汽車在線升級OTA，從安全駛向更安全

2022年11月，特斯拉召回了40,000輛汽車，原因之一便是在汽車在線升級（OTA，over-the-air）中發(fā)現了一個錯誤，從而導致汽車在道路上遇到坑洼或顛簸后出現動力轉向的問題。 兩年前，本田曾召回60多萬輛汽車，原因是軟件錯誤導致儀表盤速度讀數錯誤，和后視鏡攝像頭視頻出現問題。 梅賽德斯也曾召回130多萬輛汽車，原因是應急位置追蹤器代碼出現故障，最后是通過OTA完成了故障修復。 今天就跟大家好好聊聊關于汽車OTA的那些事。

為什么OTA很重要

OTA發(fā)揮作用的地方很多。當車輛出現故障后，傳統(tǒng)的召回流程可能需要數月的時間，而且無法保證能夠完成，或者要等到車主碰巧前往4S店或修理店，才能僥幸完成。OTA遠比召回更具成本效益。

通過OTA，制造商不僅可以確定車輛是如何做出反應的，還可以確定做出這種反應的原因究竟是軟件錯誤、不當的軟件更新、還是操作參數的調整導致了事故……通過OTA，制造商能夠深入了解車輛的操作情況，還能在無需車主前往4S店或修理店的情況下輕松地解決問題。OTA功能有著巨大的優(yōu)勢，而且能從根本上節(jié)省成本，但糟糕的實現或不當的軟件開發(fā)實踐卻可能會導致代價高昂的錯誤。

此外，“網絡攻擊”也是許多人最關心的問題，OTA功能為其提供了應對之道。

不管導致車輛出現問題的原因是軟件錯誤、不當更新還是網絡攻擊，對消費者來說并沒有什么區(qū)別。制造商可以大規(guī)模執(zhí)行OTA，在出現網絡攻擊或測試不佳的更新等不利局面時，這可能會影響數十萬輛汽車。與傳統(tǒng)的召回流程相比，OTA是一條能夠更快、更直接地解決問題的重要途徑。

在大多數情況下，汽車OTA對車主來說是無縫體驗。OTA的透明性質更大限度地減少了需要車主前往當地服務經銷商所需的行程以及給車主帶來的時間損失。除了信息安全和軟件安全修復外，更新中還可以添加一些汽車在制造時所沒有的增強功能，以改善駕駛體驗，或者在某些情況下延長車輛部件的壽命。OTA可以提高駕乘的安全保障，并且會隨著技術的不斷發(fā)展而做出調整，其代碼數量達數十億行，由此增強了軟件定義的自動駕駛汽車的互聯性和融合性。

考慮到這些新功能和OTA本身，車輛的整體攻擊面會相應增加，出錯的可能性也隨之增大。

在出現問題時，OTA是一個很好的解決方案，但規(guī)模和速度卻成為決定硬件和軟件開發(fā)實踐能否成功的關鍵。鑒于當今的技術復雜性和風險之多，這里列出了一些方法，以幫助開發(fā)者在部署OTA之前更好地保護系統(tǒng)并更大程度地減少錯誤。

解決系統(tǒng)基礎設施

和流程創(chuàng)新問題

OTA比較復雜。它們并不是一個簡單的解決方案，并不是封裝在一個簡潔的盒子里，隨時可以部署。因此，務必要關注交付軟件的底層系統(tǒng)基礎設施，以及適當的流程和檢查，以驗證一切在任何情況下都能正常工作。事實上，要想得到一個有效的OTA計劃，需要開展大量活動。這些活動通常分為三類：

• 穩(wěn)健的公鑰基礎設施（PKI）
• 定義明確的軟件驗證與確認實踐
• 高效的車輛軟件部署、存儲與激活

1.穩(wěn)健的公鑰基礎設施 雖然大規(guī)模密鑰管理已經出現了一段時間（比如零售業(yè)中的信用卡應用），但對于汽車應用來說，這仍然是一個相對較新的概念。例如，正確管理汽車PKI會涉及到多方面的技術和廣泛的參與者，包括汽車制造商、OEM以及協助打造OEM解決方案的關鍵基礎設施管理機構。

不法分子可能會偽裝身份，甚至是竊取身份驗證密鑰，以提供感染病毒的軟件或在入侵期間阻止服務訪問。遭到入侵后再設法處理就不是一件容易的事。這時要撤銷的不是數百個密鑰，而是整個供應鏈中的數萬到數十萬個密鑰，然后再重新發(fā)放。這只是其中的原因之一，畢竟確保PKI安全是一項涉及多學科、多組織且需要各方充分參與的工作。

要想獲得成功，打造一個可用于測試和評估流程的仿真環(huán)境至關重要，因為現在并不是攻擊是否會發(fā)生，而是何時會發(fā)生攻擊。PKI計劃應包括對攻擊者可以利用的各種故障條件和極端情況進行測試。該計劃還應遵循ISO/SAE 21434實踐，以確保相關過程是開發(fā)計劃的一部分，并會隨著軟件特性和功能的發(fā)展而發(fā)展。

2.定義明確的軟件驗證與確認實踐

在軟件驗證與確認流程中，開發(fā)者需要綜合考慮軟件開發(fā)的方方面面。其中一個發(fā)展迅速的領域就是用于軟件測試的硬件虛擬化。鑒于軟件的快速變化和參與其中的開發(fā)者人數，開發(fā)周期的早期不可能有足夠的硬件測試臺來有效地測試軟件。虛擬化硬件允許進行硬件仿真，它們可以集成到CI/CD管道中，并提供給更廣泛的開發(fā)受眾使用。這其中還包括后期制造環(huán)境的開發(fā)。硬件訪問要容易得多，但由于硬件數量、空間限制等原因以及缺乏相關專業(yè)知識，這一切很快就變得不切實際。

利用新思科技的Virtualizer等虛擬化技術和其他仿真技術，開發(fā)者可以在受保護的環(huán)境中快速交付單元級和系統(tǒng)級測試。這種形式的測試在一定程度上增加了軟件測試周期的嚴格性，降低了測試軟件與所部署軟件之間出現紕漏或發(fā)生意外交互的可能性，而這在傳統(tǒng)測試環(huán)境中是不可能的。

3.高效的車輛軟件部署、存儲與激活

即使進行了最強大、最全面的測試，也還是會有這樣或那樣的問題。原因可能包括部署后的指示不清晰、意外交互或售后調整。各種情況可謂層出不窮。重要的是要有適當的保障措施和適應性強的做法，以處理各種各樣的問題和狀況。

制定更新的驗證與確認政策是關鍵。的確，許多組織都制定了此類政策，但他們是否考慮到了部分失敗的部署？他們有沒有想到“開箱即用”？更為關鍵的是，雖然一些簡單的步驟（例如代碼簽名檢查）很重要，但對錯誤平臺部署的簡單檢查卻要困難得多。

在將更新推送給車輛后，更新的存儲和激活必須要做到盡善盡美。更新的軟件存儲需要架構方面的決策，例如車載存儲空間和閃存的大小。多大的空間夠用？對于車輛的使用壽命來說，該空間是否大小合適？它是否適合特定內存類型的讀寫次數？這些決策都將對軟件更新的數量、頻率和大小產生影響。如果內存不足，便無法存儲當前固件的副本以進行回滾。而如果內存過大，則可能造成制造成本攀升。

汽車OTA只是整個信息安全

和軟件安全的一部分

OTA并非靈丹妙藥，而只是整個信息安全和軟件安全拼圖中的一塊。在向車輛提供更新時，開發(fā)者必須要遵循一個穩(wěn)健的軟件驗證與確認流程，以確保無論是從漏洞還是從質量和安全角度來說，車輛內的交付與交互都盡可能沒有缺陷。無論開發(fā)者推出什么，都可能會影響到成千上萬人，因此驗證與確認必須非常嚴格。 現代軟件開發(fā)是一項涉及多學科、多組織的工作，開發(fā)者必須做好這項工作，從而確保汽車和道路的安全。在這方面，選擇合適的合作伙伴非常重要，新思科技正好可以提供強有力的幫助。 新思科技提供業(yè)界領先的IP、設計、驗證解決方案以及軟件安全解決方案，能夠滿足開發(fā)者的各種需求。憑借在各行業(yè)中積累的豐富經驗，新思科技能夠幫助汽車行業(yè)加速創(chuàng)新，讓OTA軟件一次生效且次次無憂。

? ?