龐宇達　黎飛　黃祖朋　張亮　練朝春

摘 要：隨著人們對汽車的各項要求逐漸提高，車輛朝著智能化、網(wǎng)聯(lián)化趨勢發(fā)展。車聯(lián)網(wǎng)、無線通信、遠距離無線通信、專用短程通信、5G通信等技術(shù)的日趨成熟，為汽車FOTA技術(shù)應(yīng)用提供充足條件。本文系統(tǒng)闡述了電動汽車FOTA系統(tǒng)的組成方案、升級流程和升級方式，詳細介紹了電動汽車FOTA的測試目的和測試方法。

關(guān)鍵詞：FOTA系統(tǒng) 升級流程 測試內(nèi)容 測試方法

在現(xiàn)代汽車領(lǐng)域中，各種智能ECU（電子控制單元）模塊的廣泛使用，給汽車行業(yè)帶來了巨大變革。由于汽車的電子控制單元增多，汽車軟件隨之也越來越復(fù)雜，代碼數(shù)量增加，加大了軟件缺陷的發(fā)生概率。依靠線下店召回的傳統(tǒng)模式已不能滿足快速響應(yīng)的需求，使得汽車遠程刷新FOTA技術(shù)得以迅速發(fā)展。車輛通過FOTA 技術(shù)可以快速更新軟件算法和程序性能，彌補信息安全漏洞，實現(xiàn)汽車自身迭代升級。

1 電動汽車FOTA系統(tǒng)概述

FOTA （firmware over-the-air）：中文翻譯為固件空中遠程升級，是指利用無線通信技術(shù)，通過云平臺實現(xiàn)對車輛固件的遠程更新。

1.1 電動汽車FOTA系統(tǒng)整體方案

汽車固件遠程升級（FOTA）系統(tǒng)包含：移動端、FOTA云平臺、無線車載終端、支持FOTA功能的車輛ECU。FOTA云平臺和無線車載終端通過無線網(wǎng)絡(luò)進行連接，無線車載終端和車輛ECU通過CAN網(wǎng)絡(luò)進行連接。汽車FOTA系統(tǒng)的整體方案見圖1。

1.1.1 移動端

主要用于人員權(quán)限管理、升級任務(wù)創(chuàng)建、升級包創(chuàng)建、車輛注冊管理等。

1.1.2 FOTA云平臺

主要用于對整個升級過程的管控，主要功能包括：車輛管理、車主管理、升級包管理、升級包加密和完整性校驗、升級條件管理、升級任務(wù)管理、升級任務(wù)創(chuàng)建等。

1.1.3 無線車載終端

作為車內(nèi)和車外互聯(lián)網(wǎng)關(guān)，主要功能包括：車內(nèi)控制器版本上報、升級包下載、升級包解密、升級包完整性校驗、升級包存儲、車內(nèi)升級條件檢測、升級進度上報等。

1.1.4 車輛ECU（電子控制單元）

包含整車控制器、車身控制器、電池管理系統(tǒng)、車載充電機、電機控制器、高級駕駛輔助系統(tǒng)等節(jié)點，各節(jié)點固件需支持FOTA升級功能。

1.2 電動汽車FOTA系統(tǒng)安全策略

FOTA系統(tǒng)的安全策略是從FOTA云平臺到車輛端的多階段、多層級、全方位的防護，即升級包上傳到FOTA云平臺、FOTA云平臺到車輛端以及車輛端內(nèi)部都采用不同類型的加密機制來提升整個升級過程的安全等級。FOTA云平臺對登陸用戶需要進行安全訪問限制和認證，對上傳到FOTA云平臺的軟件經(jīng)過證書驗證、簽名驗證和權(quán)限驗證。為保證FOTA升級安全性，車輛端與FOTA云平臺之間的每次信息交互，都必須攜帶身份驗證信息，否則接收者驗證不通過，并向發(fā)送者發(fā)出身份驗證挑戰(zhàn)。車輛端與FOTA云平臺之間，使用HTTPS進行通信，保證傳輸通道安全性。車輛端與FOTA云平臺之間的每次信息交互，都必須在HTTP請求頭中攜帶消息內(nèi)容完整性校驗信息。

1.3 電動汽車FOTA系統(tǒng)升級流程

FOTA升級流程主要包含上傳升級包、任務(wù)創(chuàng)建、任務(wù)刷新三個部分。FOTA升級人員通過移動端上傳升級包至FOTA云平臺，待管理人員審批通過后，創(chuàng)建升級任務(wù)。管理人員對升級任務(wù)進行審批，審批通過后，升級人員開始任務(wù)刷新。升級任務(wù)結(jié)束后，如任務(wù)失敗，則需要用CAN盒連接車輛，重試任務(wù)復(fù)現(xiàn)問題，采集CAN報文和無線車載終端日志，開展問題分析。待問題解決后重新測試。FOTA升級流程圖見圖2。

2 電動汽車FOTA測試驗證

2.1 電動汽車FOTA測試工具

在開展FOTA測試前，需把測試工具準備齊全，同時為提高升級成功率，測試車輛應(yīng)放置在網(wǎng)絡(luò)通訊良好的場地。測試工具見表1。

2.2 電動汽車FOTA測試內(nèi)容

測試內(nèi)容包含常規(guī)測試和條件測試。

2.2.1 常規(guī)測試

常規(guī)測試包含全模塊測試、單模塊測試兩種類型。全模塊和單模塊升級包傳至FOTA云平臺后，根據(jù)測試目的建立不同升級任務(wù)刷新。例如無線車載終端包含MCU（單片機）和MPU（微處理器）兩個模塊，需上傳三個升級包，第一個升級包MCU/MPU模塊均為低版本，第二個升級包MCU模塊為高版本/MPU模塊為低版本，第三個升級包MCU /MPU模塊均為高版本。

2.2.2 條件測試

條件測試是在刷新過程中模擬用戶常見使用場景，例如：

1）在升級任務(wù)刷新過程中，拔插無線車載終端電源線。

2）在升級任務(wù)刷新過程中，拔插無線車載終端天線。

3）在升級任務(wù)刷新過程中，先開關(guān)車門，踩剎車，OFF->ACC->ON檔位切換操作。

4）車輛鑰匙處于OFF檔/ACC檔/ON檔/READY不同狀態(tài)進行任務(wù)刷新。

3 電動汽車FOTA測試方法

3.1 FOTA測試前提條件

測試電腦登錄連接至FOTA云平臺，云平臺服務(wù)器正常運行。FOTA云平臺已成功注冊測試車輛和ECU零件。測試人員已準備好ECU零件升級包。ECU零件升級包已成功刷寫在測試車輛上。測試車輛狀態(tài)良好且已放置在網(wǎng)絡(luò)通訊良好的場地。

3.2 ECU零件升級條件閥值

為保證升級成功，各ECU零件根據(jù)自身需求設(shè)定升級任務(wù)刷新前，測試車輛需滿足的條件閥值。FOTA云平臺閥值見表2。

3.3 測試步驟

3.3.1 上傳升級包

1）升級人員登錄FOTA云平臺。

2）將準備好的低/高版本升級包按順序上傳至FOTA云平臺。

3.3.2 升級任務(wù)

1）新建升級任務(wù)。

2）執(zhí)行升級任務(wù)。

3）當(dāng)執(zhí)行升級任務(wù)后，F(xiàn)OTA平臺將檢測車輛實際狀態(tài)是否與設(shè)置的前置條件一致。如車輛實際狀態(tài)符合要求，F(xiàn)OTA云平臺將開啟升級任務(wù)進入刷新模式。

4）在任務(wù)刷新過程中，由于出現(xiàn)車輛電池電壓低或CAN線不穩(wěn)定等意外情況，導(dǎo)致任務(wù)無法正常刷新，則要求升級的ECU零件要支持回滾，使ECU零件的軟件能夠回滾到上一版本或者初始版本，保證車輛正常運行。

5）FOTA任務(wù)刷新完成后，查看升級結(jié)果。

3.4 期望結(jié)果

在實車測試中，要求所有測試用例均需要通過，才能判定升級包可用于用戶車輛升級。具體要求如表3所示。

4 結(jié)束語

整車FOTA功能是實現(xiàn)智能網(wǎng)聯(lián)汽車快速迭代升級的必備條件，是電動汽車未來發(fā)展的必然趨勢。本文分析了電動汽車FOTA 系統(tǒng)的組成和升級流程，并建立完整的測試用例，列舉了單節(jié)點正向測試、多節(jié)點組合正向測試和單節(jié)點場景測試的詳細要求和操作步驟。通過完整的測試流程，目的是驗證整車升級過程的可行性、安全性和可靠性。期望能對相關(guān)測試人員具有一定的指導(dǎo)意義。FOTA技術(shù)在汽車上的應(yīng)用，極大提升了用戶體驗，也為整車制造廠創(chuàng)造巨大的經(jīng)濟效益，同時進一步促進汽車朝著網(wǎng)聯(lián)化、智能化、共享化的方向發(fā)展。

基金項目：廣西創(chuàng)新驅(qū)動發(fā)展專項資金資助項目（桂科AA18242039）;柳州市科學(xué)研究與技術(shù)開發(fā)計劃資助項目（2019AG10202）

參考文獻：

[1]李志濤.FOTA功能測試的研究與分析[J].汽車電器，2020（7）：21—24.

[2]李立安，趙幗娟，任廣樂.OTA實現(xiàn)方案及汽車端設(shè)計分析[J].智能網(wǎng)聯(lián)汽車，2020（14）：16—19.

[3]王棟梁，湯利順，陳博，柳旭，劉闖.智能網(wǎng)聯(lián)汽車整車OTA功能設(shè)計研究[J].汽車技術(shù)，2018（10）：29—33.

[4]武翔宇，趙德華，郝鐵亮.淺談汽車OTA的現(xiàn)狀與未來發(fā)展趨勢[J].汽車實用技術(shù)，2019（3）：215—216.

[5]李銳，杜貴鋒，謝祥東.商用車FOTA人機交互設(shè)計[J].汽車電器，2019（6）：9—10.