Les mises à jour Over-the-Air de véhicules, ou mises à jour OTA en abrégé, sont un attribut clé des véhicules modernes. La tendance des véhicules définis par logiciel nécessite une utilisation accrue et des capacités plus riches des mises à jour OTA. Cet article de blog explore d’abord une histoire rétrospective de l’OTA, les approches actuelles en usage et leurs nombreuses limites. Ensuite, l’article s’oriente vers l’avenir et explore les capacités étendues de l’OTA nécessaires pour répondre aux besoins modernes du véhicule défini par logiciel.
Qu’est-ce que l’OTA (mise à jour Over-The-Air) ?
En général, la mise à jour Over-the-Air ou mise à jour OTA fait référence à la mise à jour du logiciel du véhicule, généralement effectuée par reprogrammation de la mémoire non volatile ou des puces « flash » à l’intérieur de divers sous-systèmes. Par le passé, seuls les concessionnaires étaient en mesure de mettre à jour le logiciel, lors des rendez-vous de service. En utilisant des connexions câblées et souvent du matériel spécialisé, les concessionnaires pouvaient interroger puis mettre à jour les logiciels, soit pour restaurer les logiciels endommagés, installer des corrections de bogues, soit, dans certains cas, pour installer de nouvelles versions de logiciels.
Au fil du temps, à mesure que les véhicules sont devenus connectés, de plus en plus d’entre eux ont acquis la capacité de télécharger certains types de mises à jour logicielles à distance, ou « over the air » (en direct).
Ces mises à jour OTA peuvent être fournies par un réseau Wifi local ou via une connexion réseau cellulaire. Une section ultérieure explore les compromis sur les choix de connectivité ultérieurs, entre les différentes approches de distribution sans fil.
Regard rétrospectif sur l’état actuel de l’OTA de véhicules
L’état en cours de l’OTA pour de nombreux véhicules, par le passé et à l’heure actuelle, fournit souvent une approche qui est limitée à bien des égards. Cette première section explore un regard rétrospectif sur le paysage actuel de l’OTA et aborde bon nombre de ces limitations.
Environnement de fond pour les mises à jour OTA
Même si de nombreux conducteurs ne s’en rendent peut-être pas compte,
les véhicules conventionnels contiennent tous des logiciels dans l’ensemble du véhicule. En fait, les véhicules actuels sont des systèmes embarqués qui contiennent souvent une quantité incroyable de logiciels, avec des véhicules de pointe contenant jusqu’à 100 millions de lignes de code, alors qu’un avion 787 Dreamliner n’en contient que 14 millions.
La plupart de ces logiciels sont intégrés en profondeur dans des unités de commande électroniques (ECU, de l’anglais Electronic Control Unit) qui sont rarement mises à jour ou, dans certains cas, impossibles à mettre à jour. L’une des raisons expliquant la complexité importante des mises à jour logicielles pour les voitures tient au fait que dans les véhicules typiques, beaucoup de ces ECU n’exécutent qu’une seule fonction ou gèrent un seul sous-système, comme les vitres, le freinage, le contrôle des émissions, etc. Une complexité supplémentaire se pose car ces ECU sont généralement développées par de nombreux sous-traitants différents (fournisseurs de « niveau 1 ») au sein d’une voiture ou d’un camion de signalisation. Cela signifie que la réalisation des mises à jour OTA aujourd’hui nécessite souvent l’implication d’autres fabricants
De nombreux véhicules conventionnels ont généralement des capacités limitées pour effectuer une mise à jour logicielle dans certains de leurs systèmes. Dans de nombreux véhicules aujourd’hui, la plupart des mises à jour OTA se concentrent sur les systèmes IVI et les systèmes de navigation, et dans certains cas, sur les systèmes ADAS. Cela permet de mettre à jour les cartes de navigation ou d’ajouter de nouvelles fonctionnalités au système d’info-divertissement, par exemple. En général, ces mises à jour sont peu fréquentes (peut-être 1 à 2 fois par an) et sont souvent des mises à jour non requises, effectuées par les conducteurs
Certaines voitures connectées de pointe, en particulier les modèles Tesla, Rivian, Mercedes et de certains fabricants chinois, offrent des capacités de mise à jour plus riches dans lesquelles certaines fonctionnalités supplémentaires peuvent être mises à jour par OTA, même si aujourd’hui, il ne s’agit que d’une part très réduite des véhicules en circulation.
L’OTA de véhicules est très différente de celle des appareils mobiles
La plupart des utilisateurs connaissent bien le processus de mise à jour OTA fournissant une mise à jour logicielle de leur smartphone, par le biais duquel ils obtiennent des mises à jour des applications téléphoniques, du micrologiciel de l’appareil, des systèmes d’exploitation et, de plus en plus fréquemment, pour remédier aux vulnérabilités de sécurité. L’installation de ces mises à jour est généralement simple, l’appareil informant l’utilisateur que le nouveau logiciel est prêt et rendant le processus rapide et facile sur Internet.
Mais il existe des différences majeures entre un smartphone et un véhicule connecté qui changent la façon dont les mises à jour logicielles sont téléchargées, livrées et installées. L’une des différences majeures tient aux besoins des véhicules en matière de sécurité et de fiabilité Les voitures et les camions doivent avoir une certification de sécurité et les mises à jour doivent être particulièrement prudentes pour veiller à ce que les mesures de sécurité existantes ne soient pas compromises. De plus, contrairement aux smartphones qui disposent d’une riche abstraction de matériel et de logiciels, couplée à des conceptions logicielles modernes, la plupart des véhicules sur la route aujourd’hui n’ont pas été conçus pour être mis à jour.
Les conducteurs sont également moins habitués à accepter les mises à jour OTA de leur véhicule que de leurs autres appareils car, historiquement, relativement peu de véhicules étaient des voitures connectées. La bonne nouvelle, c’est que les fabricants peuvent utiliser l’expérience des consommateurs en matière de mise à jour des appareils mobiles pour enseigner aux conducteurs comment les mises à jour OTA fonctionnent et encourager leurs utilisateurs à effectuer des mises à jour dans leur voiture aussi souvent.
Enfin, les architectures de véhicules sont beaucoup plus compliquées que celles que l’on trouve dans les appareils mobiles, y compris l’électronique et les logiciels de nombreux fabricants différents, et souvent de multiples sources de composants, pour assurer la flexibilité de l’approvisionnement de la chaîne d’approvisionnement.
Mises à jour peu fréquentes
Aujourd’hui, les mises à jour de la grande majorité des véhicules sont rares, généralement une ou deux fois par an pour la plupart des véhicules. Il pourrait s’agir, dans ce cas, du rythme le plus soutenu possible pour les véhicules existants, car la complexité de la coordination des logiciels entre les nombreux fournisseurs de sous-systèmes tiers rend difficile la réalisation de mises à jour très fréquentes. À mesure que nous passerons aux véhicules définis par logiciel, ce ne sera plus une approche viable.
Utilisation incohérente des réseaux sans fil
Dans le passé, et encore aujourd’hui pour de nombreux véhicules, les mises à jour OTA n’étaient pas proposées du tout. Au lieu de cela, encore aujourd’hui il faut se rendre chez le concessionnaire pour mettre à jour le nouveau logiciel.
Pour les véhicules qui autorisent les mises à jour à distance, celles-ci ne sont généralement proposées que par Wi-Fi, ce qui oblige les conducteurs à se connecter à leur domicile, à leur travail ou à un autre réseau Wi-Fi pour télécharger les mises à jour une ou deux fois par an. Encore une fois, avec des mises à jour non essentielles peu fréquentes qui ne sont pas critiques, cette limitation peut être un compromis viable.
De plus en plus souvent, les véhicules sont équipés d’une connexion cellulaire, de plus en plus de connectivité 4G/LTE. Certains véhicules permettent de télécharger une sélection de mises à jour via LTE, par exemple pour les mises à jour critiques, mais même les véhicules avec LTE ne permettent généralement pas de télécharger des mises à jour plus importantes et non critiques via LTE. Pensez à Tesla, par exemple, qui est connu pour proposer des mises à jour fréquentes sur ses véhicules. Dans la plupart des cas, Tesla ne propose que des mises à jour à télécharger via Wi-Fi.
Des sous-systèmes mis à jour limités
La majorité des mises à jour apportées aux véhicules aujourd’hui concernent l’« unité principale », également connue sous le nom de système d’infodivertissement embarqué (IVI, de l’anglais In-Vehicle Infotainment), comprenant le système de divertissement et de navigation. Ce système, bien qu’important pour l’expérience du conducteur et des passagers, n’est pas caractérisé par le même niveau de sécurité-criticité que les autres systèmes du véhicule.
Une plus petite fraction des mises à jour est appliquée à d’autres systèmes, comme les ADAS. Compte tenu de l’évolution rapide des capacités ADAS, les équipementiers devront fournir des mises à jour pour améliorer la sécurité, réduire les lacunes détectées ou améliorer la performance ADAS. Avec l’ajout de nouvelles fonctionnalités dans les systèmes avancés d’aide à la conduite (ADAS, de l’anglais Advanced Driver Assistance System), dont certaines sont requises par la loi dans certaines zones géographiques, nous devrions nous attendre à ce que ce type de mise à jour se multiplie.
Une autre catégorie moins fréquente concerne les mises à jour d’autres systèmes du véhicule, qu’il s’agisse du réglage du groupe motopropulseur/moteur, des systèmes de gestion de la batterie dans les véhicules électriques ou d’autres domaines. En raison de la nature profondément intégrée de ces sous-systèmes, les mises à jour de ces systèmes après production sont actuellement rares.
Capacité limitée à éviter les échecs
Éviter les échecs lors des mises à jour est essentiel pour assurer une expérience client positive. Ces dernières années, il y a eu de nombreux exemples de voitures immobilisées par des mises à jour qui ont échoué, couvrant plusieurs marques d’OEM différentes. Voir une mise à jour échouer au point où la voiture doit être remorquée chez le concessionnaire pour une réinitialisation du logiciel peut avoir un effet dévastateur sur la fidélité des clients. Malheureusement, cela s’est produit très publiquement dans un certain nombre de cas au cours des derniers mois.
Il existe des technologies qui peuvent être utilisées pour assurer une tolérance aux échecs, afin d’éviter qu’une mise à jour échouée ne rende la voiture inopérable (ou « bloque la voiture »), comme le dit l’expression, mais tous les véhicules n’ont pas ces capacités.
Différences entre les véhicules électriques (VE) et les véhicules à essence ou diesel conventionnels
L’une des exigences relatives aux mises à jour OTA tient au fait que le véhicule doit être allumé. Cela peut sembler évident, mais cela introduit des contraintes spécifiques en fonction du type de véhicule. Qu’est-ce qu’être « allumé » veut vraiment dire ?
Dans les véhicules à essence ou diesel conventionnels (moteur à combustion interne ou ICE, de l’anglais Internal Combustion Engine), les systèmes électriques ne sont généralement pas pleinement opérationnels à moins que le moteur ne fonctionne réellement. En effet, la plupart des véhicules offrent un « mode accessoire » qui permet à certains sous-systèmes limités, comme la radio et les fenêtres, d’être opérationnels lorsqu’ils sont garés. Cependant, dans ce mode, la plupart des sous-systèmes du véhicule restent éteints. Soit parce qu’ils doivent être alimentés par le moteur, soit parce qu’ils sont connectés au fonctionnement du moteur d’une manière ou d’une autre.
De par leur nature même, les véhicules électriques n’ont pas besoin d’être démarrés pour être pleinement opérationnels. En général, les véhicules électriques ont plusieurs systèmes qui sont toujours allumés et surveillent divers sous-systèmes, tels que la charge de la batterie. Mais plus important encore, un véhicule électrique peut allumer tous les systèmes du véhicule sans démarrer le moteur. Ainsi, un véhicule électrique en stationnement peut fonctionner pleinement sans assistance du conducteur et peut même s’allumer en toute sécurité à l’intérieur d’un garage ou d’une autre enceinte, ce qu’un moteur à essence/ICE ne peut pas faire.
Ainsi, bien que les deux véhicules puissent être mis à jour, les détails pratiques de leur système électronique et d’alimentation signifient qu’une mise à jour OTA d’un véhicule ICE est plus compliquée et nécessite une implication plus active du conducteur
Regarder vers l’avenir : l’OTA à l’ère des véhicules définis par logiciel (SDV)
Alors que nous entrons dans l’ère des véhicules définis par logiciel, la nécessité de fournir des mises à jour Over-the-air est plus essentielle que jamais. Les SDV sont plus capables, avec des interfaces HW/SW modernes et abstraites, et plus de fonctionnalités implémentées dans les logiciels que les HW dédiés. Le fait d’avoir plus d’ECU actualisables, des cycles d’innovation plus rapides, des mises à jour plus fréquentes, plus de types de logiciels : tout cela signifie que les OTA pour les SDV sont plus importantes que jamais. Un SDV réussi doit disposer d’une solution qui permette des mises à jour OTA faciles, efficaces, rentables, fréquentes et fiables. Examinons quelques-unes des nouvelles exigences que les SDV apporteront, y compris celles qui offrent de nouvelles capacités au fil du temps plutôt qu’une vente unique chez le concessionnaire.
Mises à jour fréquentes
Ces dernières années, les constructeurs automobiles ont soit travaillé à apporter le contrôle de leurs logiciels en interne, soit au moins à exiger de leurs fabricants de sous-systèmes qu’ils se conforment aux normes et exposent leurs logiciels aux mises à jour. La concurrence entraîne également le besoin de mises à jour. L’avant-garde des constructeurs automobiles comme Tesla, Mercedes, BMW et certains fabricants chinois offrent des mises à jour beaucoup plus fréquentes à leurs conducteurs. Les rapports des analystes du secteur ont révélé que ces dernières années, la plupart des mises à jour offrent de nouvelles fonctionnalités, les corrections de bogues se classant au deuxième rang et allant à un rythme croissant, et enfin les mises à jour de cybersécurité de sécurité étant le troisième type le plus courant
Les SDV auront des mises à jour plus fréquentes à mesure que la quantité de contenu logiciel dans les voitures augmentera, mais surtout à mesure que les voitures seront définies par les concepteurs en gardant les mises à jour OTA à l’esprit. Les OTA peuvent également être étroitement liées au développement cloud natif et aux pipelines CI/CD pour soutenir les pratiques de développement modernes,
Mise à jour de plus d’ECU
Les SDV mettront également à jour d’autres éléments de la voiture. Aujourd’hui, le plus grand destinataire des mises à jour over-the-air est l’« unité principale » ou système IVI qui comprend la navigation et l’interface utilisateur. Il peut être compréhensible que l’interface grand écran avec le conducteur soit l’endroit qui change rapidement et offre des possibilités d’évolution des expériences du conducteur et de nouvelles fonctionnalités via l’interface utilisateur.
Cependant, le paysage de l’OTA se développe. À mesure que les systèmes avancés d’aide à la conduite (ADAS, de l’anglais Advanced Driver Assistance Systems) deviennent plus intelligents, ils devront également évoluer et s’adapter au fil de l’amélioration des algorithmes et des modèles. L’ordinateur ADAS est actuellement le deuxième destinataire le plus fréquent des mises à jour.
Mais les SDV peuvent faire beaucoup plus. La possibilité de connecter des composants sur des réseaux modernes, tels que l’Ethernet automobile, permet également d’exécuter des fonctions non présentes initialement lors de la fabrication et de la vente initiale. La reconfiguration des réseaux via l’approvisionnement dynamique par voie aérienne est l’un des moyens par lesquels de nouveaux services peuvent être proposés ultérieurement aux conducteurs. Tirer parti des protocoles initialement conçus pour Internet mais étendus avec de nouvelles normes de sécurité et des détails liés au contenu sensible au temps, présents dans les véhicules, libère la puissance d’un véhicule pour qu’il fonctionne davantage comme un « centre de données sur roues »
Et l’opportunité se poursuit avec les SDV. Alors que les mises à jour étaient auparavant limitées aux mises à jour du micrologiciel de quelques composants, de plus en plus de systèmes peuvent maintenant être mis à jour, des systèmes de carrosserie et de châssis aux systèmes de groupe motopropulseur, de sécurité et de gestion de la batterie pour les véhicules électriques.
Multimodal
Contrairement à aujourd’hui où la plupart des mises à jour OTA sont souvent une mise à jour du micrologiciel d’une ECU intégrée, les mises à jour logicielles dans les SDV seront plus diverses et incluront à l’avenir différents types de logiciels, et pas seulement le micrologiciel. Cela imposera de plus grandes exigences en matière de gestion des dépendances dans les mises à jour OTA pour les SDV. On définit cela comme du « multimodal » et c’est pourquoi nous décrivons Sonatus Updater comme un système offrant des capacités « xOTA ».
Par exemple, à mesure que les systèmes ADAS évoluent, les mises à jour des modèles d’apprentissage automatique pour améliorer la reconnaissance, la sécurité et l’expérience du conducteur, seront plus fréquentes. À mesure que les réseaux se développent, la fourniture et l’optimisation des performances seront nécessaires au fil des ajouts de nouvelles fonctionnalités, ce qui supposera que les mises à jour de la configuration réseau soient plus fréquentes. Les logiciels aujourd’hui livrés dans le cadre de micrologiciels ou étroitement intégrés sont de plus en plus déployés en tant que contenants.
Plus de flexibilité dans les choix de réseau
Alors qu’aujourd’hui, la majorité des mises à jour sont livrées via Wi-Fi pour réduire les coûts, compte tenu de la taille importante de leurs données, cette situation devrait probablement évoluer. À mesure que les OTA deviennent plus fréquentes et apportent de plus en plus d’améliorations en matière de sécurité, nous nous attendons à observer un mix de mises à jour sensibles au facteur temps ou critiques pour la sécurité qui seront livrées via des connexions réseau LTE/cellulaires tandis que les mises à jour plus importantes ou moins critiques seront offertes uniquement via Wi-Fi. Cela nécessitera une planification plus délibérée pour gérer la complexité de ce nouveau mix.
Gestion d’énormes tailles de données de mise à jour/mises à jour Delta
La taille des mises à jour OTA est en soi un aspect important, car les coûts de transfert de données sans fil peuvent être considérables. L’approche par force brute consistant à livrer l’ensemble de la charge utile du logiciel par voie aérienne est prohibitive via LTE, mais certaines mises à jour peuvent l’exiger. Des approches comme celle qui consiste à envoyer uniquement la partie changeante ou le « delta » de la version actuelle peuvent être un moyen de réduire la transmission du trafic de données. Mais ces approches nécessitent un modèle riche du logiciel actuel pour comprendre la base de la mise à jour.
La compression sera également essentielle pour réduire la taille de la charge utile des données. Les progrès en matière de compression permettent de réduire davantage la taille du transfert et peuvent avoir besoin d’être réglés de façon à reconnaître la large gamme de profils de données qui peuvent ne pas tous se compresser aussi bien avec le même algorithme.
Gestion des échecs
La gestion des échecs sera également essentielle. Les leaders de cet espace utilisent déjà des approches telles que les partitions A/B pour s’assurer qu’une image de basculement peut être maintenue ou qu’une mise à jour échouée ne corrompt pas la voiture. Mais ces approches nécessitent une gestion active et ajoutent encore à la complexité des mises à jour.
En savoir plus
Les mises à jour OTA sont un aspect essentiel des SDV et un domaine connaissant une évolution rapide. Il ne fera que gagner en importance au fil du temps et doit donc être un secteur d’innovation continue. Sonatus a pour sa part annoncé Sonatus Updater, qui apporte des solutions à bon nombre de ces défis techniques. Vous recevrez plus d’informations dans les mois à venir concernant les OTA car nous travaillons à accélérer le passage aux véhicules définis par logiciel.