Over-the-Air-Updates im Fahrzeug
Warum OTA-Updates in Autos komplex bleiben
Mit der Zunahme softwaredefinierter Fahrzeuge werden Over-the-Air-Updates (OTA) immer wichtiger. Sie ermöglichen neue Funktionen, erfordern jedoch ständige Weiterentwicklung, um den künftigen Anforderungen moderner Fahrzeuge gerecht zu werden. Dabei sind zahlreiche Aspekte zu beachten.
Ein »Over-the-Air-Update« (OTA-Update) bezeichnet im Allgemeinen die Aktualisierung von Fahrzeug-Software – typischerweise durch die Neuprogrammierung von nichtflüchtigen Speichern (Flash) in verschiedenen Subsystemen. Früher konnte Fahrzeug-Software nur vor Ort beim Händler oder in einer Kfz-Werkstatt während der Servicetermine aktualisiert werden. Denn die Software wurde mittels Kabelverbindungen und häufig spezieller Hardware abgefragt und anschließend aktualisiert, wiederhergestellt oder in einer neuen Version installiert.
Mittlerweile können immer mehr Fahrzeuge aufgrund ihrer zunehmenden Vernetzung bestimmte Arten von Software-Updates aus der Ferne, »Over-the-Air«, herunterladen. Dies geschieht beispielsweise über ein lokales WLAN-Netzwerk oder eine Mobilfunkverbindung.
OTA-Updates sind aktuell noch kompliziert
Moderne Fahrzeuge sind im eigentlichen Sinne eingebettete Systeme, die oft bis zu 100 Millionen Code-Zeilen enthalten können. Der Großteil dieser Software ist dabei in elektronischen Steuergeräten (ECUs) integriert, die bislang nur selten, in manchen Fällen sogar gar nicht aktualisiert werden können.
Ein Grund für die Komplexität von Software-Updates in Autos ist, dass in typischen Fahrzeugen viele dieser elektronischen Steuergeräte nur eine einzige Funktion ausführen oder ein einziges Subsystem wie Fensterheber, Bremsen oder Abgasreinigung verwalten. Dazu kommt noch, dass die elektronischen Steuergeräte typischerweise von vielen verschiedenen Zulieferern entwickelt wurden, das heißt, aktuell sind oftmals verschiedene Hersteller an OTA-Updates beteiligt.
Heute liegt bei vielen Fahrzeugen der Schwerpunkt von OTA-Updates auf Unterhaltungs- und Navigationssystemen, in einigen Fällen auch für ADAS-Systeme. Heute werden diese Updates typischerweise auch nur selten durchgeführt, etwa ein- bis zweimal pro Jahr – und sie sind für die Fahrer oft nicht erforderlich. Geht es um Systeme jenseits der genannten, können konventionelle Fahrzeuge derzeit nur begrenzt mittels OTA aktualisiert werden. Nur ein kleiner Teil der heute auf der Straße befindlichen Fahrzeuge, etwa von Tesla, Rivian, Mercedes und einigen chinesischen Herstellern, ist so weit entwickelt, dass sie auch umfassendere Update-Funktionen ermöglichen.
Software-Updates: Autos und Smartphones sind nicht vergleichbar
Die meisten Menschen kennen Software-Updates von ihrem Smartphone. Die Installation dieser Updates ist unkompliziert, da das Gerät den Benutzer benachrichtigt, dass neue Software bereit steht, und der Vorgang über das Internet schnell und einfach ist. Software-Updates bei einem vernetzten Fahrzeug sind aber ganz anders, schon alleine in Hinblick darauf, wie Software-Updates heruntergeladen, bereitgestellt und installiert werden.
Ein entscheidender Unterschied bei Fahrzeugen sind die Sicherheits- und Zuverlässigkeitsanforderungen. Pkws/Lkws müssen über eine Sicherheitszertifizierung verfügen, und bei Updates muss besonders darauf geachtet werden, dass bestehende Sicherheitsmaßnahmen nicht untergraben werden. Darüber hinaus ist die IT-Infrastruktur der meisten Fahrzeuge im Gegensatz zu Smartphones nicht für derartige Updates ausgelegt. Fahrzeugarchitekturen enthalten oft Elektronik, Software und Komponenten von verschiedenen Herstellern und sind daher viel komplizierter als die Architektur von Mobilgeräten.
Häufige Updates sind heute eher schwierig
Wie bereits beschrieben, werden die meisten Fahrzeuge heute nur ein- oder zweimal im Jahr aktualisiert. Das ist der schnellstmögliche Aktualisierungsrhythmus für bestehende Altfahrzeuge, denn die schiere Komplexität der Koordination von Software über viele verschiedene Drittanbieter von Subsystemen macht es nahezu unmöglich, Aktualisierungen häufiger durchzuführen.
Fahrzeuge, die eine Fernaktualisierung zulassen, erhalten diese derzeit nur über WLAN. Das bedeutet, dass die Fahrer sich ein- oder zweimal im Jahr mit ihrem Heim-, Arbeits- oder einem anderen WLAN-Netzwerk verbinden müssen, um die Aktualisierungen herunterzuladen. Diese Einschränkung ist bei seltenen, nicht wesentlichen und nicht geschäftskritischen Updates ein akzeptabler Kompromiss. Allerdings ist dieser Ansatz mit dem Übergang zu softwaredefinierten Fahrzeugen nicht mehr praktikabel.
Dabei gilt noch ein weiterer Punkt zu beachten: Auch wenn immer mehr Fahrzeuge mit einer Mobilfunkverbindung (immer häufiger 4G/LTE) ausgestattet sind, ermöglichen einige dieser Fahrzeuge trotzdem nur das Herunterladen ausgewählter Updates, etwa unternehmenskritische Updates; das Herunterladen größerer, nicht kritischer Updates über Mobilfunk ist nicht möglich. Selbst Tesla, bekannt für häufige Fahrzeug-Updates, bietet meist nur Updates an, die über WLAN heruntergeladen werden können.
Jobangebote+ passend zum Thema
Updates müssen fehlerfrei sein
Die meisten Fahrzeugaktualisierungen betreffen heute die »Head Unit«, auch bekannt als In-Vehicle-Infotainment (IVI)-System, das das Unterhaltungs- und Navigationssystem umfasst. Dies ist zwar wichtig für das Fahrerlebnis, hat aber viel weniger Sicherheitsrelevanz als andere Fahrzeugsysteme.
Ein kleinerer Teil der Updates entfällt auf andere Systeme wie ADAS. Doch in Hinblick auf ADAS ist es angesichts der rasanten Entwicklung der ADAS-Fähigkeiten wichtig, dass OEMs Updates bereitstellen, um die Sicherheit zu verbessern, festgestellte Mängel zu beheben oder die ADAS-Leistung insgesamt zu verbessern. Es ist zu erwarten, dass aufgrund neuer Funktionen für fortschrittliche Fahrerassistenzsysteme – von denen einige in bestimmten Regionen sogar gesetzlich vorgeschrieben sind – diese Art von Updates häufiger wird.
Um eine positive Kundenerfahrung zu gewährleisten, ist es von entscheidender Bedeutung, Fehler bei Updates zu vermeiden. In den letzten Jahren wurden Autos verschiedener Hersteller durch fehlgeschlagene Updates fahruntüchtig. Wenn ein Update so fehlschlägt, dass das Auto zum Zurücksetzen der Software zum Händler abgeschleppt werden muss, kann dies verheerend für die Kundentreue sein.
Der Antrieb macht einen Unterschied
Es mag offensichtlich erscheinen, aber dennoch: Eine Grundvoraussetzung für OTA-Updates besteht darin, dass das Fahrzeug in irgendeiner Art und Weise eingeschaltet ist. Damit ist klar, dass es spezifische Einschränkungen gibt, die vom Fahrzeugtyp abhängen. Bei Benzin- oder Dieselfahrzeugen sind die elektrischen Systeme in der Regel nur dann voll funktionsfähig, wenn der Motor läuft – auch wenn die meisten Fahrzeuge über einen »Zubehörmodus« verfügen, mit dem einige Subsysteme wie das Radio und die Fensterheber auch im geparkten Zustand ohne Motorbeteiligung funktionieren. Aber auch in diesem Modus werden die meisten Subsysteme des Fahrzeugs immer noch nicht mit Strom versorgt, entweder weil sie vom Motor mit Strom versorgt werden müssen oder auf irgendeine Art und Weise mit dem Motorbetrieb verbunden sind.
Im Unterschied dazu müssen Elektrofahrzeuge nicht gestartet werden, um voll funktionsfähig zu sein. Typischerweise verfügen Elektrofahrzeuge über diverse Systeme, die immer eingeschaltet sind und verschiedene Teilsysteme wie zum Beispiel das Aufladen der Batterie überwachen. Noch wichtiger ist aber, dass ein Elektrofahrzeug alle Fahrzeugsysteme einschalten kann, ohne den Motor zu starten.
Obwohl beide Fahrzeugarten aktualisiert werden können, ist ein OTA-Update bei einem Fahrzeug mit Verbrennungsmotor aufgrund seiner Elektronik und seines Antriebssystems komplizierter und erfordert eine aktivere Beteiligung der Fahrerin oder des Fahrers.
OTA in Zeiten von softwaredefinierten Fahrzeugen
Mit dem Übergang zu SDVs werden Updates immer wichtiger. Denn SDVs sind mit ihren modernen, abstrahierten Schnittstellen leistungsfähiger und verfügen über mehr Funktionen, die in Software anstatt in Hardware implementiert sind. Mehr aktualisierbare Steuergeräte, schnellere Innovationszyklen, häufigere Updates und mehr Software-Typen machen OTAs für SDVs äußerst wichtig. Dementsprechend muss ein erfolgreiches SDV über entsprechende Ansätze verfügen, die einfache, effiziente, kostengünstige, zahlreiche und zuverlässige OTA-Updates ermöglichen.
In den letzten Jahren haben OEMs einerseits versucht, die Kontrolle über ihre Software ins eigene Haus zu holen, oder andererseits von ihren Tier-Ones zumindest die Einhaltung von Standards und die Offenlegung ihrer Software für Updates verlangt. Aber auch der Wettbewerb treibt den Bedarf an Updates voran. Denn eins ist klar: Führende OEMs bieten ihren Nutzern viel häufiger Updates an als ihre Konkurrenz. Branchenanalysen haben ergeben, dass die meisten Updates der letzten Jahre neue Funktionen ermöglichen, Fehlerbehebungen stehen an zweiter Stelle, gefolgt von Sicherheits- und Cybersicherheits-Updates.
Es ist ganz klar: SDVs werden häufiger aktualisiert, da die Menge an Software in Autos zunimmt und die Autos mittlerweile in Hinblick auf OTA-Updates entwickelt werden. OTAs können auch eng mit cloud-nativer Entwicklung und CI/CD-Pipelines verknüpft werden, um moderne Entwicklungspraktiken zu unterstützen.
Fahrerassistenzsysteme brauchen mehr Updates
Neben der »Head Unit« werden SDVs zukünftig auch weitere Teile des Fahrzeugs aktualisieren. Dazu gehören beispielsweise zahlreiche Fahrerassistenzsysteme (FAS), die immer intelligenter werden. Entsprechend werden sie stetig weiterentwickelt und angepasst, wenn sich Algorithmen und Modelle verbessern. Folglich ist der FAS-Computer derzeit der zweithäufigste Empfänger von Updates.
SDVs können aber viel mehr. Das Potenzial, Komponenten über moderne Netzwerke wie Automotive Ethernet zu verbinden, eröffnet nämlich die Möglichkeit, Funktionen in das Fahrzeug zu laden, die bei der Herstellung und dem Erstverkauf noch nicht vorhanden waren.
Die Neukonfiguration von Netzwerken über eine dynamische Over-the-Air-Bereitstellung ist eine Möglichkeit, Fahrern später neue Dienste anzubieten. Durch die Nutzung von Protokollen, die ursprünglich für das Internet entwickelt wurden, aber um neue Sicherheitsstandards und Anforderungen für zeitkritische Inhalte in Fahrzeugen erweitert wurden, können Fahrzeuge künftig eher wie ein »Rechenzentrum auf Rädern« agieren. Und während Updates bisher auf die Firmware einiger weniger Komponenten beschränkt waren, können in SDVs viel mehr Systeme, von der Karosserie und dem Fahrwerk über Antriebsstrang und Sicherheit bis hin zum Batteriemanagement bei Elektrofahrzeugen, als bisher aktualisiert werden.
»Multimodal« ist das Zauberwort
Heute handelt es sich bei den meisten OTA-Updates um Firmware-Updates für eingebettete Steuergeräte. In SDVs sind Software-Updates deutlich vielfältiger und beinhalten auch Software jenseits von Firmware-Updates. Damit ergeben sich automatisch höhere Anforderungen an die Verwaltung von Abhängigkeiten bei OTA-Updates für SDVs. Sonatus umschreibt diese vielfältigen Software-Updates als »multimodal« und Software, die diese Anforderungen erfüllt, etwa der Sonatus Updater, als »xOTA«-fähig.
In multimodalen OTA-Updates werden beispielsweise ADAS-Systeme mit maschinellen Lernmodellen häufiger aktualisiert, um die Erkennungsleistung, die Sicherheit und das Fahrerlebnis zu verbessern. Damit wird aber automatisch auch die Notwendigkeit dringlicher, dass sich die Fahrzeugnetze an die Bereitstellung und Leistungsoptimierung für die Aktualisierung anpassen, das heißt, dass auch Aktualisierungen der Netzwerkkonfigurationen häufiger werden. Hinzu kommt noch, dass die Software, die bislang noch als Teil der Firmware oder fest eingebettet geliefert wird, in Zukunft zunehmend über Container-Technologien ausgeliefert wird.
Welches Netzwerk passt am besten – die Auswahl muss gegeben sein
Um Kosten zu sparen, werden die meisten Updates aufgrund ihrer Datengröße über WLAN bereitgestellt. Das wird sich wahrscheinlich ändern. Da OTAs immer häufiger werden und zunehmend Sicherheitsverbesserungen bieten, wird es eine Mischung geben. Das heißt, dass sicherheitskritische Updates über LTE-/Mobilfunknetzverbindungen bereitgestellt werden, während größere oder weniger kritische Updates nur über WLAN angeboten werden. Dies erfordert eine sorgfältige und vorausschauende Planung, um die Komplexität dieser Mischung zu bewältigen.
Die Größe von OTA-Updates ist ein wichtiger Punkt, da die Kosten für eine drahtlose Datenübertragung erheblich sein können. Der »Brute-Force«-Ansatz, bei dem die gesamte Software-Nutzlast über Funk übertragen wird, ist mit LTE nicht möglich – problematisch dabei ist, dass einige Updates dies dennoch erforderlich machen. Also: Um die Größe der nötigen Datenübertragung zu reduzieren, können zum Beispiel nur die Änderungen gegenüber der jeweils aktuellen Software-Version übertragen werden. Dies erfordert jedoch ein umfangreiches Modell der aktuellen Software.
Eine weitere Möglichkeit ist die Komprimierung. Sie hilft ebenfalls entscheidend, die Größe des übertragenen Datenpakets zu reduzieren. Aber nicht jede Software lässt sich gleich gut komprimieren. Deshalb muss das System erkennen, um welche Art von Daten es sich handelt, und dann den passenden Komprimierungsalgorithmus wählen, um die Daten möglichst platzsparend zu übertragen.
Fehlermanagement und Sicherheit
Auch das Fehlermanagement ist bei SDVs von entscheidender Bedeutung. Führende Unternehmen setzen bereits Ansätze wie die sogenannten A/B-Partitionen ein, um sicherzustellen, dass ein Failover Image aufrechterhalten wird oder ein fehlgeschlagenes Update das Auto nicht beschädigt. Diese Ansätze erfordern jedoch ein aktives Management und erhöhen die Komplexität von Updates zusätzlich.
Außerdem erfordern OTAs eine End-to-End-Absicherung, um die Sicherheit und Integrität von SDVs zu gewährleisten. Es gibt mehrere Sicherheitsstandards, die auf OTAs anwendbar sind, um die Sicherheit von Updates zu gewährleisten. Dazu gehören internationale Sicherheitsstandards wie UNECE R155/R156 oder das Uptane Framework, die festlegen, wie Updates abgesichert sein müssen. Zudem muss die eigentliche Datenübertragung zwischen Cloud-Server und Fahrzeug geschützt, sprich verschlüsselt werden, um ein Abfangen und eine Manipulation der Daten zu verhindern. Dazu werden typischerweise »Transport Layer Security (TLS)«-Protokolle verwendet.
Das empfangende Fahrzeug muss die Integrität des heruntergeladenen Aktualisierungspakets überprüfen können. Dazu werden typischerweise kryptografische Hash-Funktionen verwendet, um sicherzustellen, dass die Aktualisierung nicht verändert wurde. Für den Fall, dass ein Update fehlschlägt oder Probleme verursacht, sollte das Fahrzeug natürlich auch über einen Mechanismus verfügen, zur vorherigen Version der Software zurückzukehren, um die Funktionalität und Sicherheit aufrechtzuerhalten. Eine Software wie Sonatus Updater implementiert all diese wichtigen Standards und bietet darüber hinaus vor einem Update ein hohes Maß an Verifizierung sowie hochauflösendes Debugging, um Probleme schnell zu diagnostizieren, wenn ein Fehler auftritt.
Fazit
OTA-Updates sind entscheidend. Sie ermöglichen nicht nur eine schnelle und datengesteuerte Verbesserung der Fahrzeugqualität, sondern führen selbst bei bereits ausgelieferten und verkauften Fahrzeugen zu schnellen und iterativen Verbesserungen. Darüber hinaus ermöglichen präzise Fahrzeugdaten und automatisierte Diagnosen eine vorausschauende Wartung der Fahrzeuge. Dadurch können potenzielle Fehler frühzeitig erkannt und so eine schnellere Behebung, weniger Ausfallzeiten sowie ein insgesamt besseres Kundenerlebnis erreicht werden.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Zusammenarbeit mit Toyota
Waymo macht ersten Schritt zu autonomen Autos für Privatleute
Große Markt&Technik-Umfrage
Zollchaos bremst Automotive-Erholung
