基于商用车远程数据升级（FOTA）的技术研究

张新宇 吴磊 郭晓轩 胡必谦 李杰 张焕岩 刘宏君 佘武45

摘要：本文以商用车远程排放监控技术为基础，详细介绍了基于商用车远程数据升级（FOTA）技术方案，包括：FOTA系统架构、发动机控制器（ECU）新特性、TBOX新特性和远程数据升级现实意义等内容。

关键词：远程数据升级，FOTA，ECU，TBOX

Abstract ：Based on the remote emission monitoring technology of commercial vehicles，this paper introduces in detail the technical scheme of firmware Over-The-Air （FOTA）based on commercial vehicles，including FOTA system architecture，new characteristics of engine controller （ECU），new characteristics of TBOX and the practical significance of FOTA

Key words：remote data upgrade，FOTA，ECU，TBOX

引言

2021年7月1日GB17691-2018 《重型柴油车污染物排放限值及测量方法（中国第六阶段）》的正式实施，其中要求每台商用车都必须通过车载排放终端（TBOX）将车辆排放数据、故障码和各类运行参数等数据上传到国家大数据平台（GB17691-2018附录Q中要求），或者先将数据上传到企业平台后再上传到国家平台，如图1所示。

目前大部分主机厂的企业平台在满足国家平台的数据监管要求后，会采用大数据分析算法来对数据进行深度分析和挖掘，发现车辆的各类质量问题和潜在失效的风险项。虽然车辆在开发过程中会进行各种极端环境下的可靠性、耐久性、驾驶性等诸多试验，但车辆在交付给终端用户后的实际使用的工况远比试验开发时遇到的要复杂的多，存在诸多整车开发阶段无法预知的质量问题和风险。

在解决质量问题和风险的过程中，难免会对发动机控制器（ECU）进行数据升级。目前ECU的数据升级方式一般是售后服务人员通过诊断仪进行手动数据升级。而面对大批量的市场在用车的数据升级，售后服务的工作量无疑巨大。如果商用车具备FOTA（远程数据升级）技术，则用户可以进行自主主动数据升级或者后台被动升级，不仅能够提升数据升级服务效率，而且能快速响应用户需求，提升用户体验。

本文就FOTA系统在商用车方面的创新技术进行论述，包括FOTA系统架构、和ECU、TBOX的新特性。

1 FOTA系统架构

目前商用车上的车载排放监控终端（TBOX）能够同时与云端服务器和ECU进行数据通信（如图2所示），是进行FOTA升级开发最为合适的载体。整个FOTA系统即为基于当前远程排放监控系统的基础上的创新设计。

FOTA系统的架构如图3所示。根据法规要求、市场问题统计和用户需求，研发设计人员进行制作相应的ECU数据升级文件。并将此文件提交给系统FOTA系统管理员，管理员将此数据和升级指令部署到云服务器平台。

之后云服务器将ECU数据发送需要升级车辆的TBOX，最终由TBOX完成ECU数据的升级操纵。

为保证ECU数据升级的安全和可靠性，数据升级前需要用户确认和车辆状态确认，在用户允许、车辆状态满足要求的前提条件下进行数据升级。如图4所示。

2 ECU新特性

为确保ECU数据升级的合规性、安全性和可靠性，ECU全新开发了A/B分区和EOL分层的新特性。

2.1 A/B分区设计

ECU内部memory采用A/B两个分区，两个分区为并列的关系，无任何交互的信息。如图5所示。在无数据升级的情况下，车辆默认使用ECU内的A分区数据。当车辆需要进行数据升级时，TBOX会先将数据传输至ECU内的B分区中。

当车辆停机后，ECU检测到B分区内有新数据时，此时ECU会切换到优先使用B分区内的数据，若ECU使用B分区内的数据在连续多个驾驶循环无异常和报错，则ECU会在车辆下一次停机后将B分区内的数据覆盖掉原A分区的数据。同时将B分区的数据擦除。ECU恢复到默认使用A分区数据状态。

若ECU在使用B分区中的数据过程中出现异常、报错和无法起动等问题，经过用户确认ECU可继续使用原A分区数据，同时将B分区中数据擦除。

2.2 EOL分层设计

根据国六阶段排放法规要求国家监管部门会对ECU的版本状态进行监管，任何数据升级都需要在国家监管平台进行备案，同时ECU内部会对ECU数据进行CVN计算，依据ECU的CVN码来确保数据的唯一性。因此，为了满足用户的自定义需求，ECU将A与B分区都分成多个数据层，包括启动层（startup block）、应用层（application block）、排放数据层（dataset block）和用户自定义层（user block）。其中用户自定义层被设置为不影响法规、安全和排放的数据层，可以不参与CVN计算。如图6所示。

用户自定义层允许用户对整车功能如（巡航、排辅、电加热等）和动力性、经济性进行选择、设置和自适应调整。能够满足不同用户的需求，提升用户满意度。

3  TBOX 新特性

TBOX作为FOTA系统的核心部件，承担着数云服务器与车辆数据交互的重任。为满足FOTA功能要求，对TBOX进行了重新设计，提升了功能安全能力、增加异常上报能力和收集用户自定义需求的能力。

3.1  功能安全

TBOX要具备防止黑客入侵、防止数据被篡改和丢失的能力。其中车载终端存储、传输数据应该是加密的，应采用非对称加密算法，可使用国密SM2算法或者RSA算法，并且需要采用硬件方式对私钥进行严格保护。

基于上述安全要求，TBOX需内置安全芯片，能够通过硬件方式对私钥进行保护和对传输数据进行监控，其监控流程如图7所示。

同时数据传输过程应当对数据进行扫描，即使发现恶意的数据及攻击行为，安全检测应当检出95%以上的攻击，误报率小于1%，在攻击开始后10s内发现并启动保护措施。TBOX基于安全芯片对于云服务器平台发送的指令进行实时监控，如发现异常则终止响应平台，并且TBOX会进入锁定状态。此状态下TBOX仅保留数据上传的功能，不进行任何ECU数据刷写和其他操作，直到平台提供正确的解锁指令。

3.2  异常主动上报

TBOX持续监控ECU数据升级过程，主动上报数据升级过程，在发现车辆异常时（如数据中断、车辆异常断电等）向云服务器平台和用户报警。

企业云服务器在收到报警和故障信息后，会通知企业客服人员（400）和附近4s店关注异常车辆以便第一时间进行现场处理。同时TBOX通过中控台提醒用户采取正确的处置方法。如图8所示。

3.3 用户自定义需求

TBOX能够收集用户通过中控台反馈的自定义需求，并反馈到企业云服务器，由FOTA系统管理员提交给企业研发设计模块进行评估和开发设计。

4  结论

随着汽车技术的不断升级，越来越多的商用车装配了TBOX，开发商用车远程数据升级技术（FOTA）具有十分重要的战略意义，不仅能够快速、有效的进行市场问题处理，提升产品品质，而且能够满足用户的定制化需求，提升用户体验和满意度。

本文對商用车FOTA技术的应用、FOTA系统架构、ECU新特性、和TBOX新特性等方面进行介绍，并对其创新设计点和能够解决的实际问题进行了说明。

随着汽车行业的数字化转型的不断推进，商用车FOTA技术将会进行不断的升级和拓展。

参考文献

[1]重型柴油车污染物排放限值及测量方法（中国第六阶段）GB17691-2018