Laite- ja muiden ohjelmistojen säännölliset päivitykset parantavat autojen toiminnallisuutta, tietoturvaa ja turvallisuutta. Yleensä ajoneuvot pitää viedä korjaamoon päivityksiä varten, mutta etäpäivitys korjaa tämän ongelman. Älypuhelimien tapaan käyttäjät voivat joustavasti ladata uusimmat versiot ohjelmistoihin milloin tahansa, missä tahansa.
Artikkelin kirjoittaja Bernd Wondratschek toimii sovellusinsinöörinä Rutronikin autoteollisuuden liiketoimintayksikössä. |
OTA-päivitys (over-the-air) tarkoittaa, että laiteohjelmiston ja muun ohjelmiston päivityksiä ei enää suoriteta kaapelin välityksellä, vaan langattomasti. Tämä voidaan tehdä käyttämällä erilaisia radiostandardeja, mukaan lukien mobiiliverkot ja WLAN, mutta myös Bluetooth ja NFC ovat mahdollisia esimerkiksi sähköautojen latausasemilla. Autossa päivitykset vaikuttavat moottorin ohjausyksiköihin (ECU) ja viihdejärjestelmään. Moottorin ohjausyksiköiden päivitykset yleensä korjaavat tietoturva-aukot ja parantavat suorituskykyä, ja päivitetty viihdejärjestelmä auttaa parantamaan mukavuutta matkustettaessa.
Kun yhä useammat uudet ajoneuvot tulevat markkinoille varustettuna paljon koodia sisältävillä ECY-yksiköillä, myös ohjelmistojen ylläpitovaatimukset kasvavat. Yhdysvaltain kansallisen moottoritieliikenteen turvallisuushallinnon (NHTSA) tekemän tutkimuksen mukaan 15 prosenttia kaikista ajoneuvojen turvallisuudesta johtuvista takaisinkutsuista vuonna 2015 johtui ohjelmistovirheistä. Tällaisten virheiden poistaminen on paljon monimutkaisempaa ajoneuvoissa kuin esimerkiksi älypuhelimissa. Jos ajoneuvossa havaitaan ohjelmistoon liittyvä virhe tai kriittinen haavoittuvuus, se on korjattava erikoiskorjaamossa. Tämä on ainoa paikka, jossa asiantuntijat voivat toimittaa päivityksiä ohjelmistotoimittajilta - yleensä autonvalmistajilta - kaapeliyhteyden kautta. Tämä maksaa aikaa ja rasittaa hermoja, mutta on myös melko kallista valmistajalle.
Edellytys: verkkoon kytketty auto
Tärkein tapa mahdollistaa ajoneuvojen OTA-päivitykset entistä älykkäämmissä ajoneuvoissa on mobiiliverkkoyhteys. Tärkeä virstanpylväs tälle kehitykselle on EU:n eCall-asetus: Kaikissa Euroopan unionin uusissa ajoneuvomalleissa on ollut hätäpuhelutoiminto maaliskuusta 2018 lähtien. Tämä erikoistoiminto kutsuu automaattisesti pelastuspalvelut käyttämällä onnettomuustapauksissa yleiseurooppalaista hätänumeroa 112, mutta se tarjoaa myös ajoneuvojen valmistajille perusvaihtoehdon OTA-yhteyden kautta tapahtuvalle päivitykselle. Voidaan säästää kustannuksia ja mahdollisesti ansaita rahaa, koska OTA-käyttöliittymä mahdollistaa uusien toimintojen ja sovellusten - jos auton elektroniikka sen sallii - ostamisen ja aktivoinnin sovelluskaupan kautta.
OTA-päivitysten edut ovat laajat: Käyttäjien ei enää tarvitse käydä korjaamolla päivitysten saamiseksi ja hyötyäkseen uusimmista ohjelmistoista ja laiteohjelmistoista sekä niihin liittyvistä parannuksista, sekä jatkuvasti päivitettävistä kartoista ja uusista sovelluksista. Valmistajat saavat samalla enemmän tietoa ajoneuvojen käyttäjistä ja ajoneuvojen kokoonpanoista, joten he voivat välttää ohjelmistoihin liittyvien takaisinkutsujen kustannukset ja samalla varmistaa, että heidän ajoneuvonsa ovat paljon turvallisempia.
Siirto ja jakelu
OTA-menetelmän tarkoituksena on korvata päivitysten siirto korjaamossa kaapelin kautta mobiiliyhteydellä autonvalmistajan palvelimen ja ajoneuvon telematiikkayksikön välillä. ECall-järjestelmä ei kuitenkaan sovellu tähän, koska se ei voi siirtää dataa muuten hätäpuheluiden osana. Ajoneuvo vaatii siis joko erillisen SIM-kortin tai sen on päästävä yhteyteen älypuhelimen mobiilitukiaseman tai WLAN-verkon kautta. Jos yhteys on muodostettu, yhdyskäytävänä toimiva OTA Manager -ohjelmisto voi käynnistää päivitysprosessin.
Olennaista: turvallisuus ja tietoturva
Monien etujen lisäksi OTA-päivitykset muodostavat myös huomattavan riskin. Datapakettien siirron suojaaminen on välttämätöntä, muuten kolmannet osapuolet voivat saada pääsyn tärkeisiin ajoneuvotoimintoihin tai tietoihin.
Siksi turvallisuus on olennainen osa OTA-päivityksen menestystä. Suojaus kuvaa, kuinka turvallinen datan siirtoreitti on, kun taas turvallisuus tarkoittaa päivitysprosessin turvallista toteuttamista. Suojaus sisältää siirtoreitin turvaamisen erilaisilla mekanismeilla, kuten TLS (SSL-siirto), HTTPS, käyttäjän tunnistus, VPN ja E2EE. Jos näitä ei varmisteta riittävästi, voidaan joutua man-in-the-middle -hyökkäysten, sähköjärjestelmien huijausten, IP-varkauksien, kuljettajan vakoilun tai jopa ajoneuvon kaappaamisen – toimintojen sammuttamisen tai manipuloinnin muodossa - uhriksi.
Päivityksen tallennus ja suorittaminen ovat yleensä merkityksellisiä turvallisuuden kannalta. Ohjelmiston manipuloinnin estämiseksi ja datan aitouden ja eheyden varmistamiseksi ohjelmistopaketti on allekirjoitettava salauksen avulla. Laitteistorakenteessa HSM-turvamoduuli laitteistoturvamoduuli (hardware security module) voi ottaa tämän hoitaakseen.
Ei päivitysten odottelua
On myös joitain seikkoja, jotka on pidettävä mielessä päivitysten ajoittamisen ja keston suhteen. Ajoneuvon ECU-yksikkö voi vastaanottaa päivityksiä vain turvallisessa tilassa, ts. kun moottori on sammutettu. Lisäksi käyttäjät eivät halua joutua odottamaan päivityksen valmistumista ennen kuin he voivat ajaa uudestaan. Tämän takia päivitysprosessin tulisi tapahtua mahdollisimman kätevästi ja huomaamatta, jolloin vältetään pidemmät ajoneuvon seisokit.
Mahdollisia ratkaisuja ovat redundanttien eli kahdennettujen muistijärjestelmien käyttöönotto, joihin sekä uusi laiteohjelmisto että vanhan laiteohjelmiston varmuuskopio on tallennettu. Jos päivitysprosessi ei onnistu, ajoneuvon toiminnallisuus säilyy tästä huolimatta. Lisätoimenpiteenä päivitykset voidaan suunnitella tapahtumaan haluttuun aikaan, yleensä yöllä.
Nopeamman lataamisen takaamiseksi datapakettien koon tulee olla mahdollisimman pieni. Ohjelmiston koko vaihtelee huomattavasti ECU- ja viihdejärjestelmän välillä. Jos koko ohjelmisto on vaihdettava, tietoja voidaan joutua siirtämään useita gigatavuja. Tämä voidaan kuitenkin korjata pakkaamalla datapaketit käyttämällä deltakoodausta. Koko ohjelmistokoodin sijaan siirretään vain vanhaan versioon tehtävät muutokset. Tämä pienentää siirrettävän datan määrän vain muutamaan sataan megatavuun.
Mahdollisia ratkaisuja Rutronikilta
Rutronik tarjoaa jo joukon ratkaisuja ajoneuvon OTA-päivityksen toteuttamiseen, mukaan lukien mobiiliverkon radiomoduulit (BT, NFC, 3G, 4G, WiFi). Lisäksi on saatavana suojattuja mikro-ohjaimia, joissa on integroidut HSM-moduulit, mukaan lukien Infineonin AURIX-perhe ja STMicroelectronicsin SPC58-tuoteperhe, sekä turvallisuuspiirejä mobiiliverkkoon liittymiseen molemmilta toimittajilta.
Ohjelmistonäkökulmasta Rutronik tarjoaa asiakkailleen myös ratkaisuja, kuten pilvipohjaisen hallintaohjelmiston Telit IoT Portal. Se on suunniteltu erityisesti ohjelmistojen jakeluun suurelle joukolle asiakkaita. Alusta voidaan merkitä eri tarkoituksiin ja toimittajiin, ja se mahdollistaa yksilöllisten viestien lähettämisen asiakkaille. Käytettäessä ”Geofence” -toimintoa ohjelmiston siirto voidaan rajoittaa tietylle alueelle, ja ohjelmiston käyttöönoton normaalit rajoitukset ja tyypilliset vaiheittajat ovat myös mukana.
Ohjelmistonäkökulmasta Rutronik tarjoaa asiakkailleen myös ratkaisuja, kuten pilvipohjaisen hallintaohjelmiston Telit IoT Portal. Se on suunniteltu erityisesti ohjelmistojen jakeluun suurelle joukolle asiakkaita. Alusta voidaan ”brändätä” eri tarkoituksiin ja eri toimittajille, ja se mahdollistaa yksilöllisten viestien lähettämisen asiakkaille. Käytettäessä ”Geofence” -toimintoa ohjelmiston siirto voidaan rajoittaa tietylle alueelle, ja ohjelmiston käyttöönoton normaalit rajoitukset ja päivitysajot (roll-out) ovat myös mukana.
Asiakkaat, jotka hyödyntävät Rutronikin jatkuvasti kasvavaa tuotevalikoimaa, ovat jo valmiita tulevaisuuteen OTA-päivityksillä.