從特斯拉召回事件，窺探OTA汽車進(jìn)化真面目

特斯拉在科技圈中，是個(gè)有話題有熱點(diǎn)的黑網(wǎng)紅，曝出來的永遠(yuǎn)都是各種控制系統(tǒng)失控出車禍的新聞，這不最近又闖禍了。近日消息，特斯拉召回部分進(jìn)口和國(guó)產(chǎn)Model 3、國(guó)產(chǎn)Model Y電動(dòng)汽車，共計(jì)285520輛，召回的主要原因是車輛存在主動(dòng)巡航控制系統(tǒng)安全隱患，易造成駕駛員在轉(zhuǎn)彎或者在D擋位情形誤激活主動(dòng)巡航功能，可能出現(xiàn)車輛速度突增情形，極端情況下可能導(dǎo)致車輛發(fā)生碰撞。

看起來非常嚇人，畢竟是關(guān)系到用車安全的問題。特斯拉此次的大規(guī)模召回不是物理上將車返廠返點(diǎn)的方式，而是通過汽車遠(yuǎn)程升級(jí)OTA的技術(shù)，用戶無需到店即可完成在線升級(jí)?？此坪車?yán)重的安全隱患僅僅通過OTA升級(jí)安全包的更新就可以解決問題嗎？這種召回方式，沒有車廠后續(xù)的常規(guī)安全測(cè)試，總覺得讓人不安，甚至也會(huì)讓人對(duì)OTA技術(shù)本身是否安全有疑慮。那么OTA系統(tǒng)到底安全嗎？想要回答這個(gè)問題，先從什么是OTA汽車聊起。

OTA汽車到底是什么？

OTA的全稱“Over-The-Air”，即空中下載技術(shù)（遠(yuǎn)程升級(jí)技術(shù)），通過無線網(wǎng)絡(luò)下載數(shù)據(jù)包從而對(duì)系統(tǒng)更新進(jìn)而改善終端功能和服務(wù)的技術(shù)。我們的電腦和手機(jī)進(jìn)行系統(tǒng)更新的時(shí)候也是用的這個(gè)OTA技術(shù)。OTA進(jìn)行系統(tǒng)升級(jí)的目的就是修復(fù)系統(tǒng)漏洞、優(yōu)化改善以獲得更多的功能、性能提升，又或者是視覺效果的改善，且這種更新是通過聯(lián)網(wǎng)后在線檢測(cè)、匹配版本、下載新的代碼到本地進(jìn)而執(zhí)行安裝、校驗(yàn)等程序。

OTA技術(shù)最早應(yīng)用于的汽車就是在2012年特斯拉推出的ModeL S上，內(nèi)容更新范圍包括人機(jī)交互、自動(dòng)駕駛、動(dòng)力電池系統(tǒng)等模塊，當(dāng)時(shí)特斯拉可以通過OTA完成鑰匙卡漏洞、提升續(xù)航里程、提高最高速度、提升乘坐舒適度等。

汽車OTA技術(shù)根據(jù)升級(jí)固件的差異，可以分為SOTA（Software OTA，軟件空中升級(jí)）和FOTA（Firmware OTA，固件空中升級(jí)），即整車OTA。其中，SOTA只能對(duì)車輛應(yīng)用層軟件更新，僅限車機(jī)、信息娛樂等軟件，幾乎沒有硬件調(diào)度的能力，車企實(shí)現(xiàn)難度較小，市面上經(jīng)?？吹叫麄鞯腛TA汽車大多數(shù)都是僅具有SOTA技術(shù)。而FOTA是對(duì)車輛控制器的系統(tǒng)層進(jìn)行升級(jí)，影響的是車的動(dòng)力系統(tǒng)、電池管理等系統(tǒng)，比如可以對(duì)底盤、動(dòng)力、ADAS等底層系統(tǒng)進(jìn)行OS層的軟件更新。

搭載OTA技術(shù)的汽車跟傳統(tǒng)的汽車主要的區(qū)別是：在性能方面，搭載OTA技術(shù)的汽車車載實(shí)現(xiàn)的功能更豐富，總的來說是從這幾方面實(shí)現(xiàn)功能：可以修復(fù)系統(tǒng)bug，更新驅(qū)動(dòng)，優(yōu)化UI界面，刪除問題APP，大版本升級(jí)等。大多數(shù)車用OTA一般是針對(duì)娛樂系統(tǒng)、導(dǎo)航等推出在線系統(tǒng)更新。

其次是車輛遇到軟件故障或是需要更新時(shí)，傳統(tǒng)汽車需要將車開到4S店利用專業(yè)電腦修復(fù)，耗費(fèi)的時(shí)間精力，而搭載OTA技術(shù)的汽車可以足不出戶就完成車輛升級(jí)，修復(fù)問題，節(jié)省成本與時(shí)間。比如OTA汽車可以對(duì)汽車的ECU軟件進(jìn)行更新。ECU是汽車電子控制器，通俗的來說就是汽車的大腦，新車出廠時(shí)動(dòng)力不會(huì)完全發(fā)揮出來，通常會(huì)留下一部分可提升的空間，刷ECU就是通過一些技術(shù)手段，在原廠發(fā)動(dòng)機(jī)能承受的基礎(chǔ)上對(duì)ECU進(jìn)行編碼，達(dá)到提升馬力或扭矩的目的，傳統(tǒng)汽車想要刷ECU需要借助原廠的技術(shù)，OTA汽車可以在線升級(jí)這種能力。

從上述的描述可以看出搭載OTA技術(shù)的車輛實(shí)現(xiàn)的功能以及便捷性讓人心動(dòng)與青睞，但是因?yàn)镺TA技術(shù)本身涉及到對(duì)車輛物理性能比如ECU改變、電池性能改變、以及車輛軟件體驗(yàn)功能的改變，在這其中，也有一些暗礁可能被觸及。

OTA汽車是把雙刃劍

從傳統(tǒng)車企的保守選擇來看，大家沒有照單全收這些美好的體驗(yàn)，沒有那么熱衷搭載也是有原因的，OTA汽車也是把雙刃劍。

首先是因?yàn)閭鹘y(tǒng)汽車成熟的研發(fā)周期和穩(wěn)定的企業(yè)架構(gòu)，想要實(shí)現(xiàn)OTA需要新匹配的元器件太多，產(chǎn)線與企業(yè)結(jié)構(gòu)的改變成本太大，這些新的元器件都需要經(jīng)過高成本的測(cè)試，汽車廠商不會(huì)將一堆未經(jīng)測(cè)試考驗(yàn)的“半成品”集成后推向市場(chǎng)，影響生命財(cái)產(chǎn)安全。

從技術(shù)原因分析來看，主要是跟傳統(tǒng)汽車的結(jié)構(gòu)有關(guān)。傳統(tǒng)的汽車都是純機(jī)械結(jié)構(gòu)，動(dòng)力單元非常復(fù)雜，噴油量、剎車系統(tǒng)、換擋邏輯、轉(zhuǎn)向比、懸掛風(fēng)格等參數(shù)關(guān)系標(biāo)定，需要被工程師千萬次調(diào)試測(cè)試到最佳安全狀態(tài)才能出廠。而重新搭建OTA對(duì)于動(dòng)力輸出來說變得不穩(wěn)定，破壞平衡的參數(shù)設(shè)定。

除了因?yàn)槲锢碛布O(shè)備的安全隱患外，OTA技術(shù)在遠(yuǎn)程升級(jí)過程中，有被黑客攻擊的風(fēng)險(xiǎn)。汽車在下載升級(jí)包的過程中，黑客可以利用網(wǎng)絡(luò)手段將被病毒升級(jí)包發(fā)送給車輛，進(jìn)而修改系統(tǒng)、遠(yuǎn)程控制、勒索錢財(cái)。如果遇到一些極端天氣或者環(huán)境網(wǎng)絡(luò)不穩(wěn)定的情況，也會(huì)導(dǎo)致升級(jí)包出現(xiàn)漏洞，進(jìn)而使得車輛升級(jí)失敗。

我們可以看到OTA技術(shù)在物理設(shè)備元器件本身的匹配以及協(xié)議和設(shè)計(jì)過程需要經(jīng)過大量的安全測(cè)試，軟硬件設(shè)備之間的鏈接耦合無論是哪個(gè)環(huán)節(jié)存在隱患，對(duì)于企業(yè)和車輛的安全都是生死存亡的問題，不能兒戲。拿特斯拉汽車此次召回事件來說，ACC自適應(yīng)巡航控制的操作,常規(guī)的車企設(shè)計(jì)方案是采用按鍵式或者獨(dú)立撥桿的操作開啟自適應(yīng)巡航功能，但是特斯拉在使用自適應(yīng)巡航控制功能的時(shí)候容易有誤操作，這是一個(gè)設(shè)計(jì)邏輯上的缺陷，特斯拉的解決方案是提升激活主動(dòng)巡航的閾值，加入了其激活和退出的提醒，避免誤觸的可能再發(fā)生。

小小的一個(gè)功能邏輯設(shè)定有誤的話，也會(huì)帶來萬劫不復(fù)的結(jié)果，對(duì)于安全問題，不能假設(shè)所有人都是小心謹(jǐn)慎沒有大腦短路的時(shí)候。如果關(guān)注車輛相關(guān)的的新聞?wù)倩厥录乙姴货r，對(duì)于軟件故障，OTA可以通過升級(jí)可以解決部分故障，但是是否還會(huì)帶來新的問題，也會(huì)是個(gè)亟待解決的問題?？梢钥吹絆TA技術(shù)對(duì)于車企而言，是把雙刃劍，討論其是否絕對(duì)安全也沒有意義，OTA汽車的智能化之路，不會(huì)一蹴而就，一些系統(tǒng)的瑕疵需要時(shí)間去逐漸迭代優(yōu)化，畢竟沒有任何產(chǎn)品在設(shè)計(jì)之初就是完美的。

目前整個(gè)市場(chǎng)發(fā)展的趨勢(shì)就是車企逐漸在擁抱OTA技術(shù)，不會(huì)因?yàn)榫植康南拗埔蛞瓘U食。OTA技術(shù)正成為智能汽車標(biāo)配， 其技術(shù)滲透率提升尤為明顯。有數(shù)據(jù)顯示，在2020年全球售出的車輛中，有30％具有OTA功能。到2025年，該比例將上升至79％。而根據(jù)高工智能汽車研究院發(fā)布的數(shù)據(jù)，2020年中國(guó)市場(chǎng)新車OTA搭載率已經(jīng)達(dá)到22.42%，預(yù)計(jì)今年將提升至35-40%。

盡管不少車企在發(fā)布會(huì)賣力營(yíng)銷OTA升級(jí)技術(shù)，但裸泳的人也不少，大多數(shù)車企還是停留在SOTA升級(jí)層面，也就是娛樂互動(dòng)層面的功能升級(jí)，能夠進(jìn)行整車OTA升級(jí)的車企屈指可數(shù)。目前有著整車OTA能力的是特斯拉、理想、小鵬、等新貴。而面向于整車OTA升級(jí)，才是智能汽車區(qū)別于傳統(tǒng)汽車的一個(gè)非常顯著的標(biāo)志。從OTA汽車的發(fā)展歷程上來看，汽車行業(yè)對(duì)于OTA的需求是逐步由零部件級(jí)、整車級(jí)、企業(yè)級(jí)發(fā)展到行業(yè)生態(tài)級(jí)。寶馬、大眾、上汽通用等傳統(tǒng)車企在這個(gè)大的變革中積極改革進(jìn)行電子架構(gòu)重構(gòu)，以實(shí)現(xiàn)整車OTA。

OTA汽車未來的大考之路

現(xiàn)在大部分車企都能做到車機(jī)娛樂系統(tǒng)的OTA，也就是 SOTA，但真正難啃的硬骨頭是整車FOTA。因?yàn)槠渖婕罢囍圃焐淘谛萝嚿系碾娮蛹軜?gòu)、硬件配置以及軟件自研能力。電子控制器需要與設(shè)備的更新機(jī)制進(jìn)行深度整合，車輛在什么狀態(tài)下進(jìn)行刷寫，如何確保確保更新過程的穩(wěn)定性與安全性，這些實(shí)現(xiàn)上的難點(diǎn)都是要考慮的。比如汽車內(nèi)部件的ECU（汽車電子控制元器件），它們?cè)谡嚨募軜?gòu)中數(shù)量為幾百個(gè)，連接在不同的通訊網(wǎng)絡(luò)中，每條網(wǎng)絡(luò)的數(shù)據(jù)傳輸協(xié)議不同，比較復(fù)雜，升級(jí)的控制器越多考量的網(wǎng)絡(luò)通訊拓?fù)浣Y(jié)構(gòu)協(xié)議翻番難度上升，需要OTA供應(yīng)商對(duì)每條通訊線路的特點(diǎn)有清晰的認(rèn)知才能高效地實(shí)現(xiàn)軟件升級(jí)。

在信息安全方面，OTA數(shù)據(jù)傳輸?shù)倪^程中，有被仿冒、竊取、攻擊的潛在風(fēng)險(xiǎn)，在通訊過程中會(huì)被不懷好意的黑客挾持與篡改，可能導(dǎo)致車輛運(yùn)行異常、隱私泄露、財(cái)務(wù)甚至是生命安全受到威脅。保障OTA汽車的安全升級(jí)之路尤為重要。OTA汽車廠商需要搭建設(shè)計(jì)完善的標(biāo)識(shí)秘鑰技術(shù)架構(gòu)，驗(yàn)證機(jī)制與升級(jí)條件的限定需要雙向把控，才能保障端云一體的信息安全體系。

OTA汽車功能的實(shí)現(xiàn)背后依托網(wǎng)關(guān)協(xié)議、網(wǎng)絡(luò)安全、算力算法技術(shù)持續(xù)開發(fā)等多方面能力發(fā)展，雖然電子模塊與軟件技術(shù)協(xié)同發(fā)展，在整車上應(yīng)用的越來越多，但技術(shù)還是沒有成熟到社會(huì)廣泛認(rèn)同的階段，智能汽車的發(fā)展之路長(zhǎng)途漫漫，更新和改善的空間還是很大，OTA汽車功能上的優(yōu)化，服務(wù)的差異化需要同步進(jìn)化，幸運(yùn)的是我們會(huì)一起見證OTA汽車帶來的驚喜。