一种远程升级安全保障方法、系统及车载Tbox设备与流程

本发明涉及车辆电子控制单元软件的远程升级技术领域，特别是涉及一种远程升级安全保障方法、系统及车载Tbox设备。

背景技术

传统车辆的电子控制单元(Electronic Control Unit，ECU)的软件升级，一般是在车厂发布软件新版本后，由售后在4S店中为车辆进行软件升级。具体地，根据目前的诊断刷新规范，当前大多数ECU控制器为嵌入式芯片，且无A/B固件，在升级刷新ECU的时候，需要先擦除ECU中的程序，然后再写入新的程序文件，CAN总线报文传输很受到环境干扰，从而可能导致刷新升级过程中报文丢帧、总线受某些因素影响而负载被拉高，从而导致刷新升级失败。由于新的程序文件写入失败，ECU控制器将无法工作，从而影响车辆功能使用。

通过传统售后的方式进行软件升级，首先难以解决车辆因软件召回的问题；另外还需要消耗大量人力和财力；而且无法满足智能网联时代车联网快速迭代并提升用户体验的需求。

而通过OTA(Over the air，OTA)远程升级的方式可以实现软件快速迭代、升级、节约成本、提升用户体验，并很大程度上可以避免因软件召回车辆的风险，但是OTA远程升级也面临一些挑战之处，由于执行的角色是普通车主用户而非专业的售后工程师，因此OTA远程升级的可靠性、安全性都需要得到保证，才能保证用户体验。

技术实现要素：

本发明所要解决的技术问题在于，提供一种远程升级安全保障方法、系统及车载Tbox设备，可以提高普通用户在进行车辆ECU软件升级时的用车安全、升级成功率以及可靠性。

本发明所采用的技术方案在于，提供一种远程升级安全保障方法，应用于车载Tbox设备中，所述方法包括如下步骤：

步骤S11，在接收到来自OTA服务器的升级请求后，响应用户操作以触发升级流程；

步骤S12，在检查到当前车辆满足升级条件时，禁用车辆一键启动系统，以及禁用所述车辆的所有CAN总线的应用报文通信功能；

步骤S13，根据来自OTA服务器的升级包，对所述车辆的ECU软件进行升级操作；

步骤S14，确定当前升级是否成功，并将升级结果反馈至车辆的人机交互界面，并上报给OTA服务器；

步骤S15，在升级成功后，恢复所述车辆的使用环境，恢复车辆一键启动系统以及所述CAN总线的应用报文通信功能。

其中，所述步骤S12进一步包括：

检查当前车辆是否满足升级条件，具体包括检查ACC档位、锁车设防状态、车速、蓄电池电量、电池电压、手刹状态、车辆点火状态、高压电充电状态、整车高压电状态、车辆档位以及主驾安全带状态中的至少一项。

其中，所述步骤S12具体包括：

通过下述方式禁用车辆一键启动系统：控制车辆一键启动系统进入扩展模式；控制车辆一键启动系统进入boot模式；控制车辆一键启动系统维持在boot模式；

通过下述方式禁用所述车辆的所有CAN总线的应用报文通信功能：控制所有ECU进入扩展模式；控制所有CAN总线禁用应用报文通信；维持所有CAN总线保持禁用应用报文通信。

其中，所述步骤S12进一步包括：在检查到当前车辆不满足升级条件时，结束本次升级流程。

其中，所述步骤S14进一步包括：

将本次升级结果反馈至车辆的人机交互界面；

在确定当前升级失败后，至少一次控制继续进行车辆的ECU软件的升级操作；

在本次升级最终失败后，控制车辆ECU软件自动回滚并恢复至升级前的版本；

将本次升级的最终结果上报给OTA服务器。

作为本发明的另一方面，还提供一种远程升级安全保障系统，应用于车载Tbox设备中，其包括：

升级触发单元，用于在接收到来自OTA服务器的升级请求后，响应用户操作以触发升级流程；

升级预备单元，用于在检查到当前车辆满足升级条件时，禁用车辆一键启动系统，以及禁用所述车辆的所有CAN总线的应用报文通信功能；

升级处理单元，用于根据来自OTA服务器的升级包，对所述车辆的ECU软件进行升级操作；

升级结果反馈单元，用于确定当前升级是否成功，并将升级结果反馈至车辆的人机交互界面，并上报给OTA服务器；

行车功能恢复单元，用于在升级成功后，恢复所述车辆的使用环境，恢复车辆一键启动系统以及所述CAN总线的应用报文通信功能。

其中，所述升级预备单元进一步包括：

升级条件检查单元，用于检查当前车辆是否满足升级条件，具体包括检查ACC档位、锁车设防状态、车速、蓄电池电量、电池电压、手刹状态、车辆点火状态、高压电充电状态、整车高压电状态、车辆档位以及主驾安全带状态中的至少一项。

其中，所述升级预备单元进一步包括：

一键启动禁用单元，用于通过下述方式禁用车辆一键启动系统：控制车辆一键启动系统进入扩展模式；控制车辆一键启动系统进入boot模式；控制车辆一键启动系统维持在boot模式；

CAN应用报文通信禁用单元，用于通过下述方式禁用所述车辆的所有CAN总线的应用报文通信功能：控制所有ECU进入扩展模式；控制所有CAN总线禁用应用报文通信；维持所有CAN总线保持禁用应用报文通信。

其中，所述升级预备单元进一步包括：

升级结束单元，用于在升级条件检查单元检查到当前车辆不满足升级条件时，结束本次升级流程。

其中，所述升级结果反馈单元，进一步包括：

界面显示单元，用于将本次升级结果反馈至车辆的人机交互界面；

重复升级处理单元，用于在确定当前升级失败后，至少一次控制升级处理单元继续进行车辆的ECU软件的升级操作；

版本恢复单元，用于在本次升级最终失败后，控制车辆ECU软件自动回滚并恢复至升级前的版本；

上报单元，用于将本次升级的最终结果上报给OTA服务器。

相应地，本发明的又一个方面，还提供一种车载Tbox设备，其包括前述的远程升级安全保障系统。

实施本发明实施例，具有如下的有益效果：

本发明实施例提供一种远程升级安全保障方法、系统及车载Tbox设备，可以提高车辆使用者在进行车辆ECU软件升级时的用车安全、升级成功率以及可靠性，提高车辆使用者的使用体验；

由于在本发明提供的远程升级过程中，通过检测车辆是否满足升级条件，并在升级前禁用车辆一键启动系统以及禁用所述车辆的所有CAN总线的应用报文通信功能，可以创造出合适的OTA升级场景(无人用车的场景)，同时可以保证升级过程的安全性和成功率；

而且，在本发明实施例中，在首次升级失败后，会进行重试升级的操作，且在最终升级失败后能够实现软件回滚，从而可以进一步保证OTA升级的成功率和车辆功能。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，根据这些附图获得其他的附图仍属于本发明的范畴。

图1为本发明提供的一种远程升级安全保障方法的一个实施例的主流程示意图；

图2为本发明提供的一种远程升级安全保障系统的一个实施例的结构示意图；

图3是图2中升级预备单元的结构示意图；

图4是图2中升级结果反馈单元的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。

如图1所示，示出了本发明提供的一种远程升级安全保障方法一个实施例的主流程示意图。在本实施例中，所述方法应用于车载Tbox设备中，所述方法包括如下步骤：

步骤S11，在接收来到自OTA服务器的升级请求后，响应用户操作以触发升级流程；具体地，OTA服务器在ECU软件出现更新时，会将升级包以及升级请求下发给各车辆的车载Tbox设备。车载Tbox设备收到上述升级请求后，会在车辆的人机交互操作界面上进行显示，如果用户在人机交互操作界面上点击升级后，该用户的点击动作被转化成升级开始的指令传给Tbox，从而触发升级开始的流程；

步骤S12，在检查到当前车辆满足升级条件时，禁用车辆一键启动系统，以及禁用所述车辆的所有CAN总线的应用报文通信功能；

在此步骤中，需要检查当前车辆是否满足升级条件，具体地包括检查ACC档位、锁车设防状态、车速、蓄电池电量、电池电压、手刹状态、车辆点火状态、高压电充电状态、整车高压电状态、车辆档位以及主驾安全带状态中的至少一项。可以理解的是，升级检查条件可以根据具体的情况在上述条件中进行动态配置，具体地，可以根据不同升级的ECU对象进行灵活配置。

例如，在一个具体的例子中，可以按照下表1来进行升级条件检查：

表1：车辆升级条件检查

如果检查到车辆满足升级执行条件，则开始升级的过程，若不满足则退出升级；

而禁用车辆一键启动系统(PEPS)的功能后，车辆将无法通过START按钮进行ON/OFF档切换，也无法点火启动车辆，从而保证车辆在合适的使用场景(无人用车的场景)下才能进行升级；具体地，在一个例子中，可以通过下面的步骤来禁用PEPS功能：首先，通过诊断服务(如10 03指令)控制PEPS进入扩展模式；然后，通过诊断服务(如10 02指令)控制PEPS进入boot模式；最后，通过诊断服务(如3E 80指令)控制PEPS维持在boot模式；

而禁止所有路CAN总线应用报文通信功能，可以确保升级刷新过程中，总线负载在较低的水平，排除可能出现的总线报文干扰，保证刷新升级的成功率；具体地，在一个例子中，可以通过下面的步骤来禁用所有CAN应用报文通信：首先，通过诊断服务(如10 03指令)控制所有ECU进入扩展模式；其次，通过诊断服务(如28 03 01指令)控制所有CAN总线禁用应用报文通信；最后，通过诊断服务(如3E 80指令)维持所有CAN总线保持禁用应用报文通信。

步骤S13，根据来自OTA服务器的升级包，对所述车辆的ECU软件进行升级操作；

步骤S14，确定当前升级是否成功，并将升级结果反馈至车辆的人机交互界面，并上报给OTA服务器；

在一个具体的例子中，所述步骤S14进一步包括：

步骤S140，将本次升级结果(成功或失败)反馈至车辆的人机交互界面；

步骤S141，在确定当前升级失败后，至少一次控制继续进行车辆的ECU软件的升级操作；

步骤S142，在本次升级最终失败后，控制车辆ECU软件自动回滚并恢复至升级前的版本；可以理解是，在实际的例子中，如果软件回滚成功，则报升级失败，但软件回滚成功，不影响车辆正常使用；若软件回滚仍然失败，则升级失败，车辆与该ECU相关的功能失效，需要用户回售后解决；

步骤S143，将本次升级的最终结果(成功或失败)上报给OTA服务器，位于OTA服务器的后台运营人员监控到事件时也可以主动联系车主进行相应处理。

可以理解的是，如果本次升级的结果为成功，则可以省掉中间的步骤S141和步骤S142。

步骤S15，在升级成功后，恢复所述车辆的使用环境，恢复车辆一键启动系统以及所述CAN总线的应用报文通信功能。

如图2所示，示出了本发明提供的一种远程升级安全保障系统一个实施例的结构示意图，一并结合图3至图4所示，在本实施例中，所述远程升级安全保障系统1应用于车载Tbox设备中，其包括：

升级触发单元11，用于在接收来自OTA服务器的升级请求后，响应用户操作以触发升级流程；

升级预备单元12，用于在检查到当前车辆满足升级条件时，禁用车辆一键启动系统，以及禁用所述车辆的所有CAN总线的应用报文通信功能；

升级处理单元13，用于根据来自OTA服务器的升级包，对所述车辆的ECU软件进行升级操作；

升级结果反馈单元14，用于确定当前升级是否成功，并将升级结果反馈至车辆的人机交互界面，并上报给OTA服务器；

行车功能恢复单元15，用于在升级成功后，恢复所述车辆的使用环境，恢复车辆一键启动系统以及所述CAN总线的应用报文通信功能。

更具体地，在一个例子中，所述升级预备单元12进一步包括：

升级条件检查单元120，用于检查当前车辆是否满足升级条件，具体包括检查ACC档位、锁车设防状态、车速、蓄电池电量、电池电压、手刹状态、车辆点火状态、高压电充电状态、整车高压电状态、车辆档位以及主驾安全带状态中的至少一项；

升级结束单元121，用于在升级条件检查单元检查到当前车辆不满足升级条件时，结束本次升级流程；

一键启动禁用单元122，用于通过下述方式禁用车辆一键启动系统：控制车辆一键启动系统进入扩展模式；控制车辆一键启动系统进入boot模式；控制车辆一键启动系统维持在boot模式；

CAN应用报文通信禁用单元123，用于通过下述方式禁用所述车辆的所有CAN总线的应用报文通信功能：控制所有ECU进入扩展模式；控制所有CAN总线禁用应用报文通信；维持所有CAN总线保持禁用应用报文通信。

更具体地，在一个例子中，所述升级结果反馈单元14，进一步包括：

界面显示单元140，用于将本次升级结果反馈至车辆的人机交互界面；

重复升级处理单元141，用于在确定当前升级失败后，至少一次控制升级处理单元继续进行车辆的ECU软件的升级操作；

版本恢复单元142，用于在本次升级最终失败后，控制车辆ECU软件自动回滚并恢复至升级前的版本；

上报单元143，用于将本次升级的最终结果上报给OTA服务器。

更多的细节，可以参考前述对图1的描述，在此不进行详述。

基于同一发明构思，本发明实施例还提供一种车载Tbox设备，其上述系统实施例中图2至图3所描述的远程升级安全保障系统。

实施本发明实施例，具有如下的有益效果：

本发明实施例提供一种远程升级安全保障方法、系统及车载Tbox设备，可以提高车辆使用者在进行车辆ECU软件升级时的用车安全、升级成功率以及可靠性，提高车辆使用者的使用体验；

由于在本发明提供的远程升级过程中，通过检测车辆是否满足升级条件，并在升级前禁用车辆一键启动系统以及禁用所述车辆的所有CAN总线的应用报文通信功能，可以创造出合适的OTA升级场景(无人用车的场景)，同时可以保证升级过程的安全性和成功率；

而且，在本发明实施例中，在首次升级失败后，会进行重试升级的操作，且在最终升级失败后能够实现软件回滚，从而可以进一步保证OTA升级的成功率和车辆功能。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。