2018年10月12日 | 聊聊智能汽车的OTA架构

OTA未来会成为智能驾驶汽车的最基本架构？（未来如果汽车厂没有OTA的解决方案，三年内就很容易就被边缘化，因为无法持续更新软件、没有办法做双向的沟通跟交流，没有办法组成有用的服务跟应用供车主使用。）OTA架构的技术要点？是否有标准？何时会大规模普及？车企的应对策略？

随着数字化和软件渗透到人们生活的各个角落，作为交通工具的汽车也逐渐往一个机械驱动的机器开始往软件驱动的电子产品过渡，在这个背景下，整车企业对于产品和内部系统的竞争法则将改写。传统的动力总成发动机和变速箱是以往整车企业的的技术和工程核心，而展望未来，给汽车配置足够强大的计算能力、各种内部和环境的感知器件和贯穿车辆的上层和下层软件还有于车辆连接的网络平台成为越来越重要的角色，能被我们看到的是电气化、智能网联的功能和无人驾驶等等。

图1 整车内汽车电子的层级

随着电子和软件的重要性变强，整车车辆的复杂度也升高了，现在汽车内部暴增的软件代码行数进行者滚雪球增长，而软件也在渗透哪怕是很细节的传感器内核。汽车企业从这个角度来说，把车内软件质量、信息安全和远程OTA技术都放在了台面上，重新审视整个软件和电子电气架构。从这个意义上来说，不同层级的软件成了车里迭代最快也是需要进行系统化管理的那部分，在发现严重的软件故障或者是漏洞的时候，对车辆的软件更新成了强需求，而之前通过线下店维修和召回模式，从覆盖范围和复杂度上也是越来越难管理了。而基于OTA（Over-the-Air Technology）空中下载技术，具备减少召回成本、快速响应安全需求、提升用户体验，成了未来智能化汽车时代的必然选择。如下图所示，这样的技术也是从萌芽阶段、到娱乐系统和互联模块本身再到动力总成和安全系统，再到未来可能的汽车的核心运算单元（各个区块的域控制器）。 

图2 OTA技术在车辆上的应用时间

第一部分 汽车OTA简介、架构和流程

汽车内的OTA主要分为FOTA和SOTA两类，前者是一个完整的系统性更新，后者是迭代更新的升级。

FOTA（Firmware-over-the-air，固件在线升级），指的是给一个车辆下载完整的固件镜像，或者修补现有固件，这是一个完整的软件安装文件（镜像）下载的过程。

SOTA（Software-over-the-air，软件在线升级），通过无线网络或移动网络将文件从云端服务器下载到车辆上。 SOTA一般作为一个“增量”，整车企业仅发送需要更改的部分，一方面减少了下载的数量和时间，并降低了成本和失败的可能性。软件增量文件和对应于车辆的安全凭据被称为“更新包”，更新包中可能包含多个增量文件和多个ECU的补丁

如下图所示，汽车OTA的架构主要包含整车企业云端服务器和车辆两部分，

OTA服务平台：为车载终端提供OTA服务，这里主要管理各个软件提供商的原始固件升级软件。出于安全考虑，需要构建一个独立的子模块，负责OTA服务平台提供安全服务，包括密钥证书管理服务，数据加密服务，数字签名服务等。

车辆终端OTA组件：对升级包进行合法性验证，适配安全升级流程

图3OTA的基本构成

在流程上分为生成文件、传输和验证文件和安装更新。不同的企业实施OTA操作的对象也不相同，特别是在不同的通信总线有差异的时候，如下图所示，tesla对主要的节点是在其仪表盘和中控屏（网络连接的4G模块集成在这里）两个主要的高运算能力的控制器上实现的。

备注：特斯拉是一个典型的案例，不同的汽车电子模块的作用并不相同，是围绕中控屏、仪表盘、整车网络网关、Autopilot自动驾驶模块和其他ECU的模块。以下做了一些简要的介绍。

图4Tesla 的OTA的架构

第二部分 具体的进行过程（以特斯拉为参考）

1）管理和生成相关的文件：云端服务器是负责监测整个OTA过程的主要单元，它不仅要确定需要更新哪些车辆，是否域车辆建立可靠的连接（生成一个可靠的可信通道）并实施握手消息，然后把固件包或者更新包从软件库里面提取出来，确定分发包的更新顺序、确定作业管理器管理整个进程，并在完成后确定检查校验

2）分发和检查：这里服务器会做加密渠道分发，而在车辆则有个计算能力强大并有足够存储空间的控制器进行下载、验证和解密，与服务器相对应的也有作业管理器负责报告当前状态和错误信息，每个更新作业都有一个用于跟踪使用情况的作业ID。

3）更新和刷新安装：这里一定有读者会提问，车辆如果像手机一样刷死机了怎么办。通常整车企业决定要使用FOTA需要做完备的考虑，以特斯拉为例采取了一种叫A/B 更新e的方式，通过使用车辆里面强运算力的联网模块（如仪表板、中控台等）根据实现对整个进程的监控，如下图所示：

图5 运行和备份的机制

将更新文件刷入ECU，对于仪表盘来说，每一步操作都是需要监控整个机制是否完整，并且保证能随时停止和重新写入，只要对应的ECU存在可以运行的导引程序，那就保证了车辆和服务器对整个过程的控制并把刷死机的风险降到最低。

假设当前在Part A运行

将新的rootfs图像和DTB刷入 Part B

将新的Kernal写入Part B 

将主引导链和恢复引导链切换到Part B

检查引导链以确保下次引导是可接受的

完成所有这些操作后，设备将处于暂停和非活动状态。

完成最后的准备工作后，ECU将重新启动：代理和服务器之间将持续连接，服务器可以获得有关当前更新状态的最新信息。

第三部分 标准和车企的跟进

汽车企业都在努力构建自己的OTA的架构和功能，形成自己的标准。如下所示，不同品牌的企业，都已经在OTA的做出了尝试，在层级上面主要是对娱乐系统推出OTA在线系统更新；并且在实时车况诊断基础上升级为预警提醒。而往FOTA的范围随着信息安全的逐步深入和管理供应商关键的机制越来越合理，这块技术往纵深方向发展。而在国家上联合国的各个地区协商也在协商UN Task Force Cyber Security and OTA的初步标准。2016年12月，由英国和日本作为主席国，成立了专门的汽车信息安全标准任务组UN TaskForce on Cyber security and OTA issues (CS/ OTA)，围绕汽车网络安全、数据保护和软件升级OTA三部分开展国际法规及标准的制定工作，国际电信联盟（ITU—SG17）也全面与参与了该任务组的相关工作。中国各行业专家也在中国汽车技术研究中心（C-WP.29秘书处）的组织下参与了该任务组的部分工作，并有相关国际标准建议提案。

表1 较早之前的整车企业的服务

OTA技术的威胁分析：在FOTA流程中，主要存在传输风险和升级包篡改风险。 终端下载升级包的传输流程中，攻击者可利用网络攻击手段，如中间人攻击，将篡改伪造的升级包发送给车载终端，如果终端在升级流程中同时缺少验证机制，那么被篡改的升级包即可顺利完成升级流程，达到篡改系统，植入后门等恶意程序的目的。攻击者还可能对升级包进行解包分析，获取一些可利用的信息，如漏洞补丁等，升级包中关键信息的暴露会增加被攻击的风险。因此OTA技术对于整车企业而言，其实也存在做不好会出大事的问题，这一直是制约整车企业推动OTA技术在车辆里面发展的最大障碍。随着信息安全技术的导入，这块也变成了整车企业与网络技术结合的发展机遇。

小结：从总的技术发展来看，OTA服务是智能汽车技术的一个重要的功能，从用户心理和整车企业售后维护都需要它，在这项比较火热技术牵动的，是未来车辆融入到网联的整体架构中，是历史发展的一个重要的步骤。这项技术也随着整车企业慢慢对软件能力、网络能力和对后端客户需求全生命周期的把握变得越来越重要。