随着汽车加速电气化的步伐,作为交通工具的汽车,逐渐由机械驱动的机器向软件驱动的电子产品过渡,业内人士普遍认为,汽车将会成为下一个移动智能终端。在这个趋势下,汽车产品和内部系统的竞争法则都将改写。整车企业以往的技术工程核心是发动机和变速箱,而展望未来,在车联网的平台下,给汽车配置足够强大的感应器、SoC级芯片,以及相匹配的运算能力,显得越来越重要。汽车上软件代码行数像滚雪球一样不断增长,目前市面上的量产车通常是在50-60个ECU上运行着2,000-3,000万行代码,豪华车型甚至会这个这个数量上翻倍。这些代码控制着从娱乐系统到安全和动力系统的所有功能,这意味着整车的复杂度升高。和硬件相比,软件迭代快得多,很容易做到个性化设计,同时也亟需进行系统化管理。如果说消费者对汽车OTA(Over-The-Air)技术还有点陌生的话,他们对智能手机的在线升级功能一定是熟悉并使用过的。简单来说汽车OTA技术就是通过远程完成对车载软件的升级,可以快速修复缺陷、开启新功能等等。传统的车辆维修和软件更新,采用的是线下店维修和召回的模式,而OTA技术具备减少召回成本、快速响应安全需求、提升用户体验等多种优势,从扩大覆盖范围和降低管理复杂度上来看,必然是未来智能汽车的必然选择。如下图所示,OTA技术也是从萌芽阶段、到娱乐系统和互联模块本身再到动力总成和安全系统,再到未来可能的汽车的核心运算单元(各个区块的域控制器)。
OTA 技术要求对整车电气架构进行大范围的调整,因此对原有的架构而言存在很大的改革挑战,另外网络安全问题也是目前没办法立刻推行该项技术的顾虑因素。
图:整车内汽车电子的层级
OTA主要分为FOTA(Firmware- Over-The-Air,固件在线升级)和SOTA(Software-Over-The-Air,软件在线升级)两类。前者是对固件下载安装镜像,是一个系统性更新;后者是对部分应用层软件的迭代更新。在汽车电子领域, FOTA 与 SOTA 界限比较模糊,通常将 HU 中的 APP 更新称为SOTA,将其他 ECU 的更新甚至于所有更新统称为 OTA。汽车OTA架构主要包含云端服务器和车辆终端组建两部分,如下图所示:
(1)OTA云端服务器:为车载终端提供OTA服务,主要管理各个软件供应商的原始固件升级软件。出于安全考虑,需要构建一个独立的子模块,负责OTA服务平台的安全,包括密钥证书管理服务、数据加密服务、数字签名服务等。 (2)车辆终端OTA组件:对升级包进行合法性验证,适配安全升级流程。汽车OTA流程主要分为三步:管理和生成更新包、分发更新包、安装更新包。具体如下:
(1)管理和生成相关的更新包文件:云端服务器是负责监测整个OTA过程的主要单元,它不仅要确定更新哪些车辆,是否与车辆建立可靠的连接(生成一个可靠的可信通道)并实时掌握消息,然后把固件包或者更新包从软件库里面提取出来,确定分发包的更新顺序,管理整个进程,并在完成后校验。
(2)分发并检查:服务器会做加密渠道分发更新包,而在车辆端有个计算能力强大并有足够存储空间的控制器进行下载、验证和解密,相对应的,与服务器也有作业管理器负责报告当前状态和错误信息, 每个更新作业都有一个用于跟踪使用情况的作业ID。
(3)更新和刷新安装:为了防止车辆刷新时死机,通常整车企业在决定FOTA前需要做完备的方案,比如通过联网模块(如仪表板、中控台等)实现对整个更新文件刷入ECU进程的监控,每一步操作都会监控整个机制是否完整,并且能保证随时停止和重新写入。只要对应的ECU存在可以运行的导引程序,那就保证了车辆和服务器对整个过程的控制,并把刷死机的风险降到最低。完成最后的准备工作后,ECU将重新启动,代理和服务器之间将持续连接,服务器可以获得当前更新状态的最新信息。
汽车企业都在努力构建自己的OTA的架构和功能,形成自己的标准。特斯拉在2012年首次使用OTA技术,升级娱乐、自动驾驶、动力、电池等模块;之后至2018年前后,丰田、大众、福特、沃尔沃先后采用对娱乐系统、导航等推出OTA在线系统更新,以及在实时车况诊断的基础上升级为预警提醒等。2019年之后年上汽、广汽、一汽、长安、丰田、大众、宝马等海内外整车厂纷纷成立软件部门(公司),发力智能驾驶数字化业务,见下表。
2020年以来,随着以特斯拉为代表的多家新造车势力推出新款智能电动汽车,OTA技术已在新车型上升级车机系统方面得到普遍应用。比如,特斯拉从 2020 年初至今,共进行了19次OTA更新,在所有的车企中升级频次最高,最新一次是 今年6月通过OTA实施召回,优化巡航控制功能。国内新势力代表蔚来、理想、小鹏等,也通过 OTA 同步推送新功能,提升充电效率,优化驾驶辅助,修复车机系统BUG等。未来,随着汽车智能化程度不断提升,预计召回问题中超过50%以上是软件问题,OTA生态的构建将显著降低这部分召回成本。咨询机构IHS曾预测,汽车制造商从OTA软件更新中节省的成本将从2015年的27亿美元增长到2022年的350亿美元。从全球范围来看,各个国家、地区以及主要的国际性联盟,都在尝试制定OTA标淮。2016年12月,由英国和日本作为主席国,成立了专门的汽车信息安全标准任务组UN Task Force on Cyber security and OTA issues (CS/ OTA),围绕汽车网络安全、数据保护和软件升级OTA三部分开展国际法规及标准的制定工作,国际电信联盟(ITU—SG17)也全面与参与了该任务组的相关工作。中国各行业专家也在中国汽车技术研究中心的组织下参与了该任务组的部分工作,并有相关国际标准建议提案。从2017年1月1日起,国标《电动汽车远程服务与管理系统技术规范》(GB/T 32960.1-2016)规定,新生产的全部新能源汽车安装车载终端,通过企业监测平台对整车及动力电池等关键系统运行安全状态进行监测和管理。按照国家标准公共服务领域车辆相关安全状态信息要上传至地方监测平台,从中也会产生OTA需求。2020年11月,国家市场监督总局发布《关于进一步加强汽车远程升级(OTA)技术召回监管的通知》明确指出,车企"采用 OTA 方式对已售车辆开展技术服务活动的",要向市监总局备案;而"采用OTA方式消除汽车产品缺陷、实施召回的",要制定召回计划、向市监总局备案,并依法履行召回主体责任。今年(2021年)6月4日,市监总局又发布《汽车远程升级 (OTA)技术召回备案的补充通知》。
很多人对于汽车OTA的认知来源于手机OTA,从技术特点上来看确实有类似之处,但真正在实施过程中,两者还是有很大的区别,特别是安全问题。举个例子,手机在进行OTA升级时,如果升级不成功,最差的情况不过是手机变“砖头”,而汽车情况则大不一样,稍有不慎就是车损人伤。在FOTA流程中,主要存在传输风险和升级包篡改风险。终端下载升级包的传输流程中,攻击者可利用网络攻击手段,如中间人攻击,将篡改伪造的升级包发送给车载终端,如果终端在升级流程中同时缺少验证机制,那么被篡改的升级包即可顺利完成升级流程,达到篡改系统、植入后门等恶意程序的目的。攻击者还可能对升级包进行解包分析,获取一些可利用的信息,如漏洞补丁等,升级包中关键信息的暴露会增加被攻击的风险。
所以汽车OTA必须要在一个合适的时间、合适的地点以及车辆合适的状态下进行升级。这就要求车企制定相应的升级策略,以尽可能安全、经济的方式来开展这项操作。OTA技术对于整车企业而言,其实也存在推广之后承担出现问题的风险,前文也提过,这是制约整车企业推动OTA技术在车辆上应用发展的一大障碍。随着信息安全技术的导入,这部分工作将会变成整车企业与网络技术结合的发展。
OTA的意义在于提供不断升级更新的服务,通过软件的下载与更新,实现越来越多的可能性。OTA本身不是新兴的概念和技术,已在手机等娱乐电子产品上广泛应用,对智能汽车来说,还是一个未来技术发展的重点方向,用户需求和车企售后维护都需要它。如果汽车厂没有掌握OTA的解决方案,很快就会被边缘化,因为无法持续更新软件、没有办法做双向的沟通跟交流,没有办法快速提供服务和应用供车主选择使用。这项技术将随着整车企业对软件能力、网络能力、产品全生命周期需求的把握,变得越来越重要。作者 朱玉龙 。资深电动汽车电子工程师,在从事新能源汽车电子化工作,目前的主要工作职责是跟踪汽车动力电池模块及电池系统的新技术发展,支持新技术导入在电池系统对标、工程设计、部件研发、工程验证的工作。在智能电动汽车领域有非常深入的认知,对于中国当前汽车产业链的情况有做深入和长期的跟踪。个人开设了《汽车电子设计》和知乎专栏。