宋 伟，胡巧声，唐俊安

（1.南京依维柯汽车有限公司 产品工程部，江苏 南京 210028；2.上汽大众汽车有限公司 整车项目控制部，上海 201805）

1 前言

空中下载技术即OTA （Over The Air），也叫空中刷写技术，是通过4G或5G网络，将软件推送到终端的一项技术。汽车和手机一样，很多功能是通过一些车载的控制器实现，在其硬件不变的情况下，通过刷写不同的软件来更新一些功能和服务。随着技术的不断完善，汽车电子部件，从车身电脑到娱乐系统，从被动安全到主动安全再到高级辅助驾驶系统，均是通过各种感知传感器接收数据，再由控制器进行测算，最后控制执行器来实现的。同时车联网技术发展迅速，使得汽车不仅能接收整车上的数据，而且同时能够接收路况信息、道路信息和交通数据。整车的控制器通过收集这些大数据来计算，辅助驾驶员驾驶甚至于自动控制汽车。自动控制系统均是由软件计算后执行的，软件数据自身的安全和算法就十分重要。

目前市场上很多智能驾驶的汽车因为软件BUG进行召回，因为软件在开发、测试和应用中总会出现一些不足。远程诊断技术已经在各种车型上有了一定的应用，各大OEM通过远程监控系统和故障在线诊断系统读取整车运行的相关数据。通过对相关数据的分析和优化，对整车上控制器软件和算法的优化速度也进一步提高。这也给空中下载技术提供了相关的基础准备。但对于安全级别更高的动力总成和制动系统控制器空中下载和刷写功能，由于安全性和实际网络情况的限制，想立刻实施还有一定的难度。所以现在整车厂都是派相关技术人员到现场对这些控制器进行刷写，对于人力和时间消耗较多。OTA技术正是针对汽车行业这一痛点，孕育而生并会蓬勃发展。OTA远程刷写汽车必须解决车辆状态的判断、数据专线稳定和数据保密的问题。因为手机死机后，只要到售后服务部门刷机即可，而汽车死机后，会对人和车的安全造成严重的后果。

2 空中下载技术发展

2.1 OTA的法规认证要求

一个车型如果在一个国家被批准合法售卖，必须通过这个国家相关公告认证试验，英文称为homologation。在北美，如美国、加拿大等国家，整车厂只需证明他们的车辆符合其联邦机动车安全标准DOT，企业根据其车型要求自愿通过其他标准，比如新车碰撞测试NCAP。当然，整车厂必须把通过相关测试标准的报告提交给政府备案，以备后查。所以OTA升级汽车软件，不会给这些国家销售车辆带来麻烦。但在欧洲、日本、中国等国家，你必须向其监管部门证明你达到了相关标准，通过相关测试，拿到了公告合格证，这个车辆才能被销售和上路，如欧盟的EMARC认证，中国的CQC认证等，都是这么规定的。通过公告认证的车辆，必须确保其关键零部件或者系统不能被轻易串改，如动力总成、制动系统的软件升级，就需要重新进行认证。

提到汽车OTA技术，不得不说到智能汽车的领航者特斯拉。其Model3车型，因为制动门远程升级了智能驾驶系统，制动距离也缩短了6.1m。但欧盟的EMARC认证中，有具体的制动性能要求和功能说明。其升级相关软件，就需要找到一家第3方技术服务机构并完成一系列测试后才能到官方进行新的补充认证。2016年12月，美国交通部向立法机构提出，《联邦机动车安全法案》修正提案，计划将在2023年强制所有轻型车辆配置车用SCRC技术 （车联网设备）。同一时间，中国工信部发布了GBT32960《电动汽车远程服务与管理系统技术规范》，要求新生产的新能源汽车必须安装车载终端 （T-box）。企业自建平台和T-Box进行通信，适时将整车的相关信息，尤其是电池安全和整车行驶信息上传到企业平台并共享到国家平台，对车辆进行监管。这些强制法规要求会使车辆配置车联网的接口，使得OTA自检、远程查询设置和升级功能成为一种新趋势。但具体到OTA技术的认证和哪些电控单元才可以使用OTA升级，并无相关的法规出台。

2.2 OTA技术的应用现状

除了特斯拉以外，各大整车厂已经开发研发或者应用相关的OTA技术。自2016年起，丰田、大众、福特等公司都相继官宣了一些OTA车型和服务，主要用于导航升级、地图更新和娱乐系统更新配置等。OTA技术现在广泛地运用到软件bug的修补和功能的提升，同时大大节约了整车厂相关软件更新和维护成本。但将OTA技术应用于复杂的控制发动机、制动器和转向器的电控单元还有很长的路要走。因为这涉及到复杂的行车环境的控制和电控单元刷写速率的控制。

但在中国新能源汽车方面，OTA技术迎来快速发展的机遇。因为新能源汽车尤其是纯电动汽车，其动力总成控制系统相当简单，而且动力、制动转向系统均已经电动化了，具备OTA的升级基础。更为重要的是，中国很多新能源造车新势力，就是从互联网企业转型或者扶持出来的，其有大量的软件开发工程师为其提供技术保障。另一方面，自主掌握了控制器软件代码和算法等核心技术。和内燃机开发不同，整车厂自主掌握了新能源汽车控制器的核心技术，为OTA技术的推广提供了技术基础。

3 OTA技术在南京依维柯车型上的应用案例

南京依维柯是生产欧系轻客的商用车企业，多年来，南京依维柯一直引领着中国轻型商用车行业的发展，现有产品覆盖：3.5～7t，7种轴距，轻型客车、城市物流车、专用车辆、新能源汽车等多种车型。同时，它也是中国首次获得工信部新能源生产资质的企业，2007年到2019年已经生产纯电动商用车5000多台。因为很早涉及新能源领域，所以OTA技术在南维柯车型上也得以很早应用。通过OTA技术，使汽车可自行升级和修复软件故障，无需去4S店或返厂维修，有效地降低了公司的开发风险和召回成本。同时，对于消费者而言，OTA方案还可以保证汽车系统及时更新，导入车辆新功能等，从而提高用户体验。

3.1 南京依维柯OTA的技术路线

首先生成数据包。数据包中不仅有需要更新迭代新功能的软件，还有相关地址和优先级。这些地址和优先级，决定了数据的校验算法，更新顺序和更新后自动检查方案等。待安全检查和校验通过后，才能开始刷写数据。数据包一般存储在汽车厂自建的数据云平台中，数据包版本和车型配置均在云平台中进行管理。平台中，在接收到后台的更新请求后，在特定的时间下按要求访问车载终端，进行刷写请求。在安全校验和安全检查通过后，去刷写特定的电控单元。如果一辆车上有多个设备需要更新，则通过整车上的网管控制器进行管理，按要求依次更新。数据通过3G／4G／WIFI通信模块 （后续会升级到5G），按要求进行分发和传输。最终则是进行刷写和安装。数据包下载完毕后，用新的镜像文件替换原来的文件。安装前后，需要对更新的软件进行监督和管理。数据包更新、安装和最后校验均需要被监控。其过程可以是连续更新和刷写，也可以按要求进行点对点推送，南京依维柯OTA的技术路线流程图见图1。

图1 南京依维柯OTA的技术路线流程图

3.2 关键技术和创新点

1）OTA最重要的是要保证其功能的安全，传输和刷写安全尤其重要。需要同时考虑云端的服务器端、车辆终端以及车辆和云之间的通信安全。车载云端服务器接到指令，确认需要刷写的车型和相关数据包。它会向符合要求的整车终端发出推动请求，车辆终端根据整车的安全状态和车辆情况，在保证安全的情况下向云端发送“握手”认证请求。云端在收到该握手信号后，进行身份确认。车载终端和服务器进行数字证书验证并确认安全后，开始按要求进行数据包下载和刷写。数据包不能通过广播信息发送，必须利用专线并进行加密。加密数据由车载终端T-box进行解密，并按照网关的要求推送到相关电控单元。网关可以按要求管理刷写数据和整车通信网络的负载和安全。

2）其远程升级方式使用的是差分更新。OTA更新包和更新软件一般是在车辆嵌入式设备的小内存中完成安装，因此更新包会尽可能地压缩大小，一般会被压缩到原始大小的5%。为了保证效率，在技术上我们会用到差分更新的方式，差分更新的核心技术是掌握字节差分算法。将更新包碎片化分成多个小的数据流文件，在有限带宽的网络中分发，设备获取多个短小文件的同时进行更新，主要解决汽车内微型ECU、M2M模块等微型电子设备性能存在局限性的问题。

3）大数据存储。配备4GB eMMC存储芯片，可对采集的数据周期存储和信号触发存储，默认按照1Hz频率将实时CAN数据存储至eMMC中。终端采集的数据按年、月、日、时、分、秒的形式顺序存储在储存器中，时间误差为24h内。当出现1级故障报警后，终端会将故障发生前后30s的数据打包上传至后台。内置eMMC具备掉电保护功能，当终端停止工作时，存储中的数据不会丢失。支持循环存储，当存储存满时，自动覆盖最早的文件。加密的密钥可由用户配置，数据可通过专有软件工具读取与查询。

4）及时高效的无线通信技术。终端支持将本地采集的原始CAN报文、诊断数据、故障信息、GPS信息、车辆动态数据、触发事件等数据实时发送至监控平台，最高支持1Hz的数据传输频率。车辆充电时按照国标要求，终端处于工作状态，实时上报数据。支持多APN及双联路通信，通信协议默认遵照国标协议。支持远程方式在企业平台上注册／激活。

5）具备多种诊断和控制模式。此OTA方案支持按照TSP诊断命令进行车辆诊断，支持UDS、J1939等常见的远程故障诊断。终端上电后T-BOX自诊断实时自检，支持UDS和J1939DTC，并将自检结果存储，支持通过诊断仪导出。OTA可对T-BOX进行远程唤醒。支持通过CAN总线实现远程下发命令，控制车辆车门解锁／闭锁、闪灯鸣笛、空调开启／关闭、车辆上电／下电等 （需车辆CAN总线协议支持）。

6）具备蓝牙钥匙功能。支持通过手机蓝牙连接OTA，代替车辆钥匙，实现唤醒终端，控制车门解锁／闭锁、寻车等功能。与OTA连接的手机设备需预先在TSP后台注册，一台手机仅能绑定一台车辆，保障车辆安全。由APP自动识别网络信号状态切换远程控制和蓝牙控制。

7）驾驶行为分析及自学习功能。T-BOX可根据CAN总线实时数据，判断车主单次行程的急加速、急减速等驾驶行为，并记录上传至后台。驾驶行为分析及自学习功能具体方案见图2。

图2 驾驶行为分析及自学习功能具体方案

8）当T-box接收到相关命令，该系统会负责在车辆进行ECU升级时，实时反馈升级情况，让车主实时了解车辆升级状态。ECU升级提示界面如图3所示。

当车主收到升级信息时，可根据车主实际用车情况，对是否立即升级做出决策，保障车主用车的安全性。当车主同意升级，同时系统判断车辆在安全停止的状态下时，车辆进行ECU升级，并实时反馈升级情况，让车主实时了解车辆升级状态。ECU升级如图4所示。

3.3 开发过程及实验报告

南京依维柯历时3年多，最终完成了基于依维柯新能源汽车远程OTA技术的开发和验证等工作，同时完成了匹配3种车型性能标定开发，也完成了对车辆安全符合性、能耗、电池包性能指标的优化，满足了公司车型上市和开发的需要，完成以下过程工作。

图3 ECU升级提示界面

图4 ECU升级

1）建立完整的车辆OTA系统和业务流程。使用支持远程ECU刷写的车载终端T-BOX，能够与升级管理平台及车载系统进行通信，获取车辆升级信息，获取车辆ECU升级包，并进行安全校验，保证升级文件的安全性、完整性；保证ECU升级的安全性。

2）自主开发离线升级包制作工具。使用硬件加密及专用ECU部件升级包制作软件，制作专用的加密升级包，保证升级文件的安全性。升级工具主要功能如下：将多个ECU的升级信息打包到一个升级包文件中，一次可升级多个ECU；生成的升级包文件经过了加密处理；针对某一个ECU可支持APP、Flash驱动、UDS协议认证算法库文件等信息。

3）自制件工艺文件和控制计划编制，自制件试生产和工艺验证；零部件的技术认可工作，严格按照产品开发程序完成设计FMEA、初始特性等设计文件，匹配3种车型性能标定开发。OTA系统自动汇总整车信息并自动刷写。

以电机控制器的参数维护表为例，介绍一下OTA参数表格必须维护的内容。①系统分类：确定电控单元所属平台；②项目号：车型公告号的前8位，确认车型；③电机型号：确定了电机功率和扭矩；④DIS号：根据以上3个信息，确定电控单元的程序；⑤PN硬件：根据以上3个信息，确定了电控单元的硬件；⑥版本号：确定刷写电控单元的ECU，出现问题时，可追溯到上一版本状态；⑦选装件代码：在产品架构确定时，需要列出整车的选装件，并对应申请出一个5位数字为代表。此列最多可填出37个选装件代码，根据前面参数，可固化部分代码，如：轮胎型号、轴距长短、电池型号等；其他选装件代码，如：是否选装巡航、是否选装排气制动、是否选装空调等均从销售订单系统中获取。

电控单元的型号由设计部分和公告部分共同确认，电控单元的件号由设计部分申请并维护，并由供应商打印相关条码粘贴在电控单元本体或相关执行器上。电机件号所对应的名称必须包含相关型号信息，并将以上数据维护到车辆系统中。在远程升级过程中，在各采集点采集车辆信息VIN码、发动机件号、轮胎型号、后桥速比等信息，并将此信息添加到整车信息。

从生产系统中读取电控单元编程必需的汽车选装件代码，代码以下列形势传递。例：PJ22N2230000099V1350340 100089*00131*00154*00165*00217*00568*00590*00598*006 93*00697*00724*00741*00907*01109*01484*02075*02094*0 2095*02181*02193*02194*02198*02213*02215*02343*02438*02452*02463*02528*02640*02644*02662*02680*02681*027 04*02729*02733*。

以上车辆信息以F44文件为介质传递至服务器。服务器自动汇总车辆信息，并将车辆信息定时发送至车辆端。在对车辆ECU灌装程序时，只要校验相应的VIN号和VAN号，自动获取各种电控单元的程序号，并从云端下载相应dataset，并将正确的车辆信息存入电控单元中。避免了ECU与联网的远程信息处理单元直接接触，提高了OTA更新的安全性。开发车主手机APP OTA交互相关SDK进行远程ECU升级时，与车主进行有效的互动及信息交换，保证车辆ECU升级的顺利进行。

4 总结

OTA技术是一把双刃剑。它既可以大大减小售后服务的成本和让客户能够快速享受一些整车功能。同时它也可能带来安全漏洞，碰到黑客攻击或者意想不到的BUG时，其后果会十分严重。手机升级不成功还可以刷机，汽车在驾驶或者其他状况下断油断电是会出致命隐患的。同时整车智能化水平越来越高，其控制器的数量也越来越多，控制器的内存也越来越大，这就对OTA技术的传播速度和网络管理提出更高的要求。现在很多整车厂，其整车使用的复杂控制器，尤其是发动机、制动系统控制器的底层软件还不是自主开发的，统一协调起来有一定难度。而特斯拉汽车之所以能够那么快地产业化OTA计划，得益于其电动车的大多数软件是自主开发。此外OTA的技术要求和验证标准也需要国家的统一规划。

在可预见的未来，随着技术的逐步成熟和5G技术覆盖到汽车领域，和国家相关OTA政策法规的完善，OTA技术肯定会在新能源汽车上迅速普及。