汽車OTA升級是未來智能化汽車時代的必然選擇

OTA的意義在于提供不斷升級更新的服務。

如果一輛車要增加新的功能配置，有什么辦法？也許很多人腦中蹦出的想法都是換輛新車或者送到4S店。但是汽車OTA升級的概念首先被特斯拉提及并實現(xiàn)的時候，用戶體驗到足不出戶就可以完成車輛升級。OTA技術的應用和普及讓智能汽車的未來有了更多可能性。

數(shù)字技術已經(jīng)滲透到人們生活的各個角落，作為交通工具的汽車，逐漸由機械驅(qū)動的機器向軟件驅(qū)動的電子產(chǎn)品過渡。在這個趨勢下，汽車產(chǎn)品和內(nèi)部系統(tǒng)的競爭法則都將改寫。整車企業(yè)以往的技術工程核心是發(fā)動機和變速箱，而展望未來，給汽車配置足夠強大的感應器、軟件、計算能力以及外部與車輛連接的網(wǎng)絡平臺，會越來越重要。

電子部分和軟件的重要性變強，也就意味著整車的復雜度升高了，軟件代碼行數(shù)像滾雪球一樣不斷增長。和硬件相比，軟件是車里迭代最快、最容易個性化的部分，也是亟需進行系統(tǒng)化管理的部分。車輛無論是遇到軟件故障還是更新，線下店維修和召回的模式，從覆蓋范圍和復雜度上是越來越難管理了。而OTA技術具備減少召回成本、快速響應安全需求、提升用戶體驗等多種優(yōu)勢，是未來智能化汽車時代的必然選擇。

如下圖所示，OTA技術也是從萌芽階段、到娛樂系統(tǒng)和互聯(lián)模塊本身再到動力總成和安全系統(tǒng)，再到未來可能的汽車的核心運算單元（各個區(qū)塊的域控制器）。

OTA技術在車輛上的應用進程

一、汽車OTA的架構(gòu)和流程

汽車OTA主要分為FOTA（Firmware-over-the-air，固件在線升級）和SOTA（Software-over-the-air，軟件在線升級）兩類，前者是一個完整的系統(tǒng)性更新，后者是迭代更新的升級。如下圖所示，汽車OTA架構(gòu)主要包含云端服務器和車輛終端兩部分。

OTA服務平臺：為車載終端提供OTA服務，主要管理各個軟件供應商的原始固件升級軟件。 出于安全考慮，需要構(gòu)建一個獨立的子模塊，負責OTA服務平臺的安全，包括密鑰證書管理服務、數(shù)據(jù)加密服務、數(shù)字簽名服務等；

車輛終端OTA組件：對升級包進行合法性驗證，適配安全升級流程。

汽車OTA流程具體如下：

管理和生成相關的文件：云端服務器是負責監(jiān)測整個OTA過程的主要單元，它不僅要確定更新哪些車輛，是否與車輛建立可靠的連接（生成一個可靠的可信通道）并實時掌握消息，然后把固件包或者更新包從軟件庫里面提取出來，確定分發(fā)包的更新順序，管理整個進程，并在完成后校驗。

分發(fā)和檢查：服務器會做加密渠道分發(fā)，而在車輛則有個計算能力強大并有足夠存儲空間的控制器進行下載、驗證和解密，與服務器相對應的也有作業(yè)管理器負責報告當前狀態(tài)和錯誤信息， 每個更新作業(yè)都有一個用于跟蹤使用情況的作業(yè)ID。

更新和刷新安裝：這里一定有讀者會提問，車輛如果像手機一樣刷死機了怎么辦？通常整車企業(yè)在決定FOTA前需要做完備的考慮。以特斯拉為例，通過使用運算的聯(lián)網(wǎng)模塊（如儀表板、中控臺等）實現(xiàn)對整個進程的監(jiān)控。將更新文件刷入ECU，對于儀表盤來說，每一步操作都會監(jiān)控整個機制是否完整，并且保證能隨時停止和重新寫入，只要對應的ECU存在可以運行的導引程序，那就保證了車輛和服務器對整個過程的控制，并把刷死機的風險降到最低。

完成最后的準備工作后，ECU將重新啟動，代理和服務器之間將持續(xù)連接，服務器可以獲得當前更新狀態(tài)的最新信息。

二、OTA標準和車企的跟進

汽車企業(yè)都在努力構(gòu)建自己的OTA的架構(gòu)和功能，形成自己的標準。目前主要是針對娛樂系統(tǒng)、導航等推出OTA在線系統(tǒng)更新，以及在實時車況診斷的基礎上升級為預警提醒。

咨詢機構(gòu)IHS的預測，汽車制造商從OTA軟件更新中節(jié)省的成本將從2015年的27億美元增長到2022年的350億美元。大部分的開支節(jié)省來自OTA對信息娛樂系統(tǒng)和遠程信息處理系統(tǒng)的更新。控制發(fā)動機，制動器和轉(zhuǎn)向器的ECU在OTA方面仍然還有諸多難題要攻克。

從全球范圍來看，各個國家、地區(qū)以及主要的國際性聯(lián)盟，都在嘗試制定OTA標淮。2016年12月，由英國和日本作為主席國，成立了專門的汽車信息安全標準任務組UN Task Force on Cyber security and OTA issues （CS/ OTA），圍繞汽車網(wǎng)絡安全、數(shù)據(jù)保護和軟件升級OTA三部分開展國際法規(guī)及標準的制定工作，國際電信聯(lián)盟（ITU—SG17）也全面與參與了該任務組的相關工作。

中國各行業(yè)專家也在中國汽車技術研究中心（C-WP.29秘書處）的組織下參與了該任務組的部分工作，并有相關國際標準建議提案。《電動汽車遠程服務與管理系統(tǒng)技術規(guī)范》規(guī)定從2017年1月1日起，新生產(chǎn)的全部新能源汽車安裝車載終端，通過企業(yè)監(jiān)測平臺對整車及動力電池等關鍵系統(tǒng)運行安全狀態(tài)進行監(jiān)測和管理。按照國家標準公共服務領域車輛相關安全狀態(tài)信息要上傳至地方監(jiān)測平臺，從中也會產(chǎn)生OTA需求。

三、OTA有哪些風險？

很多人對于汽車OTA的認知來源于手機OTA，從技術特點上來看確實有類似之處，但真正在實施過程中，兩者還是有很大的區(qū)別，特別是安全問題。舉個例子，手機在進行OTA升級時，如果升級不成功，最差的情況不過是手機變“磚頭”，而汽車情況則大不一樣，稍有不慎就是車損人傷。

在FOTA流程中，主要存在傳輸風險和升級包篡改風險。 終端下載升級包的傳輸流程中，攻擊者可利用網(wǎng)絡攻擊手段，如中間人攻擊，將篡改偽造的升級包發(fā)送給車載終端，如果終端在升級流程中同時缺少驗證機制，那么被篡改的升級包即可順利完成升級流程，達到篡改系統(tǒng)、植入后門等惡意程序的目的。攻擊者還可能對升級包進行解包分析，獲取一些可利用的信息，如漏洞補丁等，升級包中關鍵信息的暴露會增加被攻擊的風險。

所以汽車OTA不能隨便地進行，而必須要在一個合適的時間、合適的地點以及車輛合適的狀態(tài)下進行升級。這就要求車企制定相應的升級策略，以盡可能安全、經(jīng)濟的方式來開展這項操作。OTA技術對于整車企業(yè)而言，其實也存在做不好會出大事的問題，這一直是制約整車企業(yè)推動OTA技術在車輛上應用發(fā)展的最大障礙。隨著信息安全技術的導入，這塊也變成了整車企業(yè)與網(wǎng)絡技術結(jié)合的發(fā)展機遇。

四、總結(jié)

OTA的意義在于提供不斷升級更新的服務，就像智能手機一樣，通過軟件的下載與更新，實現(xiàn)越來越多的可能性。對車來說也是，讓開車的過程更輕松舒適。OTA也是智能汽車技術的一個重要的功能，用戶需求和車企售后維護都需要它。如果汽車廠沒有OTA的解決方案，三年內(nèi)就很容易就被邊緣化，因為無法持續(xù)更新軟件、沒有辦法做雙向的溝通跟交流，沒有辦法組成有用的服務跟應用供車主使用。這項技術將隨著整車企業(yè)對軟件能力、網(wǎng)絡能力、產(chǎn)品全生命周期需求的把握，變得越來越重要。