳功能，這樣才能保證OTA升級(jí)包的完整性[4]。

在傳輸和下載的過(guò)程中，需要注意以下幾個(gè)重要問(wèn)題：第一個(gè)，OTA升級(jí)壓縮包的完整性；完整性是所有ECU節(jié)點(diǎn)OTA成功的前提，完整的升級(jí)包也是確保OTA之后的功能正常的重要保證。第二個(gè)，需要注意OTA下載的升級(jí)壓縮包的安全性；文件在傳輸和下載的過(guò)程中需要有完整的校驗(yàn)機(jī)制，謹(jǐn)防文件錯(cuò)亂，防止人為篡改，竊取客戶(hù)車(chē)輛信息，更要防止外人控制車(chē)輛，影響用戶(hù)用車(chē)安全。目前車(chē)聯(lián)網(wǎng)OTA功能的加密方式大多是采用國(guó)際比較流行的AES 128對(duì)稱(chēng)加密或者升級(jí)包簽名等加密方式，傳輸過(guò)程使用CMAC防篡改校驗(yàn)。由于OTA升級(jí)涉及多個(gè)控制器，因此盡量不要采用與其他控制器加密方式一樣的算法[5]。

當(dāng)完成OTA升級(jí)壓縮包下載后，用戶(hù)連接單元OTA其他ECU節(jié)點(diǎn)進(jìn)程就可以往下走了。首先用戶(hù)連接單元需要對(duì)OTA升級(jí)壓縮包進(jìn)行解壓，校驗(yàn)升級(jí)包和升級(jí)目標(biāo)節(jié)點(diǎn)的軟件是否匹配，校驗(yàn)升級(jí)包完整性，校驗(yàn)文件的簽名和證書(shū)，確認(rèn)后開(kāi)始升級(jí)。升級(jí)前必須要保持車(chē)輛電池電量充足，不能出現(xiàn)中途斷電的情況，同時(shí)確認(rèn)OTA全過(guò)程車(chē)輛狀態(tài)滿(mǎn)足OTA先決條件，升級(jí)進(jìn)度實(shí)時(shí)上傳至APP或車(chē)機(jī)顯示屏上，供車(chē)輛擁有者實(shí)時(shí)查詢(xún)。OTA任務(wù)執(zhí)行結(jié)束后，OTA結(jié)果推送至APP或車(chē)機(jī)顯示屏，以此提醒用戶(hù)OTA成功或已結(jié)束，可以正常用車(chē)了。

在升級(jí)結(jié)束后，F(xiàn)OTA企業(yè)平臺(tái)服務(wù)器會(huì)重啟用戶(hù)連接單元，F(xiàn)OTA企業(yè)平臺(tái)服務(wù)器會(huì)通過(guò)用戶(hù)連接單元對(duì)實(shí)車(chē)的ECU節(jié)點(diǎn)進(jìn)行驗(yàn)證，如果對(duì)應(yīng)ECU的版本已經(jīng)是目標(biāo)版本，就會(huì)反饋OTA成功，至此結(jié)束OTA進(jìn)程。如果升級(jí)條件不滿(mǎn)足或車(chē)輛改變先決條件導(dǎo)致OTA終止時(shí)，用戶(hù)連接單元就會(huì)向FOTA企業(yè)平臺(tái)服務(wù)器反饋OTA不成功，相應(yīng)的ECU節(jié)點(diǎn)會(huì)進(jìn)行版本回滾，確保ECU節(jié)點(diǎn)不會(huì)因升級(jí)不成功而出現(xiàn)功能失效，確保功能的有效性和信息安全性，確保沒(méi)有降低用戶(hù)的用車(chē)體驗(yàn)。只有保證OTA升級(jí)的完整性、安全性和容錯(cuò)機(jī)制，才能保障OTA升級(jí)的正常運(yùn)行[6]。

在目標(biāo)ECU節(jié)點(diǎn)完成OTA升級(jí)之后，F(xiàn)OTA企業(yè)平臺(tái)服務(wù)器需要記錄各ECU節(jié)點(diǎn)OTA全流程的升級(jí)日志，升級(jí)的日志與日常用車(chē)的日志會(huì)分存儲(chǔ)區(qū)域保存，工程師可以到特定的儲(chǔ)存區(qū)域下載查看，分析和優(yōu)化OTA進(jìn)程。另外，F(xiàn)OTA企業(yè)平臺(tái)服務(wù)器需要具備在不影響用戶(hù)用車(chē)體驗(yàn)的前提下能夠?qū)?chē)輛進(jìn)行遠(yuǎn)程喚醒或遠(yuǎn)程補(bǔ)電等優(yōu)化車(chē)輛升級(jí)條件的操作。只有具備了這些操作的FOTA企業(yè)平臺(tái)服務(wù)器，才能提高OTA的成功率，更好地服務(wù)于OTA業(yè)務(wù)。

3 總結(jié)與展望

以上簡(jiǎn)單地介紹了一種通過(guò)用戶(hù)連接單元OTA其他ECU節(jié)點(diǎn)的方案，這種OTA方法目前已經(jīng)初步成熟，以后會(huì)在實(shí)踐中不斷完善，不斷優(yōu)化；逐步減少OTA流程消耗時(shí)長(zhǎng)，提高OTA期間的抗干擾能力，提高成功率，擴(kuò)大可OTA的ECU節(jié)點(diǎn)數(shù)量。相信在不久的將來(lái)，OTA升級(jí)會(huì)發(fā)揮更大的功能，能夠在保證安全的前提下對(duì)車(chē)內(nèi)所有的電子控制單元進(jìn)行軟件升級(jí)。