针对空中下载 (Over The Air,OTA) 升级失败时,实时操作系统 (Real Time Operating System,RTOS) 控制器 无法进行软件回滚的问题,提出了一种双分区升级技术,此技术分为同面启动升级和异面启动升级。同面启动升级通过 外扩存储器作为备份分区,升级时将原程序复制至备份分区后将软件下载至激活分区启动执行;而异面启动升级通过读 取控制器分区信息将软件下载至备份分区,利用地址重映射技术和SWAP AB技术进行分区切换,从而实现升级或失败时 软件回滚。通过搭建测试环境验证了该软件回滚技术的可行性、有效性及稳定性。
前言
随着汽车智能化、网联化的发展,OTA功能已 成为智能网联汽车发展的必然趋势[1-3] 。常见 OTA升级架构是云服务器端通过TBOX将升级包下载至 车端缓存,由升级主控节点对网络架构中控制器按照刷写流程进行升级更新[4-5] 。陈祖锐等[6] 采用将 升级程序直接刷写在应用程序分区的升级技术,其 局限性在于当应用程序升级失败后,原分区里的程 序已被擦除导致没有程序可正常运行,控制器将始 终处于引导加载程序 (Boot Loader) 中无法正常工 作。针对没有可执行的回滚程序问题,王栋梁等[7] 采用在网关内部 Flash 中存储当前版本的技术,当 升级失败时网关会调用 Flash 中的软件再次进行刷 写,此技术只针对RTOS传统实时操作系统的控制, 并且存在网关内存空间大且回滚逻辑繁琐的缺点。严娟等[8] 针对网关自升级将 Flash划分为两个相同 区域,两者功能上完全一样互为备份,升级时只针 对其中一个区域进行升级,失败时利用另一个区域 进行回滚,但是只针对 Linux、QNX 和安卓等智能 操作系统的控制器,RTOS 传统控制器并没有此类 升级技术。
因此,针对现有RTOS控制器只有1个分区[9] , 且升级失败造成无程序可回滚的问题,提出了一种 双分区升级技术[10-11] 。考虑控制器内存空间大小不 同,设计了同面启动和异面启动升级技术。该技术具有以下贡献:
(1) 针对如何管理分区的问题,设计了启动信 息用于标识双分区属性信息,选择对应的分区进行 刷写升级、启动或回滚;
(2) 在原芯片的基础上通过外扩存储器实现同 面启动的双分区升级技术,避免了芯片重新选型及 硬件设计,减少了开发的工作量;
(3) 设计了一种新的升级包选择下载、安装启 动及回滚的异面启动双分区升级技术,优化了升级 包制作和刷写流程,可以快速实现分区切换和软件回滚。
1 双分区定义
1.1 存储空间分区
双分区控制器除了引导加载程序分区外,一般 需要激活分区 (Active Slot) 存放当前执行应用程 序,备份分区 (Backup Slot) 存放回滚旧版本程 序,此外,还需要一个启动信息 (Slot Info) 分区,用于存储激活分区和备份分区的相关属性信息,硬 件存储空间如图1所示。
1.2 控制器启动方式
引导加载程序需要根据启动信息来判断当前激 活分区并引导启动对应的应用程序。该启动信息将 在应用程序的有效性判断、下载刷新完成或版本回 滚时进行必要的状态切换。启动信息关键属性 见表1。
1.3 升级包的组成
对于纯软件实现双分区的控制器,一般会有两 个起始地址不同的应用程序分区,升级时需要两 个功能相同但起始地址不同的应用程序。将两个 不同地址的应用程序通过编译合并后,生成一个 大小为两个程序分区的文件用于控制器的选取升 级,如图2所示。
2 双分区升级技术
2.1 同面启动升级技术
同面启动升级技术要求每次下载刷新及启动始终在片内 Flash 的激活分区进行,设计的升级技术 流程如下。
(1) 控制器默认出厂设置时激活分区和备份分 区的软件版本一致。
(2) 控制器收到主控节点发送的0x31 01 FF 00 擦除程序区指令时[13] ,需先对比激活分区和备份 分区程序版本号,如果不一致则需将激活分区中的 程序复制到备份分区中。外扩存储器升级包下载流 程如图3所示。
(3) 升级包下载刷新到激活分区后,启动信息 属性信息更新,控制器会先判断激活分区程序有效 性,如果激活分区程序有效,启动激活分区程序, 并上报本次OTA任务升级成功。
(4) 当激活分区程序无效或安装失败时,利用 备份分区程序复制到激活分区实现软件版本回滚, 升级流程及启动信息属性更新变化如图4所示。
2.2 异面启动升级技术
异面启动是目前主流升级技术,控制器内存空 间满足双分区要求,主要分为基于 SWAP AB 和基 于非SWAP AB的双分区升级技术。
2.2.1 基于SWAP AB技术的下载流程
SWAP AB 技术是指利用地址重映射技术[13-15] 将激活分区和备份分区的物理内存地址进行互换, 保证了激活分区的地址始终保持固定,所以升级的 重点在于如何管理下载刷新和分区切换,设计的升 级下载流程如下。
(1) 主控节点根据 0x34 请求下载服务的起始 地址和字节数,将升级包下载刷新到备份分区。
(2) 当升级包下载完成且校验通过后,启动信息属性更新。
(3) 控制器在进行重启或升级失败回滚时,利 用 SWAP AB 技术将备份分区地址与激活分区地址 互换,其下载流程如图5所示。
2.2.2 基于非SWAP AB技术的下载流程
所谓非 SWAP AB 技术是指控制器硬件上不支 持两个物理内存地址的互换,而且控制器的激活分 区和备份分区起始地址不同,所以设计的升级技术 下载流程如下。
(1) 由于控制器激活分区是 Slot A 还是 Slot B 只有控制器可知,所以主控节点内必须包含两个内 存地址的升级包,升级包制作过程如图2所示。
(2) 在主控节点发送 0x31 01 FF 00 擦除指令 前,控制器需将启动信息中备份分区的起始地址发 给主控节点,由此确保擦除程序是备份分区程序。
(3) 擦除成功后,由主控节点判断选择哪部分 程序属于备份分区并进行下载刷新。
(4) 当升级包下载完成且校验通过后,重启或 升级失败进行软件回滚时,启动信息中激活分区和 备份分区状态互换,下载刷新过程及启动信息状态 变化如图6所示。
2.2.3 异面启动升级流程
升级包刷新成功后再判定激活分区程序有效 性,如果激活分区中程序有效,则从激活分区启动 执行;如果程序初次判定无效,再次尝试判断,当 重复次数达到最大时说明程序无效,需要进行程序回滚。
在进行程序回滚时,控制器需先判断备份分区 中的程序有效性,当判定无效次数达到最大时,则 回滚失败,控制器功能失效;如果备份分区中程序 有效,更新启动信息属性并启动回滚后的激活分区 程序。具体异面启动升级流程如图7所示。
3 测试与验证
3.1 测试系统
双分区升级技术测试环境主要分为ECU和上位 机诊断仪系统[16-17] ,系统框图及实物分别如图8~9 所示。两系统之间通过USB1、USB2接口进行数据 传输模拟主控节点刷新下载,其中,ECU侧有一个 KEY按键控制LED的闪烁,用于指示app的运行情 况。其中,USB1用于引导加载程序的升级,USB2 用于app中的通信。
采用 STM32H7 系列芯片验证升级技术,其内 部Nor Flash的存储空间分区配置见表2。
3.2 测试验证方案
针对双分区与传统分区升级技术的差异点,设 计测试用例时需要重点考虑升级异常时程序回滚功 能的有效性、双分区运行的稳定性等,测试类型主要分为正常系和异常系,主要测试用例及方法 见表3。
测试时先通过搭建的测试系统验证单控制器升 级回滚情况,通过后将开发的双分区升级控制器安 装到实车上,利用目前上线运营的OTA整套升级系统,以及布置多控制器升级包来验证实车环境下失 败程序回滚功能。
3.3 验证结果
根据上述测试内容和方法,利用搭建的系统及 实车测试验证结果 (表4),每项测试内容至少需要 正向测试 50 次,且每次测试结果都满足要求才能 证明该项功能正常。
测试结果表明,利用启动信息进行分区管理, 解决了升级启动分区选择问题;针对外扩存储器不 能启动执行的问题,提出软件复制备份的回滚机 制,实现了双分区升级技术;针对异面启动中升级 包下载的问题,提出备份分区信息读取选择下载技 术,解决了下载的升级包与分区不对应的问题。因 此,上述技术解决了整个双分区OTA升级流程中的 技术难题,实现了RTOS控制器双分区升级。
4 结论
本文提出了车载 ECU 双分区升级技术,介绍了同面启动和异面启动的升级刷写流程,通过开发测试系统验证了该技术的有效性,得到的结论 如下。
(1) 对比异面启动升级中的两种技术,发现具 有 SWAP AB 技术的芯片实现双分区升级技术的开 发较简单,升级包传输时间更少,同时也减少了主 控节点的判断逻辑。目前,多数芯片都支持 SWAP AB技术,建议推广使用基于SWAP AB的异面启动 升级技术以实现控制器双分区升级。
(2) 同面启动升级中升级前备份或回滚时需要程序进行复制,导致升级过程时间比较长,带给用 户体验不如异面启动升级技术,但是其优点在于可 基于原芯片实现双分区升级技术,无需重新选型 开发。
(3) 通过对测试系统及实车不同控制器进行大 量的升级测试,验证了控制器双分区升级系统的稳 定性和回滚时分区切换的有效性,同时得出控制器 升级失败的回滚成功率为 100%。因此,该技术的 应用从根本上解决了因OTA升级失败而导致车辆控 制器功能失效的问题。
参考文献
[1] 田端祥,段晖,陈洁,等 .远程升级技术在汽车智能网联 系统中的运用[J].内燃机与配件,2022(5):214-216. TIAN Duanxiang,DUAN Hui,CHEN Jie,et al.Application of Remote Upgrade Technology in Automobile Intelligent Network System[J].Internal Combustion Engine & Parts, 2022(5):214-216(. in Chinese)
[2] 武翔宇,赵德华,郝铁亮 . 浅谈汽车 OTA 的现状与未来 发展趋势[J].汽车实用技术,2019(3):214-216. WU Xiangyu,ZHAO Dehua,HAO Tieliang.Analysis on Current Situation and Future Development Trend of Vehicle OTA[J]. Automobile Applied Technology,2019 (3):214-216(. in Chinese)
[3] 姜楠,姜姗姗,韩小鹏.汽车在线升级系统(OTA)开发浅 析[J].时代汽车,2021(21):11-12. JIANG Nan,JIANG Shanshan,HAN Xiaopeng. The Analysis of Online Updates [J].Auto Time,2021(21):11-12(. in Chinese)
[4] 卜凡涛,刘木林,刘晓晔 . 一种汽车控制器 OTA 功能方 案[J].汽车电器,2022(9):67-68. BU Fantao,LIU Mulin,LIU Xiaoye. An OTA Function Scheme of a Car Controller [J].Auto Electric Parts,2022 (9):67-68(. in Chinese)
[5] 李立安,赵帼娟,任广乐.OTA实现方案及汽车端设计分 析[J].智能网联汽车,2020(14):16-19. LI Li’an,ZHAO Guojuan,REN Guangle.OTA Implementation Plan and the Vehicle Design Analysis [J].Intelligent Connected Vehicles,2020(14):16-19(. in Chinese)
[6] 陈祖锐,廖振伟,谷城,等.基于UDSonCAN的Bootloader 设计[J].汽车零部件,2022(9):36-39. CHEN Zurui,LIAO Zhenwei,GU Cheng,et al.Bootloader Design Based on UDSonCAN[J].Automobile Parts,2022 (9):36-39(. in Chinese)
[7] 王栋梁,汤利顺,陈博,等.智能网联汽车整车OTA功能 设计研究[J].汽车技术,2018(10):29-33. WANG Dongliang,TANG Lishun,CHEN Bo,et al.The Research of OTA Function Design for Intelligent and Connected Vehicle [J]. Automobile Technology,2018 (10):29-33(. in Chinese)
[8] 严娟,张玉川,杨鹏翔,等.基于以太网OTA远程升级的 研究[J].上海汽车,2020(3):15-18,27. YAN Juan,ZHANG Yuchuan,YANG Pengxiang,et al. The Study on OTA Remote Updating of Ethernet [J]. Shanghai Auto,2020(3):15-18,27(. in Chinese)
[9] 杨瑞良,唐满良,陈晓群 . 用于系统迭代的双系统切换 方法和装置[J].电子技术,2021,50(7):82-85. YANG Ruiliang,TANG Manliang,CHEN Xiaoqun.Study on Dual System Switching Method and Device for System Iteration [J].Electronic Technology,2021,50(7):82-85. (in Chinese)
[10] 曹玉保.基于双备份的兆易创新GD32程序升级方案研 究[J].中国集成电路,2021,30(1):23-26. CAO Yubao.Research on Scheme to Upgrade Program of GigaDevice GD32 Based on Double Backup [J]. China Integrated Circuit,2021,30(1):23-26(. in Chinese)
[11] 顾瀚戈,钟洪念,冉万宁,等.基于TMS 320F28335 芯片 CAN Bootloader 程序升级方法[J]. 电子与封装,2021, 21(12):1-6. GU Hange,ZHONG Hongnian,RAN Wanning,et al. Method of CAN Bootloader Program Update Based on TMS320F28335[J]. Electronics & Packaging,2021,21 (12):1-6(. in Chinese)
[12] 陶媛媛,杜彬,田彬 . 基于车载控制器 Boot Loader 的数 据备份刷写软件方案实现[J]. 汽车电器,2022(9):39-41. TAO Yuanyuan,DU Bin,TIAN Bin. Implementation ofData Backup Flashing Based on Boot Loader of Vehicle Controller [J]. Auto Electric Parts,2022(9):39-41.(in Chinese)
[13] 张勤,薛吉,谢明,等 . 基于地址映射的电量模块设计 [J].电子科技,2015,28(7):34-37. ZHANG Qin,XUE Ji,XIE Ming,et al.Design of Power Module Based on Address Mapping[J].Electronic Science and Technology,2015,28(7):34-37(. in Chinese)
[14] 闫肖梅,杭孟荀,王瑛 .UDS 诊断协议在纯电动汽车电 机控制器中的应用[J].电子产品世界,2021(4):42-44. YAN Xiaomei,HANG Mengxun,WANG Ying.Application of UDS Diagnostic Protocol in Electric Vehicle Motor Controller [J]. Lectronic Engineering & Product World, 2021(4):42-44(. in Chinese)
[15] 王强,陈岚,郝晓冉 . 一种基于访存行为地址映射机制 的混合内存系统[J]. 小型微型计算机系统,2014,35 (6):1201-1206. WANG Qiang,CHEN Lan,HAO Xiaoran. Hybrid Memory System Using Memory Access-Aware Remapping Mechanism[J]. Journal of Chinese Computer Systems, 2014,35(6):1201-1206(. in Chinese)
[16] 贾文伟,徐匡一 . 基于 S32G 芯片的域控制器生产相关 方案设计[J].汽车科技,2022(4):8-16. JIA Wenwei,XU Kuangyi.Based on S32G Chip Domain Controller Production Related Scheme Design[J]. Automobile Science & Technology,2022(4):8-16(. in Chinese)
[17] 刘汉阳,杜启行,邓林涓,等 . 基于 USB CDC 规范的嵌 入式系统 Bootloader 设计[J]. 电子测试,2020(13):74-76. LIU Hanyang,DU Qihang,DENG Linjuan,et al. A Design of Embedded System Bootloader Based on USB CDC Specification [J].Electronic Test,2020(13):74-76. (in Chinese)
END
