艾拉比總裁芮亞楠：未來軟件定義汽車，OTA體系建設(shè)是車廠的首要任務(wù)

在汽車未來發(fā)展的過程中，空中升級（OTA）對于車輛的信息安全顯得愈發(fā)重要。近日，億歐汽車邀請到了艾拉比總裁芮亞楠，基于其在電子、軟件行業(yè)12年的從業(yè)經(jīng)驗，分享了智能網(wǎng)聯(lián)汽車OTA體系的設(shè)計與實踐。

十年來，隨著市場內(nèi)逐漸興起“可更新的汽車信息娛樂系統(tǒng)”的概念，汽車制造商也“趕時髦”地推出了可升級的車機系統(tǒng)和以及配備了聯(lián)網(wǎng)功能的汽車。而像特斯拉這樣來自硅谷的公司則走得更遠，率先開始為車主提供OTA遠程更新服務(wù)。據(jù)國外相關(guān)機構(gòu)預(yù)測，到2022年，全球汽車生產(chǎn)企業(yè)每年能夠通過使用OTA的方式節(jié)省350億美元的成本。顯而易見，在汽車未來發(fā)展的過程中，空中升級（OTA）對于車輛的信息安全顯得愈發(fā)重要。

近日，艾拉比總裁芮亞楠受邀參與億歐汽車微課堂，與廣大微友分享了智能網(wǎng)聯(lián)汽車OTA體系的設(shè)計與實踐。ABUP艾拉比智能科技專注為汽車、物聯(lián)網(wǎng)領(lǐng)域合作伙伴提供專業(yè)OTA升級技術(shù)解決方案和定制化服務(wù)。該公司目前正式合作的客戶包括比亞迪、江淮、上汽通用、上汽乘用車、長城汽車等主機廠，以及國內(nèi)Tier 1供應(yīng)商等，具備豐富的合作經(jīng)驗與技術(shù)基礎(chǔ)。

芮亞楠此次分享主要圍繞三方面展開：OTA與智能網(wǎng)聯(lián)汽車戰(zhàn)略、OTA體系設(shè)計思考、OTA體系實踐與進階。以下為億歐汽車整理的現(xiàn)場分享實錄：

首先，行業(yè)發(fā)展趨勢勢必將走向由軟件定義汽車。摩根士丹利的數(shù)據(jù)顯示，目前在整個汽車產(chǎn)品中軟件與硬件的占比為1:9。就現(xiàn)階段而言，硬件占據(jù)了整個汽車成本以及生態(tài)系統(tǒng)的絕對主導性地位。但是在未來，隨著智能化、網(wǎng)聯(lián)化的不斷發(fā)展，汽車內(nèi)部的占比構(gòu)成會變成4:4：2，如果把內(nèi)容也看作是另外一種軟件形態(tài)的話，那么未來軟件的整個成本構(gòu)成及生態(tài)占比會超過硬件。這就是“軟件定義汽車”概念的由來。

從消費端來看，用戶逐漸開始把自己的關(guān)注點從汽車動力、車身長度、內(nèi)飾等方面，向?qū)浖w驗及內(nèi)容生態(tài)等方面的感受傾斜。隨著“軟件定義汽車”趨勢的走強，未來或許還將發(fā)展成“軟件定義品牌”，就這點來說，相信大家在手機行業(yè)都已經(jīng)有了切身的體驗?，F(xiàn)在決定消費者對于諸多手機品牌廠商的品牌體驗和感受的差異性并不僅僅是硬件。如今，產(chǎn)品硬件本身是同質(zhì)化的，大家可能基本都選擇高通的芯片、索尼的攝像頭等等。但真正造成用戶對品牌形成差異化體驗的，永遠是軟件的體驗以及內(nèi)容的生態(tài)。

所以從這個角度來講，這種“新概念”迫使整車廠必須去建立一套系統(tǒng)，使其能夠有效地管理自己未來的軟件資產(chǎn)，并且能夠遠程進行運維維護和更新。這就是整個OTA體系建設(shè)訴求的由來。

OTA與智能網(wǎng)聯(lián)汽車戰(zhàn)略

我們先來探討一下OTA技術(shù)在智能網(wǎng)聯(lián)汽車發(fā)展戰(zhàn)略中的重要地位。2017年，各大主機廠紛紛發(fā)布了自己關(guān)于2025年智能網(wǎng)聯(lián)汽車的發(fā)展規(guī)劃及發(fā)展戰(zhàn)略。在這當中，我們發(fā)現(xiàn)了一些共同點：很多主機廠都把OTA和診斷平臺變成自己發(fā)展戰(zhàn)略規(guī)劃中的一個重要的里程碑和基礎(chǔ)節(jié)點進行建設(shè)。

在整體思路方面，大家普遍會分為四個階段：第一階段，汽車聯(lián)網(wǎng)能力的構(gòu)建和普及：在打造個人用戶系統(tǒng)的同時，提供基于互聯(lián)網(wǎng)特色的內(nèi)容和體驗。

第二階段，OTA和診斷平臺等基礎(chǔ)性平臺的能力建設(shè)，為未來智能網(wǎng)聯(lián)核心工作的發(fā)展打下一個比較堅實的基礎(chǔ)。

第三階段，引入輔助駕駛，很多車廠會在2020年左右推出支持輔助駕駛以及低級別自動駕駛的部分智能網(wǎng)聯(lián)汽車產(chǎn)品，通過已經(jīng)建設(shè)好的OTA體系不斷優(yōu)化迭代輔助駕駛算法以及能力，同時車聯(lián)網(wǎng)后臺可以利用OTA管道來收集、處理更多與輔助駕駛相關(guān)的大數(shù)據(jù)信息。

第四階段，對于很多車廠2025規(guī)劃來說，都是V2X以及高級自動駕駛能力的實現(xiàn)。眾所周知，任何一個通信標準從誕生到成熟，都必須依賴于OTA技術(shù)的不斷迭代，來保證整體互聯(lián)性和互通性的普及。事實上，高級別自動駕駛的實現(xiàn)，也是一個逐漸迭代的過程，不可能一蹴而就。目前，很多廠商選擇硬件冗余并通過軟件不斷迭代的方式，最終達到高級別自動駕駛的狀態(tài)。

通過OTA技術(shù)，未來具有強大硬件性能和軟件OTA能力的車輛，才能成為真正意義上的智能終端。借此，車聯(lián)網(wǎng)才能夠?qū)⒋髷?shù)據(jù)能力、監(jiān)控更新能力以及用戶管理能力融為一體，完成下一代的進階。

今年年初，國家發(fā)改委發(fā)布了智能汽車創(chuàng)新發(fā)展戰(zhàn)略，其中也對2020和2025年國家智能汽車創(chuàng)新發(fā)展的戰(zhàn)略目標進行了明確規(guī)劃。此舉無形中推動了V2X以及高級自動駕駛能力的快速實現(xiàn)，所以對于很多主機廠來說，目前OTA體系的建設(shè)迫在眉睫。

在整車廠的規(guī)劃中，OTA體系和整個智能網(wǎng)聯(lián)運營平臺又存在何種對應(yīng)關(guān)系呢？整車廠對于OTA平臺的建設(shè)思路是獨立、統(tǒng)一、易對接和可擴展的。

獨立意味著，區(qū)別于現(xiàn)在的TSP平臺。大家都知道，目前很多車廠在1.0發(fā)展規(guī)劃中已有自己的TSP平臺，其中具備一定的OTA能力實現(xiàn)對TBOX甚至是車機等單獨業(yè)務(wù)功能模塊的遠程升級。但是站在整車角度來看，這種模式對整車長遠的發(fā)展并不能起到很好的支撐作用。所以，現(xiàn)階段有必要去建設(shè)一套獨立化的專屬OTA管理平臺。

統(tǒng)一，指的是未來對于固件升級、應(yīng)用層軟件升級、新功能的導入、ECU固件的更新、ECU標定的更新、配置字的更新、安全補丁包升級等方面，未來都需要在OTA平臺上進行具體的實施和落地，這需要一個統(tǒng)一的接口。

易對接的特點是，未來OTA平臺并非孤立存在，需要與各平臺體系進行打通，這樣才能產(chǎn)生更大的價值。

可擴展指的是，讓OTA平臺未來能夠自由擴展到更多平臺進行對接。同時，同一套OTA管理平臺可以支撐不同車輛車型平臺，還可以根據(jù)車輛數(shù)目的增多，進行硬件擴展。

從整個OTA體系的功能定位上來看，未來TSP平臺可以借助OTA平臺實現(xiàn)操作系統(tǒng)版本的更新、新功能的導入激活、ATP的升級管理以及內(nèi)容的更新；診斷和售后平臺可以借助OTA平臺實現(xiàn)ECU固件的更新、ECU標定的更新、配置字的更新；車廠以后自己建設(shè)智能駕駛管理平臺未來可以借助OTA平臺實現(xiàn)邏輯處理部件的更新，以及算法和一些算法參數(shù)的更新，包括現(xiàn)在很多車廠正在建設(shè)的安全運維管理平臺，未來可以利用OTA平臺進行信息安全的應(yīng)急措施的響應(yīng)，以及安全漏洞的補丁升級。這就是OTA體系在整車廠規(guī)劃中重要作用的體現(xiàn)。

汽車OTA體系設(shè)計思路

接下來，我們再看一下汽車OTA體系整體的設(shè)計和建設(shè)思路。從汽車OTA體系的基本框架來看，汽車OTA體系是一個典型的由云、管、端組成的系統(tǒng)。未來，汽車端層次包含了很多跟汽車OTA相關(guān)的具體應(yīng)用程序，運行在供應(yīng)商的設(shè)備上。汽車端的工作包括：負責本地信息的采集及上報、未來升級包的下載與本地執(zhí)行等。

中間層——通信端，主要負責在云端和汽車端之間進行業(yè)務(wù)交互協(xié)議定義，以及應(yīng)用層的相關(guān)協(xié)議。服務(wù)器端則主要負責升級包的制作，車型和車輛的管理，為不同的車型和車輛配置不同的升級策略和升級任務(wù)。這就是典型的OTA管理體系的構(gòu)成。

在云端，整體OTA體系建設(shè)核心思路包含以下幾個方面：首先是軟件管理，包括對于升級包的分類，譬如ECU的固件包、很多車機平臺的軟件包，還有未來的地圖包、語音包、參數(shù)標定以及配置字等不同的升級類型。我們首先需要對它進行分類，同時不同類型的升級包需要不同的制作過程。升級包及其制作過程都對應(yīng)不同的ECU，還有升級包自己本身迭代版本的對應(yīng)關(guān)系，都需要在軟件管理層面進行統(tǒng)一考慮。

其次是車輛的管理。對于OTA來說，當我們?nèi)ネ扑突蛘吲渲靡淮蜲TA升級時，我們首先要了解到車端的具體情況，包括車端硬件體系的構(gòu)成以及當前軟件版本的具體信息。這是能夠配置好OTA升級的前提條件。

再次是任務(wù)管理。我們會在任務(wù)管理中為不同的車輛模型配置不同的升級策略。配置好升級策略之后，未來還要通過白名單或黑名單的方式去管理不同的升級灰度。比如說有些升級，必須要面對特定地區(qū)的車輛，或者是特定用戶名單中的車輛，或者是工程車輛。還有對于升級條件的管理，車輛必須滿足某種條件才能收到自己的升級包以執(zhí)行整個升級過程。此外，還有對于發(fā)布后的升級任務(wù)進行管理，管理其執(zhí)行度及執(zhí)行狀況。

當然，除此之外，對于OTA體系來說最重要的還有對于人員的管理。隨著未來OTA體系部署和建設(shè)的私有化，車廠也規(guī)劃了專門的OTA管理團隊，這當中就會涉及到一些角色以及權(quán)限的分配。不同的角色和不同的權(quán)限對應(yīng)著不同的管理及工作流程，所以在云端建設(shè)中，人員的管理也是重中之重。

在管道端的建設(shè)速度方面，主要包括了以下幾個層次的思考：首先在鏈路層，對于整車廠而言，主要考慮的問題是：未來流量池的問題、未來整個OTA體系的流量是走用戶的流量還是走自己的流量？是否采用獨立的APN？還是跟現(xiàn)有的TSP APN復用？未來OTA場景走的是公網(wǎng)還是私網(wǎng)？或者說公網(wǎng)私網(wǎng)混合的架構(gòu)？這些都是鏈路層需要考慮的問題。

那在協(xié)議層部分主要考慮的是，在車端和云端建立的連接，是基于TLS1.2的雙向還是單向認證體系？這部分跟整車端的實際能力以及車廠的建設(shè)思路息息相關(guān)。

至于管道端的應(yīng)用層，很多車廠需要考慮的是整個應(yīng)用層的協(xié)議。車端和云端的交互是否采用國際通用標準，比如說采用OMA體系協(xié)議的規(guī)范和框架？還是基于私有化的自定義的協(xié)議體系和框架？這部分也將直接影響到未來的成本投入及靈活性，車廠需要做出綜合考量。

而在整個OTA體系中，建設(shè)難度相對較高的是車端體系的建設(shè)思路，其中主要包括三個層面。首先是整體架構(gòu)的設(shè)計，包含升級目標的確定：哪些ECU未來可以作為遠程升級的目標，以及升級主控的選擇：需要以什么樣的設(shè)備為主，把升級包分發(fā)給別人，來掌控整個升級流程的進展。還有升級流程的設(shè)計：未來整個升級流程如何執(zhí)行，出現(xiàn)問題應(yīng)該怎樣處理。

除了整體架構(gòu)之外，也要在總線和協(xié)議方面進行考量。未來升級包在車內(nèi)進行傳輸，那我們采用什么類型的總線進行傳輸？大家都知道，大部分總線都是基于CAN線來傳輸?shù)?。然而對于一些智能化設(shè)備而言，是否還適用于走CAN線，或者去走一些高速的總線。對于傳輸協(xié)議也是如此，對于CAN線上升級包的傳輸或者是刷寫，可以復用現(xiàn)有UDS的協(xié)議。但是對于一些高速線的升級包的傳輸，也需要額外定義一些OTA相關(guān)的傳輸協(xié)議。未來升級的整個場景和用戶的HMI是息息相關(guān)的，車主必須要有執(zhí)行權(quán)，所以整個升級體系的流程必須要與HMI定義清晰的協(xié)議體系框架。

最后就是電氣性能的規(guī)劃和設(shè)計，主要包括升級方式的劃分。大家都知道，未來在車內(nèi)整個架構(gòu)中，不同ECU的電器器件，肯定會對應(yīng)不同的升級方式，有些可能是采用UDS刷寫的方式，有些可能采用整包升級的方式，有些必須要采用差分升級或者增量升級的方式，這樣不同的升級方式需要提前進行劃分。有了不同的升級方式，也要對應(yīng)地對空間、分區(qū)等ECU的選擇階段進行空間方面的預(yù)留。同時，對于被選擇作為升級主控節(jié)點的設(shè)備，或者刷寫主控節(jié)點的設(shè)備，未來也要提前規(guī)劃一些能力，比如說聯(lián)網(wǎng)能力、存儲能力、分發(fā)能力以及安全能力。

當然，上述三個方面其實只是一個前提和基礎(chǔ)，這只能保證未來車端是可以支撐云端OTA體系的。這其中最大的難點在于，由于未來車廠希望這套體系可以應(yīng)用于不同車型與平臺中，所以在平臺和車型之間存在著巨大差異化的前提條件下，如何能夠把上述設(shè)計抽象出統(tǒng)一的OTA升級體系規(guī)范，這件事對于很多從業(yè)者來說非常值得思考，并且迫在眉睫。

汽車OTA體系實踐與進階

最后，我們討論一下關(guān)于汽車OTA體系的進階思考。首先，是統(tǒng)一化的建設(shè)思路。車廠必須在整個OTA體系的設(shè)計階段，就考慮到未來OTA管理平臺所接入車型的差異化。所以整體思路應(yīng)該遵循：導入供應(yīng)商的多元化以及ECU具體產(chǎn)品設(shè)備的硬件和軟件碎片化，才能保證未來自己平臺的統(tǒng)一化。

設(shè)計得再好，也要有可行性作為保障和前提。所以可行性保障對車廠來說也是重中之重。就這方面而言，作為OTA服務(wù)商必須能夠給予車廠成熟方案，并且能夠根據(jù)車廠的實際訴求、實際能力進行實際的定制。同時能夠拿出合理的分工及可行性計劃。更關(guān)鍵的是，除了擁有開發(fā)能力和可行性能力之外，還要有一個能夠進行測試和驗收的成熟方案。在這部分，目前國內(nèi)體系相對比較缺失，這就必須要依賴于整個OTA體系服務(wù)商現(xiàn)有的經(jīng)驗和項目能力，進行整體把控。

另外一部分，就是對于供應(yīng)商的選擇。對于支持OTA的車型而言，未來供應(yīng)商的角色會變得非常重要。未來供應(yīng)商的能力包括對于自身設(shè)備特性的規(guī)劃能力，主控設(shè)備是否已經(jīng)具備了聯(lián)網(wǎng)、存儲、本地分發(fā)、安全管理等能力。他們是否有能力對于車廠定義好的SDK進行集成式的開發(fā)，以及自身的設(shè)施和驗證能力，對于車廠來說都是很關(guān)鍵的。

當然，對于車廠來說，最關(guān)鍵的還是自身管理體系的完善以及平臺的建設(shè)。管理體系的完善包括車廠自身對于車型車輛以及具體車輛中軟件管理能力的不斷建設(shè)和不斷提高。以及與未來建設(shè)好的OTA管理平臺，同步進行OTA運營團隊的戰(zhàn)略建設(shè)，當前我們也在配合很多車廠同步進行團隊建設(shè)。這樣就保證了未來我們建設(shè)好的OTA平臺，是由真正的OTA運營團隊進行運營的，保證未來的交付質(zhì)量和交付效率。同時車廠也要規(guī)劃更多其他功能型平臺的建設(shè)，以及它們?nèi)绾魏蚈TA平臺對接，這些也是在OTA平臺建設(shè)階段同時需要考慮的問題。

在Q&A環(huán)節(jié)，芮亞楠對于部分聽眾關(guān)于OTA技術(shù)的問題進行了解答：

Q：在OTA更新過程中，除了簽名驗簽的防護機制之外還有其他防護策略嗎？如果僅有簽名驗簽的防護，有哪些風險？

A：在OTA的更新中，簽名和驗簽機制是最基礎(chǔ)的工作，也是我們進行OTA體系建設(shè)時必須要實現(xiàn)的機制。通過簽名和驗簽機制，主要防護未來升級包來源的合法性，這是基礎(chǔ)。當然，只有簽名和驗簽機制是遠遠不夠的，同時還涉及到身份的驗證。比如說，車端要和云端實現(xiàn)交互，除了驗簽機制之外，還要對身份進行驗證。這部分工作需要基于PKI的體系進行建設(shè)，或者需要PKI的一些基礎(chǔ)。同時，除了對升級包進行簽名和驗簽之外，還需要加密和解密技術(shù)，為了杜絕未來升級包內(nèi)容泄露的可能性。

Q：OTA升級管端通道是用公網(wǎng)或私網(wǎng)，各自的優(yōu)劣勢，怎么考慮？

A：對于公網(wǎng)和私網(wǎng)的優(yōu)劣勢主要基于以下幾方面考量：私網(wǎng)最大的好處當然就在于安全性和私密性的保證，其劣勢則在于未來隨著車輛不斷增多，對于整個服務(wù)器的處理能力以及管道吞吐量有著很高的要求，尤其是對于整個車輛跨地域覆蓋程度是一個很大的挑戰(zhàn)。

公網(wǎng)的優(yōu)勢就在于，可以利用現(xiàn)有的公有云資源，尤其是借助CDN技術(shù)，來保證未來面對大規(guī)模車輛的升級場景時，可以采用CDN技術(shù)進行升級包的有效分發(fā)和高效的下載。當然，缺點主要在于相對私網(wǎng)來說，安全性稍有欠缺。這個就是車廠方面的實際考量。

從實際項目案例來看，目前大部分都采用了公網(wǎng)私網(wǎng)混合的流程，業(yè)務(wù)流程使用私網(wǎng)，升級包的下載過程基于公網(wǎng)。這也是實際項目中的典型選擇。

Q：針對于不同硬件供應(yīng)商升級包格式的差異化，OTA平臺如何做到統(tǒng)一管理各類廠商的升級包？

A：這是一個十分核心的問題。未來需要提供一套整體的統(tǒng)一的做包工具，通過做包工具彌補這些差異化。當然，在做包的時候，首先需要進行分類，再去實現(xiàn)標準化。除了標準化之外，還有管理的統(tǒng)一性，要跟車廠現(xiàn)有的管理體系規(guī)范達成一致。比如說很多車廠現(xiàn)有的零部件管理系統(tǒng)，其中一些編碼規(guī)則將同樣適用于軟件，統(tǒng)一規(guī)劃實現(xiàn)。

Q：現(xiàn)階段在車輛深度嵌入式且對安全性要求較高的應(yīng)用方面，似乎還尚未實現(xiàn)OTA。對此，艾拉比方面未來是否有相關(guān)針對性計劃？您認為，就這方面而言，哪種路線是最優(yōu)選擇？

A：從我們以及很多車廠的觀點來看，當考慮技術(shù)可行性和方案搭建時，其實就已經(jīng)把深度嵌入且相對安全性較高的ECU升級考慮進來了，這里面最典型的就是底盤ECU等等。當然現(xiàn)在大家看到，很多車廠對外宣傳或者對外介紹時，的確是沒有涉及到這樣一些領(lǐng)域。這背后的原因在于，OTA體系的建設(shè)不是一蹴而就的，需要一個漸進的過程。所以對于車廠來說，現(xiàn)階段并未把ECU體系作為當前建設(shè)目標，但是目前在我們的合作車廠中，都已經(jīng)將其確立為下一步升級目標了。

第二，對于這樣一些核心關(guān)鍵件的ECU，同時也需要有很高的可靠性保障。為了實現(xiàn)這種保障，在整體架構(gòu)層面，未來比如說刷寫這些ECU，或者升級這樣ECU的主節(jié)點上面，要做很多優(yōu)化和冗余的工作。同時呢，對于這樣的ECU本身，也要做好這種雙分區(qū)、雙備份的機制，這樣的話才能夠?qū)崿F(xiàn)可靠穩(wěn)定的升級。

所以就這方面而言，關(guān)于這個路線我認為肯定是一個逐步實施逐步實現(xiàn)的過程。不是說車廠有直接規(guī)劃就可以直接實現(xiàn)的，同時也要借助于ECU廠商以及整車架構(gòu)的變化。所以我相信可能大家在2019年或2020年的部分車型上，能夠見證這樣場景的實現(xiàn)。