汽车联网全链路分析
2022-10-18 11:25:33   来源：智能汽车电子与软件   评论：0 点击：

　　1 前言

　　“网联化”作为中国自主汽车发展的主要方向，依托于中国发达的基础网络建设，以及海量的互联网内容服务，可为中国汽车用户带来优越的联网体验。基于此，用户可在车内轻松在线导航，实时获取地图更新，及时规避拥堵路况；可通过语音识别操控车辆，语音系统通过云端获取更为准确的语义理解，以及更为丰富的互通资源；可通过音响单元收听在线音乐，且与手机端账号无缝打通，听歌习惯无差异迁移；可通过第3方停车服务的接入，轻松找到停车位置以及在线付费。国内用户通过车联网的长足发展，享受到了未来智慧汽车的使用体验。

　　与传统移动联网设备不同的是，汽车作为高速交通工具，一旦发生意外后果不堪设想，因此汽车安全十分重要。而且，汽车作为移动的第3空间，允许用户在保证安全的前提下，通过手机进行远程控制，提升使用体验。同时，汽车内部也有基于以太网或者CAN总线的内部网络，汽车联网设备需要考虑到车外网络与车内网络的安全隔离与融合。综上，汽车的联网链路设计是比较复杂的系统设计，对此系统进行解构与分析，有助于提升汽车联网链路的设计水平。

　　2 车内主要网络使用设备

　　传统意义上，汽车在物理“道路”上行驶，随着消费电子通讯行业的飞速发展，汽车开始在“网路”上行驶。车载的主要联网设备主要包括联网终端设备（Telematics Box,T-Box）和车载信息娱乐系统（In-Vehicle Infotainment,IVI），图1为T-Box 3D数据。

　　2.1 T-Box主要功能

　　T-Box为车内主要的联网终端设备，一方面为整车需要联网的设备提供网络通路，另一方面又是网络功能的使用方。T-Box系统主要有如下功能：

　　（1）CAN通讯，收发整车CAN网络信号；

　　（2）以太网通讯，用于高带宽通讯需求；

　　（3）全网通频段，支持移动、联通、电信运营商；

　　（4）支持SIM贴片卡，满足物联网需求；

　　（5）蓝牙，用于蓝牙钥匙功能；

　　（6）GNSS，用于GPS和北斗等卫星导航定位；

　　（7）内置4G天线，用于外部天线损坏时备用；

　　（8）语音呼叫，E-Call和B-Call，支持E-Call自动触发；

　　（9）收发短信，用于整车的唤醒；

　　（10）网络授时，用于调整系统时间；

　　（11）音频输出，将E-Call和B-Call的声音发送到IVI系统进行整车播放；

　　（12）麦克输入，支持通话功能；

　　（13）备用电池，用于车辆严重碰撞致KL30断开时的E-Call自动正常触发；

　　（14）支持硬件信息安全加密芯片的信息安全方案；

　　（15）整车OTA，用于车端ECU升级包下载，也可作为OTA升级的主控制器，执行各ECU的刷写服务；

　　（16）远程车控，通过手机APP对车辆状况进行查询，以及远程下发空调、车窗等交互指令。

　　2.2 T-Box远程控制

　　以T-Box远程控制这一经典的系统工程案例对T-Box的联网功能做进一步的阐释。

　　远程控制功能是由车辆使用者在智能终端APP上下发远程控制车辆的操作指令（如远程闭锁车门），该指令会经由用户端的4G网络传输至远程控制功能的云端数据平台（Telematics Service Provider,TSP）；TSP接收该指令信号后，对车辆端联网状态进行判断，继而通过4G网络通道下发相应远程控制指令至车端T-Box；车端T-Box接收该指令后，完成车辆远程控制前置条件判断、整车通信网络唤醒[4]、与车身控制器的防盗鉴权认证后下发闭锁车门的CAN报文至CAN总线；车端CAN节点网关（Gateway,GW）收到报文后，将其转发至车身域的车身控制器（Body Control Module,BCM）；BCM在收到该报文后，将执行车门闭锁的指令下发给执行器；执行器完成对应的动作后，将门锁状态反馈给BCM，BCM将动作执行结果通过GW反馈给T-Box，T-Box将该状态反馈给TSP，TSP将远程控制执行结果反馈给智能终端APP。同时，车端GW会对远程控制后的车端CAN通信网络进行网络管理，车辆回归休眠状态。至此，1次远程控制操作完成，远程控制涉及的车端交互流程如图2所示。

　　如图3所示，该远程控制流程多次涉及到车端、智能终端、云端的信息联动，将传统的封闭车端功能范畴扩展到云端和智能终端，并高度依赖无线网络环境。具体涉及到SIM卡资费套餐、接入基站网络覆盖、核心网调度、虚拟专线隧道建设、云端服务器负载能力、车-管-端3点间通道信息安全网关。

　　由此可见，在智能网联汽车背景框架下，各网络节点的条件和能力是实现网联功能良好落地的极重要影响因素。

　　2.3 IVI主要功能

　　从传统的收音机发展到彩屏收音机（MP5），再发展到具备联网功能和触控功能的大屏车联网终端的车载信息娱乐系统（IVI），已成为整个智能座舱发展的核心，也是智能汽车明确的发展方向。IVI的操作系统多为Linux，其实时性能和响应延迟参数能够满足车联生态的使用场景。图4为1种典型IVI系统设计。

　　IVI系统主要功能如下：

　　（1）车辆设置，用于对如车辆驾驶模式、主动安全、以及舒适性配置进行控制；

　　（2）系统设置，用于对IVI自身的的系统进行设置，如声音、显示、快捷方式、版本信息等；

　　（3）收音机以及数字广播；

　　（4）导航，以在线导航为主，离线导航为辅，辅助以实施交通信息显示，综合充电、加油、停车等相关服务，为用户出行带来更好体验；

　　（5）在线音频，包括在线音乐、在线电台服务；

　　（6）在线视频，包括在线短视频、长视频数字多媒体服务；

　　（7）使用手册，通过文字、图片、动图、视频或者新手引导的方式教导用户如何使用车辆；

　　（8）账户服务，用于用户对头像、ID、流量、付费性服务进行管理，以及包括预约保养、意见反馈与互动；

　　（9）天气查询，提供基于位置的未来一段时间的天气显示；

　　（10）语音系统，为用户提供1种新的交互形式，通常可通过语音唤醒或方向盘按键激活，提升用户驾车安全性。

　　从上述的功能描述已经可以看出，IVI系统已经从以本地功能为主的系统，发展为以联网功能为主的系统。

　　随着智能汽车的快速发展，除了T-Box和IVI系统外，用于智能辅助驾驶的核心控制器智能驾驶控制器也出现了联网需求，主要包括在线高精度地图的更新，以及通过V2X(Vehicle-to-everything)技术进行融合感知。

　　因此，汽车网联化无疑成为未来智能汽车发展的关键，而联网的稳定性和联网成功率也已经成为用户体验的关键因素。

　　3 车载设备联网链路

　　智能网联汽车主要联网设备为T-Box和IVI，结合T-Box和IVI的网络依赖功能，结合整车电子电器架构，基本上梳理出整车的联网链路如图5所示。

　　T-Box的联网功能本身涉及到了将整车的状态信号上传或者将云端的信号传输到整车，因此云-管-车协同才是整个联网功能的全貌，车内电子电器架构也有部分出现在了联网链路分析图中。

　　从图5中可以看出，T-Box的联网链路比较复杂，涉及到自身内部、车端以及运营商端、TSP端多个系统。因此，一旦发生了某联网功能异常，排查起来十分困难。本文尝试将链路图中的关键节点进行阐述，说明车端设备联网的原理，从而对于建立稳定的联网能力和排查异常问题有所帮助。整车联网链路包括众多节点，本章节按照图5标识序号，对其中关键节点进行说明。

　　3.1 T-Box与整车网络通信

　　通过此节点，T-Box可以将整车重要报文（国标以及地标或者企标需求的报文）以要求的频率和协议形式，传输到车厂TSP平台，而后车厂TSP平台将相关信号流转到国家新能源汽车监控平台、地方新能源汽车监控平台或企业数据仓库，因而对车辆进行管理或者大数据挖掘。同时，T-Box将来自后台的信息推送到整车（如：远程唤醒的命令、远程控制的命令）。部分车厂将整车OTA和远程诊断的主程序，集成于T-Box系统中，依赖于T-Box和整车网络以及后台的通信，实现OTA和远程诊断功能。

　　3.2 SIM卡制备

　　通常前装T-Box采用为SIM贴片卡。对于SIM贴片卡，是直接将卡嵌入到设备芯片上，而不是作为独立的可移除零部件加入设备中。以保证前装的机械、环境、电子和电磁要求。传统消费级SIM插拔卡和SIM贴片卡形式对比如图6所示。

　　近年来，运营商推出1种基于物联网卡业务的新应用—嵌入式SIM卡（Embedded-SIM,eSIM）。在研发阶段，模组不需要贴片提前灌装好profile文件的SIM贴片卡，而是内置虚拟卡号，后期将物联网卡号码通过远程空中烧号的方式写入eSIM卡，即可实现卡号的实时分配。虽然目前eSIM开始有所普及，但是仍不是主流的形式。

　　SIM作为网络连接的核心部件，内部存储着重要信息，包括：即集成电路卡识别码（Integrate circuit card identity,ICCID），也就是SIM卡号。ICCID为IC卡的唯一识别号码，共有20位字符组成，其编码格式为：XXXXXX 0MFSS YYGXX XXXX。前6位为运营商代码，其中，中国移动为：898600、898602、898604、898607，中国联通为：898601、898606、898609，中国电信为：898603、898611。国际移动用户识别号码（In?ternational Mobile Subscriber Identity,IMSl）是用户的唯一识别标识，也就是手机号码，它使用网络来识别用户归属于哪一个国家、哪一个电信经营部门、哪一个移动业务服务区。其余还包括用户密钥和保密算法，PIN码以及存储空间等。

　　一般主机厂会指定单独的制卡商和运营商。主机厂和运营商针对套餐、流量、APN、电话白名单等信息进行确认后，输出制卡要求到制卡商，由制卡商进行制备后，发送到T-Box供应商进行贴片生产。

　　SIM贴片卡的使用可向eSIM方向演进。通过连接网络载入卡数据包profile至内置芯片，eSIM比起传统SIM卡更便利、更低成本、更安全。

　　3.3 信息安全加密芯片的灌装

　　在通信网络安全的研究中，数据信息安全是非常关键的内容，科学方法保证数据信息安全，提高了通信网络的安全性，突出了互联网系统的安全保障作用。为了保证安全，针对车端与后台的相互通信，主机厂一般都会增加信息安全的要求，包括安全性较低的软件加密和安全性较高的硬件加密手段。V2X技术的发展也引发了许多安全和隐私问题，为了解决这些问题，大量面向V2X通信的认证协议被提出，其中也包括增加符合V2X通信特性的硬件安全方案。其中硬件加密手段，需要在T-Box本地端布置1颗专用硬件安全模块（Hardware Security Module,HSM）。

　　在主机厂确定整体的信息安全方案后，将原版的信息安全证书下发到信息安全加密芯片供应商对空白芯片进行灌装，然后出货到T-Box供应商进行贴片生产，供后续信息安全系统进行调用。

　　3.4 信息安全SDK对信息安全加密芯片的调用

　　信息安全软件开发包（Software Development Kit,SDK）对信息安全加密芯片的调用，主要包括以下接口：

　　（1）安全芯片功能接口的注册；

　　（2）枚举设备获取系统中芯片列表；

　　（3）与芯片进行连接/断开；

　　（4）获取芯片的信息（标签、厂商和支持算法）；

　　（5）芯片锁定/解锁独占使用权；

　　（6）校验PIN；

　　（7）导入导出数字证书；

　　（8）生成随机数；

　　（9）生成RSA公私钥；

　　（10）RSA签名/验签[13]；

　　（11）鉴权码运算。

　　3.5 T-Box应用开发对信息安全SDK的调用

　　有了信息安全加密芯片和信息安全SDK，则TBox信息安全开发有了硬件基础和软件基础。T-Box供应商进行信息安全应用开发时，根据信息安全方案商的系统要求结合T-Box具体业务场景，对信息安全SDK通过接口进行调用[12]，主要的接口如下：

　　（1）获取信息安全SDK版本信息；

　　（2）判断安全芯片是否存在安全证书；

　　（3）安全证书申请；

　　（4）安全通道创建和关闭；

　　（5）日志打印；

　　（6）获取安全通道接口状态。

　　图7可以看出T-Box在登陆TSP平台的场景中，信息安全SDK起到的核心作用。

　　由于在IVI系统中部分业务也需要与TSP进行加密通讯（如：车机端二维码的展示），IVI端的信息安全SDK对T-Box内的安全芯片的调用以及IVI安卓应用开发对信息安全SDK的调用，与T-Box近乎一致。

　　3.6 通讯模组的配置

　　为了保证T-Box可根据前期与运营商达成一致的方案方式进行联网，通知满足信息安全的要求，TBox应用开发中需要保证通讯模组的正确配置，主要包括如下内容：

　　（1）TSP平台域名；

　　（2）单个或者多个APN信息；

　　（3）数据上传的地址、端口；

　　（4）E-Call呼入和呼出的号码；

　　（5）B-Call呼出的号码。

　　汽车属于高安全性要求产品，但目前车联网接入的网络与手机、电脑等消费级产品接入的网络一致，无法保证网络实时的稳定性。为了保证车辆联网的稳定性，需要车辆在本地端做大量的冗余逻辑，针对网络异常的情况进行处理，包括重新拨号、重新开关飞行、甚至对T-Box进行模组重启的动作，以恢复自身网络连接。

　　3.7 近场蓝牙通讯

　　蓝牙钥匙功能即用户可使用手机替代智能钥匙的功能。此种场景下，手机APP与T-Box通过蓝牙进行通讯，用户在手机端进行APP登录后，通过蓝牙与T-Box发起鉴权。鉴权通过后，APP通过蓝牙发出命令，T-Box通过蓝牙进行状态反馈。在蓝牙断开超时后，整车重新进入休眠状态。

　　3.8 车辆远程控制与状态查询

　　由于T-Box已经按照企标的数据上传要求，将需求的整车报文传输到后台，用户通过手机APP认证登录后，通过状态查询即可以看到车辆最新上传的相关状态。同时，用户登录APP后与T-Box通过4G建立安全通道，建立成功后通过振铃或者短信将远程控制开始的请求发送到T-Box。T-Box对整车网络进行唤醒，并对远程控制前提条件进行判断。如判断可行，T-Box将远程控制指令下发整车网络，并将执行状态返回。

　　3.9 公私网通路

　　根据具体的车联网业务，云端资源被部署在公司自有的云端平台或者第3方云端平台。像天气、导航和音频等资源均部署在墨迹天气、高德地图和qq音乐等第3方的云平台中，因此T-Box与此部分资源的连接通路为公网。与企业后台通讯的业务中，根据重要程度，可以选择通过公网进行通讯或者私网进行通讯。无论通过私网还是公网与企业后台通讯，出于信息安全的考虑，都必须通过安全网关的认证。一般来说，公网通路取名APN2，私网通路取名APN1。

　　结合图3可以看出，整车联网的过程中涉及到很多系统的相互协作，仅列举其中几个关键点进行阐述，未展开节点并非不重要，任何1个节点出错都会导致整个系统的失效。

　　4 失效模式分析

　　整个联网链路十分复杂，重点针对下面4个方面进行阐述。

　　（1）信息安全加密芯片如涉及到多端调用，必须完善优先级设定，否则容易发生系统冲突。信息安全芯片分别可通过T-Box端的信息安全SDK和IVI端的信息安全SDK触发。类似此种的多端调用问题，必须明确各端的优先级问题，否则很有可能会出现多端同时调用造成的冲突，导致某1端连接TSP平台的失败。例如，T-BOX和IVI在创建安全通道网络连接时，需要由APP请求各自信息安全的安全接入SDK，进入创建安全通道线程。各自SDK会调用集成在T-BOX上的安全芯片模块接口，如查询安全证书状态find_cert_insafecard()函数可通过pthread_mutex_init函数为调用对象加锁，以防调用冲突导致的程序异常。

　　（2）要注意各个场景下安全证书的有效性，避免因此导致信息安全系统加载失败。有些信息安全方案中，要求安全证书有效的前提，必须具有正确的系统时间。而大部分车厂总装线均为钢筋棚顶结构，对4G信号以及GPS信号的传播有很强的阻断作用，导致无论通过网络授时或者GPS授时都无法获取正确的时间，导致证书无法在EOL环节生效，导致诊断报错。因此，除了联系运营商增加室分基站外，还需合理的制定证书失效与否判定的超时逻辑。

　　除此之外，可增加T-BOX的授时途径，在GPS授时基础上增加NTP、总线网络授时机制。此外，在业务层增加异常时间的判断逻辑，当识别到为授时失败的初始时间（多为UNIX系统的起始时间1970年1月1日），则记录授时故障DTC，以通知下线检测设备（End-Of-Letter,EOL），非TSP连接或证书失效问题所致。

　　（3）应该注意T-Box启动时间过长问题，合理设计逻辑避免电检或者上传数据出错。一般了解到T-Box冷启动时间在1 min左右，这个问题有2个主要表象：在T-Box装配环节中，初次上电，从仓储模式中启动，导致在EOL电检前未启动完成，导致电检失败。使T-Box网络恢复的最后1个方法为重启T-Box，此时如车辆处于行进中，重启花费的时间会导致车辆的速度、位置甚至里程产生比较多的变化，而这个过程中T-Box完全无法工作，无法采集总线数据导致上报国家和地标、企标的数据产生跳变。

　　为解决该问题，一方面要合理的设计T-Box上电到EOL电检的时间，保证T-Box充分启动；另一方面，采用重启恢复网络这个方法时，最好增加车速、电源模式等前置条件，以降低对国标数据的影响。

　　（4）断网现象多种多样，不易排查，对T-Box工程师有比较高的要求。由于有太多的业务都涉及联网，针对单一的每个联网业务，又有多个环节的参与，发生断网状况时很难快速判断哪个环节出了问题。比如天气无法查询，可能的原因就有天气服务本身出现问题，IVI与T-Box的USB通讯出现问题，T-Box供网能力出现问题，SIM卡被限制，或者运营商后台出现短暂无法联网等。当涉及到5G通信制式的漫游业务时，问题将更加难以定位分析。因此，作为T-Box工程师或者联网业务的主要参与者，需要对整个联网链路深入理解，包括4G/5G核心网境内网/异网漫游的主要业务场景进行分析，并可配合在工程模式中开发部分诊断工具，用于分析问题产生的具体原因。

　　5 结论

　　智能汽车的发展，对汽车网联化属性提出了更高的要求。保障汽车联网的可靠性，才能保证用户基本的用车体验。本文对车内主要的联网终端设备IVI和T-Box进行了介绍，并从本地到云端，对车辆的整个联网链路进行描述，针对T-Box与整车网络通信、信息安全芯片与SDK集成、车辆远程控制与状态查询、车辆近场蓝牙通讯等重要环节进行了重点描述。信息安全虽表面看起来与网络相干性不强，实则为车辆与TSP通信的唯一入口，是保证车辆数据上传与远程查询控制的关键，各车厂必须予以高度重视。同时，安全证书有效性、信息安全SDK调用优先级、T-Box启动时间等问题，亦需通过合理的设计，才能保证T-Box工作稳定性。

　　当前阶段的智能汽车已通过T-Box将车辆部分信号，以比较低的频率上传至TSP。随着5G基础网络建设的推进，以及5G T-Box在车端的普及，TBox可以把全量的信号以与信号周期一致的频率发送至TSP，实现云端车辆数据的最大化，同时有效降低车辆状态查询和控制的时延，极大的提升用户体验。