当前位置: 整车控制器软件开发-整车开发详细流程
↓↓收藏:面向智能汽车开发的开放式SOA解决方案↓↓
2012年,特斯拉发布了Model S整车控制器软件开发,为汽车行业带来了OTA技术。 每年都会使用OTA来修复问题或增加新功能(图1是特斯拉历年的OTA统计)。
图1 特斯拉历年OTA时间
如今10年过去了,OTA已经被汽车行业广泛认可和接受,各家主机厂也在逐步布局。
首先简单说一下,为什么OTA在汽车行业越来越被接受? 估计大家偶尔也会听说特斯拉的召回事件。 比如今年4月27日,特斯拉在功率半导体制造上的微小差异可能导致后置逆变器发生故障,导致逆变器无法正常控制电流。 仔细观察,某些型号是对电机控制器软件的远程 OTA 更新。
图2 特斯拉召回OTA维修通知
由此可见,远程OTA可以帮助主机厂远程为用户修复软件问题,大大缩短中间步骤的时间。 以前需要回4S店更新软件。 现在,用户只需点击中控上的软件升级,大大缩短了时间。 降低了主机厂的召回成本和用户的时间成本。 其次,OTA还可以为车辆增加新的功能,增加用户的新鲜感,比如更新卡拉OK、影院模式等。到头来,过去买车对主机厂来说是一锤子买卖。 而OTA的加持,可以拓宽主机厂“服务”和“运营”的范围,提升车辆的附加值,比如自动驾驶付费软件包、功能订阅等。
OTA类别
从更新范围来看,OTA分为SOTA(软件-OTA)和FOTA(固件-OTA)。
通俗地说,SOTA就是application upgrade,也就是小规模的应用软件更新。 比如你在手机上更新一个抖音,这就是SOTA。 SOTA通常应用于座舱控制器,以及后续电子电气架构升级后的中央计算单元和大域控制器。 比如驾驶舱控制器中的地图更新、主题壁纸更新、仪表盘风格更新等。特斯拉2019年10月的V10汽车更新包括影院模式、卡拉OK、地图功能升级、茶杯头游戏等。 这些是 SOTA。
由于SOTA的升级范围比较小整车控制器软件开发,对控制器的影响也比较小,所以升级的前提条件比较宽松。 例如,主机厂控制器的UDS升级规范中,通常要求在升级前检查电池电压是否合适。 ,车辆档位,车速,高压等。对于SOTA,档位,车速,高压可能不需要看,可以边开车边升级车子。
FOTA 是固件升级。 需要对控制器整个软件进行刷新,以实现系统功能的全面升级或bug修复。 这类似于以往安卓手机的刷机、重装电脑系统。 目前整车控制器、DCDC、电机控制器、BMS的升级都是FOTA。 例如电机控制器的IGBT过流故障保护策略存在漏洞,需要更新软件; 而Model X Peformance的升级,百公里加速缩短至2.3s,整车热性能提升3倍,弹射模式升级。 这些是 FOTA。
由于FOTA升级会影响到整个控制器的功能,所以升级的前提条件会非常严格。 如上所述,升级前需要检查电池电压是否合适、车辆档位、车速、高压、点火信号等。
目前大部分车企都实现了OTA(无论是SOTA还是FOTA),但大多是重要控制器的OTA功能,比如自动驾驶控制器、中控、电池管理、电机控制等。汽车公司如图3所示。
图3 当前OEM厂商的OTA能力(来源:头宝)
车载OTA系统组件
为了在车上实现控制器的OTA,主机厂必须搭建整个OTA系统,其简要架构如图4所示。整个系统由OTA云服务器、OTA终端、一般为T-Box、 OTA 目标车辆控制器。
图4 OTA系统组成
OTA云服务器
OTA云服务器包含OEM支持OTA升级的所有控制器的完整升级包。 OTA云的设计需求是一个独立的平台,支持多车型、多车型、多规格、各类ECU软件的升级。 OTA云的框架结构主要包括五个部分:OTA管理平台、OTA升级服务、任务调度、文件服务、任务管理,如图5所示。在安全方面,支持多种安全加解密算法,如常用的对称加密算法DES、AES等和非对称加密算法RSA、DSA。
图5 OTA云服务器架构
OTA终端
OTA终端主要包括OTA引擎和OTA适配器。 OTA引擎是连接OTA终端和OTA云端的桥梁,实现云端和终端之间的安全通信,包括升级包下载、升级包解密、差分包重构等功能。 OTA适配器是为了兼容不同软件或设备的不同更新逻辑或流程,按照统一的接口要求封装的不同实现。 升级适配器由需要OTA升级的每个ECU软件实现提供。
OTA对象
OTA对象是车内可支持OTA的控制器,主要包括座舱控制器、ADAS控制器、车内嵌入式控制器。 为了支持OTA功能,控制器必须具备软件备份功能,即A/B分区。 简单的说,控制器会存储两份软件,一份是当前最新的,一份是最后一次的。 当更新异常或更新失败时,您可以使用之前版本的软件。 保证控制器不会被刷死。
图6 控制器A/B分区(来源11号机构)
OTA工艺
在车辆出厂前,主机厂通常需要将车型和车辆信息录入OTA云信息管理系统。 那么当汽车卖给用户时,首先要在OTA云上注册并激活车载OTA终端。 OTA终端上传自己的SN和车辆VIN,向OTA云服务器申请证书。 验证VIN和SN合法后(SN是否在激活列表中),后台会出具证书,修改车辆状态为激活。 这样,终端与云端的通信链路就建立起来了。
当市场用户反馈或主机厂内测的控制器软件存在BUG时,各控制器供应商会修复问题,然后提供软件升级包给主机厂。 ,进入OTA云服务器需要升级的软件列表。
然后OTA管理器创建OTA升级对象、升级计划和升级内容,并向相应的用户车辆发送通知。
根据中控屏提示,用户适时确认升级,OTA终端开始从云端下载软件包。 这里有两种情况。 如果本地没有当前版本软件包的备份,则申请下载当前版本软件包的完整版,如果有,则下载当前软件包的差分包。
差分包的原理是通过差分算法比较OTA云上新旧软件包的差异,常用的有Xdelta算法、Vcdiff算法、Bsdiff算法,然后生成差分包. 将差分包下载到OTA端后,再与本地保存的旧文件进行比对,即可恢复新的软件包。
图7 差动原理
当OTA端完成新软件包的下载和验证签名验证,当满足相应ECU的闪烁条件时,比如上面提到的车辆状态:电池电压,车速,高压状态,以及OTA终端状态的当前状态(如图8所示),满足条件后,用软件更新ECU。
还有一种预约升级场景,比如晚上10点预约升级。 这种情况下,T-Box需要有定时唤醒功能。 T-Box在预定时间被唤醒,然后唤醒BCM为车辆供电。 头灯等)工作以避免过度消耗电池。 在判断车辆满足条件后,启动升级流程,对控制器进行升级。
图8 OTA终端升级任务管理(来源知网)
升级过程中,OTA终端应及时将ECU升级进度上传至OTA管理服务器,升级完成后上报升级成功结果。
整个OTA升级流程如图9所示。
图9 OTA版本升级流程(来源知网)
OTA系统的安全机制
整个OTA系统的安全需要对OTA云端到OTA终端、OTA对象的全链路进行全方位的保护。 从软件上传到OTA云端、OTA云端到OTA终端,以及车辆内部升级过程中的各个环节,都采用适当的加密机制来提高整个升级过程的安全性,包括OTA云端权限限制、证书验证、签名验证和权限。 核实。
在下载软件包之前,OTA云和终端首先使用PKI/CA认证系统进行双向认证。 验证通过后,云端与车机将建立基于TLS安全协议的安全通信通道,确保云端与车机信息传输的安全性。 在车内,T-Box、IVI、网关之间的交互信息采用私有协议以密文方式传输。 升级固件的加解密是通过T-Box、IVI、网关内部集成的硬件安全模块进行的。 同时,硬件安全模块还可以保存加密密钥,防止封装被篡改。
OTA云与OTA终端之间的安全方案如下图所示。
图10 OTA云与OTA终端之间的安全策略(来源知网)
OTA终端完成新软件包的安全验证后,开始更新特征控制器的软件。 这里的安全策略通常是利用软件包二进制文件的CRC校验,诊断0x27或SFD进行权限校验,确保. 在这些验证之后,开始通过 UDS 协议将新软件下载到控制器中。
软件OTA升级规定
在OTA刚引入汽车行业时,由于缺乏监管监管和统一标准,各家主机厂根据自己的理解进行OTA推送,或部分主机厂率先发布产品,以赶超市场抢占市场份额。市场,然后 OTA 逐渐改进软件。
为使OTA技术在汽车行业健康发展,相关法规和行业指南正在逐步完善。
2020年11月25日,国家市场监督管理总局发布《关于进一步加强汽车无线升级(OTA)技术召回监管的通知》,旨在通过有效手段鉴别召回与升级的区别和方法。 以避免OEM通过OTA消除缺陷,掩盖召回事实的行为。
整车厂利用OTA对已售出车辆开展技术服务活动的,应当按照《缺陷汽车产品召回管理规定》的要求,向国家市场监督管理总局质量发展局备案以及《缺陷汽车产品召回管理条例实施办法》。 发现生产企业存在未按规定备案相关信息或召回计划、不配合缺陷调查、隐瞒缺陷、未按备案的召回计划实施召回等违法行为的,将予以处理严格依法办事。
2021年4月,工信部装备工业一司组织编制了《智能网联汽车生产企业及产品准入管理指南》,涉及功能安全、信息安全、软件升级、数据记录和模拟。 / 实车测试等。 在软件升级方面,主要包括管理体系的相应规范、标准规范、升级影响、测试验证、适应性、可追溯性、通知义务、安全性等。 总体规格如图11所示。
图11 指南中软件升级规范(来源网络)
2022年4月15日,工信部装备工业发展中心发布《关于开展汽车软件在线升级备案工作的通知》,主要从备案范围、备案要求、备案流程、实施安排及企业责任 规范整车厂OTA升级,如明确备案范围:OTA升级应备案,申请人应为整车生产企业。
参考
1. 智能网联汽车OTA功能设计研究
2. 智能网联汽车FOTA系统安全机制研究与实现
3、整车OTA系统中车身功率域ECU升级及软件匹配
4. 自动驾驶汽车、颜知智能汽车软件升级技术管理与监管策略分析
上一篇 
