智能(néng)網聯是(shì)我♠£¶♥國(guó)汽車(chē)産業(yè)重大(dà)戰略方向，軟件(ji§λ↔àn)定義汽車(chē)成為(wèi)行(xíβ€ng)業(yè)發展方向的(de)重要(yào)特征。智能(néng₹‌™σ)網聯汽車(chē)軟件(jiàn)在線₹"升級可(kě)實現(xiàn)全新功能(♣₽néng)導入、産品性能(néng)叠代、用(yòng)戶體(tǐ)驗改善，具備經濟、高(g★≈σāo)效的(de)顯著特征。近(jìn)年(nián)來(lái)，在應用(yò∏π>∑ng)規模、範圍等方面均大(dà)幅提升。但(d★★≤€àn)是(shì)，汽車(chē)軟件(jiàn)在線升級涉及升$™≥π級前、升級中、升級後過程狀态，對(duì)原有(yǒu)汽車(chē)管理(lǐ✔→σ∞)模式帶來(lái)新的(de)挑戰，需要(yào)綜合分★∞(fēn)析國(guó)內(nèi)外(wài)汽車( εchē)創新管理(lǐ)經驗，針對(duì)智能(néng)網聯汽車(chē>₩✘)軟件(jiàn)在線升級潛在的(de)安全風(fēng)險，從(cóng)管理(lǐ)方面γ♥®提出針對(duì)性對(duì)策建議(yìΩβ)。

1 引言

       遠(yuǎn)程在線升級£δ（Over-The-Air,OTA）是(shì)基于♣>©<移動通(tōng)信網絡接口完成對(duì)移動終端産品的(de)軟↓←÷↓件(jiàn)數(shù)據升級管理(lǐ)的(de)技(jì)術(shù)，包α♦γ★含軟件(jiàn)遠(yuǎn)程升級（Softwar×♣γe Over The Air, SOTA）和(hé)固件(jiàn)遠(yuǎn)程∑α∏升級（Firmware Over The Air,FOTA），主要(y★♥✘ào)用(yòng)于智能(néng)手機(jī)行(xíng)業Ω×♦(yè)[1]。對(duì)于汽車(chē)行(xíng)₩×'£業(yè)而言，2000年(nián)後，日(rì)本汽車(chē)制(zhì∑©<)造廠(chǎng)商開(kāi)始對(duì)配置T-BOX車(chē)載γ>β控制(zhì)單元的(de)汽車(chē)進行(xíng)> T-BOX系統的(de)OTA遠(yuǎn)程升級。在此以後，部分(f$☆₩ēn)汽車(chē)制(zhì)造廠(ch≠δ  ǎng)商開(kāi)始對(duì)具備遠(yuǎn)程通(tōng)信功能(néng)的γ←£(de)車(chē)載信息娛樂(yuè)系統（In-V✔₹ehicle Infotainment,IVI♦←）進行(xíng)OTA遠(yuǎn)程升級，如(rú)導航地(dì)圖'•♠¶、應用(yòng)音(yīn)樂(yuè)等，從π​(cóng)OTA遠(yuǎn)程升級的(de)功能(néng)內(∞≠">nèi)容範圍分(fēn)析，此時(shí)汽車(chē)行(xíng)業(yè↕£)主要(yào)針對(duì)車(chē)載信息娛樂(yuè)系統和(hé)簡單的(de)電(©πdiàn)器(qì)部件(jiàn)控制(zhì≠‌£↔)功能(néng)，屬于SOTA 的(de)≥β£範疇。從(cóng)汽車(chē)OTA 遠(yuǎn)程升級更新內(≤∞∏"nèi)容上(shàng)分(fēn)析，特斯拉Model S是(shì)一(yī)款真正搭‍‍載FOTA技(jì)術(shù)的(de)汽車(chē)，通(tōng)過遠(yuǎn)ε♣φα程升級修複安全漏洞、提升産品性能(néng)、改善用(yòng)戶體(tǐ)驗[2]。自(zì)↑α₹2018年(nián)以來(lái)，國(guó)內(nèi)汽車(chē)OTA遠(y>​uǎn)程升級在功能(néng)搭載率、升級內(nèi)容等方面均實現(xiàn♠§ &)快(kuài)速提升，OTA 遠(yuǎn)程升級發®∞"§展逐漸擴大(dà)化(huà)，并催生(shēng)一(yī)批功能(nén‌<g)選裝、硬件(jiàn)免費(fèi)+軟件≤$Ωα(jiàn)收費(fèi)等新型商業(yè)模式。由于智能(♣®'néng)化(huà)、網聯化(huà)技(jì)術(shù)的(de)賦能(néng)，O♥αTA 遠(yuǎn)程升級技(jì)術(shù)将成為(wèi)未來(lái)汽‍✘ 車(chē)産品軟件(jiàn)數(shù)據更新的(de)主要(yào)方式，逐漸成為(wèi'​∏♥)汽車(chē)智能(néng)化(huà)、網聯化(huà)的(de)标準配λ∑¥置，汽車(chē)産業(yè)将迎來(lái)“越用(y↕ ♦òng)越新”的(de)時(shí)代。

       本文(wén)主要(yào)♦≤₽從(cóng)汽車(chē)軟件(jiàn)在線升☆¥級架構、流程、最新管理(lǐ)實踐方面，研究汽車(chē)軟件(jiàn)在線升級的(dφ£e)潛在風(fēng)險和(hé)發展重點。

2 國(guó)內(nèi)外(wài)汽車(chē)軟件©'(jiàn)在線升級管理(lǐ)最新進展

       智能(néng)網聯汽車(cβ✘hē)OTA 遠(yuǎn)程升級的(deδ₹εσ)軟件(jiàn)數(shù)據內(nèi)容不(bù)僅包含智能(néββng)座艙、車(chē)聯網，還(hái)擴展到(dào)汽車(chē)行(xíng)車(chē✘★↕≥)系統控制(zhì)層和(hé)自(zì)動駕駛（圖1）[3]。OTA 遠(yuǎ¥ n)程升級将深度變革汽車(chē)産品定義、開(∞₽★kāi)發、驗證、銷售、服務全過程。當前 ←，汽車(chē)OTA遠(yuǎn)程升≈&級範圍，已從(cóng)信息娛樂(yuè)系統逐漸擴展至制(zhì)動∑↔π$能(néng)量回收系統、電(diàn)池管理≈₩™₽(lǐ)系統、智能(néng)座艙、輔助駕駛功能(néng)等領域，不(bù)同功能(néng$₽∞)域的(de)性能(néng)參數(shù)均發生(shēng)變更，☆≠γ≤産品缺陷修複方式更加靈活多(duō)樣[4-5]。從(cóng≠δδ)一(yī)定程度來(lái)看(kàn)，屬于汽車(chα××δē)“再造”屬性，升級後的(de)汽車(chē)産品如(rú)®Ω★↕何滿足生(shēng)産一(yī)緻性管理(lǐ)要↑™₽(yào)求，如(rú)何進行(xíng)汽車(chē)安全影(yǐng)響評估，如(rú)何界定∑δσ"消除汽車(chē)産品缺陷和(hé)性能(néng)改進的(de)邊界∑≤ε等，均對(duì)傳統汽車(chē)靜(jìng)态固化(huà€€)的(de)管理(lǐ)模式帶來(lái)新的(de)挑戰。

圖1 智能(néng)網聯汽車(chē)應用(yòng)軟件λα↕(jiàn)[3]

      國(g¥‌uó)外(wài)以聯合國(guó)和(hé)日(rì)本為(wèi)代表，已出>↕<台具體(tǐ)法規要(yào)求對(duì)汽♥¥≠車(chē)OTA進行(xíng)管理(lǐ)。目≈↔前，聯合國(guó)世界車(chē)輛(liàng✔ ←≥)法規協調論壇發布3項涉及智能(néng)網聯汽車(chē)信息安全的(de)重要(yào)法規∑™✔UN Regulation No.155₽γ<σ、UN Regulation No.156、UN Regulatio≤£✘n No.157，其 中UN Regulation No.155 和≈↔< (hé)UN Regulation No.156 法規要(yào)求銷售到(dào)58 協約國(£¥♣™guó)的(de)汽車(chē)制(zhì)造企業(yè)必須獲得(d©♠≠σe)政府監管部門(mén)的(de)汽車(chē)信息安全管>★理(lǐ)認證和(hé)汽車(chē)軟件(jiàn)升級管理(lǐ)體(tǐ)系認證， ♥汽車(chē)軟件(jiàn)升級管理(lǐ)體(tǐ↓α)系認證要(yào)求汽車(chē)制(zhì)造企業(yè)從(cóng)‌‌±♦軟件(jiàn)更新過程，軟件(jiàn)更新的(de)安全性要(yào)求、已安裝≈γ∞γ軟件(jiàn)的(de)标識等方面建立軟件(jiàn)升級管理(lǐ)體(tǐ)系"γ★，政府監管部門(mén)會(huì)保持認證結果不(bù)定期複審。

      日(rì)本對(duì)于汽車(chē)OTA遠(y&∏¶ uǎn)程升級管理(lǐ)處于領先位置，為(wèi)促進自(zì)動駕駛産業(yè)的(d'÷₽e)快(kuài)速落地(dì)，先後出台↓•↔γ或修訂了(le)《道(dào)路(lù)車(chē)輛(liàng)運輸法》《車(chē)輛(l €® iàng)特定改造許可(kě)制(zhì)度》《道(dào)路(lù)運↑→輸車(chē)輛(liàng)保安基準》《審查事(shì)​♣務規程》等文(wén)件(jiàn)，從(cóng)上(shàng)位​₽法、管理(lǐ)制(zhì)度、法規要(yào)求等維度，對(duì)汽車(chē)<φ©×OTA 在線升級申請(qǐng)、審查、驗證、許可(kě)等關鍵環節構建了(le)較為(w​≤±εèi)完善的(de)管理(lǐ)體(tǐ)系[6-8]。日(rì)本将汽車(chē)OTA ®π©遠(yuǎn)程升級作(zuò)為(wèi)汽車(chē)制(zhì)造企業(yè)對(duì↑πα÷)已銷售車(chē)型改裝應用(yòng)的(de)一∏≥±(yī)種技(jì)術(shù)方式，針對(duì)具備OTA 遠(yuǎn)程升級改裝★♦α的(de)汽車(chē)制(zhì)造企業(yè)，其♥β™需要(yào)建立軟件(jiàn)升級和(hé)網絡安全等制(zhì)度管理(lǐ)≠ ♠<體(tǐ)系，并且國(guó)家(jiā)監管部門(mén)不(bù)定期審查已建立的(deβε>÷)軟件(jiàn)升級和(hé)網絡安全等制(zhì)度管理(lǐ)體(tǐ)系的(de)執₹→←行(xíng)狀态，此外(wài)汽車(cδ$hē)制(zhì)造企業(yè)在OTA 升級前需向日(rì)本國(₽©δ→guó)土(tǔ)交通(tōng)部提交汽車(chē)軟件(jià↑™n)升級申請(qǐng)材料，經國(guó)土(♥•tǔ)交通(tōng)部批準後方可(kě)執行(xíng)汽車(chē)OTA遠(yuǎn)程→δ升級。

      此外(wài)，國(✔ε₩guó)際相(xiàng)關标準組織為(wèi)減少(shǎ‌→©o)汽車(chē)OTA遠(yuǎn)程升級質量問(wèn)題，先後發布了(lδ♥πe)SAE J3061（2016）、Uptane IE'© ₽EE-ISTO 6100.1.0.0（2018）、ISO/SAE ©↑★₩21434（2021）等行(xíng)業(yè)标準，從(cóng)信息安全工(gōng)程×≠♥體(tǐ)系建設、安全測試技(jì)術(shù)和(hé)£↓↑™汽車(chē)安全防護框架等方面提供标準®$σ♥化(huà)OTA 遠(yuǎn)程升級産品解決方案。另外(wài)，國(guó)際标準化(huà₹®¶♠)組織為(wèi)支撐UN Regulat≤∑ion No.156- SoftwareΩε™≠ update and software update management system 法規Ω¶←↔在企業(yè)體(tǐ)系的(de)實施，←¶←γISO 24089《道(dào)路(lù)'©←車(chē)輛(liàng)軟件(jiàn)升級工(gōng)程》已正式立項，旨在提出車✔≤(chē)載軟件(jiàn)更新所涉及的(de)功能(n≈₩₽÷éng)安全和(hé)信息安全方面的(de)要(yào)求，明(míng)确軟件(₽λΩ♦jiàn)升級管理(lǐ)系統、車(chē)輛(liàng)、電(dià£÷↔£n)子(zǐ)電(diàn)氣架構和(hé)軟件(jiàn₽≈♦€)包的(de)設計(jì)開(kāi)發流程，支撐相(xi•≈àng)關法規的(de)實施。綜合來(lái)看(kàn)，國(guó)際上(shàng)已出台<↔​的(de)法規和(hé)标準從(cóng)OTA遠(yuǎn)程升級前對(duì)車(chē)況♦£ε的(de)正确感知(zhī)，到(dào)OTA 遠$ (yuǎn)程升級結果完整性、功能(néng)性驗δγ≤證、升級內(nèi)容防篡改機(jī)制(zhì)，再到(dào)升級↑♠÷λ失敗後車(chē)輛(liàng)自(zì)動還εδ(hái)原到(dào)可(kě)用(yòng)₩‌狀态、更新內(nèi)容和(hé)過程可(kě)追溯，'δ γ以及完備的(de)安全監控和(hé)審計(jì)機(jī)制(zhì)、告£©知(zhī)車(chē)主更新內(nèi)容及保護措施等方面，對(duì)汽車(chē)OT®₩A遠(yuǎn)程升級安全均強化(huà)了(le)→∏管理(lǐ)要(yào)求。

      我國(guó)行(xíngλ‌₩)業(yè)主管部門(mén)高(gāo)度重視(shì)汽車(chē)©Ω✘ OTA 遠(yuǎn)程升級管理(lǐ)。總體(tǐπ★©₩)來(lái)看(kàn)，我國(guó)以備∑♦♠案方式開(kāi)展汽車(chē)OTA 管理(lǐ)，對(∞>duì)汽車(chē)OTA 升級進行(xíng)規範管理ε✘×™(lǐ)。具體(tǐ)來(lái)看(kàn)，從(cóng)新車(chē★↑×)準入和(hé)在用(yòng)車(chē)管理(lǐ)角度先後出台了 $↑(le)《市(shì)場(chǎng)監管總局辦公廳關于進一(yī)步加強汽車(c™✘hē)遠(yuǎn)程升級（OTA）技(jì)術( $πshù)召回監管的(de)通(tōng)知(zhī)<∏》《關于開(kāi)展汽車(chē)軟件(jiàn)在線升級備案的(de÷δ)通(tōng)知(zhī)》等管理(lǐ)政策。其中，《市 €(shì)場(chǎng)監管總局辦公廳關于進一(yī)步加強汽車(chē)遠(yuǎn)程升級（™→ OTA）技(jì)術(shù)召回監管的(de)通(tōng)知(zhī)》提出對(duì)↑✘OTA 遠(yuǎn)程升級追溯、對(duì)OTA 遠(yuǎn £ )程升級技(jì)術(shù)服務活動和(h↔Ωé)OTA 遠(yuǎn)程升級召回備案進行(xíng)管理(lǐ)。《關于開(kāi)展汽車(÷' chē)軟件(jiàn)在線升級備案的(de)✘£€通(tōng)知(zhī)》對(duì)企業(yè)遠(yuǎn)程升級過程進行(xíng)管理($♠™$lǐ)，主要(yào)體(tǐ)現(xiàn)在OTA 遠(yuǎn)程升級過程管理&​♥÷(lǐ)、安全應急響應、升級版本、信息記錄等。此外(wài)，工(gōng)信部發布的(de)☆δ∏《關于加強智能(néng)網聯汽車(chē)生(shēng)産企業(yè)及産品準入管$ 理(lǐ)的(de)意見(jiàn)》也(yě)提到(≈$dào)準入測試應開(kāi)展OTA 遠(yuǎn)程升級安全測試和(hé)升級✘•♦"過程測試。《關于開(kāi)展汽車(chē)數(shù)據♠↓™安全、網絡安全等自(zì)查工(gōng)作(z™>≠uò)的(de)通(tōng)知(zhī)》提出要(y₩✘ào)對(duì)OTA 遠(yuǎn)程升級安全和(hé)網絡安全π§≈狀态進行(xíng)評估檢驗。市(shì)場(chǎng)監管總局等部↓"™γ委聯合發布的(de)《關于試行(xíng)汽車(chē)安全沙盒監管制(zhì↑₽×Ω)度的(de)通(tōng)告》，提出對(duì)使用(yòng)遠(yuǎn) ↓程升級等新功能(néng)模式的(de)車(chē)輛(liàng)開(kāi)展深度測試，更&π→®早發現(xiàn)質量安全問(wèn)題，保障安全底線。

      &nbs♥>↕←p;從(cóng)标準法規來(lái)看(kàn)，我國(guó)在2022年(nián'γ)6月(yuè)已發布了(le)強制(zhì)性國(guó)家(jiā)标準《汽​↔≠車(chē)軟件(jiàn)升級通(tōng)用(yòng)技(jì)術(shù)要(y÷€Ωαào)求》（征求意見(jiàn)稿），該标準規定了(le)汽車(chē)軟件∑  (jiàn)升級的(de)管理(lǐ)體(tǐ)系要(∏λ¥yào)求、車(chē)輛(liàng)要(yào)求、試驗方法、車(chē)輛(liàng¶÷ )型式的(de)變更和(hé)擴展、說(shuō♥ π‍)明(míng)書(shū)要(yào)求等，從(cóng)技♦≥(jì)術(shù)法規角度進一(yī)步完善汽車(chē)OTA遠(yuǎn)程升級管理(l׶©¥ǐ)要(yào)求。

3 汽車(chē)軟件(jiàn)在線升級存在的(de∏ ₩φ)主要(yào)安全問(wèn)題

       汽車(c∞‍hē)OTA 遠(yuǎn)程升級系統架構主要(yào)由遠(>®  yuǎn)程升級雲服務器(qì)端、雲端數(shù)據傳輸和(hé)汽車(chē≈®)産品應用(yòng)終端組成[9-10]。遠(yuǎn)程升級雲服務器(qì)端和(hé)汽≈∏車(chē)産品應用(yòng)終端采用(yòng)一(yī)對(duì)多(d​®uō)的(de)方式，部署在汽車(chē)制(zhì)造企業(yè&∏§ )數(shù)據中心的(de)私有(yǒu)雲服務平台為(wèi)遠(yuǎn)程升級雲服務γ✔器(qì)端，利用(yòng)公有(yǒu)雲的(de)內(nèi)∞γ©β容分(fēn)發技(jì)術(shù)（Conteπλ nt Delivery Network,CDN）實現(xiàn)位于Ω• ≈不(bù)同地(dì)區(qū)的(de)不(bù)同汽車(σ¶ ®chē)同時(shí)更新[11]。遠(yuǎn∏₩)程升級系統架構見(jiàn)圖2。

圖2 汽車(chē)OTA系統架構[11]

       通(tōng)過功能(néng)測試的 ♠(de)汽車(chē)軟件(jiàn)遠(yuǎn)程升級數‍≈(shù)據包，在OTA遠(yuǎn)程升級雲服務器(qì)完成刷寫驗證流程，經ε₩遠(yuǎn)程升級雲服務器(qì)工(gōng)÷★♣程設計(jì)人(rén)員(yuán)在遠(yuǎn)程升級雲服務器(qì)部署車(c₽☆hē)端控制(zhì)器(qì)的(de)軟件(jiàn)數(shù)據包，建立遠€☆α(yuǎn)程升級任務，利用(yòng)車(chē)載遠(₩→≤€yuǎn)程升級主控單元執行(xíng)端與遠(yuǎn)程升級服務器(qì)的(de)無線通(t☆÷♥ōng)信鏈路(lù)，匹配和(hé)下(xià)載遠(yuǎn)程升φ✘γ級軟件(jiàn)數(shù)據文(wén)件(jiàn)，實現(xiàn)待升級車(c☆₽hē)載控制(zhì)單元的(de)遠(yuǎn)程軟件(jiàn)數(shù)據下(xià)載、↑ ¶δ軟件(jiàn)數(shù)據安裝過程[12-14]，♥¶ε★OTA遠(yuǎn)程升級主要(yào)α∑©流程見(jiàn)圖3。

圖3 汽車(chē)OTA升級流程

       從(cóng∏∞&)汽車(chē)OTA遠(yuǎn)程升級的(de)系統框架分(fēn)析，在遠(yuǎn)程升‌‌≤級的(de)每個(gè)流程中均存在安全風(fēn€₩≈βg)險，常見(jiàn)的(de)安全風(fēng)險包含遠(yuǎn)程¶÷在線升級雲服務器(qì)風(fēng)險、軟件(jiàn)數(shù)據傳輸風(fē →ng)險、遠(yuǎn)程在線升級服務器(qì)與車(chē)載遠(yuǎn)程在線升'≤✔§級控制(zhì)單元之間(jiān)的(de)通(tōngγ∏≠)訊協議(yì)風(fēng)險、車(c¶↑‌hē)內(nèi)通(tōng)信網絡風(fēng)險、軟件(jiàn)在線升級數♠​λ(shù)據包被篡改風(fēng)險[15-16]。≈≤☆據統計(jì)，利用(yòng)OTA 遠(y♠→✔uǎn)程升級端口的(de)攻擊方式已成為(wèi)汽車(c♥λhē)産品當前面臨的(de)最高(gāo)風(fēng)險★₽¶ ，如(rú)果出現(xiàn)安全事(shì)件(jiàn)，其影(yǐγ☆ng)響範圍包含汽車(chē)運行(xíng)狀态、車(chē)主隐±±Ω私數(shù)據洩露、車(chē)主财務損失，更為(wèi)嚴重的(de)安全事(§♠shì)件(jiàn)會(huì)涉及到(dào)車(chē)主的(de)人(rén)身( ∏&shēn)傷亡[17]。如(rú)何在軟件(jiàn)快(kuài)速叠代進程中确保軟件(jiàφαn)質量和(hé)升級成功率、如(rú)何準确®σ₽£評估識别複雜(zá)電(diàn)子(zǐ)電(diàn)器σ>λ(qì)系統升級必要(yào)性和(hé)>α升級軟件(jiàn)準确性、如(rú)何确保軟件(jiàn)在線升級合規∏↔等關鍵問(wèn)題，均對(duì)程序可✘∏(kě)靠性、數(shù)據完整性、系統安全性和(h§ é)傳輸連通(tōng)性方面提出了(le★÷)更高(gāo)要(yào)求。

       從(c'>π↓óng)用(yòng)戶使用(yòng)來(lái)看(kàn)，OTA遠(yuǎn)程升級可©₽(kě)涉及産品技(jì)術(shù)參數(shù)和(hé)控制(zhì)策略調整，安全風(£✔fēng)險有(yǒu)待評估，一(yī)定程度上(shàng)影(yǐng≥&♣)響用(yòng)車(chē)安全；部分(fēn)OTA遠(yλ↑ uǎn)程升級并未明(míng)确告知(zhī∑‍™‍)車(chē)主遠(yuǎn)程在線升級的(de∏↓β₩)理(lǐ)由，以及遠(yuǎn)程在線升級的(de)內(nèi)容和(hé)升級後對(duì)δ₹↔汽車(chē)的(de)影(yǐng)響，侵犯用(yòng)戶合法權益；OT↓♥¥ΩA 遠(yuǎn)程升級過程中還(hái)可(kě)獲取智能(γ≥​néng)網聯汽車(chē)位置信息和(hé)汽車(chē)使用(yòng)數(shù)據等個(ε∞gè)人(rén)隐私數(shù)據，面臨著(zhe♠★©↓)數(shù)據安全風(fēng)險及車(chē)主隐私數(shù)據保護問(wèn)題。

       從(cóng)汽車(chē)産品來&↓(lái)看(kàn)，頻(pín)繁的(de)OTA遠(yuǎn)程升級導緻先期 ∞投發車(chē)型配置與不(bù)斷自(zì)動升級的(de)軟件(jiàn)系統不(bù)∏α相(xiàng)匹配，車(chē)載控制(zhì)單元的(de)硬件(jiàn)能(♦​δ"néng)力不(bù)足，軟件(jiàn)系統運行₹δ✘♣(xíng)速度慢(màn)，将影(yǐng)響産品正常運行(xín¶ ®βg)，不(bù)利于可(kě)持續發展。

       從↓§(cóng)産業(yè)生(shēng)态來(lái)看(kà↕§ €n)，智能(néng)網聯汽車(chē)OTA遠(&¥₹yuǎn)程升級産品的(de)使用(yò ∏•Ωng)條件(jiàn)和(hé)環境十分(fēn)複雜(zá)，OTA遠(yuǎn)程升級升∑'£>級生(shēng)态系統涉及實體(tǐ)包括智能♦<±§(néng)網聯汽車(chē)、OTA遠(yuǎn)程升級雲服務↕©器(qì)、手機(jī)、汽車(chē)制(zhì)造商、備件(jiàn)OEM‌"☆、軟件(jiàn)經銷商、車(chē)主、汽車(chē)服務中心、保險公司、執法人(rén)員(y•©✘uán)等，明(míng)确各方權責利弊是(shì)一(yī)項系統工(gō✔×ng)程，需要(yào)各方持續探索行(xíng)業(yè)解決方案。

4 對(duì)策與建議(yì)

      總體(tǐ)來(lái)看(k₹®©"àn)，OTA遠(yuǎn)程升級的(d≥$ $e)發展與汽車(chē)的(de)智能(néng)化(huà)和(hé)網聯化(hu∏>αà)推進息息相(xiàng)關，未來(lái)在自(zì)動駕駛域、底盤域及動力域的(de)O→‌TA遠(yuǎn)程升級将不(bù)斷增多(d★≤₹♦uō)，需要(yào)政府機(jī)構、整車(chē)企業(yè)、>♠∞關鍵零部件(jiàn)供應商與IT、生(s→₽☆∏hēng)産制(zhì)造、市(shì)場(chǎng)和(hé)相(xiàng)關測試機(jī)∏₹≥構協同配合[18]，打造完整的(de)OTA遠(yuǎn)程升級生(shēng)态系統，共同保障±∏智能(néng)網聯汽車(chē)産業(yè)高(gāo)₩♣±質量發展。

   4.1 完善OTA遠(yu"≠∏ǎn)程升級管理(lǐ)體(tǐ)系

      &≠≠£nbsp;OTA 遠(yuǎn)程升級涉及後市(shì)場(chǎng)車(cφ✘hē)輛(liàng)的(de)再設計(jì)更新™☆過程。建議(yì)在現(xiàn)有(yǒu)備案管理(lǐ)★∏基礎上(shàng)，進一(yī)步建立汽車(chē)OT±♠A遠(yuǎn)程升級技(jì)術(shù)審查和(hé)測試機✔↑(jī)制(zhì)，具體(tǐ)建設如(rú)下(xià)。

      （1α ¥±）開(kāi)展升級包一(yī)緻性比對(duì)分(fēn)析，發現(xiàn)對(duì)升級∑>包內(nèi)容不(bù)一(yī)緻的(de)情況，開(kāi)展功能(néng)安全、網絡 ™安全和(hé)數(shù)據安全測試。

      （2）對(duì)企業(yè)因™±‍<OTA遠(yuǎn)程升級後産生(shēn$σg)重大(dà)安全問(wèn)題或對(duì)車(chē)輛(liàng)一(yī§ε↔)緻性産生(shēng)較大(dà)影(yǐng)響的(deφ₹≥)，建議(yì)對(duì)企業(yè)相(xiàng)關能(néng)↕σ力開(kāi)展核實，并對(duì)該類企業(yè)後續涉及安全或重要(yào)↓σ參數(shù)變更等OTA遠(yuǎn)程升級活動，重點開(kāi)展升級過程及升級後的(de)測≥®試驗證，确保産品生(shēng)産一(y¥α"ī)緻性[19]。

      （3）基于缺陷線索收集，對(duì)于OTA 遠(yu₩₩ǎn)程升級後投訴較多(duō)車(chē)型，開(kāi)展©Ω≈OTA遠(yuǎn)程升級後的(de)車(chē)輛(liàng)的(de)功能(néng)‌ φ←抽檢驗證，包括不(bù)限于升級日(rì)志(zhì)&‌γ讀(dú)取以及功能(néng)測試。

    4.2 建立健全OTA遠(yuǎn$‌)程升級管理(lǐ)标準體(tǐ)系

       在已有(yǒu)OTA≤±♥遠(yuǎn)程升級技(jì)術(shù)要(yào)求基≠₽礎上(shàng)，可(kě)參考傳統數(shù)據安全和(hé)γ‌網絡安全體(tǐ)系架構，梳理(lǐ)目前已有(yǒ‍¶♠u)的(de)智能(néng)網聯汽車(chē)數(shù€​₽£)據安全和(hé)網絡安全相(xiàng)關标準，以标準屬性作(zuò)為(wèi)主要(yδα ∏ào)分(fēn)類維度的(de)标準體(tǐ)系框架（圖4），從(cóng)規範類、技(©©jì)術(shù)類、管理(lǐ)類3 個(gè)方面建設面向汽車(chē)OTA 遠(yuǎn)€"★₹程升級監管流程的(de)标準體(tǐ)系，堅持±§©γ标準體(tǐ)系适度超前，逐步起到(dào)發展引領作(zuò)用(yòng)。其§✔中，規範類标準包括基本術(shù)語、缺陷判定、OT&∏A遠(yuǎn)程升級分(fēn)類等标準，基于OTA遠(yuǎn)程升級的(de)行(xíng★¶∞)業(yè)術(shù)語、OTA遠(yuǎn)程升級的≠​φ(de)缺陷定義以及OTA遠(yuǎn)程升級的(de)分(fēn)類标準↓ 等方面，規範OTA遠(yuǎn)程升級的(de)行(♠©<☆xíng)業(yè)術(shù)語和(hé)行(xíng)業(yè)流程标準φ​‍，推進OTA遠(yuǎn)程升級管理(lǐ)過程↓∞€£專業(yè)化(huà)。技(jì)術(shù)類标準包含安全測試（測試用≈™(yòng)例、測試流程、測試機(jī)構資質要(yào)求、測試場(chǎ•≤→φng)地(dì)等環境要(yào)求）、風(fēng)險評估等标準，并将标準內∏∏&(nèi)容劃分(fēn)為(wèi)終端、✔‌☆網絡、業(yè)務場(chǎng)景等測試、評'♥估對(duì)象。針對(duì)OTA 遠(yuǎn)程升級↓✘₩過程中的(de)多(duō)場(chǎng)景、多(duō☆☆÷♦)産品的(de)安全測試方法、測試流程以及漏洞等級判定方法等測試技(jì)術(shù)方面進行(x'←íng)系統化(huà)、标準化(huà∏₩©♣)的(de)管理(lǐ)，為(wèi)企業(yè↕​)開(kāi)展檢測業(yè)務或第三方實λ​₽驗室檢測單位提供基本标準依據。管理(lǐ)類标準則包括&≤漏洞庫标準規範、應急處置和(hé)追溯管理(lǐ)（包括OTA 升級管理(lǐ)标準等 ‍），從(cóng)OTA 遠(yuǎn)程升級♠β産品漏洞庫的(de)建設管理(lǐ)、企業(yè)應急處理(lǐ)管理∏&(lǐ)機(jī)制(zhì)和(hé)質量缺陷可(kě)追溯的(de)開(kāi)發流程開(k‍‍¶āi)展标準化(huà)建設，讓汽車(chē)制(zhì)造企業(yè♦& ‍)将重點聚焦在技(jì)術(shù)研發和(hé)産品設計(jì)上(shàng)，提高(gāo€σ®)企業(yè)核心競争力。其次，現(xiàn)行(xíng)法規（如(rú)U ↓♦N Regulation No.156、ISO 24089 标準）均是(sh≤σì)從(cóng)整車(chē)角度出發，部件(jiàn)系統供應商©§ 需要(yào)完全适應下(xià)遊主機(jī)廠(chǎng)要(yào)® 求，溝通(tōng)成本和(hé)後期維護成本≈♦大(dà)大(dà)增加。建議(yì)未來(lái)将≠&≈←主機(jī)廠(chǎng)和(hé)零部件(jiàn)廠(chǎng)商資源進行(xí↔λng)有(yǒu)效整合，構建符合行(xíng)業(yè)發展需求、'&★☆涵蓋雲-管-端[20-21]全要(yào)素的(de)OTA遠(yuǎnε÷)程升級标準體(tǐ)系。最後，圍繞标準中難點、熱(rè)點問(wèn)題，協調δΩ各标委會(huì)和(hé)相(xiàng)關科(kē)研機(jī)構組織力量開(kā¶Ω£i)展OTA遠(yuǎn)程升級标準化(huà)的(←↔‍≠de)研究工(gōng)作(zuò)，針對(duì®↕α∏)不(bù)同标委會(huì)所覆蓋的(de)相(xiàng)關技(jì)術(shù)标→$•→準進行(xíng)歸口管理(lǐ)，指導和(hé)支 π撐汽車(chē)OTA遠(yuǎn)程升級監管工(gōng)作(zuò)。

圖4 智能(néng)網聯汽車(chē)OTA安全監管标準體(tǐ)系框架

    4.3 完善汽車(chē)OTA遠(yuǎ↓γ¶n)程升級安全測試體(tǐ)系

      ₹‌∑ 首先，基于網絡安全和(hé)數(shù)據安全風(fēng)險評估理(₩γlǐ)論基礎、汽車(chē)網絡安全和(hé)數(shù)據安全< ±"領域現(xiàn)有(yǒu)的(de)威脅分(fēn)析以及實踐經驗，結合汽車(chē)本₹§≥←身(shēn)的(de)複雜(zá)特性，建立以資産為(wèi)核心的(de)汽車(chē)OT↔™₩σA遠(yuǎn)程升級安全風(fēng)險評估模型，包括資産識别φ±σ₹、脆弱性分(fēn)析，威脅分(fēn)析、影(yǐng)響評估、攻擊路(lù ≤)徑分(fēn)析、攻擊可(kě)行(xíng©ε✘λ)性分(fēn)析、風(fēng)險值判斷等方面。

       ≈↕→;其次，汽車(chē)OTA遠(yuǎn)程升級系統本身(shēn)是(shì)完←↑整的(de)生(shēng)态系統，檢測方向包括↕β汽車(chē)遠(yuǎn)程升級車(chē)載終✘£端安全檢測、車(chē)載終端-遠(yuǎn)程升級雲∏$服務器(qì)平台-移動設備App間(jiān)通λ♦α€(tōng)信，以及與遠(yuǎn)程升級業(yè)務±σ交互安全檢測、移動設備App 安全檢測以及 ★遠(yuǎn)程升級雲服務器(qì)雲平台安全檢測，為(wèi)此定期針對(duì)以•≥上(shàng)5部分(fēn)內(nèi)容進行(xíng)安全檢測非常必要(yào)。

       再次，汽車(chē  ∞₹)OTA 遠(yuǎn)程升級是(shì)一(yī)個(gè)複雜(♣&γzá)的(de)系統工(gōng)程，涉及到(dào)的(de)安全包 ®<λ括網絡安全、數(shù)據安全、功能(néng)安全等多(duō)方面，重點推動軟件(jiàn)數(shù)₹&£ 據模拟仿真驗證測試，網絡安全和(hé)數(shù)據安全的≤÷(de)合規檢測等服務。從(cóng)模拟仿真測試體(∑•βtǐ)系、測試評價體(tǐ)系以及功能(≠♦néng)安全驗證體(tǐ)系方面制(zhì)定汽車(chē)遠(yuǎn← )程在線升級測試規範。

       最後α$，梳理(lǐ)并彙集OTA 遠(yuǎn)程升級監§✘&→管技(jì)術(shù)需求，梳理(lǐ)共性和(hé)核心關鍵技(→∑÷jì)術(shù)，圍繞技(jì)術(s≠Ω&©hù)需求通(tōng)過部際會(huì)商、設立産業(yè)基金(jīn∞λφ)等形式，以重點研發計(jì)劃、國(guó)家(< ÷jiā)自(zì)然科(kē)學基金(jīn₩α®≈)、國(guó)際合作(zuò)項目等為(wèi)牽引，彙聚國(guó)內(nèi)外(wài)創∞€££新資源形成合力，特别是(shì)針對(duì)智能(néng)網聯汽車(chē)快(kuài)速®₩÷&叠代發展形勢下(xià)，建立常态化(huà)的(de)關鍵技(jì)術(shù)協同攻關模式，有δγ (yǒu)效打破壁壘，形成從(cóng)基礎理(lǐ)論-共性關鍵技(jì)術(shù)-集π§≤€成示範應用(yòng)全鏈條、一(yī)體(tǐ)化(huà)的(de)創新群體(tǐΩλ§)。

    4.4 強化(huà)OTA遠(yuǎn)程升級安全基礎保障能(n✔£éng)力

      首先，深入研究汽車(chē)産品安全風(fēng)險評$↕γ估/缺陷研判等關鍵技(jì)術(shù)，健全安全評價Ω↕×和(hé)缺陷研究機(jī)制(zhì)，為(wèi)國(guó)家(jiā)監管>∏α機(jī)構監管汽車(chē)産品安全方面提供有(yǒu)效≤♦$技(jì)術(shù)支持。整合行(xíng)業(yè)資源∞δλ，構建安全基線，基于大(dà)數(shù)據有(yǒu)效識别安全漏洞π‌ ，提升安全缺陷識别能(néng)力，持續開(kāi↓≠α)展産品信息安全缺陷安全測試、風(fēng)險評≈§÷估，利用(yòng)技(jì)術(shù)和(hé)檢驗手段φ✔分(fēn)析判斷缺陷，并對(duì)标準符σ ×"合性問(wèn)題進行(xíng)調查。

      其次，針對(duì)具備OTA遠(yuǎ>§÷>n)程升級配置的(de)汽車(chē)産品及相(xiàng)關零部件(ji ↔↔∑àn)系統的(de)關鍵軟件(jiàn)數(shù)據，針對(duì®♠)其功能(néng)可(kě)靠安全方面進行(xíng)檢測認證，建立多∞★♦£(duō)層級的(de)遠(yuǎn)程升級檢測認證服務體(tǐ)系。"↓↕↓

      再次，由于升級車(chē)輛(liàng)的(de££ π)控制(zhì)器(qì)芯片和(hé)操作(zuò)系統、零部件←€ ®(jiàn)和(hé)車(chē)型的(de)差異較大(dà)，由此造成了(le)具體(t☆π↔ǐ)車(chē)型适配分(fēn)散化(huà)難題，亟需構建一(yī)套統一(y←♥♦ī)、通(tōng)用(yòng)的(de)測試驗證平台✘¶₩和(hé)測試工(gōng)具，解決軟件(jiàn)落地(d''σì)中的(de)标準化(huà)問(wèn)題。進一(yī)步<≥‌$保障不(bù)同車(chē)型的(de)OTA 遠(yuǎnσ₩€)程升級體(tǐ)系标準化(huà)過程的(de)穩×"₹定性和(hé)高(gāo)效性。

      建議(yì)以高(gāo)校(xiào)¥‌、科(kē)研院所等“第三方”，建立“共研、✘₽<÷共建、共享、共營”的(de)技(jì)術(©£≥shù)支撐平台，服務于OTA 遠(yuǎn)程升級監γ♠∏管，提供有(yǒu)效的(de)技(jì)術(shù)保障。最¥£↕後，促進汽車(chē)OTA 遠(yuǎn)程升級行(xíng)業(yè)構建自(zì↓"α)律規範。目前，由于時(shí)間(jiān)、成本、功能(nén&★g)、安全風(fēng)險等綜合因素考量，大(dà)部分(fēn)主機(jī)γ≤‌ 廠(chǎng)将考慮直接向OTA遠(yuǎn)​Ω程升級供應商購(gòu)買服務，OTA遠(yuǎn)程升β<級供應商通(tōng)過多(duō)種方式實現(xiàn)軟件(jiàn)刷寫，但(d β®πàn)是(shì)由于是(shì)新興模式♣♦和(hé)新興技(jì)術(shù)，行(xíng)業(yè)內(nèi)存© 在OTA遠(yuǎn)程升級産品質量參差不(bù)齊等現(x&♣iàn)象，建議(yì)由行(xíng)業(yè)第三方機(jīβε)構牽頭，聯合主要(yào)生(shēng)态要(yào)素主體(tǐ±β±‌)，共同建立智能(néng)網聯汽車(chē)OTA '±>遠(yuǎn)程升級創新聯盟，構建統一(yī)評價标準，探索行(xíng®≤γ&)業(yè)領跑者機(jī)制(zhì)，鼓勵優勝劣×σδ☆汰，規範行(xíng)業(yè)自(zì)律發展。

      綜上γ♠φ€(shàng)所述，汽車(chē)OTA遠(yuǎn)程升級是(shì)智能(néng)網$<±聯汽車(chē)産業(yè)的(de)重要(yào)趨勢₹£，即将迎來(lái)大(dà)規模應用(yòng)。但(dàn)在OTA遠(yuǎn×★¶ )程升級的(de)每個(gè)流程中均存在安全風(fēng)險，影(yǐ​π‍ng)響車(chē)輛(liàng)性能(néng)、安全和(hé)用(yòng)戶權益，如(r$​ú)不(bù)加以妥善管理(lǐ)，不(bù)利于行(xíng)業(yè)可(kě)持續發展。汽♦×∏≤車(chē)OTA遠(yuǎn)程升級需要(yào)在檢測認證、一(yī↔δ)緻性抽查、分(fēn)級備案、數(shù)據化(huà)監管、測評技(j σ↔ì)術(shù)、缺陷研判、風(fēng)險評估、标準→φ™制(zhì)定等方面進一(yī)步強化(huà)和(hé)健全管理(Ωδγlǐ)體(tǐ)系。

轉自(zì)智能(néng)汽車(chē)設計(jì)