欢迎光临~深圳市芯橙科技有限公司
语言选择: 中文版 ∷  英文版

新闻中心

远程升级(OTA)失败导致充电桩主控板变砖,有没有安全回滚机制?

有,而且“不回滚就过不了型式试验”——GB/T 18487.1-2023 已经把“OTA 失败可恢复”写进强制条款,主流充电桩主控板普遍采用 A/B 双分区 + 断电状态机 + Bootloader 验签 三重保险,升级失败自动退回到旧版本,现场几乎“零砖机”。

1. 标准层面:没回滚机制就不给发证

  • 汽车/充电设备 OTA 测试规范明文要求:
    “升级过程中任意断电、断网、签名错误,车辆(设备)须恢复到可用版本或进入安全状态”——否则判不合格
  • 认证机构现场抽检项目就是 “人工断电 3 次 + 假签名包 1 次”,不能自愈即判失败

2. 主流硬件实现:A/B 双分区是标配

  • Flash 被切成 A、B 两套完整固件区,Bootloader 永远指向最近一次成功启动的那一份;
  • 新包先写入非运行区,写完后 CRC/签名通过才把“激活标志”原子翻转,要么整体切换,要么不切换,不存在 99 % 时断电的半吊子状态
  • 上电后 Bootloader 先验新分区,若签名失败或启动失败,立即回滚到旧分区并上报云端“已回滚”事件

3. 断电续写 & 状态机——把砖率压到 <0.1 %

  • 升级进度每 4 kB 写入后即保存“断点页号”到独立 EEPROM,重新上电后从断点继续写,不用整包重下
  • 电源监测电路检测 12 V 跌落 → 提前关闭 Flash 写入、补完 CRC 并标记“未完成”,保证页面半写不损坏
  • 连续 3 次回滚后自动进入最小功能安全模式(只维持 CP 信号和 1 路 CAN),等待运维人员现场或远程修复

4. 实测数据:回滚成功率 99.7 %

  • 某运营商 2024 年 8 万桩、全年 17 万次 OTA,触发回滚 512 次,511 次自动恢复,仅 1 桩因 Flash 物理坏块需换板,年砖机率 ≈ 1.2 ppm

5. 给运维的“回滚可见性”

  • 桩侧日志:Bootloader 回滚时会写 BOOT_SWAP_TYPE_REVERT 并立即上报云端,平台可自动产生工单
  • 云端统计:支持按“回滚率”做灰度闸门,回滚率 >2 % 即自动暂停全量推送,防止批量变砖
一句话总结
只要主控板是 2023 年后过检的新平台,“OTA 失败 = 自动回滚”是强制功能,无需人工救砖;现场真正需要换板的,基本都是 Flash 硬件失效,而不是升级逻辑本身 。

芯橙科技出品的交流充电桩主控板,质优价美,欢迎咨询选购!
上一个:单机版 vs 网络版充电桩主控板差300元,多花这钱值不值?看运营模式! 下一个:充电桩控制板能不能实现‘有序充电’?需要额外加负载管理模块吗?

相关新闻

新闻中心

联系我们

联系人: 深圳市芯橙科技有限公司

手机: 18025316892

电话: 0755-21010929

邮箱: shutao.chen@x-cheng.com

地址: 深圳市龙华区民治大道展滔科技大厦B座911