李立安 趙幗娟 任廣樂

摘 要：智能網(wǎng)聯(lián)汽車時代，軟件已逐步成為汽車的核心競爭力。汽車OTA能夠?qū)崿F(xiàn)汽車軟件的遠(yuǎn)程升級，可以提升用戶體驗，降低車廠由于軟件缺陷帶來的召回成本，已成為智能網(wǎng)聯(lián)汽車的關(guān)鍵技術(shù)。汽車內(nèi)控制器數(shù)目、種類繁多，軟硬件差異較大，因此汽車OTA技術(shù)對汽車設(shè)計將帶來一定的挑戰(zhàn)。文章介紹汽車OTA系統(tǒng)的組成，OTA管理平臺的結(jié)構(gòu)和功能，重點分析OTA技術(shù)對汽車端的要求和汽車端的實施方案。

關(guān)鍵詞：OTA;遠(yuǎn)程升級;智能網(wǎng)聯(lián);汽車軟件

中圖分類號：TP311.5 ?文獻(xiàn)標(biāo)識碼：A ?文章編號：1671-7988（2020）14-16-04

Abstract： In the era of intelligent connected vehicle（ICV）， software has gradually become the main competitiveness of the vehicle. OTA can realize the remote upgrade of vehicle software， improve the user experience and reduce the recall cost due to software defects， which has become the key technology of ICV. There are many kinds of controllers in the vehicle， and the difference between software and hardware is large. So the vehicle OTA technology will bring some challenges to the vehicle design. This paper introduces the composition of vehicle OTA system， the structure and function of OTA management platform， and analyzes the requirements and implementation plan of OTA technology for the vehicle.

Keywords： OTA; Remote Upgrade; ICV; Vehicle Software

CLC NO.： TP311.5 ?Document Code： A ?Article ID： 1671-7988（2020）14-16-04

前言

隨著人工智能、電子控制以及互聯(lián)網(wǎng)技術(shù)的不斷完善，汽車正逐步從機(jī)械產(chǎn)品演變成為集各種先進(jìn)電子技術(shù)于一身的智能網(wǎng)聯(lián)汽車。智能網(wǎng)聯(lián)汽車的各個系統(tǒng)，從燈光控制到車輛控制，從主動安全到高級自動駕駛系統(tǒng)，無一不借助各種精密可靠的電子電氣系統(tǒng)得以實現(xiàn)。軟件定義汽車時代，軟件作為智能網(wǎng)聯(lián)汽車的重要組成部分，其規(guī)模和復(fù)雜程度不斷增加，軟件也成為迭代最快，最容易個性化的部分。汽車的遠(yuǎn)程升級能力可以保證汽車的軟件系統(tǒng)及時更新，導(dǎo)入新的功能，提升用戶體驗。同時，也可以修復(fù)軟件問題，有效降低主機(jī)廠的開發(fā)風(fēng)險和召回成本[1]。因此，汽車的遠(yuǎn)程升級能力是智能網(wǎng)聯(lián)汽車必備的功能。

OTA（Over-the-Air）是指通過無線網(wǎng)絡(luò)下載遠(yuǎn)程服務(wù)器上的升級包，對系統(tǒng)或應(yīng)用進(jìn)行升級的技術(shù)。汽車的OTA解決方案實現(xiàn)了汽車內(nèi)控制器的遠(yuǎn)程升級能力，OTA在手機(jī)、平板電腦等消費類電子產(chǎn)品中已經(jīng)廣泛應(yīng)用，技術(shù)相對成熟，但對于汽車是一個比較新的技術(shù)解決方案。由于車內(nèi)控制器數(shù)目、種類繁多，軟硬件差異很大，并且車內(nèi)網(wǎng)絡(luò)構(gòu)成復(fù)雜，網(wǎng)絡(luò)傳輸速率有限等，都給汽車的OTA設(shè)計帶來了很大的挑戰(zhàn)[2，3]。因此需要在汽車設(shè)計過程中，進(jìn)行有針對性的詳細(xì)設(shè)計，以滿足汽車OTA的需求。本文將設(shè)計智能網(wǎng)聯(lián)汽車OTA的實現(xiàn)方案，并重點分析汽車端OTA升級能力的需求和實現(xiàn)方式。

1 汽車OTA系統(tǒng)的構(gòu)成

汽車OTA系統(tǒng)的構(gòu)成如圖1所示，汽車OTA系統(tǒng)是一個云端-車端協(xié)同工作的產(chǎn)品，主要由云端的OTA管理平臺以及汽車端的OTA執(zhí)行層組成。二者通過移動通信網(wǎng)絡(luò)連接，共同完成汽車的OTA升級任務(wù)[4，5]。

當(dāng)汽車進(jìn)行OTA升級時，后臺操作人員根據(jù)預(yù)先制定的汽車控制器軟件的升級需求，選擇合適的升級范圍和升級車輛，并遠(yuǎn)程下發(fā)升級任務(wù)。升級任務(wù)通過4G或WIFI等無線網(wǎng)絡(luò)傳輸至符合升級條件的汽車內(nèi)，汽車內(nèi)的主控控制器接受到升級指令、下載升級文件，并執(zhí)行升級命令，完成汽車內(nèi)控制器的升級。

2 OTA管理平臺設(shè)計

OTA管理平臺是后臺操作人員操作和維護(hù)的主要工具。在OTA管理平臺內(nèi)需要完成升級包的制作、升級任務(wù)的下發(fā)、升級結(jié)果的收集等整個升級流程的控制，同時還需要對車輛的信息、升級的成功率等進(jìn)行統(tǒng)計匯總。

OTA管理平臺采用面向服務(wù)的架構(gòu)設(shè)計方式，采用三層體系架構(gòu)設(shè)計，OTA管理平臺的構(gòu)成如圖2所示。分為前端表現(xiàn)層、業(yè)務(wù)邏輯層和數(shù)據(jù)訪問層。前端表現(xiàn)層向用戶展示了OTA的操作頁面，如用戶管理、車輛管理、策略管理、任務(wù)管理等。業(yè)務(wù)邏輯層是OTA的核心業(yè)務(wù)層，所有的OTA業(yè)務(wù)都在業(yè)務(wù)邏輯層實現(xiàn)，如：創(chuàng)建OTA任務(wù)、統(tǒng)計OTA報表、向汽車端推送OTA升級指令等。數(shù)據(jù)訪問層實現(xiàn)數(shù)據(jù)的統(tǒng)一處理，包含用戶日志的存儲、檢索，用戶業(yè)務(wù)數(shù)據(jù)的存取、處理操作等。OTA管理平臺的主要功能如下：

（1）升級包的制作：汽車內(nèi)控制器的升級，可以采用整包升級的方式，也可以采用差分升級的方式。差分升級包可以減少用戶流量消耗，縮短下載時間，提升用戶體驗。OTA管理平臺需要根據(jù)升級包的大小確定是否制作差分升級包，升級包的制作還包括對升級文件的簽名和加密過程，OTA管理平臺將經(jīng)過簽名的升級包下發(fā)。

（2）與其它平臺進(jìn)行對接：OTA管理平臺需要與車廠現(xiàn)有的其它平臺進(jìn)行對接，實現(xiàn)基礎(chǔ)數(shù)據(jù)的同步獲取以及升級任務(wù)的交互。如與TSP （Telematics Service Provider）平臺進(jìn)行對接，將升級任務(wù)由TSP平臺下發(fā)至車輛和用戶手機(jī)端。

（3）升級任務(wù)的管理與分發(fā)：OTA管理平臺需要根據(jù)預(yù)先制定好的升級方案，實現(xiàn)升級任務(wù)的配置，選擇需要升級的具體車輛、車型，并制定升級策略，生成升級任務(wù)并下發(fā)。

（4）權(quán)限管理及數(shù)據(jù)統(tǒng)計：OTA管理平臺支持職責(zé)權(quán)限的賬號管理體系，實現(xiàn)賬號管理、角色管理和權(quán)限設(shè)置。OTA管理平臺可以進(jìn)行車輛總數(shù)、激活車輛總數(shù)、發(fā)布的任務(wù)總數(shù)、升級成功總數(shù)等的匯總統(tǒng)計，此外還可以針對控制器的升級情況進(jìn)行分類統(tǒng)計，包括控制器升級成功總數(shù)以及升級成功率排行等。

3 汽車端設(shè)計分析

汽車的OTA升級過程由汽車內(nèi)的控制器執(zhí)行，因此在汽車端設(shè)計過程中，需要完成以下工作：①構(gòu)建汽車端的升級能力，包括接收升級任務(wù)、車輛狀態(tài)以及升級信息回傳、升級流程的發(fā)起等。②制定合理的汽車端通信協(xié)議，實現(xiàn)車內(nèi)數(shù)據(jù)的傳輸，包括升級包的分發(fā)、升級指令的下發(fā)、車輛信息的回傳等。③開發(fā)OTA升級界面，提供HMI（人機(jī)交互）顯示，支持用戶下載和安裝流程的啟動。④根據(jù)汽車OTA升級過程中的需求，設(shè)計符合汽車OTA升級的整車模式。

3.1 升級能力的構(gòu)建

3.1.1 汽車端OTA架構(gòu)設(shè)計

汽車端OTA的架構(gòu)如圖3所示。汽車端需要選擇一個控制器作為OTA升級的主控控制器，并由該控制器集成OTA升級的主控程序UC（Update Control），作為汽車端升級控制的主體與OTA管理平臺進(jìn)行數(shù)據(jù)通信，并控制汽車內(nèi)的控制器升級。在車型設(shè)計過程中，通常選擇TBOX作為升級的主控控制器。其主要功能是：本地ECU配置信息的采集和上報，與OTA管理平臺交互獲得升級策略文件，目標(biāo)升級包的下載，升級包安全性和完整性校驗，按照升級策略文件逐個進(jìn)行升級包分發(fā)和目標(biāo)ECU升級流程的發(fā)起，升級過程的記錄及上報，升級過程中與HMI的交互。

對于帶有安卓或Linux等智能操作系統(tǒng)的控制器（以下簡稱智能控制器），由于升級包較大，需要支持差分升級。 對于需要進(jìn)行差分升級的智能控制器（如中控系統(tǒng)IVI、組合儀表IP等），還需要在控制器內(nèi)集成差分還原程序UA（Update Agent），其主要作用是在控制器內(nèi)進(jìn)行差分包的還原。網(wǎng)關(guān)下的ECU升級包較小，采用整包刷寫的方式進(jìn)行固件升級，ECU需要支持基于UDS（統(tǒng)一診斷服務(wù)）協(xié)議的刷寫。在OTA升級過程中，OTA主控制器承擔(dān)著相當(dāng)于診斷儀的角色，基于CAN總線通訊，TBOX通過UDS刷寫的方式完成ECU的升級，網(wǎng)關(guān)起到路由的功能。如果通過OTA的UDS更新失敗后，ECU需保證能夠通過診斷儀或者其它刷寫設(shè)備重新進(jìn)行刷寫。

3.1.2 控制器的A/B分區(qū)

汽車在進(jìn)行OTA升級過程中，由于外界條件的變化（電池電壓降低、控制器之間通信失敗、人為打斷等），都會導(dǎo)致控制器的升級失敗，可能會導(dǎo)致控制器死機(jī)，并無法通過再次OTA升級的方式解決。因此，對于重要的控制器，需要進(jìn)行A/B分區(qū)設(shè)置。A/B分區(qū)設(shè)置是指控制器內(nèi)有A、B兩個系統(tǒng)，兩個系統(tǒng)相互備份冗余。帶有A/B分區(qū)的控制器的升級流程如圖4所示?？刂破髡＿\行過程中，A系統(tǒng)正常運行，B系統(tǒng)處于待機(jī)狀態(tài)，當(dāng)系統(tǒng)檢測收到升級任務(wù)后，B系統(tǒng)開始升級，而A系統(tǒng)仍然正常運行，當(dāng)B系統(tǒng)升級完成后，下次開機(jī)時，B系統(tǒng)啟動并正常運行，A系統(tǒng)進(jìn)入待機(jī)狀態(tài)。如果B系統(tǒng)升級過程中失敗，不影響A系統(tǒng)的正常運行，系統(tǒng)將正常工作。

控制器A/B分區(qū)的方式，可以提升系統(tǒng)的穩(wěn)定性，升級失敗不會導(dǎo)致系統(tǒng)崩潰。同時控制器的升級場景更為靈活，B系統(tǒng)升級過程中，A系統(tǒng)可以正常工作，不影響車輛的正常功能。對于控制器的A/B分區(qū)，需要依托硬件設(shè)備支持，可進(jìn)行雙系統(tǒng)備份升級?？刂破髟谠O(shè)計過程中，要充分考慮系統(tǒng)備份的設(shè)置。

3.2 控制器之間的通訊方式

在進(jìn)行OTA升級過程中，升級主控制器與被升級控制器之間需要進(jìn)行升級指令的下發(fā)、升級包的傳輸，同時需要對控制器的版本、車輛的狀態(tài)進(jìn)行識別。因此需要控制器之間有穩(wěn)定的傳輸通道。CAN（Controller Area Network）總線是ISO國際標(biāo)準(zhǔn)化的串行通信協(xié)議，是目前常見的車內(nèi)總線，用于車內(nèi)各控制器之間的信號傳輸。因此，對于汽車端的升級指令、升級結(jié)果等可以通過CAN總線進(jìn)行傳輸，車輛的狀態(tài)信息由TBOX經(jīng)CAN總線采集后，通過升級主控程序上傳至OTA管理平臺。

在車輛進(jìn)行OTA升級的過程中，升級流程的控制由TBOX內(nèi)集成的UC完成，當(dāng)有控制器需要升級時，由TBOX進(jìn)行升級包的下載及分發(fā)，并將升級包傳輸至需要升級的控制器內(nèi)，因此需要控制器之間有相應(yīng)的升級包傳輸通道。CAN總線的傳輸速率是500kb/s，對于網(wǎng)關(guān)下的ECU，一般全量升級包為幾kb，可以使用CAN總線進(jìn)行升級包的傳輸。智能控制器的升級包通常在10M到1500M之間，使用CAN 總線傳輸會導(dǎo)致傳輸時間過長，因此在汽車電子電氣架構(gòu)設(shè)計過程中，必須考慮智能控制器之間合理的數(shù)據(jù)傳輸方式。如圖3所示的汽車端OTA架構(gòu)設(shè)計中，TBOX和IVI之間通過USB通道進(jìn)行傳輸，IVI通過LVDS線束將升級包傳給儀表。對于網(wǎng)關(guān)及網(wǎng)關(guān)下的ECU，通過CAN總線進(jìn)行升級包的傳輸。

3.3 OTA的升級界面及流程

汽車的OTA升級界面是用戶執(zhí)行OTA升級流程的操作入口，通常將OTA的升級界面設(shè)計在IVI端，方便用戶進(jìn)行升級操作。OTA升級界面的內(nèi)容包含升級任務(wù)通知、軟件版本檢測、軟件包下載、確認(rèn)安裝等主要流程。汽車端的OTA升級的交互流程如圖5所示，當(dāng)OTA管理平臺下發(fā)升級任務(wù)后，用戶會在IVI內(nèi)收到TSP推送的升級通知，若用戶確認(rèn)下載升級包，將進(jìn)行升級包的下載，下載過程中可正常使用車輛。升級包下載完成后，IVI端將提示用戶是否開始安裝，并顯示預(yù)計升級時間，用戶可選擇立即安裝或延遲安裝。圖5所示的流程中確認(rèn)下載和確認(rèn)安裝兩個步驟需要用戶手工操作，其余為系統(tǒng)執(zhí)行動作。確認(rèn)下載和確認(rèn)安裝需要用戶反復(fù)操作兩次，為簡化流程，也可以進(jìn)行升級包的靜默下載，即有新的更新包時系統(tǒng)自動下載，省去用戶確認(rèn)下載的步驟，下載完成后再提示用戶安裝，用戶僅需要操作一次就可以完成安裝。

OTA升級界面是用戶在OTA升級過程中的主要交互方式，需要按照OTA的升級流程進(jìn)行設(shè)計，同時升級界面要做到簡潔明了、通俗易懂，并能夠?qū)⑸夁^程中的注意事項、升級軟件的更新內(nèi)容、升級預(yù)估時間等清晰地呈現(xiàn)給用戶，便于用戶正確使用OTA的功能。

3.4 汽車的OTA升級模式

當(dāng)用戶在IVI內(nèi)選擇了確認(rèn)安裝后，OTA主控控制器內(nèi)的UC將檢測車輛升級的前置條件，OTA升級的前置條件如表1所示，對車輛的電源狀態(tài)、檔位、車速以及電池電量等有確定的要求和依賴。如前置條件符合要求，車輛將開始進(jìn)入OTA升級過程，按照前置條件的要求，OTA升級過程中，車輛的電源狀態(tài)將維持在KL15，如果期間用戶下電，或鎖車離開，車輛將下KL15進(jìn)入OFF狀態(tài)，升級過程中斷，會導(dǎo)致控制器升級失敗，甚至無法再還原。因此，在OTA升級過程中，用戶不能人為下電或鎖車離開。同時對于高壓相關(guān)的控制器，在升級過程中不能工作，車輛不能上高壓，而在車輛實際使用過程中，不存在這樣的工況。汽車的OTA升級工況，與車輛正常使用工況存在一定的差異。

因此需要定義汽車的OTA升級模式，OTA升級模式主要是指車輛電源的狀態(tài)維持在KL15，同時刷寫高壓相關(guān)的控制器時禁止車輛上高壓，期間允許用戶鎖車，車輛的電源狀態(tài)保持KL15不變。OTA模式主要由車身控制器（BCM）控制，在此種模式下，車輛的升級流程如圖6所示，當(dāng)檢測到前置條件通過時，車輛進(jìn)入OTA升級模式，此時保持在KL15電源狀態(tài)，用戶可以鎖車離開。如果需要升級BCM，在升級其它控制器完成后對BCM進(jìn)行升級，當(dāng)BCM升級成功后，車輛下KL15電，升級結(jié)束。

4 結(jié)論

OTA升級是智能網(wǎng)聯(lián)汽車必備的功能，本文設(shè)計智能網(wǎng)聯(lián)汽車的OTA系統(tǒng)，介紹了汽車OTA系統(tǒng)的組成，對OTA管理平臺的進(jìn)行設(shè)計介紹和功能分析。重點針對汽車端實現(xiàn)OTA功能的關(guān)鍵技術(shù)進(jìn)行了詳細(xì)的分析，包括汽車端OTA升級能力的構(gòu)建、通信協(xié)議的定義、OTA升級界面的交互流程以及汽車的OTA升級模式。本文將為汽車OTA系統(tǒng)設(shè)計提供參考，汽車OTA技術(shù)的應(yīng)用及普及，將大力推動智能網(wǎng)聯(lián)汽車的發(fā)展和用戶體驗的升級。

參考文獻(xiàn)

[1] 武翔宇，趙德華，郝鐵亮.淺談汽車OTA的現(xiàn)狀與未來發(fā)展趨勢[J].汽車實用技術(shù)，2019.282（03）：222-224.

[2] 施慶國，尚海立，馬婕等.智能網(wǎng)聯(lián)汽車的OTA升級方案[J].2018中國汽車工程學(xué)會年會論文集，2018（024）：16-22.

[3] 王棟梁，湯利順，陳博，等.智能網(wǎng)聯(lián)汽車整車OTA功能設(shè)計研究[J].汽車技術(shù)，2018.517（10）：33-37.

[4] 宋偉，胡巧聲，唐俊安.空中下載技術(shù)在商用車上的應(yīng)用[J].汽車電器， 2019（12）：8-11.

[5] 王蘭，郝成龍，許茜.車載通信終端OTA升級方案[J].汽車實用技術(shù)， 2018.No.261（06）：18-19.