汽车-OTA

OTA就是Over The Air的缩写，就是指汽车可以通过无线网络升级软件。

SOTA 是指车辆软件应用层的升级，通过网络将文件从云端服务器下载后完成升级，常见的是娱乐系统、音乐、导航等的升级

FOTA 则一般包含车辆底层固件升级，包括动力、底盘、智能驾驶、电池等在内的控制器软件升级类比来说，SOTA就像我们手机APP的升级，而FOTA则像是IOS或者安卓系统的升级。

类比来说，SOTA就像我们手机APP的升级，而FOTA则像是IOS或者安卓系统的升级。

分类

固件或软件的更新一般使用电信设备（TBox），通过汽车内部的网关，以无线方式更新到电子控制器（ECU）。

更新方法

2000年本田等日本车企就开始对TBox进行研究。TBox实际上就是一个电信设备，内含SIM卡，通过接通移动网络来通讯。当时移动网速慢，通信效率低，数据传输过程十分漫长，并没有上市量产

2000年，TBOX

2009年，通用汽车公司通过著名的安吉星（OnStar）服务量产了车载娱乐系统的远程更新功能。但这些只是局限于汽车部分功能的SOTA

2009年，安吉星（onstar）

2012年特斯拉Model S上实现了包含底盘动力软件在内的车辆主要功能OTA。

Model 3树立了汽车FOTA的标杆。

硬件预埋，然后再通过OTA发布智能驾驶功能包Autopilot。

2012年，特斯拉

历史

OTA介绍

以防止黑客访问敏感数据或者干扰车辆的操作

防止逆向工程篡改盗用付费软件

1.网络信息安全

兼容汽车不同型号和不同配置有不同的硬件和软件版本

厂家需要有一套管理方法，确保电子控制器内部软件 单车车辆配置，云端服务器和OTA通讯管道的兼容

2.兼容性

如何让OTA过程快速高效，尽量不打扰驾驶员对车辆的操作，则显得尤为重要，不然车辆OTA过程中停在繁忙路段动弹不得就很尴尬

3.高效便捷性

汽车OTA过程中环境变量很多，例如无限网络信号不好，或者电池余量不足等，但用户肯定希望OTA能稳定进行，不受外界干扰

鲁棒性的另一个体现就是要求OTA升级的成功率极高，万一升级失败，也有备份措施，防止汽车变砖块

4.鲁棒性

OTA痛点

传统车载控制器一般通过统一诊断服务（UDS）来传输需要刷写升级的软件，这往往需要控制器进入特定的模式，在传输文件的时候并不允许应用功能开启，这意味着文件传输过程中，用户功能都得中断

车载软件升级的软件包大小也越来越大，这个中断过程时间过长，会严重影响用户体验

后台传输技术则允许控制器在运行应用程序的同时，在后台偷偷地传输文件

1.后台传输

AB分区指整个软件系统（包括操作系统）分为A和B两个独立分区，且系统可以在A和B之间切换，这就可以让A分区跑旧版本软件，保障车辆正常使用的同时，让软件在B分区更新起来，等B分区更新好了，再重启切换到B分区上

2.AB分区

OTA升级过程中不可控的网络状态 车辆状态等因素比较多，为了确保升级的鲁棒性，可以在升级不达预期的情况下采用版本回滚策略

简单来说就是升级新软件的同时，保证旧版本软件备份可用，如果升级失败或者用户不满意，可以安装或者切换回旧版本软件

实现方案上，可以单独给旧版本软件开辟备份分区，也可以与上述AB 分区相结合，升级失败时回滚至之前的可用分区

3.版本回滚

现在汽车上复杂控制器的软件包大小越来越大，如果直接传输巨大的数据，网络状态和网络流量都是巨大的挑战

所谓差分升级，就是利用算法识别新旧软件的差异，制作出一个差分包，然后云端后台将差分数据包推送给车端，车上的控制器再利用算法，结合旧软件和差分包，生成出来全量的新软件包，然后进行更新

4.差分升级

通过OTA更新的软件数据包，一般都带有数字签名部分，控制器可以通过签名验证算法和密钥，确认将要刷写的数据包的完整性和合法性

刷写文件安全

需要更新的软件数据包从云端通过无线网络下载到汽车，这个数据传输的过程一般都带有保护机制，互联网中已经成熟的传输层安全协议TLS是最常见的手段

文件传输安全

汽车OTA过程中往往会伴随通过UDS指令更新标定参数或者触发例程等操作，这时候就需要对UDS 诊断操作做一层安全控制

诊断安全

5.信息安全手段

OTA技术

AUTOSAR Adaptive环境中软件的版本报告

接收和缓存软件更新

检查是否有足够的资源来确保软件更新

执行软件更新，提供日志信息和进度信息

验证软件更新的结果

提供回滚功能，在发生故障时恢复到之前已知的功能软件状态

提供的服务功能包括

启动升级过程

从云端下载软件

执行鉴权等安全操作

单独的UCM服务并不能完成ECU上完整的OTA工作，UCM需要其他模块

AUTOSAR UCM

OTA实施

汽车OTA