什么是整車OTA系統(tǒng) OTA系統(tǒng)的構(gòu)成和安全機(jī)制

2012年，特斯拉發(fā)布的Model S，也正是它，將OTA技術(shù)帶入到汽車行業(yè)，每年都會(huì)通過(guò)OTA來(lái)修復(fù)問(wèn)題或者新增功能(圖1是特斯拉歷年的OTA次數(shù)統(tǒng)計(jì))。

圖1 特斯拉歷年的OTA次數(shù)

而今距離那年已經(jīng)過(guò)去了10年，OTA已經(jīng)被汽車行業(yè)廣泛認(rèn)可和接受，并且各主機(jī)廠也陸陸續(xù)續(xù)在部署。

首先來(lái)簡(jiǎn)單聊聊，為啥OTA在汽車行業(yè)被越來(lái)越接受呢？估計(jì)大家偶爾會(huì)聽到特斯拉召回事件，比如今年4月27號(hào)特斯拉因?yàn)楣β拾雽?dǎo)體存在微小的制造差異，可能會(huì)導(dǎo)致后逆變器發(fā)生故障，造成逆變器不能正?？刂齐娏鳎倩夭糠周囆?，而仔細(xì)一看，是遠(yuǎn)程OTA更新電機(jī)控制器軟件。

圖2 特斯拉召回OTA修復(fù)通知

從中可以看出，遠(yuǎn)程OTA可以幫助主機(jī)廠為用戶遠(yuǎn)程修復(fù)軟件問(wèn)題，大幅度縮短中間步驟的時(shí)間，以前還要回4S店更新軟件，現(xiàn)在只需用戶在中控上點(diǎn)擊軟件升級(jí)即可，大大減少了主機(jī)廠的召回成本和用戶的時(shí)間成本，其次OTA還可以為車輛增加新功能，增加用戶的新鮮感，比如更新卡拉、影院模式等；最后以前買車對(duì)主機(jī)廠而言就是一錘子買賣，而OTA的加持，可以拓寬主機(jī)廠的“服務(wù)”和“運(yùn)營(yíng)”的范疇，增加車輛的附加價(jià)值，比如自動(dòng)駕駛付費(fèi)軟件包，功能訂閱等等。

OTA類別

從更新的范圍來(lái)看，OTA分為SOTA(software-OTA)和FOTA(firmware-OTA)。

SOTA通俗點(diǎn)說(shuō)是應(yīng)用程序升級(jí)，是一種小范圍的應(yīng)用軟件更新，比如你在手機(jī)上更新個(gè)抖音，這種就是SOTA。SOTA通常應(yīng)用在座艙控制器，以及后續(xù)電子電氣架構(gòu)升級(jí)后的中央計(jì)算單元以及大型域控制器等。比如座艙控制器中的地圖更新、主題壁紙更新、儀表盤風(fēng)格更新等，特斯拉2019年10月的V10車機(jī)更新中影院模式、卡拉OK、地圖功能升級(jí)、茶杯頭游戲，這些就是SOTA。

由于SOTA的升級(jí)范圍比較小，對(duì)控制器的影響也比較小，因此升級(jí)的前置條件也比較寬松，比如在主機(jī)廠的控制器的UDS升級(jí)規(guī)范中，通常要求在升級(jí)前檢查蓄電池電壓是否合適、車輛檔位、車速、高壓等，對(duì)于SOTA來(lái)說(shuō)，可能檔位、車速、高壓都不用看了，車邊開邊升級(jí)。

FOTA是固件升級(jí)，需要將控制器的整個(gè)軟件重新刷一遍，來(lái)達(dá)到系統(tǒng)功能完整的升級(jí)更新或者是bug的修復(fù)，這里就類似于以前Android手機(jī)的刷機(jī)，電腦的重裝系統(tǒng)。目前像整車控制器、DCDC、電機(jī)控制器、BMS的升級(jí)都是FOTA，比如電機(jī)控制器的IGBT的過(guò)流故障的保護(hù)策略有漏洞，需要更新軟件；2020年4月特斯拉為Model S和Model X Peformance的升級(jí)，將百公里加速縮短至2.3s，車輛熱性能提升3倍，升級(jí)彈射模式，這些就是FOTA。

由于FOTA升級(jí)會(huì)影響整個(gè)控制器的功能，因此升級(jí)前置條件會(huì)很嚴(yán)苛，正如前面說(shuō)，升級(jí)前需要檢查蓄電池電壓是否合適、車輛檔位、車速、高壓、點(diǎn)火信號(hào)等。

目前基本大多數(shù)車企都已實(shí)現(xiàn)OTA(不管是SOTA還是FOTA)，不過(guò)大部分是實(shí)現(xiàn)重要控制器的OTA功能，比如自動(dòng)駕駛控制器，中控、電池管理、電機(jī)控制等。各車企的實(shí)現(xiàn)情況如圖3所示。

圖3當(dāng)前各主機(jī)廠的OTA能力(來(lái)源頭豹)

車輛OTA系統(tǒng)組成

為了實(shí)現(xiàn)車輛上控制器的OTA，主機(jī)廠必須搭建整個(gè)OTA系統(tǒng)，其簡(jiǎn)要架構(gòu)如圖4所示。整個(gè)系統(tǒng)由OTA云端服務(wù)器，OTA終端，一般為T-Box，OTA對(duì)象——車載控制器組成。

圖4 OTA系統(tǒng)的構(gòu)成

OTA云端服務(wù)器

OTA云端服務(wù)器包含主機(jī)廠支持OTA升級(jí)的控制器全部的完整的升級(jí)包。OTA云端的設(shè)計(jì)要求是獨(dú)立的平臺(tái)，支持多車型、多型號(hào)規(guī)格、多種類型ECU軟件的升級(jí)。OTA云端的框架結(jié)構(gòu)主要包括五部分：OTA管理平臺(tái)、OTA升級(jí)服務(wù)、任務(wù)調(diào)度、文件服務(wù)、任務(wù)管理，如圖5所示。在安全性方面，支持多種安全加密和解密算法，例如常用的對(duì)稱加密算法DES、AES等和非對(duì)稱加密算法RSA、DSA。

圖5OTA云端服務(wù)器架構(gòu)

OTA終端

OTA終端主要包含OTA引擎和OTA適配器，其中OTA引擎是一個(gè)連接OTA終端與OTA云端的橋梁，實(shí)現(xiàn)云端同終端的安全通信，包括升級(jí)包下載、升級(jí)包解密、差分包重構(gòu)等功能。OTA適配器是為兼容不同的軟件或設(shè)備的不同更新邏輯或流程，根據(jù)統(tǒng)一的接口要求封裝的不同實(shí)現(xiàn)。升級(jí)適配器由需要OTA升級(jí)的各個(gè)ECU軟件實(shí)現(xiàn)提供。

OTA對(duì)象

OTA對(duì)象就是車上能支持OTA的控制器，主要包括座艙控制器、ADAS控制器，以及車內(nèi)嵌入式控制器。為了支持OTA功能，控制器必須具有軟件備份功能，也就是A/B分區(qū)，簡(jiǎn)單的來(lái)說(shuō)，控制器會(huì)存兩份軟件，一份為當(dāng)前最新，另一份為上一次的。當(dāng)更新異常或者更新失敗后，可以用回上一版的軟件。保證控制器不會(huì)刷死。

圖6控制器A/B分區(qū)(來(lái)源十一號(hào)組織)

OTA流程

在車輛出廠之前，主機(jī)廠通常需要將車型和車輛信息錄入到OTA云端的信息管理系統(tǒng)中。然后當(dāng)車出售給用戶后，車輛OTA終端首先要在OTA云端進(jìn)行注冊(cè)激活。OTA終端上傳自身 SN 及車輛 VIN 向OTA云端服務(wù)端申請(qǐng)證書， VIN 及 SN 驗(yàn)證合法后（SN 是否在已激活列表中），后臺(tái)將下發(fā)證書，修改車輛狀態(tài)為已激活。這樣終端與云端的通信鏈路已經(jīng)建立。

當(dāng)市場(chǎng)用戶反饋或者是主機(jī)廠內(nèi)部測(cè)試控制器軟件存在Bug時(shí)，各個(gè)控制器的供應(yīng)商修復(fù)問(wèn)題，然后后向主機(jī)廠提供軟件升級(jí)包，在主機(jī)廠內(nèi)部走完測(cè)試、驗(yàn)證和簽字發(fā)布流程后，進(jìn)入到OTA云端服務(wù)器的待升級(jí)軟件列表。

然后由OTA的管理人員創(chuàng)建OTA升級(jí)對(duì)象，升級(jí)計(jì)劃以及升級(jí)內(nèi)容，并下發(fā)通知到對(duì)應(yīng)的用戶車輛。

用戶根據(jù)中控屏幕的提示，在合適的時(shí)候確認(rèn)升級(jí)，OTA終端開始從云端將軟件包下載下來(lái)。這里有兩種情況，如果本地沒有當(dāng)前版本軟件包的備份，則申請(qǐng)下載當(dāng)前版本的全量包，如果有，則下載當(dāng)前軟件包的差分包。 差分包的原理是通過(guò)差分算法，常用的為Xdelta 算法、 Vcdiff 算法、 Bsdiff 算法 ，在OTA云端對(duì)比新軟件包與舊軟件包的差別，然后生成一個(gè)差分包，將差分包下載到OTA終端后，再將其與本地存的舊文件進(jìn)行對(duì)比，還原新軟件包。

圖7 差分原理

當(dāng)OTA終端完成新軟件包的下載，以及校驗(yàn)和驗(yàn)簽后，在滿足對(duì)應(yīng)ECU的刷寫條件的時(shí)候，比如上面提到的車輛的狀態(tài)：蓄電池電壓、車速、高壓狀態(tài)，以及OTA終端當(dāng)前的狀態(tài)(如圖8所示)，都符合條件后對(duì)ECU進(jìn)行軟件更新。

這里還有一種就是預(yù)約升級(jí)場(chǎng)景，比如預(yù)約晚上10點(diǎn)進(jìn)行升級(jí)。這種情況下T-Box需要具備定時(shí)喚醒功能，在預(yù)約的時(shí)間T-Box被喚醒，然后喚醒BCM給整車上電，同時(shí)升級(jí)過(guò)程中 BCM 還需禁止車內(nèi)大功率用電負(fù)荷（空調(diào)、前照燈等）工作，避免蓄電池電量消耗過(guò)多。在判斷車輛的條件滿足后，啟動(dòng)升級(jí)流程對(duì)控制器進(jìn)行升級(jí)。

圖8OTA終端升級(jí)任務(wù)管理(來(lái)源知網(wǎng))

在升級(jí)過(guò)程中，OTA終端要把ECU升級(jí)進(jìn)度及時(shí)上傳給OTA管理服務(wù)器 ，升級(jí)完成后匯報(bào)升級(jí)成功結(jié)果。

整個(gè)OTA升級(jí)的流程如圖9所示。

圖9OTA發(fā)布升級(jí)流程(來(lái)源知網(wǎng))

OTA系統(tǒng)的安全機(jī)制

整個(gè)OTA系統(tǒng)的安全需要從OTA云端到OTA終端以及OTA對(duì)象的整個(gè)鏈路進(jìn)行全方位的防護(hù)。從軟件上傳到OTA云端、OTA云端到OTA終端以及車輛內(nèi)部升級(jí)過(guò)程的各個(gè)環(huán)節(jié)，都采用適宜的加密機(jī)制來(lái)提升整個(gè)升級(jí)過(guò)程的安全性，包括OTA云端的權(quán)限限制、證書驗(yàn)證、簽名驗(yàn)證和權(quán)限驗(yàn)證。

在軟件包下載前，OTA云端和終端首先使用 PKI/CA 認(rèn)證系統(tǒng)進(jìn)行雙向身份驗(yàn)證。驗(yàn)證通過(guò)后，云端和車輛端會(huì)建立基于 TLS 安全協(xié)議的安全通信通道，該通道保證云端與車輛端之間信息傳輸?shù)陌踩?。在車輛內(nèi)部， T-Box、IVI車機(jī)和網(wǎng)關(guān)之間的交互信息采用私有協(xié)議密文傳輸，升級(jí)固件的加解密通過(guò)在 T-Box、 IVI 和網(wǎng)關(guān)內(nèi)部集成的硬件安全模塊進(jìn)行，同時(shí)硬件安全模塊還能保存加密秘鑰，防止軟件包被篡改。

從OTA云端與OTA終端之間的安全方案如下圖所示。

圖10 OTA云端與OTA終端之間的安全策略(來(lái)源知網(wǎng))

當(dāng)OTA終端對(duì)新軟件包完成安全校驗(yàn)后，開始對(duì)特性控制器進(jìn)行軟件更新，這里的安全策略通常是采用對(duì)軟件包二進(jìn)制文件的CRC校驗(yàn)，診斷的0x27或者SFD進(jìn)行權(quán)限校驗(yàn)來(lái)保證。這些驗(yàn)證后，開始通過(guò)UDS協(xié)議將新軟件下載到控制器中。

軟件OTA升級(jí)法規(guī)

在汽車行業(yè)剛引入OTA之時(shí)，由于沒有法規(guī)監(jiān)管，以及統(tǒng)一的標(biāo)準(zhǔn)，各主機(jī)廠按照自己的理解開展OTA推送，或者有些主機(jī)廠為了趕上市，搶市場(chǎng)，先發(fā)布產(chǎn)品，后續(xù)慢慢OTA完善軟件。

為了使OTA技術(shù)在汽車行業(yè)良性地發(fā)展，相關(guān)的法規(guī)以及行業(yè)指南也慢慢在完善。

2020年11月25日國(guó)家市場(chǎng)監(jiān)督管理總局出臺(tái)了《關(guān)于進(jìn)一步加強(qiáng)汽車遠(yuǎn)程升級(jí)（OTA）技術(shù)召回監(jiān)管的通知》，目的是通過(guò)有效的手段和方法辨識(shí)召回與升級(jí)的差別。以避免OEM通過(guò)OTA方式消除缺陷，掩蓋召回事實(shí)的行為。

主機(jī)廠在采用OTA方式對(duì)已售車輛開展技術(shù)服務(wù)活動(dòng)的，應(yīng)按照根據(jù)《缺陷汽車產(chǎn)品召回管理?xiàng)l例》及《缺陷汽車產(chǎn)品召回管理?xiàng)l例實(shí)施辦法》要求，向市場(chǎng)監(jiān)管總局質(zhì)量發(fā)展局備案。如發(fā)現(xiàn)生產(chǎn)者存在未按規(guī)定備案有關(guān)信息或召回計(jì)劃、不配合缺陷調(diào)查、隱瞞缺陷或未按照已備案的召回計(jì)劃實(shí)施召回等違法行為的，將嚴(yán)格依法處理。

2021年4月，工業(yè)和信息化部裝備工業(yè)一司組織編制了《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南》，該指南是它涉及功能安全、信息安全、軟件升級(jí)、數(shù)據(jù)記錄、仿真/實(shí)車測(cè)試等方面。而在軟件升級(jí)上又主要包括對(duì)管理制度、標(biāo)準(zhǔn)規(guī)范、升級(jí)影響、測(cè)試和驗(yàn)證、適配性、可追溯性、告知義務(wù)和安全性等內(nèi)容寫明了相應(yīng)規(guī)范，整體的規(guī)范如圖11所示。

圖11指南中軟件升級(jí)的規(guī)范(來(lái)源網(wǎng)絡(luò))

2022年4月15日，工業(yè)和信息化部裝備工業(yè)發(fā)展中心發(fā)布了《關(guān)于開展汽車軟件在線升級(jí)備案的通知》，主要從備案范圍、備案要求、備案工作流程、實(shí)施安排和企業(yè)責(zé)任五個(gè)方面來(lái)規(guī)范主機(jī)廠OTA升級(jí)，比如明確備案范圍：OTA升級(jí)應(yīng)進(jìn)行備案，并且申請(qǐng)主體應(yīng)是汽車整車生產(chǎn)企業(yè)。

參考文獻(xiàn)

1、智能網(wǎng)聯(lián)汽車整車OTA功能設(shè)計(jì)研究

2、智能網(wǎng)聯(lián)汽車 FOTA 系統(tǒng)安全機(jī)制的研究與實(shí)現(xiàn)

3、整車OTＡ系統(tǒng)中的車身動(dòng)力域ECU升級(jí)與軟件匹配

4、自動(dòng)駕駛汽車的軟件升級(jí)技術(shù)管理與監(jiān)管策略分析，焉知智能汽車

汽車ECU開發(fā)