智能網(wǎng)聯(lián)汽車FOTA系統(tǒng)控制策略研究

張亞飛　劉昌業(yè)　李高堅　張中君　許文光

摘 要：本文對網(wǎng)聯(lián)汽車的整車FOTA系統(tǒng)架構(gòu)控制策略進(jìn)行了研究，建立了手機(jī)APP端-云端服務(wù)器-T-ICE端-網(wǎng)關(guān)-PEPS系統(tǒng)架構(gòu)，通過FOTA云端升級任務(wù)創(chuàng)建，升級包傳輸、驗(yàn)證及用戶確認(rèn)，設(shè)計了本地升級和遠(yuǎn)程FOTA升級控制策略，運(yùn)用網(wǎng)關(guān)、PEPS鑒權(quán)認(rèn)證，實(shí)時監(jiān)控整車運(yùn)行狀態(tài)，實(shí)現(xiàn)整車遠(yuǎn)程安全、可靠、高效FOTA升級。

關(guān)鍵詞：FOTA 鑒權(quán) 升級 T-ICE 網(wǎng)關(guān)

Research on FOTA System Control Strategy of Intelligent Connected Vehicle

Zhang Yafei，Liu Changye，Li Gaojian，Zhang Zhongjun，Xu Wenguang

Abstract：In this paper， the FOTA system architecture control strategy of the connected vehicle is studied， and the system architecture of mobile phone app-cloud-server-T-ICE-gateway-PEPS is established. Through FOTA cloud upgrade task creation， upgrade package transmission， verification and user confirmation， local upgrade and remote FOTA upgrade control strategies are designed. Using gateway and PEPS authentication and encryption security algorithm， real-time monitoring of vehicle running status， achieves vehicle remote safe， and reliable and efficient FOTA upgrade scheme.

Key words：FOTA， authentication， upgrade， T-ICE， gateway

隨著汽車行業(yè)智能化、網(wǎng)聯(lián)化、電動化、共享化的發(fā)展，汽車功能配置變得日益多樣化和復(fù)雜，需要主機(jī)廠不斷地優(yōu)化車輛功能和快速迭代升級，以便盡可能延長新車優(yōu)勢窗口期，提高產(chǎn)品競爭力和黏性來贏得用戶。

汽車網(wǎng)聯(lián)化的迅猛發(fā)展為汽車智能化的進(jìn)步奠定了良好的通訊的基礎(chǔ)，汽車FOTA（Firmware Over-the-Air）是通過移動4G或5G網(wǎng)絡(luò)來更新車輛嵌入式控制模塊的固件系統(tǒng)1，能帶來包括但不限于發(fā)動機(jī)控制器、電機(jī)控制器、變速箱控制器、底盤懸架控制器等動力底盤核心零部件的整車控制系統(tǒng)級別的升級，是一種高于OTA（Over-the-Air）車機(jī)系統(tǒng)軟件升級的功能。FOTA已經(jīng)逐漸成為新車上市的標(biāo)準(zhǔn)配置，代表功能配置不斷進(jìn)化的一種能力，是判斷智能汽車的一大重要指標(biāo)。擁有FOTA能力的車輛可以使用戶無需前往4S店，通過云端即可獲取升級包并進(jìn)行升級更新，實(shí)現(xiàn)功能的快速迭代，不斷給客戶開啟新的功能，優(yōu)化產(chǎn)品體驗(yàn)，吸引客戶，為汽車全場景、全生命周期帶來價值。

汽車OTA升級技術(shù)目前主要應(yīng)用于車載娛樂主機(jī)系統(tǒng)和T-BOX （車載通訊終端）系統(tǒng)2，而FOTA升級技術(shù)可以應(yīng)用到整車控制器固件升級。FOTA升級技術(shù)在汽車上的應(yīng)用最具代表性的要屬特斯拉，2020年初，特斯拉通過OTA升級的方式，對旗下車型Model S、Model X的長續(xù)航版本進(jìn)行了調(diào)整，使其續(xù)航“提高30km”3。2020廣州車展上，吉利CMA架構(gòu)下首款轎車星瑞正式進(jìn)行第一次FOTA升級，主要針對車輛在SPORT模式下的熱機(jī)怠速策略，改善發(fā)動機(jī)噪聲，改善空調(diào)系統(tǒng)冷卻性能，調(diào)整空調(diào)NVH。因此，隨著汽車網(wǎng)聯(lián)化的普及，汽車FOTA技術(shù)一定會成為各大主機(jī)廠爭先占領(lǐng)的新的技術(shù)制高點(diǎn)。

1 FOTA系統(tǒng)架構(gòu)

整車遠(yuǎn)程FOTA升級系統(tǒng)框圖如圖1所示，包括：云端服務(wù)器、T-ICE（網(wǎng)聯(lián)通信娛樂系統(tǒng)）、手機(jī)APP、GW（網(wǎng)關(guān)）、其他控制器。車內(nèi)的T-ICE作為遠(yuǎn)程FOTA主控節(jié)點(diǎn)，一方面，用戶在手機(jī)APP端或中控屏上通過無線網(wǎng)絡(luò)或移動網(wǎng)絡(luò)可以及時查詢升級狀況；另一方面，T-ICE可以從云端服務(wù)器獲取刷新任務(wù)和刷新包，T-ICE下載刷新包完成后，用戶根據(jù)手機(jī)APP端或中控屏上的提示操作，T-ICE通過調(diào)用診斷刷新的引導(dǎo)程序?qū)崿F(xiàn)相關(guān)控制器的刷新升級。

2 FOTA任務(wù)創(chuàng)建

FOTA云平臺由各個主機(jī)廠直接負(fù)責(zé)，存儲控制器升級的相關(guān)數(shù)據(jù)4，F(xiàn)OTA云平臺是負(fù)責(zé)監(jiān)測整個FOTA過程的主要單元，需要確定刷新升級的車輛，并與相應(yīng)的車輛建立可信通道，然后把刷新包從軟件庫里面提取出來，確定分發(fā)包的刷新順序，形成刷新任務(wù)和管理整個進(jìn)程，并在完成后進(jìn)行升級包校驗(yàn)5。

2.1 升級包傳輸、驗(yàn)證及用戶確認(rèn)

FOTA平臺創(chuàng)建升級任務(wù)，F(xiàn)OTA云平臺通過加密渠道分發(fā)到目標(biāo)車輛，車內(nèi)的T-ICE則把刷新任務(wù)和刷新包進(jìn)行下載、解密和驗(yàn)證6。升級包根據(jù)文件數(shù)據(jù)大小拆分為若干個文件，整包下載過程中，需要逐個文件進(jìn)行下載，每個文件會進(jìn)入等待序列等待下載，前一個文件下載成功后則下一個文件進(jìn)入下載隊列7。下載完成后需要把所有文件解壓合成，驗(yàn)證通過后T-ICE/手機(jī)APP進(jìn)行安裝更新提示：跳出對話框“下載完成，是否立即升級”，同時提供“立即升級-預(yù)約升級”選擇窗口，預(yù)約升級可供用戶設(shè)置預(yù)約升級時間。

用戶選擇“預(yù)約升級”，當(dāng)預(yù)約時間到期后，T-ICE/手機(jī)APP再次進(jìn)行安裝更新提示，同時提供“立即升級-再次預(yù)約-跳過此次升級”選項。

FOTA云平臺的任務(wù)管理器負(fù)責(zé)報告當(dāng)前狀態(tài)和錯誤信息，每個刷新任務(wù)的下載情況都能在FOTA云平臺進(jìn)行跟蹤。

3 FOTA本地升級

汽車ECU本地FOTA升級流程如圖2所示，用戶在車內(nèi)，上ON檔電，用戶在中控屏上點(diǎn)擊“立即升級”并確認(rèn)后，T-ICE自動關(guān)閉音頻、視頻相關(guān)功能。

T-ICE判斷整車條件滿足時，T-ICE向FOTA云端服務(wù)器請求FOTA狀態(tài)，T-ICE對網(wǎng)關(guān)發(fā)起鑒權(quán)認(rèn)證。

T-ICE對網(wǎng)關(guān)發(fā)起安全認(rèn)證后，安全認(rèn)證通過后，T-ICE發(fā)送本地遠(yuǎn)程升級模式信號給網(wǎng)關(guān)，網(wǎng)關(guān)進(jìn)入遠(yuǎn)程升級模式后向總線發(fā)出網(wǎng)關(guān)遠(yuǎn)程升級模式信號，網(wǎng)關(guān)向?qū)?yīng)網(wǎng)段轉(zhuǎn)發(fā)刷新報文。T-ICE向各ECU發(fā)送刷新報文進(jìn)行遠(yuǎn)程升級刷新，并顯示刷新進(jìn)度及刷新過程中的注意事項，用戶無法使用車機(jī)其他功能。升級刷新任務(wù)結(jié)束后，T-ICE發(fā)送正常模式信號給網(wǎng)關(guān)，網(wǎng)關(guān)收到后切換為正常模式，向總線發(fā)出網(wǎng)關(guān)正常模式信號，T-ICE向云端服務(wù)器反饋刷新結(jié)果，T-ICE收到后在中控界面提示用戶升級已完成，允許用戶正常使用車輛。

T-ICE對網(wǎng)關(guān)的鑒權(quán)認(rèn)證通過后，只在當(dāng)前點(diǎn)火循環(huán)有效，下次上電刷新需要T-ICE重新發(fā)起鑒權(quán)認(rèn)證。當(dāng)網(wǎng)關(guān)判斷FOTA模式進(jìn)入條件不滿足或鑒權(quán)認(rèn)證失敗，網(wǎng)關(guān)不允許進(jìn)入FOTA模式。

4 遠(yuǎn)程FOTA升級

汽車ECU遠(yuǎn)程FOTA升級流程如圖4所示，用戶不在車內(nèi)，用戶在手機(jī)APP點(diǎn)擊“立即更新”并確認(rèn)后，T-ICE執(zhí)行遠(yuǎn)程刷新8。FOTA云平臺觸發(fā)喚醒T-ICE，T-ICE喚醒網(wǎng)絡(luò)并判斷整車條件滿足后，T-ICE向FOTA云端服務(wù)器請求FOTA狀態(tài)。T-ICE收到FOTA云端服務(wù)器確定的遠(yuǎn)程FOTA模式后發(fā)送FOTA狀態(tài)為遠(yuǎn)程FOTA模式信號報文給GW，T-ICE對網(wǎng)關(guān)發(fā)起進(jìn)入FOTA模式鑒權(quán)認(rèn)證請求，認(rèn)證通過后，向總線發(fā)送遠(yuǎn)程升級模式信號，再發(fā)送“遠(yuǎn)程升級上電請求”，請求PEPS（無鑰匙進(jìn)入及啟動系統(tǒng)）進(jìn)行遠(yuǎn)程升級上電，并與PEPS進(jìn)行安全認(rèn)證，當(dāng)T-ICE與PEPS安全認(rèn)證通過后，PEPS控制整車電源切換到ON檔。T-ICE對目標(biāo)刷新ECU按照刷新流程升級軟件，升級完成后，復(fù)位整車所有ECU模塊，T-ICE與PEPS進(jìn)行安全認(rèn)證請求PEPS下電，T-ICE向云端服務(wù)器反饋刷新結(jié)果，云端向用戶手機(jī)APP反饋刷新結(jié)果。若不滿足，T-ICE請求PEPS進(jìn)行FOTA刷新下電，并與PEPS進(jìn)行鑒權(quán)認(rèn)證，PEPS先斷開整車ON檔電源再向總線發(fā)送整車控制狀態(tài)無控制請求信號報文。T-ICE確認(rèn)下電后，再停止遠(yuǎn)程FOTA模式信號發(fā)送，向總線發(fā)出正常模式信號報文。最后，T-ICE將失敗原因反饋給FOTA云平臺。

用戶預(yù)約升級或在手機(jī)APP上確認(rèn)升級后，F(xiàn)OTA云平臺觸發(fā)喚醒T-ICE，T-ICE喚醒網(wǎng)絡(luò)并判斷條件滿足后，T-ICE向FOTA云端服務(wù)器請求FOTA狀態(tài)，。

PEPS收到T-ICE發(fā)來的“FOTA上電請求”，T-ICE與PEPS鑒權(quán)認(rèn)證通過后，PEPS控制吸合ON 檔繼電器，整車電源檔位切換至ON檔。如果驗(yàn)證不通過，T-ICE將失敗原因反饋給FOTA云平臺，PEPS保持電源處于OFF檔。

5 鑒權(quán)認(rèn)證

為了保證FOTA升級的安全性，F(xiàn)OTA升級時需要通過GW的鑒權(quán)認(rèn)證：

（1）鑒權(quán)認(rèn)證狀態(tài)1：GW需要判斷T-ICE發(fā)來的認(rèn)證ID，F(xiàn)eature Req，F(xiàn)eature Params。若T-ICE的認(rèn)證狀態(tài)不是Request、Request Type不是OTA GW Auhentication、Request Parameters不是Request，則跳轉(zhuǎn)至Auth state 6并反饋認(rèn)證超出范圍。若T-ICE收到GW反饋的認(rèn)證超出范圍的失敗原因，則T-ICE把失敗原因反饋給FOTA云平臺，結(jié)束本次鑒權(quán)流程。

（2）鑒權(quán)認(rèn)證狀態(tài) 2：GW發(fā)送隨機(jī)數(shù)給T-ICE。鑒權(quán)的請求及回復(fù)若超時，則重試兩次，若再超時，則跳轉(zhuǎn)至Auth state 5，結(jié)束鑒權(quán)認(rèn)證業(yè)務(wù)。

（3）鑒權(quán)認(rèn)證狀態(tài) 3：T-ICE收到網(wǎng)關(guān)發(fā)送的隨機(jī)數(shù)后反饋給FOTA云平臺，F(xiàn)OTA云平臺根據(jù)預(yù)制算法計算出運(yùn)算結(jié)果，T-ICE接收到FOTA云平臺發(fā)送的加密結(jié)果后反饋給GW，GW驗(yàn)證是否一致，若一致，發(fā)出Auth state 4。如果不一致，則跳轉(zhuǎn)至Auth state 5，結(jié)束鑒權(quán)認(rèn)證業(yè)務(wù)。若T-ICE的Response ID與Req ID不同，則跳轉(zhuǎn)至Auth state 6并反饋RequestIDInvalid。若T-ICE的Auth state不是RESPONSE，則跳轉(zhuǎn)至Auth state 6并反饋認(rèn)證超出范圍。

（4）鑒權(quán)認(rèn)證狀態(tài)4： GW向T-ICE回復(fù)業(yè)務(wù)執(zhí)行狀態(tài)為有效，發(fā)出Auth state 4后再發(fā)出Auth state 6。

（5）鑒權(quán)認(rèn)證狀態(tài)6：若業(yè)務(wù)執(zhí)行成功，則GW向T-ICE回復(fù)業(yè)務(wù)執(zhí)行狀態(tài)為已完成，等待T-ICE Auth state 7應(yīng)答，如果超時，則重試兩次，若再超時，則結(jié)束鑒權(quán)認(rèn)證業(yè)務(wù)。若之前需要反饋失敗原因，則GW向T-ICE回復(fù)業(yè)務(wù)執(zhí)行狀態(tài)為失敗，并發(fā)送失敗原因。

（6）鑒權(quán)認(rèn)證狀態(tài)7：若業(yè)務(wù)執(zhí)行成功，則T-ICE向GW發(fā)送業(yè)務(wù)已完成指令。若業(yè)務(wù)執(zhí)行失敗，則T-ICE直接結(jié)束鑒權(quán)認(rèn)證業(yè)務(wù)。

6 遠(yuǎn)程FOTA升級電器功能抑制

遠(yuǎn)程FOTA升級過程中，為了避免車輛遠(yuǎn)程上ON檔電相關(guān)電器不必要的運(yùn)行造成能耗，車身控制模塊、T-ICE、空調(diào)控制模塊、組合儀表需要抑制相關(guān)電器工作。

7 結(jié)語

以整車所有嵌入式控制系統(tǒng)固件遠(yuǎn)程升級為研究對象，根據(jù)用戶使用場景，分別設(shè)計了本地FOTA升級、遠(yuǎn)程FOTA升級整車控制策略?；诎踩惴ú渴鹪谠贫瞬呗?，通過二級交互鑒權(quán)認(rèn)證，有助于提高整車FOTA的安全性。貼合用戶使用場景，設(shè)計了遠(yuǎn)程FOTA整車功能抑制策略，節(jié)省蓄電池功耗。通過整車FOTA系統(tǒng)架構(gòu)控制流程的建立，實(shí)現(xiàn)整車嵌入式系統(tǒng)的快速迭代升級、功能不斷優(yōu)化、升級。

基金項目：柳州市科技計劃資助項目（2021AAA0102）。

參考文獻(xiàn)：

[1]譚凡.智能網(wǎng)聯(lián)汽車FOTA系統(tǒng)安全機(jī)制的研究與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2020.

[2]施慶國，尚海立，馬婕，郭菲菲.智能網(wǎng)聯(lián)汽車的OTA升級方案：中國汽車工程學(xué)會編.2018中國汽車工程學(xué)會年會論文集[C].北京，2018.北京：機(jī)械工業(yè)出版社，2021.16-22.

[3]武翔宇，趙德華，郝鐵亮.淺談汽車OTA的現(xiàn)狀與未來發(fā)展趨勢[J].汽車實(shí)用技術(shù).2019，（3）：214-216.

[4]陸婉利，鐘日敏，黃祖朋.純電動汽車整車控制器遠(yuǎn)程升級方法研究[J].內(nèi)燃機(jī)與配件.2021，（18）：13-14.

[5]李立安，趙幗娟，任廣樂.OTA實(shí)現(xiàn)方案及汽車端設(shè)計分析[J].汽車實(shí)用技術(shù).2020，（14）：16-19.

[6]韋天文，鄧宇，向民奇，劉書帆.智能網(wǎng)聯(lián)汽車FOTA縱深防護(hù)安全策略[J].時代汽車.2021.30-31.

[7]邵學(xué)彬，賈云輝，王詩萌，劉鵬飛，候昕田.基于Bsdiff差分算法的汽車OTA升級技術(shù)研究：中國汽車工程學(xué)會編.2021中國汽車工程學(xué)會年會論文集[C].上海，2021.北京：機(jī)械工業(yè)出版社，2021.1906～1908.

[8]王鵬程，馬超，劉天宇，賈先鋒.汽車OTA應(yīng)用要求分析[J].汽車應(yīng)用技術(shù)，2021，（6）：23-25.