OTA是一种工具而非某项特定的技术,远程,多用户通过网络发送数据并更改接收设备特性的一种工具。常见的OTA有软件OTA,即SOTA,固件OTA,即FOTA,数据OTA,即DOTA。配置OTA,即COTA。OTA不是万能的,它是汽车电子软件化逼出来的,为了快速上市新车型,大家不得不拼命压缩软件开发时间,这样软件难免有漏洞或bug,OTA使用越频繁证明其软件的成熟度越低。
OTA最早起源于1999年,当年成立的Red Bend是最早致力于OTA的公司。2003年,西门子和索尼爱立信与Red Bend签署了合作协议,采用了vCurrent™ Mobile OTA软件升级技术。这样他们就可以创建极小的升级包,能快速地将其发送,并可靠地安装到其手机中。这样做,不仅节省了升级的时间,还大大降低花费在固件维修上的高额开销。第二,由于在更新的过程中,会有很多下载的数据需要处理,所以倘若下载等待时间和持续下载这两点不能保证,则可能给手机用户的使用造成了麻烦。而Red Bend公司的软件解决了这样的问题,比如Red Bend软件包非常小,这使得客户用手机下载、更新的过程非常快,大大节约了下载时间,同时,也减少了手机被占用的时间,做到及时通话;即使遇到了手机更新到一半,电池却没电的情况,用户只要在重新接电后,软件依然可以进行断点续传,继续更新,而不用去找运营商或者制造商,用户自己就可以解决。软件更新升级的操作方便简洁,只要按照界面显示的“下载”或“更新”等文字提示,便可在几分钟之内完成整个过程。
2004年底在欧洲,此种类型的手机已经面世,西门子推出了安装有FOTA系统软件的第一款手机(S65),RedBend公司的软件兼容性也相当不错,由于曾和很多软件厂商都有过合作,并集成了不同软件产品的优势,所以RedBend的产品在同一个界面上能和不同手机里的各种软件和应用程序进行兼容。在安全性方面,由于手机属于个人用品,因此对私密性具有很高的要求,尤其是强调隐私的欧洲,Red Bend都解决了这些问题。到今天Red Bend依然是全球最大的手机FOTA软件方案商,几乎垄断安卓市场。尽管在手机领域已经做到全球市场占有率75%,但Red Bend依然面临人力成本高,业绩不尽人意的窘境,于是在2015年3月Red Bend卖身给全球最大的汽车Infotainment厂家哈曼,变身为哈曼的Connected Services事业部,哈曼2016年收入大约70亿美元,Connected Services事业部在2016年贡献了大约13亿美元的收入,然而营业利润却很差,2016年3季度营业利润率仅3%,哈曼的其他事业营业利润率均远高于Connected Services事业部。而哈曼则在2016年12月被三星以80亿美元收购。
OTA在多年前就引起了人们的关注,但很少有人会考虑镜像更新,因为即使是很小的客户端footprint变化都需要一个很大的OTA文件,这大大增加了带宽成本和更新时间。除此之外,大量连网设备都有Flash和RAM受限的问题,如汽车中的电子控制单元。为了更好解决这些难题,当前最成熟也是最普遍的解决方案是使用差分包(delta)升级方案。用差分包升级时只会生成新旧两个版本间的差异部分。根据第三方供应商的检测,RedBend的差分包文件比全镜像文件小97%,并且只需全镜像文件升级8%的时间就能完成全部更新。
所谓OTA供应商只是提供固件升级生成器和固件升级加载器。
FOTA系统有三大主要组成部分,其一是更新产生程序,用以识别当前版本固件与要升级的版本固件间的本质变化,并针对这些改变创建非常紧凑的压缩升级文件,我们称之为差分包。更新产生程序为设备镜像及其文件系统创建的差分包,通常储存了图像、声音、配置数据、设置、设计主题、图标、菜单、系统状况以及影响设备外观、配置及品牌的各种信息。
差分包一旦创建完成,文件就会通过通信协议发送到设备。后台软件管理中心利用通信协议帮助服务提供商(运营商或设备制造商)集中管理固件、应用和无线移动设备。OMADM(Open Mobile Alliance Device Management),即开放移动联盟设备管理标准是软件管理中心与OMADM客户端进行通讯的一种通用协议。作为标准的一部分,这种为移动通讯进行过优化的协议能为软件升级过程提供方方面面的管理能力,包括重要的安全功能和设备服务开通(bootstrap)功能。设备在成功接收到差分包后通过FOTA更新安装程序进行安装。该安装软件已存在于移动设备中,用于执行更新安装。针对移动设备有限可用的内存进行优化后,差分包可以在设备固件原先的位置准确、可靠地升级。在连网设备上,升级主要针对单片的固件镜像和RTOS(实时操作系统),在智能手机上,升级则是针对只读文件系统和HLOS(高级操作系统)。
做什么事都离不开标准,Red Bend的背后则是OMA,开放移动联盟,OMA定义了标准,OMA大约有220名会员,包括绝大多数运营商和手机商以及汽车Infotainment厂家。OMA最初由WAP论坛(WAPFORUM)和开放式移动体系结构(OPEN MOBILE ARCHITECTURE) 两个标准化组织通过合并而成。随后,区域互用性论坛(LIF), SYNCML,MMS互用性研究组(MMS-IOP)和无线协会(WIRELESS VILLAGE), 这些致力于推进移动业务规范工作的组织又相继加入OMA。所谓OTA标准实际可看做是OMA下属的一个DM协议,OMA DM(Device Manage)是OMA组织定义的一套专门用于移动与无线网络的管理协议,是OMA的一个分支。
OMA DM通过给设备设置相关参数对设备进行配置、诊断等等,这些参数通过树型结构组织在一起称作设备管理树(DEVICE MANAGEMENT TREE)。
DM包括一系列标准,如DMAcc(服务器账号)、DevInfo(终端信息)、DevDetail(终端详细信息)等以及正在标准化的管理对象,如SCOMO(软件组件管理对象)、FUMO(固件更新管理对象)、ConnMO(连接参数管理对象)等。对终端上管理对象的管理操作包括Get(获取)、Replace(修改)、Exec(执行)、Delete(删除)、Copy(复制)等。OMA DM是由OMA DM工作组和DS(Data Synchronization)工作组共同制定的终端管理协议。也是绝大部分车厂不得不接受的标准,因为要做OTA,那么移动通信运营商肯定是无法绕开的,而运营商已经用了超过10年的OMA DM标准。目前的DM是1.2版本,已经沿用了数年。Red Bend是OMA发起人之一,其所谓汽车领域的FOTA,就是FUMO的延伸。目前OTA使用最频繁的汽车客户是特斯拉,其使用的正是Red Bend的方案。一些企业总想颠覆,弯道超车,殊不知,标准早就定了,弯道超车十有八九会翻车。
汽车领域的OTA和手机领域的OTA相比,除了对安全要求更高外大同小异。汽车通常需要T-BOX接收来自运营商的OTA数据,通过网关分发给ECU。当然网关不是必须的,你也可以让数据直接与ECU接触,不过这样安全性和灵活度很难控制,一般来说建议使用网关。NXP有针对此项需求开发的MCU,也就是MPC5748G,这款微控制器利用Power Architecture技术,搭载了3个e200核心处理器,信号转换频率达160兆赫兹(MHz),能够在集成了车身控制模块(BCM)/网关的综合系统中实现明确的任务分工。MPC5748G微控制器通过以太网音频视频桥接;FlexRay车载网络;多媒体局部总线(MLB);USB;提供多样化的网关连接。
OTA过程当中最关键的就是安全控制,围绕这个领域,有不少初创公司。德国大陆集团刚刚花4亿美元收购的Argus Cyber Security就特别擅长OTA领域的安全控制问题,其他厂家还有英特尔旗下的Arynga,QNX旗下的Certicom,博世旗下的Escrypt,还有2017年1月被德尔福收购的Movimento。Argus Cyber Security和英飞凌大陆集团旗下子公司Elektrobit一直长期合作。由Argus开发的入侵侦测预防系统(IDPS),可专门侦测异常讯息,即时防止讯息透过车内网路传播。IDPS为一套高效能、低延迟且体积小巧的系统,使用具内容感知的探索式学习演算法,具有最适化的侦测率的独立式解决方案。辅以Argus Lifespan Pro-tection远端云平台,为汽车制造商提供状况感知功能,透过云端型直觉化仪表板得知车辆的网路健康状态,同时还能分析攻击并采取预防措施。英飞凌的AURIX微控制器将成为车辆中央网关中的关键元件,其负责控制程序,还有处理监控与安全防护工作。在安全相关系统中,此一微控制器用于支援安全通讯协定及硬体中必备的安全功能。其内建的硬体安全模组(HSM)可保护车内的软体和资料通讯,以维持最高的安全等级, 表示可用来保护关键汽车功能免于各种攻击状况;还可透过缆线或射频介面连接汽车网路,可有效抵御尝试渗透车载系统的骇客。
显然,目前主流OTA技术来自手机,它不是为汽车设计的,同时市场也被几个老牌的OMA会员占据了,Red Bend占据了70%左右的市场,其次是英特尔旗下风河子公司Arynga和被德尔福收购的Movimento。美国和中国企业习惯于拿来主义,日本企业就不一样,日本企业为了对抗OMA DM标准,另起炉灶,针对汽车和OMA DM的缺点,提出了OTA PLUS。同时为了扩大影响力,OTA PLUS也加入了德国汽车工业协会,Genivi协会和AGL(汽车级Linux)协会,并且是开源的。OTA PLUS具体由德国ATS运营,它认为OMA DM标准是一个客户服务器协议,是针对手机开发的,在客户侧或者说加载器侧没有一个统一的界面标准,在厂家一侧也没有一个统一的界面标准,只是空中数据格式有标准。针对这些缺点,OTA PLUS提出了自己的标准,当然GENIVI和AGL不会白赞助的,OTA PLUS集成在AGL或GENIVI平台中,目前已经有一款捷豹路虎使用这种标准。
上图是支持OTA PLUS的企业,日本企业居多,同时丰田和瑞萨是AGL发起人之一,也是OTA PLUS的支持者。
上图为OTA PLUS的车辆端框架。
上图为OTA PLUS使用的OS树结构,对硬件要求中等,比较灵活,特别是对Rollback的支持。
上图为OTA PLUS的安全机制,采用在线密钥和离线密钥,简单可靠。
对OTA PLUS来说,挑战OMADM最大的难点在运营商,运营商针对手机的OMA DM标准已经存在超过10年,没有动力去改变。日本本土的运营商可能会支持 OTA PLUS,而中国或美国的运营商不大可能支持OTA PLUS。欧洲运营有可能支持,欧洲不太愿意追随美国人。
利用运营商移动网络来OTA也有不少缺点,比如在非洲或人烟稀少地区,依靠移动网络是不靠谱的,未来OTA可能用卫星或其他空中传递方式。德国大陆已经在2017年的CES上展示了此项技术, 大陆集团正在与手机卫星通讯公司——海事卫星(Inmarsat)开展合作,旨在借助卫星通讯实现空中下载升级服务,该技术目前尚在研发中。在采用海事卫星旗下的全球卫星网络后,大陆将为其客户提供车辆的远程升级服务,不论身处何地,均可轻松运行全球升级服务,无需再同时应对多家不同的手机网络运营商,大幅降低了操作的复杂性。海事卫星负责运营多个地球同步卫星网(geostationary satellite constellation),有助于实现全球车辆的空中下载升级服务,且服务速度快、响应及时、效率高。
佐思产业研究院建议:中国可以考虑规划和推广以天通系统为基础的OTA升级技术。