汽车软件OTA升级所面临的机遇和挑战

风河新闻中心

汽车软件OTA升级所面临的机遇和挑战

- 电子工程专辑

伴随着物联网的兴起,汽车内部和外部软件所具备的价值和功能迅速提升,并且正在改变着整个汽车产业。这种以软件为动力的新范式,其主要推动力将是通过OTA升级软件的能力。风河公司汽车产品工程总监Stéphane Strahm从中看到了汽车制造商所面临的的机遇和挑战。

车载信息娱乐系统(IVI)和机械控制应用,如ADAS(高级驾驶员辅助系统)和自动驾驶软件等汽车软件的增长,对汽车产业形成了挑战。例如,如何才能以最佳方式将新应用和新软件传送给路上行驶的汽车?

与四十年前相比,汽车的价值主张已发生了巨大的改变,当时材料清单上坚固的有形材料费用约占汽车价值的90%。在今后十年之内,这部分价值将有望大幅下降,而汽车价值的50%,甚至更多将来源于软件和更好的用户体验,因为新应用能创造比实际资产高很多倍的价值(见图1)。

WR17030101
图1:从硬件到软件和新应用的汽车价值改变。

推动新一代汽车发展的另一个重要趋势是物联网的出现。通过使用软件,实现了汽车内外更好的连接性。软件正在帮助创造差异化的驾乘体验。 软件对汽车的重要性与日俱增,且软件系统的相互连接性也越来越强,这一事实带来了诸多挑战,意味着汽车原始设备制造商(OEM)需要深入了解整体软件环境,以便成功制造联网性能良好的汽车。

开发和部署生命周期

软件/固件空中下载(SOTA/FOTA)升级被视为在系统的整个生命周期(从软件和硬件的原始构架设计到汽车的上路行驶年限,约为十年或更长)中保持软件处于最新版本的重要方法。OTA方兴未艾,不过距离实际部署尚需时日。但是,不论是在汽车下线之前还是之后,潜在的益处都是很多的。

软件/固件空中下载(SOTA/FOTA)升级被视为在系统的整个生命周期(从软件和硬件的原始构架设计到汽车的上路行驶年限,约为十年或更长)中保持软件处于最新版本的重要方法。OTA方兴未艾,不过距离实际部署尚需时日。但是,不论是在汽车下线之前还是之后,潜在的益处都是很多的。

在汽车的开发周期中,软件升级必须通过一系列产前车辆来管理。而且通常软件是在某款汽车推出之前最后升级的。现在的汽车可能有100多种控制系统或ECUs(电子控制单元),开发团队将要面对多个软件版本周期,很可能造成版本混乱。此外,原始设备制造商遇到的汽车开发问题并非某一地域独有,而是在多个不同开发中心普遍存在。

因此,开发过程中的软件管理和监控是今后必须面对的挑战。以OTA方式进行软件升级,将有望显著简化开发过程,避免耗时费力地逐台车辆升级,这样会带来显著的成本和时间效益。 除此之外,在汽车出厂后,通过OTA进行软件升级或解决问题的能力具有极大优势。比起开车找经销商或去修理厂升级软件,这种方式更方便、更高效、成本更低。稳健、可靠的OTA策略意味着原始设备制造商在汽车使用周期内几乎可以实时更新软件系统。而且,由于汽车的使用年限不断延长,随着经验的不断积累改进,部署OTA车辆的价值也将有更多增长机会,从而能够开辟新的收入来源。

应用

对于IVI应用,让我们以OTA导航为例来思考。移动设备上的地图可以持续更新,而车内导航系统的地图,就要求用户每年都去找经销商升级。这就导致车内导航采用率不高,而且客户满意度也低。另外,汽车出厂时通常会预装部分地图,如本国或本洲的地图。OTA功能使地图能够自动下载,而且能按要求减少内存占用。

如今,汽车机械控制软件系统的OTA升级具有巨大的商机。汽车的很多功能,例如转向、加速、刹车都曾一度需要通过机械操作来实现,而现在这些功能都是通过电子方式完成的。由于这些功能对汽车操作都很关键,采用最新软件操作或进行必要的升级至关重要。这些操作可能对行车安全造成实实在在的影响。

一个重要的使用案例就是因为软件漏洞造成相关的召回或软件升级。管理保修和召回的成本对数以百万计的汽车和很多区域市场产生了影响,并造成原始设备制造商增加了数十亿美元的潜在成本。如果不考虑所花费的时间,用传统方式对每辆车进行软件升级只需要花费数百美元。而OTA能大幅降低软件升级所需的费用和时间,让汽车制造商和用户都能从中受益。

连接性

尽管OTA使得升级多个汽车系统成为可能,OTA系统的部署还是给汽车制造商带来了新的挑战,例如安全性、稳健的连结性、带宽等,还有必须针对全球不同市场进行基础设施设计。OTA特有的问题包括软件升级验证、对车内其他系统的潜在影响以及防范未经授权访问汽车软件。此外, OTA的潜在使用性或许会对当今汽车产业现有的要素形成挑战:例如,用户可能减少造访经销商的次数,而这会严重影响经销商的收入模式。

要实现实时数据的使用,连接性是OTA面临的关键难题。因为升级需要以正确方式实施,如今的汽车制造商正在对特定系统,如IVI应用,而非机械控制应用进行OTA升级。此外,OTA升级要在可以有效控制的环境下进行,如果是在经销商那里升级,就能对过程进行适当的监控和验证。但是随着时间的推移,用于数据网络和通讯基础设施方面的投资总体增大,连接速度和带宽将会得到提升。数据中心数量将会增多,而且其中很多都将会专门用于汽车配置文件。此外,物联网的逐步实现(从车内和周围环境中采集和使用可采取行动的实时数据)将继续为汽车业创造新的价值主张。

安全性

安全性显然是OTA优先考虑的方面,而丢失私密信息的问题也同样要优先防范,因为软件黑客可能破坏非IVI系统,并带来重大安全风险。保证车辆的安全是汽车产业最基本的挑战,这个问题要从硬件、软件和云端这几个方面,尤其是在三者之间传输的应用来解决。

在数据连接链路上,有很多地方需要保证其安全性并遵守适当的协议,涉及范围从嵌入式设备开始,直到可能由原始设备制造商存储的数据中心。分区是降低风险的一种特别重要的技术。在基本层面上,分区意味着对关键功能进行分隔,这样访问一个功能对相邻功能带来的风险就很小,甚至没有风险。但是功能分离带来的又远不止这些。风河对理解分区、数据发送/接收以及数据验证有着深刻的认识。

标准的开发是实现安全性所绝对必须的,这就需要政府机构、车企和技术/软件的供应商的参与。交通部门,如美国国家公路交通安全管理局(NHTSA)目前正在制定安全标准。但是,这些努力的影响远远不限于OTA,还会对联网车辆和自动驾驶等相关问题产生影响。

Helix Chassis

为了帮助汽车生产商应对OTA和其他新一代汽车技术的挑战,风河推出了Helix Chassis产品框架(如图2),包括Helix Cockpit 和 Helix Drive,并为车载信息娱乐系统、远程信息处理系统和数字集群系统提供持续不断的专业知识指导;安全型系统包括ADAS和自动驾驶;基于云计算的开发工具以及增强应用。

WR17030102
图2:风河的Helix Chassis汽车开发套件包括通过Helix Cockpit实现FOTA/SOTA管理。

Helix Cockpit 用于满足汽车和物联网的交叉需求。Cockpit 是符合GENIVI规范并基于Linux Yocto Project的软件平台,可帮助客户开发IVI、远程信息处理系统和汽车仪表集群系统。Cockpit支持多种行业标准硬件和HMI工具并且具备灵活性、可扩展性和预集成能力,而且还兼容Arynga, Movimento 和 Redbend等软件空中SOTA解决方案。此外,Cockpit还让用户将能够使用Wind River Helix App Cloud 。这是一个基于云计算的软件开发环境,用于跨越多个开发中心创建物联网应用。

另外,Helix Drive 是基于Wind River RTOS (VxWorks) 的软件平台,能帮助汽车生产商开发ISO26262认证安全关键型应用软件。

新一代汽车将更充分地利用个人连接装置中已有的软件工具,而OTA作为一种重要推动力能通过汽车专用应用实现更加丰富、更多用户定义的驾乘体验和更实时的信息访问。汽车制造商已经开始开发OTA的巨大潜力,目前主要专注于开发 IVI功能。

由于很多IVI新技术的部署成本更高,这些技术很可能会先集成到高端车或豪华车上,然后再逐步配置到大批量生产的汽车上去。但是,由于OTA过程经过实践检验已变得更加稳定,随着时间推移,原始设备供应商将会转而采用OTA实现更多重要引擎系统功能的软件升级,并覆盖更广泛的大众市场汽车。