本發(fā)明涉及一種新能源商用車輛的ota升級(jí)方法及相關(guān)設(shè)備，屬于車輛工程領(lǐng)域。

背景技術(shù)：

1、隨著電池技術(shù)的發(fā)展，無論是新能源乘用車還是新能源商用車都呈現(xiàn)著快速發(fā)展的趨勢(shì)。為了滿足日益增長且變化莫測(cè)的市場(chǎng)需求，各主機(jī)廠不得不加速車輛的研發(fā)速度、縮減測(cè)試周期，與此同時(shí)，新能源車輛相比于傳統(tǒng)燃油車，新技術(shù)、新功能的應(yīng)用更加廣泛與深入，這就導(dǎo)致車輛在推入市場(chǎng)銷售后，依舊存在一些問題需要工程師繼續(xù)改進(jìn)。但市場(chǎng)車輛的召回或者通過車廠服務(wù)人員線下車輛升級(jí)，會(huì)給主機(jī)廠帶來巨大的費(fèi)用支出，且還會(huì)影響車主用車，影響品牌形象，為了應(yīng)對(duì)以上問題，ota遠(yuǎn)程升級(jí)技術(shù)便應(yīng)運(yùn)而生。

2、ota技術(shù)在乘用車上應(yīng)用已經(jīng)相對(duì)成熟，2023年1-6月，中國乘用車ota裝配量為527.4萬輛，同比增長31.8%，累計(jì)進(jìn)行了約696次ota升級(jí)，特別是新勢(shì)力乘用車企如特斯拉、蔚來幾乎保持著每個(gè)月ota升級(jí)的頻率。

3、但ota技術(shù)在新能源商用車上的應(yīng)用還稍顯滯后，市面上能夠支撐整車ota能力的新能源商用車車型甚少，除了新能源商用車本身車型數(shù)量眾多、車型配置多樣、應(yīng)用場(chǎng)景復(fù)雜、零部件種類繁多、零部件底層軟件開發(fā)能力等多方面因素的影響，主機(jī)廠對(duì)于車輛ota升級(jí)的安全性問題，也是導(dǎo)致ota技術(shù)在新能源商用車上應(yīng)用滯后的一個(gè)重要原因。ota升級(jí)涉及的安全問題包括：

4、1、車輛遠(yuǎn)程升級(jí)過程中，由于軟件漏洞、電量不足、網(wǎng)絡(luò)信號(hào)差、操作不當(dāng)?shù)仍蛟斐僧惓嗦?lián)或異常斷電，此時(shí)車輛功能還處于異常狀態(tài)，駕駛?cè)藛T若此時(shí)操控車輛將存在重大的安全隱患；

5、2、車輛遠(yuǎn)程升級(jí)過程中，軟件包以及通信鏈路安全問題。升級(jí)包從云端下發(fā)，車端下載后再進(jìn)行升級(jí)更新，數(shù)據(jù)包本身以及車云通信鏈路存在風(fēng)險(xiǎn)，如偽造身份參與車云通信等操作；

6、3、車輛遠(yuǎn)程升級(jí)過程中，車輛電量無法支撐ecu升級(jí)完成。由于商用車高壓架構(gòu)與乘用車有較大差異，如dc/dc模塊與其他高壓模塊集成，ota升級(jí)時(shí)若使用dc/dc給車輛小電瓶蓄電，會(huì)導(dǎo)致其他高壓模塊處于高壓狀態(tài)，導(dǎo)致車輛升級(jí)過程中存在安全風(fēng)險(xiǎn)，故商用車主機(jī)廠在ota升級(jí)的過程中，往往只靠小電池提供24v的低壓電完成ecu升級(jí)，而這就存在ecu升級(jí)時(shí)間過長從而耗盡小電池電量耗盡，ecu升級(jí)失敗，車輛趴窩。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于克服現(xiàn)有技術(shù)中的不足，提供一種新能源商用車輛的ota升級(jí)方法及相關(guān)設(shè)備，通過在sda和車載終端發(fā)生異常斷聯(lián)或車輛異常斷電時(shí)設(shè)置相應(yīng)的保護(hù)策略，保證車輛的安全升級(jí)，避免因升級(jí)異常對(duì)車輛或者駕駛?cè)藛T造成危害。

2、為達(dá)到上述目的，本發(fā)明是采用下述技術(shù)方案實(shí)現(xiàn)的：

3、第一方面，本發(fā)明提供了一種新能源商用車輛的ota升級(jí)方法，由車載終端執(zhí)行，包括：接收云端服務(wù)器發(fā)送的ota升級(jí)數(shù)據(jù)包，并進(jìn)行驗(yàn)簽、解密；響應(yīng)于所述ota升級(jí)數(shù)據(jù)包通過驗(yàn)簽，根據(jù)解密后的ota升級(jí)數(shù)據(jù)包執(zhí)行預(yù)設(shè)刷寫流程；在執(zhí)行預(yù)設(shè)刷寫流程過程中，響應(yīng)于檢測(cè)到從控管理模塊sda和車載終端發(fā)生異常斷聯(lián)，按預(yù)設(shè)周期發(fā)送整車靜默指令，維持整車靜默狀態(tài)；響應(yīng)于檢測(cè)到車輛異常斷電，待車輛重新上電后，根據(jù)整車控制器vcu確定的當(dāng)前升級(jí)狀態(tài)繼續(xù)執(zhí)行升級(jí)部件的升級(jí)；其中，從控管理模塊sda指用于執(zhí)行數(shù)據(jù)上傳、下載程序、升級(jí)程序和人機(jī)交互功能的sda；所述當(dāng)前升級(jí)狀態(tài)由vcu根據(jù)升級(jí)部件在車輛異常下電時(shí)存儲(chǔ)的標(biāo)志位確定。

4、進(jìn)一步的，所述驗(yàn)簽包括：通過證書判斷完成身份安全驗(yàn)證；所述證書包括：根證書、ca證書和用戶證書，其中，用戶證書包括：ota平臺(tái)向pki系統(tǒng)申請(qǐng)的ssl服務(wù)器證書、車端向pki系統(tǒng)申請(qǐng)的ssl客戶端證書以及ota代碼簽名證書；pki系統(tǒng)生成用于對(duì)ota升級(jí)包數(shù)據(jù)進(jìn)行加密的ota加密密鑰和用于客戶端證書簽名的ota簽名密鑰。

5、進(jìn)一步的，所述接收云端服務(wù)器發(fā)送的ota升級(jí)數(shù)據(jù)包，包括：對(duì)于無關(guān)聯(lián)部件的升級(jí)，1次升級(jí)只允許接收1個(gè)部件的ota升級(jí)數(shù)據(jù)包；而對(duì)于有關(guān)聯(lián)部件的升級(jí)，允許1次升級(jí)接收多個(gè)部件的ota升級(jí)數(shù)據(jù)包；但對(duì)于多部件升級(jí)，當(dāng)同一次升級(jí)中的其中一個(gè)部件升級(jí)失敗時(shí)，即使其它部件升級(jí)成功也需要回滾到升級(jí)前的版本。

6、進(jìn)一步的，在所述根據(jù)解密后的ota升級(jí)數(shù)據(jù)包執(zhí)行預(yù)設(shè)刷寫流程之前，還包括：響應(yīng)于檢測(cè)到小電池電壓小于預(yù)設(shè)閾值，控制bms主負(fù)繼電器、pdu輔驅(qū)預(yù)充繼電器和pdu輔驅(qū)繼電器閉合，并控制dc/dc模塊對(duì)小電池充電，直至小電池電壓高于預(yù)設(shè)閾值；其中，pdu為高壓配電單元。

7、進(jìn)一步的，在所述根據(jù)解密后的ota升級(jí)數(shù)據(jù)包執(zhí)行預(yù)設(shè)刷寫流程之前，還包括：根據(jù)車輛類型從云端預(yù)設(shè)的前置條件池獲取與車輛對(duì)應(yīng)的前置條件；依次判斷車輛是否滿足所獲取的前置條件；響應(yīng)于車輛不滿足任一個(gè)前置條件，則在儀表上顯示該不滿足的前置條件，并提示用戶在預(yù)設(shè)時(shí)間內(nèi)完成相應(yīng)的操作，以使車輛滿足該前置條件。

8、進(jìn)一步的，所述云端預(yù)設(shè)的前置條件池中包括：小電池電壓不小于預(yù)設(shè)閾值、車速為0km/h、檔位為n檔、駐車信息有效、充電槍處于斷開狀態(tài)和車輛狀態(tài)處于wait狀態(tài)。

9、進(jìn)一步的，在所述根據(jù)解密后的ota升級(jí)數(shù)據(jù)包執(zhí)行預(yù)設(shè)刷寫流程之前，還包括：發(fā)送無關(guān)ecu靜默指令，將待升級(jí)ecu所在網(wǎng)段中與之無關(guān)的ecu靜默，確保升級(jí)過程中總線上沒有無關(guān)的應(yīng)用報(bào)文；其中，所述無關(guān)ecu靜默通過uds協(xié)議中的28服務(wù)實(shí)現(xiàn)。

10、進(jìn)一步的，在所述發(fā)送無關(guān)ecu靜默指令之前還包括：斷開pdu主正繼電器、斷開pdu輔驅(qū)繼電器、強(qiáng)制n檔請(qǐng)求和禁止tcu換擋操作。

11、第二方面，本發(fā)明提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有ota升級(jí)程序，該ota升級(jí)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如第一方面所述的ota升級(jí)方法。

12、第三方面，本發(fā)明提供一種車載終端，包括存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上并可在處理器上運(yùn)行的ota升級(jí)程序，所述處理器執(zhí)行所述ota升級(jí)程序時(shí)，實(shí)現(xiàn)如第一方面所述的ota升級(jí)方法。

13、與現(xiàn)有技術(shù)相比，本發(fā)明所達(dá)到的有益效果：

14、（1）本發(fā)明提供的ota升級(jí)方法在sda與車載終端發(fā)生異常斷聯(lián)而導(dǎo)致sda無法及時(shí)獲取車輛升級(jí)狀態(tài)時(shí)，車載終端按預(yù)設(shè)周期發(fā)送整車靜默指令，使整車維持靜默狀態(tài)，此時(shí)駕駛?cè)藛T進(jìn)行換擋或者上下電操作，車輛都不會(huì)響應(yīng)，保證了升級(jí)異常時(shí)的車輛安全性；另外，整車控制器vcu設(shè)置標(biāo)志位，當(dāng)升級(jí)過程中車輛存在異常下電行為，將異常下電時(shí)的升級(jí)狀態(tài)存儲(chǔ)在vcu中，當(dāng)車輛重新上電后，vcu通過標(biāo)志位判斷當(dāng)前升級(jí)狀態(tài)，并維持住升級(jí)狀態(tài)，通知車載終端繼續(xù)進(jìn)行升級(jí)，保證每一次升級(jí)都有始有終，車輛都能回歸安全狀態(tài)，避免升級(jí)過程斷電對(duì)車輛安全的危害；

15、（2）本發(fā)明提供的ota升級(jí)方法采用三層證書體系，采用pki系統(tǒng)生成用于客戶端證書簽名的ota簽名密鑰以及用于對(duì)ota升級(jí)包數(shù)據(jù)加密的ota加密密鑰，并將簽名驗(yàn)簽的公鑰下發(fā)至車載終端，確保升級(jí)包的真實(shí)性和完整性；

16、（3）本發(fā)明提供的ota升級(jí)方法采用智能補(bǔ)電策略，在每一次升級(jí)前都保證小電池電量充足，防止因電池電量耗盡而導(dǎo)致ecu升級(jí)失敗，避免了車輛升級(jí)過程中電量不足導(dǎo)致的車輛趴窩。