汽车OTA升级是未来智能化汽车时代的必然选择
2018-10-26
OTA的意义在于提供不断升级更新的服务。
如果一辆车要增加新的功能配置,有什么办法?也许很多人脑中蹦出的想法都是换辆新车或者送到4S店。但是汽车OTA升级的概念首先被特斯拉提及并实现的时候,用户体验到足不出户就可以完成车辆升级。OTA技术的应用和普及让智能汽车的未来有了更多可能性。
数字技术已经渗透到人们生活的各个角落,作为交通工具的汽车,逐渐由机械驱动的机器向软件驱动的电子产品过渡。在这个趋势下,汽车产品和内部系统的竞争法则都将改写。整车企业以往的技术工程核心是发动机和变速箱,而展望未来,给汽车配置足够强大的感应器、软件、计算能力以及外部与车辆连接的网络平台,会越来越重要。
电子部分和软件的重要性变强,也就意味着整车的复杂度升高了,软件代码行数像滚雪球一样不断增长。和硬件相比,软件是车里迭代最快、最容易个性化的部分,也是亟需进行系统化管理的部分。车辆无论是遇到软件故障还是更新,线下店维修和召回的模式,从覆盖范围和复杂度上是越来越难管理了。而OTA技术具备减少召回成本、快速响应安全需求、提升用户体验等多种优势,是未来智能化汽车时代的必然选择。
如下图所示,OTA技术也是从萌芽阶段、到娱乐系统和互联模块本身再到动力总成和安全系统,再到未来可能的汽车的核心运算单元(各个区块的域控制器)。
OTA技术在车辆上的应用进程
一、汽车OTA的架构和流程
汽车OTA主要分为FOTA(Firmware-over-the-air,固件在线升级)和SOTA(Software-over-the-air,软件在线升级)两类,前者是一个完整的系统性更新,后者是迭代更新的升级。如下图所示,汽车OTA架构主要包含云端服务器和车辆终端两部分。
OTA服务平台:为车载终端提供OTA服务,主要管理各个软件供应商的原始固件升级软件。 出于安全考虑,需要构建一个独立的子模块,负责OTA服务平台的安全,包括密钥证书管理服务、数据加密服务、数字签名服务等;
车辆终端OTA组件:对升级包进行合法性验证,适配安全升级流程。
汽车OTA流程具体如下:
管理和生成相关的文件:云端服务器是负责监测整个OTA过程的主要单元,它不仅要确定更新哪些车辆,是否与车辆建立可靠的连接(生成一个可靠的可信通道)并实时掌握消息,然后把固件包或者更新包从软件库里面提取出来,确定分发包的更新顺序,管理整个进程,并在完成后校验。
分发和检查:服务器会做加密渠道分发,而在车辆则有个计算能力强大并有足够存储空间的控制器进行下载、验证和解密,与服务器相对应的也有作业管理器负责报告当前状态和错误信息, 每个更新作业都有一个用于跟踪使用情况的作业ID。
更新和刷新安装:这里一定有读者会提问,车辆如果像手机一样刷死机了怎么办?通常整车企业在决定FOTA前需要做完备的考虑。以特斯拉为例,通过使用运算的联网模块(如仪表板、中控台等)实现对整个进程的监控。将更新文件刷入ECU,对于仪表盘来说,每一步操作都会监控整个机制是否完整,并且保证能随时停止和重新写入,只要对应的ECU存在可以运行的导引程序,那就保证了车辆和服务器对整个过程的控制,并把刷死机的风险降到最低。
完成最后的准备工作后,ECU将重新启动,代理和服务器之间将持续连接,服务器可以获得当前更新状态的最新信息。
二、OTA标准和车企的跟进
汽车企业都在努力构建自己的OTA的架构和功能,形成自己的标准。目前主要是针对娱乐系统、导航等推出OTA在线系统更新,以及在实时车况诊断的基础上升级为预警提醒。
咨询机构IHS的预测,汽车制造商从OTA软件更新中节省的成本将从2015年的27亿美元增长到2022年的350亿美元。大部分的开支节省来自OTA对信息娱乐系统和远程信息处理系统的更新。控制发动机,制动器和转向器的ECU在OTA方面仍然还有诸多难题要攻克。
从全球范围来看,各个国家、地区以及主要的国际性联盟,都在尝试制定OTA标淮。2016年12月,由英国和日本作为主席国,成立了专门的汽车信息安全标准任务组UN Task Force on Cyber security and OTA issues (CS/ OTA),围绕汽车网络安全、数据保护和软件升级OTA三部分开展国际法规及标准的制定工作,国际电信联盟(ITU—SG17)也全面与参与了该任务组的相关工作。
中国各行业专家也在中国汽车技术研究中心(C-WP.29秘书处)的组织下参与了该任务组的部分工作,并有相关国际标准建议提案。《电动汽车远程服务与管理系统技术规范》规定从2017年1月1日起,新生产的全部新能源汽车安装车载终端,通过企业监测平台对整车及动力电池等关键系统运行安全状态进行监测和管理。按照国家标准公共服务领域车辆相关安全状态信息要上传至地方监测平台,从中也会产生OTA需求。
三、OTA有哪些风险?
很多人对于汽车OTA的认知来源于手机OTA,从技术特点上来看确实有类似之处,但真正在实施过程中,两者还是有很大的区别,特别是安全问题。举个例子,手机在进行OTA升级时,如果升级不成功,最差的情况不过是手机变“砖头”,而汽车情况则大不一样,稍有不慎就是车损人伤。
在FOTA流程中,主要存在传输风险和升级包篡改风险。 终端下载升级包的传输流程中,攻击者可利用网络攻击手段,如中间人攻击,将篡改伪造的升级包发送给车载终端,如果终端在升级流程中同时缺少验证机制,那么被篡改的升级包即可顺利完成升级流程,达到篡改系统、植入后门等恶意程序的目的。攻击者还可能对升级包进行解包分析,获取一些可利用的信息,如漏洞补丁等,升级包中关键信息的暴露会增加被攻击的风险。
所以汽车OTA不能随便地进行,而必须要在一个合适的时间、合适的地点以及车辆合适的状态下进行升级。这就要求车企制定相应的升级策略,以尽可能安全、经济的方式来开展这项操作。OTA技术对于整车企业而言,其实也存在做不好会出大事的问题,这一直是制约整车企业推动OTA技术在车辆上应用发展的最大障碍。随着信息安全技术的导入,这块也变成了整车企业与网络技术结合的发展机遇。
四、总结
OTA的意义在于提供不断升级更新的服务,就像智能手机一样,通过软件的下载与更新,实现越来越多的可能性。对车来说也是,让开车的过程更轻松舒适。OTA也是智能汽车技术的一个重要的功能,用户需求和车企售后维护都需要它。如果汽车厂没有OTA的解决方案,三年内就很容易就被边缘化,因为无法持续更新软件、没有办法做双向的沟通跟交流,没有办法组成有用的服务跟应用供车主使用。这项技术将随着整车企业对软件能力、网络能力、产品全生命周期需求的把握,变得越来越重要。