传统仪表OTA升级可行性分析与实施方案

以下文章来源于智能汽车设计，作者杨浩

摘要：随着汽车电子化水平的持续提升，车载控制器软件的升级迭代在汽车电子系统中愈发频繁，这对增强汽车智能化及提升用户体验至关重要，但传统仪表控制器通常不具备远程升级功能，难以满足快速迭代的需求。为此，文章针对这一问题，提出了一种兼具稳定性、便捷性与安全性的远程汽车技术升级方案。该方案充分利用成熟的智能座舱系统升级机制，将传统仪表控制器与智能座舱系统相融合，成功实现了仪表控制器系统通过无线网络进行远程更新。实车测试表明，该技术方案具有可行性、安全性和可靠性，预示着空中下载（OTA）技术将迎来飞速发展。

近年来，汽车行业蓬勃发展，智能驾驶与智能座舱逐渐成为智能网联汽车的标准配置[1-2]。在这个背景下，车载控制软件的版本迭代成为实现车辆智能化、网联化以及应用丰富化的关键手段，其核心目的在于显著提高用户的驾乘体验。

为了满足智能网联汽车快速迭代的迫切需求，空中下载（Over The Air, OTA）技术顺势而生[3]。当前，智能座舱控制（Smart Cockpit Control Unit, SCCU）、前视单目摄像头以及整车控制器等已基本实现远程升级[4]。然而，相对传统的系统，如仪表系统（Instrument Controller Module, ICM）、车身控制系统等，却尚不具备OTA升级功能，只能依赖线下人工升级，这无疑导致效率极为低下。控制器软件的更新升级是提升汽车智能化水平的唯一有效途径，而 OTA 升级则是实现这一目标的重要基础。我们可以充分借用已具备 OTA 升级功能的系统，对目标控制器进行升级，从而减少线下升级操作，实现软件的高效迭代。

1 分区设计方案

研究表明，ICM的系统分区中设有备用分区。在不影响ICM正常运行的前提下，可借助信息娱乐控制器（Infotainment Head Unit, IHU）的分区升级流程，对 ICM的备用分区进行在线升级。同时，这一操作能够切实保证 ICM 系统的安全性。具体的详细分区设计[5]如下所示。

1.1 分区划分

参考IHU的分区升级特性，同时将ICM的系统分为相同的两个分区（主分区和备用分区），分区表主要包括系统启动加载程序（Boot Loader, BL）、内核启动程序（Boot）、文件系统（文件系统所在的分区被称为Root分区）以及固件（Firm- ware, FW），并且将ICM的备用分区信息整合到IHU的分区表，如表1所示。

表1 IHU和ICM分区表设计

当IHU升级时会校验分区信息，将ICM系统分区与IHU系统分区进行整合，IHU系统在分区校验时，将ICM系统分区信息整合到IHU的分区信息里，修改IHU升级程序，让IHU按照刷写流程进行分区刷写。图1为IHU系统升级整合后的系统分区设计。

图1 分区表设计示例图

1.2 增量升级

ICM控制器升级包分为全量包和差分包。全量包是离线升级普遍使用的方式，特点是操作简单，直接将所有分区擦除，再重新刷写新的程序[6]。本文采用的增量升级所使用的是差分包。差分包的特点是安全、可靠、占用空间小，适用于OTA在线升级。

1.3 双重启动

根据ICM分区启动列表信息，ICM的BL程序启动时可以选择设备从主分区或者备用分区进行启动。当ICM系统升级到新的版本，系统将从新版本分区进行启动。如果启动失败，将回退到上个版本。为达到双系统启动[7]的目的，防止设备因某套系统坏掉而导致无法启动的情况，此时回退功能会启动，且尝试恢复主系统分区。

2 分区升级设计实现

2.1SCCU升级流程

SCCU系统升级程序流程如图2所示，从IHU触发升级开始，通过检验、解压、验签后，再获取所需要升级的IHU和ICM分区信息，且在车辆安全停靠情况下，后台对IHU和ICM的备用分区进行升级，升级完成后，待车辆下次启动时，IHU和ICM将会从新的系统进行启动。

图2 系统升级流程图

2.2OTA下载升级包

当OTA服务器有新的升级包任务时，车辆上电将会检测系统软件版本状态，如有新版本软件，则通过IHU的娱乐流量接口，将系统升级包下载到IHU的存储空间。

IHU升级程序将按照分区表信息，如果有ICM的分区升级信息，升级软件将逐一对系统升级包进行检验，包括ICM的系统升级包，保障系统升级安全性。

2.3 分区信息校验

系统升级安全性方面，IHU和ICM系统同样需要进行公共密钥（Public Key Infrastructure, PKI）加密[8]，为了保持加解密的安全性，PKI通常支持的加密算法如表2所示。

表2 PKI加密类型列表

2.4 系统刷写升级

当车辆处于安全环境下时，会触发IHU的升级任务，按照流程，IHU首先会刷写自身的分区，分区表如表1所示。

其次，当IHU刷写完成后，升级程序会找到ICM的分区表信息，并且和所下载的升级包信息进行校验，接下来升级程序将会对ICM的备用分区进行刷写操作，且保证ICM正常刷写安全性。

2.5 系统备份和回滚

系统备份由于有两套系统，所以当系统升级成功后，系统会将升级后的分区进行备份，ICM的分区保持同样的备份原理，保证了ICM系统的升级可靠性。

回滚是当系统升级失败后，IHU系统按照备份分区里面的系统进行回滚。IHU会触发系统自动进行回滚程序，IHU会将整合后的所有分区进行还原，ICM的分区保持同样的回滚原理，保证整体系统的升级可靠性。

3 实验验证

3.1 测试方法

测试采用OTA进行升级，由传统的线下升级的方案，转变为通过OTA系统进行自动升级测试，测试单元包括台架模拟和实车测试，通过OTA系统进行远程升级、测试结果统计、测试日志记录，做到全局监控和统计，极大提升了测试效率。

3.2 测试步骤

测试升级步骤如下：

第一步，下载升级包，有任务后，在满足一定条件后，进行升级包下载；

第二步，系统升级，进行升级包解密、验签，对下载完成的升级包进行解密、验签，密钥由PKI系统下发；

第三步，进入升级流程，升级代理程序后台进行设备升级；

第四步，检测升级结果，并且上报结果；

第五步，针对目标版本软件，重复升级操作，对目标版本上下3个软件版本进行升级、降级测试。

3.3 测试结果数据展示

针对上述测试步骤，在实车上测试结果如表3所示，可知本文所提供的方案通过。

表3 OTA实车测试结果

3.4 升级失败处理方式

针对3.3测试结果，OTA升级200次，出现1次升级失败，且失败后系统能正常回退版本，符合车辆OTA升级流程。

本次测试结果显示，升级成功率为 99.5%，高于企业标准所规定的99%成功率。在实际应用中，如此高的升级成功率将极大地提升用户对产品的信任度和满意度，为汽车电子系统的持续优化和发展奠定坚实的基础。

4 结束语

本文介绍了如何借助智能座舱系统的升级机制，采用系统分区融合技术，将传统的ICM控制器和IHU控制器的系统进行合并，实现了对无OTA功能的传统控制器的系统升级，从而使传统控制器拥有软件快速升级、迭代的功能。并且通过OTA升级的测试方法，降低了人工成本，且采用了PKI加解密技术，提升了整个车机系统的安全性。其中当升级包出现异常或者刷写时异常断电，导致系统升级失败时，本技术有系统检测和回滚机制，保证了整车系统的稳定性。

本技术实现了不能远程升级ICM的缺陷，同理可以将这个技术扩展到其他无4G/5G网络车载控制器或者无OTA功能的零部件，且零部件自身具备线下升级功能，使其拥有OTA升级的功能。

参考文献

[1] 李丹,郑红丽,回姝,等.智能网联时代汽车智能座舱操作系统的发展[J].汽车文摘,2022(5):1-6.

[2] 赵光辉,李翔宇,陈凯.我国智能网联汽车发展现状研究[J].时代汽车,2019(17):153-154.

[3] 王栋梁,汤利顺,陈博,等.智能网联汽车整车OTA功能设计研究[J].汽车技术,2018(10):29-33.

[4] 姜楠,姜姗姗,韩小鹏.汽车在线升级系统(OTA)开发浅析[J].时代汽车,2021(11):11-12.

[5] 贾丽娜.汽车智能化组合仪表的设计与实现[J].科技风,2020(4):24.

[6] 郭健忠,汪子林,闵锐,等.基于QNX/Linux的汽车ECU安全升级模式的研究[J].科技风,2019(4):1070-1075.

[7] 李立安,赵帼娟,任广乐.OTA实现方案及汽车端设计分析[J].汽车实用技术,2020,45(7):16-19.

[8] 于正洋,李岩,李志强.一种基于PKI技术的汽车OTA安全升级方案[J].专用汽车,2023(4):27-29.