王鹏程,马超,刘天宇,贾先锋
汽车OTA应用要求分析
王鹏程,马超,刘天宇,贾先锋
(中汽数据有限公司,天津 300300)
随着汽车车联网功能普及,车载通讯终端作为标配项为汽车控制器OTA升级的落地应用提供了基础条件支撑。文章对OTA系统功能实现方式进行梳理,明确OTA升级中各组成部分需要完成的主要功能,并结合调研的市场车辆电源配置情况,重点分析执行OTA功能对车辆电源状态的要求。
车联网;OTA;蓄电池;电源状态
随着汽车网联化、智能化的快速发展,车联网功能已作为新车的标配项逐步走入公众视野。公开数据显示,2017 年上市的新车中车辆联网配置占比达 21%,高于 2016 年上市新车配置占比 16%。随着新车型的推出,车联网装配比例将继续提升,按照业界的一致看法,到2020年OTA会进入较大规模的应用状态,中国车联网用户将从现有的700 万,增长至 2020 年的 4400 万左右,中国车联网市场规模将达到接近338亿美元[1]。在此过程中,车辆操作更加便利,使用过程变得更加贴心。这一切都来源于车企对车辆功能的逐步完善开发。其中,运用车辆OTA技术,实时完成车辆电子控制单元(特别是娱乐交互系统)的实时联网更新是其中重要组成。
汽车OTA系统整体可以分为云端系统和车端系统两部分组成,云端系统与车端系统通过wifi或4G与车端系统进行通讯。
云端系统主要是由各主机厂直接负责,完成升级文件的生成、下发服务,主要内容包括但不限于:确认带升级控制器(ECU),目标控制器(ECU)文件准备(升级包压缩、加密等),发布升级任务,提供下载服务。
车端系统向客户提供升级时机确认选项,自行完成目标控制器(ECU)的升级,需要完成功能有:升级包下载,升级包确认(解压、解密等),升级前提条件判断,升级执行,状态/结果反馈等[2]。
图1 OTA流程概述
云端系统(TSP)作为OTA功能的起始点,是所有升级数据的源头,云端系统中存储有车端所有控制器的升级相关数据,是车辆安全生产运行的核心数据,其保密要求最高,因此需要建立不同的分层形式,对其进行保护。主要的安全保障方案可以有以下两种措施:首先,将主机厂的原始数据及对外发布的升级数据进行区分,并保存于不同的服务器中。其次,对外服务器与内部服务器数据传输采用私有线路,每日按照约定的时间向对外发布平台进行同步,保证主机厂原始数据的安全性,有效避免对工厂、售后等其余应用端造成影响。
车端系统大体可以分为三部分:主控制器、IVI、被升级控制器。主控制器(Master)控制整体的升级流程,车辆通过主控制器完成与云端服务器建立安全通讯通道,同时应完成升级数据的下载,完整性校验,升级数据包验证,升级任务开始场景可行性控制,升级过程有效执行,升级结果反馈,以及升级失败回滚机制执行等[3]。鉴于市场上TBOX多作为车辆对外联网的通道,可将TBOX选定作为主控制器,同时加强网关的通讯控制功能,作为监控辅助控制器,在OTA执行中作为安全升级的补充项。IVI主要是人机交互使用,由车主选择合适的升级时间。被升级控制器按照升级协议流程,完成并支持回滚双备份等机制。
按照车辆的能源形式,现阶段的车辆可以分为传统燃油车和新能源车型。对于传统的燃油车,日常使用过程中电子电器相关元件消耗的电能来源主要分为两种场景,首先是车辆启动运行过程中,由发动机提供动力供给发电机,产生直流电源,供应整车用电器的正常运行使用,并按实际情况完成对蓄电池的充电。其次,在车辆非启动运行场景下,主要由蓄电池提供电力来源,维持车辆停车消耗,用以满足客户对娱乐、舒适系统的基础功能使用需求,车辆启动动作的执行等。
对于新能源车型,车辆启动运行过程中的电力场景与传统燃油车基本一致,由动力电池包代替发动机及发电机,转化输出12V电源供整车电器的使用;对于非车辆启动的场景,现阶段大多数车企的车型仍选择与燃油车一致的形式,由单独的铅酸、锂蓄电池作为常规供电形式。
在整个FOTA过程中,车端的主要工作可以总结为两项:升级包准备和升级执行。
2.2.1升级包准备阶段耗电分析
升级包准备的工作主要包含:车端主动发起版本检测,接收云端服务器推动的升级信息,执行下载,对下载后的升级包进行完整性检查、安全性检查(如签名的验签),以及判断车辆状态确定向客户提示升级包下载、提示可执行升级的时机[4]。
在此过程中,客户参与感不强,且当流量费用等由主机厂进行支付时,可完全在后台静默完成,因此,升级包准备的工作可以控制在车辆启动后、车辆行驶中进行执行,通过自动检测模式完成。此时蓄电池处于不放电的状态,对后续用车耗电无影响,可以不考虑。
2.2.2升级执行阶段耗电分析
执行升级过程中,鉴于升级过程不可被打断,升级执行过程控制器无法正常使用,总线常规信号受控等影响,升级要求与本地刷新要求一致:车辆需要处于停车、动力未就绪状态,此时蓄电池无外部电量输入,整车持续进行电量的消耗。因此,执行升级过程的用电情况为重点考虑对象。
车辆耗电量多少主要考虑功率和用电时长,具体到FOTA升级过程,可以细化为刷新电流、刷新速率和刷新总时长。通过实际测试确认,FOTA升级中的各项耗电数据均对车辆提出较高的要求:①刷新电流,车辆的刷新电流会达到休眠电流的百倍级,即刷新执行1小时的用电量,蓄电池可支撑整车正常停放时间减少4天以上;②刷新速率,FOTA升级速率会略低于本地升级速率,其中高性能控制器如TBOX、IVI等升级速率基本一致,其它CAN通讯相关控制器,如三电控制器,BCM等,升级速率最大降为本地升级速率的1/4;③刷新时间,考虑到刷新失败的重试及版本回滚机制的影响,刷新时长在OTA执行时会出现翻倍甚至更久的情况。下表为统计的国内某品牌车型的实验阶段的升级用时:
表1 某品牌车型OTA用时
现阶段各车型搭载的蓄电池容量一般在40-65AH左右,可满足车辆停放两周后可以正常使用。但蓄电池健康状况随着使用时间的增加不断降低,例如,单次过度放电会大幅度降低蓄电池寿命,低温状态蓄电池电量输出效果大幅度降低等。因此汽车OTA作为车辆蓄电池耗电大户,会极大提高车辆蓄电池亏电的可能性。
在FOTA未全部完成情况下发生亏电,被升级控制器会出现功能失效情况,在极端情况下,如涉及动力、安全相关控制器,控制器失效直接导致车辆无法使用,只能拖车回4S店进行维修;在FOTA任务全部成功完成的情况下,过量耗电会同样会车辆可停放时间缩短,导致车辆无法启动,蓄电池寿命大幅降低(基于铅酸蓄电池的固有特性)。
基于以上分析,就需要制定优化方案防止车辆亏电的发生。首先,考虑升级执行过程及完成后电量的补充措施,如对于新能源车型,可限制仅在充电状态下执行OTA,升级非充电相关控制器时保持充电状态,监控到蓄电池电量低时中断升级任务并在执行充电后再次开始。其次,对于FOTA任务的建立及推送进行控制,把控车端需要开始执行的任务量,避免累积较多的升级任务,使升级时长大增。最后,优化 FOTA任务开始的判断条件,蓄电池电量监控更准确,确保车辆FOTA任务能够有效完成。
当今社会大众已习惯了手机、电脑的系统升级,所以对新加入互联网大家庭的汽车来说,也会希望汽车能够具备这样相同的特点。但从其升级场景、升级安全要求上来说二者是有很大区别的[5]。对于数码智能产品,如果存在升级缺陷,大多会造成功能性质的损失,严重的可能会影响到财产安全;而汽车作为现代社会的主要交通工具,其一旦出现重大问题,影响的是车主及乘客的生命安全,甚至会造成公共安全事件,影响严重程度及范围不在同一层面。各主机厂在应用OTA技术时,更应在满足客户使用要求的基础上,对各应用场景进行详细地分析,以安全为前提,促使技术更成熟稳定。
[1] 武翔宇.浅谈汽车OTA的现状与未来发展趋势[J].汽车实用技术,2019(15):214-216.
[2] 王兰.车载通信终端OTA升级方案[J].汽车实用技术,2018(30): 11- 12.
[3] 王栋梁.智能网联汽车整车OTA功能设计研究[J].汽车技术,2018, 10(17):29-33.
[4] 张政.道路车辆网络安全概述[J].时代汽车,2019(19):158-159.
[5] 张海强,智能网联汽车安全远程升级技术的研究与实现[D].成都:电子科技大学,2018.
Analysis on Application Requirements of Automobile OTA
Wang Pengcheng, Ma Chao, Liu Tianyu, Jia Xianfeng
(Automotive Data Of China Co., Ltd., TianJin 300300)
With the popularization of Internet of vehicles, as a standard configuration, the vehicle communication terminal provides basic support for the landing application of car controller OTA upgrade. In this paper, the realization methods of Ota system functions are sorted out, and the main functions of each component in the OTA upgrade are clarified. Combined with the market vehicle power supply configuration, the requirements of Ota function on vehicle power state are analyzed emphatically.
Internet of vehicles; OTA; Battery; Power state
10.16638/j.cnki.1671-7988.2021.06.008
U461.99
A
1671-7988(2021)06-23-03
U461.99
A
1671-7988(2021)06-23-03
王鹏程,工程师,就职于中汽数据有限公司,主要从事汽车车内网络安全设计等工作。