一、OTA 的過往

從手機(jī)到汽車嘛，大家也都知道個(gè)大概。先解釋幾個(gè)名詞吧：

• OTA，Over The Air/空中下載，所謂“空中”指的是遠(yuǎn)程無線方式，指通過移動(dòng)通信（GSM或CDMA）的空中接口對(duì) SIM 卡數(shù)據(jù)及應(yīng)用進(jìn)行遠(yuǎn)程管理，OTA 技術(shù)可以理解為一種遠(yuǎn)程無線升級(jí)技術(shù)[1]；
• FOTA，F(xiàn)irmware Over The Air/固件空中升級(jí)，指通過云端升級(jí)技術(shù)，為具有連網(wǎng)功能的設(shè)備：例如手機(jī)、平板電腦、便攜式媒體播放器、移動(dòng)互聯(lián)網(wǎng)設(shè)備等提供固件升級(jí)服務(wù)；刷過手機(jī)的朋友們應(yīng)該對(duì)“固件版本”印象深刻，手機(jī)中的固件升級(jí)即可稱為 FOTA；
• SOTA，Software Over The Air/軟件空中升級(jí)，偏向于應(yīng)用軟件升級(jí)。

事實(shí)上 FOTA 與 SOTA 界限比較模糊，Windows 操作系統(tǒng)升級(jí)、手機(jī)升級(jí)、嵌入式系統(tǒng)、單片機(jī)控制程序等都的遠(yuǎn)程升級(jí)可以籠統(tǒng)地稱為 FOTA；轉(zhuǎn)移到汽車電子這塊，為了方便討論，我們將 HU 中的 APP 更新稱為 SOTA，將其他 ECU 的更新甚至于所有更新統(tǒng)稱為 OTA。

二、由汽車電子電氣架構(gòu)的發(fā)展趨勢(shì)看汽車 OTA 的核心價(jià)值

事實(shí)上，大家看到這里對(duì)汽車 OTA 的主要目的可能有了初步的認(rèn)識(shí)？大致上就是上一小節(jié)中餅圖中所展示的 3 點(diǎn)：缺陷修復(fù)、新功能推送以及交互界面優(yōu)化。不過在這一小節(jié)中我還是想從汽車電子電氣架構(gòu)發(fā)展趨勢(shì)層面將汽車 OTA 說的更透徹些[3]。

先來看下趨勢(shì)：

• 軟件定義汽車（Software Defined Vehicles，簡(jiǎn)稱SDV）將成為汽車行業(yè)普遍的發(fā)展趨勢(shì)，其核心思想是：決定未來汽車的是以人工智能為核心的軟件技術(shù)，而不再是汽車的馬力大小、是否真皮座椅、機(jī)械性能好壞[4]；
• 高端汽車控制器節(jié)點(diǎn) 80~100，整車代碼量已經(jīng)突破 1 億行[5]。而汽車行業(yè)80%~90% 的創(chuàng)新基于電子，離不開軟件的支撐，還在不斷發(fā)展[6]；
• 汽車電子的創(chuàng)新水平最終會(huì)向IT及傳統(tǒng)消費(fèi)電子看齊[7]。

再來看下汽車 OTA 的核心價(jià)值：

• 潛在問題改善。不斷攀升的代碼量即使按照 CMMI（capability maturity Model integration，能力成熟度集成模型）5 級(jí)的最高軟件標(biāo)準(zhǔn)進(jìn)行控制，代碼缺陷率仍為 0.32‰，潛在問題的規(guī)模不容小覷[4]；OTA 可有效解決軟件故障， 通過應(yīng)急響應(yīng)降低開發(fā)周期短帶來的軟件風(fēng)險(xiǎn)問題，以及完成對(duì)信息安全漏洞的修復(fù)；
• 全新功能導(dǎo)入。通過 FOTA 的功能進(jìn)行新功能新特性的導(dǎo)入，讓客戶有常用常新的感覺，能夠提升汽車使用的用戶友好度；
• 進(jìn)行界面優(yōu)化更新，提升人機(jī)交互體驗(yàn)。汽車連接互聯(lián)網(wǎng)，改變了過去銷售是研發(fā)過程結(jié)束的汽車銷售模式，使銷售成為廠商與客戶互動(dòng)的開始，因此會(huì)帶來投訴率高的風(fēng)險(xiǎn)。而是用界面和內(nèi)容的更新可以從一定程度上降低投訴率。

三、汽車OTA的典型架構(gòu)

▲汽車OTA 更新流概覽

上圖展示車輛內(nèi)從主機(jī)廠服務(wù)器更新程序到指定 ECU 的過程中的主要部件。 首先通過蜂窩網(wǎng)絡(luò)建立車輛與服務(wù)器之間的安全連接，確保全新的，待更新的固件安全地傳輸?shù)杰囕v的 Telematics Unit，然后再傳輸給 OTA Manager。 OTA Manager 管理車輛所有 ECU 的更新過程。它控制著將固件更新分發(fā)到 ECU，并告知 ECU 何時(shí)執(zhí)行更新 - 在多個(gè) ECUs 需要同時(shí)更新的情況下尤為重要 - 例如推送一項(xiàng)新功能，而該新功能涉及多個(gè) ECUs。更新過程完成后，OTA Manager 將向服務(wù)器發(fā)送確認(rèn)。

針對(duì) OTA Manager 它可能需要外掛 NAND flash 用來存儲(chǔ)固件包，同樣也可以用來存儲(chǔ)其他車輛 ECUs 的備份，以期在 ECU 升級(jí)失敗之后進(jìn)行調(diào)用。這些備份應(yīng)該通過加密&認(rèn)證的方式進(jìn)行防護(hù)避免外部攻擊。

OTA Manager 內(nèi)部有一個(gè)表格，包含各個(gè)車輛 ECU 的相關(guān)信息，譬如 SN 號(hào)以及當(dāng)前的固件版本。這樣便于 OTA Manager 核實(shí)接收到的固件升級(jí)包并確保是通過授權(quán)的。如果是正在更新的 ECU 不具備加密能力那么 OTA Manager 同樣需要負(fù)責(zé)更新過程的解碼及驗(yàn)簽[8]。

從上圖不難看出 OTA Manager 的重要性，也正是基于此，并結(jié)合網(wǎng)關(guān)的安全性、隔離性以及天然的多連接屬性，部分主機(jī)廠啟動(dòng)自研網(wǎng)關(guān)（集成 OTA Manager 角色），譬如蔚來、FF。

四、汽車 OTA 的挑戰(zhàn)

盡管汽車 OTA 使用的技術(shù)，包括 Telematics 以及通信技術(shù)都已成熟，汽車 OTA 卻并沒有想象中的普及？主要有兩個(gè)大的挑戰(zhàn)[5]：一個(gè)是安全的考量；將車輛的嵌入式系統(tǒng)重編程的接口開放，使其更容易受到黑客攻擊。...是的，我又要說起特斯拉了...還有科恩實(shí)驗(yàn)室。

騰訊科恩實(shí)驗(yàn)室（Keen Security Lab of Tencent）連續(xù)兩年，分別在 2016 年 9 月、2017 年 7 月實(shí)現(xiàn)了針對(duì)特斯拉 Model X 系統(tǒng)的破解，而從科恩實(shí)驗(yàn)室 2017 年的報(bào)道中我們發(fā)現(xiàn)特斯拉在 2016 年加入了“代碼簽名”安全機(jī)制，并對(duì)所有 FOTA 升級(jí)固件進(jìn)行強(qiáng)制完整性校驗(yàn)[9] - 而這兩個(gè)舉措放在現(xiàn)在則是安全機(jī)制的標(biāo)配了，可以說后發(fā)者站在前人的肩膀上。

也正是因?yàn)樘厮估诉^的坑能夠讓后來者一上來就重視安全的方案設(shè)計(jì)。

針對(duì)汽車 OTA 的安全性，主要可以從以下兩個(gè)方面做一個(gè)簡(jiǎn)要分析：

• 信息安全；主要是通信加密、軟件包驗(yàn)簽、更新隔離以及安全芯片等；
• 功能安全；主要包括 OTA Manager 的啟動(dòng)條件判斷（車輛狀態(tài)等）、ECU 升級(jí)的預(yù)編程條件判斷、整車模式配合以及升級(jí)方案考量（A/B 法等）；
• BTW，針對(duì) 2017 年的漏洞，特斯拉在兩周之內(nèi)修補(bǔ)了這些漏洞[10]。

二個(gè)是汽車產(chǎn)品線中的大量變體和配置使得難以為典型 EEA（Electronic and Electrical Architecture，電子電氣架構(gòu)）內(nèi)的所有現(xiàn)有組合提供安全且一致的更新。包括不同地區(qū)、跨版本之間的兼容性等。

其他的還有諸如 roll back 機(jī)制、推送/升級(jí)的策略等，前期設(shè)計(jì)是一方面，實(shí)際運(yùn)營(yíng)過程中積累的 know how 更是至關(guān)重要。

汽車 OTA 不是什么洪水猛獸，也不是什么陽(yáng)春白雪；它就是它，能夠?yàn)橄M(fèi)者、主機(jī)廠帶來共同收益的一項(xiàng)服務(wù)；是新趨勢(shì)，也是新挑戰(zhàn)，希望能夠在看得到-看得起-看得懂-追得上的過程中享受其價(jià)值。