之前有遇到过一些小伙伴说你们做个升级咋需要那么多人啊?还有人说都快RC了你们FOTA还没做好,升个级这么简单的事很难么?今天我就以一个tester的角度给大家讲讲为啥升级这么难,难在何处了?
先普及下基础知识: OTA简称空中下载技术(Over-the-Air Technology),目前主要包含两种:FOTA固件升级和SOTA软件升级 FOTA:指的是给车辆下载完整的固件镜像(核心服务)可能影响所有应用程序,车机变为砖头的可能,影响较大。 SOTA:只是更新车机上的应用程序,类似手机APP更新,影像较小,出现问题也不会导致车机变砖。
OTA升级示意图
闲话少说,我们来说下为啥现在整车OTA就数新能源车厂叫的更大声呢?市场上的Tesla,蔚来,小鹏等新能源车厂都宣称自己实现了整车OTA,我还是要来辟谣下,他们宣称实现整车OTA都是有夸大的成分,并没有完全实现100%的零部件升级,但他们打通了OTA升级整车的通道,理论上可以实现整车OTA(OTA的风险管控及实施能力强于传统车厂)。
下面我们来看看新能源车厂与传统车厂的对比
新能源车厂为啥要比传统车厂升级更简单些,我就以几个方面来说说
第一方面:整车架构方面的影响
我们先来看看传统车厂和目前新能源车厂常用的两个EE架构,我就简单画下。 传统车厂采用传统的分布式排列EE架构,该架构将车辆划分几路CAN,不同的ECU都挂在相应的CAN线上。
新能源车厂目前大多数采用的是域控制器+以太网的EE架构,会在不同部位设置一个域控制器,划分不同的域,有点类似现在我国的军区划分一样,其中部分域控制器到达网关采用了以太网的通路。
那么整车架构会影响OTA升级么?
答案肯定是会的。 我们来先说说传统车厂,传统车厂的架构基本上都是分布式的EE架构,架构比较老,存在着成百上千的ECU,这些ECU由不同的供应商提供着软硬件服务。整车是一个讲究协调性很强的集合体,有些ECU之间关联性比较强,所以造成代码的耦合度也比较高。因此传统车厂如果想整车OTA时,基本上是牵一发而动全身。 比如升级其中一个控制器,那么相对应的网关,BCM,以及强关联的都要改,而这些强关联ECU要更改,难免又会对其他部件造成影响,而且这些ECU属于不同的供应商,这些供应商的人员管理,开发费用的谈判,项目质量的控制,以及项目节点的同步都很难做到精准的把控。车厂基本上被供应商绑架了,其中一个供应商掉链子,那么整车OTA的节点就无限拉长。
而新能源车厂整车OTA就比传统车厂要好一些,新能源车厂目前车型较少,采用的架构是域控制器下挂着众多ECU,而这些域控制器对整车OTA升级就起到了很大的作用,新能源车厂的域控制器和网关基本上都是自研的,那么就相当于在每条CAN上建立一个中央代码仓库一样,这个域控制器可以对旗下的各个ECU交互做一个标准的,规范化的接口库(个人理解),也可以将一些交互逻辑在域控制器上开发,相当于集团司令部的作用,起到调度,分配,管理的作用。当升级域控制器下的ECU时,该ECU的主要逻辑在域控制器内就可以进行更改,那么就大大减少了主机厂对其他供应商的依赖程度。
一个基础的架构就对整车OTA有着不可逾越的大山一样,下面我们详细说说OTA升级通道的难处
第二方面:OTA通道方面的影响
对于OTA通道方面,主要就是升级包制作,下载,安装三个方面。
1.平台的多样性
一个传统车企,有众多的品牌和车型,那么准备OTA升级时就需要考虑到不同车型,不同品牌,不同配置之间的适配,该平台就得拥有多样性的配置。 例如: 1、不同车型的系统适配 2、不同品牌的系统适配 3、同车型不同配置的系统适配 4、同车型不同系统版本的适配 5、不同车型不同配置不同品牌不同系统版本的适配 像这种跨品牌、跨车型、跨版本的OTA系统升级,是一件巨大的工作量,要考虑到不同部门之间的协调性。
2.下载的安全性
在FOTA升级时,安装包的下载安全是首要考虑的问题,安装包在制作时都会采用加密的方式而言,以确保在传输过程中不被仿冒和窃取。这就需要将标识密钥技术运用到OTA运行过程中。搭载标识密钥技术的车辆,在进行软件升级时,能够实现云端服务器、车端之间的身份认证,并对车和云之间的通讯数据进行加密,使数据能够以密态形式分发到车端,防止在通讯过程中数据被挟持和篡改,提高了 OTA 更新的安全性。
3.安装的可靠性
OTA设计主要从安全、时间、版本管理、异常处理等方面综合考虑,具体为:升级 安全是OTA的最基础的要求。车辆上ECU的软件运行状况直接会影响到车辆上的人员的生命安全。从升级包制作,发布,下载,分发,刷写等环节,OTA需要从云,网络,车端来保证安全。
- 在云端方面:通过证书,签名和加密机制保证升级包的不会随意被制作和发布,升级包内容不会被恶意获取,保证包的完整性和安全性。
- 在传输方面:通过可靠的物理链路和安全传输协议来保证网络传输安全。通过汽车的功能域隔离,划分不同ASIL等级,通过冗余设计保证整车的功能可靠性,通过安全启动来保证可信的软件在ECU上加载启动运行。
- 在版本管控方面:版本管控对于OTA来说很重要,因为车辆上ECU众多,不同ECU有不同版本的软件,不同车型ECU的需求有不同,版本也存在差异。 版本的升级路径管理,需要能够全面准确进行管控。
- 整车刷写方面:整车升级进行车载ECU刷写时,特别涉及动力域传统ECU的刷写,是通过CAN网络进行安装包的分发。由于CAN传输速率很低(实际典型的速率为500Kb/s),并且CAN总线负载率通常要控制在30%以内,因此在带宽允许的情况下,尽可能采取并行刷写模式,选取刷写时间最长的节点优先处理等设计原则减少OTA升级时长,防止变砖等异常处理。
- 升级异常方面:OTA传输过程中,外界干扰或者其他因素导致刷写异常或者中断,车载ECU必须支持软件回滚、断点续传、丢失重传等处理机制。
第三方面:OTA运营的影响
OTA升级从来不是单独某个部门的事情,而是一个整体性的活动。除了软件的可靠性,也需要运营部门制定合适的发布策略等工作,需要各部门联合行动。
1.运营需要制定合理可控的发布策略
OTA升级不仅需要灵活的制定升级范围,还需要对升级时机,升级内容,提示事项,失败后给用户的失败处理提示都需要制定一系列的发布策略。发布版本需要根据多方建议制定最终的发布策略。 例如升级范围,发布升级不是一次性发布的,这个需要运营部门分批发布,从灰度发布来说,需要针对小范围的车辆进行一个灰度发布,通过收集的灰度发布升级后结果来制定全量发布的策略。 发布内容,提示信息,升级失败客户如何去操作等内容,都需要运营部门提前制定好策略,避免客户遇到问题加大客户的焦虑感,造成不良影响。
2.运营、测试和开发部门需要紧密合作形成质量提升内循环
发布OTA版本需要紧密的联合测试和开发对发布版本的内容,以及升级的任何异常情况进行内部同步,发布中如果有升级失败等异常,需要开发测试尽快评估出风险来制定正式发布的策略。同时也需要开发和测试从发布中吸取经验,丰富自己的测试内容和代码质量,形成一个不断提升软件质量的内循环活动。
以上就是OTA升级中的难点,也是传统车厂和新势力来比较,为啥新势力升级迭代更快。OTA升级是统筹性很强的功能,所以决定升级质量的不仅仅是靠软件的。
|