隨著汽車智能化和網(wǎng)聯(lián)化的發(fā)展，汽車已經(jīng)不再只是個簡單的交通工具，車主開始關(guān)注并期待OEM能否像手機更新軟件那樣遠程維護升級自己的車輛，以獲得自身更好的駕駛享受及新功能體驗。同時OEM為了降低由于產(chǎn)品軟件漏洞等引發(fā)的召回風(fēng)險及新功能的迭代更新，利用遠程診斷技術(shù)，也都積極構(gòu)建汽車OTA升級體系，實現(xiàn)整車OTA刷新應(yīng)用。文章主要介紹了汽車OTA和遠程診斷技術(shù)，并提出一種汽車OTA刷新中遠程診斷設(shè)計方案，為OTA升級及故障診斷提供一定的指導(dǎo)作用。

前 言

汽車OTA功能已經(jīng)成為時下熱門話題，以Tesla為代表的造車新勢力突破創(chuàng)新將消費電子領(lǐng)域“空中下載技術(shù)”成功引入到了汽車領(lǐng)域，掀起了全球眾多OEM的追隨，同時也顛覆了人們對車輛的傳統(tǒng)認知。OTA升級為OEM提供了比傳統(tǒng)診斷儀更快捷、低成本的更新方式，提升用戶體驗及對品牌的忠誠度，而這些收益的背后自然是少不了主機廠遠程診斷技術(shù)的支撐。本文將介紹一種汽車OTA刷新中遠程診斷設(shè)計方案，主要包含OTA云端整體架構(gòu)及診斷要求、車載終端網(wǎng)絡(luò)診斷架構(gòu)設(shè)計、軟件存儲及刷新策略、遠程故障診斷等內(nèi)容。

01汽車OTA簡介

OTA（Over-the-Air Technology）為“空中下載技術(shù)”，與我們常見的手機更新系統(tǒng)固件（軟件）的情況類似，汽車也可以同樣通過無線網(wǎng)絡(luò)實現(xiàn)遠程更新車內(nèi)的各控制器內(nèi)部固件（FOTA）及軟件數(shù)據(jù)（SOTA），這就是所謂的汽車OTA技術(shù)。 主機廠積極構(gòu)建的汽車OTA升級體系，到底能帶來什么好處呢？ 1) OTA可以快速升級修復(fù)軟件代碼缺陷。隨著市場車輛功能配置的快速迭代，主機廠整車開發(fā)周期被迫縮短，由于軟件漏洞造成的汽車召回風(fēng)險持續(xù)攀升，目前高端汽車的整車代碼量已經(jīng)突破1億行，即使按照能力成熟度集成模型的5級最高軟件標準開發(fā)，仍有0.32%的代碼缺陷率，使用OTA升級可減少主機廠50%的汽車返修成本。 2) OTA給主機廠帶來新的“營銷模式”。“軟件定義”汽車（SDV）概念的出現(xiàn)，給傳統(tǒng)的汽車售賣硬件的方式帶來的巨大的變革，已經(jīng)賣出去的車輛還可以軟件付費方式開通一些“升級包”，如Tesla的完全自動駕駛（FSD）升級包。統(tǒng)計數(shù)據(jù)顯示，預(yù)計未來五年軟件定制市場的年均復(fù)合增長率約為30%，2023年全球汽車軟件定制市場規(guī)模有望達到275.42億元，因此主機廠可OTA升級的軟件潛力及效益可觀。如圖1所示：

圖1 全球汽車軟件定制市場規(guī)模及增速 3) 主機廠通過OTA方式，可改善車輛的動力、剎車、續(xù)航、人機交互系統(tǒng)以及智能輔助駕駛系統(tǒng)的更優(yōu)體驗。使車輛的整體性能及功能變得更優(yōu)異，增加了車主的新鮮感，也增加了車主對車輛的品牌忠誠度。汽車OTA帶來眾多好處的同時也對主機廠提出了新的挑戰(zhàn)，無論是OTA云端架構(gòu)設(shè)計、信息安全、后臺軟件版本管控等，還是車輛終端的車載網(wǎng)絡(luò)診斷架構(gòu)設(shè)計、遠程故障診斷、OTA刷新流程、ECU軟件刷新策略等方面，都需要OEM全面考慮和充分測試驗證，避免OTA推送后車輛出現(xiàn)“癱趴”現(xiàn)象，導(dǎo)致車主適得其反的體驗。

02汽車遠程診斷

汽車遠程診斷是指在車輛不需要開回4S店的情況下，依靠車輛具備的移動通訊能力（WIFI/4G/5G）完成主機廠后臺（或手機端APP）對車輛進行遠程控制及診斷操作的一種診斷技術(shù)。遠程OTA刷新就屬于遠程診斷應(yīng)用的一種場景。此外，遠程診斷技術(shù)通過與物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等前沿技術(shù)融合后，還可為主機廠在研發(fā)試驗、產(chǎn)線電檢、售后診斷等領(lǐng)域提供重要支撐。 首先，遠程診斷可以在線采集數(shù)據(jù)，降低開發(fā)周期及成本。研發(fā)階段車輛需要進行大量道路試驗、耐久試驗，而試驗車配備的數(shù)據(jù)采集設(shè)備有限，通過遠程診斷，試驗過程中出現(xiàn)的車輛故障現(xiàn)象可以及時反饋給研發(fā)人員分析和仿真，快速協(xié)助解決故障問題。其次，遠程診斷可以在產(chǎn)線電檢跨工位實現(xiàn)初始化及功能檢測、產(chǎn)線OTA刷新，實現(xiàn)汽車軟件定制化生產(chǎn)，滿足車主定制化需求。最后，遠程診斷可以周期性監(jiān)控車輛狀態(tài)，實時診斷車輛健康，結(jié)合大數(shù)據(jù)統(tǒng)計分析進行車輛故障預(yù)警，通過后臺推送給廠家售后4S店進行車輛保養(yǎng)及維修指導(dǎo)建議。

03OTA刷新遠程診斷設(shè)計

OTA刷新系統(tǒng)架構(gòu)主要由服務(wù)器（云平臺）、傳輸媒介（3G/4G/WIFI/5G）和車載終端（ECU）三部分構(gòu)成。本文基于如圖2所示的OTA刷新系統(tǒng)架構(gòu)設(shè)計，重點針對服務(wù)器（云平臺）和車載終端（ECU）進行遠程診斷詳細方案介紹。3.1 OTA服務(wù)器

圖2 OTA刷新系統(tǒng)架構(gòu) OTA服務(wù)器又稱為OTA云平臺，在軟件刷新過程中起連接用戶（車廠、車主）與車輛的作用，為實現(xiàn)車輛遠程智能診斷及故障預(yù)測分析，OTA云平臺設(shè)計一般要求都部署在車廠的私有服務(wù)器上，能夠支持多種車型OTA升級。

3.1.1 OTA云平臺整體架構(gòu)

OTA云平臺主要包含用戶管理、固件管理、車輛管理、升級任務(wù)管理、統(tǒng)計分析管理、用戶操作日志管理模塊，如圖3所示。

圖3 OTA云平臺整體架構(gòu) 用戶管理模塊：OTA云平臺為車廠提供的是一套軟件系統(tǒng)，因此需要有用戶管理模塊來實現(xiàn)用戶權(quán)限分配及管理工作。系統(tǒng)搭建環(huán)境默認創(chuàng)建超級管理員用戶，由超級管理員用戶登錄后在用戶管理模塊實現(xiàn)用戶新增，用戶查看，用戶信息修改等功能操作。 固件管理模塊：主要為用戶提供固件上傳，固件查詢及編輯（版本管理）功能。用戶將車廠測試通過的固件上傳到OTA云平臺，用以升級任務(wù)創(chuàng)建。 車輛管理模塊：主要包含車輛ECU信息同步、車輛ECU信息獲取及車輛信息查看功能。車輛ECU信息同步子模塊對接主機廠MES（生產(chǎn)制造）系統(tǒng)，可導(dǎo)入不同車型配置信息用以O(shè)TA升級時對目標車輛篩選及升級策略配置。 升級任務(wù)管理模塊：主要負責為用戶提供升級任務(wù)創(chuàng)建、升級任務(wù)審批、升級任務(wù)查詢、升級進度查詢功能。 統(tǒng)計分析管理模塊：主要負責統(tǒng)計分析已發(fā)布的升級任務(wù)執(zhí)行結(jié)果情況。用戶可以查看每個升級任務(wù)對應(yīng)的升級車輛的成功率、失敗原因統(tǒng)計及未執(zhí)行升級原因統(tǒng)計分析。 用戶操作日志管理模塊：主要負責為超級管理員用戶提供所有登錄OTA云平臺的用戶的所有功能操作記錄。

3.1.2 OTA云平臺診斷要求

OTA云平臺必須符合高可用、高性能、可擴展、可監(jiān)控的診斷要求。具體表現(xiàn)為以下幾個方面： 1) 采用微服務(wù)的Browser/Server（瀏覽器/服務(wù)器）的服務(wù)框架，能夠支持多種負載均衡模式（服務(wù)消費者從提供者列表中，基于軟負載均衡算法（隨機、權(quán)重、輪詢、最少并發(fā)優(yōu)先等）選一臺服務(wù)提供者進行遠程調(diào)用，如果調(diào)用失敗，需自動診斷并切換另一臺服務(wù)提供者）； 2) 立體化監(jiān)控，能夠?qū)ο到y(tǒng)資源（CPU、負載、內(nèi)存、網(wǎng)絡(luò)和磁盤等）基礎(chǔ)指標進行詳細的監(jiān)控，對于系統(tǒng)的每一次服務(wù)調(diào)用響應(yīng)時間和出錯率進行故障診斷和預(yù)警； 3) 系統(tǒng)具備高可靠和高性能，確保整個系統(tǒng)上運行的業(yè)務(wù)體系能夠為客戶系統(tǒng)提供99.9%可用性的高效優(yōu)質(zhì)服務(wù)； 4) 采用服務(wù)集群的管理技術(shù)，利用多個計算機并行計算從而獲得高性能和冗余備份，即便單機故障時整個系統(tǒng)仍能正常工作； 5) 系統(tǒng)具備故障隔離機制，在應(yīng)用軟件系統(tǒng)發(fā)生故障時，通過故障隔離可將故障危害限制在最小范圍內(nèi)，提高系統(tǒng)對外服務(wù)的整體能力。3.2 OTA車載終端OTA車載終端作為OTA升級的執(zhí)行方，以O(shè)TA推送方式為例，用戶可感知體驗的部分較多，車載終端的設(shè)計重點需考慮人機交互、網(wǎng)絡(luò)診斷架構(gòu)設(shè)計、ECU刷新時長、軟件存儲及刷新策略、遠程故障診斷機制。車載終端網(wǎng)絡(luò)框架如圖4所示，OTA主控節(jié)點由TBOX和中央網(wǎng)關(guān)（GW）負責，升級界面由車機負責，被刷新的ECU要求支持車載以太網(wǎng)（DoIP）或CAN總線（DoCAN）通訊協(xié)議，若ECU升級包較大（如上百兆）需要支持數(shù)據(jù)差分算法。

圖4 OTA車載終端框架

3.2.1 OTA人機交互設(shè)計

OTA升級時除了云平臺推送升級任務(wù)到車主APP提醒外，還需車端（車機或中控）配合開發(fā)顯示一些升級界面（如升級進度、升級條件提醒等），用于提醒車主車輛設(shè)防及離車等配合操作。

3.2.2 網(wǎng)絡(luò)診斷架構(gòu)設(shè)計

目前車載網(wǎng)絡(luò)主干網(wǎng)仍以成熟的CAN總線通訊為主，但對于軟件包較大的ECU由于刷新時長等因素，使用了車載以太網(wǎng)技術(shù)來突破CAN總線的帶寬限制，如圖10所示。 主要架構(gòu)包含OTA主控節(jié)點（TBOX和GW）和被刷新ECU。TBOX主要負責對外與云平臺的連接通道安全可靠，其內(nèi)部集成了PKI認證及身份鑒權(quán)等安全模塊；GW主要負責對內(nèi)部網(wǎng)絡(luò)的連接通道及集成診斷刷新機功能。刷新ECU根據(jù)軟件包大小及理論刷新時長（如不超過20分鐘），在CAN總線拓撲架構(gòu)上增加了以太網(wǎng)接口設(shè)計，使用DoIP協(xié)議進行ECU診斷刷新。

圖5 網(wǎng)絡(luò)診斷架構(gòu)圖

3.2.3 ECU軟件存儲及刷新策略

OTA刷新前ECU軟件升級包由云平臺下發(fā)到車端OTA主控節(jié)點內(nèi)存儲，由文件存儲模塊來負責整車軟件升級包的存儲及備份包的管控。 升級管理模塊主要負責刷新機刷新策略控制，OTA刷新需要設(shè)計多次冗余刷新策略，即OTA后臺發(fā)起一次升級任務(wù)后，同一輛車內(nèi)OTA主控節(jié)點刷新機通常會對同一個ECU執(zhí)行多次刷新嘗試請求，減少偶發(fā)失敗因素，提高OTA刷新成功率。被刷新ECU主要分為傳統(tǒng)嵌入式芯片ECU和復(fù)雜帶操作系統(tǒng)（如Linux、Android、AutoSAR）的ECU。 根據(jù)ECU的硬件資源情況，我們又設(shè)計了如下ECU內(nèi)部存儲及刷新策略：如圖11所示的帶操作系統(tǒng)ECU，硬件存儲資源豐富，控制器內(nèi)分配了兩個不同啟動區(qū)分，具體刷新過程如下： 1) 默認出廠狀態(tài)啟動分區(qū)1激活，運行V1.0版本程序，啟動分區(qū)2內(nèi)無備份程序； 2) 當OTA發(fā)起第一次V1.1版本刷新請求時，刷新數(shù)據(jù)會存儲在備份分區(qū)（分區(qū)2），刷新成功后激活啟動分區(qū)2，并交換備份分區(qū)（分區(qū)1），下次上電后程序由啟動分區(qū)2啟動并正常工作； 3) 當OTA發(fā)起第二次V1.2版本刷新請求時，刷新數(shù)據(jù)會被存儲在備份分區(qū)1，刷新成功后激活啟動分區(qū)1并交換備份分區(qū)（分區(qū)2），下次上電后程序由啟動分區(qū)1啟動并正常工作； 4) 當OTA發(fā)起第三次V1.3版本刷新請求時，刷新數(shù)據(jù)會存儲在備份分區(qū)（分區(qū)2），刷新成功后激活啟動分區(qū)2，并交換備份分區(qū)（分區(qū)1），下次上電后程序由啟動分區(qū)2啟動并正常工作。如此循環(huán)交換分區(qū)刷新，即便遇到刷新失敗當前啟動分區(qū)無法正常啟動時，ECU也還可以通過自回滾從備份分區(qū)啟動，確保系統(tǒng)工作正常。

圖6 帶操作系統(tǒng)的ECU軟件存儲及刷新策略圖 對于傳統(tǒng)嵌入式ECU，通常采用BOOT+APP的軟件架構(gòu)，如圖12所示。功能越復(fù)雜的ECU，其選擇的主控芯片APP容量越大，為了實現(xiàn)ECU內(nèi)部軟件自回滾功能，需要將APP空間劃分一部分用于軟件備份存儲（如APP2）。當ECU被刷新時，由BOOT代碼負責提供升級流程引導(dǎo)，將升級包存儲到APP區(qū)域（一般為程序啟動入口地址空間）。由于嵌入式芯片ECU程序啟動入口通常只有一個，因此，當刷新失敗（APP激活不了）時，由BOOT引導(dǎo)程序指引復(fù)制APP2的備份程序到APP區(qū)域進行回滾操作并啟動，確保ECU工作正常。對于APP容量較小不支持APP2空間劃分的ECU，只能依靠OTA主控節(jié)點實現(xiàn)升級包的備份存儲。

圖7 嵌入式ECU軟件存儲及刷新策略圖

3.2.4 OTA遠程故障診斷設(shè)計

OTA刷新目前主要是通過診斷通訊方式實現(xiàn)的ECU刷新條件檢查、刷新過程數(shù)據(jù)傳輸及刷新后復(fù)位重啟等操作，刷新過程中被刷新ECU由于進BOOT或其它原因無法保證應(yīng)用程序正常運行（無感刷新方式除外）時，需要提前進行ECU故障屏蔽設(shè)計以免刷新過程造成整車出現(xiàn)一些故障碼，誤導(dǎo)后續(xù)遠程故障診斷及統(tǒng)計分析。OTA刷新過程中，診斷故障屏蔽可采用UDS診斷協(xié)議中的0x85（Control DTC Setting）服務(wù)來實現(xiàn)。OTA遠程故障診斷，還要解決的一個難點是與本地故障診斷的沖突問題。OTA云平臺難以識別本地診斷設(shè)備，因此，必須要在車端集成遠程診斷與本地診斷的仲裁判斷邏輯。由中央網(wǎng)關(guān)（GW）負責仲裁協(xié)調(diào)，當OTA刷新過程中，網(wǎng)關(guān)屏蔽本地故障診斷路由轉(zhuǎn)發(fā)功能；同理，當有本地診斷設(shè)備時，網(wǎng)關(guān)屏蔽遠程故障診斷路由轉(zhuǎn)發(fā)功能，屏蔽只在當前點火循環(huán)有效。

04結(jié) 論

汽車OTA刷新為遠程診斷技術(shù)帶來了迫切的需求和絕佳的發(fā)展機遇，主機廠積極部署的OTA升級體系和遠程診斷平臺，不僅是為了當下車輛的軟件漏洞修復(fù)和功能快速更新，更是為了適應(yīng)“軟件定義”汽車（SDV）的趨勢及更高階的自動駕駛的技術(shù)發(fā)展，而主機廠遠程診斷平臺積累的數(shù)據(jù)，正是考驗其大數(shù)據(jù)挖掘與智能診斷應(yīng)用相結(jié)合的綜合能力。身為“領(lǐng)頭羊”的特斯拉，通過遠程診斷技術(shù)已經(jīng)實現(xiàn)90%情況下的車輛部件故障診斷，每年可為車主節(jié)省一天維修工時。國內(nèi)車企要奮起直追，為車主提供更便捷、滿意的服務(wù)體驗，仍需較長的發(fā)展歷程。

審核編輯 ：李倩