电动汽车FOTA固件远程升级系统开发策略

10 技术纵横轻型汽车技术2020(4-5)
电动汽车FOTA固件远程升级系统开发策略
唐俊安
(南京依维柯汽车有限公司）
摘要：基于新能源汽车智能终端（T-BOX)，设计了一套车辆固件远程升级 (FOTA)系统，包括对整车控制器（VCU)、电池管理系统(BMS)以及电机控制器
(IPU)等电子单元的远程刷写。

同时，在升级包的上传过程中，不但有硬件加密狗的
隐私保障，也包含离线升级包的制作与本地存储，大大保证了升级过程中整车系统
的安全性与稳定性。

车企可通过此技术实现大规模升级及修复车载设备软件故障，
有效降低了开发风险和召回成本。

关键词：电动汽车FOTA固件远程升级系统开发策略
1引言
在汽车行业，伴随着智能化发展趋势，汽车将 成为继智能手机、个人电脑后的第三大移动终端，逐步地从机械产品演变成为电子产品;此外，车联 网技术发展迅速，汽车软件系统不断增加,而软件 的不稳定性是不可避免的，因此，其对FOTA固件 升级的需求也应运而生。

汽车的各个系统，从雨刮 到导航，从主动安全到高级驾驶辅助系统(ADAS)，无一不是借助各种精密可靠的电子系统 得以实现。

据统计数据显示，目前市场上50%以上 的汽车召回是由软件缺陷造成的，消费者可能会 因为一行代码的错误不得不把汽车开回4S店，汽 车召回的次数因此大大增加。

但如果车主能够通 过FOTA解决方案，自行升级和修复软件故障，就 不需要去4S店或者返厂，这也可以有效降低主机 厂的开发风险和召回成本。

同时，对于终端消费者 而言,FOTA方案可以保证汽车系统及时更新，导 人车辆的新功能，例如自动驾驶软件的升级能够 帮助消费者逐步激活车辆的自动驾驶功能，还可以提高车辆自动巡航功能的限制速度、解锁自动
车道变换功能、车道偏离等诸多功能，从而持续助
力人机界面(HMI)的优化，改进人机交互要求的
体验。

2远程控制系统总体架构
为了实现车辆固件远程升级，需要分别设计
支持信息交互的车载终端T-B0X与云端FOTA
管理系统。

需升级的S19文件经硬件工具及专用
的升级包制作软件加密后，上传至FOTA管理系
统，在收到来自平台或手机APP的客户确认升级
的通知后，通过无线传输下发至车载终端，同时确
认整车处于可升级状态下时，把升级包下发给目
标ECU,实现车辆端ECU的远程刷写。

系统整体
架构见图1。

3系统硬件及软件设计
1) 升级包:使用硬件加密及专用ECU升级包 制作软件，制作专用的加密升级包,保证升级文件
的安全性。

2)车辆固件远程升级管理系统:为用户提供
轻型汽车技术2020(4-5)技术纵横 11
图1系统整体架构图
完整的升级操作流程，允许用户方便的使用平台 可视化管理界面，对ECU 远程升级过程进行监 控;提供升级文件的管理、升级任务管理、升级策 略配置、升级日志查询等功能，保证升级过程的正 确性、完整性;并提供完备的安全策略来确保上传 过程中的数据安全。

3) 车辆端：搭载支持远程刷写的车载终端 T -BOX ，能够与升级管理平台及车载系统进行通 信，获取车辆升级信息，获取车辆升级包并进行安 全校验，保证ECU 升级的安全性。

同时，T -B 0X 还 需包含以下功能模块：(1) 接收FOTA 管理系统数据/指令模块；(2) 升级文件处理模块；(3) 与VCU 、BMS 、ICU 控制器通信模块；(4) ECU 升级模块；(5) 升级结果报告模块,支持离线的升级包制 作，支持仪表及手机APP 的升级管理。

4) 手机APP :进行远程ECU 升级时，让车主 确认是否进行升级操作，与其进行有效的互动及 信息交换。

4远程升级流程1) 任务创建:使用硬件加密狗给升级包加密， 将升级包上传至车联网平台，选择升级车辆或批 次，创建升级任务。

2) 升级文件下发:根据任务配置，向指定车辆 终端密钥文件及升级包，下发分为5个状态:等待 用户操作、待下发、下发中、下发成功、下发失败，
下发状态在车联网平台可实时监控；升级包及密 钥文件下发成功后，终端自动进行解密操作，允许 用户对车辆进行“升级”操作。

3) 升级决策：当车主收到可升级信息时，可根 据当前实际用车情况，对是否立即升级进行决策；
并根据手机APP 页面提示,确保车辆处于可升级
状态（拉起手刹，N 档等），保证升级过程的安全
性。

4) 升级进度管理:当用户对指定车辆下发“
开
始升级”指令后，可对升级中的车辆状态进行查 询；升级状态包含：等待用户操作、待升级、升级
中、升级成功、升级失败。

文件下发成功开始升级 后，升级进度处理页面显示的任务状态默认为:待 升级。

升级进度管理有以下5个操作:终止升级、 版本恢复、删除升级文件、关闭任务、强制关闭。

由
12 技术纵横轻型汽车技术2020(4-5)
图2 VCU远程升级流程图
轻型汽车技术2020(4-5)技术纵横 13于升级ECU 为非常重要的操作，因此，对升级时 的管理操作有非常严格的条件，具体如下:（1)升 级状态为待升级，升级中都可以操作终止升级。

终 止升级后系统后台修改任务状态为已关闭；(2)升 级成功后可以操作版本恢复，其他状态不能操作 版本恢复;（3)升级成功或升级失败都可以操作删 除升级文件，删除后可以关闭任务；（4)升级成功 或升级失败都可以操作关闭任务，关闭后不能删 除升级文件；（5)只有任务关闭后，才能对该车辆 终端再次创建升级任务。

以整车控制器(VCU )的远程升级为例，完整 的升级流程见图2。

5结论FOTA 技术给车辆电子单元的批量刷写带来 了新的思路，对于车企来说,远程刷写一方面可以 大大降低维修成本，提高维修效率;另一方面也可 以保证车辆及时导入新功能,提高人机交互体验。

(上接第51页）
7) 克服不良的操作习惯。

如强制升温、紧急制 动停车、快速越位提、降速等不良操作习惯，都将 导致润滑条件变坏，活塞环磨损增加，寿命缩短。

8) 正确选用、检查和更换润滑油，应选用同一 批号、同一厂家、同一粘度和质量等级的润滑油， 严禁不同粘度和质量等级的润滑油混用，加注时 选在无风无污染的场合，以防止灰尘及水等污染 物进人。

9) 加强活塞环的储存管理工作。

活塞环储存 应根据不同类型的发动机分门别类的存放，防止 不同类型和型号的活塞环混存和混装；在存储和 搬运过程中防止摔碰,以免造成折断、裂纹、变形。

随着5G 业务及车联网技术的飞速发展，应当将 FOTA 技术在汽车行业广泛推广应用，通过新能源 汽车的带头作用，逐步实现所有车型的智能化网 联化发展。

参考文献1耿琦，葛亮,高东明，等.基于OTA 技术的车 辆远程数据刷写研究及应用田.电子测试，2017(15): 74-75+82.
2李苑玮,武迎迎，曹石.车辆远程控制技术的 发展现状和趋势U ].装备制造技术,2018(03):86-88.
3谢萌,张世武，李旺，等.基于R O S 的远程车 辆控制和目标跟随系统设计〇].工业控制计算机, 2019,32(07):29-31,
4王栋梁,汤利顺，陈博，等.智能网联汽车整车O TA 功能设计研究〇].汽车技术,2018(10):29- 33.
活塞环在保管过程中应平放，并防止因管理不善 而造成锈蚀等。

5结语
活塞环是柴油机中重要的零部件之一，活塞 环的工作情况对燃油燃烧的完善程度和工作状态 起着至关重要的作用，了解活塞环故障原因及诊 断排除方法，加强对活塞环日常管理和维护，提高 活塞环运行寿命,对保证柴油机的安全、可靠和经
济运行尤为重要。

参考文献1 陈家瑞.汽车构造（上册）丨M ].北京：人民交 通出版社，2003.。