一、OTA 的過往

從手機到汽車嘛，大家也都知道個大概。先解釋幾個名詞吧：

• OTA，Over The Air/空中下載，所謂“空中”指的是遠程無線方式，指通過移動通信（GSM或CDMA）的空中接口對 SIM 卡數(shù)據(jù)及應用進行遠程管理，OTA 技術(shù)可以理解為一種遠程無線升級技術(shù)[1]；
• FOTA，F(xiàn)irmware Over The Air/固件空中升級，指通過云端升級技術(shù)，為具有連網(wǎng)功能的設備：例如手機、平板電腦、便攜式媒體播放器、移動互聯(lián)網(wǎng)設備等提供固件升級服務；刷過手機的朋友們應該對“固件版本”印象深刻，手機中的固件升級即可稱為 FOTA；
• SOTA，Software Over The Air/軟件空中升級，偏向于應用軟件升級。

事實上 FOTA 與 SOTA 界限比較模糊，Windows 操作系統(tǒng)升級、手機升級、嵌入式系統(tǒng)、單片機控制程序等都的遠程升級可以籠統(tǒng)地稱為 FOTA；轉(zhuǎn)移到汽車電子這塊，為了方便討論，我們將 HU 中的 APP 更新稱為 SOTA，將其他 ECU 的更新甚至于所有更新統(tǒng)稱為 OTA。

二、由汽車電子電氣架構(gòu)的發(fā)展趨勢看汽車 OTA 的核心價值

事實上，大家看到這里對汽車 OTA 的主要目的可能有了初步的認識？大致上就是上一小節(jié)中餅圖中所展示的 3 點：缺陷修復、新功能推送以及交互界面優(yōu)化。不過在這一小節(jié)中我還是想從汽車電子電氣架構(gòu)發(fā)展趨勢層面將汽車 OTA 說的更透徹些[3]。

先來看下趨勢：

• 軟件定義汽車（Software Defined Vehicles，簡稱SDV）將成為汽車行業(yè)普遍的發(fā)展趨勢，其核心思想是：決定未來汽車的是以人工智能為核心的軟件技術(shù)，而不再是汽車的馬力大小、是否真皮座椅、機械性能好壞[4]；
• 高端汽車控制器節(jié)點 80~100，整車代碼量已經(jīng)突破 1 億行[5]。而汽車行業(yè)80%~90% 的創(chuàng)新基于電子，離不開軟件的支撐，還在不斷發(fā)展[6]；
• 汽車電子的創(chuàng)新水平最終會向IT及傳統(tǒng)消費電子看齊[7]。

再來看下汽車 OTA 的核心價值：

• 潛在問題改善。不斷攀升的代碼量即使按照 CMMI（capability maturity Model integration，能力成熟度集成模型）5 級的最高軟件標準進行控制，代碼缺陷率仍為 0.32‰，潛在問題的規(guī)模不容小覷[4]；OTA 可有效解決軟件故障， 通過應急響應降低開發(fā)周期短帶來的軟件風險問題，以及完成對信息安全漏洞的修復；
• 全新功能導入。通過 FOTA 的功能進行新功能新特性的導入，讓客戶有常用常新的感覺，能夠提升汽車使用的用戶友好度；
• 進行界面優(yōu)化更新，提升人機交互體驗。汽車連接互聯(lián)網(wǎng)，改變了過去銷售是研發(fā)過程結(jié)束的汽車銷售模式，使銷售成為廠商與客戶互動的開始，因此會帶來投訴率高的風險。而是用界面和內(nèi)容的更新可以從一定程度上降低投訴率。

三、汽車OTA的典型架構(gòu)

▲汽車OTA 更新流概覽

上圖展示車輛內(nèi)從主機廠服務器更新程序到指定 ECU 的過程中的主要部件。 首先通過蜂窩網(wǎng)絡建立車輛與服務器之間的安全連接，確保全新的，待更新的固件安全地傳輸?shù)杰囕v的 Telematics Unit，然后再傳輸給 OTA Manager。 OTA Manager 管理車輛所有 ECU 的更新過程。它控制著將固件更新分發(fā)到 ECU，并告知 ECU 何時執(zhí)行更新 - 在多個 ECUs 需要同時更新的情況下尤為重要 - 例如推送一項新功能，而該新功能涉及多個 ECUs。更新過程完成后，OTA Manager 將向服務器發(fā)送確認。

針對 OTA Manager 它可能需要外掛 NAND flash 用來存儲固件包，同樣也可以用來存儲其他車輛 ECUs 的備份，以期在 ECU 升級失敗之后進行調(diào)用。這些備份應該通過加密&認證的方式進行防護避免外部攻擊。

OTA Manager 內(nèi)部有一個表格，包含各個車輛 ECU 的相關信息，譬如 SN 號以及當前的固件版本。這樣便于 OTA Manager 核實接收到的固件升級包并確保是通過授權(quán)的。如果是正在更新的 ECU 不具備加密能力那么 OTA Manager 同樣需要負責更新過程的解碼及驗簽[8]。

從上圖不難看出 OTA Manager 的重要性，也正是基于此，并結(jié)合網(wǎng)關的安全性、隔離性以及天然的多連接屬性，部分主機廠啟動自研網(wǎng)關（集成 OTA Manager 角色），譬如蔚來、FF。

四、汽車 OTA 的挑戰(zhàn)

盡管汽車 OTA 使用的技術(shù)，包括 Telematics 以及通信技術(shù)都已成熟，汽車 OTA 卻并沒有想象中的普及？主要有兩個大的挑戰(zhàn)[5]：一個是安全的考量；將車輛的嵌入式系統(tǒng)重編程的接口開放，使其更容易受到黑客攻擊。...是的，我又要說起特斯拉了...還有科恩實驗室。

騰訊科恩實驗室（Keen Security Lab of Tencent）連續(xù)兩年，分別在 2016 年 9 月、2017 年 7 月實現(xiàn)了針對特斯拉 Model X 系統(tǒng)的破解，而從科恩實驗室 2017 年的報道中我們發(fā)現(xiàn)特斯拉在 2016 年加入了“代碼簽名”安全機制，并對所有 FOTA 升級固件進行強制完整性校驗[9] - 而這兩個舉措放在現(xiàn)在則是安全機制的標配了，可以說后發(fā)者站在前人的肩膀上。

也正是因為特斯拉趟過的坑能夠讓后來者一上來就重視安全的方案設計。

針對汽車 OTA 的安全性，主要可以從以下兩個方面做一個簡要分析：

• 信息安全；主要是通信加密、軟件包驗簽、更新隔離以及安全芯片等；
• 功能安全；主要包括 OTA Manager 的啟動條件判斷（車輛狀態(tài)等）、ECU 升級的預編程條件判斷、整車模式配合以及升級方案考量（A/B 法等）；
• BTW，針對 2017 年的漏洞，特斯拉在兩周之內(nèi)修補了這些漏洞[10]。

二個是汽車產(chǎn)品線中的大量變體和配置使得難以為典型 EEA（Electronic and Electrical Architecture，電子電氣架構(gòu)）內(nèi)的所有現(xiàn)有組合提供安全且一致的更新。包括不同地區(qū)、跨版本之間的兼容性等。

其他的還有諸如 roll back 機制、推送/升級的策略等，前期設計是一方面，實際運營過程中積累的 know how 更是至關重要。

汽車 OTA 不是什么洪水猛獸，也不是什么陽春白雪；它就是它，能夠為消費者、主機廠帶來共同收益的一項服務；是新趨勢，也是新挑戰(zhàn)，希望能夠在看得到-看得起-看得懂-追得上的過程中享受其價值。