OTA技术用于智能车辆的智能更新
2019-04-19 来源:作者:Bernd Wondratschek, 儒卓力汽车业务集团现场应用工程师
无线(OTA)意味着固件和软件的更新不再通过电缆进行,而是通过无线方式进行。这可以使用各种无线电标准来实现,包括蜂窝无线电和WLAN,但是也可以使用蓝牙和NFC,例如,在充电站。在汽车中,更新会影响发动机控制单元(ECU)和信息娱乐系统。发动机控制单元的更新通常会缩减安全漏洞并提高性能,更新的信息娱乐系统则有助于提升舒适度和个性化使用。
随着越来越多的带有软件密集型ECU的新型车辆进入市场,软件维护需求也将随之增加:根据美国国家公路交通安全管理局(NHTSA)的一项研究,2015年美国全部安全召回车辆中的15%是由于软件错误。在车辆中消除这种错误比智能手机要复杂得多。如果在车辆中检测到与软件相关的错误或严重漏洞,则需要在专业维修车间中进行维修,这是专业人员能够通过电缆连接提供来自软件供应商(通常是OEM厂商)的更新服务的唯一场所,这不仅耗费时间、令人烦恼,而且对OEM厂商来说也相当昂贵。
先决条件:联网车辆
蜂窝无线电设备是更为智能的车辆能够启用OTA更新的关键所在。在汽车中建立蜂窝无线电的一个重要里程碑是欧盟的“eCall”法规:自2018年3月以来,欧盟的所有新车型都配备了“紧急呼叫功能”,这项专门功能不仅自动调用紧急服务, 在发生事故时使用欧洲紧急呼叫号码112,还为车辆供应商提供通过OTA进行通信的基本选择。 因而可以节约成本和资金,因为经由OTA界面,用户可以通过应用程序商店购买和激活新功能和应用程序(如果硬件允许的话)。
OTA更新的优势非常广泛:用户不再需要访问工作车间进行更新,便可以从最新的软件和固件及相关改进,以及不断更新的地图和新应用程序中获益。供应商可以更多地了解有关车辆用户和车辆配置的信息,避免与软件相关的召回成本,并确保他们的车辆更加安全。
转移和分配
OTA方法的目的是用在OEM的服务器和车辆的远程信息处理单元之间的移动连接来替换必须在车间里通过电缆进行传输的更新,。 但是,“eCall”系统不适用于此,因为它不能传输除紧急呼叫之外的数据。 因此,车辆要么需要单独的SIM卡,要么必须通过智能手机热点或WLAN网络访问连接。 一旦建立了连接,充当网关的OTA Manager就可以启动更新过程。
必不可少:安全性和安全保障
虽然具有许多优点,但OTA更新还具有相当大的潜在风险。保护数据包的安全传输至关重要;否则,第三方可以访问重要的车辆功能或数据。
因此,安全性和安全保障是OTA成功的关键因素。安全保障描述了传输路由的安全状况,而安全性则指更新过程的安全实施。安全保障包括使用各种机制, 如TLS(SSL传输)、HTTPS、用户标识、VPN和E2EE等,来保护传输路由。如果这些路由未能得到充分保护,则可能发生中间人攻击、电气系统欺骗、知识产权盗窃、窥视驾驶员甚至关闭或操纵车辆功能。
存储和执行更新通常与安全性相关。为了防止操纵软件并确保数据的真实性和完整性,需要对软件包进行加密签名。
在硬件结构中,硬件安全模块(HSM)可以承担这项安全功能。
等待更新安装不再烦人
在更新的时间和持续时间方面,还需要记住几点。车辆的ECU只能在安全状态下接收更新数据,即发动机关闭时。此外,用户不希望在再次开车之前必须等待更新过程。因此,更新过程应尽可能方便且不被察觉,从而避免较长的车辆停止时间。
可能的解决方案包括引入冗余存储器系统,用于存储新固件和旧固件备份。如果更新过程不成功,车辆的功能则仍然能够维持。更进一步的措施是计划好的更新过程将在客户期望的时间发生,通常在晚上。
为了保证更快的上传,数据包应当尽可能小。
ECU和信息娱乐系统之间的软件容量差别很大:如果必须更换全部代码,可能会生成几千兆字节数据。然而,这可以通过使用delta编码压缩数据分组来解决,它只包含旧版本的更改,而不是全部软件代码,这可将数据量减少到几百兆字节。