汽车ota系统,什么是OTA汽车OTA技术原理

汽车新四化(电动化、智能化、网联化、共享化)是行业公认的趋势。在智能化和网络化方面，OTA技术已经成为很多车企推广自己产品的重要卖点。如果没有OTA，此时推出的新车可能会被当成一个笑话。那么什么是OTA呢？应该如何正确看待OTA技术？我们再买车的时候还需要关注这个技术吗？OTA技术英文叫Over the Air Technology，翻译过来就是空中下载技术。

首先大家要明白什么是OTA。OTA可以简单理解为远程升级。它最早由手机上的Android系统推出，结束了连接电脑、下载软件、安装更新的复杂过程。应用到汽车上，可以理解为你可以远程升级你的车载软件系统，甚至直接升级你的软件来控制整车。

几年前，网速、处理器的工艺、车载系统都处于非常底层的状态，通过OTA升级汽车有点不现实。即使现在，汽车OTA更多的是升级车辆应用程序、多媒体系统或车辆的底层系统。在车上安装SIM卡模块或者WiFi模块，就可以实现OTA，但是技术并不复杂。

不同于汽车的底盘和发动机，软件易于更新和迭代。过去，当车辆遇到软件故障或需要更新时，我们需要将其开到4S的商店，让工作人员使用专业电脑进行维修，但这需要花费消费者大量的人力物力和时间。OTA技术让用户足不出户就能完成车辆升级，降低了成本，节省了用户的时间。

为什么OTA技术经常和电动车联系在一起？

答案很简单，因为电动车更适合OTA升级。早期的汽车都是纯机械结构，软件不可能升级车辆。所以汽车OTA一般针对娱乐系统、导航等在线系统更新。比如更新中控中的安卓Auto和苹果CarPlay，或者更新导航地图。而电动汽车的结构相对简单，所有与车辆行驶相关的系统，如动力系统、制动系统、电池管理系统都转向了电子化，OTA可以随时“控制”和“改写”，只要厂商在设计前期在核心的三电系统、车载处理器、传感器等方面留有更多的冗余，后期通过软件升级就容易得多。而且为了实现自动驾驶，很多汽车都配备了大量的传感器，汽车制造商可以通过软件使用这些传感器，让车辆具备更多的功能。

特斯拉作为率先在汽车上大规模推广OTA功能的公司，在这方面比传统汽车厂商优势明显。比如之前特斯拉在新博格林北环赛道扬言要打败保时捷，然后国外知名汽车媒体Top Gear做了一个节目，把保时捷Taycan Turbo S和特斯拉Model S进行对比测试。在两辆车都是原厂车的情况下，保时捷Taycan全面胜出。这一结果让特斯拉CEO埃隆马斯克(elon musk)非常不满，因此特斯拉将通过OTA升级将Model S的峰值功率提高50马力。如果是燃油车，以现在的技术手段很难通过OTA升级到50马力，但电动车就是另一回事了。此外，特斯拉通过OTA百公里加速可从5.2秒缩短至4.7秒。特斯拉可以通过OTA缩短6米的刹车距离，还可以通过OTA刷圣诞彩蛋。

正是因为电动汽车更适合线上升级，所以很多新能源汽车品牌都把OTA作为卖点来宣传。如果OTA只能像以前一样升级汽车的系统界面、UI、车载APP、多媒体系统，如何突出这些新势力品牌所主打的智能汽车理念？

近年来汽车OTA升级组件

各大车企也把ADAS和自动驾驶模块(包括自动泊车和自动变道相关的更新和改进)作为OTA的重要内容。随着辅助/自动驾驶的逐渐成熟，以及国家政策管理、法规、保障的逐步完善，未来OTA的竞争将主要集中在辅助驾驶上。

其次，车与车之间的驾驶舱更新，比如交互更新，也很频繁。一方面，很多主流应用并不符合车内场景的使用习惯，车主的效率还有很大的提升空间。另一方面，车机的提升，UI的改变，可以给车主明显的感知。

国内外车企OTA升级频率和内容对比；

OTA方案

OTA是基于汽车网络的远程升级功能。大多数汽车制造商主要采用第三方OTA解决方案，而不是开发自己的OTA平台。根据高拱智能汽车研究院的数据，国内自主品牌和合资品牌大多仍采用第三方OTA方案，尚未具备足够的能力或相应的组织架构来开发、交付和扩展OTA软件平台。

合作方式：

供应商与OEM的合作趋于灵活，OTA合作主要有三种模式：

1)交钥匙工程，付费搭建软件，提供端到端整体解决方案；2)完成新功能建设、项目开发和验收；3)按需付费(功能模块)等。

OTA技术原理

基于对称密钥加密技术

2005年，Mahmud等人在核心期刊IEEE智能汽车研讨会上提出了智能汽车的安全更新技术。建议在原始OEM和软件供应商(SS)之间共享一组链接密钥。在任何软件更新之前，使用链接密钥在软件供应商和车辆之间建立安全连接，以形成可信通道。

2012年，Mansour等人设计了一个诊断和安全OTA系统，名为AiroDiag，用于连接车辆。下图显示了AiroDiag的架构。AiroDiag架构主要分为OEM、汽车和云。AiroDiag采用对称密钥技术，特别是先进的加密标准，保证软件更新过程中的通信安全。在AiroDiag中，密钥存储在OEM的数据库中。AiroDiag应用程序始终保持与网络的连接，并处理来自机车的任何连接请求。在AiroDiag中，软件更新过程由客户端触发。一旦软件更新过程被触发，车辆首先与OEM建立安全连接。接下来，车辆将通知OEM当前安装的软件版本。如果有新软件可用，OEM将触发软件更新过程，并与汽车建立安全连接。

基于散列的算法

2008年，Nilsson和Larson在IEEE会议上提出了一种用于车联网的安全OTA固件更新协议。他的架构分为四个实体：汽车、服务器后端、互联网、无线基站。这里，服务器的后端是负责与联网车辆通信的主要单元。首先，作者将更新的二进制文件分成几个数据块。然后，以相反的顺序对每个片段进行哈希运算，以创建哈希表。最后，服务器后端用预共享的加密密钥对每个数据块进行加密，然后传输到车载终端。考虑到车内资源有限，后端采用块哈希加密作为加密技术。这种改革虽然可以保证不会受到窃听、拦截、篡改等攻击，但无法防止拒绝服务攻击。

基于区块链技术

2018年，Steger等人在工作中引入了区块链(BC)的架构，以解决智能汽车OTA升级的安全和隐私问题。该架构的主要实体是OEM、服务中心、汽车、云服务器和软件主机。在这种架构中，所有参与实体形成一个集群，一旦出现新的OTA包，SW主机上的程序将触发软件更新过程。首先，SW主机向云服务器发送一个带有自己签名的存储请求。验证成功后，云服务器向软件主机发送二次确认包，包括软件上传过程中需要的自身签名和文件描述符。将新软件上传到云服务器后，SW主机会在块中创建一个更新事件，其中包含有关新软件在云中的位置的信息。然后SW主机使用私钥对该事件进行签名，最后将加密的事件广播给车辆。然后，作者对这一概念进行了验证测试，结果表明该架构的性能优于基于证书的架构。

对称密钥和非对称密钥的组合加密算法

2016年，Steger等人在IEEE大会上提出了一个名为SecUp的框架，用于安全高效地更新网联汽车的OTA软件。涉及：主机厂、服务中心、汽车终端、汽车维修人员。SecUp使用对称和非对称密钥加密来保护OTA更新过程。汽车维修人员使用NFC智能卡和PIN码对手持设备进行对称认证，然后服务后端返回会话密钥，用于加密安装包，用汽车的RSA公钥发送给每辆汽车。成功接收后，汽车在安装前用私钥对软件进行验证和解密。通过升级沃尔沃ECU的实验，对SecUp的性能进行了测试。结果显示，不同类型软件的更新时长在6.77秒到33.19秒之间。

硬件安全模块

2016年，Petri等人在国际汽车安全大会上提出了基于HSM可信平台模块(TPM)的安全OTA更新机制。首先，网关ECU从远程服务器下载更新的软件。然后，ECU使用TPM中预定义的哈希来验证下载的软件。验证成功后，ECU将更新的软件发送到目标ECU进行安装。使用TPM的好处是支持很多流行的加密算法，比如RSA，SHA，AES。主要限制是每个ECU需要一个HSM/TPM算法加密机，这导致了额外的成本。

根据ABI市场研究数据报告，2022年，2.03亿辆汽车将能够通过OTA更新其软件，其中至少2200万辆汽车也将能够通过OTA更新其固件。未来将接受车辆OTA更新带来的安全问题的挑战。

OTA的缺点是什么？

汽车OTA可以和手机升级系统相提并论，但是两者还是有很大的区别，尤其是在安全性方面。在升级OTA的时候，如果升级不成功，最坏的情况就是手机变成了“砖头”，但是汽车就不一样了。如果在升级过程中，转向控制、制动等一些与驾驶相关的部件出现错误，可能会造成极其严重的后果。

作为软件，有被攻击的可能，在利用OTA技术升级汽车的过程中也存在这样的风险。在下载升级包的过程中，攻击者可以利用网络手段将修改后的升级包发送到车辆上，进而修改系统甚至远程控制车辆。除了被攻击，如果车辆下载升级包时网络不稳定，也会导致升级包出现漏洞，导致车辆升级失败。因此，汽车OTA要求厂商制定完善的升级策略，比如在升级过程中建立严格的验证机制，保证升级包不被篡改，同时限制升级条件，保证车辆能在合适的状态下升级。目前，针对汽车控制器的网络安全法规已经出台。R155、R156是国家出台的规范市场、提高信息安全的政策。

OTA给了主机厂更多的权限来控制汽车，同时也默默的收集和上传车主的很多隐私，比如车辆位置、情况轨迹、图像信息、音频信息，这些在蔚来的隐私政策中都有详细的规定。无论车企是基于什么目的，智能化都只能在隐私保全的前提下进行。举个不恰当的例子，如果你买了一个智能房子，却发现家里有很多摄像头和隐藏的麦克风，为了安全或者莫名其妙的原因，无时无刻不在收集你的信息，你会不会觉得不舒服，甚至毛骨悚然？再者，汽车企业如果在服务器安全层面被黑，不仅海量用户数据泄露，未来还会被黑成《速度与激情》那样。海量汽车被远程OTA控制后，可以轻松打开车门，启动汽车，甚至启用自动驾驶模块执行某些任务或指令，使其无法成为大规模的危险武器。这个时候谁能保证安全？

其次，代工OTA往往会成为可耻的借口。为了抢先上市，将功能不完善的“半成品”提前投放市场，让付费消费者充当“小白鼠”或“冒险者”，而车企则在后期用OTA升级来弥补原来测试阶段的不足，反而忽悠消费者“这是一辆成长中的车”。再次，一旦量产车出现大规模质量问题或生产缺陷，OTA很容易成为“大规模召回”的代名词或遮羞布，厂商可以通过OTA任意修改驱动电脑的底层调试和运行逻辑，这也让OTA更加危险。

为了抓住“新能源补贴窗口期”，很多品牌明显赶了上来，在与OTA造车的过程中偷了不少“懒”。产品功能不系统，连硬件都是嵌入式的。后来他们希望通过推广OTA来掩盖目前产品不完善的事实。老老实实做好设计、测试和R&D，其产品各方面都经过打磨成熟后才量产投放市场。一旦出现问题，应该通过召回制度认真解决召回。这才是负责任的汽车企业应有的态度，不能耍噱头急功近利。相比德士古和国内新势力品牌，他们宣传自己的OTA功能。另一方面，日本公司的丰田、本田，一直以来都是只有合格、成熟的功能才被市场接受，事故率很低。

当然，不同的企业战略也不能说都是好的。

总结：OTA技术对车企和消费者都有利有弊。像一些娱乐功能OTA，还是可以的。毕竟只是一个娱乐功能。不会发生什么严重的事情，消费者也能享受到更好的娱乐体验。但是关于自动驾驶辅助相关的功能，斯特恩还是持保守意见，谨慎使用OTA，因为这关系到行车安全，不能马虎。车企在推出相应的OTA策略时一定要谨慎，这是对消费者负责，也是避免OTA事故对其声誉造成影响的必要条件。

黄飞