隨著智能車輛在網(wǎng)聯(lián)化、智能化及架構(gòu)技術(shù)的發(fā)展，汽車無論是在固件還是軟件上都已經(jīng)不可逆轉(zhuǎn)的需要進行軟件迭代升級。要求在汽車生命周期內(nèi)會不斷的基于汽車 OTA 能力為整車提供軟件升級、固件升級、售后服務等服務能力，可以說，汽車的智能化更迭對于 OTA 升級能力已經(jīng)成為不可或缺的主流趨勢。

本文章將針對自動駕駛汽車的軟件升級現(xiàn)狀需求及監(jiān)管要求等進行詳細的描述。意在幫助讀者整體了解自動駕駛中的軟件升級過程原理、準入要求及其應對策略。

1 整車軟件升級技術(shù)優(yōu)勢

首先，軟件定義汽車推動了整車軟件升級技術(shù)的發(fā)展與應用，通過整車軟件升級解鎖新技能，堵上小漏洞，甚至對不同使用場景進行特性化的配置推送或更改。由于軟件定義汽車已經(jīng)形成共識，軟件有bug風險也成為一大趨勢。整車軟件升級可有效解決軟件故障，通過應急響應降低開發(fā)周期短帶來的軟件風險問題，以及完成對信息安全漏洞的修復。

以智駕系統(tǒng)和智能座艙系統(tǒng)的升級為例可以很好的說明OTA升級過程原理及數(shù)據(jù)流走向。整個 OTA 軟件框架包括三部分：OTA 云端，多媒體服務，智能駕駛模塊。

OTA 云端的軟件框架結(jié)構(gòu)主要包括以下部分：OTA 管理平臺、任務調(diào)度系統(tǒng)、升級監(jiān)控、版本監(jiān)控、打包工具打包升級包、加密計算、簽名、版本管理、升級日志報告、升級通知等。

智能駕駛域（包含域控制器以及各個傳感器零部件）通過軟件開發(fā)完成迭代，其相應的軟件會被打包為升級包，進行加密、簽名后傳送給到 OTA 云端，同時本地端進行版本管理、記錄升級日志報告、給相關(guān)聯(lián)系統(tǒng)發(fā)送升級通知。軟件包包括要更新的內(nèi)容，全量還是分量，一個車型，一個批次，還是一個特定群體等，這些包被放在 OTA 云端服務器上開始交互。對于攝像頭這類部件如果是純掛接到域控制器上，升級前需要明確其與域控制器的兼容性來明確他們之間的關(guān)聯(lián)關(guān)系?？紤]域控制器模塊的功率，如果有液冷散熱需求，整車升級流程中不能在域控制器工作的情況下升級TMS模塊。

智能座艙域通過 4G/5G 網(wǎng)絡(luò)建立車輛與服務器之間的安全連接，確保全新的、待更新的固件安全地傳輸?shù)杰囕v的各個ECU。主要軟件框架如下：獲取版本信息、升級條件判斷與檢測、升級日志上傳服務器、DoIP client、從服務去下載升級包、制定升級策略、解密計算、驗簽、HMI 解密顯示、升級日志上傳等。

智能駕駛模塊需要滿足車端的安全通信，包括協(xié)議通信鏈接管理以及安全認證。其主要的軟件框架如下：升級包驗簽、升級包進度和結(jié)果反饋、升級包解密、差點還原、DoIP server、5R1V 升級、高精定位升級、域控制器升級、環(huán)視攝像頭升級等。

整個升級要素包括如下：

1）軟件升級包配置：通過打包工具生成相應的配置文件 .Config。然后，對配置好的軟件包進行簽名、拆包、加密傳輸。

2）軟件升級包組包：智能座艙控制器解析接收到的數(shù)據(jù)，并進行解密、組包、驗簽；獲得軟件升級包與 Config 文件的壓縮包。

3）軟件升級包傳輸：讀取 Config 文件中的相關(guān)信息用于通信控制交互，將軟件升級包傳輸至智能駕駛各模塊。

4）軟件升級包交付：智能駕駛控制器對軟件升級包進行解密、差分還原，解密后得到軟件安裝包；最后，使用應用證書進行驗簽，開啟自升級任務。

其次，若出現(xiàn)因軟件故障導致的召回，可以節(jié)省大量的時間和金錢成本。快速迭代、提升產(chǎn)品和使用體驗。隨著軟件在汽車上的應用越來越廣泛，涉及軟件相關(guān)的召回越來越多，在這個發(fā)展過程當中，軟件帶來的性能改變會給企業(yè)帶來很多的潛在質(zhì)量問題。新能源汽車出去之后投訴率百分之百，百分之百里面90%都是軟件bug。

通常情況下，軟件升級可以把原先不夠好的功能變得更好，而車輛召回則是把有缺陷的東西換成或修復為符合標準和要求的東西。因此升級和召回都是一種消除缺陷的活動，返點返廠并不是必要條件。而通過合理的手段對OTA技術(shù)的應用，可以是省事省力又省錢的解決問題，預計通過這種方式召回的汽車將越來越多。

2 整車軟件升級安全管理與測試挑戰(zhàn)

汽車作為成熟的工業(yè)產(chǎn)品，上市之前需完成產(chǎn)品的公告認證及生產(chǎn)企業(yè)的許可認證。整車、零部件都是固化的，整車軟件升級使這一切成為可變的。

從軟件升級的整體把控上看，軟件OTA的過程涉及云端安全管理，OTA連接安全管理，車端OTA安全管理幾個大項。其中，云端安全主要是包括服務器訪問保護、服務器攻擊抵御、服務器-客戶端鑒權(quán)、升級包安全存儲、OTA業(yè)務滲透測試、OTA管理平臺漏洞掃描、OTA業(yè)務安全日志這幾大塊。其次，OTA連接安全則是涉及Https的安全連接、傳輸內(nèi)容加密、APN等業(yè)務領(lǐng)域。最后，車端OTA安全則是涉及汽車服務器鑒權(quán)、升級包完整性及安全性驗證、OTA應用漏洞掃描、升級包存儲安全管理、升級可靠性等多方面。

從某種程度上講，軟件升級過程需要通過對整個安全體系的設(shè)計與認證：其中包含云端OTA安全設(shè)計，管理端的連接安全保護，車端的OTA安全加固，并輔以嚴苛的性能測試，才能確保產(chǎn)品的可靠性和安全性。

3 軟件升級管理要求應對策略

高級智能駕駛汽車為了從實踐層面實現(xiàn)智能駕駛汽車準入，從當前準入指南規(guī)定的角度出發(fā)需要重點考慮軟件升級在實際應用過程中的具體要求和實施措施。這是因為已經(jīng)有不少新勢力在設(shè)計之初，往往對于軟件升級真正的規(guī)則和需求理解不夠透徹，在軟件版本發(fā)布中做毫無安全管控的升級濫用。當前出現(xiàn)的各類軟件升級法規(guī)及準入指南關(guān)于軟件升級的部分規(guī)范則是對于軟件升級指導所下的及時雨。將從如下幾方面為軟件升級帶來更多的應對優(yōu)勢。

1）軟件升級的國家監(jiān)管

中國市場，截止到2019年涉及程序或軟件問題的召回就達到213次，涉及車輛683.02萬輛，約占總召回數(shù)量的9%→因軟件造成的召回增漲趨勢明顯。

當前市場上部分車企為快速推出產(chǎn)品，將還沒有完善的汽車產(chǎn)品推出市場→通過OTA忽悠消費者，用升級之類的借口，對自身產(chǎn)品存在的問題進行搪塞、混淆甚至掩蓋召回的事實。

基于以上現(xiàn)狀描述，國家市場監(jiān)督總局2020年11月25日國家市場監(jiān)督管理總局出臺了《關(guān)于進一步加強汽車遠程升級（OTA）技術(shù)召回監(jiān)管的通知》，著力實現(xiàn)對OTA的監(jiān)管重點：在于通過有效的手段出臺政策方法辨識召回與升級的差別。以避免OEM通過OTA方式消除缺陷，掩蓋召回事實的行為。

采用OTA方式對已售車輛開展技術(shù)服務活動的汽車廠家，應按照《缺陷汽車產(chǎn)品召回管理條例》和 《缺陷汽車產(chǎn)品召回管理條例實施辦法》要求，向市場監(jiān)管總局質(zhì)量發(fā)展局備案。2020年1月1日已實施OTA技術(shù)服務活動，生產(chǎn)者應于2020年12月31日已完成了相應的補充備案。

此外，2022年4月15日，工業(yè)和信息化部裝備工業(yè)發(fā)展中心發(fā)布了《關(guān)于開展汽車軟件在線升級備案的通知》中就明確指出，軟件升級的申請主體應是汽車整車生產(chǎn)企業(yè)。且升級過程應按要求依次完成企業(yè)管理能力備案、車型及功能備案和具體升級活動備案等一系列要求。解讀下來，那就是國家對軟件升級的監(jiān)管將更加嚴苛，后續(xù)主機廠想學特斯拉那一套，先上后優(yōu)化的策略可能會存在較大的阻礙了。

2）軟件升級法規(guī)-UN/WP29

對于軟件升級法規(guī)而言，歐洲標準中UN/WP29可以完全適用于有軟件升級功能的M類（乘用車）、N類（載貨車）、O類（掛車）、R類（拖車）、S類(牽引車）、T類（農(nóng)用車）等車輛的國際法規(guī)。對于智能駕駛市場布局而言，其軟件升級的法規(guī)適用范圍總結(jié)如下：

• 2020年6月24日，WP.29第181次全體會議以網(wǎng)絡(luò)會議形式通過軟件升級法規(guī)，并于2020年6月25日正式發(fā)布 ；
• 法規(guī)發(fā)布后，已于2021年1月22日正式生效，并由日本正式實施到研發(fā)車型中。
• 韓國在法規(guī)正式發(fā)布之前已經(jīng)將其融入了國家指南。
• 2022-2024年，歐盟已陸續(xù)將所有新車型到全部車型都納入該軟件升級所需遵守的范疇中。

對于軟件升級而言，其法規(guī)所規(guī)定的部分涉及利益相關(guān)者（汽車制造商、技術(shù)服務部門、主管部門）的責任。軟件升級涵蓋的內(nèi)容涉及信息安全方面、認證合規(guī)方面、功能安全方面的要求。軟件升級的具體流程、步驟、主要包括車輛類型批準申請、SUMS合格證書、RX軟件標識號（RXSWIN）等幾大方面。如上這些內(nèi)容都意在滿足軟件升級的安全性和可靠性要求。

3）《智能網(wǎng)聯(lián)汽車準入指南》對軟件升級的要求

智能網(wǎng)聯(lián)汽車準入指南是一部針對當前各家主機廠期待所研發(fā)的自動駕駛功能被認可所辦法的準則、規(guī)范。它涉及包含如功能安全、信息安全安全、軟件升級、數(shù)據(jù)記錄、仿真/實車測試等方方面面。而軟件升級上又主要包括對管理制度、標準規(guī)范、升級影響、測試和驗證、適配性、可追溯性、告知義務和安全性等內(nèi)容進行了相應的開發(fā)內(nèi)容規(guī)范。綜合總結(jié)相應的管理要求和測試要求如下圖。

對于各家車企而言，需要各企業(yè)需盡快建立OTA管理運營體系、組織，積極配合國家進行監(jiān)督管理。構(gòu)建完善的OTA安全保障體系，流程體系先行。嚴控軟件開發(fā)交付體系，做好全流程和全生命周期管理的驗證、發(fā)布、備案、過程監(jiān)管及應急處理，確保軟件開發(fā)的安全可靠和系統(tǒng)效率。形成完善的OTA整車集成測試能力，同步發(fā)展功能安全、信息安全測試能力，形成OTA功能安全與信息安全的測試與驗收方案。

4 總結(jié)

本文是概述性的講解了軟件升級在自動駕駛汽車設(shè)計開發(fā)中的優(yōu)勢、難點及規(guī)范要求幾大方面。對于智能駕駛開發(fā)來講，了解軟件升級的重要技術(shù)優(yōu)勢，才能傾注更多的精力去發(fā)展軟件升級技術(shù)開發(fā)及安全管理所帶來的挑戰(zhàn)，才能明確如何較好利用軟件升級所涉及的規(guī)范、標準、法規(guī)等內(nèi)容更好的開發(fā)出適合智能汽車的軟件包。因此，這一過程的了解將使得整體把控軟件升級過程將顯得不那么棘手。