基于商用車遠(yuǎn)程數(shù)據(jù)升級(jí)（FOTA）的技術(shù)研究

張新宇 吳磊 郭曉軒 胡必謙 李杰 張煥巖 劉宏君 佘武45

摘要：本文以商用車遠(yuǎn)程排放監(jiān)控技術(shù)為基礎(chǔ)，詳細(xì)介紹了基于商用車遠(yuǎn)程數(shù)據(jù)升級(jí)（FOTA）技術(shù)方案，包括：FOTA系統(tǒng)架構(gòu)、發(fā)動(dòng)機(jī)控制器（ECU）新特性、TBOX新特性和遠(yuǎn)程數(shù)據(jù)升級(jí)現(xiàn)實(shí)意義等內(nèi)容。

關(guān)鍵詞：遠(yuǎn)程數(shù)據(jù)升級(jí)，F(xiàn)OTA，ECU，TBOX

Abstract ：Based on the remote emission monitoring technology of commercial vehicles，this paper introduces in detail the technical scheme of firmware Over-The-Air （FOTA）based on commercial vehicles，including FOTA system architecture，new characteristics of engine controller （ECU），new characteristics of TBOX and the practical significance of FOTA

Key words：remote data upgrade，F(xiàn)OTA，ECU，TBOX

引言

2021年7月1日GB17691-2018 《重型柴油車污染物排放限值及測量方法（中國第六階段）》的正式實(shí)施，其中要求每臺(tái)商用車都必須通過車載排放終端（TBOX）將車輛排放數(shù)據(jù)、故障碼和各類運(yùn)行參數(shù)等數(shù)據(jù)上傳到國家大數(shù)據(jù)平臺(tái)（GB17691-2018附錄Q中要求），或者先將數(shù)據(jù)上傳到企業(yè)平臺(tái)后再上傳到國家平臺(tái)，如圖1所示。

目前大部分主機(jī)廠的企業(yè)平臺(tái)在滿足國家平臺(tái)的數(shù)據(jù)監(jiān)管要求后，會(huì)采用大數(shù)據(jù)分析算法來對(duì)數(shù)據(jù)進(jìn)行深度分析和挖掘，發(fā)現(xiàn)車輛的各類質(zhì)量問題和潛在失效的風(fēng)險(xiǎn)項(xiàng)。雖然車輛在開發(fā)過程中會(huì)進(jìn)行各種極端環(huán)境下的可靠性、耐久性、駕駛性等諸多試驗(yàn)，但車輛在交付給終端用戶后的實(shí)際使用的工況遠(yuǎn)比試驗(yàn)開發(fā)時(shí)遇到的要復(fù)雜的多，存在諸多整車開發(fā)階段無法預(yù)知的質(zhì)量問題和風(fēng)險(xiǎn)。

在解決質(zhì)量問題和風(fēng)險(xiǎn)的過程中，難免會(huì)對(duì)發(fā)動(dòng)機(jī)控制器（ECU）進(jìn)行數(shù)據(jù)升級(jí)。目前ECU的數(shù)據(jù)升級(jí)方式一般是售后服務(wù)人員通過診斷儀進(jìn)行手動(dòng)數(shù)據(jù)升級(jí)。而面對(duì)大批量的市場在用車的數(shù)據(jù)升級(jí)，售后服務(wù)的工作量無疑巨大。如果商用車具備FOTA（遠(yuǎn)程數(shù)據(jù)升級(jí)）技術(shù)，則用戶可以進(jìn)行自主主動(dòng)數(shù)據(jù)升級(jí)或者后臺(tái)被動(dòng)升級(jí)，不僅能夠提升數(shù)據(jù)升級(jí)服務(wù)效率，而且能快速響應(yīng)用戶需求，提升用戶體驗(yàn)。

本文就FOTA系統(tǒng)在商用車方面的創(chuàng)新技術(shù)進(jìn)行論述，包括FOTA系統(tǒng)架構(gòu)、和ECU、TBOX的新特性。

1 FOTA系統(tǒng)架構(gòu)

目前商用車上的車載排放監(jiān)控終端（TBOX）能夠同時(shí)與云端服務(wù)器和ECU進(jìn)行數(shù)據(jù)通信（如圖2所示），是進(jìn)行FOTA升級(jí)開發(fā)最為合適的載體。整個(gè)FOTA系統(tǒng)即為基于當(dāng)前遠(yuǎn)程排放監(jiān)控系統(tǒng)的基礎(chǔ)上的創(chuàng)新設(shè)計(jì)。

FOTA系統(tǒng)的架構(gòu)如圖3所示。根據(jù)法規(guī)要求、市場問題統(tǒng)計(jì)和用戶需求，研發(fā)設(shè)計(jì)人員進(jìn)行制作相應(yīng)的ECU數(shù)據(jù)升級(jí)文件。并將此文件提交給系統(tǒng)FOTA系統(tǒng)管理員，管理員將此數(shù)據(jù)和升級(jí)指令部署到云服務(wù)器平臺(tái)。

之后云服務(wù)器將ECU數(shù)據(jù)發(fā)送需要升級(jí)車輛的TBOX，最終由TBOX完成ECU數(shù)據(jù)的升級(jí)操縱。

為保證ECU數(shù)據(jù)升級(jí)的安全和可靠性，數(shù)據(jù)升級(jí)前需要用戶確認(rèn)和車輛狀態(tài)確認(rèn)，在用戶允許、車輛狀態(tài)滿足要求的前提條件下進(jìn)行數(shù)據(jù)升級(jí)。如圖4所示。

2 ECU新特性

為確保ECU數(shù)據(jù)升級(jí)的合規(guī)性、安全性和可靠性，ECU全新開發(fā)了A/B分區(qū)和EOL分層的新特性。

2.1 A/B分區(qū)設(shè)計(jì)

ECU內(nèi)部memory采用A/B兩個(gè)分區(qū)，兩個(gè)分區(qū)為并列的關(guān)系，無任何交互的信息。如圖5所示。在無數(shù)據(jù)升級(jí)的情況下，車輛默認(rèn)使用ECU內(nèi)的A分區(qū)數(shù)據(jù)。當(dāng)車輛需要進(jìn)行數(shù)據(jù)升級(jí)時(shí)，TBOX會(huì)先將數(shù)據(jù)傳輸至ECU內(nèi)的B分區(qū)中。

當(dāng)車輛停機(jī)后，ECU檢測到B分區(qū)內(nèi)有新數(shù)據(jù)時(shí)，此時(shí)ECU會(huì)切換到優(yōu)先使用B分區(qū)內(nèi)的數(shù)據(jù)，若ECU使用B分區(qū)內(nèi)的數(shù)據(jù)在連續(xù)多個(gè)駕駛循環(huán)無異常和報(bào)錯(cuò)，則ECU會(huì)在車輛下一次停機(jī)后將B分區(qū)內(nèi)的數(shù)據(jù)覆蓋掉原A分區(qū)的數(shù)據(jù)。同時(shí)將B分區(qū)的數(shù)據(jù)擦除。ECU恢復(fù)到默認(rèn)使用A分區(qū)數(shù)據(jù)狀態(tài)。

若ECU在使用B分區(qū)中的數(shù)據(jù)過程中出現(xiàn)異常、報(bào)錯(cuò)和無法起動(dòng)等問題，經(jīng)過用戶確認(rèn)ECU可繼續(xù)使用原A分區(qū)數(shù)據(jù)，同時(shí)將B分區(qū)中數(shù)據(jù)擦除。

2.2 EOL分層設(shè)計(jì)

根據(jù)國六階段排放法規(guī)要求國家監(jiān)管部門會(huì)對(duì)ECU的版本狀態(tài)進(jìn)行監(jiān)管，任何數(shù)據(jù)升級(jí)都需要在國家監(jiān)管平臺(tái)進(jìn)行備案，同時(shí)ECU內(nèi)部會(huì)對(duì)ECU數(shù)據(jù)進(jìn)行CVN計(jì)算，依據(jù)ECU的CVN碼來確保數(shù)據(jù)的唯一性。因此，為了滿足用戶的自定義需求，ECU將A與B分區(qū)都分成多個(gè)數(shù)據(jù)層，包括啟動(dòng)層（startup block）、應(yīng)用層（application block）、排放數(shù)據(jù)層（dataset block）和用戶自定義層（user block）。其中用戶自定義層被設(shè)置為不影響法規(guī)、安全和排放的數(shù)據(jù)層，可以不參與CVN計(jì)算。如圖6所示。

用戶自定義層允許用戶對(duì)整車功能如（巡航、排輔、電加熱等）和動(dòng)力性、經(jīng)濟(jì)性進(jìn)行選擇、設(shè)置和自適應(yīng)調(diào)整。能夠滿足不同用戶的需求，提升用戶滿意度。

3? TBOX 新特性

TBOX作為FOTA系統(tǒng)的核心部件，承擔(dān)著數(shù)云服務(wù)器與車輛數(shù)據(jù)交互的重任。為滿足FOTA功能要求，對(duì)TBOX進(jìn)行了重新設(shè)計(jì)，提升了功能安全能力、增加異常上報(bào)能力和收集用戶自定義需求的能力。

3.1? 功能安全

TBOX要具備防止黑客入侵、防止數(shù)據(jù)被篡改和丟失的能力。其中車載終端存儲(chǔ)、傳輸數(shù)據(jù)應(yīng)該是加密的，應(yīng)采用非對(duì)稱加密算法，可使用國密SM2算法或者RSA算法，并且需要采用硬件方式對(duì)私鑰進(jìn)行嚴(yán)格保護(hù)。

基于上述安全要求，TBOX需內(nèi)置安全芯片，能夠通過硬件方式對(duì)私鑰進(jìn)行保護(hù)和對(duì)傳輸數(shù)據(jù)進(jìn)行監(jiān)控，其監(jiān)控流程如圖7所示。

同時(shí)數(shù)據(jù)傳輸過程應(yīng)當(dāng)對(duì)數(shù)據(jù)進(jìn)行掃描，即使發(fā)現(xiàn)惡意的數(shù)據(jù)及攻擊行為，安全檢測應(yīng)當(dāng)檢出95%以上的攻擊，誤報(bào)率小于1%，在攻擊開始后10s內(nèi)發(fā)現(xiàn)并啟動(dòng)保護(hù)措施。TBOX基于安全芯片對(duì)于云服務(wù)器平臺(tái)發(fā)送的指令進(jìn)行實(shí)時(shí)監(jiān)控，如發(fā)現(xiàn)異常則終止響應(yīng)平臺(tái)，并且TBOX會(huì)進(jìn)入鎖定狀態(tài)。此狀態(tài)下TBOX僅保留數(shù)據(jù)上傳的功能，不進(jìn)行任何ECU數(shù)據(jù)刷寫和其他操作，直到平臺(tái)提供正確的解鎖指令。

3.2? 異常主動(dòng)上報(bào)

TBOX持續(xù)監(jiān)控ECU數(shù)據(jù)升級(jí)過程，主動(dòng)上報(bào)數(shù)據(jù)升級(jí)過程，在發(fā)現(xiàn)車輛異常時(shí)（如數(shù)據(jù)中斷、車輛異常斷電等）向云服務(wù)器平臺(tái)和用戶報(bào)警。

企業(yè)云服務(wù)器在收到報(bào)警和故障信息后，會(huì)通知企業(yè)客服人員（400）和附近4s店關(guān)注異常車輛以便第一時(shí)間進(jìn)行現(xiàn)場處理。同時(shí)TBOX通過中控臺(tái)提醒用戶采取正確的處置方法。如圖8所示。

3.3 用戶自定義需求

TBOX能夠收集用戶通過中控臺(tái)反饋的自定義需求，并反饋到企業(yè)云服務(wù)器，由FOTA系統(tǒng)管理員提交給企業(yè)研發(fā)設(shè)計(jì)模塊進(jìn)行評(píng)估和開發(fā)設(shè)計(jì)。

4? 結(jié)論

隨著汽車技術(shù)的不斷升級(jí)，越來越多的商用車裝配了TBOX，開發(fā)商用車遠(yuǎn)程數(shù)據(jù)升級(jí)技術(shù)（FOTA）具有十分重要的戰(zhàn)略意義，不僅能夠快速、有效的進(jìn)行市場問題處理，提升產(chǎn)品品質(zhì)，而且能夠滿足用戶的定制化需求，提升用戶體驗(yàn)和滿意度。

本文對(duì)商用車FOTA技術(shù)的應(yīng)用、FOTA系統(tǒng)架構(gòu)、ECU新特性、和TBOX新特性等方面進(jìn)行介紹，并對(duì)其創(chuàng)新設(shè)計(jì)點(diǎn)和能夠解決的實(shí)際問題進(jìn)行了說明。

隨著汽車行業(yè)的數(shù)字化轉(zhuǎn)型的不斷推進(jìn)，商用車FOTA技術(shù)將會(huì)進(jìn)行不斷的升級(jí)和拓展。

參考文獻(xiàn)

[1]重型柴油車污染物排放限值及測量方法（中國第六階段）GB17691-2018