OTA-päivitykset – SDV-ajoneuvojen elinkaarihallinnan ja käyttäjäkokemuksen kulmakivi mahdollistaa myös ketterät laadunparannuskampanjat

Sähköisten voimalinjojen ja nopeiden mobiilidatayhteyksien yleistyminen henkilöautoissa on mahdollistanut langattomien OTA-päivitysten (Over-The-Air) käyttöönoton osaksi auton elinkaarenhallintaa. Mobiilidata-yhteys mahdollistaa päivitys-pakettien latauksen autovalmistajan taustapalvelimelta kohtuullisessa ajassa. Sähköiseen voimalinjaan liittyvä infra-struktuuri puolestaan mahdollistaa riittävän jännitteen- ja virransyötön, jonka avulla varmistetaan turvalliset ohjelmointiedellytykset 12 voltin sähköjärjestelmään. 

Laadunparannus-kampanjoita ilman korjaamovisiittiä 

OTA-päivityksen käyttökohteet ja niihin liittyvä infrastruktuuri – sekä ajoneuvossa että valmistajan taustapalvelimella – riippuvat suuresti siitä, minkälaisella sähköverkon rakenteella ajoneuvo on varustettu. OTA-päivityksiä voidaan hyödyntää perinteisten sulautetuiksi järjestelmiksi luokiteltavien yksinkertaisten ohjausyksiköiden laadunparannukseen tai virheiden korjaukseen liittyviin ohjelmistopäivityksiin. Niitä voidaan kuitenkin käyttää yhtä lailla myös täysin uusien toimintojen ja sovellusten asennukseen nykyaikaisemmilla sähköjärjestelmillä varustettuihin- ja SDV-ajoneuvoihin (Software Defined Vehicle).

Ohjelmiston määrä henkilöautoissa on kasvanut eksponentiaalisesti viimeisen vuosikymmenen aikana, ja keskiverto henkilöauto sisältääkin huomattavasti enemmän koodirivejä verrattuna esimerkiksi moderniin matkustajalentokoneeseen tai vaikkapa sosiaalisen median sovelluksiin. Siten ei ole yllättävää, että myös ohjelmistoon liittyvien laatuongelmien määrä on kasvanut.

Normaalisti laatua parantavia tai virheitä korjaavia ohjelmistopäivityksiä tehdään autovalmistajan sisäisen tiedotuksen mukaisesti esimerkiksi määräaikaishuoltojen yhteydessä tai takaisinkutsuina silloin, kun ongelma on vakavampi ja esimerkiksi turvallisuuteen liittyvä. Diagnoositesterillä suoritettava ohjelmistopäivitys vaatii auton käyttäjältä aina vierailun korjaamolle – ja vastaavasti korjaamolta aikaa ja resursseja työn suorittamiseen. Tämä on iso kuluerä ja heikentää pahimmillaan käyttäjäkokemusta merkittävästi. OTA-päivitykset mahdollistavat tällaisten toimenpiteiden suorittamisen langattomasti suoraan ajoneuvosta käyttäjän itsensä toimesta. 

Kertaus SDV-ajoneuvoihin 

SDV (Software Defined Vehicle) viittaa ajoneuvoon, jonka fyysinen laitteisto – kuten perinteiset ohjausyksiköt, anturit ja toimilaitteet – on erotettu niitä hyödyntävistä sovelluksista väli-ohjelmiston, ohjelmistorajapintojen ja erillisen laitteistonerotuskerroksen avulla. Fyysistä laitteistoa käyttävät sovellukset on asennettu HPC-tyyppisiin (High-Performance Computer) ohjausyksiköihin, joissa voidaan ajaa jopa satoja erilaisia eri toimittajien sovelluksia. HPC-tyyppisissä ohjausyksiköissä on huomattava määrä laskentatehoa ja monesti useita käyttöjärjestelmiä.

SDV-ajoneuvon määritelmä on häilyvä. Sarjatuotannossa tavataan jo useita HPC-ohjausyksiköillä ja alueellisella (zonal) tai toimialuepohjaisella (do-main) varustettuja ajoneuvoja, jotka täyttävät monelta osin SDV-ajoneuvon määritelmän. Ohjelmiston ja laitteiston erotus on kuitenkin parhaimmillaan löyhää ja koskee pääosin infotainment-järjestelmiä – näin ollen myös uusien sovellusten ja toimintojen jalkauttaminen käyttöön ohjelmistopäivitysten avulla on mahdollista ainoastaan näihin järjestelmiin, kun taas ”täydessä” SDV-ajoneuvossa vastaava olisi mahdollista laajasti myös esimerkiksi ajolinjaan ja voimansiirtoon sekä kuljettajaa avustaviin ja autonomisen ajon toimintoihin.

Oli sitten kyse tällaisista ”päivitettävästä ajoneuvoista” – kuten eräs epävirallinen määritelmä linjaa – tai ”täydellisistä” SDV-ajoneuvoista, OTA-päivitykset mahdollistavat niihin teoriassa sekä laadunparannukseen, virheiden korjaukseen että uusien sovelluksien ja toimintojen asennukseen liittyviä toimenpiteitä niin HPC- kuin perinteisiinkin ohjausyksiköihin. 

OTA-päivitykset käytännössä

OTA-päivityksen hallintaan on tarjolla holistisia ratkaisuja useilta autoteollisuuden alihankkijoilta. Nämä modulaariset ratkaisut tarjoavat ohjelmistokomponentteja ja -rajapintoja niin autovalmistajan taustapalvelimelle kuin ohjausyksiköiden sovellusohjelmistoon. Tarvittavat palaset riippuvat laajasti autossa käytettävästä tekniikasta. Yksinkertaisimmillaan OTA-päivitykset eivät juuri eroa perinteisistä diagnoositesterillä suoritettavista päivityksistä – näin on yleensä perinteisellä sähköverkon rakenteella varustetuissa ajoneuvoissa.

Päivitys voidaan ladata telematiikkayksikön muistiin ajon aikana. Itse päivityspaketti on tässä tapauksessa samanlainen kuin diagnoositesterilläkin. Se sisältää varsinaisen ohjelmiston binääritiedostona yleensä salatussa ja pakatussa muodossa sekä lisäksi XML-tyyppisen (usein ODX-F) tiedoston, joka sisältää tässä tapauksessa telematiikkayksikölle tarkoitetut ohjeet siitä, miten päivitys käytännössä suoritetaan. Tällaisessa päivityksessä telematiikkayksikkö toimii ajoneuvon sisäisesti aivan kuten ulkoinen diagnoositesterikin ja käyttää ohjelmointiin samaa, usein UDS-diagnoosiprotokollaa (Unified Diagnostic Services). Lisäksi päivityksen toteuttavan ja sitä koordinoivan telematiikkayksikön tulee raportoida takaisin taustapalvelimelle ohjelmistopäivityksen tila ja mahdolliset muutokset ohjelmistoversioihin.

HPC-ohjausyksiköillä varustetuissa ja SDV-ajoneuvoissa tarvitaan lisäksi muita ohjausyksiköiden sisäisiä ohjelmistokomponentteja, jotka liittyvät erilaisten käyttöjärjestelmien, kuten AUTOSAR Adaptiven ja Android Auton, ohjelmistopäivityksiin. Tietoturva on olennainen osa tätä päästä päähän -prosessia, ja erilaisia autentikointiin ja turvattuun kommunikaatioon liittyviä standarditoimenpiteitä käytetään niin päivityspakettien kehityksessä, jakelussa kuin asennuksessakin. 

Ohjausyksiköiden muistinhallinta

Autovalmistajasta riippuen ohjausyksiköiden Flash-muisti voi olla jaettu kahteen tai jopa kolmeen osaan, joista yksi on varattu tällä hetkellä käytössä olevalle ohjelmistoversiolle ja toinen uusille ohjelmistoversioille. Tällainen ratkaisu mahdollistaa palautuksen vanhaan ohjelmistoversioon, jos OTA-päivitys jostain syystä epäonnistuu. Jos päivitys sisältää binääridataa useampaan ohjausyksikköön, joiden välillä on toiminnallisia riippuvuuksia, palauttavat kaikki ohjausyksiköt ohjelmistoversionsa vanhaan, mikäli ohjelmointi epäonnistuu jonkin yksittäisen tai yksittäisten ohjausyksiköiden osalta. Yritettäessä päivitystä uudelleen huomioon otetaan luonnollisesti ainoastaan ne ohjausyksiköt, joiden ohjelmistopäivitys epäonnistui. Joidenkin autovalmistajien ja -mallien tapauksissa erityisiä muistinhallintatoimintoja ei ole, vaan epäonnistunut OTA-päivitys saattaa johtaa pahimmillaan auton toimimattomuuteen ja vierailuun korjaamolla hinausautoavusteisesti.

Kun ajoneuvon käyttäjä käynnistää OTA-päivityksen, ei auto ole sen aikana käytettävissä. Esimerkiksi yhteen noin 10 MB:n kokoiseen ohjausyksikköön kohdistuvaan päivitykseen aikaa voi kulua keskimäärin noin 15 minuuttia, ja jos päivitettäviä ohjausyksiköitä on viisi, on ajoneuvo alhaalla noin tunnin ja vartin. Hienostuneemmilla Flash-muistinhallinta-ominaisuuksilla päivityksen ajaminen SDV-ajoneuvoissa olisi mahdollista jopa ajon aikana, jolloin varsinaiseen ohjelmistoversiosta toiseen vaihtamiseen menisi aikaa ainoastaan muutamia minuutteja. Tälläkin saralla on odotettavissa merkittävää kehitystä lähivuosien aikana SDV-ajoneuvojen saapuessa toden teolla sarjatuotantoon.

SDV-ajoneuvojen erityispiirteitä OTA-päivityksissä

SDV-ajoneuvot mahdollistavat laajan kustomoinnin käyttötarpeen mukaan. Esimerkiksi vuokra-autokäytössä oleva ajoneuvo voisi mahdollisesti sisältää erilaisia autovuokraamon omia sovelluksia, jotka vaikuttaisivat auton toiminnallisuuteen. Vastaavasti yksityiskäytössä olevassa ajoneuvossa voisi olla useita käyttäjän kustomoimia toimintoja ja esimerkiksi vain määräajaksi käyttöön hankittuja toimintoja. Ohjelmistoon liittyvien variaatioiden määrä SDV-autoissa on niin suuri, että yksitellen kuhunkin konfiguraatioon kehitettyjen päivityspakettien suunnittelu olisi käytännössä mahdotonta. Näin ollen ajoneuvon itsensä täytyy ”ymmärtää” oma tilansa ja ladata valmistajan taustapalvelimelta ainoastaan ne ohjelmiston artefaktit, jotka ovat sen kannalta olennaisia.

OTA-päivitysten perimmäinen ajatus SDV-ajoneuvoissa on mallisarjan elinkaaren pidentäminen ja mahdollisuus käyttäjäkokemuksen ja toiminnallisuuden laajoihinkin muutoksiin sen aikana – aivan kuten arkisissa älylaitteissakin. Tämän tyyppinen paradigman muutos aiheuttaa merkittäviä muutoksia autoteollisuuden ohjelmistokehitykseen, jonka odotetaan siirtyvän yhä enemmän DevOps- ja CI/CD-tyyppisiin (Continuous Integration and Continuous Delivery) ketteriin malleihin. 

Kirjoittaja: Valtteri Härkönen