為什么說傳統(tǒng)車企搞不好 OTA 技術(shù)？

摘要

《通知》的發(fā)布應(yīng)該就是為了避免 OTA 技術(shù)被車企濫用。不過，目前的《通知》還只是一個大綱性質(zhì)的政策，并沒有完善的執(zhí)行細節(jié)，短時間內(nèi)汽車 OTA 的召回事宜，估計還是要看企業(yè)的自覺性了。

“自覺性”是防微杜漸，也是渾水摸魚。

11 月 25 日，市場監(jiān)管總局發(fā)布《市場監(jiān)管總局辦公廳關(guān)于進一步加強汽車遠程升級（OTA）技術(shù)召回監(jiān)管的通知》，《通知》提出，當生產(chǎn)者采用 OTA 方式消除汽車產(chǎn)品缺陷、實施召回時，應(yīng)按照《缺陷汽車產(chǎn)品召回管理條例》及《缺陷汽車產(chǎn)品召回管理條例實施辦法》要求，向市場監(jiān)管總局質(zhì)量發(fā)展局備案，依法履行召回主體責任。其中，今年年內(nèi)采用 OTA 方式對已售車輛開展技術(shù)服務(wù)活動的有關(guān)汽車生產(chǎn)者需要補充備案。

至此，蒙眼狂奔的 OTA 技術(shù)，開始從營銷噱頭轉(zhuǎn)向關(guān)鍵性作用，到了需要政策進行規(guī)范的階段。

借著上述《通知》的發(fā)布，我們來走近 OTA 產(chǎn)業(yè)背后，一睹行業(yè)的發(fā)展現(xiàn)狀與挑戰(zhàn)。

OTA 市場現(xiàn)狀

OTA 全稱“Over-The-Air”，即空中下載技術(shù)，早期被廣泛應(yīng)用在手機行業(yè)中，終結(jié)了手機軟件升級需要連接電腦、下載軟件、再安裝更新的繁復(fù)操作。近年來，隨著汽車網(wǎng)聯(lián)技術(shù)不斷發(fā)展，汽車 OTA 也成為了行業(yè)熱詞。

通過 OTA 技術(shù)對汽車進行遠程升級，不僅可以持續(xù)為車輛改善終端功能和服務(wù)，讓車主擁有更便捷、更智能的用車體驗，而且還可以被用于快速修復(fù)漏洞，幫助實施汽車召回。正在逐漸成為企業(yè)解決軟、硬件系統(tǒng)問題的重要措施。

業(yè)內(nèi)公認的汽車 OTA 最早出現(xiàn)是在 2012 年，特斯拉推出的 Modes S 首次采用 OTA 技術(shù)，更新范圍涉及人機交互、自動駕駛、動力電池系統(tǒng)等模塊，當時特斯拉可以通過 OTA 完成鑰匙卡漏洞、提升續(xù)航里程、提高最高速度、提升乘坐舒適度等，讓車的功能迭代更加靈活和便捷。

后來，OTA 技術(shù)開始被豐田、福特、大眾、寶馬等傳統(tǒng)車企所嘗試。期間，國內(nèi)的蔚來、理想、小鵬、上汽、比亞迪等也陸續(xù)推出了可以實現(xiàn)部分功能或整車 OTA 的車型。

OTA 能給車企和用戶帶來什么？

• 節(jié)約成本和時間

對很多車企而言，OTA 技術(shù)上車的主要動力是出于成本和時間節(jié)約的考慮。

傳統(tǒng)的召回需要走內(nèi)部及外部審批過程，時間和金錢的成本都非常高。通過 OTA 方式可以有效提高召回效率和完成率。現(xiàn)在一個召回可能需要兩年時間，而通過 OTA 召回，可能兩周就能解決，同時，還可大幅降低召回成本。有數(shù)據(jù)顯示，2019 年 OTA 技術(shù)在汽車軟件、程序升級中，為我國整車廠節(jié)約 165 億美元售后體系的支出。

• 快速修復(fù)系統(tǒng)缺陷

傳統(tǒng)汽車在用戶行駛中出現(xiàn)了系統(tǒng)方面的缺陷，解決辦法是汽車廠家啟動召回程序，在用戶收到召回程序后返廠進行系統(tǒng)的統(tǒng)一升級。

國家市場監(jiān)督管理總局數(shù)據(jù)顯示，自 2004 年 3 月建立召回制度開始，至 2020 年 9 月底，我國已累計實施汽車召回 2119 次，召回缺陷車輛 8010.2 萬輛，約占我國汽車保有量的 30%。召回原因除了傳統(tǒng)的氣囊 / 安全帶、發(fā)動機、轉(zhuǎn)向 / 懸架和電子電器總成等缺陷，由軟件故障引發(fā)的召回數(shù)量，在近幾年呈明顯增長態(tài)勢。截至 2019 年涉及程序或軟件問題的召回達到 213 次，涉及車輛 683.02 萬輛，約占總召回數(shù)量的 9%。

未來，隨著車聯(lián)網(wǎng)、自動駕駛等新技術(shù)的快速發(fā)展，軟件故障問題或更加突出。OTA 技術(shù)可以通過遠程快速數(shù)據(jù)包的形式完成缺陷的修復(fù)，避免持續(xù)數(shù)月的進廠召回帶來的風險。

圖源：蓋世汽車資訊

?

• 快速迭代、提升使用體驗

OTA 升級對主機廠真正具有吸引力的地方在于它能夠?qū)崿F(xiàn)車輛重要功能的常用常新。由于在產(chǎn)品設(shè)計中的硬件超前配備，智聯(lián)網(wǎng)汽車操作系統(tǒng)可以通過一次次 OTA 升級，不斷給車主逐步開啟新功能，優(yōu)化產(chǎn)品體驗，進行快速迭代，提供更加優(yōu)質(zhì)的系統(tǒng)服務(wù)。

• 實現(xiàn)軟件收費的突破

近年來，汽車軟件的角色發(fā)生了深刻的變化。以前由硬件執(zhí)行的關(guān)鍵操作現(xiàn)在都使用和依賴軟件。與此同時，軟件及其功能的復(fù)雜性持續(xù)增長。

隨著車載軟件種類的增加，汽車銷售時的利潤已無法支撐汽車全生命周期內(nèi)的軟件開發(fā)成本，所以，同智能手機應(yīng)用市場中的收費 App 一樣，部分高價值的軟件也將會采取收費的模式，汽車制造商通過軟件升級的方式可以在產(chǎn)品售出后通過增加功能的方式繼續(xù)獲得收入。

據(jù)特斯拉內(nèi)部人士透露，今后公司的 OTA 收費項目會越來越多，價格也會水漲船高。2014 年剛發(fā)布時，特斯拉 Autopilot 功能解鎖費用為 2500 美元，兩年后增強版 Autopilot 漲到了 5000 美元。近來，特斯拉多次提升 FSD 的價格，未來漲價預(yù)期基本已板上釘釘。相關(guān)機構(gòu)預(yù)測，這種新的盈利方式或?qū)⒗^續(xù)為特斯拉帶來巨大的商機，到 2025 年 Autopilot/FSD 的營收雖僅將占該公司總營收的 6%，但有望貢獻近 25%的毛利。

總結(jié)來看，OTA 技術(shù)的出現(xiàn)，讓汽車軟件功能的定義與開發(fā)分布在汽車產(chǎn)品的這個生命周期中，軟件功能在車型間的通用性越來越強。OTA 可以突破傳統(tǒng)汽車的維修升級桎梏，實現(xiàn)改善或添加車輛功能和價值，讓車的功能迭代更加靈活和便捷，最終變成一臺可以不斷進化的智能終端。

OTA 技術(shù)分類

目前，汽車 OTA 又分為 SOTA（軟件 OTA）和 FOTA（固件 OTA）兩種升級方式。

相比 SOTA，F(xiàn)OTA 升級實現(xiàn)難度更高，一般被應(yīng)用于車輛性能的完善層面。此外，F(xiàn)OTA 須針對車輛上不同的通訊環(huán)境更新刷寫機制，利用在不同 ECU 上分別植入主 / 從代理程序建構(gòu)整車 OTA 的架構(gòu)，并搭配完善的 OTA 平臺管理系統(tǒng)達到整車更新的功能。

從 OTA 應(yīng)用現(xiàn)狀來看，目前絕大多數(shù) OTA 能夠做到的還只是將軟件升級包發(fā)送至車內(nèi)的 T-Box，而不能實現(xiàn) ECU 層面的軟件升級。受到車輛架構(gòu)影響，整車 FOTA 目前僅有少數(shù)車型能夠提供。

但隨著普及率越來越高，從原本僅僅服務(wù)于車載系統(tǒng)，OTA 也正在慢慢向整車范圍普及，從打補丁的迭代更新到涉及到固件的全面升級，可更新的內(nèi)容和范圍都在擴大。

什么是整車 OTA？

以特斯拉為例，其不僅可以通過 OTA 將軟件升級發(fā)送到車輛內(nèi)的車載通訊單元，更新車載信息娛樂系統(tǒng)內(nèi)的地圖和應(yīng)用程序以及其他軟件，還可以直接將軟件增補程序傳送至有關(guān)的 ECU，以實現(xiàn)安全、可靠的功能升級。此前，特斯拉曾通過 OTA 新增過自動駕駛功能、增加過電池容量，也通過 OTA 實現(xiàn)了百公里加速的提升和改善剎車距離。

有業(yè)內(nèi)人士表示，目前能夠整車 OTA 技術(shù)的汽車廠家和車型并不多，除了特斯拉之外，玩整車 OTA 的主要是造車新勢力，并且成為其產(chǎn)品宣傳的一大亮點，但更新頻率仍遠低于特斯拉。

圖源：極客公園

?

行業(yè)里常規(guī)所說的整車升級，就是基于 FOTA 技術(shù)的。FOTA 相比 SOTA 在技術(shù)上難度更大，能夠深層次改變汽車控制系統(tǒng)、管理系統(tǒng)及性能表現(xiàn)。那么 FOTA 難度為什么這么大？

為什么整車 OTA 難度這么大？

• 分布式電氣架構(gòu)

FOTA 的升級涉及硬件，在技術(shù)上有一定難度，F(xiàn)OTA 自主研發(fā)的前提是深刻掌握每個控制器的底層邏輯。

傳統(tǒng)汽車無法實現(xiàn) FOTA 的原因在于嚴重依賴供應(yīng)鏈，沒法摸透控制器的邏輯，導致電子架構(gòu)的碎片化。而特斯拉產(chǎn)品的誕生是基于域控制器的架構(gòu)。

圖源：聯(lián)合電子

?

對于供應(yīng)商來說，實現(xiàn) FOTA 需要與設(shè)備的更新機制進行深度整合，車輛在什么狀態(tài)下進行刷寫，如何確保確保更新過程的穩(wěn)定性與安全性，這些實現(xiàn)上的難點都是要考慮的。此外還需要對不同的芯片與操作系統(tǒng)有深度的了解，以適配最佳的解決方案。

被供應(yīng)商“綁架”了的傳統(tǒng)車企，牽一發(fā)而動全身，目前還不具備整車 OTA 升級的成熟條件。

• 整車 OTA 時間較長

汽車內(nèi)部各控制器的刷寫需要時間，汽車內(nèi)部各個控制器都有安全防護，刷寫指令首先要通過控制器的安全認證，然后將文件傳輸給控制器，控制器再重啟完成刷寫。如果中間出了錯誤，刷寫不成功，還需要重試。

如果遇到運算能力和存儲空間小的控制器，需要將數(shù)據(jù)按照一定的格式慢慢的寫進控制器，消耗的時間就會更長。

此外，從架構(gòu)的角度來看，汽車內(nèi)部 ECU 的數(shù)量多達上百個，它們連接在不同的車內(nèi)通訊網(wǎng)絡(luò)上，同時每條網(wǎng)絡(luò)又有著不同的數(shù)據(jù)傳輸協(xié)議，且傳輸速度較慢，傳輸文件時間較長。因此，升級的控制器越多，升級的時間也就越長。

這就要 OTA 供應(yīng)商需要熟悉車內(nèi)的通訊網(wǎng)絡(luò)拓撲結(jié)構(gòu)，因為不同的 ECU 連接著從 CAN 總線、FlexRay、LIN 到 MOST、以太網(wǎng)等不同的通訊網(wǎng)絡(luò)，只有對每條線路的特點有清晰的認知才能高效地實現(xiàn)軟件升級。

對于整車 OTA 的挑戰(zhàn)，瑞薩電子認為，整車功能的升級需要安全部件的更新，需要從兩個方面入手：一是降低車內(nèi)通訊網(wǎng)絡(luò)的復(fù)雜性；二是簡化車內(nèi) API 接口，同時增加 MCU 對多個系統(tǒng)的集成化控制。

這其實就是傳統(tǒng)燃油平臺向智能電動化邁進的過程，整車電子電氣架構(gòu)從分布式逐步向集中式過渡。車用計算平臺的引入能夠簡化車內(nèi)網(wǎng)絡(luò)的結(jié)構(gòu)，加速通訊協(xié)議的編譯過程同時增強各個子版塊的安全性。同時位于整個中樞系統(tǒng)的 MCU 應(yīng)該足夠智能，需要把從以太網(wǎng)獲得的數(shù)據(jù)提前進行壓縮，然后再傳輸給 CAN 總線，提升升級效率和安全性。

汽車 OTA 升級過程中還有哪些技術(shù)問題需要注意？

• 網(wǎng)絡(luò)安全風險

在大多數(shù)汽車制造商的設(shè)計過程中，高端汽車控制器節(jié)點接近甚至超過 100 個，整車代碼量已經(jīng)突破億行，創(chuàng)建和管理數(shù)大量代碼已經(jīng)成為主流，汽車工業(yè)打開了一片充滿潛力的代碼和應(yīng)用程序的海洋。

而汽車行業(yè) 80%~90%的創(chuàng)新基于電子，離不開軟件的支撐。因此，不斷攀升的代碼量帶來的潛在網(wǎng)絡(luò)風險不容小覷。不同的 OTA 技術(shù)能夠在線進行軟件和固件更新，及時彌補系統(tǒng)中存在的問題而不依賴于召回這個過程，OTA 的應(yīng)用能夠在一定程度上應(yīng)對信息安全上可能存在的缺陷。

但 OTA 的普及并不直接代表了信息安全有了保證，OTA 只是用于保證信息安全的一個后手，是針對存在的信息安全缺陷的修復(fù)手段，單純的維護并不能建立完全的信息安全體系，而且在 OTA 數(shù)據(jù)下發(fā)的過程中還提供了被攻擊的潛在風險。實現(xiàn)信息安全的關(guān)鍵更多在于從設(shè)計開始就要有信息安全體系打造的先手措施。

• OTA 升級安全

OTA 設(shè)計要從安全、時間、版本管理、異常處理等方面綜合考慮，車輛上 ECU 的軟件運行狀況直接會影響到車輛乘客的安全。從升級包制作，發(fā)布，下載，分發(fā)，刷寫等環(huán)節(jié)，OTA 需要從云，網(wǎng)絡(luò)，車端來保證安全。

圖源：艾拉比

?

OTA 升級安全歸納起來可以分為以下兩個方面：

信息安全：主要是通信加密、軟件包驗簽、更新隔離以及安全芯片等；

功能安全：主要包括 OTA Manager 的啟動條件判斷（車輛狀態(tài)等）、ECU 升級的預(yù)編程條件判斷、整車模式配合以及升級方案考量；對于汽車整車 ECU 升級，必須要在一個合適的時間、合適的地點以及車輛合適的狀態(tài)下進行升級。

否則蔚來 ES8 長安街"趴窩事件"（因誤操作啟動了 FOTA 升級，導致汽車無法行駛、車窗搖不下來，在長安街上停留 1 個多小時。），還將再次上演。

• 運營決定成敗

技術(shù)之外，OTA 落地并持續(xù)運營也是一個系統(tǒng)級的問題，并不亞于開發(fā)一個系統(tǒng)的難度。主機廠在落地 OTA 系統(tǒng)后，運營兩個字則會進入到其視線內(nèi)。主機廠不能只看系統(tǒng)的功能是否按照要求實現(xiàn)，還要考慮在系統(tǒng)建成之后，誰來用，怎么用的問題。其原因背后是主機廠對于升級效率和安全問題的關(guān)心和焦慮。

升級效率的提升和安全保障才是 OTA 運營的最終目標。運營是一個云端與車端聯(lián)動，OTA 系統(tǒng)與其他系統(tǒng)聯(lián)動的過程。在保證功能實現(xiàn)的前提下，服務(wù)商需要設(shè)計更多細節(jié)能力，保證升級活動的順利進行。

結(jié)語

目前，新車的價值構(gòu)成中，硬件仍然占據(jù)絕對比例，軟件僅占 10%左右。未來，一輛智能網(wǎng)聯(lián)汽車的價值構(gòu)成將變成 40%的硬件、40%的軟件以及 20%的內(nèi)容和服務(wù)。

未來，隨著軟件在汽車上的應(yīng)用越來越廣泛，下一代電子體系結(jié)構(gòu)已經(jīng)從硬件驅(qū)動發(fā)展到軟件定義。過去幾年，受到特斯拉的沖擊，越來越多的汽車制造商公開表示，他們需要更像一個軟件公司來思考，避免掉隊。預(yù)計通過 OTA 方式召回的汽車將越來越多。因此，如何通過合理的手段對 OTA 技術(shù)的應(yīng)用進行監(jiān)管成了亟待解決的問題。

國家市場監(jiān)管總局缺陷產(chǎn)品管理中心汽車部主任肖凌云曾指出，“我們鼓勵企業(yè)用 OTA 的方式實施召回，但不能用 OTA 的方式逃避召回，或者替代召回。OTA 只是召回的一種技術(shù)服務(wù)方式，不等同于召回，更不能代替召回。且不管企業(yè)是以 OTA 作為召回措施還是技術(shù)服務(wù)活動，都要履行備案的義務(wù)?！?/p>

這次《通知》的發(fā)布應(yīng)該就是為了避免 OTA 技術(shù)被車企濫用。不過，目前的《通知》還只是一個大綱性質(zhì)的政策，并沒有完善的執(zhí)行細節(jié)，短時間內(nèi)汽車 OTA 的召回事宜，估計還是要看企業(yè)的自覺性了。

然而，在這個利益紛爭的商業(yè)地盤，很難說清楚“自覺性”是防微杜漸，還是渾水摸魚。