客車OTA 實施及其整車CAN 通信設計

陳 鵬， 徐 梅， 周傳樹， 楊 煒

（1.浙江吉利新能源商用車發展有限公司客車事業部， 浙江 杭州 311200；2.浙江吉利新能源商用車集團有限公司商用車研究院， 浙江 杭州 311200）

客車特別是電動客車正向著智能網聯化快速發展， 客車智能網聯化要求其具備OTA （Over the Air Technology，OTA） 功能， 從而實現對車載系統軟件和數據的及時升級和管控， 提高售后服務的效率和品質。

當前主流客車CAN網絡上的各控制器軟硬件配置差異較大， 很多控制器不支持在乘用車領域早已推廣的UDS診斷協議， 需要進行有針對性的差異化設計， 以滿足當前客車對OTA的需求。 本文首先論述OTA實施的3項關鍵技術，然后就客車CAN通信設計進行分析。

1 OTA關鍵技術

1.1 OTA系統及其平臺職責

OTA是云端-車端協同工作的系統， 主要由云端的OTA管理平臺以及車端的無線接收控制器組成。 二者通過無線網絡連接， 共同完成車輛的OTA任務。 OTA管理平臺需能夠設定多控制器的軟件下載順序、 軟件版本登記、 當前軟件版本號識別、 目標軟件版本號確認、 控制器既有軟件備份、 新軟件加密傳輸、 下載失敗整體回滾等設定。

OTA管理平臺一般采用面向服務的3層體系架構設計：人機交互層、 業務邏輯層和數據訪問層。 人機交互層為管理員提供了OTA的操作頁面， 如權限管理、 車輛信息管理、下載策略管理、 下載任務管理等。

1.2 安全傳輸和安全訪問

OTA源于個人移動通信終端業務， 該技術應用在汽車，特別是客車， 其功能安全就需要更嚴格的標準， 例如要求支持TLS1.2及以上安全協議， 支持第三方的安全證書和密鑰管理， 最終實現從后臺到車端的多層級全方位的防護。軟件從供應商到達OTA平臺、 OTA平臺到車端以及車端ECU本身都需采用不同類型的加密機制來確保OTA服務全程安全。 在執行任何OTA服務相關操作之前， 需完成OTA云端與OTA車輛端的雙向認證。 OTA車輛端和OTA云端之間的所有數據通信必須有完整檢查機制和防篡改檢查機制， 過程傳輸數據要進行加密， 避免OTA服務實施成為整車安全的薄弱環節。

軟件被下載到車輛終端之前， OTA云端和車端控制器首先根據PKI/CA認證系統進行身份雙向認證。 驗證通過后，OTA服務端和車端建立起基于TLS1.2協議的安全通道， 保證云端與車端之間信息傳輸的安全性。 在車端部分，TBOX、 HMI和網關控制器之間的交互信息采用私有協議密文傳輸， 軟件包的加解密通過在TBOX、 HMI和網關控制器內部集成的HSM （硬件安全模塊） 來管理、 處理和保存加密秘鑰， 防止軟件包被篡改。

1.3 統一軟件刷新標準

OTA的核心服務是完成車載控制器的軟件更新， 不同控制器的程序更新使用同一個軟件診斷刷新規范是提高OTA運行效率和降低OTA服務成本的必然選擇。 ISO 14229基于UDS診斷規范， 應用于多種數據鏈路網絡， 是目前廣泛應用的診斷協議標準， 國內主流電動客車用控制器如CATL的BMS、 主機廠自研的整車控制器以及匯川MCU基本都支持UDS的診斷刷新服務。

常見的ECU刷寫文件格式有： Hex、 s19、 bin等。 無論是哪種格式， 這些文件都會包含： 存儲地址、 數據、 校驗和 （checksum）、 記錄類型和記錄長度信息。 IS014229規范關于程序更新定義的幾項基本刷寫步驟是： ①請求例程控制； ②請求下載； ③數據傳輸； ④請求數據傳輸退出并驗證校驗。

2 客車端OTA相關的通信設計

客車電動化已成為一個明顯趨勢， 本章節以電動客車為研究對象， 以OTA需求為中心， 針對電動客車網絡通信從網絡拓撲、 網絡管理以及人機交互設置3方面重點進行分析。

目前主流電動客車的整車CAN網絡架構 （網絡拓撲、通信協議、 控制器CPU算力及存儲能力等） 相對于傳統燃油客車并未完成徹底轉型， 使得一些近年來在乘用車領域迅速推廣的智能技術未能在電動客車上得到切實應用， 如自動導航、 輔助駕駛和OTA等。 其中OTA技術的實施， 迫切需要客車網絡通信系統進行升級設計。

2.1 客車CAN網絡拓撲設計

2.1.1 當前客車車載網絡拓撲現狀

當前電動客車常見的CAN網絡拓撲是基于功能域進行設計， 即將功能關系較為緊密的控制器規劃在一個網段，整車網絡拓撲大多是VCU集成網關或設置中央網關控制器的多路通信拓撲。 這種網絡拓撲對于早期電動客車是相對可靠和實用的。

2.1.2 當前客車車載網絡拓撲不足

基于OTA的智能技術的實施和更高級的軟件刷新服務產生， 使得當前基于功能域設計的網絡拓撲逐漸暴露出短板， 如控制器節點多、 功能重疊， 造成軟件反復開發升級，硬件資源冗余或無拓展性。 一個臨時的策略是增加網段來安放新增的控制器， 例如增設底盤域來布置EPS和EPB。 但隨著整車配置和客戶需求的變化， 相應的VCU或網關控制器的程序便需要配合更新， 如果增加儀表周邊的智能化設備， 例如電子后視鏡和ADAS， 對程序的更新需求會迅速增加， 同時對硬件的需求也會更高， 控制器數量的增加還會導致CAN線長度逐漸接近限值。

2.1.3 融合域控制器的網絡拓撲設計

自動駕駛技術要求OTA服務更穩定流暢高效， 以便及時關閉軟件中的漏洞并實現更好的客戶體驗， 本著高效刷新的原則， 傳統零散的單一功能控制器會逐漸被高集成度的域控制器所取代， 同時自動駕駛技術要求不同域之間的通信更緊密， 比如底盤域和動力域， 動力域和車身域。NAVALE等指出駕駛輔助域和動力域也會因為通信的增多而逐漸融合， 相應功能的不斷豐富， 演變成為整車行駛控制域。

本文提出面向服務的軟件設計思想， 自上而下建立整車3級網絡拓撲， 加入域控制器 （PDC&BDC）， 車載高性能計算機 （HPC） 的角色， 同時結合客車的布置特征， 加入空間域的設計方法， 形成一種兼容性強、 靈活可靠的網絡拓撲。

如圖1所示， 車端選擇TBOX作為OTA升級的主控控制器，該控制器集成OTA升級的主控程序UC （Update Control），作為汽車端升級控制的主體與OTA平臺側進行數據通信，并控制整車其他控制器完成OTA升級活動。 TBOX對整車主要服務有： 本地ECU配置信息的采集和上報、 與OTA管理平臺交互獲得升級策略文件、 目標升級包的下載、 升級包安全性和完整性校驗、 按照升級策略文件逐個進行升級包分發和目標ECU升級流程的發起、 升級過程的記錄及上報、升級過程中與HMI的交互。

圖1 一種支持OTA的整車網絡拓撲

部分控制器的軟件包較大， 通過CAN通信傳輸時間較長， OTA數據傳輸介質需要考慮更高效的非CAN通道的數據傳輸方式， 如圖1 中人機交互界面的程序升級設計了LVDS的數據傳輸辦法。

2.2 整車網絡管理設計

2.2.1 OTA對整車網絡管理的需求

一般OTA要求其所服務的控制器統一支持基于UDS的診斷刷新協議， 要求整車進行OTA之前， 同網段ECU實現以下需求。

1） 接收UDS診斷服務指令， 實現應用層通信的關閉，包含但不限于關閉常規應用報文和網絡管理報文。

2） 接收UDS診斷服務指令， 停止或者恢復診斷故障代碼的檢測和記錄， 包含但不限于關閉常規應用報文和網絡管理報文。

2.2.2 非UDS控制器網絡管理的設計

客車生產設計往往存在客戶對部分電氣配置的指定，難以實現統一支持UDS協議， 為使支持UDS的控制器能夠穩定實施OTA服務， 需采取措施來避免非UDS協議的控制器在OTA過程中的通信沖突。 電動客車部分控制器的喚醒條件如下。

1） 整車上下電流程強關聯控制器： VCU、 BMS、 低壓配電盒等， 其喚醒條件一般有充電信號有效、 ON擋電有效。

2） 客戶指定件： 胎壓監測、 電子駐車等， 其喚醒條件一般是ON擋電有效。

3） 儀表總線模塊和公交調度系統一般要求ACC電即喚醒工作。

對于與整車上下電流程強關聯的非UDS控制器， 通過補充CAN通信協議建立UDS需求的OTA通信管制和DTC管制。 對于客戶指定的與整車上下電無關聯的一般電器件，可以統一由BCM對其電源進行邏輯控制實現UDS需求的通信管制和DTC管制， 該方案的實施需要控制器配合程序修改和BCM配電邏輯的定向開發。

2.2.3 預約升級場景下的網絡管理

預約升級場景中， TBOX需支持遠程喚醒功能， 在預約時間到時遠程喚醒TBOX并判斷車輛OTA前置條件均通過后， 啟動升級流程對目標控制器進行升級。 對于控制器不具備在整車OFF 擋時被喚醒刷寫升級的， 需TBOX喚醒BCM 并提供ON 擋電， 在ON 擋電狀態下完成刷寫升級。 升級過程中BCM 需限制車內大功率用電負荷如空調、 前照燈等， 避免24V 蓄電池電量消耗過快導致OTA服務中斷。

2.3 OTA升級人機交互

OTA人機交互界面是用戶執行OTA升級流程的操作入口， 通常將OTA的升級界面設計在整車HMI端。 升級界面的內容包含升級任務通知、 升級前置條件確認、 免責條款告知、 軟件下載、 確認安裝等主要流程。 整車端的OTA升級的交互流程如圖2所示， 圖2流程中， 確認下載和前置條件步驟需用戶手動確認， 其余為程序自動。 前置條件選項可能會需要用戶反復操作以確保整車按標準流程完成程序升級， 為避免用戶在確認升級后誤斷鑰匙電或一鍵下低壓電造成控制器升級異常， OTA模式下BCM模塊會強制整車ON擋電， 強制時間一般不超過30min， VCU會自動完成高壓回路的斷電處理， 期間如用戶因緊急情況需中斷升級可以通過整車總閘斷電處理， 后臺將記錄升級日志并及時向客戶反饋異常中斷原因并告知其系統風險。

圖2 OTA升級交互流程

3 結束語

OTA技術是客車智能網聯化的必經之路， 本文介紹了OTA實施的關鍵技術， 論述了一種電動客車OTA實現方案，并分析了電動客車實施OTA需要考慮的CAN通信技術， 為電動客車OTA系統設計提供了參考。