Un article parle du schéma de conception associé du système de conduite intelligente et de la mise à niveau logicielle

En raison de la tendance à la centralisation des voitures intelligentes, la connexion réseau a été mise à niveau du réseau Can traditionnel à faible bande passante vers un processus de mise à niveau basé sur un réseau Ethernet à large bande passante. Afin d'améliorer les capacités de mise à niveau des véhicules et de fournir aux propriétaires de voitures une expérience et des services continus et de haute qualité, il est nécessaire de s'appuyer sur la base du système existant (de la mise à niveau initiale de l'ECU traditionnel du véhicule au processus de mise à niveau Ethernet incrémentielle). ) Développer un nouveau système de service OTA compatible avec les systèmes OTA existants pour obtenir des capacités de mise à niveau OTA pour les logiciels, les micrologiciels et les services du véhicule, améliorant ainsi à terme l'expérience utilisateur et l'expérience de service. La mise à niveau du logiciel touche deux domaines principaux : FOTA/SOTA. , contrôle du corps, etc. Le micrologiciel est mis à niveau. Le package de mise à niveau OTA du véhicule est composé de packages de mise à niveau qui peuvent mettre à niveau l'ECU dans l'objet de mise à niveau. Pour les types d'OTA de véhicules, ils sont principalement divisés en deux catégories, FOTA (Firmware-over-the-air) et SOTA (Software-over-the-air). Tous deux sont des domaines sur lesquels les constructeurs se concentrent et qu'ils peuvent progressivement mettre en œuvre. adapté aux besoins de l’OTA dans différents scénarios.

FOTA (également connue sous le nom de technologie de mise à niveau logicielle en direct du terminal mobile) réalise une mise à niveau et une mise à jour complètes des fonctions du système en téléchargeant et en installant une image complète du micrologiciel sur le contrôleur du véhicule. FOTA implique une mise à jour systématique complète des fonctions principales des stratégies associées du contrôleur, ce qui a un plus grand impact sur les performances du véhicule. Le processus de mise à niveau comporte des exigences extrêmement élevées en matière de timing, de stabilité et de sécurité. incluent le rapport de vitesse, la puissance et la vitesse du véhicule ainsi que d'autres exigences, le processus de mise à niveau ne prend généralement pas en charge les véhicules à allumage.

FOTA réalise une mise à niveau et une mise à jour complètes des fonctions du système en téléchargeant et en installant une image complète du micrologiciel pour le contrôleur du véhicule. Par exemple, la mise à niveau du système de conduite intelligente du véhicule permet aux conducteurs de bénéficier de plus en plus de fonctions de conduite auxiliaires ; la mise à niveau du système de cockpit du véhicule pour améliorer la précision de la détection de la fatigue du conducteur ; la mise à niveau du système de freinage du véhicule pour améliorer les performances de freinage du véhicule ;

SOTA peut en fait être considéré comme l'exigence essentielle d'une stratégie de vente de logiciels. Il implémente une mise à jour « incrémentielle » de la fonction du contrôleur en installant un « package incrémentiel » sur le contrôleur du véhicule. Il est généralement utilisé dans les systèmes de divertissement. et des systèmes de conduite intelligents. Par exemple, lors du changement de l'interface d'exploitation du système multimédia, de l'optimisation du style d'affichage du tableau de bord et de la mise à jour du programme cartographique dans la console de divertissement, des méthodes de mise à niveau SOTA sont utilisées. SOTA implique une mise à jour partielle à petite échelle des fonctions au niveau de la couche application du contrôleur, ce qui a peu d'impact sur les performances du véhicule et nécessite de faibles conditions préalables de mise à niveau. La stratégie de mise à jour incrémentielle de SOTA peut réduire considérablement la taille du fichier du package de mise à niveau, économisant ainsi le trafic réseau et l'espace de stockage.

Nous donnons ici des exemples pour illustrer comment FOTA et SOTA peuvent être définis efficacement dans les mises à niveau de conduite intelligente.

Par exemple, la mise à niveau d'un système de conduite intelligente pour voiture, afin de permettre aux conducteurs de profiter de plus en plus de fonctions de conduite assistée ; la mise à jour continue et l'itération des fonctions par étapes (y compris des fonctions de bas niveau aux mises à jour logicielles avec des fonctionnalités avancées) . Dans le même temps, le système de cockpit du véhicule doit être mis à niveau au cours du processus pour améliorer la précision de la détection de la fatigue du conducteur ; les sous-systèmes associés des véhicules à conduite intelligente (tels que le freinage, le système de direction et d'autres modules) doivent être mis à niveau pour améliorer la performances de freinage du véhicule.

Architecture de mise à niveau logicielle dans le système de conduite intelligente

Pour l'ensemble de la mise à niveau OTA, elle comprend principalement les trois aspects suivants de bas en haut : l'objet de mise à niveau, le gestionnaire OTA et la plate-forme de service cloud OTA. Le contrôleur de domaine de conduite autonome et le contrôleur de domaine du cockpit sont connectés via Ethernet, et le protocole de mise à niveau est généralement le DoIP couramment utilisé. En plus du contrôleur de domaine lui-même, le processus de mise à niveau comprend également des mises à niveau de modules de positionnement de haute précision et des mises à niveau de capteurs. Pour les caméras connectées par Ethernet, le processus de mise à niveau s'effectue principalement via l'ensemble du programme intégré installé sur le contrôleur de domaine principal. En d’autres termes, pour les capteurs de caméra purs, il n’existe pas de processus de mise à niveau de programme distinct. Pour le radar à ondes millimétriques/ultrasons équipé de CANFD, puisqu'il dispose de son propre contrôleur, le processus de mise à niveau implique principalement la connexion au contrôleur via CANFD. Le contrôle de domaine est connecté au CAN public via CANFD, et le domaine du cockpit est responsable du clignotement. le contrôle de domaine CANFD. L'émetteur transmet le message à chaque contrôleur radar.

Comme le montre la figure ci-dessus, la plate-forme de services cloud OTA gère et fournit principalement des packages de mise à niveau OTA, et complète la configuration, la planification et le suivi des tâches de mise à niveau. Le gestionnaire OTA effectue principalement le téléchargement, le déchiffrement, la vérification de signature, la reconstruction différentielle du package et d'autres fonctions du package de mise à niveau, et envoie enfin le package de mise à niveau à l'objet de mise à niveau correspondant. L'objet de mise à niveau est composé d'un ou plusieurs ECU. Une fois que l'objet de mise à niveau a reçu le package de mise à niveau, il envoie le package de mise à niveau ECU correspondant à l'ECU correspondant, et l'ECU termine le clignotement du package de mise à niveau.

Principe du processus de mise à niveau dans le système de conduite intelligente

La méthode de mise à niveau actuelle est principalement une mise à niveau silencieuse. Cela inclut des mises à niveau sensées en mode normal et des mises à niveau inconscientes en modes anormaux. Le mode normal est en fait en mode usine. Une fois que le multimédia reçoit la commande de mise à niveau, il télécharge le package de mise à niveau et effectue des mises à niveau automatisées du véhicule si les conditions de mise à niveau sont remplies. Pendant le processus de mise à niveau, si après avoir reçu le signal de déverrouillage/ouverture de la porte/appui sur le bouton de démarrage/déverrouillage du service cloud, l'écran du véhicule n'affichera pas la mise à niveau OTA et le véhicule sera dans un état silencieux pendant la mise à niveau régulière. processus.

Effectuez une mise à niveau silencieuse en mode non usine et effectuez une mise à niveau sans que l'utilisateur en soit conscient en tant que solution réservée. En raison des restrictions imposées par les lois nationales en vigueur, la mise en œuvre de cette solution nécessite que tous les modules de conduite intelligente répondent à la stratégie de mise à niveau des cloisons bilatérales. La distinction bilatérale fait ici référence au processus de mise à niveau double face A/B. Autrement dit, deux espaces de stockage A/B sont ouverts pour le SOC dans le contrôleur de domaine. Chaque espace de stockage est installé avec un système. Lorsqu'un système est en utilisation active, l'autre système sera en état de veille. Lors de la mise à niveau du système, vous pouvez mettre à niveau le système de secours dans le système activé. Une fois la mise à niveau terminée, redémarrez et passez au système nouvellement mis à niveau. Par conséquent, le processus de mise à niveau dans le SOC de Smart Driving Domain Control peut être décrit comme lorsque la zone d'exploitation est la zone A, puis mettre à niveau la zone B. Une fois la mise à niveau terminée, redémarrez à partir de la zone B. Après le démarrage, synchronisez la zone B avec la zone A. au moment opportun. Et lorsque la mise à niveau du SOC échoue, la conduite activée n'est pas autorisée.

De plus, pour le flashage du MCU dans le contrôle de domaine, il est préférable d'utiliser le mécanisme double APP. Autrement dit, le MCU adopte une méthode de déploiement de chargeur de démarrage à zone unique + application à double zone, et le chargeur de démarrage n'a généralement pas besoin d'être mis à niveau. Par conséquent, le processus de mise à niveau du MCU ne doit être effectué que sur les applications déployées dans deux zones.

Pendant tout le processus de mise à niveau, vous devez effectuer les tâches suivantes pendant le processus de mise à niveau :

1) Jugement des conditions préalables à la mise à niveau :

Obtenez le véhicule via des réseaux embarqués tels que comme Ethernet et CAN. La vérification de l'état actuel, personnalisée en fonction des besoins réels du projet, comprend, sans toutefois s'y limiter, la puissance de la batterie, le régime moteur, la vitesse du véhicule, l'équipement du véhicule, l'état du frein à main, l'état du capteur de siège, l'état de la porte, l'état du verrouillage, etc. Avant le début de la mise à niveau, le contrôleur de domaine du cockpit doit vérifier l'état du véhicule mis à niveau, puis poursuivre les actions suivantes. Les éléments de vérification de son état actuel incluent : l'espace de stockage interne restant du module, la version matérielle du module, la version du micrologiciel du module et la version du logiciel du module. Normalement, lors du processus de mise à niveau, il est nécessaire de déterminer si le véhicule est à l'arrêt, si la vitesse est en vitesse P et si la puissance SOC du contrôleur de domaine est supérieure à un certain seuil. Dans des circonstances appropriées, la mise à niveau programmée ou les instructions de mise à niveau immédiate apparaîtront sur l'écran de l'interface de commande centrale/de l'ordinateur d'inspection électrique. Deux situations peuvent déclencher la mise à niveau : l'autotest de mise sous tension et de mise hors tension et le déclenchement initié par l'utilisateur. La condition de mise à niveau est déclenchée. Si le déclencheur réussit, passez à l'étape suivante. Sinon, quittez le processus de mise à niveau.

2) Téléchargez le package de mise à niveau :

Dans le processus de fourniture de la stratégie de mise à niveau du cloud et du package de mise à niveau, le cloud doit détecter si le numéro de version a été mis à jour et le serveur de mise à niveau OTA fournit le package de stratégie de mise à niveau vers le contrôleur de domaine du cockpit. Les utilisateurs ne seront pas au courant de ce processus. Le contrôleur de domaine du cockpit prend en charge les méthodes de mise à niveau Flash conventionnelles, DoIP et CAN Flash.

Flashage logiciel basé sur le protocole CAN

Le processus de flashage CAN est en fait un processus de programmation basé sur des spécifications (les spécifications sont principalement basées sur la norme ISO 14229). Au cours du processus de programmation, vous devez spécifier les types d'étapes suivants pour un adressage et un accès efficaces aux services :

Les étapes standard sont des étapes obligatoires qui obligent les clients et les serveurs à agir conformément à la réglementation en toutes circonstances. Les étapes recommandées sont facultatives, nécessitent l'utilisation d'un identifiant de service de diagnostic spécifique et contiennent des recommandations sur la manière d'effectuer des actions. Cette alternative nécessite uniquement que le client et le serveur se comportent comme spécifié lors de l'utilisation de la fonctionnalité spécifiée. Étape de mise en œuvre OEM : son utilisation et son contenu (par exemple, les identifiants de service de diagnostic utilisés) sont à la discrétion du constructeur automobile et peuvent bien entendu constituer une étape facultative.

Le flashage du logiciel CAN est principalement divisé en trois étapes : l'étape de pré-programmation, l'étape de programmation et l'étape finale. Les processus métier correspondants requis à chaque étape sont présentés dans la figure ci-dessous :

Explication détaillée du flashage logiciel basé sur le protocole DoIP

DoIP (Diagnostic communication over Internet Protocol) en tant que diagnostic basé sur Ethernet véhicule, existant principalement dans la couche transport du modèle OSI à sept couches, DoIP est un protocole de transport permettant de transmettre des données de diagnostic UDS sur un réseau Ethernet. DoIP a une bande passante élevée et convient aux scénarios dans lesquels de grandes quantités de données sont transmises, ce qui le rend très approprié pour les mises à niveau logicielles OTA dans les véhicules. Par rapport à CAN, DoIP optimise principalement la transmission des données et améliore la vitesse au niveau de la couche physique et de la couche de transport. Dans la couche application et les liaisons de services de diagnostic, la mise en œuvre de CAN et DoIP est basée sur le protocole 14229. Dans la partie base de données ODX, à l'exception de l'ajout des paramètres de communication du protocole DoIP et des contrôleurs associés, aucun ajustement supplémentaire n'est généralement requis, ce qui permet d'économiser considérablement du temps et des coûts de développement des données de diagnostic.

Le flashage de fichiers DoIP comprend principalement le flashage DoIP sans contrôleur de système de fichiers et le flashage DoIP avec contrôleur de système de fichiers. Pour le flashage sans contrôleur de système de fichiers, le schéma global est similaire au schéma de flashage du nœud CAN. L'hôte multimédia transmet par adresse et le contrôleur écrit par adresse. Pour les contrôleurs dotés d'un système de fichiers, l'hôte multimédia n'a besoin que de transférer le package de mise à niveau vers le contrôleur (il doit bien sûr pouvoir prendre en charge la reprise du point d'arrêt pendant le processus), et il n'y a aucune autre exigence.

Les méthodes de connexion de diagnostic DoIP actuellement couramment utilisées sont divisées en deux types : l'une est la forme de connexion directe du câble Ethernet : dans le cas de l'ensemble du véhicule, un câble OBD-Ethernet est réalisé pour une connexion directe ; Compatible avec la communication CAN/CAN FD, et pour répondre aux besoins de production et après-vente, grâce à l'utilisation de la fonction d'activation Ethernet intégrée par VCI de diagnostic pour réaliser la communication DoIP. Une fois la base de données créée, le processus de clignotement du véhicule peut être réalisé à l'aide des outils de diagnostic pertinents.

Après avoir reçu la commande de mise à niveau automatique du mode usine du véhicule émise par le serveur, le contrôle de domaine du cockpit demande au serveur de télécharger automatiquement le package de mise à niveau lorsque les conditions de mise à niveau sont remplies, et met automatiquement à niveau le véhicule, prenant en charge le téléchargement de la reprise du point d'arrêt, terminé Vérification, gestion de l'espace de stockage et autres fonctions.

3) Commentaires sur l'état de mise à niveau du contrôleur de domaine Smart Driving :

Le contrôleur de domaine Smart Driving transmet les informations du contrôleur de domaine au contrôleur de domaine du cockpit pour compléter le jugement des conditions préalables à la mise à niveau. Ce n'est que lorsque les conditions sont remplies que vous pouvez entrer. Mise à niveau OTA, les informations de mise à niveau doivent être téléchargées sur le serveur OTA. Ce type d'informations comprend le numéro de version du logiciel/matériel, le numéro de série (SN), les informations de positionnement (GPS), etc. de chaque module du contrôleur de domaine.

4) Effectuer des tâches de mise à niveau :

Le contrôleur de domaine du cockpit effectuera des mises à niveau OTA en fonction du package de mise à niveau, de la stratégie de mise à niveau et d'autres informations émises par le serveur. Si une mise à niveau conjointe et le clignotement de plusieurs ECU sont requis en même temps, il est nécessaire d'envoyer des informations d'interaction de mise à niveau point à point au contrôleur correspondant conformément à la séquence de tâches de mise à niveau émise afin de terminer la tâche de mise à niveau correspondante.

5) Mise à niveau continue du point d'arrêt :

La mise à niveau continue du point d'arrêt fait référence à la gestion basée sur la machine d'état. Pendant le processus de mise à niveau, les fichiers ou les périphériques bloqués actuellement mis à niveau sont sauvegardés et stockés. S'il y a une interruption, une panne de courant ou toute autre interférence pendant le processus de mise à niveau, entraînant l'endommagement du fichier en cours de mise à niveau, le contrôleur enregistrera l'état actuel de la mise à niveau et la prochaine fois que le programme sera redémarré, le contrôleur exécutera un certain algorithme de vérification ((tel que la vérification du hachage) pour évaluer si le fichier a été endommagé. Si le programme est intact, il sera mis à niveau directement dans l'ordre des programmes qui n'ont pas été marqués pour la mise à niveau. Si le fichier est corrompu, le stockage de sauvegarde est utilisé pour restaurer la mise à niveau.

L'ensemble du processus de mise à niveau nécessite généralement plusieurs tentatives après une panne de flash. S'il existe des dépendances sur les modules associés, tous les modules associés mis à niveau doivent être restaurés.

6) Gestion des mises à niveau liées :

Pour les calculateurs avec des fonctions associées (par exemple, la mise à niveau du radar à ondes millimétriques frontales peut être considérée comme une mise à niveau liée de même nature), l'arrière-plan peut être configuré mises à niveau liées, et peut également cibler l'ECU associé pour définir la séquence de mise à niveau. Le processus de mise à niveau consiste en ce que lorsque le contrôleur de domaine du cockpit obtient la tâche de mise à niveau en arrière-plan, il détectera s'il existe une exigence de mise à niveau de liaison dans la commande de mise à niveau. Si tel est le cas, il la mettra à niveau une par une dans l'ordre et l'associera à l'ECU. .

Le contrôleur de domaine du cockpit gérera et distribuera en continu les packages de mise à niveau pendant tout le processus de mise à niveau, surveillera l'ensemble du processus de mise à niveau jusqu'à ce que tous les ECU aient terminé la mise à niveau, puis rapportera uniformément les résultats de la mise à niveau en arrière-plan. Lorsqu'il est détecté qu'une mise à niveau de l'ECU échoue et doit être annulée, le contrôleur reliera tous les ECU associés pour synchroniser la restauration de la version. Dans le même temps, le contrôleur de domaine du cockpit signalera efficacement l'échec de la mise à niveau de l'ECU, entraînant une restauration.

Le diagramme de séquence de mise à niveau du logiciel correspondant est le suivant :

Sur la base de la description ci-dessus, la mise à niveau de chaque module du véhicule peut être résumée comme suit : le fichier de stratégie de mise à niveau émis par le serveur OTA détermine la séquence de mise à niveau et lors de la configuration de la mise à niveau sur le serveur, génère un fichier de politique et le contrôle de domaine du cockpit formule chaque plan et séquence de mise à niveau de l'ECU en fonction du fichier de politique. L'ordre de mise à niveau des modules liés à la conduite intelligente est contrôlé selon l'ordre de priorité suivant : module CAN -> module DoIP sans système de fichiers -> DoIP avec système de fichiers.

Par rapport à CAN, DoIP optimise principalement la transmission des données et améliore la vitesse au niveau de la couche physique et de la couche de transport. Dans la couche application et les liaisons de services de diagnostic, la mise en œuvre de CAN et DoIP est basée sur le protocole 14229.

Pour les systèmes de conduite intelligents, les mises à niveau logicielles font désormais partie intégrante. Tout en fournissant aux clients des fonctions de mise à niveau en ligne en temps réel, les contrôleurs de domaine doivent assurer des communications sécurisées dans le cloud, notamment la gestion des liens de communication du protocole, la réception des instructions de mise à niveau et la transmission de l'état de la mise à niveau, le téléchargement du package de mise à niveau, le déchiffrement du package de mise à niveau, la reconstruction différentielle des packages et la vérification du package de mise à niveau. Pour la vérification de la légalité, il comprend également des services de gestion de certificats clés, des services de cryptage de données, des services de signature numérique et d'autres fonctions. On peut dire que les mises à niveau intelligentes des logiciels au niveau de la conduite sont le moteur de son développement continu.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!