OTA的意義在于提供不斷升級(jí)更新的服務(wù)。

　　如果一輛車(chē)要增加新的功能配置，有什么辦法？也許很多人腦中蹦出的想法都是換輛新車(chē)或者送到4S店。但是汽車(chē)OTA升級(jí)的概念首先被特斯拉提及并實(shí)現(xiàn)的時(shí)候，用戶(hù)體驗(yàn)到足不出戶(hù)就可以完成車(chē)輛升級(jí)。OTA技術(shù)的應(yīng)用和普及讓智能汽車(chē)的未來(lái)有了更多可能性。

　　數(shù)字技術(shù)已經(jīng)滲透到人們生活的各個(gè)角落，作為交通工具的汽車(chē)，逐漸由機(jī)械驅(qū)動(dòng)的機(jī)器向軟件驅(qū)動(dòng)的電子產(chǎn)品過(guò)渡。在這個(gè)趨勢(shì)下，汽車(chē)產(chǎn)品和內(nèi)部系統(tǒng)的競(jìng)爭(zhēng)法則都將改寫(xiě)。整車(chē)企業(yè)以往的技術(shù)工程核心是發(fā)動(dòng)機(jī)和變速箱，而展望未來(lái)，給汽車(chē)配置足夠強(qiáng)大的感應(yīng)器、軟件、計(jì)算能力以及外部與車(chē)輛連接的網(wǎng)絡(luò)平臺(tái)，會(huì)越來(lái)越重要。

　　電子部分和軟件的重要性變強(qiáng)，也就意味著整車(chē)的復(fù)雜度升高了，軟件代碼行數(shù)像滾雪球一樣不斷增長(zhǎng)。和硬件相比，軟件是車(chē)?yán)锏羁臁⒆钊菀讉€(gè)性化的部分，也是亟需進(jìn)行系統(tǒng)化管理的部分。車(chē)輛無(wú)論是遇到軟件故障還是更新，線(xiàn)下店維修和召回的模式，從覆蓋范圍和復(fù)雜度上是越來(lái)越難管理了。而OTA技術(shù)具備減少召回成本、快速響應(yīng)安全需求、提升用戶(hù)體驗(yàn)等多種優(yōu)勢(shì)，是未來(lái)智能化汽車(chē)時(shí)代的必然選擇。

　　如下圖所示，OTA技術(shù)也是從萌芽階段、到娛樂(lè)系統(tǒng)和互聯(lián)模塊本身再到動(dòng)力總成和安全系統(tǒng)，再到未來(lái)可能的汽車(chē)的核心運(yùn)算單元（各個(gè)區(qū)塊的域控制器）。

　　OTA技術(shù)在車(chē)輛上的應(yīng)用進(jìn)程

　　一、汽車(chē)OTA的架構(gòu)和流程

　　汽車(chē)OTA主要分為FOTA（Firmware-over-the-air，固件在線(xiàn)升級(jí)）和SOTA（Software-over-the-air，軟件在線(xiàn)升級(jí)）兩類(lèi)，前者是一個(gè)完整的系統(tǒng)性更新，后者是迭代更新的升級(jí)。如下圖所示，汽車(chē)OTA架構(gòu)主要包含云端服務(wù)器和車(chē)輛終端兩部分。

　　OTA服務(wù)平臺(tái)：為車(chē)載終端提供OTA服務(wù)，主要管理各個(gè)軟件供應(yīng)商的原始固件升級(jí)軟件。 出于安全考慮，需要構(gòu)建一個(gè)獨(dú)立的子模塊，負(fù)責(zé)OTA服務(wù)平臺(tái)的安全，包括密鑰證書(shū)管理服務(wù)、數(shù)據(jù)加密服務(wù)、數(shù)字簽名服務(wù)等；

　　車(chē)輛終端OTA組件：對(duì)升級(jí)包進(jìn)行合法性驗(yàn)證，適配安全升級(jí)流程。

　　汽車(chē)OTA流程具體如下：

　　管理和生成相關(guān)的文件：云端服務(wù)器是負(fù)責(zé)監(jiān)測(cè)整個(gè)OTA過(guò)程的主要單元，它不僅要確定更新哪些車(chē)輛，是否與車(chē)輛建立可靠的連接（生成一個(gè)可靠的可信通道）并實(shí)時(shí)掌握消息，然后把固件包或者更新包從軟件庫(kù)里面提取出來(lái)，確定分發(fā)包的更新順序，管理整個(gè)進(jìn)程，并在完成后校驗(yàn)。

　　分發(fā)和檢查：服務(wù)器會(huì)做加密渠道分發(fā)，而在車(chē)輛則有個(gè)計(jì)算能力強(qiáng)大并有足夠存儲(chǔ)空間的控制器進(jìn)行下載、驗(yàn)證和解密，與服務(wù)器相對(duì)應(yīng)的也有作業(yè)管理器負(fù)責(zé)報(bào)告當(dāng)前狀態(tài)和錯(cuò)誤信息， 每個(gè)更新作業(yè)都有一個(gè)用于跟蹤使用情況的作業(yè)ID。

　　更新和刷新安裝：這里一定有讀者會(huì)提問(wèn)，車(chē)輛如果像手機(jī)一樣刷死機(jī)了怎么辦？通常整車(chē)企業(yè)在決定FOTA前需要做完備的考慮。以特斯拉為例，通過(guò)使用運(yùn)算的聯(lián)網(wǎng)模塊（如儀表板、中控臺(tái)等）實(shí)現(xiàn)對(duì)整個(gè)進(jìn)程的監(jiān)控。將更新文件刷入ECU，對(duì)于儀表盤(pán)來(lái)說(shuō)，每一步操作都會(huì)監(jiān)控整個(gè)機(jī)制是否完整，并且保證能隨時(shí)停止和重新寫(xiě)入，只要對(duì)應(yīng)的ECU存在可以運(yùn)行的導(dǎo)引程序，那就保證了車(chē)輛和服務(wù)器對(duì)整個(gè)過(guò)程的控制，并把刷死機(jī)的風(fēng)險(xiǎn)降到最低。

　　完成最后的準(zhǔn)備工作后，ECU將重新啟動(dòng)，代理和服務(wù)器之間將持續(xù)連接，服務(wù)器可以獲得當(dāng)前更新?tīng)顟B(tài)的最新信息。

　　二、OTA標(biāo)準(zhǔn)和車(chē)企的跟進(jìn)

　　汽車(chē)企業(yè)都在努力構(gòu)建自己的OTA的架構(gòu)和功能，形成自己的標(biāo)準(zhǔn)。目前主要是針對(duì)娛樂(lè)系統(tǒng)、導(dǎo)航等推出OTA在線(xiàn)系統(tǒng)更新，以及在實(shí)時(shí)車(chē)況診斷的基礎(chǔ)上升級(jí)為預(yù)警提醒。

　　咨詢(xún)機(jī)構(gòu)IHS的預(yù)測(cè)，汽車(chē)制造商從OTA軟件更新中節(jié)省的成本將從2015年的27億美元增長(zhǎng)到2022年的350億美元。大部分的開(kāi)支節(jié)省來(lái)自O(shè)TA對(duì)信息娛樂(lè)系統(tǒng)和遠(yuǎn)程信息處理系統(tǒng)的更新。控制發(fā)動(dòng)機(jī)，制動(dòng)器和轉(zhuǎn)向器的ECU在OTA方面仍然還有諸多難題要攻克。

　　從全球范圍來(lái)看，各個(gè)國(guó)家、地區(qū)以及主要的國(guó)際性聯(lián)盟，都在嘗試制定OTA標(biāo)淮。2016年12月，由英國(guó)和日本作為主席國(guó)，成立了專(zhuān)門(mén)的汽車(chē)信息安全標(biāo)準(zhǔn)任務(wù)組UN Task Force on Cyber security and OTA issues （CS/ OTA），圍繞汽車(chē)網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和軟件升級(jí)OTA三部分開(kāi)展國(guó)際法規(guī)及標(biāo)準(zhǔn)的制定工作，國(guó)際電信聯(lián)盟（ITU—SG17）也全面與參與了該任務(wù)組的相關(guān)工作。

　　中國(guó)各行業(yè)專(zhuān)家也在中國(guó)汽車(chē)技術(shù)研究中心（C-WP.29秘書(shū)處）的組織下參與了該任務(wù)組的部分工作，并有相關(guān)國(guó)際標(biāo)準(zhǔn)建議提案?！峨妱?dòng)汽車(chē)遠(yuǎn)程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范》規(guī)定從2017年1月1日起，新生產(chǎn)的全部新能源汽車(chē)安裝車(chē)載終端，通過(guò)企業(yè)監(jiān)測(cè)平臺(tái)對(duì)整車(chē)及動(dòng)力電池等關(guān)鍵系統(tǒng)運(yùn)行安全狀態(tài)進(jìn)行監(jiān)測(cè)和管理。按照國(guó)家標(biāo)準(zhǔn)公共服務(wù)領(lǐng)域車(chē)輛相關(guān)安全狀態(tài)信息要上傳至地方監(jiān)測(cè)平臺(tái)，從中也會(huì)產(chǎn)生OTA需求。

　　三、OTA有哪些風(fēng)險(xiǎn)？

　　很多人對(duì)于汽車(chē)OTA的認(rèn)知來(lái)源于手機(jī)OTA，從技術(shù)特點(diǎn)上來(lái)看確實(shí)有類(lèi)似之處，但真正在實(shí)施過(guò)程中，兩者還是有很大的區(qū)別，特別是安全問(wèn)題。舉個(gè)例子，手機(jī)在進(jìn)行OTA升級(jí)時(shí)，如果升級(jí)不成功，最差的情況不過(guò)是手機(jī)變“磚頭”，而汽車(chē)情況則大不一樣，稍有不慎就是車(chē)損人傷。

　　在FOTA流程中，主要存在傳輸風(fēng)險(xiǎn)和升級(jí)包篡改風(fēng)險(xiǎn)。 終端下載升級(jí)包的傳輸流程中，攻擊者可利用網(wǎng)絡(luò)攻擊手段，如中間人攻擊，將篡改偽造的升級(jí)包發(fā)送給車(chē)載終端，如果終端在升級(jí)流程中同時(shí)缺少驗(yàn)證機(jī)制，那么被篡改的升級(jí)包即可順利完成升級(jí)流程，達(dá)到篡改系統(tǒng)、植入后門(mén)等惡意程序的目的。攻擊者還可能對(duì)升級(jí)包進(jìn)行解包分析，獲取一些可利用的信息，如漏洞補(bǔ)丁等，升級(jí)包中關(guān)鍵信息的暴露會(huì)增加被攻擊的風(fēng)險(xiǎn)。

　　所以汽車(chē)OTA不能隨便地進(jìn)行，而必須要在一個(gè)合適的時(shí)間、合適的地點(diǎn)以及車(chē)輛合適的狀態(tài)下進(jìn)行升級(jí)。這就要求車(chē)企制定相應(yīng)的升級(jí)策略，以盡可能安全、經(jīng)濟(jì)的方式來(lái)開(kāi)展這項(xiàng)操作。OTA技術(shù)對(duì)于整車(chē)企業(yè)而言，其實(shí)也存在做不好會(huì)出大事的問(wèn)題，這一直是制約整車(chē)企業(yè)推動(dòng)OTA技術(shù)在車(chē)輛上應(yīng)用發(fā)展的最大障礙。隨著信息安全技術(shù)的導(dǎo)入，這塊也變成了整車(chē)企業(yè)與網(wǎng)絡(luò)技術(shù)結(jié)合的發(fā)展機(jī)遇。

　　四、總結(jié)

　　OTA的意義在于提供不斷升級(jí)更新的服務(wù)，就像智能手機(jī)一樣，通過(guò)軟件的下載與更新，實(shí)現(xiàn)越來(lái)越多的可能性。對(duì)車(chē)來(lái)說(shuō)也是，讓開(kāi)車(chē)的過(guò)程更輕松舒適。OTA也是智能汽車(chē)技術(shù)的一個(gè)重要的功能，用戶(hù)需求和車(chē)企售后維護(hù)都需要它。如果汽車(chē)廠沒(méi)有OTA的解決方案，三年內(nèi)就很容易就被邊緣化，因?yàn)闊o(wú)法持續(xù)更新軟件、沒(méi)有辦法做雙向的溝通跟交流，沒(méi)有辦法組成有用的服務(wù)跟應(yīng)用供車(chē)主使用。這項(xiàng)技術(shù)將隨著整車(chē)企業(yè)對(duì)軟件能力、網(wǎng)絡(luò)能力、產(chǎn)品全生命周期需求的把握，變得越來(lái)越重要。