安全領域，無論是主動的還是被動的，都比汽車行業的幾乎任何其他領域都發展得更快，高級駕駛輔助系統（ADAS）的強勁增長以及所有主要原始設備制造商對自動駕駛的大量投資。

這些新功能具有一些共同特征：

- 他們使用多個傳感器，利用各種技術來識別汽車周圍的世界

- 他們為駕駛員控制車輛（包括制動、轉向和加速）

- 他們使用復雜的算法來捕捉現實生活中學到的東西

這使得它們非常適合通過無線 （OTA） 更新進行更新，但是，今天安全領域通常不是 OTA 可更新的。

管理多個設備更新

ADAS功能通常需要將傳感器與中央發動機控制單元（ECU）相結合的復雜系統來分析數據并做出決策，以及智能機電一體化以將其轉化為行動。

這種復雜的設置將重點放在配置管理上。OEM 通常會在質量保證和測試上花費大量時間和資源，以確保多個設備的給定配置能夠正常運行。

當需要OTA更新時，有必要保持系統配置的完全一致性。這意味著有必要從一個已知、經過測試和完全驗證的狀態移動到下一個狀態。最終使用處于替代狀態的各種設備的混合配置是不可接受的，因為這永遠不會通過測試。

考慮一個具有兩個攝像頭和一個雷達的示例（圖 1）。如果攝像頭更新順利，但雷達更新失敗，則必須將整個ADAS子系統恢復到上一個已知、測試和驗證的狀態。

圖 1：在使用 OTA 管道更新 ADAS 或安全系統域之前，必須確保多個設備之間依賴關系的完整性。

這是更新 ADAS 域的關鍵要求。必須有機制將多個設備和子系統的更新組合在一起，并將分組更新視為單個事務，即成功，或者如果不成功，則一起恢復到以前的狀態。

更新策略控制

更新安全裝置需要格外注意。例如，雖然地圖可以在車輛行駛時更新，但在車輛行駛時更新制動ECU是不可接受的。在制動ECU的情況下，我們僅在車輛處于速度為0，發動機關閉且駐車制動器或變速箱鎖定打開的狀態時安裝更新。這意味著 OEM 需要定義策略來設置啟動更新的條件。..用于整車或單個設備。

策略創建可以是手動的，但是當生命受到威脅時，我們還需要在設備中內置一種機制來建立更新關鍵ECU的策略，以便ECU確保在開始更新之前滿足絕對最少數量的先決條件。

這是使用代理概念的一個明確且令人信服的案例，其中安全相關的策略安裝在ECU中，并始終如一地遵循該ECU的更新。..無論車輛型號或 OTA 管理員的培訓或關注程度如何。

最后，安全域中的單個ECU可能不知道駕駛員與駕駛艙用戶界面的交互。例如，驅動程序是否授予啟動更新的權限？是否通知駕駛員剎車處于更新中，并且駕駛員此時不得啟動汽車并開車？標準化通過提供一致的 API 來幫助車輛的 HMI 使用。

總體而言，全行業的標準化將有助于確保高效、安全地處理安全關鍵設備的 OTA 更新，而 eSync 等雙向管道可提供所需的數據傳輸機制。

審核編輯：郭婷