OTA技術(shù)在智能網(wǎng)聯(lián)汽車(chē)大趨勢(shì)下的發(fā)展

概要OTA技術(shù)在智能網(wǎng)聯(lián)汽車(chē)大趨勢(shì)下的發(fā)展講了OTA技術(shù)從物聯(lián)網(wǎng)邊緣設(shè)備興起，而后在智能手機(jī)上開(kāi)始發(fā)展、大規(guī)模應(yīng)用，開(kāi)啟了OTA技術(shù)在智能終端的應(yīng)用。2012年特斯拉發(fā)布的ModelS，也正是它將OTA技術(shù)帶入到汽車(chē)行業(yè)中。隨著汽車(chē)由電動(dòng)化到智能化的發(fā)展，OTA技術(shù)也已經(jīng)從一家車(chē)企逐漸滲透到多家，以及整個(gè)汽車(chē)產(chǎn)業(yè)上下游行業(yè)。圖1特斯拉歷年的OTA次數(shù)01汽車(chē)行業(yè)為何要引入OTA隨著“軟件定義汽車(chē)”時(shí)代的到來(lái)，智能汽車(chē)在現(xiàn)代人生活中扮演著越來(lái)越重要的角色。而汽車(chē)實(shí)現(xiàn)智能化的前提則是必須具備汽車(chē)OTA功能。OTA具備的主要優(yōu)勢(shì)如下：1.具有成本效益：OEM可以通過(guò)一個(gè)統(tǒng)一界面的無(wú)縫管理一系列設(shè)備的固件更新，在汽車(chē)的整個(gè)生命周期內(nèi)。這樣可以大幅降低成本，提高效率。2.持續(xù)改進(jìn)：在車(chē)輛到達(dá)車(chē)主手中后，可以修復(fù)錯(cuò)誤或者迭代增加產(chǎn)品服務(wù)功能。這樣會(huì)降低召回和線下維護(hù)更新的成本；3.可以快速升級(jí)修復(fù)軟件代碼缺陷：隨著市場(chǎng)車(chē)輛功能復(fù)雜度提高，軟件漏洞造成的汽車(chē)召回風(fēng)險(xiǎn)持續(xù)攀升，目前高端汽車(chē)的整車(chē)代碼量已經(jīng)突破1億行，即使按照能力成熟度集成模型5級(jí)最高軟件標(biāo)準(zhǔn)開(kāi)發(fā)，仍有0.32%的代碼缺陷率，使用OTA升級(jí)可減少主機(jī)廠50%的汽車(chē)返修成本；4.可擴(kuò)展性改善：FOTA更新使OEM能夠在汽車(chē)發(fā)布后向基礎(chǔ)架構(gòu)添加新功能，而無(wú)需線下召回，物理訪問(wèn)車(chē)機(jī)升級(jí)固件；5.加快產(chǎn)品上市時(shí)間：開(kāi)發(fā)人員可以在特定的車(chē)輛設(shè)備上部署測(cè)試新功能，測(cè)試達(dá)到上線標(biāo)準(zhǔn)后，即便車(chē)輛仍在生產(chǎn)線上或在經(jīng)銷商門(mén)店，也可通過(guò)車(chē)輛OTA的穩(wěn)定連接和持續(xù)在線特性發(fā)送固件更新。統(tǒng)計(jì)數(shù)據(jù)顯示，預(yù)計(jì)未來(lái)五年軟件定制市場(chǎng)的年均復(fù)合增長(zhǎng)率約為30%，2023年全球汽車(chē)軟件定制市場(chǎng)規(guī)模有望達(dá)到275.42億元（如圖2所示），因此主機(jī)廠可OTA升級(jí)的軟件潛力及效益可觀。圖2:全球汽車(chē)軟件定制市場(chǎng)規(guī)模及增速02OTA技術(shù)在汽車(chē)行業(yè)發(fā)展情況汽車(chē)OTA是一種包含云、管、端三部分的遠(yuǎn)程無(wú)限升級(jí)技術(shù)。OTA升級(jí)對(duì)象涵蓋汽車(chē)動(dòng)力控制系統(tǒng)、信息娛樂(lè)網(wǎng)聯(lián)系統(tǒng)、安全控制系統(tǒng)、底盤(pán)電子系統(tǒng)、車(chē)身控制系統(tǒng)、自動(dòng)駕駛系統(tǒng)等。OTA升級(jí)經(jīng)歷4個(gè)階段，從最初對(duì)T-BOX進(jìn)行OTA升級(jí)，到2012年特斯拉ModelS第一次OTA升級(jí)，再到2021年眾多車(chē)企紛紛布局OTA，新能源汽車(chē)OTA經(jīng)歷了從零部件OTA到整車(chē)升級(jí)FOTA以及企業(yè)級(jí)OTA階段，未來(lái)OTA產(chǎn)業(yè)將在更強(qiáng)的監(jiān)管力度下往全產(chǎn)業(yè)鏈協(xié)調(diào)方向發(fā)展。隨著中國(guó)新能源汽車(chē)行業(yè)的快速發(fā)展，汽車(chē)OTA需求和應(yīng)用逐漸增多，OTA升級(jí)對(duì)象也從單個(gè)零部件逐漸擴(kuò)展到大部分汽車(chē)固、軟件，汽車(chē)核心功能域也逐漸對(duì)OTA升級(jí)技術(shù)開(kāi)放。圖3:OTA網(wǎng)絡(luò)架構(gòu)圖未來(lái)OTA產(chǎn)業(yè)將在更強(qiáng)的監(jiān)管力度下往全產(chǎn)業(yè)鏈協(xié)調(diào)方向發(fā)展。OTA在安全保障的前提下解鎖汽車(chē)更多關(guān)鍵ECU，同時(shí)受益于大數(shù)據(jù)的積累和全產(chǎn)業(yè)鏈的高度協(xié)調(diào)，預(yù)測(cè)性預(yù)埋硬件和預(yù)測(cè)性軟件升級(jí)或?qū)⒊蔀榭赡?，未?lái)汽車(chē)或?qū)⒃谝欢螘r(shí)間內(nèi)獲得硬軟件持續(xù)改進(jìn)的潛力。圖4:OTA發(fā)展的歷程目前幾乎大部分的車(chē)企召回都需要物理修復(fù)，但2020年1月以來(lái)，特斯拉的17次召回中有7次（即37%)

是通過(guò)OTA更新解決。早在2018年中旬，美國(guó)權(quán)威雜志《消費(fèi)者報(bào)告》報(bào)告：特斯拉Model3在60Mile/h(約97KM/h)的時(shí)速下，制動(dòng)距離為152英尺(約46.3米)，因?yàn)橹苿?dòng)距離過(guò)長(zhǎng)，而將Model3列為不推薦車(chē)型。隨后馬斯克在社交媒體表示Model3剎車(chē)系統(tǒng)確實(shí)存在一定缺陷，特斯拉將通過(guò)OTA推送固件升級(jí)，將剎車(chē)距離縮短6.1米。傳統(tǒng)汽車(chē)廠商也在逐步利用OTA提升用戶體驗(yàn)：?2016年11月，豐田汽車(chē)宣布將采用OTA技術(shù)更新汽車(chē)電子控制單元，并且討論了車(chē)輛上市后通過(guò)OTA追加新功能的可能性。?2017年5月，福特首次通過(guò)OTA技術(shù)為搭載Sync3車(chē)載系統(tǒng)的車(chē)型新增功能。?2017年7月，沃爾沃與HERE地圖簽署合作協(xié)議，未來(lái)將可使用OTA服務(wù)升級(jí)地圖。同期，通用宣布在2020年前推出能進(jìn)行OTA的信息娛樂(lè)系統(tǒng)。圖5:部分車(chē)企車(chē)輛召回次數(shù)及方式統(tǒng)計(jì)（2020-1到2021年末）（來(lái)源：路透社）雖然許多OEM都實(shí)現(xiàn)了OTA，但目前個(gè)主機(jī)廠的OTA技術(shù)應(yīng)用深度不同，造車(chē)新勢(shì)力和個(gè)別傳統(tǒng)車(chē)企可以實(shí)現(xiàn)全領(lǐng)域的OTA，但大部分主機(jī)廠還只能實(shí)現(xiàn)座艙娛樂(lè)域和智能駕駛域的OTA。圖6:部分主機(jī)廠OTA情況汽車(chē)OTA分為兩類，包括

FOTA（固件在線升級(jí)）和SOTA（軟件在線升級(jí)）；FOTA（固件在線升級(jí)）指的是給一個(gè)零部件的ECU閃存下載完整的固件鏡像，或者修補(bǔ)現(xiàn)有固件、更新閃存。而固件之外的軟件更新，就是SOTA。圖7:OTA方案架構(gòu)示意圖圖8:OTA升級(jí)流程圖（智能座艙為例）03OTA相關(guān)法規(guī)監(jiān)管相關(guān)要求國(guó)際相關(guān)標(biāo)準(zhǔn)組織為減少汽車(chē)OTA遠(yuǎn)程升級(jí)質(zhì)量問(wèn)題，先后發(fā)布了SAEJ3061（2016）、UptaneIEEE-ISTO6100.1.0.0（2018）、ISO/SAE21434（2021）等行業(yè)標(biāo)準(zhǔn)，從信息安全工程體系建設(shè)、安全測(cè)試技術(shù)和汽車(chē)安全防護(hù)框架等方面提供標(biāo)準(zhǔn)化OTA遠(yuǎn)程升級(jí)產(chǎn)品解決方案。另外，國(guó)際標(biāo)準(zhǔn)化組織為支撐UNRegulationNo.156-Softwareupdateandsoftwareupdatemana-gementsystem法規(guī)在企業(yè)體系的實(shí)施，ISO24089《道路車(chē)輛軟件升級(jí)工程》已正式立項(xiàng)，旨在提出車(chē)載軟件更新所涉及的功能安全和信息安全方面的要求，明確軟件升級(jí)管理系統(tǒng)、車(chē)輛、電子電氣架構(gòu)和軟件包的設(shè)計(jì)開(kāi)發(fā)流程，支撐相關(guān)法規(guī)的實(shí)施。綜合來(lái)看，國(guó)際上已出臺(tái)的法規(guī)和標(biāo)準(zhǔn)從OTA遠(yuǎn)程升級(jí)前對(duì)車(chē)況的正確感知，到OTA遠(yuǎn)程升級(jí)結(jié)果完整性、功能性驗(yàn)證、升級(jí)內(nèi)容防篡改機(jī)制，再到升級(jí)失敗后車(chē)輛自動(dòng)還原到可用狀態(tài)、更新內(nèi)容和過(guò)程可追溯，以及完備的安全監(jiān)控和審計(jì)機(jī)制、告知車(chē)主更新內(nèi)容及保護(hù)措施等方面，對(duì)汽車(chē)OTA遠(yuǎn)程升級(jí)安全均強(qiáng)化了管理要求。國(guó)內(nèi)方面2020年11月，國(guó)家市場(chǎng)監(jiān)督管理總局出臺(tái)了《關(guān)于進(jìn)一步加強(qiáng)汽車(chē)遠(yuǎn)程升級(jí)（OTA）技術(shù)召回監(jiān)管的通知》，采用OTA方式對(duì)已售車(chē)輛開(kāi)展技術(shù)服務(wù)活動(dòng)的，應(yīng)按照《缺陷汽車(chē)產(chǎn)品召回管理?xiàng)l例》及《缺陷汽車(chē)產(chǎn)品召回管理?xiàng)l例實(shí)施辦法》要求，向市場(chǎng)監(jiān)管總局質(zhì)量發(fā)展局備案。目的是通過(guò)有效的手段和方法辨識(shí)召回與升級(jí)的差別，以避免OEM通過(guò)OTA方式消除缺陷，掩蓋召回事實(shí)的行為。如發(fā)現(xiàn)生產(chǎn)者存在未按規(guī)定備案有關(guān)信息或召回計(jì)劃、不配合缺陷調(diào)查、隱瞞缺陷或未按照已備案的召回計(jì)劃實(shí)施召回等違法行為的，將嚴(yán)格依法處理。在中國(guó)市場(chǎng)上發(fā)生被入侵、遠(yuǎn)程控制等安全事故時(shí)，應(yīng)按照《缺陷汽車(chē)產(chǎn)品召回管理?xiàng)l例》第十二條規(guī)定，立即組織調(diào)查分析，并向市場(chǎng)監(jiān)管總局質(zhì)量發(fā)展局報(bào)告調(diào)查分析結(jié)果。市場(chǎng)監(jiān)管總局質(zhì)量發(fā)展局將組織相關(guān)單位加強(qiáng)汽車(chē)OTA安全監(jiān)督技術(shù)研究，探索建立OTA監(jiān)管數(shù)據(jù)平臺(tái)，組織開(kāi)展OTA安全技術(shù)評(píng)估，加強(qiáng)相關(guān)的召回工作。2021年7月，工業(yè)和信息化部裝備工業(yè)發(fā)展中心發(fā)布了《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》，強(qiáng)化企業(yè)的管理能力。企業(yè)生產(chǎn)具有在線升級(jí)功能的汽車(chē)產(chǎn)品時(shí)，應(yīng)該建立相應(yīng)的管理能力，具有在線升級(jí)安全影響評(píng)估、測(cè)試驗(yàn)證、實(shí)施過(guò)程保障、信息記錄等能力，確保車(chē)輛在線升級(jí)時(shí)處于安全狀態(tài)，并向車(chē)輛用戶告知在線升級(jí)的目的、內(nèi)容、所需時(shí)間、注意事項(xiàng)和升級(jí)結(jié)果等信息。保證產(chǎn)品生產(chǎn)一致性：企業(yè)實(shí)施在線升級(jí)活動(dòng)前，應(yīng)該確保汽車(chē)產(chǎn)品符合國(guó)家法律法規(guī)、技術(shù)標(biāo)準(zhǔn)及技術(shù)規(guī)范等相關(guān)要求并向工業(yè)和信息化部備案，涉及安全、節(jié)能、環(huán)保、防盜等技術(shù)參數(shù)變更的應(yīng)提前向工業(yè)和信息化部申報(bào)，保證汽車(chē)產(chǎn)品生產(chǎn)一致性，未經(jīng)審批，不得通過(guò)在線升級(jí)等軟件升級(jí)方式新增或更新汽車(chē)功能。2022年4月，工業(yè)和信息化部裝備工業(yè)發(fā)展中心發(fā)布了《關(guān)于開(kāi)展汽車(chē)軟件在線升級(jí)備案的通知》，主要從備案范圍、備案要求、備案工作流程、實(shí)施安排和企業(yè)責(zé)任等五個(gè)方面來(lái)規(guī)范主機(jī)廠OTA升級(jí)，比如明確備案范圍：OTA升級(jí)應(yīng)進(jìn)行備案，并且申請(qǐng)主體應(yīng)是汽車(chē)整車(chē)生產(chǎn)企業(yè)。04OTA面臨的問(wèn)題汽車(chē)OTA可以類比手機(jī)升級(jí)系統(tǒng)，不過(guò)兩者還是有很大的區(qū)別，尤其是安全方面。手機(jī)在進(jìn)行OTA升級(jí)時(shí)，如果升級(jí)不成功，最壞的的情況就是手機(jī)變“磚頭”，而汽車(chē)則不一樣，如果控制轉(zhuǎn)向、制動(dòng)等一些與行駛相關(guān)的部件在升級(jí)程序時(shí)出現(xiàn)錯(cuò)誤，就有可能造成極為嚴(yán)重的后果。作為軟件，就有被攻擊的可能性，而汽車(chē)在利用OTA技術(shù)升級(jí)的過(guò)程中，同樣存在這樣的風(fēng)險(xiǎn)。汽車(chē)在下載升級(jí)包的過(guò)程中，攻擊者可以利用網(wǎng)絡(luò)手段將被修改過(guò)的升級(jí)包發(fā)送給車(chē)輛，進(jìn)而修改系統(tǒng)、甚至遠(yuǎn)程控制車(chē)輛。除了被攻擊以外，車(chē)輛在下載升級(jí)包的時(shí)候，如果出現(xiàn)網(wǎng)絡(luò)不穩(wěn)定等情況，也會(huì)導(dǎo)致升級(jí)包出現(xiàn)漏洞，進(jìn)而使得車(chē)輛升級(jí)失敗。所以汽車(chē)OTA就需要廠家制定出完善的升級(jí)策略，比如終端在升級(jí)過(guò)程中建立嚴(yán)密的驗(yàn)證機(jī)制，保證升級(jí)包不被篡改，同時(shí)對(duì)升級(jí)條件加以限定，保證車(chē)輛能在合適的狀態(tài)下進(jìn)行升級(jí)?，F(xiàn)在針對(duì)汽車(chē)控制器出臺(tái)了網(wǎng)絡(luò)安全法規(guī)，R155,R156就是國(guó)家在出臺(tái)政策規(guī)范市場(chǎng)，提高信息安全。05總結(jié)作為軟件，就有被攻擊的可能性，而汽車(chē)在利用OTA技術(shù)升級(jí)的過(guò)程中，同樣存在這樣的風(fēng)險(xiǎn)。汽車(chē)在下載升級(jí)包的過(guò)程中，攻擊者可以利用網(wǎng)絡(luò)手段將被修改過(guò)的升級(jí)包發(fā)送給車(chē)輛，進(jìn)而修改系統(tǒng)、甚至遠(yuǎn)程控制車(chē)輛。除了被攻擊以外，車(chē)輛在下載升級(jí)包的時(shí)候，如果出現(xiàn)網(wǎng)絡(luò)不穩(wěn)定等情況，也會(huì)導(dǎo)致升級(jí)包出現(xiàn)漏洞，進(jìn)而使得車(chē)輛升級(jí)失敗。所以汽車(chē)OTA就需要廠家制定出完善的升級(jí)策略，比如終端在升級(jí)過(guò)程中建立嚴(yán)密的驗(yàn)證機(jī)制，保證升級(jí)包不被篡改，同時(shí)對(duì)升級(jí)條件加以限定，保證車(chē)輛能在合適的狀