導(dǎo)言：OTA未來(lái)會(huì)成為智能駕駛汽車的最基本架構(gòu)？（未來(lái)如果汽車廠沒(méi)有OTA的解決方案，三年內(nèi)就很容易就被邊緣化，因?yàn)闊o(wú)法持續(xù)更新軟件、沒(méi)有辦法做雙向的溝通跟交流，沒(méi)有辦法組成有用的服務(wù)跟應(yīng)用供車主使用。）OTA架構(gòu)的技術(shù)要點(diǎn)？是否有標(biāo)準(zhǔn)？何時(shí)會(huì)大規(guī)模普及？車企的應(yīng)對(duì)策略？

隨著數(shù)字化和軟件滲透到人們生活的各個(gè)角落，作為交通工具的汽車也逐漸往一個(gè)機(jī)械驅(qū)動(dòng)的機(jī)器開(kāi)始往軟件驅(qū)動(dòng)的電子產(chǎn)品過(guò)渡，在這個(gè)背景下，整車企業(yè)對(duì)于產(chǎn)品和內(nèi)部系統(tǒng)的競(jìng)爭(zhēng)法則將改寫。傳統(tǒng)的動(dòng)力總成發(fā)動(dòng)機(jī)和變速箱是以往整車企業(yè)的的技術(shù)和工程核心，而展望未來(lái)，給汽車配置足夠強(qiáng)大的計(jì)算能力、各種內(nèi)部和環(huán)境的感知器件和貫穿車輛的上層和下層軟件還有于車輛連接的網(wǎng)絡(luò)平臺(tái)成為越來(lái)越重要的角色，能被我們看到的是電氣化、智能網(wǎng)聯(lián)的功能和無(wú)人駕駛等等。

圖1 整車內(nèi)汽車電子的層級(jí)

隨著電子和軟件的重要性變強(qiáng)，整車車輛的復(fù)雜度也升高了，現(xiàn)在汽車內(nèi)部暴增的軟件代碼行數(shù)進(jìn)行者滾雪球增長(zhǎng)，而軟件也在滲透哪怕是很細(xì)節(jié)的傳感器內(nèi)核。汽車企業(yè)從這個(gè)角度來(lái)說(shuō)，把車內(nèi)軟件質(zhì)量、信息安全和遠(yuǎn)程OTA技術(shù)都放在了臺(tái)面上，重新審視整個(gè)軟件和電子電氣架構(gòu)。從這個(gè)意義上來(lái)說(shuō)，不同層級(jí)的軟件成了車?yán)锏羁煲彩切枰M(jìn)行系統(tǒng)化管理的那部分，在發(fā)現(xiàn)嚴(yán)重的軟件故障或者是漏洞的時(shí)候，對(duì)車輛的軟件更新成了強(qiáng)需求，而之前通過(guò)線下店維修和召回模式，從覆蓋范圍和復(fù)雜度上也是越來(lái)越難管理了。而基于OTA（Over-the-Air Technology）空中下載技術(shù)，具備減少召回成本、快速響應(yīng)安全需求、提升用戶體驗(yàn)，成了未來(lái)智能化汽車時(shí)代的必然選擇。如下圖所示，這樣的技術(shù)也是從萌芽階段、到娛樂(lè)系統(tǒng)和互聯(lián)模塊本身再到動(dòng)力總成和安全系統(tǒng)，再到未來(lái)可能的汽車的核心運(yùn)算單元（各個(gè)區(qū)塊的域控制器）。

圖2 OTA技術(shù)在車輛上的應(yīng)用時(shí)間

第一部分 汽車OTA簡(jiǎn)介、架構(gòu)和流程

汽車內(nèi)的OTA主要分為FOTA和SOTA兩類，前者是一個(gè)完整的系統(tǒng)性更新，后者是迭代更新的升級(jí)。

FOTA（Firmware-over-the-air，固件在線升級(jí)），指的是給一個(gè)車輛下載完整的固件鏡像，或者修補(bǔ)現(xiàn)有固件，這是一個(gè)完整的軟件安裝文件（鏡像）下載的過(guò)程。

SOTA（Software-over-the-air，軟件在線升級(jí)），通過(guò)無(wú)線網(wǎng)絡(luò)或移動(dòng)網(wǎng)絡(luò)將文件從云端服務(wù)器下載到車輛上。 SOTA一般作為一個(gè)“增量”，整車企業(yè)僅發(fā)送需要更改的部分，一方面減少了下載的數(shù)量和時(shí)間，并降低了成本和失敗的可能性。軟件增量文件和對(duì)應(yīng)于車輛的安全憑據(jù)被稱為“更新包”，更新包中可能包含多個(gè)增量文件和多個(gè)ECU的補(bǔ)丁

如下圖所示，汽車OTA的架構(gòu)主要包含整車企業(yè)云端服務(wù)器和車輛兩部分，

OTA服務(wù)平臺(tái)：為車載終端提供OTA服務(wù)，這里主要管理各個(gè)軟件提供商的原始固件升級(jí)軟件。出于安全考慮，需要構(gòu)建一個(gè)獨(dú)立的子模塊，負(fù)責(zé)OTA服務(wù)平臺(tái)提供安全服務(wù)，包括密鑰證書管理服務(wù)，數(shù)據(jù)加密服務(wù)，數(shù)字簽名服務(wù)等。

車輛終端OTA組件：對(duì)升級(jí)包進(jìn)行合法性驗(yàn)證，適配安全升級(jí)流程

圖3OTA的基本構(gòu)成

在流程上分為生成文件、傳輸和驗(yàn)證文件和安裝更新。不同的企業(yè)實(shí)施OTA操作的對(duì)象也不相同，特別是在不同的通信總線有差異的時(shí)候，如下圖所示，tesla對(duì)主要的節(jié)點(diǎn)是在其儀表盤和中控屏（網(wǎng)絡(luò)連接的4G模塊集成在這里）兩個(gè)主要的高運(yùn)算能力的控制器上實(shí)現(xiàn)的。

備注：特斯拉是一個(gè)典型的案例，不同的汽車電子模塊的作用并不相同，是圍繞中控屏、儀表盤、整車網(wǎng)絡(luò)網(wǎng)關(guān)、Autopilot自動(dòng)駕駛模塊和其他ECU的模塊。以下做了一些簡(jiǎn)要的介紹。

圖4Tesla 的OTA的架構(gòu)

第二部分 具體的進(jìn)行過(guò)程（以特斯拉為參考）

1）管理和生成相關(guān)的文件：云端服務(wù)器是負(fù)責(zé)監(jiān)測(cè)整個(gè)OTA過(guò)程的主要單元，它不僅要確定需要更新哪些車輛，是否域車輛建立可靠的連接（生成一個(gè)可靠的可信通道）并實(shí)施握手消息，然后把固件包或者更新包從軟件庫(kù)里面提取出來(lái)，確定分發(fā)包的更新順序、確定作業(yè)管理器管理整個(gè)進(jìn)程，并在完成后確定檢查校驗(yàn)

2）分發(fā)和檢查：這里服務(wù)器會(huì)做加密渠道分發(fā)，而在車輛則有個(gè)計(jì)算能力強(qiáng)大并有足夠存儲(chǔ)空間的控制器進(jìn)行下載、驗(yàn)證和解密，與服務(wù)器相對(duì)應(yīng)的也有作業(yè)管理器負(fù)責(zé)報(bào)告當(dāng)前狀態(tài)和錯(cuò)誤信息，每個(gè)更新作業(yè)都有一個(gè)用于跟蹤使用情況的作業(yè)ID。

3）更新和刷新安裝：這里一定有讀者會(huì)提問(wèn)，車輛如果像手機(jī)一樣刷死機(jī)了怎么辦。通常整車企業(yè)決定要使用FOTA需要做完備的考慮，以特斯拉為例采取了一種叫A/B 更新e的方式，通過(guò)使用車輛里面強(qiáng)運(yùn)算力的聯(lián)網(wǎng)模塊（如儀表板、中控臺(tái)等）根據(jù)實(shí)現(xiàn)對(duì)整個(gè)進(jìn)程的監(jiān)控，如下圖所示：

圖5 運(yùn)行和備份的機(jī)制

將更新文件刷入ECU，對(duì)于儀表盤來(lái)說(shuō)，每一步操作都是需要監(jiān)控整個(gè)機(jī)制是否完整，并且保證能隨時(shí)停止和重新寫入，只要對(duì)應(yīng)的ECU存在可以運(yùn)行的導(dǎo)引程序，那就保證了車輛和服務(wù)器對(duì)整個(gè)過(guò)程的控制并把刷死機(jī)的風(fēng)險(xiǎn)降到最低。

假設(shè)當(dāng)前在Part A運(yùn)行

將新的rootfs圖像和DTB刷入 Part B

將新的Kernal寫入Part B

將主引導(dǎo)鏈和恢復(fù)引導(dǎo)鏈切換到Part B

檢查引導(dǎo)鏈以確保下次引導(dǎo)是可接受的

完成所有這些操作后，設(shè)備將處于暫停和非活動(dòng)狀態(tài)。

完成最后的準(zhǔn)備工作后，ECU將重新啟動(dòng)：代理和服務(wù)器之間將持續(xù)連接，服務(wù)器可以獲得有關(guān)當(dāng)前更新?tīng)顟B(tài)的最新信息。

第三部分 標(biāo)準(zhǔn)和車企的跟進(jìn)

汽車企業(yè)都在努力構(gòu)建自己的OTA的架構(gòu)和功能，形成自己的標(biāo)準(zhǔn)。如下所示，不同品牌的企業(yè)，都已經(jīng)在OTA的做出了嘗試，在層級(jí)上面主要是對(duì)娛樂(lè)系統(tǒng)推出OTA在線系統(tǒng)更新；并且在實(shí)時(shí)車況診斷基礎(chǔ)上升級(jí)為預(yù)警提醒。而往FOTA的范圍隨著信息安全的逐步深入和管理供應(yīng)商關(guān)鍵的機(jī)制越來(lái)越合理，這塊技術(shù)往縱深方向發(fā)展。而在國(guó)家上聯(lián)合國(guó)的各個(gè)地區(qū)協(xié)商也在協(xié)商UN Task Force Cyber Security and OTA的初步標(biāo)準(zhǔn)。2016年12月，由英國(guó)和日本作為主席國(guó)，成立了專門的汽車信息安全標(biāo)準(zhǔn)任務(wù)組UN TaskForce on Cyber security and OTA issues (CS/ OTA)，圍繞汽車網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和軟件升級(jí)OTA三部分開(kāi)展國(guó)際法規(guī)及標(biāo)準(zhǔn)的制定工作，國(guó)際電信聯(lián)盟（ITU—SG17）也全面與參與了該任務(wù)組的相關(guān)工作。中國(guó)各行業(yè)專家也在中國(guó)汽車技術(shù)研究中心（C-WP.29秘書處）的組織下參與了該任務(wù)組的部分工作，并有相關(guān)國(guó)際標(biāo)準(zhǔn)建議提案。

表1 較早之前的整車企業(yè)的服務(wù)

OTA技術(shù)的威脅分析：在FOTA流程中，主要存在傳輸風(fēng)險(xiǎn)和升級(jí)包篡改風(fēng)險(xiǎn)。 終端下載升級(jí)包的傳輸流程中，攻擊者可利用網(wǎng)絡(luò)攻擊手段，如中間人攻擊，將篡改偽造的升級(jí)包發(fā)送給車載終端，如果終端在升級(jí)流程中同時(shí)缺少驗(yàn)證機(jī)制，那么被篡改的升級(jí)包即可順利完成升級(jí)流程，達(dá)到篡改系統(tǒng)，植入后門等惡意程序的目的。攻擊者還可能對(duì)升級(jí)包進(jìn)行解包分析，獲取一些可利用的信息，如漏洞補(bǔ)丁等，升級(jí)包中關(guān)鍵信息的暴露會(huì)增加被攻擊的風(fēng)險(xiǎn)。因此OTA技術(shù)對(duì)于整車企業(yè)而言，其實(shí)也存在做不好會(huì)出大事的問(wèn)題，這一直是制約整車企業(yè)推動(dòng)OTA技術(shù)在車輛里面發(fā)展的最大障礙。隨著信息安全技術(shù)的導(dǎo)入，這塊也變成了整車企業(yè)與網(wǎng)絡(luò)技術(shù)結(jié)合的發(fā)展機(jī)遇。

小結(jié)：從總的技術(shù)發(fā)展來(lái)看，OTA服務(wù)是智能汽車技術(shù)的一個(gè)重要的功能，從用戶心理和整車企業(yè)售后維護(hù)都需要它，在這項(xiàng)比較火熱技術(shù)牽動(dòng)的，是未來(lái)車輛融入到網(wǎng)聯(lián)的整體架構(gòu)中，是歷史發(fā)展的一個(gè)重要的步驟。這項(xiàng)技術(shù)也隨著整車企業(yè)慢慢對(duì)軟件能力、網(wǎng)絡(luò)能力和對(duì)后端客戶需求全生命周期的把握變得越來(lái)越重要。