OTA的意義在于提供不斷升級更新的服務(wù)。

　　如果一輛車要增加新的功能配置，有什么辦法？也許很多人腦中蹦出的想法都是換輛新車或者送到4S店。但是汽車OTA升級的概念首先被特斯拉提及并實(shí)現(xiàn)的時(shí)候，用戶體驗(yàn)到足不出戶就可以完成車輛升級。OTA技術(shù)的應(yīng)用和普及讓智能汽車的未來有了更多可能性。

　　數(shù)字技術(shù)已經(jīng)滲透到人們生活的各個角落，作為交通工具的汽車，逐漸由機(jī)械驅(qū)動的機(jī)器向軟件驅(qū)動的電子產(chǎn)品過渡。在這個趨勢下，汽車產(chǎn)品和內(nèi)部系統(tǒng)的競爭法則都將改寫。整車企業(yè)以往的技術(shù)工程核心是發(fā)動機(jī)和變速箱，而展望未來，給汽車配置足夠強(qiáng)大的感應(yīng)器、軟件、計(jì)算能力以及外部與車輛連接的網(wǎng)絡(luò)平臺，會越來越重要。

　　電子部分和軟件的重要性變強(qiáng)，也就意味著整車的復(fù)雜度升高了，軟件代碼行數(shù)像滾雪球一樣不斷增長。和硬件相比，軟件是車?yán)锏羁?、最容易個性化的部分，也是亟需進(jìn)行系統(tǒng)化管理的部分。車輛無論是遇到軟件故障還是更新，線下店維修和召回的模式，從覆蓋范圍和復(fù)雜度上是越來越難管理了。而OTA技術(shù)具備減少召回成本、快速響應(yīng)安全需求、提升用戶體驗(yàn)等多種優(yōu)勢，是未來智能化汽車時(shí)代的必然選擇。

　　如下圖所示，OTA技術(shù)也是從萌芽階段、到娛樂系統(tǒng)和互聯(lián)模塊本身再到動力總成和安全系統(tǒng)，再到未來可能的汽車的核心運(yùn)算單元（各個區(qū)塊的域控制器）。

　　OTA技術(shù)在車輛上的應(yīng)用進(jìn)程

　　一、汽車OTA的架構(gòu)和流程

　　汽車OTA主要分為FOTA（Firmware-over-the-air，固件在線升級）和SOTA（Software-over-the-air，軟件在線升級）兩類，前者是一個完整的系統(tǒng)性更新，后者是迭代更新的升級。如下圖所示，汽車OTA架構(gòu)主要包含云端服務(wù)器和車輛終端兩部分。

　　OTA服務(wù)平臺：為車載終端提供OTA服務(wù)，主要管理各個軟件供應(yīng)商的原始固件升級軟件。 出于安全考慮，需要構(gòu)建一個獨(dú)立的子模塊，負(fù)責(zé)OTA服務(wù)平臺的安全，包括密鑰證書管理服務(wù)、數(shù)據(jù)加密服務(wù)、數(shù)字簽名服務(wù)等；

　　車輛終端OTA組件：對升級包進(jìn)行合法性驗(yàn)證，適配安全升級流程。

　　汽車OTA流程具體如下：

　　管理和生成相關(guān)的文件：云端服務(wù)器是負(fù)責(zé)監(jiān)測整個OTA過程的主要單元，它不僅要確定更新哪些車輛，是否與車輛建立可靠的連接（生成一個可靠的可信通道）并實(shí)時(shí)掌握消息，然后把固件包或者更新包從軟件庫里面提取出來，確定分發(fā)包的更新順序，管理整個進(jìn)程，并在完成后校驗(yàn)。

　　分發(fā)和檢查：服務(wù)器會做加密渠道分發(fā)，而在車輛則有個計(jì)算能力強(qiáng)大并有足夠存儲空間的控制器進(jìn)行下載、驗(yàn)證和解密，與服務(wù)器相對應(yīng)的也有作業(yè)管理器負(fù)責(zé)報(bào)告當(dāng)前狀態(tài)和錯誤信息， 每個更新作業(yè)都有一個用于跟蹤使用情況的作業(yè)ID。

　　更新和刷新安裝：這里一定有讀者會提問，車輛如果像手機(jī)一樣刷死機(jī)了怎么辦？通常整車企業(yè)在決定FOTA前需要做完備的考慮。以特斯拉為例，通過使用運(yùn)算的聯(lián)網(wǎng)模塊（如儀表板、中控臺等）實(shí)現(xiàn)對整個進(jìn)程的監(jiān)控。將更新文件刷入ECU，對于儀表盤來說，每一步操作都會監(jiān)控整個機(jī)制是否完整，并且保證能隨時(shí)停止和重新寫入，只要對應(yīng)的ECU存在可以運(yùn)行的導(dǎo)引程序，那就保證了車輛和服務(wù)器對整個過程的控制，并把刷死機(jī)的風(fēng)險(xiǎn)降到最低。

　　完成最后的準(zhǔn)備工作后，ECU將重新啟動，代理和服務(wù)器之間將持續(xù)連接，服務(wù)器可以獲得當(dāng)前更新狀態(tài)的最新信息。

　　二、OTA標(biāo)準(zhǔn)和車企的跟進(jìn)

　　汽車企業(yè)都在努力構(gòu)建自己的OTA的架構(gòu)和功能，形成自己的標(biāo)準(zhǔn)。目前主要是針對娛樂系統(tǒng)、導(dǎo)航等推出OTA在線系統(tǒng)更新，以及在實(shí)時(shí)車況診斷的基礎(chǔ)上升級為預(yù)警提醒。

　　咨詢機(jī)構(gòu)IHS的預(yù)測，汽車制造商從OTA軟件更新中節(jié)省的成本將從2015年的27億美元增長到2022年的350億美元。大部分的開支節(jié)省來自O(shè)TA對信息娛樂系統(tǒng)和遠(yuǎn)程信息處理系統(tǒng)的更新。控制發(fā)動機(jī)，制動器和轉(zhuǎn)向器的ECU在OTA方面仍然還有諸多難題要攻克。

　　從全球范圍來看，各個國家、地區(qū)以及主要的國際性聯(lián)盟，都在嘗試制定OTA標(biāo)淮。2016年12月，由英國和日本作為主席國，成立了專門的汽車信息安全標(biāo)準(zhǔn)任務(wù)組UN Task Force on Cyber security and OTA issues （CS/ OTA），圍繞汽車網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和軟件升級OTA三部分開展國際法規(guī)及標(biāo)準(zhǔn)的制定工作，國際電信聯(lián)盟（ITU—SG17）也全面與參與了該任務(wù)組的相關(guān)工作。

　　中國各行業(yè)專家也在中國汽車技術(shù)研究中心（C-WP.29秘書處）的組織下參與了該任務(wù)組的部分工作，并有相關(guān)國際標(biāo)準(zhǔn)建議提案。《電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范》規(guī)定從2017年1月1日起，新生產(chǎn)的全部新能源汽車安裝車載終端，通過企業(yè)監(jiān)測平臺對整車及動力電池等關(guān)鍵系統(tǒng)運(yùn)行安全狀態(tài)進(jìn)行監(jiān)測和管理。按照國家標(biāo)準(zhǔn)公共服務(wù)領(lǐng)域車輛相關(guān)安全狀態(tài)信息要上傳至地方監(jiān)測平臺，從中也會產(chǎn)生OTA需求。

　　三、OTA有哪些風(fēng)險(xiǎn)？

　　很多人對于汽車OTA的認(rèn)知來源于手機(jī)OTA，從技術(shù)特點(diǎn)上來看確實(shí)有類似之處，但真正在實(shí)施過程中，兩者還是有很大的區(qū)別，特別是安全問題。舉個例子，手機(jī)在進(jìn)行OTA升級時(shí)，如果升級不成功，最差的情況不過是手機(jī)變“磚頭”，而汽車情況則大不一樣，稍有不慎就是車損人傷。

　　在FOTA流程中，主要存在傳輸風(fēng)險(xiǎn)和升級包篡改風(fēng)險(xiǎn)。 終端下載升級包的傳輸流程中，攻擊者可利用網(wǎng)絡(luò)攻擊手段，如中間人攻擊，將篡改偽造的升級包發(fā)送給車載終端，如果終端在升級流程中同時(shí)缺少驗(yàn)證機(jī)制，那么被篡改的升級包即可順利完成升級流程，達(dá)到篡改系統(tǒng)、植入后門等惡意程序的目的。攻擊者還可能對升級包進(jìn)行解包分析，獲取一些可利用的信息，如漏洞補(bǔ)丁等，升級包中關(guān)鍵信息的暴露會增加被攻擊的風(fēng)險(xiǎn)。

　　所以汽車OTA不能隨便地進(jìn)行，而必須要在一個合適的時(shí)間、合適的地點(diǎn)以及車輛合適的狀態(tài)下進(jìn)行升級。這就要求車企制定相應(yīng)的升級策略，以盡可能安全、經(jīng)濟(jì)的方式來開展這項(xiàng)操作。OTA技術(shù)對于整車企業(yè)而言，其實(shí)也存在做不好會出大事的問題，這一直是制約整車企業(yè)推動OTA技術(shù)在車輛上應(yīng)用發(fā)展的最大障礙。隨著信息安全技術(shù)的導(dǎo)入，這塊也變成了整車企業(yè)與網(wǎng)絡(luò)技術(shù)結(jié)合的發(fā)展機(jī)遇。

　　四、總結(jié)

　　OTA的意義在于提供不斷升級更新的服務(wù)，就像智能手機(jī)一樣，通過軟件的下載與更新，實(shí)現(xiàn)越來越多的可能性。對車來說也是，讓開車的過程更輕松舒適。OTA也是智能汽車技術(shù)的一個重要的功能，用戶需求和車企售后維護(hù)都需要它。如果汽車廠沒有OTA的解決方案，三年內(nèi)就很容易就被邊緣化，因?yàn)闊o法持續(xù)更新軟件、沒有辦法做雙向的溝通跟交流，沒有辦法組成有用的服務(wù)跟應(yīng)用供車主使用。這項(xiàng)技術(shù)將隨著整車企業(yè)對軟件能力、網(wǎng)絡(luò)能力、產(chǎn)品全生命周期需求的把握，變得越來越重要。