昨天，國家市場監(jiān)督管理總局發(fā)布特斯拉召回公告，一下子掀起了互聯(lián)網(wǎng)熱議，這次召回的范圍是在2019年1月12日至2023年4月24日期間國內(nèi)銷售特斯拉汽車（含國產(chǎn)和進(jìn)口共計(jì)110萬輛車），在這個(gè)召回公告中有兩點(diǎn)值得關(guān)注，

一、召回原因描述為“沒有允許駕駛員選擇能量回收制動(dòng)策略；同時(shí)，對駕駛員長時(shí)間深度踩下加速踏板的情況可能沒有提供足夠提醒。以上因素疊加可能增加長時(shí)間誤踩加速踏板的概率，可能增加碰撞的風(fēng)險(xiǎn)，存在安全隱患。這是官方認(rèn)定特斯拉當(dāng)前強(qiáng)制單踏板模式的設(shè)計(jì)存在安全隱患。

二、召回方式是特斯拉通過汽車遠(yuǎn)程升級（OTA）技術(shù)，為召回范圍內(nèi)的車輛推送新開發(fā)的功能，以降低因長時(shí)間深踩加速踏板導(dǎo)致速度過快引起的碰撞風(fēng)險(xiǎn)。

近幾年來，特斯拉突然加速事故屢屢上新聞，許多專業(yè)人士都提出了單踏板模式存在風(fēng)險(xiǎn)，特斯拉給出的解釋總是數(shù)據(jù)顯示車主踩下油門，這次召回算是對這個(gè)問題有了蓋棺定論了。下面cao sir著重講一下通過OTA召回的方式。

許多人對召回的直觀印象都是進(jìn)店維修，但實(shí)際上，根據(jù)《缺陷汽車產(chǎn)品召回管理規(guī)定》，汽車召回是指按照《規(guī)定》要求的程序，有缺陷汽車產(chǎn)品制造商選擇修理、更換、收回等方式消除其產(chǎn)品可能引起人身傷害、財(cái)產(chǎn)損失的缺陷的過程。 因此，一旦發(fā)現(xiàn)產(chǎn)品需要召回，廠家可以根據(jù)缺陷的具體情況制訂消除缺陷的技術(shù)方案，傳統(tǒng)情況下通過進(jìn)店修理或換件，但特斯拉通過OTA的方式進(jìn)行缺陷修復(fù)也是符合規(guī)定的。根據(jù)國家市場監(jiān)督管理總局3月2日發(fā)布的《市場監(jiān)管總局關(guān)于2022年全國汽車和消費(fèi)品召回情況的通告》中介紹，在2022年實(shí)施實(shí)施 OTA召回17次， 涉及車輛88.7萬輛， 占全年召回總數(shù)量的19.8%。

1.什么是OTA？

OTA：空中升級（ON THE AIR）是通過無線通訊網(wǎng)絡(luò)（WIFI/5G/4G），實(shí)現(xiàn)對汽車控制器的軟件進(jìn)行更新的技術(shù)。具體來說，OTA升級可以分為三個(gè)階段，即組織更新包，推送更新包，安裝更新包，整個(gè)階段通過網(wǎng)絡(luò)通信連接，最終實(shí)現(xiàn)終端內(nèi)存儲數(shù)據(jù)的更新，進(jìn)而改善終端的功能和服務(wù)。

一般來說，OTA 分為三類，一種是 FOTA（Firmware-over-the-air，固件在線升級），指的是給一個(gè)車輛設(shè)備、ECU 閃存下載完整的固件鏡像，或者修補(bǔ)現(xiàn)有固件、更新閃存。第二種是SOTA（Software-over-the-air，軟件在線升級），指的是對操作系統(tǒng)、地圖，應(yīng)用程序進(jìn)行更新升級。第三類是COTA（Configuration-over-the-air），付費(fèi)購買服務(wù)后，通過OTA方式打開車輛上某項(xiàng)功能權(quán)限。

隨著汽車智能化發(fā)展，電子電氣架構(gòu)從分布式進(jìn)入域集中式，技術(shù)架構(gòu)上更加適合OTA功能落地，越來越多的車企在自己的產(chǎn)品上支持OTA功能。數(shù)據(jù)顯示，僅2022年1-6月，共有33家車企推送了總計(jì)92次OTA，內(nèi)容方面以智能座艙相關(guān)功能的優(yōu)化、升級為主，智能輔助駕駛是新勢力品牌重點(diǎn)升級方向。

2.OTA如何實(shí)現(xiàn)？

以汽車嵌入式控制器為例，其軟件軟件代碼分為兩大類，一部分是操作系統(tǒng)、用戶數(shù)據(jù)、標(biāo)定數(shù)據(jù)等代碼，統(tǒng)稱為應(yīng)用程序（APP），另一部分則是運(yùn)行引導(dǎo)程序（Bootloader）。

Bootloader是一段獨(dú)立的代碼（這段Boot代碼一般是出廠預(yù)置，或使用編程器燒錄的，通常只有1k或4k，通常是占用一塊獨(dú)立的Block，當(dāng)系統(tǒng)上電之后，Bootloader可以進(jìn)行：關(guān)閉WATCHDOG、改變系統(tǒng)時(shí)鐘、初始化存儲控制器、將更多的代碼復(fù)制到內(nèi)存中等一系列初始化動(dòng)作，然后再將操作系統(tǒng)內(nèi)核制到內(nèi)存中運(yùn)行。簡單地說，Bootloader就是這么一小段程序，它在系統(tǒng)上電時(shí)開始執(zhí)行，初始化硬件設(shè)備、準(zhǔn)備好軟件環(huán)境，最后調(diào)用操作系統(tǒng)內(nèi)核進(jìn)入工作。與之對應(yīng)的是PC中的BIOS。

由于Bootloader保存在Flash的首地址，MCU上電后，默認(rèn)從Flash開始的第一個(gè)讀取棧指針，第二個(gè)字就是復(fù)位中斷的入口，并根據(jù)該指針進(jìn)度復(fù)位處理函數(shù)中執(zhí)行相應(yīng)的函數(shù)，由于中斷向量表1尋找復(fù)位中斷處理函數(shù)指向Bootloader，所以必然首先進(jìn)入Bootloader程序中中執(zhí)行，進(jìn)行初始化設(shè)置，然后再進(jìn)入下一個(gè)中斷向量表2中執(zhí)行APP程序的復(fù)位中斷處理函數(shù)。

Bootloader和APP應(yīng)用程序在嵌入式存儲器中的位置如下：

由于我們所有的操作系統(tǒng)和用戶數(shù)據(jù)都放在APP程序中，通過更改這部分?jǐn)?shù)據(jù)可以優(yōu)化控制器的使用體驗(yàn)，所以許多汽車廠家所謂對MCU進(jìn)行固件更新（FOTA）實(shí)際上就是對MCU內(nèi)存中的APP存儲區(qū)域進(jìn)行刷寫。刷寫有兩種方式，一種是先擦除當(dāng)前版本軟件，再刷寫新版本軟件，但這種方法有個(gè)隱患，就是新軟件有問題時(shí)，由于舊軟件已經(jīng)被擦除，沒有備份，恢復(fù)會(huì)很麻煩；另一種方式A/B交換，內(nèi)存中會(huì)分兩塊區(qū)域，一塊存放當(dāng)前版本軟件，另一塊存放舊版本軟件。當(dāng)OTA升級新版本軟件時(shí)，新版本軟件將代替舊版本軟件，這時(shí)，一塊放的是當(dāng)前版本軟件，另一塊放的是新版本軟件。再激活運(yùn)行新版本軟件，此時(shí)原先的當(dāng)前版本就變?yōu)榕f版本軟件，作為備份，以防運(yùn)行的新版本軟件有問題，可以及時(shí)回滾恢復(fù)。刷寫完成以后，重新啟動(dòng)，控制器運(yùn)行新的軟件。

由于OTA可以對控制器軟件進(jìn)行擦寫，為了確保軟件的完整性，可信性，許多車企在OTA系統(tǒng)中開發(fā)了安全服務(wù)平臺。

此外為了，節(jié)省OTA下載時(shí)流量費(fèi)用，許多車企開發(fā)了差分升級的技術(shù)，即利用算法，做出原版軟件和新版軟件差分包，將差分包下載到flash中，內(nèi)部的BootLoader程序再利用算法將新版軟件還原，一般差分包只有原包的5%左右。

3.OTA運(yùn)營流程

前面簡單介紹了OTA技術(shù)的實(shí)現(xiàn)原理，但落到具體實(shí)施層面如何組織一場OTA活動(dòng)，就是OTA運(yùn)營的范疇了。下面是一種許多車企通用的OTA運(yùn)營流程圖，可以大致分為OTA研發(fā)測試階段、OTA實(shí)施階段、OTA后響應(yīng)階段、OTA后評估階段四個(gè)階段。

3.1 OTA研發(fā)測試階段

該階段主要包括需求管理、功能開發(fā)，驗(yàn)收測試、基線發(fā)布四個(gè)小階段。

需求管理主要是進(jìn)行需求發(fā)起，需求評審，驗(yàn)收測試主要與功能開發(fā)測試不同，它主要是在OTA端到端全鏈路環(huán)境中驗(yàn)證功能的成熟度，售后部門亦需驗(yàn)證線下診斷儀的刷寫能力，不僅作為基線發(fā)布的必要條件，更為FOTA小概率失敗的援救行動(dòng)提供工具支持。基線測試完成發(fā)布時(shí)，OTA運(yùn)營需要編寫本次發(fā)布的ReleaseNote H5頁面，文案需要突出本次版本的新功能和亮點(diǎn)。軟件內(nèi)容和release note都要提交監(jiān)管部門進(jìn)行備案。

3.2 OTA實(shí)施階段

該階段主要包括監(jiān)管備案，智行團(tuán)發(fā)布，灰度發(fā)布，批量發(fā)布等動(dòng)作。

在整車功能和FOTA測試通過，且備案完成后，OTA任務(wù)可以正式發(fā)布了。然而，相對于工程車較為簡單的環(huán)境，F(xiàn)OTA在實(shí)車的復(fù)雜情況和狀態(tài)下的健壯度仍需進(jìn)一步觀察和驗(yàn)證。此時(shí)，會(huì)邀請升級活躍度高、抱怨概率低的員工車或者忠實(shí)用戶可作為“智行團(tuán)”率先執(zhí)行升級操作，一般可放在公司園區(qū)執(zhí)行，一旦出現(xiàn)了升級異常，救援方便，更容易截取日志分析原因。

“智行團(tuán)“用戶測試完成后，進(jìn)行意見反饋收集，組織相關(guān)產(chǎn)品和研發(fā)團(tuán)隊(duì)進(jìn)行問題整改和修復(fù)。灰度發(fā)布是通過小范圍、分批次的發(fā)布方式，觀察升級版本的穩(wěn)定性，決策是否將任務(wù)全量發(fā)布至所有車輛，從而有效規(guī)避發(fā)布風(fēng)險(xiǎn)和降低版本發(fā)布升級的影響范圍。

灰度發(fā)布需要運(yùn)營在后臺對灰度車輛進(jìn)行監(jiān)控、運(yùn)維、遠(yuǎn)程協(xié)助；相較于內(nèi)部用戶測試，灰度任務(wù)還需新增售后話術(shù)和售后救援資源。灰度發(fā)布的任務(wù)數(shù)據(jù)形成灰度發(fā)布報(bào)告，作為正式任務(wù)批量發(fā)布的決策依據(jù)。

在灰度發(fā)布的同時(shí)，可在手機(jī)APP、微博、抖音等渠道進(jìn)行FOTA新版本的宣傳，讓用戶知曉本次升級任務(wù)，通過炫酷的圖文和視頻介紹新功能，引起用戶對于升級的強(qiáng)烈興趣。

3.3 OTA后響應(yīng)階段

在批量發(fā)布實(shí)施日期到達(dá)后，在FOTA平臺觸發(fā)任務(wù)生效。一線客服集中協(xié)助用戶安裝指導(dǎo)和小概率失敗后的操作，售后服務(wù)團(tuán)隊(duì)提前準(zhǔn)備包括但不限于線下刷寫工具、拖車、代步車、升級失敗備用件的救援資源，同時(shí)研發(fā)團(tuán)隊(duì)也需快速響應(yīng)問題，識別出問題責(zé)任方并排期修復(fù)，對于嚴(yán)重失敗需和售后共同參與現(xiàn)場救援。

3.4 OTA后評估階段

在任務(wù)結(jié)束后，收集本次OTA活動(dòng)過程中的數(shù)據(jù)，形成正式任務(wù)報(bào)告，對升級完成率和成功率進(jìn)行復(fù)盤。分析偶發(fā)的失敗case，尋找相應(yīng)對策，進(jìn)行優(yōu)化改進(jìn)Lesson&Learn。售后問題和功能缺陷錄入JIRA等管理工具，解決的實(shí)施方案合并入下一次基線發(fā)布中。

4.OTA監(jiān)管備案

書接上回，在OTA運(yùn)營流程中，有一個(gè)非常重要的環(huán)節(jié)就是監(jiān)管備案，這是為保障軟件升級后車輛功能及信息安全符合法律法規(guī)的要求以及車輛用戶的生命財(cái)產(chǎn)安全而通用的國際監(jiān)管規(guī)則。

4.1 歐盟UNECE R156

2020年6月，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（簡稱為UN/WP.29）發(fā)布了3項(xiàng)關(guān)于智能網(wǎng)聯(lián)汽車的重要法規(guī)R155/R156/R157，即信息安全（Cybersecurity）/軟件升級（Software updates）/自動(dòng)車道保持系統(tǒng)（ALKS）。其中UNECE R156主要是關(guān)于SUMS（software update management system）以及相應(yīng)的VTA（Vehicle type approval）說明。SUMS主要內(nèi)容有：建立SUMS體系、RXSWIN管理、確保軟件升級流程的安全、描述軟件升級前后型式認(rèn)證相關(guān)的硬件和軟件；VTA主要內(nèi)容有：信息安全、軟件識別碼、升級前、升級中、升級后。SUMS是VTA的一個(gè)前提條件，即車企在獲得SUMS之前不允許進(jìn)行VTA測試，VTA相關(guān)的車型能測試也會(huì)對相應(yīng)的一些信息安全或軟件識別碼進(jìn)行相應(yīng)的測試和管理。

4.2 國內(nèi)監(jiān)管法規(guī)

針對OTA監(jiān)管，我國從市場準(zhǔn)入、產(chǎn)品生產(chǎn)一致性、數(shù)據(jù)、個(gè)人信息與網(wǎng)絡(luò)安全、召回管理等多方面制定監(jiān)管制度，已初步形成一套管理體系。

4.2.1市場準(zhǔn)入和產(chǎn)品生產(chǎn)一致性方面

2021年7月30日工業(yè)和信息化部發(fā)布《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》規(guī)定，企業(yè)生產(chǎn)具有OTA功能的汽車產(chǎn)品，應(yīng)當(dāng)建立與汽車產(chǎn)品及升級活動(dòng)相適應(yīng)的管理能力，具有在線升級安全影響評估、測試驗(yàn)證、實(shí)施過程保障、信息記錄等能力，確保車輛進(jìn)行在線升級時(shí)處于安全狀態(tài)，并向車輛用戶告知在線升級的目的、內(nèi)容、所需時(shí)長、注意事項(xiàng)、升級結(jié)果等信息。

同時(shí)規(guī)定企業(yè)實(shí)施在線升級活動(dòng)前，應(yīng)當(dāng)確保汽車產(chǎn)品符合國家法律法規(guī)、技術(shù)標(biāo)準(zhǔn)及技術(shù)規(guī)范等相關(guān)要求并向工業(yè)和信息化部備案，涉及安全、節(jié)能、環(huán)保、防盜等技術(shù)參數(shù)變更的應(yīng)提前向工業(yè)和信息化部申報(bào)，保證汽車產(chǎn)品生產(chǎn)一致性。未經(jīng)審批，不得通過在線等軟件升級方式新增或更新汽車自動(dòng)駕駛功能。

4.2.2 數(shù)據(jù)、個(gè)人信息與網(wǎng)絡(luò)安全方面

首先，車企對汽車進(jìn)行OTA行為應(yīng)當(dāng)遵守《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》的相關(guān)規(guī)定。

工業(yè)和信息部也另行發(fā)布了具體工作要求及規(guī)定。2021年6月8日發(fā)布《關(guān)于開展車聯(lián)網(wǎng)身份認(rèn)證和安全信任試點(diǎn)工作的通知》，國家將加快推進(jìn)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障能力建設(shè)，構(gòu)建車聯(lián)網(wǎng)身份認(rèn)證和安全信任體系，推動(dòng)商用密碼應(yīng)用，保障蜂窩車聯(lián)網(wǎng)（C-V2X）通信安全，已經(jīng)開展車聯(lián)網(wǎng)身份認(rèn)證和安全信任試點(diǎn)工作。2021年9月13日發(fā)布《關(guān)于開展汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全等自查工作的通知》，對生產(chǎn)者組織開展汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全、軟件OTA升級和駕駛輔助功能情況自查工作。2021年9月15日發(fā)布《關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》，其中關(guān)于OTA規(guī)定，要求生產(chǎn)者要加強(qiáng)在線升級服務(wù)（OTA）安全和漏洞檢測評估，建立在線升級服務(wù)軟件包安全驗(yàn)證機(jī)制，采用安全可信的軟件；開展在線升級軟件包網(wǎng)絡(luò)安全檢測，及時(shí)發(fā)現(xiàn)產(chǎn)品安全漏洞；加強(qiáng)在線升級服務(wù)安全校驗(yàn)?zāi)芰Γ扇∩矸菡J(rèn)證、加密傳輸?shù)燃夹g(shù)措施，保障傳輸環(huán)境和執(zhí)行環(huán)境的網(wǎng)絡(luò)安全；加強(qiáng)在線升級服務(wù)全過程的網(wǎng)絡(luò)安全監(jiān)測和應(yīng)急響應(yīng)，定期評估網(wǎng)絡(luò)安全狀況，防范軟件被偽造、篡改、損毀、泄露和病毒感染等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

4.2.3 召回管理方面

國家市場監(jiān)督管理總局于2020年11月23日發(fā)布《關(guān)于進(jìn)一步加強(qiáng)汽車遠(yuǎn)程升級（OTA）技術(shù)召回監(jiān)管的通知》規(guī)定，生產(chǎn)者采用OTA方式對已售車輛開展技術(shù)服務(wù)活動(dòng)的，應(yīng)按照《缺陷汽車產(chǎn)品召回管理?xiàng)l例》及《缺陷汽車產(chǎn)品召回管理?xiàng)l例實(shí)施辦法》要求，向市場監(jiān)管總局質(zhì)量發(fā)展局備案。生產(chǎn)者采用OTA方式消除汽車產(chǎn)品缺陷、實(shí)施召回的，應(yīng)按照上述召回條例及召回實(shí)施辦法要求，制定召回計(jì)劃，向市場監(jiān)管總局質(zhì)量發(fā)展局備案，依法履行召回主體責(zé)任。如OTA方式未能有效消除缺陷或造成新的缺陷，生產(chǎn)者應(yīng)當(dāng)再次采取召回措施。2021年6月4日發(fā)布《關(guān)于汽車遠(yuǎn)程升級（OTA）技術(shù)召回備案的補(bǔ)充通知》規(guī)定，生產(chǎn)者備案采用OTA方式的技術(shù)服務(wù)活動(dòng)或召回時(shí)，需提交《汽車遠(yuǎn)程升級（OTA）安全技術(shù)評估信息表》。

工業(yè)和信息化部于2022年4月發(fā)布《關(guān)于開展汽車軟件在線升級備案的通知》，明確了備案要求和備案工作流程。通知規(guī)定，涉及產(chǎn)品安全、環(huán)保、節(jié)能、防盜等技術(shù)性能變化的相關(guān)升級活動(dòng)，應(yīng)提交驗(yàn)證材料。涉及《公告》技術(shù)參數(shù)變更的，應(yīng)在備案前向工業(yè)和信息化部申請產(chǎn)品變更或擴(kuò)展，按流程完成《公告》產(chǎn)品準(zhǔn)入后才能開展升級，保障汽車產(chǎn)品生產(chǎn)一致性。涉及汽車自動(dòng)駕駛功能（L3級及以上）的相關(guān)升級活動(dòng)，同樣應(yīng)經(jīng)工信部批準(zhǔn)。在各項(xiàng)功能前期審核完成后，車企可通過 “汽車軟件在線升級備案系統(tǒng)”線上發(fā)起備案流程。

綜上，特斯拉需要在實(shí)施OTA召回前5個(gè)工作日內(nèi)提交汽車遠(yuǎn)程升級（OTA）安全技術(shù)評估信息表和電子版升級包。

隨著汽車“新四化“的發(fā)展，OTA作為智能網(wǎng)聯(lián)汽車不斷升級迭代的重要技術(shù)管道，已經(jīng)日益成為貫穿研發(fā)、生產(chǎn)、售后的重要環(huán)節(jié)。OTA功能可以作為生產(chǎn)制造的延續(xù)使智能化汽車不斷更新功能和性能，但同時(shí)也帶來了數(shù)據(jù)安全、網(wǎng)絡(luò)安全、個(gè)人信息等多個(gè)方面的問題。如何將OTA這頭神獸關(guān)進(jìn)籠子里并發(fā)揮最大化效能為用戶和車企創(chuàng)造更多的價(jià)值，是企業(yè)和政府共同面對的課題。

總之一句話，對OTA技術(shù)我們既要用好，也要管好！

審核編輯 ：李倩