更新和配置管理是Adaptive Platform Services中的一个功能集群。作为一种自适应平台的服务,更新和配置管理(UCM)是实现自适应平台的主要目标之一,来支持在计算机上运行的自适应应用程序的灵活更新。
UCM向已经实现,并需要更新的应用程序(以及UCM客户端进程)提供了一系列ara::com API。UCM使用ara::com,而不是直接使用API意味着在访问功能集群的地方有灵活性,即使是从不同的机器上。由于UCM纯粹是通过面向服务的通信来访问的,因此,与自适应平台中的功能集群不同,由于使用了正常的ara::com交互,RTA-VRTE中未提供任何库。
更新和配置管理(UCM)服务负责管理软件包的安装、更新和删除。UCM是自适应平台的可选组件,但必须存在于可更新的每台机器上。
UCM仅在其机器上负责更新过程。UCM客户端(第15.6节)负责接收需要安装、更新或删除的软件包,UCM主机(第15.7节)负责协调多台machine的更新。
软件包(第15.4节)描述了在机器生命周期内对建模软件集群执行的单个操作。SoftwareCluster是一个AUTOSAR ARXML元素,它表示一个或多个自适应应用程序进程和相关数据元素(包括AUTOSAR清单)的集合。从UCM的角度来看,软件集群可分为应用程序层和平台集群,后者有一个特殊的平台核心类别,表示软件集群是自适应平台的关键部分,因此无法删除。
软件集群(及其包含的元素)进行版本控制。UCM负责检查要安装的软件包版本,如果传入版本低于机器上已有的版本,则拒绝更新。
RTA-VRTE UCM管理两种形式的更新:
- UCM 不负责启动更新过程。 UCM 实现了一个服务接口来实现这个操作。该服务接口的用户负责在按需执行软件更新程序之前验证车辆处于可更新状态。用户还有责任与车辆内的其他 AUTOSAR 自适应平台或 AUTOSAR 经典平台进行通信。
- UCM 接收本地可用的软件包进行处理。软件包通常从 OEM 后端下载。软件包的下载必须由另一个应用程序完成,即 UCM 不管理与 OEM 后端的连接。在触发它们的处理之前,必须使用提供的 ara::com 接口将软件包传输到 UCM。
- UCM 更新过程旨在涵盖使用单个 AUTOSAR 自适应平台的用例更新。 UCM 可以更新自适应应用程序、AUTOSAR 自适应平台本身,包括所有功能集群和底层操作系统。
- UCM 不负责对提供的接口实施身份验证和访问控制。该文件目前没有提供任何保密保护机制以及防止拒绝服务攻击的措施。假设是该平台保留了 UCM 与其用户之间交换的参数的完整性。
- UCM 不支持更新不支持 ARA::COM 或具有对齐诊断闪存序列支持的 UDS 的 ECU。
UCM的逻辑架构如图15.1所示,反映了AUTOSAR服务的常用方法,如状态管理,平台特定元素(UCM)在机器上执行更新机制,自适应应用程序(UCM客户端,见第15.6节)通过OTA空中接收更新并决定何时更新和更新内容。
与UCM通信的元素通常统称为“UCM客户端”。UCM客户端获取有关AUTOSAR自适应平台软件的信息,并通过使用UCM的API传输和处理软件包来执行更新过程(第15.4节)。
软件包是一个元素,其中包含应放置在平台上的用户代码等和UCM可以执行更新过程所需的指令。保存这些指令的元素称为“Software Package Manifets”或更简单的“Update Manifest”。
UCM通过ara::com与UCM主机(第15.7节)通信,或通过UDS与车库检测仪通信。为了与garage tester通信,UCM包括一个名为“DSA(Diagnostic Service Application)’(诊断服务应用程序)”的库,该库实现了不同诊断序列的变体。DSA是特定于项目的库,它允许车库检测仪使用未更改的诊断序列与UCM通信。
UCM与多个自适应平台功能集群交互:
软件包生命周期由UCM状态机描述(图15.2)。
- Added:UCM已完成第一次安装已传输软件包的安装操作(kInstall)。激活后,添加的包将移动到当前状态。kAdded 在使用 AUTOSAR 自适应平台上的 ProcessSwPackage 方法调用成功处理软件集群后,如果它以前不存在于 AUTOSAR 自适应平台中,则应 kAdded 软件集群状态。
- Updated:UCM已完成对已传输软件包的更新操作(kUpdate)的处理。处理后的包需要激活才能移动到当前状态。
- Removed:UCM已完成对软件包的删除操作(kRemove)的处理。激活后,软件包将从UCM中完全移除。
- Present:当前–已处理的软件包(无论是新安装还是更新的软件包)已成功完成激活。在此生命周期状态下,软件包的SoftwareCluster准备运行。
当处于上述任何状态时,service interface PackageManagement中的GetSwPackages方法会报告软件群集。当完成删除SoftwareCluster或还原添加的SoftwareCluster时,特定软件包的报告将停止。有关报告的更多信息,请参见第15.5节。4.
UCM对自适应平台内的功能集群具有多个依赖关系。
UCM 功能集群通过 ara::com 中间件向客户端应用程序公开服务。
UCM 依赖状态管理及其提供的更新请求服务接口来执行激活新安装、更新或删除的软件所需的必要功能组状态更改。
某些应用程序可能会与更新过程或新更新的包发生冲突,需要在更新过程中停止它们。 这可以通过将机器置于安全机器状态、激活合适的功能组及其状态的组合来实现。 定义此状态或功能组是平台集成商的责任。 在开始更新之前,访问 UCM 的自适应应用程序应确保平台切换到此状态(使用来自状态管理的接口)。
- UCM 应使用方法和字段在 ara::com 上提供服务接口。
- UCM 使用 AUTOSAR 自适应平台的加密接口 [6] 来验证包的完整性和真实性并解密机密更新数据。
- 身份和访问管理控制 UCM 的客户端对 UCM 的服务接口 PackageManagement 的访问。
15.3.1.1 State Management
状态管理用于将自适应平台置于定义的更新功能组状态,其中自适应应用程序未运行,因此可以更新。在更新本身之后,UCM将通过进一步的状态更改请求向状态管理发出重新启动自适应应用程序的信号。
UCM需要状态管理器提供的UpdateRequest服务接口。状态管理器是实现机器状态逻辑的特定于项目的自适应应用程序。UpdateRequest服务接口包括以下方法:
StartUpdateSession,该方法在UCM准备启动一个或多个软件包的更新会话时调用。如果计算机未处于合适的状态,状态管理将拒绝启动会话请求。
StopUpdateSession,该方法在更新完成时由UCM调用,以通知状态管理操作已完成且计算机现在稳定。
ResetMachine 由UCM调用以请求机器重置的方法。要使状态管理接受请求,UCM必须事先调用StartUpdateSession。
PrepareUpdate 方法由UCM调用,其中包含要更新的函数组列表。除非UCM以前调用过StartUpdateSession,否则状态管理将拒绝该请求。
PrepareRollback方法由UCM使用要回滚的函数组列表调用。除非UCM以前调用过StartUpdateSession,否则状态管理将拒绝该请求。
VerifyUpdate方法由UCM使用要验证的函数组列表调用。除非UCM先前调用了PrepareUpdate,否则状态管理将拒绝该请求。
系统集成商在软件包清单(更新清单)中定义:
15.3.1.2 Cryptography
UCM依赖于加密功能集群对软件包进行身份验证和完整性验证。加密机密,即密钥,用于保护完整性和签署软件包,确保只有授权包源才能为UCM创建更新包。
15.3.1.3 Persistency
持久性用于存储有关诊断会话的信息。它由UCM的DSA(诊断服务应用程序)组件使用。
持久化数据的更新和回滚完全由使用持久性的自适应应用程序处理,而无需UCM的参与。
15.3.1.4 Diagnostics
如第15.3节所述。2、UCM使用UDS服务(哪个?)软件包下载。
统一诊断服务(UDS)是ISO 14229-1中规定的诊断通信协议。车库测试仪使用它与ECU通信,并运行更新过程。UCM包括一个特定于项目的库,用于将UDS调用转换为UCM API调用。该库名为诊断服务应用程序(DSA),它处理不同的诊断更新序列。车库检测仪可以使用任何现有的更新序列,而无需进行任何更改。
作为Adaptive Platform Services中的功能集群,UCM通过ara::com使用面向服务的通信提供(并要求)功能。
UCM需要由特定于项目的状态管理器提供的UpdateRequest服务接口。状态管理器实现者有责任确保提供接口。
15.3.2.1 Package Management
RTA-VRTE UCM客户端自适应应用程序需要UCM提供的PackageManagement服务接口。使用替代项目特定的自适应应用程序代替RTA-VRTE UCM客户端,然后可以选择替代应用程序通信机制。
任务:在“UCM<------->UCM客户端”通信(特别是提供/要求的服务)方面存在哪些约束?例如,它们是否限制必须如何配置端口才能发现它们,还是仅使用服务类型?
15.3.2.2 UDS
UCM的服务接口旨在使用“标准”UDS诊断服务来接收自适应应用程序的更新。但是,服务接口中的方法和字段的设计方式是,任何自适应应用程序都可以使用它们。
UCM负责管理自适应应用程序的安装、更新和删除。此过程使用软件包执行,每个软件包封装UCM(安装、更新、删除)的更新操作以及相关的可执行代码、数据文件和AUTOSAR清单信息。
UCM支持软件包的身份验证和完整性验证。身份验证确保包由授权更新计算机的已知源发布。完整性验证确保包内容自发布以来未被篡改或损坏。
软件包清单描述了软件包内容。软件包和清单
在转发到UCM之前,使用ISOLAR-A_自适应进行脱机配置。
UCM提供PackageManagement服务接口,用于控制软件包的更新。UCM处理本地软件包,因此,通过辅助应用程序(如UCM客户端)(第15.6节)或非车载诊断测试仪将软件包从脱机软件包存储库传输到UCM。
软件包引用计算机上的单个软件群集。SoftwareCluster是一个AUTOSAR ARXML元素,它表示一个或多个自适应应用程序进程和相关数据元素(包括AUTOSAR清单)的集合。
SoftwareCluster可以是一个简单的“SubsftwareCluster”,包含进程、可执行文件和其他元素,但没有诊断目标地址,也可以是一个“RootSoftwareCluster”,既有诊断目标,又可以引用零个或多个“SubsftwareCluster”。
从UCM的角度来看,软件集群可以进一步分为应用程序层和平台集群,后者有一个特殊的平台核心类别,表示软件集群是自适应平台的关键部分,因此无法删除。
对软件包(及其包含的元素)进行版本控制,UCM在处理操作之前验证要更新或安装的软件包的版本是否比计算机上已有的版本更新。AUTOSAR遵循语义版本控制模式,版本号由三个主要、次要和修补程序编号组成。通过增加主版本、次版本或补丁,可以获得更高的版本号。AUTOSAR UCM不支持软件群集降级,因此需要降级。有必要使用更高的版本号重新打包旧的、正在工作的软件群集。
软件集群可以对其他集群的依赖关系进行建模。UCM将在激活期间验证这些依赖关系(第15.5.2节),确保在激活完成和自适应应用程序执行开始之前满足软件包的运行时依赖关系。
15.4.0.1 Configuration
一个软件包直接引用一个软件集群。此外,包还必须定义:
使用ISOLARA_ADAPTIVE中的UCM清单编辑器配置软件包。
映像更新会修改整个(虚拟)计算机映像。RTA-VRTE UCM支持A/B更新,其中更新可以在后台进行-进入非活动分区。
应用程序更新修改单个软件集群的数据和/或可执行文件(一个或多个自适应应用程序加上AdaptivePlatform使用的相关元数据)。这种形式的更新允许在(POSIX)文件系统上安装、删除和修改应用程序,即使在机器正在使用时也是如此。
UCM应用程序更新序列包括三个主要阶段;传输、处理和激活。图15.4说明了UCM应用程序更新的三个阶段和主要状态转换。
通过与状态管理的交互启动应用程序更新序列。UCM首先使用服务接口UpdateRequest中的StartUpdateSession方法请求转换到特定于项目的更新状态(由集成商定义)。系统状态是特定于项目的,但通常表示已停止的应用程序已准备好进行更新。
在传输和处理阶段,UCM独立监控每个软件包的状态。这允许多个并行传输在任何时候生效,或者在后台进行传输,而不影响正常的机器功能。
在处理过程中,UCM将一次更新一个软件包–此AUTOSAR限制旨在防止关键文件的更新冲突,从而确保整个计算机的一致性。软件包包含描述UCM任务的实施特定信息,例如,对于kRemove,这可能涉及描述需要删除的数据。描述现有应用程序的kUpdate的软件包可以包含部分数据,例如已处理执行清单的更新版本。
传输的软件包的处理通过PackageManagement服务接口内UCM提供的方法ProcessSwPackage启动。该方法采用一个参数,该参数指示传输包的ID号。通过多次调用该方法,可以将一系列更新排队等待处理。
UCM提供回滚以从失败的激活更新阶段恢复。回滚通过服务接口UpdateRequest的PrepareRollback方法与状态管理一起执行。
所提供的方法GetSwPackages支持报告当前软件包的信息。返回的信息包括软件包的标识符、名称、版本和状态。
此外,UCM可以使用GetSwClusterInfo报告已安装软件群集的版本。可以使用GetSwClusterDescription检索有关已安装群集的其他信息。使用GetSwClusterChangeInfo报告处于添加、删除或更新状态的集群。
UCM客户端是一个自适应应用程序,负责通过空中传送(OTA)接收软件包并使用UCM管理其更新。
虽然UCM客户端应用程序本身不是标准化的,但它确实通过UCM提供且UCM客户端应用程序需要的AUTOSAR定义的服务接口包管理与UCM交互。
该接口提供了软件包传输、更新和回滚以及报告的方法。
作为自适应平台应用程序,UCM需要状态管理提供的UpdateRequest服务接口。此接口提供了在更新序列期间控制功能组状态和管理机器重置的方法。
UCM客户端在与基于云的软件包存储库通信时使用的OTA协议未被AUTOSAR标准化。
UCM Master是AUTOSAR服务的一个附加组件,它提供了一个标准化的解决方案来安全地更新多台机器。UCM主机负责接收车辆包(无论是OTA还是使用诊断测试仪),将包含的软件包分发到指定机器上的目标UCM实例,然后协调其更新和激活。
UCM Master从OTA存储库或通过诊断测试仪接收车辆包,然后将软件包传输/流式传输到目标(下级UCM实例或诊断应用程序)。分发后,UCM Master将协调活动中的处理、激活和回滚(如有必要)。在活动期间,UCM主机在每个单独的机器中使用每个下级UCM实例的ara::com接口。
UCM Master还提供有关车辆中的机器、安装的软件和更新活动解决方案的信息。
UCM主机接收车辆软件包,并将容器软件包传输/流式传输到下级UCM实例。车辆软件包包含跨多台机器协调更新的说明。UCM Master提供有关车辆中的机器、安装的软件和更新活动解决方案的信息。
RTA-VRTE支持ara::ucm命名空间中的AUTOSAR更新和配置管理API。
UCM为包管理的所有方面提供的服务接口。该接口可由任何具有权限的自适应应用程序使用,但通常由UCM客户端访问。
