王鵬程，馬超，劉天宇，賈先鋒

汽車OTA應(yīng)用要求分析

王鵬程，馬超，劉天宇，賈先鋒

（中汽數(shù)據(jù)有限公司，天津 300300）

隨著汽車車聯(lián)網(wǎng)功能普及，車載通訊終端作為標(biāo)配項(xiàng)為汽車控制器OTA升級(jí)的落地應(yīng)用提供了基礎(chǔ)條件支撐。文章對(duì)OTA系統(tǒng)功能實(shí)現(xiàn)方式進(jìn)行梳理，明確OTA升級(jí)中各組成部分需要完成的主要功能，并結(jié)合調(diào)研的市場(chǎng)車輛電源配置情況，重點(diǎn)分析執(zhí)行OTA功能對(duì)車輛電源狀態(tài)的要求。

車聯(lián)網(wǎng)；OTA；蓄電池；電源狀態(tài)

前言

隨著汽車網(wǎng)聯(lián)化、智能化的快速發(fā)展，車聯(lián)網(wǎng)功能已作為新車的標(biāo)配項(xiàng)逐步走入公眾視野。公開數(shù)據(jù)顯示，2017 年上市的新車中車輛聯(lián)網(wǎng)配置占比達(dá) 21%，高于 2016 年上市新車配置占比 16%。隨著新車型的推出，車聯(lián)網(wǎng)裝配比例將繼續(xù)提升，按照業(yè)界的一致看法，到2020年OTA會(huì)進(jìn)入較大規(guī)模的應(yīng)用狀態(tài)，中國車聯(lián)網(wǎng)用戶將從現(xiàn)有的700 萬，增長至 2020 年的 4400 萬左右，中國車聯(lián)網(wǎng)市場(chǎng)規(guī)模將達(dá)到接近338億美元[1]。在此過程中，車輛操作更加便利，使用過程變得更加貼心。這一切都來源于車企對(duì)車輛功能的逐步完善開發(fā)。其中，運(yùn)用車輛OTA技術(shù)，實(shí)時(shí)完成車輛電子控制單元（特別是娛樂交互系統(tǒng)）的實(shí)時(shí)聯(lián)網(wǎng)更新是其中重要組成。

1 汽車OTA系統(tǒng)的功能要求

1.1 OTA系統(tǒng)功能概述

汽車OTA系統(tǒng)整體可以分為云端系統(tǒng)和車端系統(tǒng)兩部分組成，云端系統(tǒng)與車端系統(tǒng)通過wifi或4G與車端系統(tǒng)進(jìn)行通訊。

云端系統(tǒng)主要是由各主機(jī)廠直接負(fù)責(zé)，完成升級(jí)文件的生成、下發(fā)服務(wù)，主要內(nèi)容包括但不限于：確認(rèn)帶升級(jí)控制器（ECU），目標(biāo)控制器（ECU）文件準(zhǔn)備（升級(jí)包壓縮、加密等），發(fā)布升級(jí)任務(wù)，提供下載服務(wù)。

車端系統(tǒng)向客戶提供升級(jí)時(shí)機(jī)確認(rèn)選項(xiàng)，自行完成目標(biāo)控制器（ECU）的升級(jí)，需要完成功能有：升級(jí)包下載，升級(jí)包確認(rèn)（解壓、解密等），升級(jí)前提條件判斷，升級(jí)執(zhí)行，狀態(tài)/結(jié)果反饋等[2]。

圖1 OTA流程概述

1.2 云端系統(tǒng)功能要求

云端系統(tǒng)（TSP）作為OTA功能的起始點(diǎn)，是所有升級(jí)數(shù)據(jù)的源頭，云端系統(tǒng)中存儲(chǔ)有車端所有控制器的升級(jí)相關(guān)數(shù)據(jù)，是車輛安全生產(chǎn)運(yùn)行的核心數(shù)據(jù)，其保密要求最高，因此需要建立不同的分層形式，對(duì)其進(jìn)行保護(hù)。主要的安全保障方案可以有以下兩種措施：首先，將主機(jī)廠的原始數(shù)據(jù)及對(duì)外發(fā)布的升級(jí)數(shù)據(jù)進(jìn)行區(qū)分，并保存于不同的服務(wù)器中。其次，對(duì)外服務(wù)器與內(nèi)部服務(wù)器數(shù)據(jù)傳輸采用私有線路，每日按照約定的時(shí)間向?qū)ν獍l(fā)布平臺(tái)進(jìn)行同步，保證主機(jī)廠原始數(shù)據(jù)的安全性，有效避免對(duì)工廠、售后等其余應(yīng)用端造成影響。

1.3 車端系統(tǒng)功能要求

車端系統(tǒng)大體可以分為三部分：主控制器、IVI、被升級(jí)控制器。主控制器（Master）控制整體的升級(jí)流程，車輛通過主控制器完成與云端服務(wù)器建立安全通訊通道，同時(shí)應(yīng)完成升級(jí)數(shù)據(jù)的下載，完整性校驗(yàn)，升級(jí)數(shù)據(jù)包驗(yàn)證，升級(jí)任務(wù)開始場(chǎng)景可行性控制，升級(jí)過程有效執(zhí)行，升級(jí)結(jié)果反饋，以及升級(jí)失敗回滾機(jī)制執(zhí)行等[3]。鑒于市場(chǎng)上TBOX多作為車輛對(duì)外聯(lián)網(wǎng)的通道，可將TBOX選定作為主控制器，同時(shí)加強(qiáng)網(wǎng)關(guān)的通訊控制功能，作為監(jiān)控輔助控制器，在OTA執(zhí)行中作為安全升級(jí)的補(bǔ)充項(xiàng)。IVI主要是人機(jī)交互使用，由車主選擇合適的升級(jí)時(shí)間。被升級(jí)控制器按照升級(jí)協(xié)議流程，完成并支持回滾雙備份等機(jī)制。

2 OTA執(zhí)行耗電要求

2.1 車輛耗電場(chǎng)景分析

按照車輛的能源形式，現(xiàn)階段的車輛可以分為傳統(tǒng)燃油車和新能源車型。對(duì)于傳統(tǒng)的燃油車，日常使用過程中電子電器相關(guān)元件消耗的電能來源主要分為兩種場(chǎng)景，首先是車輛啟動(dòng)運(yùn)行過程中，由發(fā)動(dòng)機(jī)提供動(dòng)力供給發(fā)電機(jī)，產(chǎn)生直流電源，供應(yīng)整車用電器的正常運(yùn)行使用，并按實(shí)際情況完成對(duì)蓄電池的充電。其次，在車輛非啟動(dòng)運(yùn)行場(chǎng)景下，主要由蓄電池提供電力來源，維持車輛停車消耗，用以滿足客戶對(duì)娛樂、舒適系統(tǒng)的基礎(chǔ)功能使用需求，車輛啟動(dòng)動(dòng)作的執(zhí)行等。

對(duì)于新能源車型，車輛啟動(dòng)運(yùn)行過程中的電力場(chǎng)景與傳統(tǒng)燃油車基本一致，由動(dòng)力電池包代替發(fā)動(dòng)機(jī)及發(fā)電機(jī)，轉(zhuǎn)化輸出12V電源供整車電器的使用；對(duì)于非車輛啟動(dòng)的場(chǎng)景，現(xiàn)階段大多數(shù)車企的車型仍選擇與燃油車一致的形式，由單獨(dú)的鉛酸、鋰蓄電池作為常規(guī)供電形式。

2.2 OTA各階段耗電分析

在整個(gè)FOTA過程中，車端的主要工作可以總結(jié)為兩項(xiàng)：升級(jí)包準(zhǔn)備和升級(jí)執(zhí)行。

2.2.1升級(jí)包準(zhǔn)備階段耗電分析

升級(jí)包準(zhǔn)備的工作主要包含：車端主動(dòng)發(fā)起版本檢測(cè)，接收云端服務(wù)器推動(dòng)的升級(jí)信息，執(zhí)行下載，對(duì)下載后的升級(jí)包進(jìn)行完整性檢查、安全性檢查（如簽名的驗(yàn)簽），以及判斷車輛狀態(tài)確定向客戶提示升級(jí)包下載、提示可執(zhí)行升級(jí)的時(shí)機(jī)[4]。

在此過程中，客戶參與感不強(qiáng)，且當(dāng)流量費(fèi)用等由主機(jī)廠進(jìn)行支付時(shí)，可完全在后臺(tái)靜默完成，因此，升級(jí)包準(zhǔn)備的工作可以控制在車輛啟動(dòng)后、車輛行駛中進(jìn)行執(zhí)行，通過自動(dòng)檢測(cè)模式完成。此時(shí)蓄電池處于不放電的狀態(tài)，對(duì)后續(xù)用車耗電無影響，可以不考慮。

2.2.2升級(jí)執(zhí)行階段耗電分析

執(zhí)行升級(jí)過程中，鑒于升級(jí)過程不可被打斷，升級(jí)執(zhí)行過程控制器無法正常使用，總線常規(guī)信號(hào)受控等影響，升級(jí)要求與本地刷新要求一致：車輛需要處于停車、動(dòng)力未就緒狀態(tài)，此時(shí)蓄電池?zé)o外部電量輸入，整車持續(xù)進(jìn)行電量的消耗。因此，執(zhí)行升級(jí)過程的用電情況為重點(diǎn)考慮對(duì)象。

車輛耗電量多少主要考慮功率和用電時(shí)長，具體到FOTA升級(jí)過程，可以細(xì)化為刷新電流、刷新速率和刷新總時(shí)長。通過實(shí)際測(cè)試確認(rèn)，F(xiàn)OTA升級(jí)中的各項(xiàng)耗電數(shù)據(jù)均對(duì)車輛提出較高的要求：①刷新電流，車輛的刷新電流會(huì)達(dá)到休眠電流的百倍級(jí)，即刷新執(zhí)行1小時(shí)的用電量，蓄電池可支撐整車正常停放時(shí)間減少4天以上；②刷新速率，F(xiàn)OTA升級(jí)速率會(huì)略低于本地升級(jí)速率，其中高性能控制器如TBOX、IVI等升級(jí)速率基本一致，其它CAN通訊相關(guān)控制器，如三電控制器，BCM等，升級(jí)速率最大降為本地升級(jí)速率的1/4；③刷新時(shí)間，考慮到刷新失敗的重試及版本回滾機(jī)制的影響，刷新時(shí)長在OTA執(zhí)行時(shí)會(huì)出現(xiàn)翻倍甚至更久的情況。下表為統(tǒng)計(jì)的國內(nèi)某品牌車型的實(shí)驗(yàn)階段的升級(jí)用時(shí)：

表1 某品牌車型OTA用時(shí)

2.3 FOTA虧電影響與措施

現(xiàn)階段各車型搭載的蓄電池容量一般在40-65AH左右，可滿足車輛停放兩周后可以正常使用。但蓄電池健康狀況隨著使用時(shí)間的增加不斷降低，例如，單次過度放電會(huì)大幅度降低蓄電池壽命，低溫狀態(tài)蓄電池電量輸出效果大幅度降低等。因此汽車OTA作為車輛蓄電池耗電大戶，會(huì)極大提高車輛蓄電池虧電的可能性。

在FOTA未全部完成情況下發(fā)生虧電，被升級(jí)控制器會(huì)出現(xiàn)功能失效情況，在極端情況下，如涉及動(dòng)力、安全相關(guān)控制器，控制器失效直接導(dǎo)致車輛無法使用，只能拖車回4S店進(jìn)行維修；在FOTA任務(wù)全部成功完成的情況下，過量耗電會(huì)同樣會(huì)車輛可停放時(shí)間縮短，導(dǎo)致車輛無法啟動(dòng)，蓄電池壽命大幅降低（基于鉛酸蓄電池的固有特性）。

基于以上分析，就需要制定優(yōu)化方案防止車輛虧電的發(fā)生。首先，考慮升級(jí)執(zhí)行過程及完成后電量的補(bǔ)充措施，如對(duì)于新能源車型，可限制僅在充電狀態(tài)下執(zhí)行OTA，升級(jí)非充電相關(guān)控制器時(shí)保持充電狀態(tài)，監(jiān)控到蓄電池電量低時(shí)中斷升級(jí)任務(wù)并在執(zhí)行充電后再次開始。其次，對(duì)于FOTA任務(wù)的建立及推送進(jìn)行控制，把控車端需要開始執(zhí)行的任務(wù)量，避免累積較多的升級(jí)任務(wù)，使升級(jí)時(shí)長大增。最后，優(yōu)化 FOTA任務(wù)開始的判斷條件，蓄電池電量監(jiān)控更準(zhǔn)確，確保車輛FOTA任務(wù)能夠有效完成。

3 總結(jié)

當(dāng)今社會(huì)大眾已習(xí)慣了手機(jī)、電腦的系統(tǒng)升級(jí)，所以對(duì)新加入互聯(lián)網(wǎng)大家庭的汽車來說，也會(huì)希望汽車能夠具備這樣相同的特點(diǎn)。但從其升級(jí)場(chǎng)景、升級(jí)安全要求上來說二者是有很大區(qū)別的[5]。對(duì)于數(shù)碼智能產(chǎn)品，如果存在升級(jí)缺陷，大多會(huì)造成功能性質(zhì)的損失，嚴(yán)重的可能會(huì)影響到財(cái)產(chǎn)安全；而汽車作為現(xiàn)代社會(huì)的主要交通工具，其一旦出現(xiàn)重大問題，影響的是車主及乘客的生命安全，甚至?xí)斐晒舶踩录?，影響?yán)重程度及范圍不在同一層面。各主機(jī)廠在應(yīng)用OTA技術(shù)時(shí)，更應(yīng)在滿足客戶使用要求的基礎(chǔ)上，對(duì)各應(yīng)用場(chǎng)景進(jìn)行詳細(xì)地分析，以安全為前提，促使技術(shù)更成熟穩(wěn)定。

[1] 武翔宇.淺談汽車OTA的現(xiàn)狀與未來發(fā)展趨勢(shì)[J].汽車實(shí)用技術(shù),2019(15):214-216.

[2] 王蘭.車載通信終端OTA升級(jí)方案[J].汽車實(shí)用技術(shù),2018(30): 11- 12.

[3] 王棟梁.智能網(wǎng)聯(lián)汽車整車OTA功能設(shè)計(jì)研究[J].汽車技術(shù),2018, 10(17):29-33.

[4] 張政.道路車輛網(wǎng)絡(luò)安全概述[J].時(shí)代汽車,2019(19):158-159.

[5] 張海強(qiáng),智能網(wǎng)聯(lián)汽車安全遠(yuǎn)程升級(jí)技術(shù)的研究與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2018.

Analysis on Application Requirements of Automobile OTA

Wang Pengcheng, Ma Chao, Liu Tianyu, Jia Xianfeng

（Automotive Data Of China Co., Ltd., TianJin 300300）

With the popularization of Internet of vehicles, as a standard configuration, the vehicle communication terminal provides basic support for the landing application of car controller OTA upgrade. In this paper, the realization methods of Ota system functions are sorted out, and the main functions of each component in the OTA upgrade are clarified. Combined with the market vehicle power supply configuration, the requirements of Ota function on vehicle power state are analyzed emphatically.

Internet of vehicles; OTA; Battery; Power state

10.16638/j.cnki.1671-7988.2021.06.008

U461.99

A

1671-7988(2021)06-23-03

U461.99

A

1671-7988(2021)06-23-03

王鵬程，工程師，就職于中汽數(shù)據(jù)有限公司，主要從事汽車車內(nèi)網(wǎng)絡(luò)安全設(shè)計(jì)等工作。