來源 | ?？W

OTA 是Over the Air的縮寫，顧名思義通過空中方式升級，所謂“空中”指的是遠程無線方式，OTA可以理解為一種遠程無線升級技術。

FOTA 是 Firmware Over the Air 的縮寫，即固件空中升級，最常見的就是手機固件的升級。

固件的定義范圍比較模糊，windows操作系統升級、手機升級、嵌入式系統、單片機控制程序等都的遠程升級可以籠統地稱為FOTA。沒有特別說明的情況下，FOTA可以認為是一切遠程升級的統稱?？梢岳斫鉃椋篛TA是一個工具，FOTA是使用OTA這個工具去做具體一件事。相對來說FOTA定義范圍較小，OTA的定義相對寬泛。FOTA是OTA技術的一種。

如今，運營商和無線終端制造商將FOTA視為避免設備召回、減少客服電話和降低運作執行成本的寶貴能力。FOTA為運營商提供了一種能力，既能及時將最新款的無線終端設備推向市場，同時又能避免設備召回、品牌受損和消費者個人數據的丟失。FOTA技術現在正在應用于汽車行業，本文介紹了汽車行業現有的更新方法、其優缺點以及在汽車中使用 FOTA 的好處。

汽車嵌入式軟件升級方法

汽車上大部分的控制模塊之間，大部分是通過某種形式的車輛網絡接口相互連接，比如CAN、LIN、MOST 或 FlexRay。 但是，只有一小部分控制模塊可以訪問外部蜂窩或 Wi-Fi 網絡，通常是信息娛樂主機或遠程信息處理模塊。這些能夠與外部連接的控制模塊，我們可以把它們作為“更新網關”。而那些不能夠與外部連接的控制模塊，也可以通過“更新網關”接收固件更新，然后通過車輛內部網絡傳輸到需要更新的模塊。通過這種方式，在任何情況下，車輛的每個控制模塊都可以完成更新。

如今，有幾個用于更新汽車軟件的用例：

• 召回（強制或自愿）
  

• 定期維護
  

• 客戶投訴
  

• 提供新功能和應用程序

其中，召回是最常見的，也是成本最高，并且最流程上最繁瑣的。

當汽車需要召回時，一般是 OEM 發現車輛的功能存在問題，該問題可以通過更改車輛 ECU 之一中的軟件來修復受影響的功能。于是，OEM 要求相應的 ECU 供應商提供新版本。供應商將軟件版本發送給 OEM，由 OEM 對其進行質量保證 (QA) 測試。

OEM 在確保新的軟件版本可以修復車輛功能問題后，通知經銷商和車主召回。OEM 也會將新軟件版本以 CD 形式發送給經銷商。經銷商使用 CD 中的內容更新重新編程（串行通信）工具。

車主在收到通知后，到經銷商店鋪下車并登記。在收到車輛后，技術人員開始修復功能問題。首先，將串行通信工具連接到車載總線以訪問目標 ECU。然后，開始目標 ECU 的更新過程。最后，檢查目標 ECU 的新軟件版本，以確保正確重新刷寫。那么，這個更新持續的時間有多久呢？這就要看控制模塊的大小，以及串行協議的速度了。

修復完成后，客戶取回車輛，經銷商向 OEM 收取召回人工費用。

由于大量的管理費用，經銷商會向 OEM 收取 1-2 小時的人工費。有些車型的更新時間可能超過 2 小時。此外，刷寫工具的價格比較昂貴，因此同時重新刷寫的次數也是有限制的。

那么，上述這種重新編程升級軟件的方式，到底是好還是壞呢？

局限性和約束性：

• 消耗時間和資源。每個更新版本都要發送給各經銷商，所有經銷商都需要維護一個軟件版本庫。此外，還可能導致無法將最新的軟件安裝到車輛上，存在延遲的情況。

• 下載過程和手動設置耗時較長，導致人工成本較高、不便利和客戶不滿意。由于持續時間很長，消費者需要先下車，然后再回來取車——這是一個很大的問題。

• 由于涉及物理設備連接，該過程不能擴展或并行執行。

• 一些現有的重刷方法需要順序更新，即從版本1 到2 到3，這會使整個更新過程更長。

• 有時（對于非公路車輛），需要將重新刷寫設備移動到車輛上。

• 從通知客戶到實際更新車輛可能需要很長時間。許多客戶對召回通知沒有反饋。對于較舊的車輛，OEM 可能沒有最新的車主 信息，這意味著某些車輛永遠不會收到所需的更新。能否成功召回取決于客戶的合作。

• ECU 的重新刷寫是手動執行的。

• 整體客戶滿意度下降。 

雖然這種召回車輛重新刷寫升級軟件的方式有局限性和約束性，但也有一些優點：

• 目前最廣泛采用的解決方案：FOTA雖然正在普及，但距離成為汽車行業廣泛采用的解決方案，還需要幾年的時間。

• 環境受控：重新刷寫是在受控環境中進行的。

• 可監督：重新刷寫時，車輛沒有移動，并且有技術人員監督刷寫過程，一定程度上降低發生錯誤的概率。

• 大量經驗證明有效：這種方法是經過驗證的，并且在過去一直有效。

• 及時：當出現問題時，技術人員都可以及時發現。

• 安全：在用于重新刷寫的車輛上，它的有線串行通信協議和算法在本質上是專有的和閉源的。因此，協議針對未經授權的軟件更改提供了額外的安全層。

固件無線更新技術（FOTA）

FOTA 更新過程主要分三個階段，和“大象放進冰箱”一樣簡單易懂。第一步，生成更新包。第二步，傳輸更新包。第三步，安裝更新。

圖1：典型的 FOTA 解決方案高層架構

2.1 生成更新包

生成可修復缺陷或補充新功能的軟件更新包是執行FOTA 更新的前提。通常，軟件所有者，也就是一級供應商負責生成此更新包。然而為了盡可能壓縮空間占比（一般小于原大小的5%），更新包只包含了ECU中現存版本與部署到車輛新版本之間的變化（也稱為“增量”）。

2.2 管理更新包的傳輸

生成后，將通過遠程信息處理或無線 (OTA) 診斷系統把更新包發布到分銷平臺中。在移動行業中，這類平臺由手機商或是網絡運營商管理；而在汽車領域，該平臺由 OEM 管理，包括各種版本更新包的處理，以及將更新包傳輸（下載）到相應的車型和特定的 ECU中。各個不同版本的更新包都對應了特定的車型和配置。

下面介紹了將集中式軟件包存儲庫應用于 FOTA 的案例。通過這一集中存儲庫，省略了向各個經銷商分發軟件更新的環節，大大縮短了新軟件版本的上市時間 (TTM)。此外，該系統還可通過不同方法將增量包發送到設備。在移動領域，市場參與者普遍采用由開放移動聯盟設備管理 (OMA-DM) 組織開發的標準協議。

2.3 執行更新

在第三階段，下載的更新包用于執行原始軟件的實際更新（刷新）。更新包和執行更新所需的 FOTA 更新軟件占用車輛嵌入式設備內較少的內存，解決了內存有限的問題。同時FOTA 更新軟件會驗證是否已收到正確的更新包以及更新過程是否已成功完成。值得一提的是，FOTA 更新無視軟件版本之間的順序，支持任意軟件版本的更新。

經銷商 FOTA 場景

當前的汽車軟件更新方法（例如：召回），適用于汽車搭載的軟件數量最少的情況。然而考慮到軟件對汽車的運行和功能集的重要性，有必要對軟件更新方法進行改進。

從節約成本和提高用戶體驗的角度而言，用戶能夠自助操作升級，而非在經銷商網點執行軟件升級是一種更好、更優化的方法。但是，這種方法可能會帶來一些潛在的程序問題，例如需要在更新過程中確保汽車不處于駕駛狀態。因此，在汽車行業全面采用 FOTA 還需要一個漫長的過程。

3.1 經銷商使用 FOTA 的場景

本節介紹了 OTA 經銷商的具體案例。

起初，經銷商選擇 FOTA ，是因為 FOTA 便于使用，因為它能夠幫助 OEM 解決軟件可靠性和職責問題。然而隨著FOTA 更新越來越頻繁，原始“經銷商 FOTA”與其他更具成本效益的案例相比便失去其優勢。

這些使用案例包括：

1 OEM 發現車輛功能存在問題，并且可以通過修改車輛中某個ECU軟件來修復受影響的功能。

2 要求相關供應商提供新的增量版本，并發送給 OEM 。

3  OEM 通過郵件通知經銷商和所有者進行車輛召回。OEM 可以通過郵件和電子方式將新版本刻錄 CD發送給經銷商。

4 車主把車送至經銷商店。

5 技術人員通過 FOTA 請求對指定車輛立即啟動軟件更新。主服務器對車輛身份進行驗證并確認更新進程開始。

6 FOTA過程是無線傳導（OTA）執行的；增量文件被下載和更新。更新完成后會顯示完成狀態（整個過程持續不到 15 分鐘）。

7 檢查車輛以確保正確重新刷新。

8 客戶取車。

9 經銷商向 OEM 收取人工費，軟件操作和檢查大約需要 30 分鐘。

上述過程中的注意事項：

• 由于軟件由原始設備制造商集中維護，經銷商無需花時間對更新進行存儲和管理。

• 可以對多輛汽車（10-50 輛）同時執行更新，因此可以忽略編程工具的限制問題。

• 可以將車輛停在外面，無需停放在車庫內。這樣節省了大量時間，也提高了容納的車輛數。此外，更新時車主可能根本不必離開經銷商網點。

• 在斷電的情況下，進程從最后寫入的代碼塊重新開始，節省了大量重新刷新已寫入代碼塊的時間。

• 在某些情況下，此更新可能僅涉及ECU 硬件模塊的換出。

3.2 客戶場景下的 FOTA

本節介紹了客戶自行完成 FOTA 升級的案例。此方式不僅為客戶提供了便利，而且將最大限度地節省 OEM 的成本。

這些使用案例包括：

1  OEM 發現車輛功能存在問題，并且可以通過修改車輛中某個ECU軟件來修復受影響的功能。

2 要求相關供應商提供新的增量版本，并發送給原始設備制造商。

3 原始設備制造商通過郵件通知經銷商和所有者進行車輛召回。原始設備制造商通過集中系統存儲所有軟件版本，所以無需將新版本發送給經銷商。

4 車主致電經銷商并請求更新 FOTA。經銷商要求車主將車停駐（家中或辦公室）。

5 技術人員請求立即啟動指定車輛的遠程軟件更新 (FOTA) 過程。主服務器驗證車輛身份并確認過程開始。

6 FOTA進程通過無線傳導執行（下載并更新增量文件）。一旦過程完成（通常少于 15 分鐘），就會顯示完成狀態。

7 通知車主對其車輛進行檢查以確保正常運行。

8 經銷商向原始設備制造商收取人工費用（軟件操作和車輛檢查大約需要 15 分鐘）。

9 可以使用交互式語音響應 (IVR) 來執行更新過程從而節省成本。

上述過程中的注意事項：

• 由于軟件包由原始設備制造商集中維護，所以經銷商無需花時間對更新進行存儲。

• 可以對多輛汽車（成百上千輛）同時執行更新，因此可以忽略編程工具的限制問題。
  

• 車輛位于客戶所在地，因此經銷商車庫停車位不構成限制條件。

•  OEM 可以使用交互式語音響應 (IVR) 實用程序來進一步擴展更新規模并節省勞動力成本。

3.3 汽車中使用 FOTA 的動機

在汽車中使用 FOTA 有很多動機，包括：

• 降低保修成本——召回成本將下降。節省了技術人員和客戶的時間。
  

• 不受位置限制——通過無線通信，車主無需親自到經銷商處便可實現軟件更新。
  

• 縮短修正周期——產品和軟件開發都要經過嚴格的開發流程、測試和審查。實地重新刷新現有的 ECU 可以提高產品的質量。
  

• 集中式服務器——所有更新都位于一個集中式服務器中，不會分發給成千上萬的經銷商，因此可以避免潛在的錯誤并確保安裝最新的軟件。此外，它還縮短了新軟件更新的上市時間 (TTM)。
  

• 便利——盡管經銷商FOTA 模式已經實現了消費者的便利，但用戶自行執行 FOTA 可以將此便利達到最優。
  

• 允許強制更新——在某些情況下，無論客戶是否接受（例如進行與安全相關的召回）都可以進行重新編程。
  

• 提高安全性——無線軟件更新的應用可降低召回車輛在故障狀態下的行駛時間。
  

• 技術過硬——經過電信行業超過 10 億部移動電話和連接的應用證明，無線設備FOTA 是一種經過驗證的技術。此外，汽車內強大的蜂窩服務保證了更新的覆蓋和接收。
  

• 無需經培訓的專業技術人員來執行更新。

3.4 更新粒度和用戶參與

通常，在給定的模塊中可能有多種可獨立更新的軟件組件。例如，在現代信息娛樂系統中可能包括基本固件映像、導航系統、音樂/多媒體數據庫、語音識別系統和其他可升級的軟件組件。某些更新可能是強制性的，而其他更新可能是按需提供或經用戶批準的。對于強制“推送”更新，安靜的后臺更新更受歡迎；而對于選擇性更新或需要最終用戶批準的更新，個性化地的方法接受度更高。

在極端情況下，用戶導向的更新可能包含全新的功能和應用程序，因此應用商店需提供可用內容的清單，以便用戶作出選擇。可以使用相同的 FOTA 更新機制來促進此類更新。

3.5 其他執行FOTA的案例

FOTA在汽車量產中廣泛用于以下三個領域：

• 車載信息娛樂系統 (IVI)
  

• 電動汽車 (EV)

• 遠程信息處理單元

汽車制造商和一級原始設備制造商出于各種原因而決定在汽車系統中實施 FOTA。對組件代碼的頻繁更改需要通過經過驗證的新方法進行無線傳導更新。此外，基于無線傳輸軟件更新包的功能，FOTA 可以降低汽車制造商和服務提供商的蜂窩和漫游費用，從而降低成本。

FOTA 所面臨的挑戰

下列困難已經由電信行業解決，汽車行業可參考利用這些經過驗證的標準和協議。

4.1 技術困難

• 下載協議——需要一種能夠安全可靠地將軟件包從車輛制造商無線傳輸到目標車輛ECU的方法。電信 OMA-DM 標準為汽車軟件更新提供了一個可行的選擇。
  

• 外部/蜂窩信道——至少需要一個具有無線功能的組件充當無線網關，并且必須通過內部總線或藍牙與其他嵌入式系統連接。
  

• 多個設備——車內有多個設備需要更新。如果每個設備都有一個用于更新的外部無線通道，必定會增加成本，因此可以使用上述相同的網關概念。
  

• 能夠支持多種通信協議，例如蜂窩和 Wi-Fi。
  

• 電池壽命的計算應將重新刷新過程考慮在內。
  

• 車輛只有在無線接收區域內才能通過無線方式下載新軟件版本。
  

• 可以將下載過程與更新過程分開，以便在無線接收區域外也可以執行更新過程
  

• 適當提高存儲量以存儲增量和更新代理。
  

• FOTA 更新系統必須能夠更新內存中的讀/寫和只寫區域。

• FOTA 更新系統必須盡量減少下載和更新時間。

4.2 用戶和過程方面的難題

由于用戶會常常注意到車輛功能的變化，所以在未經用戶同意的情況下對車輛的功能性軟件進行更新可能會讓其感到不安，甚至會認為車輛存在問題。為此，需要通知客戶軟件更新，如儀表板上的顯示發生了軟件更新，或者顯示屏顯示軟件更改標識 (SCID)?？蛻艨梢杂纱说卿涇囕v制造商的網站并查找 SCID 以了解有關軟件更改的更多信息。

FOTA 更新系統必須能夠根據車輛的位置智能地決定所采用的無線技術種類。例如，當汽車停在家中時，FOTA 更新可以通過 Wi-Fi 而不是蜂窩網絡執行。

行業必須制定執行更新程序的時間。例如，在完善的流程和安全措施下，ECU 在執行車輛功能時不會更新，并且只有在車輛停止移動且關閉點火鑰匙時才執行更新。

4.3經銷商所面臨的問題

隨著無線軟件更新（維護）所需的勞動力減少，經銷商逐漸失去了其主要收入來源。

此外，在初始階段，由于更新過程隨時發生，同時并非所有系統適用于 OTA 更新，所以經銷商會面臨混亂的局面。

4.4汽車原始設備制造上所面臨的難題

車輛制造商必須跟蹤每輛車的 ECU 和軟件版本，包括 ECU 之間的依賴關系。當特定 ECU 軟件更新時，必須同步更新列表。

制定正確的測試和驗證流程，從而保證車輛在軟件更新后正常運行。同時，在任何情況下，更新過程都不應影響目標 ECU重新刷新后其軟件的完整性和安全性。

構建后端基礎設施，從而通過無線方式將更新包發送到汽車端。在某些情況下，此基礎架構應連接到應用程序商店的交付系統中的客戶服務或計費系統。

結論

汽車行業正面臨著與八年前移動行業相同的經歷。隨著軟件維護需求的增大，更新汽車 ECU 已成為一項必須操作。當前軟件更新的模式成本高昂，對客戶不友好，而且不夠靈活，無法應對汽車行業正在發生的快速變化，因此，如今的汽車行業正尋找新的、更高效且更具成本效益的方法。

經驗證，對于原始設備制造商和汽車制造商的汽車軟件更新管理來說，FOTA 技術安全且具有成本效益的方法，它將汽車從實物驅動轉向代碼驅動。

FOTA 可以幫助汽車制造商節省時間和成本、降低風險并吸引和留住客戶群。此外，還能幫助使汽車制造商建立新的追加銷售服務方式，從而在整個汽車生命周期中為消費者提供新的功能和應用程序。

在吸取電信行業的經驗和教訓的基礎上，汽車行業可以順利而成功的完成現有更新方法向 FOTA的過渡。