為什么說(shuō)傳統(tǒng)車企搞不好 OTA 技術(shù)？

摘要

《通知》的發(fā)布應(yīng)該就是為了避免 OTA 技術(shù)被車企濫用。不過(guò)，目前的《通知》還只是一個(gè)大綱性質(zhì)的政策，并沒(méi)有完善的執(zhí)行細(xì)節(jié)，短時(shí)間內(nèi)汽車 OTA 的召回事宜，估計(jì)還是要看企業(yè)的自覺(jué)性了。

“自覺(jué)性”是防微杜漸，也是渾水摸魚。

11 月 25 日，市場(chǎng)監(jiān)管總局發(fā)布《市場(chǎng)監(jiān)管總局辦公廳關(guān)于進(jìn)一步加強(qiáng)汽車遠(yuǎn)程升級(jí)（OTA）技術(shù)召回監(jiān)管的通知》，《通知》提出，當(dāng)生產(chǎn)者采用 OTA 方式消除汽車產(chǎn)品缺陷、實(shí)施召回時(shí)，應(yīng)按照《缺陷汽車產(chǎn)品召回管理?xiàng)l例》及《缺陷汽車產(chǎn)品召回管理?xiàng)l例實(shí)施辦法》要求，向市場(chǎng)監(jiān)管總局質(zhì)量發(fā)展局備案，依法履行召回主體責(zé)任。其中，今年年內(nèi)采用 OTA 方式對(duì)已售車輛開(kāi)展技術(shù)服務(wù)活動(dòng)的有關(guān)汽車生產(chǎn)者需要補(bǔ)充備案。

至此，蒙眼狂奔的 OTA 技術(shù)，開(kāi)始從營(yíng)銷噱頭轉(zhuǎn)向關(guān)鍵性作用，到了需要政策進(jìn)行規(guī)范的階段。

借著上述《通知》的發(fā)布，我們來(lái)走近 OTA 產(chǎn)業(yè)背后，一睹行業(yè)的發(fā)展現(xiàn)狀與挑戰(zhàn)。

OTA 市場(chǎng)現(xiàn)狀

OTA 全稱“Over-The-Air”，即空中下載技術(shù)，早期被廣泛應(yīng)用在手機(jī)行業(yè)中，終結(jié)了手機(jī)軟件升級(jí)需要連接電腦、下載軟件、再安裝更新的繁復(fù)操作。近年來(lái)，隨著汽車網(wǎng)聯(lián)技術(shù)不斷發(fā)展，汽車 OTA 也成為了行業(yè)熱詞。

通過(guò) OTA 技術(shù)對(duì)汽車進(jìn)行遠(yuǎn)程升級(jí)，不僅可以持續(xù)為車輛改善終端功能和服務(wù)，讓車主擁有更便捷、更智能的用車體驗(yàn)，而且還可以被用于快速修復(fù)漏洞，幫助實(shí)施汽車召回。正在逐漸成為企業(yè)解決軟、硬件系統(tǒng)問(wèn)題的重要措施。

業(yè)內(nèi)公認(rèn)的汽車 OTA 最早出現(xiàn)是在 2012 年，特斯拉推出的 Modes S 首次采用 OTA 技術(shù)，更新范圍涉及人機(jī)交互、自動(dòng)駕駛、動(dòng)力電池系統(tǒng)等模塊，當(dāng)時(shí)特斯拉可以通過(guò) OTA 完成鑰匙卡漏洞、提升續(xù)航里程、提高最高速度、提升乘坐舒適度等，讓車的功能迭代更加靈活和便捷。

后來(lái)，OTA 技術(shù)開(kāi)始被豐田、福特、大眾、寶馬等傳統(tǒng)車企所嘗試。期間，國(guó)內(nèi)的蔚來(lái)、理想、小鵬、上汽、比亞迪等也陸續(xù)推出了可以實(shí)現(xiàn)部分功能或整車 OTA 的車型。

OTA 能給車企和用戶帶來(lái)什么？

• 節(jié)約成本和時(shí)間

對(duì)很多車企而言，OTA 技術(shù)上車的主要?jiǎng)恿κ浅鲇诔杀竞蜁r(shí)間節(jié)約的考慮。

傳統(tǒng)的召回需要走內(nèi)部及外部審批過(guò)程，時(shí)間和金錢的成本都非常高。通過(guò) OTA 方式可以有效提高召回效率和完成率?，F(xiàn)在一個(gè)召回可能需要兩年時(shí)間，而通過(guò) OTA 召回，可能兩周就能解決，同時(shí)，還可大幅降低召回成本。有數(shù)據(jù)顯示，2019 年 OTA 技術(shù)在汽車軟件、程序升級(jí)中，為我國(guó)整車廠節(jié)約 165 億美元售后體系的支出。

• 快速修復(fù)系統(tǒng)缺陷

傳統(tǒng)汽車在用戶行駛中出現(xiàn)了系統(tǒng)方面的缺陷，解決辦法是汽車廠家啟動(dòng)召回程序，在用戶收到召回程序后返廠進(jìn)行系統(tǒng)的統(tǒng)一升級(jí)。

國(guó)家市場(chǎng)監(jiān)督管理總局?jǐn)?shù)據(jù)顯示，自 2004 年 3 月建立召回制度開(kāi)始，至 2020 年 9 月底，我國(guó)已累計(jì)實(shí)施汽車召回 2119 次，召回缺陷車輛 8010.2 萬(wàn)輛，約占我國(guó)汽車保有量的 30%。召回原因除了傳統(tǒng)的氣囊 / 安全帶、發(fā)動(dòng)機(jī)、轉(zhuǎn)向 / 懸架和電子電器總成等缺陷，由軟件故障引發(fā)的召回?cái)?shù)量，在近幾年呈明顯增長(zhǎng)態(tài)勢(shì)。截至 2019 年涉及程序或軟件問(wèn)題的召回達(dá)到 213 次，涉及車輛 683.02 萬(wàn)輛，約占總召回?cái)?shù)量的 9%。

未來(lái)，隨著車聯(lián)網(wǎng)、自動(dòng)駕駛等新技術(shù)的快速發(fā)展，軟件故障問(wèn)題或更加突出。OTA 技術(shù)可以通過(guò)遠(yuǎn)程快速數(shù)據(jù)包的形式完成缺陷的修復(fù)，避免持續(xù)數(shù)月的進(jìn)廠召回帶來(lái)的風(fēng)險(xiǎn)。

圖源：蓋世汽車資訊

?

• 快速迭代、提升使用體驗(yàn)

OTA 升級(jí)對(duì)主機(jī)廠真正具有吸引力的地方在于它能夠?qū)崿F(xiàn)車輛重要功能的常用常新。由于在產(chǎn)品設(shè)計(jì)中的硬件超前配備，智聯(lián)網(wǎng)汽車操作系統(tǒng)可以通過(guò)一次次 OTA 升級(jí)，不斷給車主逐步開(kāi)啟新功能，優(yōu)化產(chǎn)品體驗(yàn)，進(jìn)行快速迭代，提供更加優(yōu)質(zhì)的系統(tǒng)服務(wù)。

• 實(shí)現(xiàn)軟件收費(fèi)的突破

近年來(lái)，汽車軟件的角色發(fā)生了深刻的變化。以前由硬件執(zhí)行的關(guān)鍵操作現(xiàn)在都使用和依賴軟件。與此同時(shí)，軟件及其功能的復(fù)雜性持續(xù)增長(zhǎng)。

隨著車載軟件種類的增加，汽車銷售時(shí)的利潤(rùn)已無(wú)法支撐汽車全生命周期內(nèi)的軟件開(kāi)發(fā)成本，所以，同智能手機(jī)應(yīng)用市場(chǎng)中的收費(fèi) App 一樣，部分高價(jià)值的軟件也將會(huì)采取收費(fèi)的模式，汽車制造商通過(guò)軟件升級(jí)的方式可以在產(chǎn)品售出后通過(guò)增加功能的方式繼續(xù)獲得收入。

據(jù)特斯拉內(nèi)部人士透露，今后公司的 OTA 收費(fèi)項(xiàng)目會(huì)越來(lái)越多，價(jià)格也會(huì)水漲船高。2014 年剛發(fā)布時(shí)，特斯拉 Autopilot 功能解鎖費(fèi)用為 2500 美元，兩年后增強(qiáng)版 Autopilot 漲到了 5000 美元。近來(lái)，特斯拉多次提升 FSD 的價(jià)格，未來(lái)漲價(jià)預(yù)期基本已板上釘釘。相關(guān)機(jī)構(gòu)預(yù)測(cè)，這種新的盈利方式或?qū)⒗^續(xù)為特斯拉帶來(lái)巨大的商機(jī)，到 2025 年 Autopilot/FSD 的營(yíng)收雖僅將占該公司總營(yíng)收的 6%，但有望貢獻(xiàn)近 25%的毛利。

總結(jié)來(lái)看，OTA 技術(shù)的出現(xiàn)，讓汽車軟件功能的定義與開(kāi)發(fā)分布在汽車產(chǎn)品的這個(gè)生命周期中，軟件功能在車型間的通用性越來(lái)越強(qiáng)。OTA 可以突破傳統(tǒng)汽車的維修升級(jí)桎梏，實(shí)現(xiàn)改善或添加車輛功能和價(jià)值，讓車的功能迭代更加靈活和便捷，最終變成一臺(tái)可以不斷進(jìn)化的智能終端。

OTA 技術(shù)分類

目前，汽車 OTA 又分為 SOTA（軟件 OTA）和 FOTA（固件 OTA）兩種升級(jí)方式。

相比 SOTA，F(xiàn)OTA 升級(jí)實(shí)現(xiàn)難度更高，一般被應(yīng)用于車輛性能的完善層面。此外，F(xiàn)OTA 須針對(duì)車輛上不同的通訊環(huán)境更新刷寫機(jī)制，利用在不同 ECU 上分別植入主 / 從代理程序建構(gòu)整車 OTA 的架構(gòu)，并搭配完善的 OTA 平臺(tái)管理系統(tǒng)達(dá)到整車更新的功能。

從 OTA 應(yīng)用現(xiàn)狀來(lái)看，目前絕大多數(shù) OTA 能夠做到的還只是將軟件升級(jí)包發(fā)送至車內(nèi)的 T-Box，而不能實(shí)現(xiàn) ECU 層面的軟件升級(jí)。受到車輛架構(gòu)影響，整車 FOTA 目前僅有少數(shù)車型能夠提供。

但隨著普及率越來(lái)越高，從原本僅僅服務(wù)于車載系統(tǒng)，OTA 也正在慢慢向整車范圍普及，從打補(bǔ)丁的迭代更新到涉及到固件的全面升級(jí)，可更新的內(nèi)容和范圍都在擴(kuò)大。

什么是整車 OTA？

以特斯拉為例，其不僅可以通過(guò) OTA 將軟件升級(jí)發(fā)送到車輛內(nèi)的車載通訊單元，更新車載信息娛樂(lè)系統(tǒng)內(nèi)的地圖和應(yīng)用程序以及其他軟件，還可以直接將軟件增補(bǔ)程序傳送至有關(guān)的 ECU，以實(shí)現(xiàn)安全、可靠的功能升級(jí)。此前，特斯拉曾通過(guò) OTA 新增過(guò)自動(dòng)駕駛功能、增加過(guò)電池容量，也通過(guò) OTA 實(shí)現(xiàn)了百公里加速的提升和改善剎車距離。

有業(yè)內(nèi)人士表示，目前能夠整車 OTA 技術(shù)的汽車廠家和車型并不多，除了特斯拉之外，玩整車 OTA 的主要是造車新勢(shì)力，并且成為其產(chǎn)品宣傳的一大亮點(diǎn)，但更新頻率仍遠(yuǎn)低于特斯拉。

圖源：極客公園

?

行業(yè)里常規(guī)所說(shuō)的整車升級(jí)，就是基于 FOTA 技術(shù)的。FOTA 相比 SOTA 在技術(shù)上難度更大，能夠深層次改變汽車控制系統(tǒng)、管理系統(tǒng)及性能表現(xiàn)。那么 FOTA 難度為什么這么大？

為什么整車 OTA 難度這么大？

• 分布式電氣架構(gòu)

FOTA 的升級(jí)涉及硬件，在技術(shù)上有一定難度，F(xiàn)OTA 自主研發(fā)的前提是深刻掌握每個(gè)控制器的底層邏輯。

傳統(tǒng)汽車無(wú)法實(shí)現(xiàn) FOTA 的原因在于嚴(yán)重依賴供應(yīng)鏈，沒(méi)法摸透控制器的邏輯，導(dǎo)致電子架構(gòu)的碎片化。而特斯拉產(chǎn)品的誕生是基于域控制器的架構(gòu)。

圖源：聯(lián)合電子

?

對(duì)于供應(yīng)商來(lái)說(shuō)，實(shí)現(xiàn) FOTA 需要與設(shè)備的更新機(jī)制進(jìn)行深度整合，車輛在什么狀態(tài)下進(jìn)行刷寫，如何確保確保更新過(guò)程的穩(wěn)定性與安全性，這些實(shí)現(xiàn)上的難點(diǎn)都是要考慮的。此外還需要對(duì)不同的芯片與操作系統(tǒng)有深度的了解，以適配最佳的解決方案。

被供應(yīng)商“綁架”了的傳統(tǒng)車企，牽一發(fā)而動(dòng)全身，目前還不具備整車 OTA 升級(jí)的成熟條件。

• 整車 OTA 時(shí)間較長(zhǎng)

汽車內(nèi)部各控制器的刷寫需要時(shí)間，汽車內(nèi)部各個(gè)控制器都有安全防護(hù)，刷寫指令首先要通過(guò)控制器的安全認(rèn)證，然后將文件傳輸給控制器，控制器再重啟完成刷寫。如果中間出了錯(cuò)誤，刷寫不成功，還需要重試。

如果遇到運(yùn)算能力和存儲(chǔ)空間小的控制器，需要將數(shù)據(jù)按照一定的格式慢慢的寫進(jìn)控制器，消耗的時(shí)間就會(huì)更長(zhǎng)。

此外，從架構(gòu)的角度來(lái)看，汽車內(nèi)部 ECU 的數(shù)量多達(dá)上百個(gè)，它們連接在不同的車內(nèi)通訊網(wǎng)絡(luò)上，同時(shí)每條網(wǎng)絡(luò)又有著不同的數(shù)據(jù)傳輸協(xié)議，且傳輸速度較慢，傳輸文件時(shí)間較長(zhǎng)。因此，升級(jí)的控制器越多，升級(jí)的時(shí)間也就越長(zhǎng)。

這就要 OTA 供應(yīng)商需要熟悉車內(nèi)的通訊網(wǎng)絡(luò)拓?fù)?/a>結(jié)構(gòu)，因?yàn)椴煌?ECU 連接著從 CAN 總線、FlexRay、LIN 到 MOST、以太網(wǎng)等不同的通訊網(wǎng)絡(luò)，只有對(duì)每條線路的特點(diǎn)有清晰的認(rèn)知才能高效地實(shí)現(xiàn)軟件升級(jí)。

對(duì)于整車 OTA 的挑戰(zhàn)，瑞薩電子認(rèn)為，整車功能的升級(jí)需要安全部件的更新，需要從兩個(gè)方面入手：一是降低車內(nèi)通訊網(wǎng)絡(luò)的復(fù)雜性；二是簡(jiǎn)化車內(nèi) API 接口，同時(shí)增加 MCU 對(duì)多個(gè)系統(tǒng)的集成化控制。

這其實(shí)就是傳統(tǒng)燃油平臺(tái)向智能電動(dòng)化邁進(jìn)的過(guò)程，整車電子電氣架構(gòu)從分布式逐步向集中式過(guò)渡。車用計(jì)算平臺(tái)的引入能夠簡(jiǎn)化車內(nèi)網(wǎng)絡(luò)的結(jié)構(gòu)，加速通訊協(xié)議的編譯過(guò)程同時(shí)增強(qiáng)各個(gè)子版塊的安全性。同時(shí)位于整個(gè)中樞系統(tǒng)的 MCU 應(yīng)該足夠智能，需要把從以太網(wǎng)獲得的數(shù)據(jù)提前進(jìn)行壓縮，然后再傳輸給 CAN 總線，提升升級(jí)效率和安全性。

汽車 OTA 升級(jí)過(guò)程中還有哪些技術(shù)問(wèn)題需要注意？

• 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

在大多數(shù)汽車制造商的設(shè)計(jì)過(guò)程中，高端汽車控制器節(jié)點(diǎn)接近甚至超過(guò) 100 個(gè)，整車代碼量已經(jīng)突破億行，創(chuàng)建和管理數(shù)大量代碼已經(jīng)成為主流，汽車工業(yè)打開(kāi)了一片充滿潛力的代碼和應(yīng)用程序的海洋。

而汽車行業(yè) 80%~90%的創(chuàng)新基于電子，離不開(kāi)軟件的支撐。因此，不斷攀升的代碼量帶來(lái)的潛在網(wǎng)絡(luò)風(fēng)險(xiǎn)不容小覷。不同的 OTA 技術(shù)能夠在線進(jìn)行軟件和固件更新，及時(shí)彌補(bǔ)系統(tǒng)中存在的問(wèn)題而不依賴于召回這個(gè)過(guò)程，OTA 的應(yīng)用能夠在一定程度上應(yīng)對(duì)信息安全上可能存在的缺陷。

但 OTA 的普及并不直接代表了信息安全有了保證，OTA 只是用于保證信息安全的一個(gè)后手，是針對(duì)存在的信息安全缺陷的修復(fù)手段，單純的維護(hù)并不能建立完全的信息安全體系，而且在 OTA 數(shù)據(jù)下發(fā)的過(guò)程中還提供了被攻擊的潛在風(fēng)險(xiǎn)。實(shí)現(xiàn)信息安全的關(guān)鍵更多在于從設(shè)計(jì)開(kāi)始就要有信息安全體系打造的先手措施。

• OTA 升級(jí)安全

OTA 設(shè)計(jì)要從安全、時(shí)間、版本管理、異常處理等方面綜合考慮，車輛上 ECU 的軟件運(yùn)行狀況直接會(huì)影響到車輛乘客的安全。從升級(jí)包制作，發(fā)布，下載，分發(fā)，刷寫等環(huán)節(jié)，OTA 需要從云，網(wǎng)絡(luò)，車端來(lái)保證安全。

圖源：艾拉比

?

OTA 升級(jí)安全歸納起來(lái)可以分為以下兩個(gè)方面：

信息安全：主要是通信加密、軟件包驗(yàn)簽、更新隔離以及安全芯片等；

功能安全：主要包括 OTA Manager 的啟動(dòng)條件判斷（車輛狀態(tài)等）、ECU 升級(jí)的預(yù)編程條件判斷、整車模式配合以及升級(jí)方案考量；對(duì)于汽車整車 ECU 升級(jí)，必須要在一個(gè)合適的時(shí)間、合適的地點(diǎn)以及車輛合適的狀態(tài)下進(jìn)行升級(jí)。

否則蔚來(lái) ES8 長(zhǎng)安街"趴窩事件"（因誤操作啟動(dòng)了 FOTA 升級(jí)，導(dǎo)致汽車無(wú)法行駛、車窗搖不下來(lái)，在長(zhǎng)安街上停留 1 個(gè)多小時(shí)。），還將再次上演。

• 運(yùn)營(yíng)決定成敗

技術(shù)之外，OTA 落地并持續(xù)運(yùn)營(yíng)也是一個(gè)系統(tǒng)級(jí)的問(wèn)題，并不亞于開(kāi)發(fā)一個(gè)系統(tǒng)的難度。主機(jī)廠在落地 OTA 系統(tǒng)后，運(yùn)營(yíng)兩個(gè)字則會(huì)進(jìn)入到其視線內(nèi)。主機(jī)廠不能只看系統(tǒng)的功能是否按照要求實(shí)現(xiàn)，還要考慮在系統(tǒng)建成之后，誰(shuí)來(lái)用，怎么用的問(wèn)題。其原因背后是主機(jī)廠對(duì)于升級(jí)效率和安全問(wèn)題的關(guān)心和焦慮。

升級(jí)效率的提升和安全保障才是 OTA 運(yùn)營(yíng)的最終目標(biāo)。運(yùn)營(yíng)是一個(gè)云端與車端聯(lián)動(dòng)，OTA 系統(tǒng)與其他系統(tǒng)聯(lián)動(dòng)的過(guò)程。在保證功能實(shí)現(xiàn)的前提下，服務(wù)商需要設(shè)計(jì)更多細(xì)節(jié)能力，保證升級(jí)活動(dòng)的順利進(jìn)行。

結(jié)語(yǔ)

目前，新車的價(jià)值構(gòu)成中，硬件仍然占據(jù)絕對(duì)比例，軟件僅占 10%左右。未來(lái)，一輛智能網(wǎng)聯(lián)汽車的價(jià)值構(gòu)成將變成 40%的硬件、40%的軟件以及 20%的內(nèi)容和服務(wù)。

未來(lái)，隨著軟件在汽車上的應(yīng)用越來(lái)越廣泛，下一代電子體系結(jié)構(gòu)已經(jīng)從硬件驅(qū)動(dòng)發(fā)展到軟件定義。過(guò)去幾年，受到特斯拉的沖擊，越來(lái)越多的汽車制造商公開(kāi)表示，他們需要更像一個(gè)軟件公司來(lái)思考，避免掉隊(duì)。預(yù)計(jì)通過(guò) OTA 方式召回的汽車將越來(lái)越多。因此，如何通過(guò)合理的手段對(duì) OTA 技術(shù)的應(yīng)用進(jìn)行監(jiān)管成了亟待解決的問(wèn)題。

國(guó)家市場(chǎng)監(jiān)管總局缺陷產(chǎn)品管理中心汽車部主任肖凌云曾指出，“我們鼓勵(lì)企業(yè)用 OTA 的方式實(shí)施召回，但不能用 OTA 的方式逃避召回，或者替代召回。OTA 只是召回的一種技術(shù)服務(wù)方式，不等同于召回，更不能代替召回。且不管企業(yè)是以 OTA 作為召回措施還是技術(shù)服務(wù)活動(dòng)，都要履行備案的義務(wù)?！?/p>

這次《通知》的發(fā)布應(yīng)該就是為了避免 OTA 技術(shù)被車企濫用。不過(guò)，目前的《通知》還只是一個(gè)大綱性質(zhì)的政策，并沒(méi)有完善的執(zhí)行細(xì)節(jié)，短時(shí)間內(nèi)汽車 OTA 的召回事宜，估計(jì)還是要看企業(yè)的自覺(jué)性了。

然而，在這個(gè)利益紛爭(zhēng)的商業(yè)地盤，很難說(shuō)清楚“自覺(jué)性”是防微杜漸，還是渾水摸魚。