汽車新四化（電動化、智能化、網聯化、共享化）是行業公認的趨勢，在智能化和網聯化方面，OTA技術就成為了不少車企拿來宣傳自家產品的重要賣點，此時推出的新車如果沒有OTA，或許會被當做笑話。

那麼OTA是什麼？我們該如何正確看待OTA技術？在購車時到底需不需要關注這項技術？

OTA技術的英文全稱為Over the Air Technology，翻譯過來就是空中下載技術。

首先大家要了解什麼是OTA，OTA簡單的可以理解為遠程升級，最早是安卓系統在手機上推出的，終結了手機軟體升級需要連接電腦、然後下載軟體、再安裝更新的繁複流程。而運用到汽車上也就可以理解為可以遠程升級你的車輛軟體系統，甚至可以直接升級你的軟體來控制整車。

幾年前的網絡速度，處理器的製程以及車機系統處在很低級的狀態，想要通過OTA升級汽車有點不切實際。即便到了現在車用OTA更多是對車載應用、多媒體系統或整車底層系統進行升級。車機內搭載了SIM卡模塊或者WiFi模塊，就可以實現OTA，其實技術並不複雜。

與汽車的底盤、發動機不同，軟體是很容易進行更新疊代的。以往車輛遇到軟體故障或是需要更新，我們需要將車開到4S店讓工作人員利用專業電腦修復，但這樣做所耗費的人力物力，以及消費者的時間可都不少，而OTA技術可以讓用戶足不出戶就完成車輛升級，相比之下減少了成本、還節省了用戶時間。

為何OTA技術往往與電動車掛鈎

答案很簡單，因為電動車更適合OTA升級。早期的汽車都是純機械結構，軟體不可能對車輛進行升級。所以車用OTA一般是針對娛樂系統、導航等推出在線系統更新。比如更新中控的Android Auto及Apple CarPlay車載系統，或者是更新導航地圖。不過電動車結構相對簡單，整車的動力系統、制動系統、電池管理系統等所有跟車輛行駛有關的系統都轉向了電子化，OTA隨時可以對其進行「控制」、「改寫」，只要廠商前期在設計時，在核心的三電系統、車機處理器、傳感器等方面留出較多的冗餘，後期通過軟體提升的難度要容易的多。而且為了實現自動駕駛，不少汽車上安裝了大量傳感器，汽車廠商能夠通過軟體利用這些傳感器來讓車輛有更多功能。

作為首先在汽車上大規模推進OTA功能的特斯拉在這方面與傳統汽車廠商相比領先優勢明顯，比如此前特斯拉揚言要在紐博格林北環賽道上贏過保時捷， 隨後國外知名汽車媒體Top Gear做了一期節目，在節目中對保時捷Taycan Turbo S和特斯拉Model S進行了對比測試。在兩車都是原裝車的情況下，保時捷Taycan全面勝出。這一結果讓特斯拉CEO埃隆·馬斯克非常不滿，所以特斯拉將通過OTA升級的形式將Model S的峰值功率提升50馬力。如果是燃油車，想要通過OTA升級50馬力以當前的技術手段很難實現，不過電動車就另當別論了。另外特斯拉通過OTA百公里加速可以從5.2秒縮短至4.7秒，特斯拉可以通過OTA把剎車距離縮短6米，還可以通過OTA刷出聖誕節彩蛋。

正是因為電動車更適合在線升級，結果不少新能源汽車品牌就把OTA當作賣點大肆宣傳。如果OTA只能像以前一樣升級車機的系統界面、UI、車載APP、多媒體系統，那還怎麼突出這些新勢力品牌主打的智能汽車概念。

為何在傳統燃油車上少見OTA

數位化在我們的生活中已經變得極為普遍，汽車同樣也在順應時代變化。

一輛車的研發周期通常是3-4年甚至更長，車企在研發過程中會在各種工況和用車環境下進行充分測試，儘可能地發現並解決所有問題，然後才推向市場，即便如此，我們還聽到汽車大規模召回的消息，足以見得汽車產品可靠性和安全性有多重要。

傳統燃油車的動力單元非常複雜，噴油量、節氣門開合、剎車系統、換擋邏輯、轉向比、懸掛風格等等參數標定，耗費了數年甚至上千名工程師的精力心血，調試好量產的狀態絕對是在成本範圍內的最佳狀態。很多改裝車玩家改了車之後動力輸出不穩定，車輛操控甚至還會下降，就是是因為改變原廠車非常平衡的設定。

大家已經習慣了手機在線升級，不過在燃油車上想要實現並不容易。手機往往為了搶占市場，在功能實現百分之八十或者九十的時候就搶先上市，然後通過OTA來不斷完善軟體上的問題，從而改善產品BUG。燃油車想要實現OTA匹配的東西太多，比如發動機的出力特性，傳動系統與發動機輸出的匹配，又或是駕駛輔助系統的標定，更何況這些核心機構直接決定車輛安全，汽車廠商將「半成品」推向市場是非常不負責任的行為，數碼產品如果有缺陷，最多也就是損失功能，汽車有問題或缺陷則會出現嚴重的安全事故，影響的是車主及乘客的生命財產安全。

刷ECU改性能可不是鬧著玩的，不像電動系統那麼簡單直接。傳統汽車廠商不是不能OTA，而是不願意，這只是新能源汽車品牌熱衷的「宣傳賣點」。如奧迪、捷豹I-PACE、奔馳EQC這些豪華品牌的電動車型，僅僅因為不支持整車OTA，所以被某些品牌水軍在網絡上惡意攻擊為「老年代步車」，實在是毫無意義。傳統汽車企業即使做純電產品也是在上市前經歷「千錘百鍊」的測試，並沒有把所謂的OTA放在眼裡。

近年汽車OTA升級組件

除了智己L7，各大車企也都將ADAS與自動駕駛模塊（包括自動泊車和自動變道等相關的更新和改進）作為OTA的重要內容。隨著輔助/自動駕駛的逐漸成熟，加上國家政策管理，法規和保障逐漸完善後，OTA的競爭未來主要在輔助駕駛這一塊上。

其次是車機之間的座艙類更新，比如交互更新等出現頻率也極高，一方面，目前很多主流應用不是很符合車內場景的使用習慣，車主使用車機的效率還有很大的提升空間；另一方面，車機方面的改進，UI改變都能給車主明顯的感知。

1.國內外車企OTA升級頻率、內容對比

2.OTA方案

OTA是一種基於汽車網聯的遠程升級功能。大多數整車廠以採用第三方OTA方案為主，而非自己開發OTA平台。根據高工智能汽車研究院數據顯示，目前國內大多數自主品牌及合資品牌仍以採用第三方OTA方案為主，尚未具備足夠的能力或相應的組織結構來開發、交付及擴展OTA軟體平台。

3.合作模式

供應商與OEM合作趨向靈活，其OTA合作模式主要有三種：

1) 交鑰匙工程，搭建軟體付費，提供端到端整體解決方案；

2) 完全新功能搭建，項目開發驗收；

3) 按需（功能模塊）付費等。

4.OTA技術原理

5.基於對稱密鑰加密技術

2005年，Mahmud等人在核心期刊IEEE Intelligent Vehicles Symposium提出了一種智能汽車的安全更新技術。提議在原始主機廠、軟體供應商（SS）之間共享一組鏈路密鑰。在任何軟體更新之前，使用一個鏈路密鑰在軟體供應商和車輛之間建立安全連接，形成可信通道。

2012年，Mansour等人設計了一種診斷和安全OTA系統，稱為AiroDiag，用於連接車輛。下圖為AiroDiag的架構。AiroDiag架構的主要分為:OEM、汽車和雲端。AiroDiag採用了對稱密鑰技術，特別是採用了先進的加密標準來保證軟體更新過程中的通信安全。在AiroDiag中，密鑰存儲在OEM端的資料庫中。AiroDiag應用始終保持與網絡的連接，處理來自車機端的任何連接請求。在AiroDiag中，軟體更新過程由客戶端觸發。一旦觸發軟體更新過程，車輛首先與OEM建立安全連接。接下來，車輛將告知OEM端當前已安裝軟體的版本。如果有新軟體可用，OEM將觸發軟體更新過程，並與汽車建立安全連接。

6.基於哈希算法

2008年 Nilsson和Larson在IEEE大會上提出了一種用於車聯網的安全OTA固件更新協議。在他的架構中分為了四個實體:車、伺服器後端、網際網路和無線基站。在這裡，伺服器後端是負責與網聯車通信的主要單元。作者先將更新後的二進位文件劃分為多個數據塊。然後以相反的順序對每個片段進行哈希處理，創建哈希表。最後，伺服器後端使用預共享的加密密鑰對的每個數據塊進行加密，然後再將它們傳輸汽車終端。考慮到車輛中有限的資源，後端使用分塊哈希加密作為加密技術。儘管這種變法可以確保不會受到竊聽、攔截和篡改攻擊，但是無法防止拒絕服務攻擊。

7.基於區塊鏈技術

2018年，Steger等人在工作中引入了區塊鏈(BC)的架構來解決智能汽車OTA升級的安全和隱私問題。該體系結構的主要實體有:OEM、服務中心、汽車、雲伺服器和SW主機。該架構中，所有參與的實體組成一個集群，一旦出現了新的OTA包，SW主機上的程序就會觸發軟體更新過程。首先，SW主機向雲伺服器發送一個帶有自己簽名的存儲請求。在驗證成功後，雲伺服器發送一個二次確認包，包括自己的簽名和軟體上傳過程中需要的文件描述符發送到SW主機中。將新軟體上傳到雲伺服器後，SW主機在區塊中創建一個更新事件，其中包含關於新軟體在雲端位置等信息。然後SW主機中使用私鑰簽署這個事件，並最終將加密的事件廣播給車輛。接著作者進行了本概念的驗證測試，結果表明，該體系架構的性能優於基於證書的體系架構。

8.對稱密鑰與非對稱密鑰的組合加密算法

2016年Steger等人在IEEE大會提出了一個名為SecUp的框架，用於對網聯車進行安全高效的OTA軟體更新。其中涉及到:OEM、服務中心、汽車終端和汽車維修人員。SecUp同時使用對稱和非對稱密鑰加密來保護OTA更新過程。汽車維修人員使用NFC智慧卡與PIN碼對手持設備進行對稱的身份驗證，然後服務後端返回會話密鑰，利用該會話密鑰配合汽車RSA公鑰將安裝包加密下發到每個汽車。接收成功後，汽車在安裝前對軟體用私鑰進行驗證解密。SecUp的性能是通過對沃爾沃ECU更新實驗測試的。結果顯示，不同類型軟體的更新持續時間介於6.77秒~ 33.19秒之間。

9.硬體安全模塊

2016年Petri等人在國際汽車安全大會上提出了一種基於HSM的可信平台模塊(Trusted Platform Module, TPM)的安全OTA更新機制。首先，網關ECU從遠程伺服器下載更新後的軟體。然後ECU使用TPM中預定義的散列驗證下載的軟體。驗證成功後，ECU將更新後的軟體發送到目標ECU進行安裝。使用TPM的好處是它支持許多流行的加密算法，例如RSA、SHA、AES。主要局限性是，每個ECU都需要一個HSM/TPM算法加密機，從而導致了額外成本。

根據ABI市場研究數據報告，2022 年將有 2.03 億輛部汽車能通過 OTA 方式更新軟體,其中至少 2200 萬輛汽車還能通過 OTA 更新固件，未來我們會接受到來自車輛OTA更新帶來的安全問題的挑戰。

OTA有什麼弊端

汽車OTA可以類比手機升級系統，不過兩者還是有很大的區別，尤其是安全方面。手機在進行OTA升級時，如果升級不成功，最壞的的情況就是手機變「磚頭」，而汽車則不一樣，如果控制轉向、制動等一些與行駛相關的部件在升級程序時出現錯誤，就有可能造成極為嚴重的後果。

作為軟體，就有被攻擊的可能性，而汽車在利用OTA技術升級的過程中，同樣存在這樣的風險。汽車在下載升級包的過程中，攻擊者可以利用網絡手段將被修改過的升級包發送給車輛，進而修改系統、甚至遠程控制車輛。除了被攻擊以外，車輛在下載升級包的時候，如果出現網絡不穩定等情況，也會導致升級包出現漏洞，進而使得車輛升級失敗。所以汽車OTA就需要廠家制定出完善的升級策略，比如終端在升級過程中建立嚴密的驗證機制，保證升級包不被篡改，同時對升級條件加以限定，保證車輛能在合適的狀態下進行升級。現在針對汽車控制器出台了網絡安全法規，R155,R156就是國家在出台政策規範市場，提高信息安全。

OTA給予了主機廠控制汽車更多的權限，也會默默採集上傳了車主很多的隱私，比如車輛位置、形勢軌跡、圖像信息和音頻信息，這在蔚來的隱私政策中都有詳盡的表述，無論車企是基於怎樣的目的，智能化只能是在隱私保全的前提下開展。打個不恰當的比方，你買了一棟智能住宅，卻發現基於安全或莫名的理由，家裡有眾多攝像機和隱藏麥克風無時無刻地收集你的信息，是不是會覺得很不自在甚至毛骨悚然？更進一步，如果汽車企業在伺服器安全層面被黑客攻破，不僅海量的用戶數據被泄露，而且未來像《速度與激情》那樣被黑客入侵，海量的汽車被遠程OTA控制後，可以輕易打開車門、啟動汽車，甚至啟用自動駕駛模塊來執行某些任務或指令，成為大規模危險武器未必沒有可能，這時的安全又有誰來保障？

其次，主機廠OTA往往會淪為一種可恥的藉口，為了搶先上市，而提前將功能未完善的「半成品」推向市場，讓付款消費者來充當「小白鼠」或者「風險承擔者」，而車企則後期借OTA升級來彌補原本測試階段的缺失，反而忽悠消費者「這是一輛不斷生長的汽車」。再次，一旦量產車輛出現大規模質量問題或生產缺陷，OTA也容易成為「大規模召回」的替代詞或遮羞布，廠商通過OTA對行車電腦底層調試和運行邏輯的任意修改，也讓OTA變得更加危險。

許多品牌為了搶奪「新能源補貼窗口期」從而趕工明顯，在造車環節上藉助OTA偷了不少「懶」，產品功能不成體系，甚至是預埋硬體，後期希望通過宣傳OTA來掩蓋當前產品尚未完善的現實。老老實實做好設計、測試和研發環節，旗下產品各方面都打磨成熟了再量產推向市場，一旦出了問題該召回就認認真真通過召回制度來解決，這才是負責人的汽車企業該有的態度，而不能急功近利地玩噱頭。相比特斯來以及國內新勢力品牌大肆宣傳自家的OTA功能，反觀日企的豐田、本田，一向以只搭載合格、成熟的功能為市場所接受，事故率相比之下很低。

當然，不同的企業策略，也不能說哪家就一定好。

小結

OTA技術對於車企以及消費者而言，都是有利有弊。像一些娛樂功能OTA無妨，畢竟只是娛樂功能，出不了什麼大事，還可以讓消費者享受到到更好的娛樂體驗。但是，自動駕駛輔助相關的功能，船尾還是持保守意見，謹慎使用OTA，因為它是事關駕駛安全，容不得半點馬虎。車企推出相應的OTA策略時必須小心謹慎，這是對消費者負責，也是避免事OTA導致事故後影響自家聲譽的必要條件。

來源：電控知識搬運工

編輯 ▎釋非

審核 ▎於永初