無線更新(over-the-air update;OTA)意味著韌體和軟體的更新不再透過電纜進行,而是以無線技術完成。這可以利用各種無線電標準來實現,包括蜂巢式無線電和廣域網路(WLAN),也可以使用藍牙和NFC,例如在充電站。在汽車中,更新會影響引擎控制單元(ECU)和資訊娛樂系統,引擎控制單元的更新通常可修補安全性漏洞並提高性能,更新過的資訊娛樂系統則有助於提升舒適度和使用時個人化的程度。

隨著越來越多具有軟體密集型ECU的新款車輛進入市場,軟體維護的需求也隨之增加:根據美國國家公路交通安全管理局(NHTSA)的一項研究,2015年美國全部安全召回車輛中的15%是由於要修正軟體錯誤,移除車輛中的這種錯誤要比移除智慧型手機中的複雜得多。如果在車輛中檢測到與軟體相關的錯誤或嚴重漏洞,則需要在專業的維修廠中才能修補,因為維修廠是專業人員能夠透過電纜連線提供來自軟體供應商(通常是OEM)的更新服務的唯一場所,這不僅耗費時間、令人煩惱,而且對OEM來說,成本也相當昂貴。

20190410TA71P1

先決條件:聯網車輛

蜂巢式無線電設備是讓更智慧的車輛能夠啟用OTA更新的關鍵。在汽車中加裝蜂巢式無線電的一個重要里程碑是歐盟的eCall法規,它要求從2018年3月開始,歐盟的所有新車款都要配備「緊急呼叫功能」,此一特定的功能可在車輛發生事故時使用歐洲緊急呼叫號碼112,自動地呼叫緊急服務;不僅如此,它還可為車輛供應商提供利用OTA進行通訊的基本選擇,因為經由OTA介面,使用者可以在應用程式商店購買和啟動新功能和應用程式(如果硬體允許的話) ,因而可以省下成本和資金。

OTA更新的優勢非常廣泛:使用者不再需要到維修廠進行更新,便可以從最新的軟體和韌體及相關改進,以及不斷更新的地圖和新應用程式中獲益。供應商可以對車輛使用者和車輛配置的資訊有更多的瞭解,避免與軟體相關的召回成本,並確保他們的車輛更加安全。

轉移和分配

OTA方法的目的是取代以電纜進行傳輸的更新,這種電纜更新的方式必須在維修廠中完成,然而OTA方法則是以OEM的伺服器和車輛的遠端資訊處理單元之間的行動連接來完成更新的工作。但是,eCall系統不適用於此,因為它不能傳輸除緊急呼叫之外的資料,因此,車輛內不是需要單獨的SIM卡,就是必須利用智慧型手機作為熱點或以WLAN網路執行連接功能。 一旦建立起連接,作為閘道之用的OTA Manager就可以啟動更新流程。

不可或缺:安全性和安全保障

雖然具有許多優點,但OTA更新也有相當大的潛在風險。極為重要的是要保護資料包的安全傳輸;否則,其他人便可以獲得重要的車輛功能或資料。

因此,安全性和安全保障是OTA成功的關鍵因素。安全保障描述了傳輸路由的安全狀況,而安全性則指更新流程的安全實施。安全保障包括使用各種機制,如TLS(SSL傳輸)、HTTPS、使用者識別、VPN和E2EE等,來保護傳輸路由。如果這些路由沒有受到充分的保護,則可能發生中間人攻擊、電氣系統欺騙、智慧財產權竊取、暗中監視駕駛員甚至關閉或操縱車輛功能等事件。

儲存和執行更新通常與安全性相關。為了防止操縱軟體並確保資料的真實性和完整性,套裝軟體需要加密簽名,在硬體結構中,可以用硬體安全模組(HSM)來執行這項安全功能。

更新安裝過程不再煩人

在更新的時間和持續時間方面,還有幾點要記住。車輛的ECU只能在安全狀態下接收更新資料,即引擎在關機的狀態下。此外,用戶不希望在再次開車之前還要等待更新的流程。因此,更新的流程應盡可能方便且不被察覺,從而避免發生車輛停機時間過長的情況。

合適的解決方案包括引入冗餘記憶體系統,以儲存新的韌體和舊韌體的備份。如果更新流程不成功,仍然能夠維持車輛的功能。更進一步的措施是讓客戶在預定的時間進行規畫好的更新流程,而這通常是在晚上。

為了確保上傳的速度更快,資料封包的大小應盡可能地小。ECU和資訊娛樂系統之間的軟體大小差別很大:如果必須更換全部程式碼,可能會產生幾十億位元組的資料。不過,這個問題可以增量編碼(delta coding)壓縮資料包來解決,它只包含舊版本的更改,而不是全部軟體程式碼,這可將資料量減少到只有數百個百萬位元組。

20190410TA71P2

業者提供的合適解決方案

儒卓力現已可提供一系列解決方案來實現車輛的OTA更新,包括蜂巢式無線電模組(藍牙、NFC、3G、4G和Wi-Fi)。此外,還提供帶有整合式HSM的安全微控制器產品,包括英飛凌(Infineon)的AURIX系列和意法半導體(STMicroelectronics)的SPC58系列,以及這兩家供應商用於蜂巢網路存取的安全晶片和晶片產品。

從軟體角度來看,儒卓力還為其客戶提供了基於雲端的管理軟體Telit IoT Portal等解決方案,該方案是針對要將軟體分發給大量客戶的需求所特別設計的管理軟體。此一平台可以為不同的目的和供應商「打上品牌」,並讓個性化的訊息傳送給客戶。

當使用「地理圍欄(Geofence) 」功能時,可將軟體傳輸限制在某一區域,並且還提供軟體推出時的正常限制和典型的交錯(stagger)功能。