梁金安，程 登，蘇國傳

（上汽通用五菱汽車股份有限公司廣西汽車新四化重點實驗室，廣西 柳州 545007）

1 內(nèi)容綜述

隨著技術(shù)的迭代，汽車技術(shù)能提供給用戶的體驗也就會逐漸豐富化，但由于汽車設(shè)計成型時功能已然鎖定。若想增加新功能，傳統(tǒng)方式是更換硬件或到4S店更新系統(tǒng)，這種方式花費昂貴且浪費時間?，F(xiàn)在，隨著汽車技術(shù)的成熟，各大車企開始推出了OTA的方式[1]。本文主要闡述一種通過用戶連接單元OTA車上其他ECU節(jié)點的方案。用戶連接單元是大部分新能源車對外部網(wǎng)絡(luò)的唯一連接通道，這就為用戶連接單元的OTA功能增加提供了有利的條件，作為汽車內(nèi)部CAN網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接的唯一通道，在保證安全的前提下，用戶連接單元就能夠完成對于車載電子控制單元的相關(guān)刷寫操作，即用戶連接單元OTA其他ECU節(jié)點的功能。

OTA升級是時下比較流行且技術(shù)相對成熟的一種升級方式，比如智能手機的系統(tǒng)升級，這種OTA流程已經(jīng)有比較完善的安全校驗方式，也有很多諸如差分升級、固件升級、系統(tǒng)升級的升級場景。因此將OTA升級方案應(yīng)用于汽車電子控制單元部件的升級，將會減少車企的開發(fā)和售后維護成本，完善車載電子控制單元的功能，豐富車載多媒體系統(tǒng)等，優(yōu)化用戶用車體驗，下面就具體介紹相關(guān)的方案[2]。

2 OTA升級方案

對于用戶連接單元OTA其他ECU 節(jié)點的升級流程，可以參考以下圖1示流程。

首先，各ECU節(jié)點的工程師需要對升級包進行功能性信息安全性的驗證測試。之后再驗證升級包的文件格式、接口參數(shù)、文件完整性和信息安全性之后，F(xiàn)OTA企業(yè)平臺工程師向平臺上傳完整的升級包，備注升級包屬性和優(yōu)化的功能等信息，F(xiàn)OTA企業(yè)平臺服務(wù)器會自動對文件進行排序管理。完成以上的準備工作，在車輛的某個ECU節(jié)點需要進行OTA時，對應(yīng)的ECU節(jié)點工程師對目標車輛進行檢驗，查看實車車型、軟件版本等信息與升級包的信息是否匹配，確認無誤后由FOTA企業(yè)平臺工程師部署OTA任務(wù)，部署升級時填寫對應(yīng)的升級先決條件，經(jīng)過FOTA平臺相關(guān)領(lǐng)導(dǎo)審核后，升級任務(wù)才能繼續(xù)往下執(zhí)行。

此時，F(xiàn)OTA企業(yè)平臺服務(wù)器會將更新的升級信息通過APP或短信等渠道發(fā)布給對應(yīng)車主并彈出窗口進行OTA功能的確認，此時車主通過手機APP或車機顯示屏可以知道本次OTA的原因以及OTA期間應(yīng)該讓車輛達到怎樣的先決條件，如果用戶選擇本次不升級，則OTA進程不執(zhí)行，該用戶所屬車輛本次OTA取消；如果用戶選擇OTA升級，則會再次提醒用戶確認車輛是否處于所要求的先決條件狀態(tài)，達到先決條件后車輛開始執(zhí)行OTA指令[3]。

當(dāng)FOTA企業(yè)平臺服務(wù)器收到確認OTA升級的應(yīng)答之后，用戶連接單元會通過網(wǎng)絡(luò)連接OTA云建立與FOTA企業(yè)平臺服務(wù)器的鏈接，F(xiàn)OTA企業(yè)平臺服務(wù)器通過校驗OTA目標車型和版本來匹配對應(yīng)的升級包，匹配對應(yīng)升級包后進行信息完整性校驗，通過校驗后壓縮升級包，下載壓縮包到用戶連接單元特定儲存區(qū)域。另外，在升級壓縮包下載的過程中，由于用戶連接單元內(nèi)部有備用電池，不用擔(dān)心下載過程的供電問題，但是需要確保用戶連接單元的網(wǎng)絡(luò)通訊，同時確保用戶連接單元支持差分升級包、固件升級包的下載，并且能夠支持斷點續(xù)傳功能，這樣才能保證OTA升級包的完整性[4]。

在傳輸和下載的過程中，需要注意以下幾個重要問題：第一個，OTA升級壓縮包的完整性；完整性是所有ECU節(jié)點OTA成功的前提，完整的升級包也是確保OTA之后的功能正常的重要保證。第二個，需要注意OTA下載的升級壓縮包的安全性；文件在傳輸和下載的過程中需要有完整的校驗機制，謹防文件錯亂，防止人為篡改，竊取客戶車輛信息，更要防止外人控制車輛，影響用戶用車安全。目前車聯(lián)網(wǎng)OTA功能的加密方式大多是采用國際比較流行的AES 128對稱加密或者升級包簽名等加密方式，傳輸過程使用CMAC防篡改校驗。由于OTA升級涉及多個控制器，因此盡量不要采用與其他控制器加密方式一樣的算法[5]。

當(dāng)完成OTA升級壓縮包下載后，用戶連接單元OTA其他ECU節(jié)點進程就可以往下走了。首先用戶連接單元需要對OTA升級壓縮包進行解壓，校驗升級包和升級目標節(jié)點的軟件是否匹配，校驗升級包完整性，校驗文件的簽名和證書，確認后開始升級。升級前必須要保持車輛電池電量充足，不能出現(xiàn)中途斷電的情況，同時確認OTA全過程車輛狀態(tài)滿足OTA先決條件，升級進度實時上傳至APP或車機顯示屏上，供車輛擁有者實時查詢。OTA任務(wù)執(zhí)行結(jié)束后，OTA結(jié)果推送至APP或車機顯示屏，以此提醒用戶OTA成功或已結(jié)束，可以正常用車了。

在升級結(jié)束后，F(xiàn)OTA企業(yè)平臺服務(wù)器會重啟用戶連接單元，F(xiàn)OTA企業(yè)平臺服務(wù)器會通過用戶連接單元對實車的ECU節(jié)點進行驗證，如果對應(yīng)ECU的版本已經(jīng)是目標版本，就會反饋OTA成功，至此結(jié)束OTA進程。如果升級條件不滿足或車輛改變先決條件導(dǎo)致OTA終止時，用戶連接單元就會向FOTA企業(yè)平臺服務(wù)器反饋OTA不成功，相應(yīng)的ECU節(jié)點會進行版本回滾，確保ECU節(jié)點不會因升級不成功而出現(xiàn)功能失效，確保功能的有效性和信息安全性，確保沒有降低用戶的用車體驗。只有保證OTA升級的完整性、安全性和容錯機制，才能保障OTA升級的正常運行[6]。

在目標ECU節(jié)點完成OTA升級之后，F(xiàn)OTA企業(yè)平臺服務(wù)器需要記錄各ECU節(jié)點OTA全流程的升級日志，升級的日志與日常用車的日志會分存儲區(qū)域保存，工程師可以到特定的儲存區(qū)域下載查看，分析和優(yōu)化OTA進程。另外，F(xiàn)OTA企業(yè)平臺服務(wù)器需要具備在不影響用戶用車體驗的前提下能夠?qū)囕v進行遠程喚醒或遠程補電等優(yōu)化車輛升級條件的操作。只有具備了這些操作的FOTA企業(yè)平臺服務(wù)器，才能提高OTA的成功率，更好地服務(wù)于OTA業(yè)務(wù)。

3 總結(jié)與展望

以上簡單地介紹了一種通過用戶連接單元OTA其他ECU節(jié)點的方案，這種OTA方法目前已經(jīng)初步成熟，以后會在實踐中不斷完善，不斷優(yōu)化；逐步減少OTA流程消耗時長，提高OTA期間的抗干擾能力，提高成功率，擴大可OTA的ECU節(jié)點數(shù)量。相信在不久的將來，OTA升級會發(fā)揮更大的功能，能夠在保證安全的前提下對車內(nèi)所有的電子控制單元進行軟件升級。