一、OTA 的過往

從手機到汽車嘛，大家也都知道個大概。先解釋幾個名詞吧：

• OTA，Over The Air/空中下載，所謂“空中”指的是遠程無線方式，指通過移動通信（GSM或CDMA）的空中接口對 SIM 卡數據及應用進行遠程管理，OTA 技術可以理解為一種遠程無線升級技術[1]；
• FOTA，Firmware Over The Air/固件空中升級，指通過云端升級技術，為具有連網功能的設備：例如手機、平板電腦、便攜式媒體播放器、移動互聯網設備等提供固件升級服務；刷過手機的朋友們應該對“固件版本”印象深刻，手機中的固件升級即可稱為 FOTA；
• SOTA，Software Over The Air/軟件空中升級，偏向于應用軟件升級。

事實上 FOTA 與 SOTA 界限比較模糊，Windows 操作系統升級、手機升級、嵌入式系統、單片機控制程序等都的遠程升級可以籠統地稱為 FOTA；轉移到汽車電子這塊，為了方便討論，我們將 HU 中的 APP 更新稱為 SOTA，將其他 ECU 的更新甚至于所有更新統稱為 OTA。

二、由汽車電子電氣架構的發展趨勢看汽車 OTA 的核心價值

事實上，大家看到這里對汽車 OTA 的主要目的可能有了初步的認識？大致上就是上一小節中餅圖中所展示的 3 點：缺陷修復、新功能推送以及交互界面優化。不過在這一小節中我還是想從汽車電子電氣架構發展趨勢層面將汽車 OTA 說的更透徹些[3]。

先來看下趨勢：

• 軟件定義汽車（Software Defined Vehicles，簡稱SDV）將成為汽車行業普遍的發展趨勢，其核心思想是：決定未來汽車的是以人工智能為核心的軟件技術，而不再是汽車的馬力大小、是否真皮座椅、機械性能好壞[4]；
• 高端汽車控制器節點 80~100，整車代碼量已經突破 1 億行[5]。而汽車行業80%~90% 的創新基于電子，離不開軟件的支撐，還在不斷發展[6]；
• 汽車電子的創新水平最終會向IT及傳統消費電子看齊[7]。

再來看下汽車 OTA 的核心價值：

• 潛在問題改善。不斷攀升的代碼量即使按照 CMMI（capability maturity Model integration，能力成熟度集成模型）5 級的最高軟件標準進行控制，代碼缺陷率仍為 0.32‰，潛在問題的規模不容小覷[4]；OTA 可有效解決軟件故障， 通過應急響應降低開發周期短帶來的軟件風險問題，以及完成對信息安全漏洞的修復；
• 全新功能導入。通過 FOTA 的功能進行新功能新特性的導入，讓客戶有常用常新的感覺，能夠提升汽車使用的用戶友好度；
• 進行界面優化更新，提升人機交互體驗。汽車連接互聯網，改變了過去銷售是研發過程結束的汽車銷售模式，使銷售成為廠商與客戶互動的開始，因此會帶來投訴率高的風險。而是用界面和內容的更新可以從一定程度上降低投訴率。

三、汽車OTA的典型架構

▲汽車OTA 更新流概覽

上圖展示車輛內從主機廠服務器更新程序到指定 ECU 的過程中的主要部件。 首先通過蜂窩網絡建立車輛與服務器之間的安全連接，確保全新的，待更新的固件安全地傳輸到車輛的 Telematics Unit，然后再傳輸給 OTA Manager。 OTA Manager 管理車輛所有 ECU 的更新過程。它控制著將固件更新分發到 ECU，并告知 ECU 何時執行更新 - 在多個 ECUs 需要同時更新的情況下尤為重要 - 例如推送一項新功能，而該新功能涉及多個 ECUs。更新過程完成后，OTA Manager 將向服務器發送確認。

針對 OTA Manager 它可能需要外掛 NAND flash 用來存儲固件包，同樣也可以用來存儲其他車輛 ECUs 的備份，以期在 ECU 升級失敗之后進行調用。這些備份應該通過加密&認證的方式進行防護避免外部攻擊。

OTA Manager 內部有一個表格，包含各個車輛 ECU 的相關信息，譬如 SN 號以及當前的固件版本。這樣便于 OTA Manager 核實接收到的固件升級包并確保是通過授權的。如果是正在更新的 ECU 不具備加密能力那么 OTA Manager 同樣需要負責更新過程的解碼及驗簽[8]。

從上圖不難看出 OTA Manager 的重要性，也正是基于此，并結合網關的安全性、隔離性以及天然的多連接屬性，部分主機廠啟動自研網關（集成 OTA Manager 角色），譬如蔚來、FF。

四、汽車 OTA 的挑戰

盡管汽車 OTA 使用的技術，包括 Telematics 以及通信技術都已成熟，汽車 OTA 卻并沒有想象中的普及？主要有兩個大的挑戰[5]：一個是安全的考量；將車輛的嵌入式系統重編程的接口開放，使其更容易受到黑客攻擊。...是的，我又要說起特斯拉了...還有科恩實驗室。

騰訊科恩實驗室（Keen Security Lab of Tencent）連續兩年，分別在 2016 年 9 月、2017 年 7 月實現了針對特斯拉 Model X 系統的破解，而從科恩實驗室 2017 年的報道中我們發現特斯拉在 2016 年加入了“代碼簽名”安全機制，并對所有 FOTA 升級固件進行強制完整性校驗[9] - 而這兩個舉措放在現在則是安全機制的標配了，可以說后發者站在前人的肩膀上。

也正是因為特斯拉趟過的坑能夠讓后來者一上來就重視安全的方案設計。

針對汽車 OTA 的安全性，主要可以從以下兩個方面做一個簡要分析：

• 信息安全；主要是通信加密、軟件包驗簽、更新隔離以及安全芯片等；
• 功能安全；主要包括 OTA Manager 的啟動條件判斷（車輛狀態等）、ECU 升級的預編程條件判斷、整車模式配合以及升級方案考量（A/B 法等）；
• BTW，針對 2017 年的漏洞，特斯拉在兩周之內修補了這些漏洞[10]。

二個是汽車產品線中的大量變體和配置使得難以為典型 EEA（Electronic and Electrical Architecture，電子電氣架構）內的所有現有組合提供安全且一致的更新。包括不同地區、跨版本之間的兼容性等。

其他的還有諸如 roll back 機制、推送/升級的策略等，前期設計是一方面，實際運營過程中積累的 know how 更是至關重要。

汽車 OTA 不是什么洪水猛獸，也不是什么陽春白雪；它就是它，能夠為消費者、主機廠帶來共同收益的一項服務；是新趨勢，也是新挑戰，希望能夠在看得到-看得起-看得懂-追得上的過程中享受其價值。