造車工藝

深度剖析汽車OTA技術(shù)

ainet.cn   2022年10月24日

汽車新四化(電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化)是行業(yè)公認(rèn)的趨勢,在智能化和網(wǎng)聯(lián)化方面,OTA技術(shù)就成為了不少車企拿來宣傳自家產(chǎn)品的重要賣點(diǎn),此時(shí)推出的新車如果沒有OTA,或許會被當(dāng)做笑話。那么OTA是什么?我們該如何正確看待OTA技術(shù)?我們再購車時(shí)到底需不需要關(guān)注這項(xiàng)技術(shù)。

OTA技術(shù)的英文全稱為Over the Air Technology,翻譯過來就是空中下載技術(shù)。

首先大家要了解什么是OTA,OTA簡單的可以理解為遠(yuǎn)程升級,最早是安卓系統(tǒng)在手機(jī)上推出的,終結(jié)了手機(jī)軟件升級需要連接電腦、然后下載軟件、再安裝更新的繁復(fù)流程。而運(yùn)用到汽車上也就可以理解為可以遠(yuǎn)程升級你的車輛軟件系統(tǒng),甚至可以直接升級你的軟件來控制整車。

幾年前的網(wǎng)絡(luò)速度,處理器的制程以及車機(jī)系統(tǒng)處在很低級的狀態(tài),想要通過OTA升級汽車有點(diǎn)不切實(shí)際。即便到了現(xiàn)在車用OTA更多是對車載應(yīng)用、多媒體系統(tǒng)或整車底層系統(tǒng)進(jìn)行升級。車機(jī)內(nèi)搭載了SIM卡模塊或者WiFi模塊,就可以實(shí)現(xiàn)OTA,其實(shí)技術(shù)并不復(fù)雜。

與汽車的底盤、發(fā)動(dòng)機(jī)不同,軟件是很容易進(jìn)行更新迭代的。以往車輛遇到軟件故障或是需要更新,我們需要將車開到4S店讓工作人員利用專業(yè)電腦修復(fù),但這樣做所耗費(fèi)的人力物力,以及消費(fèi)者的時(shí)間可都不少,而OTA技術(shù)可以讓用戶足不出戶就完成車輛升級,相比之下減少了成本、還節(jié)省了用戶時(shí)間。


為何OTA技術(shù)往往與電動(dòng)車掛鉤

答案很簡單,因?yàn)殡妱?dòng)車更適合OTA升級。早期的汽車都是純機(jī)械結(jié)構(gòu),軟件不可能對車輛進(jìn)行升級。所以車用OTA一般是針對娛樂系統(tǒng)、導(dǎo)航等推出在線系統(tǒng)更新。比如更新中控的Android AutoApple CarPlay車載系統(tǒng),或者是更新導(dǎo)航地圖。不過電動(dòng)車結(jié)構(gòu)相對簡單,整車的動(dòng)力系統(tǒng)、制動(dòng)系統(tǒng)、電池管理系統(tǒng)等所有跟車輛行駛有關(guān)的系統(tǒng)都轉(zhuǎn)向了電子化,OTA隨時(shí)可以對其進(jìn)行“控制”、“改寫”,只要廠商前期在設(shè)計(jì)時(shí),在核心的三電系統(tǒng)、車機(jī)處理器、傳感器等方面留出較多的冗余,后期通過軟件提升的難度要容易的多。而且為了實(shí)現(xiàn)自動(dòng)駕駛,不少汽車上安裝了大量傳感器,汽車廠商能夠通過軟件利用這些傳感器來讓車輛有更多功能。

作為首先在汽車上大規(guī)模推進(jìn)OTA功能的特斯拉在這方面與傳統(tǒng)汽車廠商相比領(lǐng)先優(yōu)勢明顯,比如此前特斯拉揚(yáng)言要在紐博格林北環(huán)賽道上贏過保時(shí)捷, 隨后國外知名汽車媒體Top Gear做了一期節(jié)目,在節(jié)目中對保時(shí)捷Taycan Turbo S和特斯拉Model S進(jìn)行了對比測試。在兩車都是原裝車的情況下,保時(shí)捷Taycan全面勝出。這一結(jié)果讓特斯拉CEO埃隆·馬斯克非常不滿,所以特斯拉將通過OTA升級的形式將Model S的峰值功率提升50馬力。如果是燃油車,想要通過OTA升級50馬力以當(dāng)前的技術(shù)手段很難實(shí)現(xiàn),不過電動(dòng)車就另當(dāng)別論了。另外特斯拉通過OTA百公里加速可以從5.2秒縮短至4.7秒,特斯拉可以通過OTA把剎車距離縮短6米,還可以通過OTA刷出圣誕節(jié)彩蛋。

正是因?yàn)殡妱?dòng)車更適合在線升級,結(jié)果不少新能源汽車品牌就把OTA當(dāng)作賣點(diǎn)大肆宣傳。如果OTA只能像以前一樣升級車機(jī)的系統(tǒng)界面、UI、車載APP、多媒體系統(tǒng),那還怎么突出這些新勢力品牌主打的智能汽車概念。


為何在傳統(tǒng)燃油車上少見OTA

數(shù)字化在我們的生活中已經(jīng)變得極為普遍,汽車同樣也在順應(yīng)時(shí)代變化。

一輛車的研發(fā)周期通常是3-4年甚至更長,車企在研發(fā)過程中會在各種工況和用車環(huán)境下進(jìn)行充分測試,盡可能地發(fā)現(xiàn)并解決所有問題,然后才推向市場,即便如此,我們還聽到汽車大規(guī)模召回的消息,足以見得汽車產(chǎn)品可靠性和安全性有多重要。

傳統(tǒng)燃油車的動(dòng)力單元非常復(fù)雜,噴油量、節(jié)氣門開合、剎車系統(tǒng)、換擋邏輯、轉(zhuǎn)向比、懸掛風(fēng)格等等參數(shù)標(biāo)定,耗費(fèi)了數(shù)年甚至上千名工程師的精力心血,調(diào)試好量產(chǎn)的狀態(tài)絕對是在成本范圍內(nèi)的最佳狀態(tài)。很多改裝車玩家改了車之后動(dòng)力輸出不穩(wěn)定,車輛操控甚至還會下降,就是是因?yàn)楦淖冊瓘S車非常平衡的設(shè)定。

大家已經(jīng)習(xí)慣了手機(jī)在線升級,不過在燃油車上想要實(shí)現(xiàn)并不容易。手機(jī)往往為了搶占市場,在功能實(shí)現(xiàn)百分之八十或者九十的時(shí)候就搶先上市,然后通過OTA來不斷完善軟件上的問題,從而改善產(chǎn)品BUG。燃油車想要實(shí)現(xiàn)OTA匹配的東西太多,比如發(fā)動(dòng)機(jī)的出力特性,傳動(dòng)系統(tǒng)與發(fā)動(dòng)機(jī)輸出的匹配,又或是駕駛輔助系統(tǒng)的標(biāo)定,更何況這些核心機(jī)構(gòu)直接決定車輛安全,汽車廠商將“半成品”推向市場是非常不負(fù)責(zé)任的行為,數(shù)碼產(chǎn)品如果有缺陷,最多也就是損失功能,汽車有問題或缺陷則會出現(xiàn)嚴(yán)重的安全事故,影響的是車主及乘客的生命財(cái)產(chǎn)安全。

ECU改性能可不是鬧著玩的,不像電動(dòng)系統(tǒng)那么簡單直接。傳統(tǒng)汽車廠商不是不能OTA,而是不愿意,這只是新能源汽車品牌熱衷的“宣傳賣點(diǎn)”。如奧迪、捷豹I-PACE、奔馳EQC這些豪華品牌的電動(dòng)車型,僅僅因?yàn)椴恢С终?/FONT>OTA,所以被某些品牌水軍在網(wǎng)絡(luò)上惡意攻擊為“老年代步車”,實(shí)在是毫無意義。傳統(tǒng)汽車企業(yè)即使做純電產(chǎn)品也是在上市前經(jīng)歷“千錘百煉”的測試,并沒有把所謂的OTA放在眼里。


近年汽車OTA升級組件

除了智己L7,各大車企也都將ADAS與自動(dòng)駕駛模塊(包括自動(dòng)泊車和自動(dòng)變道等相關(guān)的更新和改進(jìn))作為OTA的重要內(nèi)容。隨著輔助/自動(dòng)駕駛的逐漸成熟,加上國家政策管理,法規(guī)和保障逐漸完善后,OTA的競爭未來主要在輔助駕駛這一塊上。

其次是車機(jī)之間的座艙類更新,比如交互更新等出現(xiàn)頻率也極高,一方面,目前很多主流應(yīng)用不是很符合車內(nèi)場景的使用習(xí)慣,車主使用車機(jī)的效率還有很大的提升空間;另一方面,車機(jī)方面的改進(jìn),UI改變都能給車主明顯的感知。

國內(nèi)外車企OTA升級頻率、內(nèi)容對比:


OTA方案:

OTA是一種基于汽車網(wǎng)聯(lián)的遠(yuǎn)程升級功能。大多數(shù)整車廠以采用第三方OTA方案為主,而非自己開發(fā)OTA平臺。根據(jù)高工智能汽車研究院數(shù)據(jù)顯示,目前國內(nèi)大多數(shù)自主品牌及合資品牌仍以采用第三方OTA方案為主,尚未具備足夠的能力或相應(yīng)的組織結(jié)構(gòu)來開發(fā)、交付及擴(kuò)展OTA軟件平臺。


合作模式:

供應(yīng)商與OEM合作趨向靈活,其OTA合作模式主要有三種:
1) 交鑰匙工程,搭建軟件付費(fèi),提供端到端整體解決方案;
2) 完全新功能搭建,項(xiàng)目開發(fā)驗(yàn)收;
3) 按需(功能模塊)付費(fèi)等。


OTA技術(shù)原理:


基于對稱密鑰加密技術(shù):

2005年,Mahmud等人在核心期刊IEEE Intelligent Vehicles Symposium提出了一種智能汽車的安全更新技術(shù)。提議在原始主機(jī)廠、軟件供應(yīng)商(SS)之間共享一組鏈路密鑰。在任何軟件更新之前,使用一個(gè)鏈路密鑰在軟件供應(yīng)商和車輛之間建立安全連接,形成可信通道。

2012年,Mansour等人設(shè)計(jì)了一種診斷和安全OTA系統(tǒng),稱為AiroDiag,用于連接車輛。下圖為AiroDiag的架構(gòu)。AiroDiag架構(gòu)的主要分為:OEM、汽車和云端。AiroDiag采用了對稱密鑰技術(shù),特別是采用了先進(jìn)的加密標(biāo)準(zhǔn)來保證軟件更新過程中的通信安全。在AiroDiag中,密鑰存儲在OEM端的數(shù)據(jù)庫中。AiroDiag應(yīng)用始終保持與網(wǎng)絡(luò)的連接,處理來自車機(jī)端的任何連接請求。在AiroDiag中,軟件更新過程由客戶端觸發(fā)。一旦觸發(fā)軟件更新過程,車輛首先與OEM建立安全連接。接下來,車輛將告知OEM端當(dāng)前已安裝軟件的版本。如果有新軟件可用,OEM將觸發(fā)軟件更新過程,并與汽車建立安全連接。


基于哈希算法:

2008NilssonLarsonIEEE大會上提出了一種用于車聯(lián)網(wǎng)的安全OTA固件更新協(xié)議。在他的架構(gòu)中分為了四個(gè)實(shí)體:車、服務(wù)器后端、互聯(lián)網(wǎng)和無線基站。在這里,服務(wù)器后端是負(fù)責(zé)與網(wǎng)聯(lián)車通信的主要單元。作者先將更新后的二進(jìn)制文件劃分為多個(gè)數(shù)據(jù)塊。然后以相反的順序?qū)γ總€(gè)片段進(jìn)行哈希處理,創(chuàng)建哈希表。最后,服務(wù)器后端使用預(yù)共享的加密密鑰對的每個(gè)數(shù)據(jù)塊進(jìn)行加密,然后再將它們傳輸汽車終端??紤]到車輛中有限的資源,后端使用分塊哈希加密作為加密技術(shù)。盡管這種變法可以確保不會受到竊聽、攔截和篡改攻擊,但是無法防止拒絕服務(wù)攻擊。


基于區(qū)塊鏈技術(shù):

2018年,Steger等人在工作中引入了區(qū)塊鏈(BC)的架構(gòu)來解決智能汽車OTA升級的安全和隱私問題。該體系結(jié)構(gòu)的主要實(shí)體有:OEM、服務(wù)中心、汽車、云服務(wù)器和SW主機(jī)。該架構(gòu)中,所有參與的實(shí)體組成一個(gè)集群,一旦出現(xiàn)了新的OTA包,SW主機(jī)上的程序就會觸發(fā)軟件更新過程。首先,SW主機(jī)向云服務(wù)器發(fā)送一個(gè)帶有自己簽名的存儲請求。在驗(yàn)證成功后,云服務(wù)器發(fā)送一個(gè)二次確認(rèn)包,包括自己的簽名和軟件上傳過程中需要的文件描述符發(fā)送到SW主機(jī)中。將新軟件上傳到云服務(wù)器后,SW主機(jī)在區(qū)塊中創(chuàng)建一個(gè)更新事件,其中包含關(guān)于新軟件在云端位置等信息。然后SW主機(jī)中使用私鑰簽署這個(gè)事件,并最終將加密的事件廣播給車輛。接著作者進(jìn)行了本概念的驗(yàn)證測試,結(jié)果表明,該體系架構(gòu)的性能優(yōu)于基于證書的體系架構(gòu)。



對稱密鑰與非對稱密鑰的組合加密算法:

2016Steger等人在IEEE大會提出了一個(gè)名為SecUp的框架,用于對網(wǎng)聯(lián)車進(jìn)行安全高效的OTA軟件更新。其中涉及到:OEM、服務(wù)中心、汽車終端和汽車維修人員。SecUp同時(shí)使用對稱和非對稱密鑰加密來保護(hù)OTA更新過程。汽車維修人員使用NFC智能卡與PIN碼對手持設(shè)備進(jìn)行對稱的身份驗(yàn)證,然后服務(wù)后端返回會話密鑰,利用該會話密鑰配合汽車RSA公鑰將安裝包加密下發(fā)到每個(gè)汽車。接收成功后,汽車在安裝前對軟件用私鑰進(jìn)行驗(yàn)證解密。SecUp的性能是通過對沃爾沃ECU更新實(shí)驗(yàn)測試的。結(jié)果顯示,不同類型軟件的更新持續(xù)時(shí)間介于6.77~ 33.19秒之間。


硬件安全模塊:

2016Petri等人在國際汽車安全大會上提出了一種基于HSM的可信平臺模塊(Trusted Platform Module, TPM)的安全OTA更新機(jī)制。首先,網(wǎng)關(guān)ECU從遠(yuǎn)程服務(wù)器下載更新后的軟件。然后ECU使用TPM中預(yù)定義的散列驗(yàn)證下載的軟件。驗(yàn)證成功后,ECU將更新后的軟件發(fā)送到目標(biāo)ECU進(jìn)行安裝。使用TPM的好處是它支持許多流行的加密算法,例如RSASHA、AES。主要局限性是,每個(gè)ECU都需要一個(gè)HSM/TPM算法加密機(jī),從而導(dǎo)致了額外成本。

根據(jù)ABI市場研究數(shù)據(jù)報(bào)告,2022 年將有 2.03 億輛部汽車能通過 OTA 方式更新軟件,其中至少 2200 萬輛汽車還能通過 OTA 更新固件,未來我們會接受到來自車輛OTA更新帶來的安全問題的挑戰(zhàn)。


OTA有什么弊端

汽車OTA可以類比手機(jī)升級系統(tǒng),不過兩者還是有很大的區(qū)別,尤其是安全方面。手機(jī)在進(jìn)行OTA升級時(shí),如果升級不成功,最壞的的情況就是手機(jī)變“磚頭”,而汽車則不一樣,如果控制轉(zhuǎn)向、制動(dòng)等一些與行駛相關(guān)的部件在升級程序時(shí)出現(xiàn)錯(cuò)誤,就有可能造成極為嚴(yán)重的后果。

作為軟件,就有被攻擊的可能性,而汽車在利用OTA技術(shù)升級的過程中,同樣存在這樣的風(fēng)險(xiǎn)。汽車在下載升級包的過程中,攻擊者可以利用網(wǎng)絡(luò)手段將被修改過的升級包發(fā)送給車輛,進(jìn)而修改系統(tǒng)、甚至遠(yuǎn)程控制車輛。除了被攻擊以外,車輛在下載升級包的時(shí)候,如果出現(xiàn)網(wǎng)絡(luò)不穩(wěn)定等情況,也會導(dǎo)致升級包出現(xiàn)漏洞,進(jìn)而使得車輛升級失敗。所以汽車OTA就需要廠家制定出完善的升級策略,比如終端在升級過程中建立嚴(yán)密的驗(yàn)證機(jī)制,保證升級包不被篡改,同時(shí)對升級條件加以限定,保證車輛能在合適的狀態(tài)下進(jìn)行升級?,F(xiàn)在針對汽車控制器出臺了網(wǎng)絡(luò)安全法規(guī),R155,R156就是國家在出臺政策規(guī)范市場,提高信息安全。

OTA給予了主機(jī)廠控制汽車更多的權(quán)限,也會默默采集上傳了車主很多的隱私,比如車輛位置、形勢軌跡、圖像信息和音頻信息,這在蔚來的隱私政策中都有詳盡的表述,無論車企是基于怎樣的目的,智能化只能是在隱私保全的前提下開展。打個(gè)不恰當(dāng)?shù)谋确?,你買了一棟智能住宅,卻發(fā)現(xiàn)基于安全或莫名的理由,家里有眾多攝像機(jī)和隱藏麥克風(fēng)無時(shí)無刻地收集你的信息,是不是會覺得很不自在甚至毛骨悚然?更進(jìn)一步,如果汽車企業(yè)在服務(wù)器安全層面被黑客攻破,不僅海量的用戶數(shù)據(jù)被泄露,而且未來像《速度與激情》那樣被黑客入侵,海量的汽車被遠(yuǎn)程OTA控制后,可以輕易打開車門、啟動(dòng)汽車,甚至啟用自動(dòng)駕駛模塊來執(zhí)行某些任務(wù)或指令,成為大規(guī)模危險(xiǎn)武器未必沒有可能,這時(shí)的安全又有誰來保障?

其次,主機(jī)廠OTA往往會淪為一種可恥的借口,為了搶先上市,而提前將功能未完善的“半成品”推向市場,讓付款消費(fèi)者來充當(dāng)“小白鼠”或者“風(fēng)險(xiǎn)承擔(dān)者”,而車企則后期借OTA升級來彌補(bǔ)原本測試階段的缺失,反而忽悠消費(fèi)者“這是一輛不斷生長的汽車”。再次,一旦量產(chǎn)車輛出現(xiàn)大規(guī)模質(zhì)量問題或生產(chǎn)缺陷,OTA也容易成為“大規(guī)模召回”的替代詞或遮羞布,廠商通過OTA對行車電腦底層調(diào)試和運(yùn)行邏輯的任意修改,也讓OTA變得更加危險(xiǎn)。

許多品牌為了搶奪“新能源補(bǔ)貼窗口期”從而趕工明顯,在造車環(huán)節(jié)上借助OTA偷了不少“懶”,產(chǎn)品功能不成體系,甚至是預(yù)埋硬件,后期希望通過宣傳OTA來掩蓋當(dāng)前產(chǎn)品尚未完善的現(xiàn)實(shí)。老老實(shí)實(shí)做好設(shè)計(jì)、測試和研發(fā)環(huán)節(jié),旗下產(chǎn)品各方面都打磨成熟了再量產(chǎn)推向市場,一旦出了問題該召回就認(rèn)認(rèn)真真通過召回制度來解決,這才是負(fù)責(zé)人的汽車企業(yè)該有的態(tài)度,而不能急功近利地玩噱頭。相比特斯來以及國內(nèi)新勢力品牌大肆宣傳自家的OTA功能,反觀日企的豐田、本田,一向以只搭載合格、成熟的功能為市場所接受,事故率相比之下很低。

當(dāng)然,不同的企業(yè)策略,也不能說哪家就一定好。

(轉(zhuǎn)載)

標(biāo)簽:OTA 我要反饋 
泰科電子ECK、ECP系列高壓直流接觸器白皮書下載
優(yōu)傲機(jī)器人下載中心
億萬克
專題報(bào)道