智能网联汽车远程升级（OTA）发展现状及建议

《智能网联汽车远程升级 （OTA）发展现状及建议》 1/136 编写组成员 中国汽车工程学会中国智能网联汽车产业创新联盟 公维洁、陈桂华、纪蕴家、薛宇、刘正平、丁钰 国家市场监管总局缺陷产品管理中心 董红磊 国家智能网联汽车创新中心 鲍振标、刘兴亮、韩可强、李桂伟、张丽娜 华为技术有限公司 马涛 上海蔚来汽车有限公司 廖治、孔念智、金秀莲、王长胜 中国软件评测中心 邹博松、王卉捷 襄阳达安汽车检测中心 左少雄、李广军 国家工业信息安全发展研究中心 潘妍、张渊、余宇舟、孙娅苹 中国信息通信研究院 房骥、于润东 浙江长三角车联网安全技术有限公司 胡昌国、王剑、范永霞 易图通科技（北京）有限公司 汤咏林、刘秋平 北京主线科技有限公司 王超、孙雁宇、王里 长安汽车重庆长安科技有限责任公司 刘俊 北京汽车研究总院有限公司 张文博 广州小鹏汽车科技有限公司 陈旭、张义 奇安信科技集团股份有限公司 许斯亮 博泰车联网科技（上海）股份有限公司 陈景、黄占威、唐焱 陕汽集团天行健车联网公司 冶少刚、田春荣 中国汽车技术研究中心有限公司 樊琛、朱永健 郑州信大捷安信息技术股份有限公司 刘为华 紫光展锐（上海）科技有限公司 周晓萌、朱勇旭 北京世辉律师事务所 刘晓霞 北京航迹科技有限公司 高红、王艳华 上海科络达云软件技术有限公司 聂晟 北京梆梆安全科技有限公司 刘仟丰 浙江零跑科技股份有限公司 王伟 北京百度智行科技有限公司 王泰格 陕西重型汽车有限公司 罗鹏飞 中电科网络安全科技股份有限公司 王雍 一汽解放汽车有限公司 詹悦、李志宁、韩宝广 爱瑟福信息科技（上海）有限公司 彭维科 零束科技有限公司 王艺玮 兴唐通信科技有限公司 高暐暐 中电金信软件有限公司 袁巍 长沙行深智能科技有限公司 朱久艳、杨雄亮、刘桂武 中电车联信安科技有限公司 曹力文 西安深信科创信息技术有限公司 胡蓉 武汉光庭信息技术股份有限公司 万鹏 赛灵思电子科技（上海）有限公司 刘菲 中国汽车工程研究院股份有限公司 郭韬、王婧璇 沈阳美行科技股份有限公司 高建宇 北汽福田汽车股份有限公司 李洪乐 目录 第一章前言1 1.1编制背景5 1.2编制方法5 第二章汽车远程升级（OTA)定义与技术体系6 2.1汽车OTA定义与应用场景6 2.2汽车OTA技术体系10 第三章汽车远程升级（OTA）政策法规标准研究28 3.1国内外政策法规发展现状分析28 3.3国内外标准发展现状分析36 3.4我国现有政策法规标准问题分析44 3.5构建OTA标准体系，支撑政府监管，赋能生态繁荣46 第四章汽车远程升级(OTA)产业生态研究48 4.1汽车OTA产业发展现状48 4.2OTA对汽车产业生态的影响分析54 第五章汽车远程升级（OTA）安全风险研究62 5.1OTA安全形势分析62 5.2OTA风险评估方法63 5.3OTA网络安全风险分析75 5.4OTA数据安全风险分析77 5.5OTA功能安全风险分析78 第六章汽车远程升级(OTA)测试评价研究80 6.1国内主要第三方测试机构概述80 6.2OTA标准合规测试81 6.3OTA功能测试82 6.4OTA安全测试83 6.5OTA体验评价99 第七章汽车远程升级（OTA）发展建议101 7.1加强政策引导，完善监管机制101 7.2强化标准引领，规范行业发展102 7.3重视流程管理，形成完善体系103 7.4推进协同创新，构建良好生态103 参考文献105 附件1:UNR156与ISO24089:2023的映射关系[20]107 附件2:2021年-2022年OTA召回情况分析112 附件3:OTA企业开发案例118 附件4:OTA系统功能测试主要测试项125 附件5:OTA体验评价主要测试项132 第一章前言 1.1编制背景 随着汽车产业电动化、智能化、网联化、共享化加快融合发展，汽车电子电器架构不断演进，汽车软件架构向面向服务的架构（SOA）转型升级。汽车SOA架构为远程升级（OTA）技术上车应用提供了基础，OTA技术的广泛应用也推进了软件定义汽车的进程。目前，OTA技术逐渐成为车企快速迭代产品功能、优化产品性能、为用户提供增值服务提升体验，以及产品召回的手段。多个政府部门发布了OTA相关政策及管理指南，以建立车辆安全防护措施，明确企业安全主体责任，并切实保障消费者合法权益和社会公共安全。然而汽车OTA技术发展将带来安全风险边界不断扩展的问题，同时OTA技术受标准化程度、电子电器架构发展进程、汽车软件开发能力、产业协同度、数据积累程度等因素影响，还不能发挥出降本增效、高效敏捷开发的最大潜力。 本研究从既保障安全、又鼓励OTA技术应用的目标出发，开展OTA定义与技术体系、政策法规标准现状、产业生态现状、安全风险与测试评价等相关研究，并分析提出发展建议，以支撑相关政策法规标准制修订和企业软硬件及OTA技术研发，力求为智能网联汽车产业发展营造良好环境。 1.2编制方法 本研究采用联合研究方式，依托中国智能网联汽车产业创新联盟（以下简称联盟）电子电气信息架构与网络工作组、信息安全工作组，联合行业相关单位开展OTA发展现状及应对研究。调研政府机构、车企、服务供应商、第三方检测认证机构相关进展和面临问题；各章节确定1~2家牵头单位组建小组编制；组织行业会议，邀请专家评审。 第二章汽车远程升级（OTA)定义与技术体系 OTA技术最早应用在PC电脑和移动手机行业，近几年才开始在汽车行业中广泛应用。然而车内通讯网络的复杂性、汽车电子系统的碎片化等因素限制着OTA技术整车范围普及。本章从OTA定义与应用场景、OTA实现流程和“云-管 -端”关键技术进行研究，为行业从业者对OTA技术的设计开发、技术验证和生产工作提供参考。 2.1汽车OTA定义与应用场景 2.1.1OTA定义及分类 OTA是OvertheAir的缩写，通常指的是远程无线方式，OTA技术可以理解为一种远程无线升级技术。在无特别说明情况下，本文所指的OTA是所有汽车远程升级的统称。实现OTA的基础是车辆具备远程联网功能，这意味着正是智能网联汽车渗透率的快速增长，推动了OTA的快速普及。 OTA的本质是通过技术实现软件更新，智能网联汽车与传统汽车的软件升级不同之处在于，通过OTA技术，原始设备制造商（OEM）可以不用通过售后服务中心，而是直接远程连接目标联网车辆，将软件更新推动至待升级的车辆。 随着OTA的应用越来越广泛，针对升级对象的不同，延伸出来很多不同的概念。人们在谈及OTA相关业务时通常会在前面增加一个具体对象，用于表明使用OTA技术实现何种功能，比如远程软件升级、远程固件升级、远程配置、远程数据更新等。然而在一些OTA解决方案中，已经模糊了不同类型远程升级的边界，将所有可升级的软件对象抽象为软件簇，而软件簇包含了从小到配置字信息大到整个操作系统固件所有颗粒度的对象。并且，GB《汽车软件升级通用技术要求》中对软件升级（SoftwareUpdate）的定义已经涵盖了下述几种OTA概念（远程诊断除外）。 2.1.1.1远程软件升级(SOTA) SOTA（SoftwareOver-The-Air），即远程软件升级，是指在操作系统的基础 上对应用程序进行远程升级。SOTA通过远程下载并给车辆安装“应用程序升级包”，来实现控制器功能的一个“增量”更新，一般应用于娱乐系统和智驾系统。 SOTA一般涉及应用层小范围的功能局部更新，不包括汽车核心系统，对整车性能和安全影响较小，升级前置条件要求较低。SOTA的增量更新策略，可以大幅减小升级包文件大小、从而节约网络流量和存储空间。 2.1.1.2远程固件升级(FOTA) FOTA（FirmwareOver-The-Air），即远程固件升级，是指囊括车辆底层算法至顶层应用的综合升级，在不改变车辆原有配件的前提下，通过远程下载并写入新的固件程序进行设备升级。FOTA包括驱动、系统、功能、应用等的升级，与硬件的更换没有关系。 FOTA涉及车辆的核心系统，包括但不限于汽车动力控制系统、底盘电子系统、自动驾驶系统、车身控制系统等核心零部件的控制系统，可以改变车辆的充放电、动能回收、加速性能、辅助驾驶系统逻辑等与深度驾控有关的体验。理论上所有支持固件更新的电子控制单元（ECU）都可以涵盖在FOTA范围中。 2.1.1.3远程配置(COTA) COTA（ConfigurationOver-The-Air），即远程配置，是指通过OTA的方式实现远程修改配置字，以达到修改软件功能配置的目的。配置字是一组以数据标识码(DID)方式存储在ECU上的数据，可通过诊断指令进行读取和修改。它根据特定的编码规则与车辆功能特征码一一对应，通过配置可判断车辆的功能配置，软件可根据配置实现相应的功能。远程配置常见的应用场景是远程开启和关闭某项功能，例如软件订阅功能。 2.1.1.4远程诊断/远程数据更新(DOTA) DOTA有两种常见解释： DOTA(DataOver-The-Air)，即远程数据更新，是指一些独立于软件程序存在的数据包的更新，比如，地图数据、语音数据和算法模型数据等。这类更新的特 点是数据量比较大，更新流程相对独立，比如，地图数据通常由地图应用自行更新，而数据量也可能高达几G到几十G。 DOTA(DiagnosticOver-The-Air)，即远程诊断，通过云平台实时数据采集监控，主动性地检查汽车系统异常问题，为远程问题修复与人工问题修复提供决策依据。远程诊断的触发方式有两种，一种是用户在车辆上发现异常状况的响应式；另一种是周期性收集通讯网络、应用程序、硬件效能、使用操作记录、系统程序等状态信息，利用大数据后台分析监测故障。 2.1.1.5其他类型(XOTA) 随着汽车智能化程度越来越高，除了车辆本身软件的升级外，还可能会涉及到外部智能设备交互功能的软件更新，比如，智能钥匙、AR设备等。目前有些企业和组织将所有与车辆相关联的软件升级统称为XOTA，即EverythingOver-The-Air的意思。 2.1.2OTA应用场景 2.1.2.1车辆生命周期维度 从开发者编译生产出目标版本软件，到该软件更新至目标硬件设备上的全过程涉及多个阶段。在不同的阶段，受产品形态和生产环境限制，所适用的软件更新目的和手段也有所不同，如下表2-1所示。目前，大部分车企的OTA主要集中在售后软件更新，但不论是从效率上还是成本上OTA都体现出了巨大的优势。随着OTA应用越来越成熟，从单一的售后升级场景向更多的应用场景发展是的必然趋势。 表2-1车辆生命周期维度的软件更新应用 车辆生命周期 软件更新目的及手段 零部件阶段 ECU供应商产线是最早可以切换到最新软件版本的节点，该节点进行软件切换可避免旧版本软件继续生产从而流向下游，称为供应商产线断点。由于该阶段还是零件状态，通常只能通过芯片烧录工具或者供应商特定的工具进行软件更新，不适用OTA方式。 总装阶段 由于零件需提前订购，仍有一定量的零部件在供应商产线断点前流转到OEM库存，总装 线的电检工位可以完成部分软件的刷写，称之为EOL(EndofLine)软件刷写。然而EOL软件刷写会影响产线节拍，导致OEM不会在产线进行大量软件刷写。总装完成时车辆已经具备OTA的条件，如果通过OTA方式进行产线刷写，可实现多车并线刷写且不受产线工位影响，将极大提高产线软件灌装的效率。目前，已经有个别企业实现总装阶段OTA。 驳运阶段 车辆从总装线下线到经销商库存要经过一定的驳运过程。对于体量大且紧急程度不高的软件，在总装线灌装会影响效率，如果利用驳运过程进行软件更新，能降低对产线节拍的影响。OTA使得利用驳运过程更新软件成为一种可能，但在驳运过程中更新对电源供应管理及车辆安全是否有影响需要更深一步考虑。 售前库存 经销商通常有一定的库存车辆，在正式销售前库存车辆可能需要对软件版本进行升级。以往是在进行最终售前检查时，将软件更新到最新版本，存在更新时间