Passa al contenuto principale

Aggiornamenti firmware Over-the-Air per prodotti connessi

Dopo che un dispositivo esce dalla fabbrica, il software al suo interno dovrà cambiare: correzioni di bug, patch di sicurezza, conformità normativa, nuove funzionalità. Senza un'infrastruttura OTA affidabile, ogni modifica richiede o un intervento tecnico sul posto, o l'accettazione che i dispositivi in campo rimangano permanentemente obsoleti.

Cosa abilita l'OTA

Un'infrastruttura di aggiornamento affidabile significa poter distribuire patch di sicurezza su ogni dispositivo in campo, restare conformi a normative come il EU Cyber Resilience Act e continuare a migliorare il prodotto anche dopo che è stato deployato.

Senza di essa, il software su un dispositivo spedito rimane fisso al momento della produzione.

Costruire l'OTA da zero è uno dei problemi più sottovalutati nello sviluppo di prodotti connessi. Ecco cosa comporta davvero e come affrontarlo nel modo giusto.

La sfida degli aggiornamenti OTA

La maggior parte dei team scopre la complessità degli aggiornamenti OTA solo dopo aver spedito il primo lotto di dispositivi. I problemi si accumulano:

  • Nessun rollback: un'immagine firmware difettosa può rendere migliaia di dispositivi irraggiungibili, senza possibilità di recupero remoto.
  • Nessun rilascio graduale: inviare un aggiornamento a tutti i dispositivi contemporaneamente significa che una singola regressione colpisce l'intera flotta.
  • Nessuna firma: i pacchetti firmware non firmati possono essere alterati in transito, trasformando ogni aggiornamento in un rischio di sicurezza.
  • Frammentazione dei protocolli: i dispositivi usano trasporti diversi (MQTT, HTTP, protocolli proprietari); costruire un meccanismo di aggiornamento generico non è banale.
  • Interruzioni di connettività: i dispositivi in ambienti industriali possono essere offline per ore o giorni; un client di aggiornamento ingenuo che presuppone connettività affidabile fallirà in campo.
  • EU Cyber Resilience Act: dall'11 dicembre 2027, i prodotti connessi venduti nell'UE dovranno supportare il patching delle vulnerabilità tramite OTA. Un meccanismo di aggiornamento assente è un blocco alla conformità.

Cosa serve per farlo bene

Un sistema OTA di livello produzione ha bisogno di:

  1. Pacchetti firmware firmati: solo le immagini con una firma valida del produttore vengono accettate dal dispositivo. Previene attacchi alla supply chain e deploy accidentali.
  2. Aggiornamenti delta: invia solo i byte modificati anziché l'immagine completa. Fondamentale per i dispositivi su connessioni metered o lente.
  3. Supporto partizioni A/B: il dispositivo mantiene attivo il firmware corrente in una partizione mentre scarica la nuova immagine nell'altra. Se l'aggiornamento non si avvia correttamente, torna automaticamente alla versione precedente.
  4. Rilascio graduale: distribuisci all'1% dei dispositivi prima, verifica la telemetria, poi espandi. Limita l'impatto di una release difettosa.
  5. Segmentazione della flotta: versioni firmware diverse per modelli di dispositivo, revisioni hardware o gruppi cliente diversi.
  6. Orchestrazione degli aggiornamenti: scheduling, logica di retry e tracciamento dello stato su migliaia di dispositivi in parallelo.
  7. Monitoraggio: sapere quali dispositivi si sono aggiornati, quali sono in sospeso e quali hanno fallito, in tempo reale.

Come Connhex risolve il problema

Connhex fornisce l'infrastruttura OTA come componente integrato della piattaforma, non come un add-on.

Connhex Edge gira come agente leggero sul dispositivo. Gestisce il lato client dell'aggiornamento: scarica i pacchetti, verifica le firme, gestisce le partizioni A/B e riporta lo stato al cloud. È progettato per girare su hardware Linux con risorse limitate e gestisce in modo affidabile le interruzioni di connettività.

Connhex Control è il layer di orchestrazione lato server. Dalla dashboard o dalle API di Control puoi:

  • Caricare e versionare le immagini firmware
  • Definire strategie di rilascio: rollout graduali basati su percentuale, targeting per gruppo di dispositivi, deployment pianificati
  • Monitorare l'avanzamento degli aggiornamenti sull'intera flotta in tempo reale
  • Annullare immediatamente una campagna se vengono rilevate anomalie

Le immagini firmware vengono firmate crittograficamente durante il caricamento. Connhex Edge verifica la firma sul dispositivo prima di accettare qualsiasi aggiornamento: un dispositivo che riceve un pacchetto alterato o non firmato lo rifiuta e segnala l'incidente.

Il flusso di aggiornamento si integra con Connhex Monitoring: la telemetria post-aggiornamento viene analizzata automaticamente per rilevare regressioni nelle metriche di salute dei dispositivi, dando al team un segnale precoce prima che un aggiornamento difettoso raggiunga l'intera flotta.

Per la conformità, l'infrastruttura OTA di Connhex soddisfa direttamente i requisiti di aggiornamento e patching delle vulnerabilità del EU Cyber Resilience Act.

Vedi come funziona in pratica

Il produttore HVAC Seitron ha integrato Connhex nella propria infrastruttura cloud esistente senza sostituirla, dimostrando che OTA e provisioning possono essere aggiunti in modo modulare a prodotti già in campo.

Il flusso implementato da Connhex Remote Init è proprio quello che ci serviva. Gestisce anche casi che non avevamo inizialmente previsto: sono certo che sarà uno dei pilastri della nostra infrastruttura per molto tempo.

Stefano Vardanega
Stefano Vardanega

Senior Software Engineer - Seitron

Per applicazioni HVAC, smart home e industriali, consulta le pagine dei casi d'uso: Connhex per HVAC · Connhex per le lavatrici industriali · Connhex per la smart home

Leggi la documentazione tecnica

Distribuisci aggiornamenti su tutta la flotta, in sicurezza.Scopri come Connhex gestisce gli aggiornamenti OTA, senza infrastruttura da costruire.
Esplora i piani