通过OTA更新确保汽车安全

安全领域，无论是主动的还是被动的，都比汽车行业的几乎任何其他领域都发展得更快，高级驾驶辅助系统（ADAS）的强劲增长以及所有主要原始设备制造商对自动驾驶的大量投资。

这些新功能具有一些共同特征：

- 他们使用多个传感器，利用各种技术来识别汽车周围的世界

- 他们为驾驶员控制车辆（包括制动、转向和加速）

- 他们使用复杂的算法来捕捉现实生活中学到的东西

这使得它们非常适合通过无线 （OTA） 更新进行更新，但是，今天安全领域通常不是 OTA 可更新的。

管理多个设备更新

ADAS功能通常需要将传感器与中央发动机控制单元（ECU）相结合的复杂系统来分析数据并做出决策，以及智能机电一体化以将其转化为行动。

这种复杂的设置将重点放在配置管理上。OEM 通常会在质量保证和测试上花费大量时间和资源，以确保多个设备的给定配置能够正常运行。

当需要OTA更新时，有必要保持系统配置的完全一致性。这意味着有必要从一个已知、经过测试和完全验证的状态移动到下一个状态。最终使用处于替代状态的各种设备的混合配置是不可接受的，因为这永远不会通过测试。

考虑一个具有两个摄像头和一个雷达的示例（图 1）。如果摄像头更新顺利，但雷达更新失败，则必须将整个ADAS子系统恢复到上一个已知、测试和验证的状态。

图 1：在使用 OTA 管道更新 ADAS 或安全系统域之前，必须确保多个设备之间依赖关系的完整性。

这是更新 ADAS 域的关键要求。必须有机制将多个设备和子系统的更新组合在一起，并将分组更新视为单个事务，即成功，或者如果不成功，则一起恢复到以前的状态。

更新策略控制

更新安全装置需要格外注意。例如，虽然地图可以在车辆行驶时更新，但在车辆行驶时更新制动ECU是不可接受的。在制动ECU的情况下，我们仅在车辆处于速度为0，发动机关闭且驻车制动器或变速箱锁定打开的状态时安装更新。这意味着 OEM 需要定义策略来设置启动更新的条件。..用于整车或单个设备。

策略创建可以是手动的，但是当生命受到威胁时，我们还需要在设备中内置一种机制来建立更新关键ECU的策略，以便ECU确保在开始更新之前满足绝对最少数量的先决条件。

这是使用代理概念的一个明确且令人信服的案例，其中安全相关的策略安装在ECU中，并始终如一地遵循该ECU的更新。..无论车辆型号或 OTA 管理员的培训或关注程度如何。

最后，安全域中的单个ECU可能不知道驾驶员与驾驶舱用户界面的交互。例如，驱动程序是否授予启动更新的权限？是否通知驾驶员刹车处于更新中，并且驾驶员此时不得启动汽车并开车？标准化通过提供一致的 API 来帮助车辆的 HMI 使用。

总体而言，全行业的标准化将有助于确保高效、安全地处理安全关键设备的 OTA 更新，而 eSync 等双向管道可提供所需的数据传输机制。

审核编辑：郭婷