導言：OTA未來會成為智能駕駛汽車的最基本架構？（未來如果汽車廠沒有OTA的解決方案，三年內就很容易就被邊緣化，因為無法持續更新軟件、沒有辦法做雙向的溝通跟交流，沒有辦法組成有用的服務跟應用供車主使用。）OTA架構的技術要點？是否有標準？何時會大規模普及？車企的應對策略？

隨著數字化和軟件滲透到人們生活的各個角落，作為交通工具的汽車也逐漸往一個機械驅動的機器開始往軟件驅動的電子產品過渡，在這個背景下，整車企業對于產品和內部系統的競爭法則將改寫。傳統的動力總成發動機和變速箱是以往整車企業的的技術和工程核心，而展望未來，給汽車配置足夠強大的計算能力、各種內部和環境的感知器件和貫穿車輛的上層和下層軟件還有于車輛連接的網絡平臺成為越來越重要的角色，能被我們看到的是電氣化、智能網聯的功能和無人駕駛等等。

圖1 整車內汽車電子的層級

隨著電子和軟件的重要性變強，整車車輛的復雜度也升高了，現在汽車內部暴增的軟件代碼行數進行者滾雪球增長，而軟件也在滲透哪怕是很細節的傳感器內核。汽車企業從這個角度來說，把車內軟件質量、信息安全和遠程OTA技術都放在了臺面上，重新審視整個軟件和電子電氣架構。從這個意義上來說，不同層級的軟件成了車里迭代最快也是需要進行系統化管理的那部分，在發現嚴重的軟件故障或者是漏洞的時候，對車輛的軟件更新成了強需求，而之前通過線下店維修和召回模式，從覆蓋范圍和復雜度上也是越來越難管理了。而基于OTA（Over-the-Air Technology）空中下載技術，具備減少召回成本、快速響應安全需求、提升用戶體驗，成了未來智能化汽車時代的必然選擇。如下圖所示，這樣的技術也是從萌芽階段、到娛樂系統和互聯模塊本身再到動力總成和安全系統，再到未來可能的汽車的核心運算單元（各個區塊的域控制器）。

圖2 OTA技術在車輛上的應用時間

第一部分 汽車OTA簡介、架構和流程

汽車內的OTA主要分為FOTA和SOTA兩類，前者是一個完整的系統性更新，后者是迭代更新的升級。

FOTA（Firmware-over-the-air，固件在線升級），指的是給一個車輛下載完整的固件鏡像，或者修補現有固件，這是一個完整的軟件安裝文件（鏡像）下載的過程。

SOTA（Software-over-the-air，軟件在線升級），通過無線網絡或移動網絡將文件從云端服務器下載到車輛上。 SOTA一般作為一個“增量”，整車企業僅發送需要更改的部分，一方面減少了下載的數量和時間，并降低了成本和失敗的可能性。軟件增量文件和對應于車輛的安全憑據被稱為“更新包”，更新包中可能包含多個增量文件和多個ECU的補丁

如下圖所示，汽車OTA的架構主要包含整車企業云端服務器和車輛兩部分，

OTA服務平臺：為車載終端提供OTA服務，這里主要管理各個軟件提供商的原始固件升級軟件。出于安全考慮，需要構建一個獨立的子模塊，負責OTA服務平臺提供安全服務，包括密鑰證書管理服務，數據加密服務，數字簽名服務等。

車輛終端OTA組件：對升級包進行合法性驗證，適配安全升級流程

圖3OTA的基本構成

在流程上分為生成文件、傳輸和驗證文件和安裝更新。不同的企業實施OTA操作的對象也不相同，特別是在不同的通信總線有差異的時候，如下圖所示，tesla對主要的節點是在其儀表盤和中控屏（網絡連接的4G模塊集成在這里）兩個主要的高運算能力的控制器上實現的。

備注：特斯拉是一個典型的案例，不同的汽車電子模塊的作用并不相同，是圍繞中控屏、儀表盤、整車網絡網關、Autopilot自動駕駛模塊和其他ECU的模塊。以下做了一些簡要的介紹。

圖4Tesla 的OTA的架構

第二部分 具體的進行過程（以特斯拉為參考）

1）管理和生成相關的文件：云端服務器是負責監測整個OTA過程的主要單元，它不僅要確定需要更新哪些車輛，是否域車輛建立可靠的連接（生成一個可靠的可信通道）并實施握手消息，然后把固件包或者更新包從軟件庫里面提取出來，確定分發包的更新順序、確定作業管理器管理整個進程，并在完成后確定檢查校驗

2）分發和檢查：這里服務器會做加密渠道分發，而在車輛則有個計算能力強大并有足夠存儲空間的控制器進行下載、驗證和解密，與服務器相對應的也有作業管理器負責報告當前狀態和錯誤信息，每個更新作業都有一個用于跟蹤使用情況的作業ID。

3）更新和刷新安裝：這里一定有讀者會提問，車輛如果像手機一樣刷死機了怎么辦。通常整車企業決定要使用FOTA需要做完備的考慮，以特斯拉為例采取了一種叫A/B 更新e的方式，通過使用車輛里面強運算力的聯網模塊（如儀表板、中控臺等）根據實現對整個進程的監控，如下圖所示：

圖5 運行和備份的機制

將更新文件刷入ECU，對于儀表盤來說，每一步操作都是需要監控整個機制是否完整，并且保證能隨時停止和重新寫入，只要對應的ECU存在可以運行的導引程序，那就保證了車輛和服務器對整個過程的控制并把刷死機的風險降到最低。

假設當前在Part A運行

將新的rootfs圖像和DTB刷入 Part B

將新的Kernal寫入Part B

將主引導鏈和恢復引導鏈切換到Part B

檢查引導鏈以確保下次引導是可接受的

完成所有這些操作后，設備將處于暫停和非活動狀態。

完成最后的準備工作后，ECU將重新啟動：代理和服務器之間將持續連接，服務器可以獲得有關當前更新狀態的最新信息。

第三部分 標準和車企的跟進

汽車企業都在努力構建自己的OTA的架構和功能，形成自己的標準。如下所示，不同品牌的企業，都已經在OTA的做出了嘗試，在層級上面主要是對娛樂系統推出OTA在線系統更新；并且在實時車況診斷基礎上升級為預警提醒。而往FOTA的范圍隨著信息安全的逐步深入和管理供應商關鍵的機制越來越合理，這塊技術往縱深方向發展。而在國家上聯合國的各個地區協商也在協商UN Task Force Cyber Security and OTA的初步標準。2016年12月，由英國和日本作為主席國，成立了專門的汽車信息安全標準任務組UN TaskForce on Cyber security and OTA issues (CS/ OTA)，圍繞汽車網絡安全、數據保護和軟件升級OTA三部分開展國際法規及標準的制定工作，國際電信聯盟（ITU—SG17）也全面與參與了該任務組的相關工作。中國各行業專家也在中國汽車技術研究中心（C-WP.29秘書處）的組織下參與了該任務組的部分工作，并有相關國際標準建議提案。

表1 較早之前的整車企業的服務

OTA技術的威脅分析：在FOTA流程中，主要存在傳輸風險和升級包篡改風險。 終端下載升級包的傳輸流程中，攻擊者可利用網絡攻擊手段，如中間人攻擊，將篡改偽造的升級包發送給車載終端，如果終端在升級流程中同時缺少驗證機制，那么被篡改的升級包即可順利完成升級流程，達到篡改系統，植入后門等惡意程序的目的。攻擊者還可能對升級包進行解包分析，獲取一些可利用的信息，如漏洞補丁等，升級包中關鍵信息的暴露會增加被攻擊的風險。因此OTA技術對于整車企業而言，其實也存在做不好會出大事的問題，這一直是制約整車企業推動OTA技術在車輛里面發展的最大障礙。隨著信息安全技術的導入，這塊也變成了整車企業與網絡技術結合的發展機遇。

小結：從總的技術發展來看，OTA服務是智能汽車技術的一個重要的功能，從用戶心理和整車企業售后維護都需要它，在這項比較火熱技術牽動的，是未來車輛融入到網聯的整體架構中，是歷史發展的一個重要的步驟。這項技術也隨著整車企業慢慢對軟件能力、網絡能力和對后端客戶需求全生命周期的把握變得越來越重要。