Over-The-Air (OTA) bedeutet, dass Updates für Firm- und Software nicht mehr über ein Kabel erfolgen, sondern drahtlos "über die Luft". Dies kann über verschiedene Funkstandards erfolgen, darunter Mobilfunk und WLAN, aber auch Bluetooth und NFC sind beispielsweise an Ladesäulen denkbar. Im Auto betreffen die Aktualisierungen die Steuergeräte (ECUs, Engine Control Units) und das Infotainmentsystem. Während Updates für Steuergeräte hauptsächlich Sicherheitslücken schließen und die Performance verbessern, trägt ein aktualisiertes Infotainmentsystem zu mehr Komfort und einer personalisierten Nutzung bei.
[Siehe Tabelle 1]
Mit der zunehmenden Ausstattung neuer Fahrzeuge mit Software-intensiven ECUs steigt auch der Wartungsbedarf der Software: Laut einer Studie der US-Bundesbehörde für Straßen- und Fahrzeugsicherheit NHTSA gingen in den USA 15% der Rückruf-Aktionen im Jahr 2015 auf Kosten von Software-Fehlern. Die Behebung solcher Fehler ist bei Fahrzeugen eine weit aufwändigere Angelegenheit, als es beispielsweise bei Smartphones der Fall ist. Kommt es im Fahrzeug zur Entdeckung eines Bugs oder einer kritischen Funktionsstörung, die im Zusammenhang mit der Software steht, muss das Fahrzeug in die Fachwerkstatt. Nur dort können Fachleute bereitgestellten Updates der Software-Hersteller, meist OEMs über eine Kabelverbindung überspielen. Das kostet nicht nur Zeit und Nerven, sondern oft auch eine Menge Geld für den OEM.
Voraussetzung: Vernetzte Fahrzeuge
Die Ausstattung mit Mobilfunk ist das entscheidende Feature, um OTA-Updates für die immer smarteren Fahrzeuge zu ermöglichen. Ein wichtiger Meilenstein für die Etablierung von Mobilfunk in Autos ist die "eCall" Vorschrift der EU: Seit März 2018 schreibt sie die "Emergency Call" Funktion für neue Fahrzeugmodelle vor. Diese Funktion gibt im Notfall einen automatisierten Notruf über die europäische Notrufnummer 112 ab, bietet aber Fahrzeugherstellern auch eine grundsätzliche Möglichkeit zur Kommunikation über OTA. Somit lassen sich Kosten einsparen und möglicherweise sogar Geld verdienen, denn über die OTA-Schnittstelle könnten auch - sofern die Hardware es zulässt - neue kostenpflichtige Funktionen und Anwendungen über einen App-Store gekauft und freigeschaltet werden.
Die Vorteile von OTA-Updates sind vielfältig: Nutzer müssen für Updates nicht mehr in eine Werkstatt und profitieren von neuesten Soft- und Firmwares und damit verbundenen Verbesserungen sowie ständig aktualisiertem Kartenmaterial und neuen Apps. Hersteller können erweiterte Erkenntnisse über Fahrzeugnutzer und Fahrzeugkonfiguration gewinnen, Kosten für Software-bedingte Rückrufe vermeiden und ihre Fahrzeuge weit sicherer halten.
Übertragung und Verteilung
Ziel der OTA-Methode ist es, die werkstattgebundene Übertragung der Updates über ein Kabel durch eine mobile Verbindung zwischen dem Server des OEMs und der Telematik-Einheit des Fahrzeugs zu ersetzen. Das "eCall"-System ist hierfür allerdings nicht geeignet, da es über Notrufe hinaus keine Daten übertragen kann. Das Fahrzeug benötigt also entweder eine separate SIM-Karte oder muss auf eine Verbindung über einen Smartphone-Hotspot oder ein WLAN-Netz zurückgreifen. Besteht eine Verbindung, kann der OTA-Manager, der als Gateway fungiert, den Update-Prozess starten.
[Siehe Abbildung 1]
Essentiell: Safety und Security
Neben den zahlreichen Vorteilen bergen OTA-Updates auch ein nicht unerhebliches Gefahrenpotential. Die Übertragung der Daten-Pakete ist unbedingt zu schützen, da sonst Dritte möglicherweise Zugriff auf wichtige Fahrzeugfunktionen bekommen oder Daten abgreifen können.
Safety und Security sind daher wesentliche Aspekte für den Erfolg von OTA. Security beschreibt dabei die Sicherheit des Übertragungswegs, Safety die sichere Umsetzung des Update-Prozesses. Zur Security gehört unter anderem die Sicherung des Übertragungswegs durch verschiedene Mechanismen wie TLS (SSL-Übertragung), HTTPS, Benutzeridentifikation, VPN und E2EE. Sind diese nicht ausreichend gesichert, drohen Man-In-The-Middle-Angriffe, Bordnetz-Spoofing, Diebstahl von geistigem Eigentum, das Ausspähen des Fahrers oder gar Stilllegung oder Manipulation von Fahrzeugfunktionen.
Bezüglich Safety sind hauptsächlich die Speicherung und Ausführung des Updates relevant. Um eine Manipulation der Software auszuschließen und die Authentizität und Integrität der Daten sicherzustellen, sollte das Softwarepaket kryptografisch signiert werden. Innerhalb der Hardware-Struktur kann ein Hardware-Security-Module (HSM) diese Sicherheitsfunktion übernehmen.
Kein lästiges Warten auf die Installation von Updates
Auch für Zeitpunkt und Dauer der Updates gilt es einige Punkte zu beachten. Die ECUs des Fahrzeugs dürfen nur im sicheren Zustand, das heißt bei abgeschaltetem Motor, Aktualisierungen erhalten. Weiterhin möchte kein Nutzer wegen eines Aktualisierungsprozesses warten müssen, bis er sein Auto wieder fahren kann. Daher sollte der Update-Prozess so bequem bzw. unauffällig wie möglich stattfinden und längere Downtimes des Fahrzeugs vermeiden.
Mögliche Lösungen bestehen in der Einführung redundanter Speichersysteme, in denen sowohl die neue Firmware als auch ein BackUp der alten Firmware gespeichert werden. Sollte der Updateprozess nicht erfolgreich verlaufen, bleibt dadurch die Funktionsfähigkeit des Fahrzeugs erhalten. Eine weitere Maßnahme sind geplante Updateprozesse, die zu einer gewünschten Zeit, meistens in der Nacht, stattfinden.
Für einen schnelleren Upload sollte die Größe der Datenpakete soll so gering wie möglich ausfallen. Die Softwaregröße variiert zwischen ECUs und Infotainmentsystem teils erheblich: Ist der gesamte Code zu ersetzen, können mehrere Gigabyte an Daten anfallen. Abhilfe schafft die Kompression der Datenpakete mittels Delta-Kodierung. Statt des gesamten Software-Codes enthält sie nur die Änderungen zur alten Version. Damit reduziert sich die Datenmenge auf wenige hundert Megabyte.
Lösungsmöglichkeiten von Rutronik
Um schon heute eine OTA-Aktualisierung des Fahrzeugs zu realisieren, bietet Rutronik eine Reihe von Lösungen an, unter anderem Mobilfunk-Module (BT, NFC, 3G,4G, WiFi). Ergänzend stehen Security-Mikrocontroller mit integrierten HSMs zur Verfügung, darunter Infineons AURIX Familie und die SPC58 Familie von ST Microelectronics, sowie Security-Chips und Chips für den "Cellular Network Access" der beiden Hersteller.
Auch softwareseitig bietet Rutronik seinen Kunden Lösungen, beispielsweise das Telit IoT Portal, eine cloudbasierte Management-Software. Sie ist insbesondere für die Verbreitung von Software auf eine große Anzahl von Clients ausgelegt. Die Plattform kann für unterschiedliche Zwecke und Hersteller "gebranded" werden und ermöglicht es, individualisierte Nachrichten an Clients zu übermitteln. Mit der "Geofence"-Funktion lässt sich die Software-Übertragung auf ein bestimmtes Gebiet begrenzen, zudem sind auch normale Begrenzungen und Staffelungen eines Software-Rollouts gegeben.
Kunden, die auf das ständig wachsende Portfolio von Rutronik setzen, sind bei OTA-Updates schon heute für die Zukunft gerüstet.
Komponenten gibt es auf <link www.rutronik24.de _blank external-link-new-window "open internal link">www.rutronik24.de</link>.
Bleiben Sie auf dem Laufenden, indem Sie unseren <link www.rutronik.com/newsletter _blank external-link-new-window "open internal link">Newsletter</link> abonnieren.