域控制器OTA升级策略研究

2024-03-09 08:34刘晓冬赵星阳刘晓波
专用汽车 2024年2期
关键词:域控制器

刘晓冬 赵星阳 刘晓波

摘要:目前市场主流对域控制器OTA升级采用A/B分区系统方案,极大地浪费硬件存储资源。因此,提出一种新的OTA升级策略,对需要升级的文件进行备份。当升级失败时,将备份文件直接替换升级文件,这样既做到安全升级,又能降低硬件存储资源消耗。

关键词:域控制器;OTA;升级策略

中图分类号:U463  收稿日期:2023-11-12

DOI:10.19999/j.cnki.1004-0226.2024.02.014

1 前言

在汽车行业“电动化、网联化、智能化、共享化”新“四化”的影响和推动下,各家汽车厂商纷纷推出集成大量智能硬件的汽车平台,进而对相关软件数量和质量的要求也在不断提升。伴随国家对汽车行业相关法规的逐渐完善与硬件平台的标准化,如何通过软件服务的差异化在众多汽车品牌中突出重围成为各大汽车厂商思考的核心问题。

在传统的汽车研发过程中,一旦汽车生产下线,那么其性能和提供的服务都被确定下来,而车辆发生任何故障,消费者也基本只有去4S店才能解决。这种僵化的生产服务体系显然已不符合时代的要求,消费者需要更加快速和便捷的服务以及持续不断的新鲜体验。OTA技术的出现使得汽车厂商迎来了曙光,解決了发展的困境。汽车厂商不但可以通过OTA快速解决汽车故障缺陷降低召回成本,还可以借助OTA持续优化车辆性能和添加新的功能元素,为消费者提供个性化优质服务。

2 汽车OTA发展与现状

汽车OTA(Over-The-Air,空中下载技术)指车辆通过无线网络与远程服务器交互,下载安装软件升级包,修复汽车软件故障,为汽车增加新功能或优化软件功能等[1]。早在2000年左右,OTA的雏形已在日本汽车厂商中间出现,即使用远程升级服务对T-Box(Telematics Box,汽车的通信模块)进行升级。但此时,各大汽车厂商并没有意识到OTA这项技术对汽车行业所带来的强大变革力量。直至2012年,特斯拉Model S的推出及其后续依赖OTA表现出的“自我进化”能力才吸引了众多汽车厂商的持续关注,特斯拉也被视为整车OTA的鼻祖[2]。随着汽车智能化、网联化等趋势的发展以及“软件定义汽车”理念在全球的风靡,OTA也越来越被各大汽车厂商视为未来汽车行业发展的核心技术之一。到2022年为止,全球各大汽车厂商已在不同程度上实现了汽车OTA功能。

3 汽车OTA的优势与缺点

汽车OTA主要分为FOTA(Firmware-OTA,固件在线升级)和SOTA(Software-OTA,软件在线升级)。前者是对驱动和系统的升级,技术实现难度高,对车辆安全与驾驶影响大,并且难以保证百分之百成功;后者偏向对于应用软件的升级,技术实现难度稍低,升级失败也不会对整车驾驶安全造成影响。

OTA技术的优势表现在以下几点:

a.汽车出现软件质量问题时可通过OTA快速进行修补,节约召回费用,避免影响品牌价值。

b.能够通过OTA实现对汽车原有功能与服务的快速迭代,提升产品的使用体验。

c.为汽车安装性能与功能冗余的硬件,通过OTA服务逐步解锁新功能,为汽车厂商创造新的业务增长点。

然而,OTA技术的使用也为汽车的安全带来了新的隐患:

a.为汽车提供OTA服务的云服务器可能被黑客入侵,非法获取车辆信息等[3]。

b.汽车通过OTA终端从服务器下载的软件升级包可能被黑客截获和篡改,造成升级失败,甚至影响车辆驾驶安全等。

尽管OTA存在以上安全弊端,但它给各大汽车厂商带来的好处却远远大于其弊端,因此对于OTA的热情有增无减。然而,由于传统汽车厂商的生产研发模式和历史包袱导致其软件研发能力存在不足,自研OTA的进展一直不容乐观,反而是以特斯拉、蔚来、理想等造车新势力在OTA技术方面发展迅猛,都取得了不错成果。从长远来看,OTA技术必将成为未来汽车的标准配置[4]。

4 域控制器OTA升级方案设计

本文提出一种汽车域控制器软件升级框架,如图 1所示,该方案将整个域控制器软件升级流程分为三个阶段,每个阶段又分为三个步骤。

a.服务器将软件升级信息推送给预期需要升级服务的目标车型,汽车上的通信模块收到升级推送信息后,立马回复服务器“收到”,服务器收到车辆反馈后不再向其发送信息,最后通信模块通过车上的人机交互系统询问车主是否升级。

b.汽车的通信模块收到车主的反馈信息后,进行下一步的升级操作。若是不同意升级,整个流程到此终止;反之,汽车的通信模块便向服务器请求下载软件升级包,服务器在确认车辆信息后便与车辆建立稳定、安全的网络连接,为其传输软件升级包。

c.汽车在升级完成后,需要向服务器报告自己的升级结果及相关日志信息。若升级成功,服务器仅需要更新该车辆搭载的软件版本信息;若反馈升级失败,服务器则需要根据相关日志信息分析升级失败的原因,为客户提供升级帮助。

本框架前两个阶段的主要目的是将软件升级包从服务器上下载到汽车需要升级的域控制器上,关键点在于网络传输安全,需要网络安全人员为云服务器与汽车之间的信息交互进行加密处理,同时又不能影响二者之间的信息传输效率。本文对上述升级流程框架中的第三阶段进行重点研究。详细介绍域控制器上搭载的Linux操作系统是如何完成升级与如何处理升级失败结果的。

4.1 EMMC分区

域控制器上Linux系统的升级主要分为两大部分:Linux内核的升级与根文件系统的升级。在本文中,存储Linux相关系统文件的存储介质为EMMC(Embedded Multi-Media Card,嵌入式多媒体控制器)。为了方便描述上述二者的升级流程,本文需要先行介绍一下EMMC的分区、各分区内部存储的内容以及各分区在域控制器Linux系统的升级过程中分别发挥了什么样的作用。

如图2所示,EMMC被分为5个分区。第一个分区用来放置Linux内核,假设内核-0为正在使用的Linux内核,内核-1为旧版内核。如果需要对内核进行升级,那么就使用新版内核替换内核-1的内容,然后可以通过修改U-Boot的启动参数引导启动内核-1。此时,内核-1变为正在使用的内核,内核-0变为旧版内核。第二和第三个分区分别存储根文件系统-0与辅助更新根文件系统-0的一个占用内存小且功能相对简单的Linux系统。这种根文件系统的分区方案与采用A/B分区双备份的模式相比,尽管在系统的稳定性上有所下降并且更新算法相对复杂,但是该方案占用存储空间小,可有效降低成本。随后便是数据区与日志区,分别用来保存系统和应用的关键数据与运行日志。

4.2 内核升级策略

假设新版本内核的名称为内核-2,如图3所示,在进行内核升级之前,首先需要启动Linux操作系统,提前将内核-2下载至根文件系统-0之中。升级流程开始后,需将内核所在EMMC分区挂载到根文件系统-0之下,然后使用内核-2覆盖内核-1的内容。如若不考虑升级失败的情形,那么接下来就是在Linux环境下重写U-Boot的内核引导参数,将从内核-0启动改为从内核-2启动。最后重启Linux,由U-Boot引导内核-2启动Linux操作系统。

然而,升级内核并不能保证百分之百成功。为了使得内核升级失败后,能够使得系统再次恢复正常使用状态,本文额外设立了一个标志位F,其被保存在存储器的某个地址空间,用来指示U-Boot进行内核切换操作。在将内核-2覆盖内核-1的同时,系统应同时将标志位F进行置位,表示下次启动时,U-Boot会从内核-2启动Linux。若内核-2启动失败,系统再次重启,U-Boot仍然检测到标志位F为1,那么U-Boot会自行改变启动参数,从内核-2启动切换为从内核-0启动,恢复到原本正常的状态。不管内核是否成功升级,Linux最终会将标志位F清零,表示下次启动时U-Boot会从引导当前使用的内核启动,不再选择切换内核启动Linux系统。

4.3 根文件系统升级策略

为了节约存储空间,本文在设计Linux根文件系统的升级方案时并没有选择A/B分区的方式,而是选择在一个根文件系统上进行迭代升级。如图4所示,首先将升级根文件系统的软件包下载到根文件系统-0之中。由于根文件系统中不同的文件更新时所需的解决的依赖以及要求的状态不同,所以对于不同文件的升级需要执行的指令以及过程都存在差异。为了解决这个难题,本文提出在软件升级包中额外包含一份“升级方案”来决定本次升级的具体实现。

具体地,升级过程存在两种路径:a.在当前运行的根文件系统中进行原地更新操作;b.啟用toolsys这个工具系统,将根文件系统-0挂载到toolsys下进行更新。toolsys是一个仅仅具备更新文件系统能力的小型Linux操作系统。采用第一种更新方案时应谨慎处理文件的依赖关系,及时停止依赖需要升级的文件运行的应用,防止系统功能异常的出现,该方法适合于少量非系统核心文件的更新;采用第二种升级方案则相对安全,不过执行的更新步骤也要更加繁琐,适合大量系统文件同时更新。如图5所示。选用上述哪种方式升级根文件系统取决于更新的文件是否会影响Linux系统的正常运转以及更新的文件规模大小。若升级失败,则根据升级过程中记录的日志进行反向操作,直到将根文件系统恢复原貌。

5 结语

OTA技术的出现与发展给传统汽车行业注入了新的活力,通过OTA为汽车增加新功能拓展了汽车服务的边界,也为汽车厂商创造了新的盈利模式。此外,OTA可以快速、有效地解决软件故障和风险问题,使得汽车发生驾驶安全问题的风险大大降低。

本文提出了一种搭载Linux操作系统的域控制器OTA升级框架,并给出了具体的Linux内核与根文件系统的升级方案,简要探讨了升级过程中可能存在的问题以及解决方法,对汽车域控制器OTA技术开发人员具有一定参考意义。

参考文献:

[1]姜楠,姜姗姗,韩小鹏.汽车在线升级系统(OTA)开发浅析[J].时代汽车,2021(21):11-12.

[2]南夕.OTA技术正在引领和改变汽车行业[J].产品可靠性报告,2022(1):74-80.

[3]丛聪;孙潇;史家涛.基于OTA场景的电控信息安全研究[J].电子技术与软件工程,2020(18):232-235

[4]武翔宇,赵德华,郝铁亮.浅谈汽车OTA的现状与未来发展趋势[J].汽车实用技术,2019(3):214-216.

作者简介:

刘晓冬,男,1995年生,研究方向为智能驾驶技术。

猜你喜欢
域控制器
基于SA8155P芯片的智能座舱域控制器设计
面向汽车集中式EE架构下的MCU类域控制器软件开发集成过程研究
浅析汽车电子架构发展与典型域控制器
环形以太网网络拓扑结构研究与设计
兼容Linux操作系统的域控制器生命周期管理
浅谈软件定义汽车的背景与内涵
活动目录中延迟对象的处理
处理域控制器时间误差
基于软件定义网络的分层式控制器负载均衡机制
修复域控制器故障