開發(fā)一套可兼容現(xiàn)有OTA系統(tǒng)的全新OTA服務(wù)系統(tǒng)

由于智能汽車集中化趨勢(shì)，導(dǎo)致在網(wǎng)絡(luò)連接上已經(jīng)由傳統(tǒng)的低帶寬Can網(wǎng)絡(luò)升級(jí)轉(zhuǎn)換到高帶寬以太網(wǎng)網(wǎng)絡(luò)為主的升級(jí)過程。為了提升車輛升級(jí)能力，基于為車主提供持續(xù)且優(yōu)質(zhì)的體驗(yàn)和服務(wù)，需要在現(xiàn)有系統(tǒng)基礎(chǔ)（由原始只對(duì)車機(jī)上傳統(tǒng)的 ECU 進(jìn)行升級(jí)，轉(zhuǎn)換到實(shí)現(xiàn)以太網(wǎng)增量升級(jí)的過程）之上開發(fā)一套可兼容現(xiàn)有 OTA 系統(tǒng)的全新 OTA 服務(wù)系統(tǒng)，實(shí)現(xiàn)對(duì)整車軟件、固件、服務(wù)的 OTA 升級(jí)能力，從而最終提升用戶的使用體驗(yàn)和服務(wù)體驗(yàn)。

1.軟件升級(jí)觸及的兩大領(lǐng)域-FOTA/SOTA

整車軟件升級(jí)是通過OTA技術(shù)，是對(duì)車載娛樂、導(dǎo)航、人機(jī)互動(dòng)等應(yīng)用軟件及轉(zhuǎn)向、制動(dòng)、車身控制等固件進(jìn)行升級(jí)。整車OTA升級(jí)包是由升級(jí)對(duì)象中可升級(jí)ECU的升級(jí)包組合而成。對(duì)于整車OTA類型，主要分為兩類，F(xiàn)OTA（Firmware-over-the-air）和SOTA（Software-over-the-air），兩者均為主機(jī)廠重點(diǎn)關(guān)注及逐步落地的領(lǐng)域，可適應(yīng)不同場(chǎng)景的OTA需求。

FOTA（又稱為移動(dòng)終端空中下載軟件升級(jí)技術(shù)），通過給車輛控制器下載安裝完整的固件鏡像，來實(shí)現(xiàn)系統(tǒng)功能完整的升級(jí)更新。FOTA涉及控制器相關(guān)策略核心功能的一個(gè)完整的系統(tǒng)性更新，對(duì)整車性能影響較大，升級(jí)過程對(duì)時(shí)序、穩(wěn)定性、安全性要求極高，同時(shí)升級(jí)前置條件包括擋位、電量、車速等要求，升級(jí)過程一般不支持點(diǎn)火用車。

FOTA通過給車輛控制器下載安裝完整的固件鏡像，來實(shí)現(xiàn)系統(tǒng)功能完整的升級(jí)更新。例如升級(jí)車輛的智駕系統(tǒng)，讓駕駛員享受越來越多的輔助駕駛功能；升級(jí)車輛的座艙系統(tǒng)，提高駕駛員疲勞檢測(cè)的準(zhǔn)確率；升級(jí)車輛的制動(dòng)系統(tǒng)，提升車輛的制動(dòng)性能。

SOTA實(shí)際可看成一種軟件可售策略的核心需求，他是通過給車輛控制器安裝“增量包”，來實(shí)現(xiàn)控制器功能的一個(gè)“增量”更新，一般應(yīng)用于娛樂系統(tǒng)和智駕系統(tǒng)。例如更換多媒體系統(tǒng)操作界面，優(yōu)化儀表盤顯示風(fēng)格，更新娛樂主機(jī)里的地圖程序時(shí)，用到的都是SOTA升級(jí)方式。SOTA涉及控制器應(yīng)用層一個(gè)小范圍的功能局部更新，對(duì)整車性能影響較小，升級(jí)前置條件要求較低。SOTA的增量更新策略，可以大幅減小升級(jí)包文件大小、從而節(jié)約網(wǎng)絡(luò)流量和存儲(chǔ)空間。

這里我們舉例說明FOTA和SOTA分別如何在智能駕駛升級(jí)中進(jìn)行有效定義。

例如升級(jí)智能駕駛汽車系統(tǒng)，為了讓駕駛員享受越來越多的輔助駕駛功能；通常根據(jù)功能開發(fā)難度、時(shí)間長度來確定對(duì)階段性功能的不斷更新迭代（包含從低級(jí)別功能向高級(jí)別功能進(jìn)階的軟件更迭）。同時(shí)，過程中需要升級(jí)車輛的座艙系統(tǒng)，提高駕駛員疲勞檢測(cè)的準(zhǔn)確率；升級(jí)智能駕駛車輛的關(guān)聯(lián)子系統(tǒng)（如制動(dòng)、轉(zhuǎn)向系統(tǒng)等模塊），提升車輛的制動(dòng)性能。

2.智駕系統(tǒng)中的軟件升級(jí)架構(gòu)

對(duì)于整個(gè)OTA升級(jí)而言，從下至上主要包括如下三方面：升級(jí)對(duì)象、OTA管理器、OTA云服務(wù)平臺(tái)。自動(dòng)駕駛域控制器與座艙域控制器通過以太網(wǎng)連接，升級(jí)協(xié)議一般為常用的DoIP，除開域控本身外，升級(jí)過程還包括高精定位模塊升級(jí)，傳感器升級(jí)。

對(duì)于由以太網(wǎng)連接的攝像頭而言，其升級(jí)過程主要是通過主域控端所搭載的整個(gè)集成程序進(jìn)行升級(jí)。也就是說對(duì)于純攝像頭傳感器而言，沒有單獨(dú)的程序升級(jí)過程。對(duì)于由CANFD搭載的毫米波/超聲波雷達(dá)而言，由于是自帶控制器的，其升級(jí)過程主要是通過CANFD連接控制器，域控通過CANFD接入公CAN，由座艙域負(fù)責(zé)刷寫CANFD域控制器轉(zhuǎn)發(fā)報(bào)文到各雷達(dá)控制器上。

如上圖所示，OTA云服務(wù)平臺(tái)主要對(duì)OTA升級(jí)包進(jìn)行管理與下發(fā)，并完成升級(jí)任務(wù)的配置、調(diào)度及跟蹤。OTA管理器主要完成升級(jí)包的下載、解密、驗(yàn)簽、差分包重構(gòu)等功能，最終將升級(jí)包發(fā)送至對(duì)應(yīng)的升級(jí)對(duì)象。升級(jí)對(duì)象是由一個(gè)或多個(gè)ECU構(gòu)成，升級(jí)對(duì)象接收到升級(jí)包后，將對(duì)應(yīng)的ECU升級(jí)包發(fā)送至對(duì)應(yīng)的ECU，ECU完成升級(jí)包的刷寫。

3.智駕系統(tǒng)中的升級(jí)過程原理

目前的升級(jí)方式主要是靜默升級(jí)。即包含常態(tài)化模式下的有感升級(jí)和非常態(tài)模式下的無感升級(jí)。常態(tài)模式實(shí)際就是在工廠模式下，多媒體接收升級(jí)命令后，在滿足升級(jí)條件的情況下下載升級(jí)包，進(jìn)行車輛的自動(dòng)化升級(jí)。升級(jí)過程中，如收到解閉鎖/開車門/按下啟動(dòng)按鈕/云服務(wù)解鎖信號(hào)后，車輛顯示屏不顯示 OTA 升級(jí)，常規(guī)升級(jí)過程中車輛處于靜默狀態(tài)。

非工廠模式下做無感升級(jí)，在用戶不感知的情況下進(jìn)行升級(jí)作為一保留方案。由于受國家相關(guān)法律的限制，這種方案的實(shí)現(xiàn)需要智能駕駛所有模塊滿足兩面分區(qū)升級(jí)策略。這里的兩面區(qū)分指的是A/B雙面升級(jí)過程。即針對(duì)域控中的SOC開辟A/B兩個(gè)存儲(chǔ)空間，每個(gè)存儲(chǔ)空間上均安裝有一個(gè)系統(tǒng)，其中一個(gè)系統(tǒng)處于激活使用狀態(tài)時(shí)，另一個(gè)系統(tǒng)就會(huì)處于待命備用狀態(tài)。

在進(jìn)行系統(tǒng)升級(jí)時(shí)，可在激活的系統(tǒng)中對(duì)備用系統(tǒng)進(jìn)行升級(jí)，升級(jí)完成后重啟切換成新升級(jí)的系統(tǒng)。由此，在智駕域控的SOC中的升級(jí)過程可描述為當(dāng)運(yùn)行區(qū)為 A 區(qū)，則升級(jí) B 區(qū)，升級(jí)完成后，從 B 區(qū)重啟，啟動(dòng)后，擇時(shí)將 B 區(qū)同步到 A 區(qū)。且當(dāng) SOC 升級(jí)失敗的時(shí)候，不允許使用使能駕駛。

此外，對(duì)于域控中的MCU刷寫而言，最好采用雙APP機(jī)制。即MCU采用bootloader單區(qū)+app雙區(qū)部署方式，bootloader一般沒有升級(jí)需求。因此，對(duì)MCU的升級(jí)過程只需要對(duì)雙區(qū)部署的APP進(jìn)行即可。

整個(gè)升級(jí)過程中，需要完成如下升級(jí)過程中的任務(wù)：

1）升級(jí)前置條件判斷：

通過以太網(wǎng)、CAN 等車內(nèi)網(wǎng)絡(luò)獲取車輛當(dāng)前狀態(tài)檢查，根據(jù)項(xiàng)目實(shí)際需求定制包含但不限于蓄電池電量、發(fā)動(dòng)機(jī)轉(zhuǎn)速、車輛速度、車輛檔位、手剎狀態(tài)、座椅傳感器狀態(tài)、門狀態(tài)、鎖狀態(tài)等。座艙域控制器在升級(jí)開始前，需要針對(duì)升級(jí)車輛進(jìn)行狀態(tài)檢查后繼續(xù)后續(xù)動(dòng)作。

其當(dāng)前狀態(tài)的檢查項(xiàng)目包括：模塊剩余內(nèi)部存儲(chǔ)空間、模塊硬件版本、模塊固件版本、模塊軟件版本。通常情況下，升級(jí)過程中需要判斷是否滿足車輛是否靜止，檔位是否為P檔，域控制器的SOC電量是否大于一定閾值條件。在適當(dāng)?shù)那闆r下，由中控界面/電檢電腦顯示屏上彈出預(yù)約升級(jí)或立即升級(jí)指示。有兩種情況會(huì)觸發(fā)升級(jí)：上下電自檢與用戶主動(dòng)觸發(fā)。升級(jí)條件觸發(fā)，觸發(fā)成功進(jìn)入下一步，否則退出本次升級(jí)流程。

2）下載升級(jí)包：

在云端升級(jí)策略和升級(jí)包下發(fā)過程中，云端需要檢測(cè)版本號(hào)是否更新，OTA升級(jí)服務(wù)器下發(fā)升級(jí)策略包到座艙域控制器，此過程中用戶不會(huì)感知。座艙域控制器支持常規(guī)的刷寫升級(jí)方式，DoIP 和 CAN燒寫。

基于CAN協(xié)議的軟件刷寫

CAN 燒寫過程實(shí)際是一種根據(jù)規(guī)范（規(guī)范主要是根據(jù) ISO 14229 ）進(jìn)行編程的過程。編程過程中需要指定參照如下幾種類型的不同步驟進(jìn)行有效的尋址及服務(wù)訪問：

標(biāo)準(zhǔn)步驟作為一種強(qiáng)制性的步驟，要求無論任何情況下客戶端和服務(wù)器都應(yīng)按照規(guī)定行事。推薦步驟是可選的，他需要使用特定的診斷服務(wù)標(biāo)識(shí)符，并包含有關(guān)如何執(zhí)行操作的建議。這種可選的方案僅要求在使用指定的功能的情況下，客戶端和服務(wù)器應(yīng)按照規(guī)定行事。OEM實(shí)施步驟：其使用和內(nèi)容（例如，使用的診斷服務(wù)標(biāo)識(shí)符）由車輛制造商自行決定，當(dāng)然也可作為另一種可選的步驟。

CAN軟件刷寫主要分三個(gè)階段：預(yù)編程階段，編程階段，結(jié)束階段。相應(yīng)的各階段需要進(jìn)行的業(yè)務(wù)流程如下圖所示：

基于DoIP協(xié)議的軟件刷寫詳解

DoIP（Diagnostic communication over Internet Protocol）作為基于車載以太網(wǎng)的診斷，主要存在于OSI 七層模型中的傳輸層，DoIP是在以太網(wǎng)網(wǎng)絡(luò)上傳輸U(kuò)DS診斷數(shù)據(jù)的傳輸協(xié)議。DoIP具有高帶寬，適合傳輸大量數(shù)據(jù)的場(chǎng)景，這就非常適合作為車上更新的OTA軟件升級(jí)。

相較于CAN，DoIP主要是在物理層和傳輸層對(duì)數(shù)據(jù)的傳輸進(jìn)行了優(yōu)化并提升了速度。在應(yīng)用層和診斷服務(wù)環(huán)節(jié)，CAN與DoIP的實(shí)現(xiàn)均基于14229協(xié)議。ODX數(shù)據(jù)庫部分，除需增加DoIP協(xié)議通訊參數(shù)和相關(guān)控制器外，一般情況下，不需要進(jìn)行額外調(diào)整，這大大節(jié)省了診斷數(shù)據(jù)開發(fā)時(shí)間與成本。

對(duì)于DoIP的文件刷寫主要包括無文件系統(tǒng)控制器的DoIP刷寫和有文件系統(tǒng)控制器的DoIP刷寫。針對(duì)無文件系統(tǒng)控制器的刷寫，其總方案類似于 CAN 節(jié)點(diǎn)刷寫方案。多媒體主機(jī)按地址傳輸，控制器按地址寫入方式。對(duì)于有文件系統(tǒng)的控制器，多媒體主機(jī)只需要將升級(jí)包傳到控制器（當(dāng)然過程中需要能支持?jǐn)帱c(diǎn)續(xù)傳），并沒有其他的要求。

目前常用的DoIP診斷連接方式分為兩種：其一，是以太網(wǎng)線纜直連形式：在整車情況下，制作OBD-Ethernet線纜直連；其二，是兼容CAN/CAN FD通訊，并滿足生產(chǎn)和售后需求，通過使用診斷VCI集成以太網(wǎng)激活功能，實(shí)現(xiàn)DoIP通訊。數(shù)據(jù)庫創(chuàng)建完成后，使用相關(guān)診斷工具，即可實(shí)現(xiàn)車輛刷寫過程。

座艙域控收到服務(wù)器下發(fā)的整車工廠模式自動(dòng)化升級(jí)指令后，在滿足升級(jí)條件的情況下請(qǐng)求服務(wù)器自動(dòng)下載升級(jí)包，并對(duì)車輛進(jìn)行自動(dòng)化升級(jí)，支持?jǐn)帱c(diǎn)續(xù)傳，完整性校驗(yàn)，存儲(chǔ)空間管理等功能。

3）智駕域控制器升級(jí)狀態(tài)反饋：

智駕域控制器上報(bào)域控制器信息到座艙域控制器完成升級(jí)前置條件判斷，條件滿足時(shí)方可進(jìn)入 OTA 升級(jí)，升級(jí)這類信息需要上傳到OTA服務(wù)器。這類信息包括域控制器各個(gè)模塊的軟/硬件版本號(hào)、序列號(hào)(SN) 、定位信息(GPS)等。

4）執(zhí)行升級(jí)任務(wù)：

座艙域控制器將根據(jù)服務(wù)器下發(fā)的升級(jí)包，升級(jí)策略等信息，進(jìn)行 OTA 升級(jí)。如果同時(shí)需要進(jìn)行多 ECU 聯(lián)合升級(jí)刷寫時(shí)，需要根據(jù)下發(fā)的升級(jí)任務(wù)序列，按照升級(jí)順序與對(duì)應(yīng)控制器發(fā)送點(diǎn)對(duì)點(diǎn)升級(jí)交互信息，即可完成對(duì)應(yīng)的升級(jí)任務(wù)。

5）斷點(diǎn)接續(xù)升級(jí)：

斷點(diǎn)接續(xù)升級(jí)是指基于狀態(tài)機(jī)的管理，在升級(jí)過程中，對(duì)當(dāng)前升級(jí)的文件或塊設(shè)備進(jìn)行備份存儲(chǔ)。如果在升級(jí)過程中出現(xiàn)中斷，斷電，或其它干擾，導(dǎo)致正在升級(jí)的文件被破壞，那么，控制器會(huì)記錄當(dāng)前升級(jí)狀態(tài)，后續(xù)在下次重啟程序時(shí)，控制器會(huì)執(zhí)行一定的校驗(yàn)算法（如hash 校驗(yàn)）評(píng)估該文件是否已經(jīng)遭到破壞，如果程序完好，則會(huì)直接按照未被標(biāo)記升級(jí)過的程序進(jìn)行順序升級(jí)。如果文件已損壞，則會(huì)用備份的存儲(chǔ)來恢復(fù)升級(jí)。

對(duì)于整個(gè)升級(jí)過程一般要求刷寫失敗后有數(shù)次重試機(jī)會(huì)。且有關(guān)聯(lián)模塊依賴時(shí)，對(duì)于已升級(jí)的關(guān)聯(lián)模塊需要全部回滾。

6）聯(lián)動(dòng)升級(jí)管理：

針對(duì)功能相關(guān)聯(lián)的 ECU（比如前毫米波雷達(dá)升級(jí)可看成同性質(zhì)下的聯(lián)動(dòng)升級(jí)），后臺(tái)可以設(shè)定聯(lián)動(dòng)升級(jí)，也可以針對(duì)關(guān)聯(lián) ECU 設(shè)置升級(jí)順序。升級(jí)過程為當(dāng)座艙域控制器自后臺(tái)取得升級(jí)任務(wù)后，會(huì)檢測(cè)升級(jí)指令中是否有聯(lián)動(dòng)升級(jí)要求，如果有便會(huì)依照順序進(jìn)行逐一升級(jí)并關(guān)聯(lián) ECU。

座艙域控制器在整個(gè)升級(jí)過程中會(huì)管理并不間斷派發(fā)升級(jí)包，監(jiān)控整個(gè)升級(jí)過程直到所有 ECU完成升級(jí)，再統(tǒng)一上報(bào)后臺(tái)升級(jí)結(jié)果。當(dāng)檢測(cè)到有任一ECU升級(jí)失敗需要進(jìn)行回滾時(shí)，控制器會(huì)聯(lián)動(dòng)所有關(guān)聯(lián) ECU 同步進(jìn)行版本回滾。同時(shí)，座艙域控制器會(huì)有效上報(bào)因?yàn)槟囊粋€(gè) ECU 升級(jí)失敗導(dǎo)致回滾。

相應(yīng)的軟件升級(jí)時(shí)序圖如下：

基于如上說明，整車各模塊升級(jí)可概括為：由 OTA 服務(wù)器下發(fā)升級(jí)策略文件決定升級(jí)順序，在服務(wù)器上配置升級(jí)時(shí)生成策略文件，座艙域控根據(jù)策略文件制定各 ECU 升級(jí)方案和順序。智能駕駛相關(guān)模塊的升級(jí)順序則按照如下優(yōu)先級(jí)順序進(jìn)行先后升級(jí)控制：CAN 模塊—>DoIP 無文件系統(tǒng)模塊—>DoIP 有文件系統(tǒng)。

相較于CAN，DoIP主要是在物理層和傳輸層對(duì)數(shù)據(jù)的傳輸進(jìn)行了優(yōu)化并提升了速度。在應(yīng)用層和診斷服務(wù)環(huán)節(jié)，CAN與DoIP的實(shí)現(xiàn)均基于14229協(xié)議。

4.總結(jié)

對(duì)于智能駕駛系統(tǒng)而言，軟件升級(jí)已作為不可或缺的一部分。在為客戶提供實(shí)時(shí)在線升級(jí)功能的同時(shí)，域控制器需要滿足云端安全通信，包括協(xié)議通信鏈接管理，升級(jí)指令接收和升級(jí)狀態(tài)發(fā)送，升級(jí)包下載、升級(jí)包解密、差分包重構(gòu)、對(duì)升級(jí)包進(jìn)行合法性驗(yàn)證,還包括密鑰證書管理服務(wù)，數(shù)據(jù)加密服務(wù)，數(shù)字簽名服務(wù)等功能?？梢哉f，智駕級(jí)別的軟件升級(jí)是引領(lǐng)起其不斷發(fā)展的源源動(dòng)力。

審核編輯：劉清