随著(zhe)汽車(chē)加速電(diàn)氣化(hu$✘≥à)的(de)步伐，作(zuò)為(wè→>δ®i)交通(tōng)工(gōng)具的(de)汽車(÷ ∑₹chē)，逐漸由機(jī)械驅動的(de)機(jī)器(qì)向α‍軟件(jiàn)驅動的(de)電(diàn≠  ∑)子(zǐ)産品過渡，業(yè)內(nèi)人↕↑® (rén)士普遍認為(wèi)，汽車(chα↕ ≠ē)将會(huì)成為(wèi)下(xià)一(yī)個(gè ®±)移動智能(néng)終端。在這(zhè)個(gè)趨勢下(xià)，汽車(ch←‌γē)産品和(hé)內(nèi)部系統的(de)競争法則都(dōu)将改寫。整車(chē)企>±"&業(yè)以往的(de)技(jì)術(shù)工(gōnφ↔€g)程核心是(shì)發動機(jī)和(hé)變速箱，而展望未來(♠£™&lái)，在車(chē)聯網的(de)平台下(xià)，給汽車(chē)配置足夠強大(dà)的(dδ≈✔¶e)感應器(qì)、SoC級芯片，以及相(xiàng)匹配的(de)運算(suàn)能(nén¶"☆≠g)力，顯得(de)越來(lái)越重要(yào)。

汽車(chē)上(shàng)軟件(jiàn)代碼行(xíng)數(s​₹φhù)像滾雪(xuě)球一(yī)樣不(bù)斷增長(cháng)，目前市(shì)面↔¶>上(shàng)的(de)量産車(chē)通(tōng)常是(sΩ∞hì)在50-60個(gè)ECU上(shàng↓‍δ$)運行(xíng)著(zhe)2,000-3,000萬行(xíng)代碼，豪華車σ≥ ♣(chē)型甚至會(huì)這(zhè)個(gè)這(zhè)個(gè)數(shù≈✘)量上(shàng)翻倍。這(zhè)些(xiē)代碼控制(zhì)著(zhe)從(cóng)娛♠>®樂(yuè)系統到(dào)安全和(hé)動力系統的(de)所有(yǒu)功能(né≈©ng)，這(zhè)意味著(zhe)整車(chē)的(de)複雜(zá)度€σγ升高(gāo)。和(hé)硬件(jiàn)相(xiàng)比<→，軟件(jiàn)叠代快(kuài)得(de)多(duō)，很(hěn)容易做(zuò≤啶)到(dào)個(gè)性化(huà)設計(jδβ¶✔ì)，同時(shí)也(yě)亟需進行(xí•‍©ng)系統化(huà)管理(lǐ)。

OTA技(jì)術(shù)簡介

01

如(rú)果說(shuō)消費(fèi)者對(duì)汽車(ch䧕ē)OTA（Over-The-Air）技(jì)術€Ω© (shù)還(hái)有(yǒu)點陌生®€≤₹(shēng)的(de)話(huà)，他(tā)們ε★對(duì)智能(néng)手機(jī)的(de)在線÷¥ ≈升級功能(néng)一(yī)定是(shì∞↑)熟悉并使用(yòng)過的(de)。簡單來(lái)說 •₹ (shuō)汽車(chē)OTA技(jì)術(shù)就(j♦₹λiù)是(shì)通(tōng)過遠(y≥§♠uǎn)程完成對(duì)車(chē)載軟件(jiàn)的(de)升級，可(kě)以快(kuài↔✘)速修複缺陷、開(kāi)啓新功能(néng)等等。
       傳統的(de)車(chē)輛(lià★ ₩ng)維修和(hé)軟件(jiàn)更新，采用(yòng♣↕γ )的(de)是(shì)線下(xià)店(diàn)維修和★§γ(hé)召回的(de)模式，而OTA技(jì)術(shù)具備減少(shǎo)召回成本、快(k‍&∏ uài)速響應安全需求、提升用(yòng)戶體(tǐ)驗等多( ¥duō)種優勢，從(cóng)擴大(dà)覆蓋範圍和(hé)降低(dī)管理(lǐ)複雜(zá)‍≥度上(shàng)來(lái)看(kàn)，必然是(shì)未來(lái)智能(néng)汽車↓β±(chē)的(de)必然選擇。
      如(rú)下(♦♠∞↑xià)圖所示，OTA技(jì)術(shù)也(yě)是←β (shì)從(cóng)萌芽階段、到(dào)娛樂(yuè)系統和(hé)互 >聯模塊本身(shēn)再到(dào)動力總成和(h✘€↔é)安全系統，再到(dào)未來(lái)可(kě♦"¥←)能(néng)的(de)汽車(chē)的(de)核心運算(suàn)單元（各個πα(gè)區(qū)塊的(de)域控制(zhì)器(qì)）。

OTA 技(jì)術(shù)要(yào)求對(duì)整車(chē)電(diàφ×♣n)氣架構進行(xíng)大(dà)範圍的(de)調整，因此對(duì)原有(yǒu)的(de)架×♠★構而言存在很(hěn)大(dà)的(de)改革挑戰，另外(wài)網絡安全問(wèn≈™$)題也(yě)是(shì)目前沒辦法立刻推行(xín≈δg)該項技(jì)術(shù)的(de)顧慮₹δ®≠因素。

汽車(chē)OTA的(de)架構和(hé)流程

02

OTA主要(yào)分(fēn)為(wèi)FOTA（Firmware- Over-The-A§φ★'ir，固件(jiàn)在線升級）和(hé)SOTA（Software¶γ-Over-The-Air，軟件(jiàn)>±在線升級）兩類。前者是(shì)對(duì)固件(jiàn)下±‌≈☆(xià)載安裝鏡像，是(shì)一(yī∏↓>)個(gè)系統性更新；後者是(shì)對(duì)部分(fēn)應用(yò€ββ♥ng)層軟件(jiàn)的(de)叠代更新。在汽車(chē)電(diàn)子(zǐ)領域， FOTδ≈A 與 SOTA 界限比較模糊，通(tōng)常将 HU 中的(de) APP 更新稱為(wèi)✘←±↓SOTA，将其他(tā) ECU 的(de)更新¥±甚至于所有(yǒu)更新統稱為(wèi) OTA。

汽車(chē)OTA架構主要(yào)包♦&含雲端服務器(qì)和(hé)車(chē)輛(liàng)終端組建兩部分(fēn≠♦)，如(rú)下(xià)圖所示：

（1）OTA雲端服務器(qì)：為(wèi)車(chē)載終端提供OT≠π‍A服務，主要(yào)管理(lǐ)各個(gè)軟件±±(jiàn)供應商的(de)原始固件(jiàn)升級軟件(jiàn)。出于安全考慮，需§‌要(yào)構建一(yī)個(gè)獨立的(de)子(zǐ)模塊，負責OTA服務平台的(de)安♦∞α全，包括密鑰證書(shū)管理(lǐ)服務✔£、數(shù)據加密服務、數(shù)字簽名服務等。≈∑ 
（2）車(chē)輛(liàng)終端OTA組件(jiàn)"λ≈"：對(duì)升級包進行(xíng)合法性驗證，适配→‍©$安全升級流程。　
汽車(chē)OTA流程主要(yào)分(fēn)為(wèi)三步：←∏¥₩管理(lǐ)和(hé)生(shēng)成更新包、分(fēn)發更新包、安裝更新包。具←&™體(tǐ)如(rú)下(xià)：

（1）管理(lǐ)和(hé)生(shēng)成相(xiàng)↔ §​關的(de)更新包文(wén)件(jiàn)：雲端服務器(↑σβ₹qì)是(shì)負責監測整個(gè)OTA過程的(de)主要(yào)單元，它不(bù)僅要(y©©&ào)确定更新哪些(xiē)車(chē)輛(liàng)，是(shì)否與車(chē)×₩σλ輛(liàng)建立可(kě)靠的(de)連接（↓✔©φ生(shēng)成一(yī)個(gè)可(kě)靠α☆$©的(de)可(kě)信通(tōng)道(dào)）并實時(sγ≠&hí)掌握消息，然後把固件(jiàn)包或者更新包從(cóng)軟件(jiàn)庫裡(→↔<lǐ)面提取出來(lái)，确定分(fēn)發包的(ε‌↓de)更新順序，管理(lǐ)整個(gè)進程，并在完成後校(x‍↕'←iào)驗。

（2）分(fēn)發并檢查：服務器(qì)會(huì)做(zuò)加≈₹ 密渠道(dào)分(fēn)發更新包，而在車(chē)輛(liàng)端有(yǒu)個(gè'&÷)計(jì)算(suàn)能(néng)力強大(dà)并有(yǒu)足夠存儲空(ε∑‍kōng)間(jiān)的(de)控制(zhì)器(qì)↓λ ®進行(xíng)下(xià)載、驗證和(hé)>®λ解密，相(xiàng)對(duì)應的(de)，與★±  服務器(qì)也(yě)有(yǒu)作(zuò)業(yè)管理(lǐ&‌♥)器(qì)負責報(bào)告當前狀态和(hé)錯(cuò)誤信息， 每個(gβ¶∏è)更新作(zuò)業(yè)都(dōu☆‍≥')有(yǒu)一(yī)個(gè)用(yòn∑>‌g)于跟蹤使用(yòng)情況的(de)作(zuò)業(yè)I₩✘×​D。

（3）更新和(hé)刷新安裝：為(wèi)了(le)防止車(chē)輛(lià•∏ ng)刷新時(shí)死機(jī)，通(tōng)常整車(chē)¥∑企業(yè)在決定FOTA前需要(yào)做(zuò)完備的(de)方案，比如(rú)通(tōng"")過聯網模塊（如(rú)儀表闆、中控台等）≤®實現(xiàn)對(duì)整個(gè)更新文(wén)件(jiàn)刷入ECU進程的σ​(de)監控，每一(yī)步操作(zuò)都(₩Ω ♠dōu)會(huì)監控整個(gè)機(jī←₽≥)制(zhì)是(shì)否完整，并且能(néng)保證随時(<≈shí)停止和(hé)重新寫入。隻要(yào)對(duì)應的(≥÷‍de)ECU存在可(kě)以運行(xíng)的(d™ ≤e)導引程序，那(nà)就(jiù)保證了(le)車(chē)輛(liàng)和(hé)服務器(q¥‌ì)對(duì)整個(gè)過程的(de)控制(zhì)$×，并把刷死機(jī)的(de)風(fēng)險降♠εβ到(dào)最低(dī)。
完成最後的(de)準備工(gōng)作(zuò)後，ECU将重新啓動，δ♣∞λ代理(lǐ)和(hé)服務器(qì)之間(jiān)将持續連接，服務器(qì)可<∞©↔(kě)以獲得(de)當前更新狀态的(de)最新信息。∞'∏

車(chē)企在OTA的(de)發力及标準推進

03

汽車(chē)企業(yè)都(dōu)在努力構建自(zì)αβ己的(de)OTA的(de)架構和(hé)功能(néng)‌ ，形成自(zì)己的(de)标準。特斯拉在2012年(nián)首次使用(yòng)OTA技(±∑jì)術(shù)，升級娛樂(yuè)、自(zì)動駕駛、動力、電(diàn)≈♣¥₽池等模塊；之後至2018年(nián)前後，豐田、大(dà)衆、福特、沃₽σ'爾沃先後采用(yòng)對(duì)娛樂(yuè)系 →Ω↓統、導航等推出OTA在線系統更新，以及在實時(shí)車(chē)況診斷的(de)基礎上(s&£hàng)升級為(wèi)預警提醒等。
      2019年(niánπ ×↓)之後年(nián)上(shàng)汽、廣汽、一(yīε★∏)汽、長(cháng)安、豐田、大(dà)衆、寶馬等海(hǎi)內(nèi)外(wài)整車(ch♥δαē)廠(chǎng)紛紛成立軟件(jiàn)部門(m<&λén)(公司)，發力智能(néng)駕駛數(shù)字化(huà)業(≈☆yè)務，見(jiàn)下(xià)表。

斯拉為(wèi)代表的(de)多(duō)家(jiā)新造車(chē)勢力推出∞>★新款智能(néng)電(diàn)動汽車(chē)，OTA技(j"€ì)術(shù)已在新車(chē)型上(shàng)升級車(chē)機(jī)系§♥統方面得(de)到(dào)普遍應用(yòng)。比如(rú)，特斯拉從(cóng) 202φ>0 年(nián)初至今，共進行(xíng)了(lσγ↓e)19次OTA更新，在所有(yǒu)的(d↔×♦¥e)車(chē)企中升級頻(pín)次最高(gāo)，最新一(yī)次是(shì) 今↑$‍¥年(nián)6月(yuè)通(tōng)過OTA實施召回，優化(huà)巡航控制(zhì)功能(&β♦¶néng)。
      國(guó)內(nè"∞'i)新勢力代表蔚來(lái)、理(lǐ)想、小(xiǎo)鵬等，也(yě)通(tα♠ōng)過 OTA 同步推送新功能(néng)，提升充電(diàn)✘©£>效率，優化(huà)駕駛輔助，修複車(chē)機(jī)系統£÷±BUG等。
      未來(lái"φΩ)，随著(zhe)汽車(chē)智能(néng)化(huà)程度不(bù)斷≈σ€•提升，預計(jì)召回問(wèn)題中超過50%以上(shàng)¥&是(shì)軟件(jiàn)問(wèn)←δ✔題，OTA生(shēng)态的(de)構建将顯著降低(dī)這(zhè)部分(₹↓±•fēn)召回成本。咨詢機(jī)構IHS曾預測，汽車(chē)制(zhì)造商從(cóng)OTA×₽¥≥軟件(jiàn)更新中節省的(de)成本将從(cóng)2015年(nián)的(™¶&βde)27億美(měi)元增長(cháng)到(dà  o)2022年(nián)的(de)350億美π±(měi)元。
     €  從(cóng)全球範圍來(lái)看(kàn)，各個(gè)國(guó)家(jiā∑ ₽©)、地(dì)區(qū)以及主要(yào)的(de)國(guó)↔↑♦際性聯盟，都(dōu)在嘗試制(zhì)定♥↓βOTA标淮。2016年(nián)12月(yuφ<è)，由英國(guó)和(hé)日(rì)本作(zuò)為(wèi)主席國(guα↔×ó)，成立了(le)專門(mén)的(de)汽車(chē)信息安全标準任務組UN φ♦Task Force on Cyber sec★® ∏urity and OTA issues (CS/ OTA)，圍繞汽車(chē)網絡安全βα、數(shù)據保護和(hé)軟件(jià€∞±n)升級OTA三部分(fēn)開(kāi)展國(gβ•uó)際法規及标準的(de)制(zhì)定工(g♠λ ‌ōng)作(zuò)，國(guó)際電(diàn)信聯盟（ITU—SG&✘δ17）也(yě)全面與參與了(le)該任務組的(de)相(xiàng)關工(gō∑₩≥↔ng)作(zuò)。中國(guó)各行(xí ₹σ∑ng)業(yè)專家(jiā)也(yě)在中國(guó)汽車(ε±¥chē)技(jì)術(shù)研究中心的(de)組織下(xià)參與了(le)該任務組的(≠$de)部分(fēn)工(gōng)作(z↕‌uò)，并有(yǒu)相(xiàng)關國(guóασ)際标準建議(yì)提案。
      從(cón​♥& g)2017年(nián)1月(yuè)&δ© 1日(rì)起，國(guó)标《電(diàn)動汽車(chē)遠(yu¥§≥​ǎn)程服務與管理(lǐ)系統技(jì)術(shù)規範》（GB•≥γ₽/T 32960.1-2016）規定，新生(shēng)産的(deσ✘®¥)全部新能(néng)源汽車(chē)安裝車(chē)載終端，通(t™≤•ōng)過企業(yè)監測平台對(duì±≈)整車(chē)及動力電(diàn)池等關鍵系統運行(xíng)安全狀态進±σ≤行(xíng)監測和(hé)管理(lǐ)。按照(zhào)國(≈​guó)家(jiā)标準公共服務領域車(chē)輛(liàn↓☆g)相(xiàng)關安全狀态信息要(yào)上(shà≈↔©Ωng)傳至地(dì)方監測平台，從(cóng)中也(yě)會(huì)産£§生(shēng)OTA需求。
       2020年(nián)11α'月(yuè)，國(guó)家(jiā)市(shì)場(chǎng)監督總局發布《關于進一(yī)步¥Ω®加強汽車(chē)遠(yuǎn)程升級(OTA)技(jì)術(shù)召回監管的(d÷γα e)通(tōng)知(zhī)》明(mí ∑ng)确指出，車(chē)企"采用(yòng) OTA 方式對(duì)↕∞©•已售車(chē)輛(liàng)開(kā★±✘i)展技(jì)術(shù)服務活動的(de)"， ↑要(yào)向市(shì)監總局備案;而"采用(↔"yòng)OTA方式消除汽車(chē)産品缺陷、實施召回的(de)"♦‌≥，要(yào)制(zhì)定召回計(jì)劃、向市≈δ♣(shì)監總局備案，并依法履行(xíng)召回主體(tǐ)責任。今年(nián)（202 §λ←1年(nián)）6月(yuè)4日(rì)，市(shì)監總局又(yòu)發布《汽車(γ→✘♦chē)遠(yuǎn)程升級 (OTA)技(j₽ ∏ì)術(shù)召回備案的(de)補充通(tōng)知(zhī)》。

OTA有(yǒu)哪些(xiē)風(fēng)險？

04

很(hěn)多(duō)人(rén)對(duì)于汽車(chē)OTA¥​的(de)認知(zhī)來(lái)源于手機(jī)OTA，從(cóng)技(j∞↔§₹ì)術(shù)特點上(shàng)來(lái)看(kàn)确實有(yǒu) ∞>←類似之處，但(dàn)真正在實施過程中，兩者還(hái)是(shì)有(yǒu±↓)很(hěn)大(dà)的(de)區(qū)别，特别是(shì)安全問(wèn)題。舉≈"個(gè)例子(zǐ)，手機(jī)在進行(xí≥∑✔ng)OTA升級時(shí)，如(rú)果升級不(bù)成Ω‍↓功，最差的(de)情況不(bù)過是(shì)手機(jī)變“磚≠♣×Ω頭”，而汽車(chē)情況則大(dà)不(φ¥bù)一(yī)樣，稍有(yǒu)不(bù)慎就(jiù)是(shì)車(chē)損人(rén)傷γ∑。
      在FOTA流程中，主要(yào)存在傳輸風(f∞¶∞ēng)險和(hé)升級包篡改風(fēng)險。終端下(x≈‌©ià)載升級包的(de)傳輸流程中，攻擊者可(kě♥πφ)利用(yòng)網絡攻擊手段，如(rú)中間(jiān)人(rén)攻擊，将篡改僞造₹←§ 的(de)升級包發送給車(chē)載終端，如(∏∏∏↑rú)果終端在升級流程中同時(shí)缺少(shǎo)驗證'♠機(jī)制(zhì)，那(nà)麽被篡改的(de)升級包即可(kě)順利完成升級流程 "δ>，達到(dào)篡改系統、植入後門(mén)等惡意程序的(de)目的(de)。攻€<¥ 擊者還(hái)可(kě)能(néng)對(duì)升級包進行(xíng)解包分(fēn)÷©析，獲取一(yī)些(xiē)可(kě)利用(yòng)的(∞ de)信息，如(rú)漏洞補丁等，升級包中關鍵信息的(de)暴露會(huì)增加被攻擊的(± de)風(fēng)險。

在一(yī)個(gè)合适的(de)時(shí)間(jiān)、合适的(de)地(dì)點∏♥↕"以及車(chē)輛(liàng)合适的(de)狀态下(xià¶₩)進行(xíng)升級。這(zhè)就(jiù)要(yào)求車γ'δ'(chē)企制(zhì)定相(xiàng)應的(de)升級策略，以盡可(kě)®φ能(néng)安全、經濟的(de)方式來(lái)開(kāi)展這(zhè)項操作(zuò)。€®≈‍OTA技(jì)術(shù)對(duì)于整車(chē)企✔©↓業(yè)而言，其實也(yě)存在推廣之後承擔出現(xiàn)問(wè£✘n)題的(de)風(fēng)險，前文(wéδ↓n)也(yě)提過，這(zhè)是(shì)制(zhì)約整車(chē)企業(yè)推動OTA技(♥αΩ>jì)術(shù)在車(chē)輛(liàng)上(shà♠π§ng)應用(yòng)發展的(de)一(yī)大($£ε<dà)障礙。随著(zhe)信息安全技(jì)術(shù)的(de)導入，這(÷₩γzhè)部分(fēn)工(gōng)作(zuò)将會(huì)變成整車(chē)企業("δ★yè)與網絡技(jì)術(shù)結合的(de)發展。

轉載汽車(chē)電(diàn)子(zǐ)相(xiàng)關↔♣文(wén)章(zhāng)

轉自(zì)汽車(chē)電(diàn)子(zǐ)與軟件(jiàn)