2012年，特斯拉發布的Model S，也正是它，將OTA技術帶入到汽車行業，每年都會通過OTA來修復問題或者新增功能(圖1是特斯拉歷年的OTA次數統計)。

圖1 特斯拉歷年的OTA次數

而今距離那年已經過去了10年，OTA已經被汽車行業廣泛認可和接受，并且各主機廠也陸陸續續在部署。

首先來簡單聊聊，為啥OTA在汽車行業被越來越接受呢？估計大家偶爾會聽到特斯拉召回事件，比如今年4月27號特斯拉因為功率半導體存在微小的制造差異，可能會導致后逆變器發生故障，造成逆變器不能正常控制電流，召回部分車型，而仔細一看，是遠程OTA更新電機控制器軟件。

圖2 特斯拉召回OTA修復通知

從中可以看出，遠程OTA可以幫助主機廠為用戶遠程修復軟件問題，大幅度縮短中間步驟的時間，以前還要回4S店更新軟件，現在只需用戶在中控上點擊軟件升級即可，大大減少了主機廠的召回成本和用戶的時間成本，其次OTA還可以為車輛增加新功能，增加用戶的新鮮感，比如更新卡拉、影院模式等；最后以前買車對主機廠而言就是一錘子買賣，而OTA的加持，可以拓寬主機廠的“服務”和“運營”的范疇，增加車輛的附加價值，比如自動駕駛付費軟件包，功能訂閱等等。

OTA類別

從更新的范圍來看，OTA分為SOTA(software-OTA)和FOTA(firmware-OTA)。

SOTA通俗點說是應用程序升級，是一種小范圍的應用軟件更新，比如你在手機上更新個抖音，這種就是SOTA。SOTA通常應用在座艙控制器，以及后續電子電氣架構升級后的中央計算單元以及大型域控制器等。比如座艙控制器中的地圖更新、主題壁紙更新、儀表盤風格更新等，特斯拉2019年10月的V10車機更新中影院模式、卡拉OK、地圖功能升級、茶杯頭游戲，這些就是SOTA。

由于SOTA的升級范圍比較小，對控制器的影響也比較小，因此升級的前置條件也比較寬松，比如在主機廠的控制器的UDS升級規范中，通常要求在升級前檢查蓄電池電壓是否合適、車輛檔位、車速、高壓等，對于SOTA來說，可能檔位、車速、高壓都不用看了，車邊開邊升級。

FOTA是固件升級，需要將控制器的整個軟件重新刷一遍，來達到系統功能完整的升級更新或者是bug的修復，這里就類似于以前Android手機的刷機，電腦的重裝系統。目前像整車控制器、DCDC、電機控制器、BMS的升級都是FOTA，比如電機控制器的IGBT的過流故障的保護策略有漏洞，需要更新軟件；2020年4月特斯拉為Model S和Model X Peformance的升級，將百公里加速縮短至2.3s，車輛熱性能提升3倍，升級彈射模式，這些就是FOTA。

由于FOTA升級會影響整個控制器的功能，因此升級前置條件會很嚴苛，正如前面說，升級前需要檢查蓄電池電壓是否合適、車輛檔位、車速、高壓、點火信號等。

目前基本大多數車企都已實現OTA(不管是SOTA還是FOTA)，不過大部分是實現重要控制器的OTA功能，比如自動駕駛控制器，中控、電池管理、電機控制等。各車企的實現情況如圖3所示。

圖3當前各主機廠的OTA能力(來源頭豹)

車輛OTA系統組成

為了實現車輛上控制器的OTA，主機廠必須搭建整個OTA系統，其簡要架構如圖4所示。整個系統由OTA云端服務器，OTA終端，一般為T-Box，OTA對象——車載控制器組成。

圖4 OTA系統的構成

OTA云端服務器

OTA云端服務器包含主機廠支持OTA升級的控制器全部的完整的升級包。OTA云端的設計要求是獨立的平臺，支持多車型、多型號規格、多種類型ECU軟件的升級。OTA云端的框架結構主要包括五部分：OTA管理平臺、OTA升級服務、任務調度、文件服務、任務管理，如圖5所示。在安全性方面，支持多種安全加密和解密算法，例如常用的對稱加密算法DES、AES等和非對稱加密算法RSA、DSA。

圖5OTA云端服務器架構

OTA終端

OTA終端主要包含OTA引擎和OTA適配器，其中OTA引擎是一個連接OTA終端與OTA云端的橋梁，實現云端同終端的安全通信，包括升級包下載、升級包解密、差分包重構等功能。OTA適配器是為兼容不同的軟件或設備的不同更新邏輯或流程，根據統一的接口要求封裝的不同實現。升級適配器由需要OTA升級的各個ECU軟件實現提供。

OTA對象

OTA對象就是車上能支持OTA的控制器，主要包括座艙控制器、ADAS控制器，以及車內嵌入式控制器。為了支持OTA功能，控制器必須具有軟件備份功能，也就是A/B分區，簡單的來說，控制器會存兩份軟件，一份為當前最新，另一份為上一次的。當更新異?；蛘吒率『?，可以用回上一版的軟件。保證控制器不會刷死。

圖6控制器A/B分區(來源十一號組織)

OTA流程

在車輛出廠之前，主機廠通常需要將車型和車輛信息錄入到OTA云端的信息管理系統中。然后當車出售給用戶后，車輛OTA終端首先要在OTA云端進行注冊激活。OTA終端上傳自身 SN 及車輛 VIN 向OTA云端服務端申請證書， VIN 及 SN 驗證合法后（SN 是否在已激活列表中），后臺將下發證書，修改車輛狀態為已激活。這樣終端與云端的通信鏈路已經建立。

當市場用戶反饋或者是主機廠內部測試控制器軟件存在Bug時，各個控制器的供應商修復問題，然后后向主機廠提供軟件升級包，在主機廠內部走完測試、驗證和簽字發布流程后，進入到OTA云端服務器的待升級軟件列表。

然后由OTA的管理人員創建OTA升級對象，升級計劃以及升級內容，并下發通知到對應的用戶車輛。

用戶根據中控屏幕的提示，在合適的時候確認升級，OTA終端開始從云端將軟件包下載下來。這里有兩種情況，如果本地沒有當前版本軟件包的備份，則申請下載當前版本的全量包，如果有，則下載當前軟件包的差分包。 差分包的原理是通過差分算法，常用的為Xdelta 算法、 Vcdiff 算法、 Bsdiff 算法 ，在OTA云端對比新軟件包與舊軟件包的差別，然后生成一個差分包，將差分包下載到OTA終端后，再將其與本地存的舊文件進行對比，還原新軟件包。

圖7 差分原理

當OTA終端完成新軟件包的下載，以及校驗和驗簽后，在滿足對應ECU的刷寫條件的時候，比如上面提到的車輛的狀態：蓄電池電壓、車速、高壓狀態，以及OTA終端當前的狀態(如圖8所示)，都符合條件后對ECU進行軟件更新。

這里還有一種就是預約升級場景，比如預約晚上10點進行升級。這種情況下T-Box需要具備定時喚醒功能，在預約的時間T-Box被喚醒，然后喚醒BCM給整車上電，同時升級過程中 BCM 還需禁止車內大功率用電負荷（空調、前照燈等）工作，避免蓄電池電量消耗過多。在判斷車輛的條件滿足后，啟動升級流程對控制器進行升級。

圖8OTA終端升級任務管理(來源知網)

在升級過程中，OTA終端要把ECU升級進度及時上傳給OTA管理服務器 ，升級完成后匯報升級成功結果。

整個OTA升級的流程如圖9所示。

圖9OTA發布升級流程(來源知網)

OTA系統的安全機制

整個OTA系統的安全需要從OTA云端到OTA終端以及OTA對象的整個鏈路進行全方位的防護。從軟件上傳到OTA云端、OTA云端到OTA終端以及車輛內部升級過程的各個環節，都采用適宜的加密機制來提升整個升級過程的安全性，包括OTA云端的權限限制、證書驗證、簽名驗證和權限驗證。

在軟件包下載前，OTA云端和終端首先使用 PKI/CA 認證系統進行雙向身份驗證。驗證通過后，云端和車輛端會建立基于 TLS 安全協議的安全通信通道，該通道保證云端與車輛端之間信息傳輸的安全性。在車輛內部， T-Box、IVI車機和網關之間的交互信息采用私有協議密文傳輸，升級固件的加解密通過在 T-Box、 IVI 和網關內部集成的硬件安全模塊進行，同時硬件安全模塊還能保存加密秘鑰，防止軟件包被篡改。

從OTA云端與OTA終端之間的安全方案如下圖所示。

圖10 OTA云端與OTA終端之間的安全策略(來源知網)

當OTA終端對新軟件包完成安全校驗后，開始對特性控制器進行軟件更新，這里的安全策略通常是采用對軟件包二進制文件的CRC校驗，診斷的0x27或者SFD進行權限校驗來保證。這些驗證后，開始通過UDS協議將新軟件下載到控制器中。

軟件OTA升級法規

在汽車行業剛引入OTA之時，由于沒有法規監管，以及統一的標準，各主機廠按照自己的理解開展OTA推送，或者有些主機廠為了趕上市，搶市場，先發布產品，后續慢慢OTA完善軟件。

為了使OTA技術在汽車行業良性地發展，相關的法規以及行業指南也慢慢在完善。

2020年11月25日國家市場監督管理總局出臺了《關于進一步加強汽車遠程升級（OTA）技術召回監管的通知》，目的是通過有效的手段和方法辨識召回與升級的差別。以避免OEM通過OTA方式消除缺陷，掩蓋召回事實的行為。

主機廠在采用OTA方式對已售車輛開展技術服務活動的，應按照根據《缺陷汽車產品召回管理條例》及《缺陷汽車產品召回管理條例實施辦法》要求，向市場監管總局質量發展局備案。如發現生產者存在未按規定備案有關信息或召回計劃、不配合缺陷調查、隱瞞缺陷或未按照已備案的召回計劃實施召回等違法行為的，將嚴格依法處理。

2021年4月，工業和信息化部裝備工業一司組織編制了《智能網聯汽車生產企業及產品準入管理指南》，該指南是它涉及功能安全、信息安全、軟件升級、數據記錄、仿真/實車測試等方面。而在軟件升級上又主要包括對管理制度、標準規范、升級影響、測試和驗證、適配性、可追溯性、告知義務和安全性等內容寫明了相應規范，整體的規范如圖11所示。

圖11指南中軟件升級的規范(來源網絡)

2022年4月15日，工業和信息化部裝備工業發展中心發布了《關于開展汽車軟件在線升級備案的通知》，主要從備案范圍、備案要求、備案工作流程、實施安排和企業責任五個方面來規范主機廠OTA升級，比如明確備案范圍：OTA升級應進行備案，并且申請主體應是汽車整車生產企業。

參考文獻

1、智能網聯汽車整車OTA功能設計研究

2、智能網聯汽車 FOTA 系統安全機制的研究與實現

3、整車OTＡ系統中的車身動力域ECU升級與軟件匹配

4、自動駕駛汽車的軟件升級技術管理與監管策略分析，焉知智能汽車

汽車ECU開發