李立安 趙幗娟 任廣樂(lè)

摘 要：智能網(wǎng)聯(lián)汽車時(shí)代，軟件已逐步成為汽車的核心競(jìng)爭(zhēng)力。汽車OTA能夠?qū)崿F(xiàn)汽車軟件的遠(yuǎn)程升級(jí)，可以提升用戶體驗(yàn)，降低車廠由于軟件缺陷帶來(lái)的召回成本，已成為智能網(wǎng)聯(lián)汽車的關(guān)鍵技術(shù)。汽車內(nèi)控制器數(shù)目、種類繁多，軟硬件差異較大，因此汽車OTA技術(shù)對(duì)汽車設(shè)計(jì)將帶來(lái)一定的挑戰(zhàn)。文章介紹汽車OTA系統(tǒng)的組成，OTA管理平臺(tái)的結(jié)構(gòu)和功能，重點(diǎn)分析OTA技術(shù)對(duì)汽車端的要求和汽車端的實(shí)施方案。

關(guān)鍵詞：OTA;遠(yuǎn)程升級(jí);智能網(wǎng)聯(lián);汽車軟件

中圖分類號(hào)：TP311.5 ?文獻(xiàn)標(biāo)識(shí)碼：A ?文章編號(hào)：1671-7988（2020）14-16-04

Abstract： In the era of intelligent connected vehicle（ICV）， software has gradually become the main competitiveness of the vehicle. OTA can realize the remote upgrade of vehicle software， improve the user experience and reduce the recall cost due to software defects， which has become the key technology of ICV. There are many kinds of controllers in the vehicle， and the difference between software and hardware is large. So the vehicle OTA technology will bring some challenges to the vehicle design. This paper introduces the composition of vehicle OTA system， the structure and function of OTA management platform， and analyzes the requirements and implementation plan of OTA technology for the vehicle.

Keywords： OTA; Remote Upgrade; ICV; Vehicle Software

CLC NO.： TP311.5 ?Document Code： A ?Article ID： 1671-7988（2020）14-16-04

前言

隨著人工智能、電子控制以及互聯(lián)網(wǎng)技術(shù)的不斷完善，汽車正逐步從機(jī)械產(chǎn)品演變成為集各種先進(jìn)電子技術(shù)于一身的智能網(wǎng)聯(lián)汽車。智能網(wǎng)聯(lián)汽車的各個(gè)系統(tǒng)，從燈光控制到車輛控制，從主動(dòng)安全到高級(jí)自動(dòng)駕駛系統(tǒng)，無(wú)一不借助各種精密可靠的電子電氣系統(tǒng)得以實(shí)現(xiàn)。軟件定義汽車時(shí)代，軟件作為智能網(wǎng)聯(lián)汽車的重要組成部分，其規(guī)模和復(fù)雜程度不斷增加，軟件也成為迭代最快，最容易個(gè)性化的部分。汽車的遠(yuǎn)程升級(jí)能力可以保證汽車的軟件系統(tǒng)及時(shí)更新，導(dǎo)入新的功能，提升用戶體驗(yàn)。同時(shí)，也可以修復(fù)軟件問(wèn)題，有效降低主機(jī)廠的開(kāi)發(fā)風(fēng)險(xiǎn)和召回成本[1]。因此，汽車的遠(yuǎn)程升級(jí)能力是智能網(wǎng)聯(lián)汽車必備的功能。

OTA（Over-the-Air）是指通過(guò)無(wú)線網(wǎng)絡(luò)下載遠(yuǎn)程服務(wù)器上的升級(jí)包，對(duì)系統(tǒng)或應(yīng)用進(jìn)行升級(jí)的技術(shù)。汽車的OTA解決方案實(shí)現(xiàn)了汽車內(nèi)控制器的遠(yuǎn)程升級(jí)能力，OTA在手機(jī)、平板電腦等消費(fèi)類電子產(chǎn)品中已經(jīng)廣泛應(yīng)用，技術(shù)相對(duì)成熟，但對(duì)于汽車是一個(gè)比較新的技術(shù)解決方案。由于車內(nèi)控制器數(shù)目、種類繁多，軟硬件差異很大，并且車內(nèi)網(wǎng)絡(luò)構(gòu)成復(fù)雜，網(wǎng)絡(luò)傳輸速率有限等，都給汽車的OTA設(shè)計(jì)帶來(lái)了很大的挑戰(zhàn)[2，3]。因此需要在汽車設(shè)計(jì)過(guò)程中，進(jìn)行有針對(duì)性的詳細(xì)設(shè)計(jì)，以滿足汽車OTA的需求。本文將設(shè)計(jì)智能網(wǎng)聯(lián)汽車OTA的實(shí)現(xiàn)方案，并重點(diǎn)分析汽車端OTA升級(jí)能力的需求和實(shí)現(xiàn)方式。

1 汽車OTA系統(tǒng)的構(gòu)成

汽車OTA系統(tǒng)的構(gòu)成如圖1所示，汽車OTA系統(tǒng)是一個(gè)云端-車端協(xié)同工作的產(chǎn)品，主要由云端的OTA管理平臺(tái)以及汽車端的OTA執(zhí)行層組成。二者通過(guò)移動(dòng)通信網(wǎng)絡(luò)連接，共同完成汽車的OTA升級(jí)任務(wù)[4，5]。

當(dāng)汽車進(jìn)行OTA升級(jí)時(shí)，后臺(tái)操作人員根據(jù)預(yù)先制定的汽車控制器軟件的升級(jí)需求，選擇合適的升級(jí)范圍和升級(jí)車輛，并遠(yuǎn)程下發(fā)升級(jí)任務(wù)。升級(jí)任務(wù)通過(guò)4G或WIFI等無(wú)線網(wǎng)絡(luò)傳輸至符合升級(jí)條件的汽車內(nèi)，汽車內(nèi)的主控控制器接受到升級(jí)指令、下載升級(jí)文件，并執(zhí)行升級(jí)命令，完成汽車內(nèi)控制器的升級(jí)。

2 OTA管理平臺(tái)設(shè)計(jì)

OTA管理平臺(tái)是后臺(tái)操作人員操作和維護(hù)的主要工具。在OTA管理平臺(tái)內(nèi)需要完成升級(jí)包的制作、升級(jí)任務(wù)的下發(fā)、升級(jí)結(jié)果的收集等整個(gè)升級(jí)流程的控制，同時(shí)還需要對(duì)車輛的信息、升級(jí)的成功率等進(jìn)行統(tǒng)計(jì)匯總。

OTA管理平臺(tái)采用面向服務(wù)的架構(gòu)設(shè)計(jì)方式，采用三層體系架構(gòu)設(shè)計(jì)，OTA管理平臺(tái)的構(gòu)成如圖2所示。分為前端表現(xiàn)層、業(yè)務(wù)邏輯層和數(shù)據(jù)訪問(wèn)層。前端表現(xiàn)層向用戶展示了OTA的操作頁(yè)面，如用戶管理、車輛管理、策略管理、任務(wù)管理等。業(yè)務(wù)邏輯層是OTA的核心業(yè)務(wù)層，所有的OTA業(yè)務(wù)都在業(yè)務(wù)邏輯層實(shí)現(xiàn)，如：創(chuàng)建OTA任務(wù)、統(tǒng)計(jì)OTA報(bào)表、向汽車端推送OTA升級(jí)指令等。數(shù)據(jù)訪問(wèn)層實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一處理，包含用戶日志的存儲(chǔ)、檢索，用戶業(yè)務(wù)數(shù)據(jù)的存取、處理操作等。OTA管理平臺(tái)的主要功能如下：

（1）升級(jí)包的制作：汽車內(nèi)控制器的升級(jí)，可以采用整包升級(jí)的方式，也可以采用差分升級(jí)的方式。差分升級(jí)包可以減少用戶流量消耗，縮短下載時(shí)間，提升用戶體驗(yàn)。OTA管理平臺(tái)需要根據(jù)升級(jí)包的大小確定是否制作差分升級(jí)包，升級(jí)包的制作還包括對(duì)升級(jí)文件的簽名和加密過(guò)程，OTA管理平臺(tái)將經(jīng)過(guò)簽名的升級(jí)包下發(fā)。

（2）與其它平臺(tái)進(jìn)行對(duì)接：OTA管理平臺(tái)需要與車廠現(xiàn)有的其它平臺(tái)進(jìn)行對(duì)接，實(shí)現(xiàn)基礎(chǔ)數(shù)據(jù)的同步獲取以及升級(jí)任務(wù)的交互。如與TSP （Telematics Service Provider）平臺(tái)進(jìn)行對(duì)接，將升級(jí)任務(wù)由TSP平臺(tái)下發(fā)至車輛和用戶手機(jī)端。

（3）升級(jí)任務(wù)的管理與分發(fā)：OTA管理平臺(tái)需要根據(jù)預(yù)先制定好的升級(jí)方案，實(shí)現(xiàn)升級(jí)任務(wù)的配置，選擇需要升級(jí)的具體車輛、車型，并制定升級(jí)策略，生成升級(jí)任務(wù)并下發(fā)。

（4）權(quán)限管理及數(shù)據(jù)統(tǒng)計(jì)：OTA管理平臺(tái)支持職責(zé)權(quán)限的賬號(hào)管理體系，實(shí)現(xiàn)賬號(hào)管理、角色管理和權(quán)限設(shè)置。OTA管理平臺(tái)可以進(jìn)行車輛總數(shù)、激活車輛總數(shù)、發(fā)布的任務(wù)總數(shù)、升級(jí)成功總數(shù)等的匯總統(tǒng)計(jì)，此外還可以針對(duì)控制器的升級(jí)情況進(jìn)行分類統(tǒng)計(jì)，包括控制器升級(jí)成功總數(shù)以及升級(jí)成功率排行等。

3 汽車端設(shè)計(jì)分析

汽車的OTA升級(jí)過(guò)程由汽車內(nèi)的控制器執(zhí)行，因此在汽車端設(shè)計(jì)過(guò)程中，需要完成以下工作：①構(gòu)建汽車端的升級(jí)能力，包括接收升級(jí)任務(wù)、車輛狀態(tài)以及升級(jí)信息回傳、升級(jí)流程的發(fā)起等。②制定合理的汽車端通信協(xié)議，實(shí)現(xiàn)車內(nèi)數(shù)據(jù)的傳輸，包括升級(jí)包的分發(fā)、升級(jí)指令的下發(fā)、車輛信息的回傳等。③開(kāi)發(fā)OTA升級(jí)界面，提供HMI（人機(jī)交互）顯示，支持用戶下載和安裝流程的啟動(dòng)。④根據(jù)汽車OTA升級(jí)過(guò)程中的需求，設(shè)計(jì)符合汽車OTA升級(jí)的整車模式。

3.1 升級(jí)能力的構(gòu)建

3.1.1 汽車端OTA架構(gòu)設(shè)計(jì)

汽車端OTA的架構(gòu)如圖3所示。汽車端需要選擇一個(gè)控制器作為OTA升級(jí)的主控控制器，并由該控制器集成OTA升級(jí)的主控程序UC（Update Control），作為汽車端升級(jí)控制的主體與OTA管理平臺(tái)進(jìn)行數(shù)據(jù)通信，并控制汽車內(nèi)的控制器升級(jí)。在車型設(shè)計(jì)過(guò)程中，通常選擇TBOX作為升級(jí)的主控控制器。其主要功能是：本地ECU配置信息的采集和上報(bào)，與OTA管理平臺(tái)交互獲得升級(jí)策略文件，目標(biāo)升級(jí)包的下載，升級(jí)包安全性和完整性校驗(yàn)，按照升級(jí)策略文件逐個(gè)進(jìn)行升級(jí)包分發(fā)和目標(biāo)ECU升級(jí)流程的發(fā)起，升級(jí)過(guò)程的記錄及上報(bào)，升級(jí)過(guò)程中與HMI的交互。

對(duì)于帶有安卓或Linux等智能操作系統(tǒng)的控制器（以下簡(jiǎn)稱智能控制器），由于升級(jí)包較大，需要支持差分升級(jí)。 對(duì)于需要進(jìn)行差分升級(jí)的智能控制器（如中控系統(tǒng)IVI、組合儀表IP等），還需要在控制器內(nèi)集成差分還原程序UA（Update Agent），其主要作用是在控制器內(nèi)進(jìn)行差分包的還原。網(wǎng)關(guān)下的ECU升級(jí)包較小，采用整包刷寫的方式進(jìn)行固件升級(jí)，ECU需要支持基于UDS（統(tǒng)一診斷服務(wù)）協(xié)議的刷寫。在OTA升級(jí)過(guò)程中，OTA主控制器承擔(dān)著相當(dāng)于診斷儀的角色，基于CAN總線通訊，TBOX通過(guò)UDS刷寫的方式完成ECU的升級(jí)，網(wǎng)關(guān)起到路由的功能。如果通過(guò)OTA的UDS更新失敗后，ECU需保證能夠通過(guò)診斷儀或者其它刷寫設(shè)備重新進(jìn)行刷寫。

3.1.2 控制器的A/B分區(qū)

汽車在進(jìn)行OTA升級(jí)過(guò)程中，由于外界條件的變化（電池電壓降低、控制器之間通信失敗、人為打斷等），都會(huì)導(dǎo)致控制器的升級(jí)失敗，可能會(huì)導(dǎo)致控制器死機(jī)，并無(wú)法通過(guò)再次OTA升級(jí)的方式解決。因此，對(duì)于重要的控制器，需要進(jìn)行A/B分區(qū)設(shè)置。A/B分區(qū)設(shè)置是指控制器內(nèi)有A、B兩個(gè)系統(tǒng)，兩個(gè)系統(tǒng)相互備份冗余。帶有A/B分區(qū)的控制器的升級(jí)流程如圖4所示。控制器正常運(yùn)行過(guò)程中，A系統(tǒng)正常運(yùn)行，B系統(tǒng)處于待機(jī)狀態(tài)，當(dāng)系統(tǒng)檢測(cè)收到升級(jí)任務(wù)后，B系統(tǒng)開(kāi)始升級(jí)，而A系統(tǒng)仍然正常運(yùn)行，當(dāng)B系統(tǒng)升級(jí)完成后，下次開(kāi)機(jī)時(shí)，B系統(tǒng)啟動(dòng)并正常運(yùn)行，A系統(tǒng)進(jìn)入待機(jī)狀態(tài)。如果B系統(tǒng)升級(jí)過(guò)程中失敗，不影響A系統(tǒng)的正常運(yùn)行，系統(tǒng)將正常工作。

控制器A/B分區(qū)的方式，可以提升系統(tǒng)的穩(wěn)定性，升級(jí)失敗不會(huì)導(dǎo)致系統(tǒng)崩潰。同時(shí)控制器的升級(jí)場(chǎng)景更為靈活，B系統(tǒng)升級(jí)過(guò)程中，A系統(tǒng)可以正常工作，不影響車輛的正常功能。對(duì)于控制器的A/B分區(qū)，需要依托硬件設(shè)備支持，可進(jìn)行雙系統(tǒng)備份升級(jí)?？刂破髟谠O(shè)計(jì)過(guò)程中，要充分考慮系統(tǒng)備份的設(shè)置。

3.2 控制器之間的通訊方式

在進(jìn)行OTA升級(jí)過(guò)程中，升級(jí)主控制器與被升級(jí)控制器之間需要進(jìn)行升級(jí)指令的下發(fā)、升級(jí)包的傳輸，同時(shí)需要對(duì)控制器的版本、車輛的狀態(tài)進(jìn)行識(shí)別。因此需要控制器之間有穩(wěn)定的傳輸通道。CAN（Controller Area Network）總線是ISO國(guó)際標(biāo)準(zhǔn)化的串行通信協(xié)議，是目前常見(jiàn)的車內(nèi)總線，用于車內(nèi)各控制器之間的信號(hào)傳輸。因此，對(duì)于汽車端的升級(jí)指令、升級(jí)結(jié)果等可以通過(guò)CAN總線進(jìn)行傳輸，車輛的狀態(tài)信息由TBOX經(jīng)CAN總線采集后，通過(guò)升級(jí)主控程序上傳至OTA管理平臺(tái)。

在車輛進(jìn)行OTA升級(jí)的過(guò)程中，升級(jí)流程的控制由TBOX內(nèi)集成的UC完成，當(dāng)有控制器需要升級(jí)時(shí)，由TBOX進(jìn)行升級(jí)包的下載及分發(fā)，并將升級(jí)包傳輸至需要升級(jí)的控制器內(nèi)，因此需要控制器之間有相應(yīng)的升級(jí)包傳輸通道。CAN總線的傳輸速率是500kb/s，對(duì)于網(wǎng)關(guān)下的ECU，一般全量升級(jí)包為幾kb，可以使用CAN總線進(jìn)行升級(jí)包的傳輸。智能控制器的升級(jí)包通常在10M到1500M之間，使用CAN 總線傳輸會(huì)導(dǎo)致傳輸時(shí)間過(guò)長(zhǎng)，因此在汽車電子電氣架構(gòu)設(shè)計(jì)過(guò)程中，必須考慮智能控制器之間合理的數(shù)據(jù)傳輸方式。如圖3所示的汽車端OTA架構(gòu)設(shè)計(jì)中，TBOX和IVI之間通過(guò)USB通道進(jìn)行傳輸，IVI通過(guò)LVDS線束將升級(jí)包傳給儀表。對(duì)于網(wǎng)關(guān)及網(wǎng)關(guān)下的ECU，通過(guò)CAN總線進(jìn)行升級(jí)包的傳輸。

3.3 OTA的升級(jí)界面及流程

汽車的OTA升級(jí)界面是用戶執(zhí)行OTA升級(jí)流程的操作入口，通常將OTA的升級(jí)界面設(shè)計(jì)在IVI端，方便用戶進(jìn)行升級(jí)操作。OTA升級(jí)界面的內(nèi)容包含升級(jí)任務(wù)通知、軟件版本檢測(cè)、軟件包下載、確認(rèn)安裝等主要流程。汽車端的OTA升級(jí)的交互流程如圖5所示，當(dāng)OTA管理平臺(tái)下發(fā)升級(jí)任務(wù)后，用戶會(huì)在IVI內(nèi)收到TSP推送的升級(jí)通知，若用戶確認(rèn)下載升級(jí)包，將進(jìn)行升級(jí)包的下載，下載過(guò)程中可正常使用車輛。升級(jí)包下載完成后，IVI端將提示用戶是否開(kāi)始安裝，并顯示預(yù)計(jì)升級(jí)時(shí)間，用戶可選擇立即安裝或延遲安裝。圖5所示的流程中確認(rèn)下載和確認(rèn)安裝兩個(gè)步驟需要用戶手工操作，其余為系統(tǒng)執(zhí)行動(dòng)作。確認(rèn)下載和確認(rèn)安裝需要用戶反復(fù)操作兩次，為簡(jiǎn)化流程，也可以進(jìn)行升級(jí)包的靜默下載，即有新的更新包時(shí)系統(tǒng)自動(dòng)下載，省去用戶確認(rèn)下載的步驟，下載完成后再提示用戶安裝，用戶僅需要操作一次就可以完成安裝。

OTA升級(jí)界面是用戶在OTA升級(jí)過(guò)程中的主要交互方式，需要按照OTA的升級(jí)流程進(jìn)行設(shè)計(jì)，同時(shí)升級(jí)界面要做到簡(jiǎn)潔明了、通俗易懂，并能夠?qū)⑸?jí)過(guò)程中的注意事項(xiàng)、升級(jí)軟件的更新內(nèi)容、升級(jí)預(yù)估時(shí)間等清晰地呈現(xiàn)給用戶，便于用戶正確使用OTA的功能。

3.4 汽車的OTA升級(jí)模式

當(dāng)用戶在IVI內(nèi)選擇了確認(rèn)安裝后，OTA主控控制器內(nèi)的UC將檢測(cè)車輛升級(jí)的前置條件，OTA升級(jí)的前置條件如表1所示，對(duì)車輛的電源狀態(tài)、檔位、車速以及電池電量等有確定的要求和依賴。如前置條件符合要求，車輛將開(kāi)始進(jìn)入OTA升級(jí)過(guò)程，按照前置條件的要求，OTA升級(jí)過(guò)程中，車輛的電源狀態(tài)將維持在KL15，如果期間用戶下電，或鎖車離開(kāi)，車輛將下KL15進(jìn)入OFF狀態(tài)，升級(jí)過(guò)程中斷，會(huì)導(dǎo)致控制器升級(jí)失敗，甚至無(wú)法再還原。因此，在OTA升級(jí)過(guò)程中，用戶不能人為下電或鎖車離開(kāi)。同時(shí)對(duì)于高壓相關(guān)的控制器，在升級(jí)過(guò)程中不能工作，車輛不能上高壓，而在車輛實(shí)際使用過(guò)程中，不存在這樣的工況。汽車的OTA升級(jí)工況，與車輛正常使用工況存在一定的差異。

因此需要定義汽車的OTA升級(jí)模式，OTA升級(jí)模式主要是指車輛電源的狀態(tài)維持在KL15，同時(shí)刷寫高壓相關(guān)的控制器時(shí)禁止車輛上高壓，期間允許用戶鎖車，車輛的電源狀態(tài)保持KL15不變。OTA模式主要由車身控制器（BCM）控制，在此種模式下，車輛的升級(jí)流程如圖6所示，當(dāng)檢測(cè)到前置條件通過(guò)時(shí)，車輛進(jìn)入OTA升級(jí)模式，此時(shí)保持在KL15電源狀態(tài)，用戶可以鎖車離開(kāi)。如果需要升級(jí)BCM，在升級(jí)其它控制器完成后對(duì)BCM進(jìn)行升級(jí)，當(dāng)BCM升級(jí)成功后，車輛下KL15電，升級(jí)結(jié)束。

4 結(jié)論

OTA升級(jí)是智能網(wǎng)聯(lián)汽車必備的功能，本文設(shè)計(jì)智能網(wǎng)聯(lián)汽車的OTA系統(tǒng)，介紹了汽車OTA系統(tǒng)的組成，對(duì)OTA管理平臺(tái)的進(jìn)行設(shè)計(jì)介紹和功能分析。重點(diǎn)針對(duì)汽車端實(shí)現(xiàn)OTA功能的關(guān)鍵技術(shù)進(jìn)行了詳細(xì)的分析，包括汽車端OTA升級(jí)能力的構(gòu)建、通信協(xié)議的定義、OTA升級(jí)界面的交互流程以及汽車的OTA升級(jí)模式。本文將為汽車OTA系統(tǒng)設(shè)計(jì)提供參考，汽車OTA技術(shù)的應(yīng)用及普及，將大力推動(dòng)智能網(wǎng)聯(lián)汽車的發(fā)展和用戶體驗(yàn)的升級(jí)。

參考文獻(xiàn)

[1] 武翔宇，趙德華，郝鐵亮.淺談汽車OTA的現(xiàn)狀與未來(lái)發(fā)展趨勢(shì)[J].汽車實(shí)用技術(shù)，2019.282（03）：222-224.

[2] 施慶國(guó)，尚海立，馬婕等.智能網(wǎng)聯(lián)汽車的OTA升級(jí)方案[J].2018中國(guó)汽車工程學(xué)會(huì)年會(huì)論文集，2018（024）：16-22.

[3] 王棟梁，湯利順，陳博，等.智能網(wǎng)聯(lián)汽車整車OTA功能設(shè)計(jì)研究[J].汽車技術(shù)，2018.517（10）：33-37.

[4] 宋偉，胡巧聲，唐俊安.空中下載技術(shù)在商用車上的應(yīng)用[J].汽車電器， 2019（12）：8-11.

[5] 王蘭，郝成龍，許茜.車載通信終端OTA升級(jí)方案[J].汽車實(shí)用技術(shù)， 2018.No.261（06）：18-19.