Aufmacher

(Bild: Elektrobit)

Es gibt eine Vielzahl von Gründen, warum Fahrzeughersteller kaum mehr eine Alternative zu Updates von Steuergeräten und Systemen over the air haben, denn cyberkriminellen Bedrohungen gegenüber vernetzten Fahrzeugen, aktuell erkannten Angriffsvektoren sowie bekannt gewordenen Sicherheitslücken müssen Hersteller durch die Befähigung zu zügigen Gegenmaßnahmen begegnen. Sollte sich herausstellen, dass eine Softwarefunktion einen Rückruf erforderlich macht, lässt sich dieser per over the air-Update schneller und günstiger durchführen.

E-Fahrzeuge im Vorteil

Bei Elektrofahrzeugen sind OTA-Updates zudem deutlich einfacher, denn sie verfügen über eine völlig andere Fahrzeugarchitektur. Die Funktionen sind nicht mehr einzeln auf eine Vielzahl von Steuergeräten verteilt, sondern in wenigen hochperformanten Controllern gebündelt. Das spart viel Gewicht und befähigt sie praktisch „automatisch“ für Updates over the air.

Schließlich eröffnen sich OEMs durch die mögliche Nachrüstung von softwarebasierten Funktionen und Ausstattungsmerkmalen neue Geschäftsfelder und Erlösquellen, auch nach dem eigentlichen Verkauf des Fahrzeugs. Solche Angebote, die sich als „Software-as-a-Product“ (SaaP) oder „Software-as-a-Service“ (SaaS) realisieren lassen, sind wichtige Bausteine in den Zukunftsstrategien der Fahrzeughersteller. Hinzu kommen weitere Anwendungen wie beispielsweise Remote-Diagnoseaufträge in ausgewählten Teilen der Fahrzeugflotte, mit denen sich gegebenenfalls sogar bevorstehende Ausfälle von Komponenten vorhersagen lassen. Ein weiterer Vorteil: Sind Steuergeräte und Systeme für over-the-air-Updates ausgelegt, lässt sich dieses Verfahren auch schon in den Produktionsprozess des Fahrzeugs integrieren. So kann die Firmware einzelner Steuergeräte etwa parallel zur mechanischen Montage aufgespielt werden. Und die vor Auslieferung aktuellste Software lässt sich weitgehend unabhängig vom dann zutreffenden Standort des Fahrzeugs installieren.

Endkunden erwarten OTA-Updates

Gleichzeitig empfinden es Endkunden heutzutage als Selbstverständlichkeit, dass erforderliche Software-Aktualisierungen over the air (kurz OTA) eingespielt werden. Sie sind dies von Smartphones und anderen Consumer-Geräten längst gewohnt und akzeptieren nicht mehr, dass sie ihr Fahrzeug allein für ein Software-Update in eine Werkstatt bringen müssen. Ein zusätzlicher Aspekt ist, dass aus den oben genannten Gründen häufiger Updates notwendig sind. Installationen nur in der Werkstatt aufzuspielen, wird somit unpraktikabel – zumal die Kunden häufigen Werkstattaufenthalten auch mit wenig Akzeptanz begegnen.

Mit EB‘s Update OTA stellt Elektrobit OEMs eine zuverlässige, skalierbare, flexible und sichere Komplettlösung zur Verfügung. Sie ermöglicht es, Steuergeräte und Systeme für OTA-Updates vorzubereiten sowie Updates während des Fahrzeug-Lebenszyklus zu verwalten und durchzuführen. Die Lösung stellt die nötigen Werkzeuge für die Installation von OTA-Updates im Fahrzeug zur Verfügung. Darüber hinaus umfasst sie einen abgesicherten Kommunikationskanal zwischen Cloud und Fahrzeug sowie ein Backend, das eine Benutzeroberfläche für die Verwaltung von Softwareständen, Kampagnen und zur Fahrzeugverwaltung bietet. Das eigentliche Ausrollen und Installieren von Updates, aber auch Funktionen wie Monitoring und Test, sind in der EB-Update-OTA-Lösung als Dienste realisiert.

Die Lösung beschränkt sich nicht auf Head-units und Infotainment-Komponenten, sondern ist gezielt auch für klassische Steuergeräte in einer Vielzahl von Fahrzeugen ausgelegt. Als wesentliche Voraussetzung müssen die betroffenen Steuergeräte lediglich standardisierte Diagnose-Protokolle unterstützen. Elektrobit-Kunden profitieren hier von der jahrzehntelangen Erfahrung des Softwareanbieters in Bereichen wie Sicherheitslösungen, der Bereitstellung von Backend-Diensten sowie Plattformen beispielsweise zur Remote-Fahrzeugdiagnose. Mit der Update-OTA-Lösung lassen sich Updates schnell, unkompliziert und kostengünstig über den gesamten Lebenszyklus eines Fahrzeugs ausrollen. Außerdem bietet sie den Herstellern die Möglichkeit, neue Geschäfts- und Erlösmodelle zu schaffen, auch nach dem Verkauf des Autos.

 

Welche Update-Mechanismen die Lösung von Elektrobit bietet, erfahren Sie auf der nächsten Seite.

Update-Mechanismen nach Bedarf

EB‘s Update OTA ermöglicht sowohl Firmware-Updates in Steuergeräten, die etwa Softwareumgebungen wie Autosar oder Osek nutzen, als auch Applikations-Updates in Steuergeräten, in denen zum Beispiel Apps in virtualisierten Umgebungen auf einem Hypervisor laufen. In Autosar-Umgebungen erweitert die Lösung den Software-Stack um die Funktionen, die für die Installation von OTA-Software-Updates erforderlich sind. Zur bisherigen Autosar-Softwareumgebung kommt eine weitere Plattform hinzu: Autosar-Adaptive. Diese Plattform erlaubt eine Dynamisierung der Laufzeitumgebung durch Nachladen und Abmelden von Komponenten. Im Unterschied zum klassischem Autosar, bei dem das Nachladen oder Aktualisieren einer Funktion das komplette Update der Applikationssoftware erforderlich macht, enthält Autosar-Adaptive standardisiert wesentliche Funktionen für das gezielte Update von Funktionen und Komponenten – wie etwa den Diagnostic Manager (DM) und einen Update Configuration Manager (UCM). Da Elektrobit auch die Basissoftware für Autosar-Adaptive sowie weitere darauf basierende Softwarelösungen anbietet, unterstützt EB‘s Update OTA diese Konstellation ebenfalls nahtlos und macht zudem die konzeptionellen Vorteile von Autosar-Adaptive direkt nutzbar.

Bild 1: Ende-zu-Ende verschlüsselte Kommunikationsverbindungen erfüllen die immer höheren gesetzlichen Anforderungen an den Datenschutz.

Bild 1: Ende-zu-Ende verschlüsselte Kommunikationsverbindungen erfüllen die immer höheren gesetzlichen Anforderungen an den Datenschutz.




Elektrobit

In jedem Fall sorgen eine Ende-zu-Ende verschlüsselte Kommunikationsverbindung zwischen Backend und On-Board-Komponenten und die verschlüsselte Speicherung der Daten sowohl im Backend als auch im Fahrzeug für die sichere Übertragung und Speicherung der Update-Daten. Dies gewährleistet nicht nur die Zuverlässigkeit des Systems und verhindert Missbrauchsversuche, sondern erfüllt auch die immer höheren gesetzlichen Anforderungen an Datenschutz und Informationssicherheit (Bild 1).

Modulares Backend

Die Backend-Plattform lässt sich wahlweise in einer Public-Cloud-Plattform oder in einer Private-Cloud des OEMs betreiben. Ihre Architektur erlaubt es, funktionale Elemente zwischen OEM und Elektrobit aufzuteilen, zum Beispiel die Verwaltung des Fahrzeugbestands sowie die Authentifizierung und Software-Bereitstellung beim OEM zu betreiben und die Verwaltung der Ausroll-Kampagnen und Software-Verteilung bei Elektrobit. Auf Wunsch des OEMs kann das Backend aber auch exklusiv in seinem Rechenzentrum realisiert werden. In beiden Fällen lassen sich die erforderlichen Backend-Komponenten problemlos in bestehende Systemarchitekturen auf OEM-Seite integrieren.

Durch Maßnahmen wie Load-Balancing und die Nutzung von Content-Delivery-Networks (CDN) lässt sich die Plattform einfach skalieren, damit auch die Versorgung großer Fahrzeugflotten mit Updates schnell, zuverlässig und kosteneffizient mit Updates geschieht. Die Abrechnung erfolgt dabei pro einbezogenem Fahrzeug, sodass OEMs mit übersichtlichen und klar definierten Kosten kalkulieren können.
Dank der modularen Architektur des Backends lassen sich dort auf Wunsch auch weitere Dienste wie zum Beispiel die Remote-Analytics-Lösung EB Cadian oder Sicherheitsprodukte von dem zu Continental gehörenden Sicherheitssoftware-Experten Argus Cybersecurity integrieren. Das 2013 gegründete Unternehmen mit Hauptsitz in Tel Aviv, Israel, ist aktuell der weltweit größte unabhängige Anbieter von Cybersecurity-Lösungen im Automotive-Markt.
Leistungsfähige Backend-Funktionen

Im Fall einer solchen Integration mehrerer Backend-Dienste gewährleistet eine einheitliche Bedienoberfläche, dass sich Administratoren und andere Backend-Nutzer sofort zurechtfinden. Auf diese Weise wird nur eine Plattform für verschiedene Backend-basierte Dienste und Use Cases eingesetzt. Dies erhöht die Flexibilität für OEMs deutlich und verringert den Integrationsaufwand für die gleichzeitige Bereitstellung mehrerer Dienste spürbar. Die in der Backend-Plattform realisierten Sicherheitskonzepte sorgen für funktionale Sicherheit, Schutz gegen Cyber-angriffe und verlässlichen Datenaustausch auf allen System-
ebenen. Elektrobit unterstützt seine Kunden überdies mit einem rund um die Uhr bereitgestellten 2nd und 3rd Level Support.

Die Bedienoberfläche für die Backende-Dienste von EB‘s Update OTA unterstützt bei der Verwaltung von Softwareständen, der Definition und Bearbeitung von Kampagnen, der Auswahl und Bereitstellung von Update-Paketen sowie der Verwaltung der Ziel-Fahrzeuge und bietet umfangreiche Monitoring- und Reporting-Funktionen. Die Fahrzeug-Verwaltung zeigt den Hardware-, Firmware- und Software-Stand aller Fahrzeuge in der verwalteten Flotte. Die Plattform stellt Software-Drittanbietern auch eine Schnittstelle zur Verfügung, über die sie Software- beziehungsweise Firmware-Updates für die Distribution an die Fahrzeugflotte ins System einspeisen können.

Bild 2: Die Plattform unterstützt sowohl differenzielle als auch Delta-Updates. Beide Mechanismen sparen Bandbreite und verkürzen die fürs Update benötigte Zeit.

Bild 2: Die Plattform unterstützt sowohl differenzielle als auch Delta-Updates. Beide Mechanismen sparen Bandbreite und verkürzen die fürs Update benötigte Zeit.




Elektrobit

Ausroll-Vorgänge lassen sich über die Bedienoberfläche bei Bedarf unterbrechen, fortsetzen oder auch abbrechen. In letzterem Fall erfolgt für die bereits vom Update erreichten Fahrzeuge ein Rollback zum vorherigen Softwarestand. Die Plattform unterstützt sowohl differenzielle Updates, bei denen nur solche Blocks einer Applikation aktualisiert werden, in denen Änderungen erforderlich sind, als auch Delta-Updates, bei denen die Ziel-Applikation auf den neuen Softwarestand gepatcht wird (Bild 2).

 

EB‘s OTA-Lösung ermöglicht individuelle Workflows. Wie dies im Detail funktioniert zeigt der Beitrag auf der folgenden Seite.

Individuelle Workflows möglich

Linux-basierte Steuergeräte bieten für den Workflow bei OTA-Updates einen weiteren Vorteil: In diesem Fall lässt sich die Abfolge der Schritte vor und während der Installation spezifisch an die Erfordernisse des OEM anpassen. Der Update Master erlaubt es, den gewünschten Workflow auf einer grafischen Oberfläche als Ablaufdiagramm zu modellieren. Aus dem so definierten Ablauf generiert EB‘s Update OTA automatisch entsprechenden Code, der dann für die Update-Master-Komponente im Fahrzeug kompiliert werden kann. Bei Steuergeräten, die auf der Autosar-Umgebung basieren, ist die Update-Durchführung zum gegenwärtigen Zeitpunkt an einen fest definierten Ablauf gebunden. Beim Rollout eines Updates arbeiten die Softwarekomponenten Connectivity Client und Update Master gemeinsam mit lokalem Speicher zusammen, der zum Zwischenspeichern der Update-Daten dient. Dabei gewährleistet der Austausch von Fingerprints und Krypto-Schlüsseln das Einspielen der richtigen Update-Versionen und dass die Übertragung auf einem gesicherten, verschlüsselten Kanal über das Content Delivery Network erfolgt.

Bild 3: EBs OTA-Konzept unterstützt auch Failover-Szenarien wie beispielsweise A/B-Updates.

Bild 3: EBs OTA-Konzept unterstützt auch Failover-Szenarien wie beispielsweise A/B-Updates.




Elektrobit

Bild 4: Komponenten wie Connectivity-Client und Update-Master/Update-Slave lassen sich je nach OEM-Anforderungen in unterschiedlichen Steuergeräten und Gateways integrieren.

Bild 4: Komponenten wie Connectivity-Client und Update-Master/Update-Slave lassen sich je nach OEM-Anforderungen in unterschiedlichen Steuergeräten und Gateways integrieren. Elektrobit

Der Update-Master ist für die grundsätzliche Steuerung und Kontrolle des Update-Prozesses zuständig, generiert Status-Reports über den tatsächlichen Ablauf und arbeitet für den Download der erforderlichen Update-Daten eng mit dem Connectivity-Client zusammen. Der Update-Slave bezieht die heruntergeladenen Update-Daten vom Update-Master und nimmt dann die eigentliche Installation auf den Zielkomponenten vor. Dabei unterstützt das Konzept auch Failover-Szenarien wie A/B-Updates: Sollte Update „A“ Probleme beim Booten des Steuergeräts verursachen, lädt das Gerät den vorherigen Softwarestand „B“ und stellt so wieder einen stabilen Betriebszustand her (Bild  3). Die genannten Komponenten wie Connectivity-Client und Update-Master/Update-Slave lassen sich je nach Fahrzeugarchitektur und Anforderungen des OEMs in unterschiedlichen Steuergeräten und Gateways integrieren (Bild 4).

Fazit

EB‘s Update-OTA-Lösung spart Kosten und Zeit über die gesamte Lebensdauer eines Fahrzeugs. Diese Vorteile beginnen bereits bei Entwicklung und Produktion und setzen sich während der Nutzung des Fahrzeugs auf der Straße fort. Somit steigert die Lösung auf Seite der OEMs die Flexibilität und Effizienz. Da die Update-Lösung es OEMs ermöglicht, ihren Kunden besseren und schnelleren Service zu bieten, trägt sie auch zu einer Verfestigung der Markentreue bei. Sie lässt sich einfach in bestehende Prozesse und Architekturen integrieren und ermöglicht es OEMs, sich voll und ganz auf ihre eigenen Kernkompetenzen zu konzentrieren.

 

Dieser Beitrag ist in der emobility tec, dem technischen und technologischen Fachmedium für Hybridfahrzeuge und Elektromobilität, erschienen.

Dipl.-Inf. Peer Sterner

Produktmanager Software-Produkte Connectred-Services, Software-OTA und Fahrzeugsicherheit bei Elektrobit

(na)

Sie möchten gerne weiterlesen?