智能网联汽车FOTA系统控制策略研究

张亚飞　刘昌业　李高坚　张中君　许文光

摘 要：本文对网联汽车的整车FOTA系统架构控制策略进行了研究，建立了手机APP端-云端服务器-T-ICE端-网关-PEPS系统架构，通过FOTA云端升级任务创建，升级包传输、验证及用户确认，设计了本地升级和远程FOTA升级控制策略，运用网关、PEPS鉴权认证，实时监控整车运行状态，实现整车远程安全、可靠、高效FOTA升级。

关键词：FOTA 鉴权 升级 T-ICE 网关

Research on FOTA System Control Strategy of Intelligent Connected Vehicle

Zhang Yafei，Liu Changye，Li Gaojian，Zhang Zhongjun，Xu Wenguang

Abstract：In this paper， the FOTA system architecture control strategy of the connected vehicle is studied， and the system architecture of mobile phone app-cloud-server-T-ICE-gateway-PEPS is established. Through FOTA cloud upgrade task creation， upgrade package transmission， verification and user confirmation， local upgrade and remote FOTA upgrade control strategies are designed. Using gateway and PEPS authentication and encryption security algorithm， real-time monitoring of vehicle running status， achieves vehicle remote safe， and reliable and efficient FOTA upgrade scheme.

Key words：FOTA， authentication， upgrade， T-ICE， gateway

随着汽车行业智能化、网联化、电动化、共享化的发展，汽车功能配置变得日益多样化和复杂，需要主机厂不断地优化车辆功能和快速迭代升级，以便尽可能延长新车优势窗口期，提高产品竞争力和黏性来赢得用户。

汽车网联化的迅猛发展为汽车智能化的进步奠定了良好的通讯的基础，汽车FOTA（Firmware Over-the-Air）是通过移动4G或5G网络来更新车辆嵌入式控制模块的固件系统1，能带来包括但不限于发动机控制器、电机控制器、变速箱控制器、底盘悬架控制器等动力底盘核心零部件的整车控制系统级别的升级，是一种高于OTA（Over-the-Air）车机系统软件升级的功能。FOTA已经逐渐成为新车上市的标准配置，代表功能配置不断进化的一种能力，是判断智能汽車的一大重要指标。拥有FOTA能力的车辆可以使用户无需前往4S店，通过云端即可获取升级包并进行升级更新，实现功能的快速迭代，不断给客户开启新的功能，优化产品体验，吸引客户，为汽车全场景、全生命周期带来价值。

汽车OTA升级技术目前主要应用于车载娱乐主机系统和T-BOX （车载通讯终端）系统2，而FOTA升级技术可以应用到整车控制器固件升级。FOTA升级技术在汽车上的应用最具代表性的要属特斯拉，2020年初，特斯拉通过OTA升级的方式，对旗下车型Model S、Model X的长续航版本进行了调整，使其续航“提高30km”3。2020广州车展上，吉利CMA架构下首款轿车星瑞正式进行第一次FOTA升级，主要针对车辆在SPORT模式下的热机怠速策略，改善发动机噪声，改善空调系统冷却性能，调整空调NVH。因此，随着汽车网联化的普及，汽车FOTA技术一定会成为各大主机厂争先占领的新的技术制高点。

1 FOTA系统架构

整车远程FOTA升级系统框图如图1所示，包括：云端服务器、T-ICE（网联通信娱乐系统）、手机APP、GW（网关）、其他控制器。车内的T-ICE作为远程FOTA主控节点，一方面，用户在手机APP端或中控屏上通过无线网络或移动网络可以及时查询升级状况；另一方面，T-ICE可以从云端服务器获取刷新任务和刷新包，T-ICE下载刷新包完成后，用户根据手机APP端或中控屏上的提示操作，T-ICE通过调用诊断刷新的引导程序实现相关控制器的刷新升级。

2 FOTA任务创建

FOTA云平台由各个主机厂直接负责，存储控制器升级的相关数据4，FOTA云平台是负责监测整个FOTA过程的主要单元，需要确定刷新升级的车辆，并与相应的车辆建立可信通道，然后把刷新包从软件库里面提取出来，确定分发包的刷新顺序，形成刷新任务和管理整个进程，并在完成后进行升级包校验5。

2.1 升级包传输、验证及用户确认

FOTA平台创建升级任务，FOTA云平台通过加密渠道分发到目标车辆，车内的T-ICE则把刷新任务和刷新包进行下载、解密和验证6。升级包根据文件数据大小拆分为若干个文件，整包下载过程中，需要逐个文件进行下载，每个文件会进入等待序列等待下载，前一个文件下载成功后则下一个文件进入下载队列7。下载完成后需要把所有文件解压合成，验证通过后T-ICE/手机APP进行安装更新提示：跳出对话框“下载完成，是否立即升级”，同时提供“立即升级-预约升级”选择窗口，预约升级可供用户设置预约升级时间。

用户选择“预约升级”，当预约时间到期后，T-ICE/手机APP再次进行安装更新提示，同时提供“立即升级-再次预约-跳过此次升级”选项。

FOTA云平台的任务管理器负责报告当前状态和错误信息，每个刷新任务的下载情况都能在FOTA云平台进行跟踪。

3 FOTA本地升级

汽车ECU本地FOTA升级流程如图2所示，用户在车内，上ON档电，用户在中控屏上点击“立即升级”并确认后，T-ICE自动关闭音频、视频相关功能。

T-ICE判断整车条件满足时，T-ICE向FOTA云端服务器请求FOTA状态，T-ICE对网关发起鉴权认证。

T-ICE对网关发起安全认证后，安全认证通过后，T-ICE发送本地远程升级模式信号给网关，网关进入远程升级模式后向总线发出网关远程升级模式信号，网关向对应网段转发刷新报文。T-ICE向各ECU发送刷新报文进行远程升级刷新，并显示刷新进度及刷新过程中的注意事项，用户无法使用车机其他功能。升级刷新任务结束后，T-ICE发送正常模式信号给网关，网关收到后切换为正常模式，向总线发出网关正常模式信号，T-ICE向云端服务器反馈刷新结果，T-ICE收到后在中控界面提示用户升级已完成，允许用户正常使用车辆。

T-ICE对网关的鉴权认证通过后，只在当前点火循环有效，下次上电刷新需要T-ICE重新发起鉴权认证。当网关判断FOTA模式进入条件不满足或鉴权认证失败，网关不允许进入FOTA模式。

4 远程FOTA升级

汽车ECU远程FOTA升级流程如图4所示，用户不在车内，用户在手机APP点击“立即更新”并确认后，T-ICE执行远程刷新8。FOTA云平台触发唤醒T-ICE，T-ICE唤醒网络并判断整车条件满足后，T-ICE向FOTA云端服务器请求FOTA状态。T-ICE收到FOTA云端服务器确定的远程FOTA模式后发送FOTA状态为远程FOTA模式信号报文给GW，T-ICE对网关发起进入FOTA模式鉴权认证请求，认证通过后，向总线发送远程升级模式信号，再发送“远程升级上电请求”，请求PEPS（无钥匙进入及启动系统）进行远程升级上电，并与PEPS进行安全认证，当T-ICE与PEPS安全认证通过后，PEPS控制整车电源切换到ON档。T-ICE对目标刷新ECU按照刷新流程升级软件，升级完成后，复位整车所有ECU模块，T-ICE与PEPS进行安全认证请求PEPS下电，T-ICE向云端服务器反馈刷新结果，云端向用户手机APP反馈刷新结果。若不满足，T-ICE请求PEPS进行FOTA刷新下电，并与PEPS进行鉴权认证，PEPS先断开整车ON档电源再向总线发送整车控制状态无控制请求信号报文。T-ICE确认下电后，再停止远程FOTA模式信号发送，向总线发出正常模式信号报文。最后，T-ICE将失败原因反馈给FOTA云平台。

用户预约升级或在手机APP上确认升级后，FOTA云平台触发唤醒T-ICE，T-ICE唤醒网络并判断条件满足后，T-ICE向FOTA云端服务器请求FOTA状态，。

PEPS收到T-ICE发来的“FOTA上电请求”，T-ICE与PEPS鉴权认证通过后，PEPS控制吸合ON 档继电器，整车电源档位切换至ON档。如果验证不通过，T-ICE将失败原因反馈给FOTA云平台，PEPS保持电源处于OFF档。

5 鉴权认证

为了保证FOTA升级的安全性，FOTA升级时需要通过GW的鉴权认证：

（1）鉴权认证状态1：GW需要判断T-ICE发来的认证ID，Feature Req，Feature Params。若T-ICE的认证状态不是Request、Request Type不是OTA GW Auhentication、Request Parameters不是Request，则跳转至Auth state 6并反馈认证超出范围。若T-ICE收到GW反馈的认证超出范围的失败原因，则T-ICE把失败原因反馈给FOTA云平台，结束本次鉴权流程。

（2）鉴权认证状态 2：GW发送随机数给T-ICE。鉴权的请求及回复若超时，则重试两次，若再超时，则跳转至Auth state 5，结束鉴权认证业务。

（3）鉴权认证状态 3：T-ICE收到网关发送的随机数后反馈给FOTA云平台，FOTA云平台根据预制算法计算出运算结果，T-ICE接收到FOTA云平台发送的加密结果后反馈给GW，GW验证是否一致，若一致，发出Auth state 4。如果不一致，则跳转至Auth state 5，结束鉴权认证业务。若T-ICE的Response ID与Req ID不同，则跳转至Auth state 6并反馈RequestIDInvalid。若T-ICE的Auth state不是RESPONSE，则跳转至Auth state 6并反馈认证超出范围。

（4）鉴权认证状态4： GW向T-ICE回复业务执行状态为有效，发出Auth state 4后再发出Auth state 6。

（5）鉴权认证状态6：若业务执行成功，则GW向T-ICE回复业务执行状态为已完成，等待T-ICE Auth state 7应答，如果超时，则重试两次，若再超时，则结束鉴权认证业务。若之前需要反馈失败原因，则GW向T-ICE回复业务执行状态为失败，并发送失败原因。

（6）鉴权认证状态7：若业务执行成功，则T-ICE向GW发送业务已完成指令。若业务执行失败，则T-ICE直接結束鉴权认证业务。

6 远程FOTA升级电器功能抑制

远程FOTA升级过程中，为了避免车辆远程上ON档电相关电器不必要的运行造成能耗，车身控制模块、T-ICE、空调控制模块、组合仪表需要抑制相关电器工作。

7 结语

以整车所有嵌入式控制系统固件远程升级为研究对象，根据用户使用场景，分别设计了本地FOTA升级、远程FOTA升级整车控制策略。基于安全算法部署在云端策略，通过二级交互鉴权认证，有助于提高整车FOTA的安全性。贴合用户使用场景，设计了远程FOTA整车功能抑制策略，节省蓄电池功耗。通过整车FOTA系统架构控制流程的建立，实现整车嵌入式系统的快速迭代升级、功能不断优化、升级。

基金项目：柳州市科技计划资助项目（2021AAA0102）。

参考文献：

[1]谭凡.智能网联汽车FOTA系统安全机制的研究与实现[D].成都：电子科技大学，2020.

[2]施庆国，尚海立，马婕，郭菲菲.智能网联汽车的OTA升级方案：中国汽车工程学会编.2018中国汽车工程学会年会论文集[C].北京，2018.北京：机械工业出版社，2021.16-22.

[3]武翔宇，赵德华，郝铁亮.浅谈汽车OTA的现状与未来发展趋势[J].汽车实用技术.2019，（3）：214-216.

[4]陆婉利，钟日敏，黄祖朋.纯电动汽车整车控制器远程升级方法研究[J].内燃机与配件.2021，（18）：13-14.

[5]李立安，赵帼娟，任广乐.OTA实现方案及汽车端设计分析[J].汽车实用技术.2020，（14）：16-19.

[6]韦天文，邓宇，向民奇，刘书帆.智能网联汽车FOTA纵深防护安全策略[J].时代汽车.2021.30-31.

[7]邵学彬，贾云辉，王诗萌，刘鹏飞，候昕田.基于Bsdiff差分算法的汽车OTA升级技术研究：中国汽车工程学会编.2021中国汽车工程学会年会论文集[C].上海，2021.北京：机械工业出版社，2021.1906～1908.

[8]王鹏程，马超，刘天宇，贾先锋.汽车OTA应用要求分析[J].汽车应用技术，2021，（6）：23-25.