AUTOSAR Classicを使用してOver-The-Airソフトウェアアップデートの実装を成功させるには

自動車におけるOTAアプローチの種類

自動車におけるOTAアプローチの種類

Over-The-Air (OTA) ソフトウェアアップデートは現在多くの家電製品に不可欠な部分となっています。スマートフォンやタブレットのアプリはほぼ毎日アップデートされています。アプリケーションだけでなく、デバイスのファームウェアも、途切れることなく簡単にエンドユーザー側で直接アップデートできます。

自動車分野では、ソフトウェアアップデート「Over-The-Air」がすでにいくつかのケースで実装されていますが、その機能は通常特定のECUまたは自動車ソフトウェアの一部に限定されています。自動車ソフトウェアの複雑化と、その機能の重要性から、ソフトウェアアップデートのニーズは、安全性関連のアプリケーション/機能であっても増大しています。

現在の自動車には100を超えるECUが含まれる場合があり、最適な実装は大変難しい課題です。複数のECUに分散された自動車の機能は、影響を受けるすべてのECU向けのアップデートパッケージを含む、アップデートキャンペーンと呼ばれる方法でアップデートされる必要があります。これは、自動車内のアップデートシナリオが複雑になる場合があります。アップデートプロセスは自動で、立会いなしで、完全な信頼性をもって実行されることが不可欠です。エラーが発生した場合、必要ならば以前のソフトウェアバージョンを完全に復元することによって、常に自動車を動作状態に戻せることが必要です。

AUTOSAR Classic ECUの場合

最適なソリューションとしてのFlash Bootloader

これにより、AUTOSAR Classicのベーシックソフトウェア(BSW)に基づくECUにも注目することになります。たとえば、本体ドメインからのドア制御ユニットなどです。これらのECUは通常「Flash Bootloader」を備えています。これはAUTOSARベーシックソフトウェアを含むECU上のアプリケーションソフトウェアを、診断テスターを介してアップデートするのに使用されます。 

Flash Bootloaderは長年ECUソフトウェアを書き込みしたり、後からアップデートするのに使用されてきました。これらは比較的小さいながら、高度に最適化されたプログラムで、診断テスターを介して指定され、フラッシュメモリーを消去および再書込みします。Flash Bootloader経由のアップデートは開発工程、製造工程、およびサービス工場で行われます。アップデートの際、対応するバスシステムの全帯域幅を使用する可能性があります。どのような場合でも、ソフトウェアアップデートは自動車が安全な状態で行われます。

「Over-The-Air」ソフトウェアアップデートのユースケースの場合も、Flash Bootloaderは最適なソリューションとなります (図1)。

図1: Flash Bootloader経由のソフトウェアアップデート

新しいソフトウェアは無線で自動車に転送され、ここで一時的に十分に大きいメモリーを持つ「Connectivity ECU」に保存されます。自動車が安全且つソフトウェアがターゲットECUにアップロードできる状態になるとすぐに、「Connectivity ECU」はアップデートプロセスを開始し、ソフトウェアアップデートを診断シーケンス経由でターゲットECUに読み込みます。これは、ちょうどサービス工場の診断テスターが行うのと同様です。

 

OTAシナリオにおける2つの制限要因

1. アップデートプロセス中、自動車は安全な状態に留まり、使用できません。自動車のこの「ダウンタイム」は通常ユーザーの利便性のためにOEMにより厳しく制限されています - これはアップデートの範囲やサイズに少なからぬ影響を与えます。

 

2. アップデートプロセスに関連するECUは電源供給されている必要があります。このため、バッテリーの残り容量が、アップデートの持続時間に厳しい制限を設定することになります。

 

問題は回避可能

効率的なアップデートキャンペーンの方法

前述のとおり、アップデートで障害が発生した場合、以前のソフトウェア状態に復元する以外の方法はありません。そのため、極端な場合、アップデートキャンペーンに関連するすべてのECUの完全なリプログラミングとロールバックが必要になります。前述したダウンタイムとバッテリー容量の制限要因により、OTAシナリオではFlash Bootloaderの機能が制限されます。

別の方法は通常動作中、つまり自動車を使用しているときに、データを各ターゲットECUに転送し、運転アプリケーションとは分離されたメモリー領域のストレージに保存することです (図2)。データは必ずしも「Connectivity ECU」に一時的に保存する必要はありません。代わりに、受信したデータは直接ターゲットECUに転送されます。

このアプローチには以下のような利点があります。

  • 安全な車両状態でのターゲットECUへのアップデートの転送時間を節約可能。
  • さらなるデータ転送なしで以前のソフトウェアを復元可能。
図2: 運転中のソフトウェアダウンロード

ソフトウェアバージョン間の切替えを適切なハードウェアサポートに依拠するコンセプトでは、アクティベーション時間を最小限まで短縮できます。そのため、自動車はソフトウェアアップデートがあっても常に動作できる状態のままになります。

リリース19-11で、AUTOSAR ClassicはファームウェアOver-The-Air (FOTA) ソリューションの要件を発表しました。これにより自動車がまだ動作中でもデータ転送が可能になります。ただし、標準に達する対応ベーシックソフトウェアモジュールはまだ発表されていません。

ベクターはMICROSAR Classicを使用して初期段階からFOTAを使用しており、すでに2018年からソフトウェアダウンロードのためのMICROSARベーシックソフトウェアの拡張を提供しています。これはAUTOSAR要件を満たしています。

関連ページ

MICROSAR Classic

AUTOSAR ECU用の組込ソフトウェア

詳細はこちら
Flash Bootloader
AUTOSAR Classic

量産で実績のある車載ECU用の標準規格

詳細はこちら
オートモーティブOTA

オートモーティブOTA (Automotive Over-The-Air) で業界が変わりつつあります。

詳細はこちら
vConnect

フリート車両と常時通信。新しいビジネスを創出。

詳細はこちら