昨天，國家市場監督管理總局發布特斯拉召回公告，一下子掀起了互聯網熱議，這次召回的范圍是在2019年1月12日至2023年4月24日期間國內銷售特斯拉汽車（含國產和進口共計110萬輛車），在這個召回公告中有兩點值得關注，

一、召回原因描述為“沒有允許駕駛員選擇能量回收制動策略；同時，對駕駛員長時間深度踩下加速踏板的情況可能沒有提供足夠提醒。以上因素疊加可能增加長時間誤踩加速踏板的概率，可能增加碰撞的風險，存在安全隱患。這是官方認定特斯拉當前強制單踏板模式的設計存在安全隱患。

二、召回方式是特斯拉通過汽車遠程升級（OTA）技術，為召回范圍內的車輛推送新開發的功能，以降低因長時間深踩加速踏板導致速度過快引起的碰撞風險。

近幾年來，特斯拉突然加速事故屢屢上新聞，許多專業人士都提出了單踏板模式存在風險，特斯拉給出的解釋總是數據顯示車主踩下油門，這次召回算是對這個問題有了蓋棺定論了。下面cao sir著重講一下通過OTA召回的方式。

許多人對召回的直觀印象都是進店維修，但實際上，根據《缺陷汽車產品召回管理規定》，汽車召回是指按照《規定》要求的程序，有缺陷汽車產品制造商選擇修理、更換、收回等方式消除其產品可能引起人身傷害、財產損失的缺陷的過程。 因此，一旦發現產品需要召回，廠家可以根據缺陷的具體情況制訂消除缺陷的技術方案，傳統情況下通過進店修理或換件，但特斯拉通過OTA的方式進行缺陷修復也是符合規定的。根據國家市場監督管理總局3月2日發布的《市場監管總局關于2022年全國汽車和消費品召回情況的通告》中介紹，在2022年實施實施 OTA召回17次， 涉及車輛88.7萬輛， 占全年召回總數量的19.8%。

1.什么是OTA？

OTA：空中升級（ON THE AIR）是通過無線通訊網絡（WIFI/5G/4G），實現對汽車控制器的軟件進行更新的技術。具體來說，OTA升級可以分為三個階段，即組織更新包，推送更新包，安裝更新包，整個階段通過網絡通信連接，最終實現終端內存儲數據的更新，進而改善終端的功能和服務。

一般來說，OTA 分為三類，一種是 FOTA（Firmware-over-the-air，固件在線升級），指的是給一個車輛設備、ECU 閃存下載完整的固件鏡像，或者修補現有固件、更新閃存。第二種是SOTA（Software-over-the-air，軟件在線升級），指的是對操作系統、地圖，應用程序進行更新升級。第三類是COTA（Configuration-over-the-air），付費購買服務后，通過OTA方式打開車輛上某項功能權限。

隨著汽車智能化發展，電子電氣架構從分布式進入域集中式，技術架構上更加適合OTA功能落地，越來越多的車企在自己的產品上支持OTA功能。數據顯示，僅2022年1-6月，共有33家車企推送了總計92次OTA，內容方面以智能座艙相關功能的優化、升級為主，智能輔助駕駛是新勢力品牌重點升級方向。

2.OTA如何實現？

以汽車嵌入式控制器為例，其軟件軟件代碼分為兩大類，一部分是操作系統、用戶數據、標定數據等代碼，統稱為應用程序（APP），另一部分則是運行引導程序（Bootloader）。

Bootloader是一段獨立的代碼（這段Boot代碼一般是出廠預置，或使用編程器燒錄的，通常只有1k或4k，通常是占用一塊獨立的Block，當系統上電之后，Bootloader可以進行：關閉WATCHDOG、改變系統時鐘、初始化存儲控制器、將更多的代碼復制到內存中等一系列初始化動作，然后再將操作系統內核制到內存中運行。簡單地說，Bootloader就是這么一小段程序，它在系統上電時開始執行，初始化硬件設備、準備好軟件環境，最后調用操作系統內核進入工作。與之對應的是PC中的BIOS。

由于Bootloader保存在Flash的首地址，MCU上電后，默認從Flash開始的第一個讀取棧指針，第二個字就是復位中斷的入口，并根據該指針進度復位處理函數中執行相應的函數，由于中斷向量表1尋找復位中斷處理函數指向Bootloader，所以必然首先進入Bootloader程序中中執行，進行初始化設置，然后再進入下一個中斷向量表2中執行APP程序的復位中斷處理函數。

Bootloader和APP應用程序在嵌入式存儲器中的位置如下：

由于我們所有的操作系統和用戶數據都放在APP程序中，通過更改這部分數據可以優化控制器的使用體驗，所以許多汽車廠家所謂對MCU進行固件更新（FOTA）實際上就是對MCU內存中的APP存儲區域進行刷寫。刷寫有兩種方式，一種是先擦除當前版本軟件，再刷寫新版本軟件，但這種方法有個隱患，就是新軟件有問題時，由于舊軟件已經被擦除，沒有備份，恢復會很麻煩；另一種方式A/B交換，內存中會分兩塊區域，一塊存放當前版本軟件，另一塊存放舊版本軟件。當OTA升級新版本軟件時，新版本軟件將代替舊版本軟件，這時，一塊放的是當前版本軟件，另一塊放的是新版本軟件。再激活運行新版本軟件，此時原先的當前版本就變為舊版本軟件，作為備份，以防運行的新版本軟件有問題，可以及時回滾恢復。刷寫完成以后，重新啟動，控制器運行新的軟件。

由于OTA可以對控制器軟件進行擦寫，為了確保軟件的完整性，可信性，許多車企在OTA系統中開發了安全服務平臺。

此外為了，節省OTA下載時流量費用，許多車企開發了差分升級的技術，即利用算法，做出原版軟件和新版軟件差分包，將差分包下載到flash中，內部的BootLoader程序再利用算法將新版軟件還原，一般差分包只有原包的5%左右。

3.OTA運營流程

前面簡單介紹了OTA技術的實現原理，但落到具體實施層面如何組織一場OTA活動，就是OTA運營的范疇了。下面是一種許多車企通用的OTA運營流程圖，可以大致分為OTA研發測試階段、OTA實施階段、OTA后響應階段、OTA后評估階段四個階段。

3.1 OTA研發測試階段

該階段主要包括需求管理、功能開發，驗收測試、基線發布四個小階段。

需求管理主要是進行需求發起，需求評審，驗收測試主要與功能開發測試不同，它主要是在OTA端到端全鏈路環境中驗證功能的成熟度，售后部門亦需驗證線下診斷儀的刷寫能力，不僅作為基線發布的必要條件，更為FOTA小概率失敗的援救行動提供工具支持。基線測試完成發布時，OTA運營需要編寫本次發布的ReleaseNote H5頁面，文案需要突出本次版本的新功能和亮點。軟件內容和release note都要提交監管部門進行備案。

3.2 OTA實施階段

該階段主要包括監管備案，智行團發布，灰度發布，批量發布等動作。

在整車功能和FOTA測試通過，且備案完成后，OTA任務可以正式發布了。然而，相對于工程車較為簡單的環境，FOTA在實車的復雜情況和狀態下的健壯度仍需進一步觀察和驗證。此時，會邀請升級活躍度高、抱怨概率低的員工車或者忠實用戶可作為“智行團”率先執行升級操作，一般可放在公司園區執行，一旦出現了升級異常，救援方便，更容易截取日志分析原因。

“智行團“用戶測試完成后，進行意見反饋收集，組織相關產品和研發團隊進行問題整改和修復?；叶劝l布是通過小范圍、分批次的發布方式，觀察升級版本的穩定性，決策是否將任務全量發布至所有車輛，從而有效規避發布風險和降低版本發布升級的影響范圍。

灰度發布需要運營在后臺對灰度車輛進行監控、運維、遠程協助；相較于內部用戶測試，灰度任務還需新增售后話術和售后救援資源?；叶劝l布的任務數據形成灰度發布報告，作為正式任務批量發布的決策依據。

在灰度發布的同時，可在手機APP、微博、抖音等渠道進行FOTA新版本的宣傳，讓用戶知曉本次升級任務，通過炫酷的圖文和視頻介紹新功能，引起用戶對于升級的強烈興趣。

3.3 OTA后響應階段

在批量發布實施日期到達后，在FOTA平臺觸發任務生效。一線客服集中協助用戶安裝指導和小概率失敗后的操作，售后服務團隊提前準備包括但不限于線下刷寫工具、拖車、代步車、升級失敗備用件的救援資源，同時研發團隊也需快速響應問題，識別出問題責任方并排期修復，對于嚴重失敗需和售后共同參與現場救援。

3.4 OTA后評估階段

在任務結束后，收集本次OTA活動過程中的數據，形成正式任務報告，對升級完成率和成功率進行復盤。分析偶發的失敗case，尋找相應對策，進行優化改進Lesson&Learn。售后問題和功能缺陷錄入JIRA等管理工具，解決的實施方案合并入下一次基線發布中。

4.OTA監管備案

書接上回，在OTA運營流程中，有一個非常重要的環節就是監管備案，這是為保障軟件升級后車輛功能及信息安全符合法律法規的要求以及車輛用戶的生命財產安全而通用的國際監管規則。

4.1 歐盟UNECE R156

2020年6月，聯合國世界車輛法規協調論壇（簡稱為UN/WP.29）發布了3項關于智能網聯汽車的重要法規R155/R156/R157，即信息安全（Cybersecurity）/軟件升級（Software updates）/自動車道保持系統（ALKS）。其中UNECE R156主要是關于SUMS（software update management system）以及相應的VTA（Vehicle type approval）說明。SUMS主要內容有：建立SUMS體系、RXSWIN管理、確保軟件升級流程的安全、描述軟件升級前后型式認證相關的硬件和軟件；VTA主要內容有：信息安全、軟件識別碼、升級前、升級中、升級后。SUMS是VTA的一個前提條件，即車企在獲得SUMS之前不允許進行VTA測試，VTA相關的車型能測試也會對相應的一些信息安全或軟件識別碼進行相應的測試和管理。

4.2 國內監管法規

針對OTA監管，我國從市場準入、產品生產一致性、數據、個人信息與網絡安全、召回管理等多方面制定監管制度，已初步形成一套管理體系。

4.2.1市場準入和產品生產一致性方面

2021年7月30日工業和信息化部發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》規定，企業生產具有OTA功能的汽車產品，應當建立與汽車產品及升級活動相適應的管理能力，具有在線升級安全影響評估、測試驗證、實施過程保障、信息記錄等能力，確保車輛進行在線升級時處于安全狀態，并向車輛用戶告知在線升級的目的、內容、所需時長、注意事項、升級結果等信息。

同時規定企業實施在線升級活動前，應當確保汽車產品符合國家法律法規、技術標準及技術規范等相關要求并向工業和信息化部備案，涉及安全、節能、環保、防盜等技術參數變更的應提前向工業和信息化部申報，保證汽車產品生產一致性。未經審批，不得通過在線等軟件升級方式新增或更新汽車自動駕駛功能。

4.2.2 數據、個人信息與網絡安全方面

首先，車企對汽車進行OTA行為應當遵守《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《網絡產品安全漏洞管理規定》《汽車數據安全管理若干規定（試行）》的相關規定。

工業和信息部也另行發布了具體工作要求及規定。2021年6月8日發布《關于開展車聯網身份認證和安全信任試點工作的通知》，國家將加快推進車聯網網絡安全保障能力建設，構建車聯網身份認證和安全信任體系，推動商用密碼應用，保障蜂窩車聯網（C-V2X）通信安全，已經開展車聯網身份認證和安全信任試點工作。2021年9月13日發布《關于開展汽車數據安全、網絡安全等自查工作的通知》，對生產者組織開展汽車數據安全、網絡安全、軟件OTA升級和駕駛輔助功能情況自查工作。2021年9月15日發布《關于加強車聯網網絡安全和數據安全工作的通知》，其中關于OTA規定，要求生產者要加強在線升級服務（OTA）安全和漏洞檢測評估，建立在線升級服務軟件包安全驗證機制，采用安全可信的軟件；開展在線升級軟件包網絡安全檢測，及時發現產品安全漏洞；加強在線升級服務安全校驗能力，采取身份認證、加密傳輸等技術措施，保障傳輸環境和執行環境的網絡安全；加強在線升級服務全過程的網絡安全監測和應急響應，定期評估網絡安全狀況，防范軟件被偽造、篡改、損毀、泄露和病毒感染等網絡安全風險。

4.2.3 召回管理方面

國家市場監督管理總局于2020年11月23日發布《關于進一步加強汽車遠程升級（OTA）技術召回監管的通知》規定，生產者采用OTA方式對已售車輛開展技術服務活動的，應按照《缺陷汽車產品召回管理條例》及《缺陷汽車產品召回管理條例實施辦法》要求，向市場監管總局質量發展局備案。生產者采用OTA方式消除汽車產品缺陷、實施召回的，應按照上述召回條例及召回實施辦法要求，制定召回計劃，向市場監管總局質量發展局備案，依法履行召回主體責任。如OTA方式未能有效消除缺陷或造成新的缺陷，生產者應當再次采取召回措施。2021年6月4日發布《關于汽車遠程升級（OTA）技術召回備案的補充通知》規定，生產者備案采用OTA方式的技術服務活動或召回時，需提交《汽車遠程升級（OTA）安全技術評估信息表》。

工業和信息化部于2022年4月發布《關于開展汽車軟件在線升級備案的通知》，明確了備案要求和備案工作流程。通知規定，涉及產品安全、環保、節能、防盜等技術性能變化的相關升級活動，應提交驗證材料。涉及《公告》技術參數變更的，應在備案前向工業和信息化部申請產品變更或擴展，按流程完成《公告》產品準入后才能開展升級，保障汽車產品生產一致性。涉及汽車自動駕駛功能（L3級及以上）的相關升級活動，同樣應經工信部批準。在各項功能前期審核完成后，車企可通過 “汽車軟件在線升級備案系統”線上發起備案流程。

綜上，特斯拉需要在實施OTA召回前5個工作日內提交汽車遠程升級（OTA）安全技術評估信息表和電子版升級包。

隨著汽車“新四化“的發展，OTA作為智能網聯汽車不斷升級迭代的重要技術管道，已經日益成為貫穿研發、生產、售后的重要環節。OTA功能可以作為生產制造的延續使智能化汽車不斷更新功能和性能，但同時也帶來了數據安全、網絡安全、個人信息等多個方面的問題。如何將OTA這頭神獸關進籠子里并發揮最大化效能為用戶和車企創造更多的價值，是企業和政府共同面對的課題。

總之一句話，對OTA技術我們既要用好，也要管好！

審核編輯 ：李倩