十年來,隨著市場內逐漸興起“可更新的汽車信息娛樂系統”的概念,汽車製造商也“趕時髦”地推出了可升級的車機系統和以及配備了聯網功能的汽車。而像特斯拉這樣來自硅谷的公司則走得更遠,率先開始為車主提供OTA遠程更新服務。據國外相關機構預測,到2022年,全球汽車生產企業每年能夠通過使用OTA的方式節省350億美元的成本。顯而易見,在汽車未來發展的過程中,空中升級(OTA)對於車輛的信息安全顯得愈發重要。
近日,艾拉比總裁芮亞楠受邀參與億歐汽車微課堂,與廣大微友分享了智能網聯汽車OTA體系的設計與實踐。ABUP艾拉比智能科技專注為汽車、物聯網領域合作伙伴提供專業OTA升級技術解決方案和定製化服務。該公司目前正式合作的客戶包括比亞迪、江淮、上汽通用、上汽乘用車、長城汽車等主機廠,以及國內Tier 1供應商等,具備豐富的合作經驗與技術基礎。
芮亞楠此次分享主要圍繞三方面展開:OTA與智能網聯汽車戰略、OTA體系設計思考、OTA體系實踐與進階。以下為億歐汽車整理的現場分享實錄:
首先,行業發展趨勢勢必將走向由軟件定義汽車。摩根士丹利的數據顯示,目前在整個汽車產品中軟件與硬件的佔比為1:9。就現階段而言,硬件佔據了整個汽車成本以及生態系統的絕對主導性地位。
但是在未來,隨著智能化、網聯化的不斷髮展,汽車內部的佔比構成會變成4:4:2,如果把內容也看作是另外一種軟件形態的話,那麼未來軟件的整個成本構成及生態佔比會超過硬件。這就是“軟件定義汽車”概念的由來。從消費端來看,用戶逐漸開始把自己的關注點從汽車動力、車身長度、內飾等方面,向對軟件體驗及內容生態等方面的感受傾斜。隨著“軟件定義汽車”趨勢的走強,未來或許還將發展成“軟件定義品牌”,就這點來說,相信大家在手機行業都已經有了切身的體驗。現在決定消費者對於諸多手機品牌廠商的品牌體驗和感受的差異性並不僅僅是硬件。如今,產品硬件本身是同質化的,大家可能基本都選擇高通的芯片、索尼的攝像頭等等。但真正造成用戶對品牌形成差異化體驗的,永遠是軟件的體驗以及內容的生態。
所以從這個角度來講,這種“新概念”迫使整車廠必須去建立一套系統,使其能夠有效地管理自己未來的軟件資產,並且能夠遠程進行運維維護和更新。這就是整個OTA體系建設訴求的由來。
OTA與智能網聯汽車戰略
我們先來探討一下OTA技術在智能網聯汽車發展戰略中的重要地位。2017年,各大主機廠紛紛發佈了自己關於2025年智能網聯汽車的發展規劃及發展戰略。在這當中,我們發現了一些共同點:很多主機廠都把OTA和診斷平臺變成自己發展戰略規劃中的一個重要的里程碑和基礎節點進行建設。
在整體思路方面,大家普遍會分為四個階段:第一階段,汽車聯網能力的構建和普及:在打造個人用戶系統的同時,提供基於互聯網特色的內容和體驗。
第二階段,OTA和診斷平臺等基礎性平臺的能力建設,為未來智能網聯核心工作的發展打下一個比較堅實的基礎。
第三階段,引入輔助駕駛,很多車廠會在2020年左右推出支持輔助駕駛以及低級別自動駕駛的部分智能網聯汽車產品,通過已經建設好的OTA體系不斷優化迭代輔助駕駛算法以及能力,同時車聯網後臺可以利用OTA管道來收集、處理更多與輔助駕駛相關的大數據信息。
第四階段,對於很多車廠2025規劃來說,都是V2X以及高級自動駕駛能力的實現。眾所周知,任何一個通信標準從誕生到成熟,都必須依賴於OTA技術的不斷迭代,來保證整體互聯性和互通性的普及。事實上,高級別自動駕駛的實現,也是一個逐漸迭代的過程,不可能一蹴而就。目前,很多廠商選擇硬件冗餘並通過軟件不斷迭代的方式,最終達到高級別自動駕駛的狀態。
通過OTA技術,未來具有強大硬件性能和軟件OTA能力的車輛,才能成為真正意義上的智能終端。藉此,車聯網才能夠將大數據能力、監控更新能力以及用戶管理能力融為一體,完成下一代的進階。
今年年初,國家發改委發佈了智能汽車創新發展戰略,其中也對2020和2025年國家智能汽車創新發展的戰略目標進行了明確規劃。此舉無形中推動了V2X以及高級自動駕駛能力的快速實現,所以對於很多主機廠來說,目前OTA體系的建設迫在眉睫。
在整車廠的規劃中,OTA體系和整個智能網聯運營平臺又存在何種對應關係呢?整車廠對於OTA平臺的建設思路是獨立、統一、易對接和可擴展的。
獨立意味著,區別於現在的TSP平臺。大家都知道,目前很多車廠在1.0發展規劃中已有自己的TSP平臺,其中具備一定的OTA能力實現對TBOX甚至是車機等單獨業務功能模塊的遠程升級。但是站在整車角度來看,這種模式對整車長遠的發展並不能起到很好的支撐作用。所以,現階段有必要去建設一套獨立化的專屬OTA管理平臺。
統一,指的是未來對於固件升級、應用層軟件升級、新功能的導入、ECU固件的更新、ECU標定的更新、配置字的更新、安全補丁包升級等方面,未來都需要在OTA平臺上進行具體的實施和落地,這需要一個統一的接口。
易對接的特點是,未來OTA平臺並非孤立存在,需要與各平臺體系進行打通,這樣才能產生更大的價值。
可擴展指的是,讓OTA平臺未來能夠自由擴展到更多平臺進行對接。同時,同一套OTA管理平臺可以支撐不同車輛車型平臺,還可以根據車輛數目的增多,進行硬件擴展。
從整個OTA體系的功能定位上來看,未來TSP平臺可以藉助OTA平臺實現操作系統版本的更新、新功能的導入激活、ATP的升級管理以及內容的更新;診斷和售後平臺可以藉助OTA平臺實現ECU固件的更新、ECU標定的更新、配置字的更新;車廠以後自己建設智能駕駛管理平臺未來可以藉助OTA平臺實現邏輯處理部件的更新,以及算法和一些算法參數的更新,包括現在很多車廠正在建設的安全運維管理平臺,未來可以利用OTA平臺進行信息安全的應急措施的響應,以及安全漏洞的補丁升級。這就是OTA體系在整車廠規劃中重要作用的體現。
汽車OTA體系設計思路
接下來,我們再看一下汽車OTA體系整體的設計和建設思路。從汽車OTA體系的基本框架來看,汽車OTA體系是一個典型的由雲、管、端組成的系統。未來,汽車端層次包含了很多跟汽車OTA相關的具體應用程序,運行在供應商的設備上。汽車端的工作包括:負責本地信息的採集及上報、未來升級包的下載與本地執行等。
中間層——通信端,主要負責在雲端和汽車端之間進行業務交互協議定義,以及應用層的相關協議。服務器端則主要負責升級包的製作,車型和車輛的管理,為不同的車型和車輛配置不同的升級策略和升級任務。這就是典型的OTA管理體系的構成。
在雲端,整體OTA體系建設核心思路包含以下幾個方面:首先是軟件管理,包括對於升級包的分類,譬如ECU的固件包、很多車機平臺的軟件包,還有未來的地圖包、語音包、參數標定以及配置字等不同的升級類型。我們首先需要對它進行分類,同時不同類型的升級包需要不同的製作過程。升級包及其製作過程都對應不同的ECU,還有升級包自己本身迭代版本的對應關係,都需要在軟件管理層面進行統一考慮。
其次是車輛的管理。對於OTA來說,當我們去推送或者配置一次OTA升級時,我們首先要了解到車端的具體情況,包括車端硬件體系的構成以及當前軟件版本的具體信息。這是能夠配置好OTA升級的前提條件。
再次是任務管理。我們會在任務管理中為不同的車輛模型配置不同的升級策略。配置好升級策略之後,未來還要通過白名單或黑名單的方式去管理不同的升級灰度。比如說有些升級,必須要面對特定地區的車輛,或者是特定用戶名單中的車輛,或者是工程車輛。還有對於升級條件的管理,車輛必須滿足某種條件才能收到自己的升級包以執行整個升級過程。此外,還有對於發佈後的升級任務進行管理,管理其執行度及執行狀況。
當然,除此之外,對於OTA體系來說最重要的還有對於人員的管理。隨著未來OTA體系部署和建設的私有化,車廠也規劃了專門的OTA管理團隊,這當中就會涉及到一些角色以及權限的分配。不同的角色和不同的權限對應著不同的管理及工作流程,所以在雲端建設中,人員的管理也是重中之重。
在管道端的建設速度方面,主要包括了以下幾個層次的思考:首先在鏈路層,對於整車廠而言,主要考慮的問題是:未來流量池的問題、未來整個OTA體系的流量是走用戶的流量還是走自己的流量?是否採用獨立的APN?還是跟現有的TSP APN複用?未來OTA場景走的是公網還是私網?或者說公網私網混合的架構?這些都是鏈路層需要考慮的問題。
那在協議層部分主要考慮的是,在車端和雲端建立的連接,是基於TLS1.2的雙向還是單向認證體系?這部分跟整車端的實際能力以及車廠的建設思路息息相關。
至於管道端的應用層,很多車廠需要考慮的是整個應用層的協議。車端和雲端的交互是否採用國際通用標準,比如說採用OMA體系協議的規範和框架?還是基於私有化的自定義的協議體系和框架?這部分也將直接影響到未來的成本投入及靈活性,車廠需要做出綜合考量。
而在整個OTA體系中,建設難度相對較高的是車端體系的建設思路,其中主要包括三個層面。首先是整體架構的設計,包含升級目標的確定:哪些ECU未來可以作為遠程升級的目標,以及升級主控的選擇:需要以什麼樣的設備為主,把升級包分發給別人,來掌控整個升級流程的進展。還有升級流程的設計:未來整個升級流程如何執行,出現問題應該怎樣處理。
除了整體架構之外,也要在總線和協議方面進行考量。未來升級包在車內進行傳輸,那我們採用什麼類型的總線進行傳輸?大家都知道,大部分總線都是基於CAN線來傳輸的。然而對於一些智能化設備而言,是否還適用於走CAN線,或者去走一些高速的總線。對於傳輸協議也是如此,對於CAN線上升級包的傳輸或者是刷寫,可以複用現有UDS的協議。但是對於一些高速線的升級包的傳輸,也需要額外定義一些OTA相關的傳輸協議。未來升級的整個場景和用戶的HMI是息息相關的,車主必須要有執行權,所以整個升級體系的流程必須要與HMI定義清晰的協議體系框架。
最後就是電氣性能的規劃和設計,主要包括升級方式的劃分。大家都知道,未來在車內整個架構中,不同ECU的電器器件,肯定會對應不同的升級方式,有些可能是採用UDS刷寫的方式,有些可能採用整包升級的方式,有些必須要採用差分升級或者增量升級的方式,這樣不同的升級方式需要提前進行劃分。有了不同的升級方式,也要對應地對空間、分區等ECU的選擇階段進行空間方面的預留。同時,對於被選擇作為升級主控節點的設備,或者刷寫主控節點的設備,未來也要提前規劃一些能力,比如說聯網能力、存儲能力、分發能力以及安全能力。
當然,上述三個方面其實只是一個前提和基礎,這隻能保證未來車端是可以支撐雲端OTA體系的。這其中最大的難點在於,由於未來車廠希望這套體系可以應用於不同車型與平臺中,所以在平臺和車型之間存在著巨大差異化的前提條件下,如何能夠把上述設計抽象出統一的OTA升級體系規範,這件事對於很多從業者來說非常值得思考,並且迫在眉睫。
汽車OTA體系實踐與進階
最後,我們討論一下關於汽車OTA體系的進階思考。首先,是統一化的建設思路。車廠必須在整個OTA體系的設計階段,就考慮到未來OTA管理平臺所接入車型的差異化。所以整體思路應該遵循:導入供應商的多元化以及ECU具體產品設備的硬件和軟件碎片化,才能保證未來自己平臺的統一化。
設計得再好,也要有可行性作為保障和前提。所以可行性保障對車廠來說也是重中之重。就這方面而言,作為OTA服務商必須能夠給予車廠成熟方案,並且能夠根據車廠的實際訴求、實際能力進行實際的定製。同時能夠拿出合理的分工及可行性計劃。更關鍵的是,除了擁有開發能力和可行性能力之外,還要有一個能夠進行測試和驗收的成熟方案。在這部分,目前國內體系相對比較缺失,這就必須要依賴於整個OTA體系服務商現有的經驗和項目能力,進行整體把控。
另外一部分,就是對於供應商的選擇。對於支持OTA的車型而言,未來供應商的角色會變得非常重要。未來供應商的能力包括對於自身設備特性的規劃能力,主控設備是否已經具備了聯網、存儲、本地分發、安全管理等能力。他們是否有能力對於車廠定義好的SDK進行集成式的開發,以及自身的設施和驗證能力,對於車廠來說都是很關鍵的。
當然,對於車廠來說,最關鍵的還是自身管理體系的完善以及平臺的建設。管理體系的完善包括車廠自身對於車型車輛以及具體車輛中軟件管理能力的不斷建設和不斷提高。以及與未來建設好的OTA管理平臺,同步進行OTA運營團隊的戰略建設,當前我們也在配合很多車廠同步進行團隊建設。這樣就保證了未來我們建設好的OTA平臺,是由真正的OTA運營團隊進行運營的,保證未來的交付質量和交付效率。同時車廠也要規劃更多其他功能型平臺的建設,以及它們如何和OTA平臺對接,這些也是在OTA平臺建設階段同時需要考慮的問題。
在Q&A環節,芮亞楠對於部分聽眾關於OTA技術的問題進行了解答:
Q:在OTA更新過程中,除了簽名驗籤的防護機制之外還有其他防護策略嗎?如果僅有簽名驗籤的防護,有哪些風險?
A:在OTA的更新中,簽名和驗籤機制是最基礎的工作,也是我們進行OTA體系建設時必須要實現的機制。通過簽名和驗籤機制,主要防護未來升級包來源的合法性,這是基礎。當然,只有簽名和驗籤機制是遠遠不夠的,同時還涉及到身份的驗證。比如說,車端要和雲端實現交互,除了驗籤機制之外,還要對身份進行驗證。這部分工作需要基於PKI的體系進行建設,或者需要PKI的一些基礎。同時,除了對升級包進行簽名和驗籤之外,還需要加密和解密技術,為了杜絕未來升級包內容洩露的可能性。
Q:OTA升級管端通道是用公網或私網,各自的優劣勢,怎麼考慮?
A:對於公網和私網的優劣勢主要基於以下幾方面考量:私網最大的好處當然就在於安全性和私密性的保證,其劣勢則在於未來隨著車輛不斷增多,對於整個服務器的處理能力以及管道吞吐量有著很高的要求,尤其是對於整個車輛跨地域覆蓋程度是一個很大的挑戰。
公網的優勢就在於,可以利用現有的公有云資源,尤其是藉助CDN技術,來保證未來面對大規模車輛的升級場景時,可以採用CDN技術進行升級包的有效分發和高效的下載。當然,缺點主要在於相對私網來說,安全性稍有欠缺。這個就是車廠方面的實際考量。
從實際項目案例來看,目前大部分都採用了公網私網混合的流程,業務流程使用私網,升級包的下載過程基於公網。這也是實際項目中的典型選擇。
Q:針對於不同硬件供應商升級包格式的差異化,OTA平臺如何做到統一管理各類廠商的升級包?
A:這是一個十分核心的問題。未來需要提供一套整體的統一的做包工具,通過做包工具彌補這些差異化。當然,在做包的時候,首先需要進行分類,再去實現標準化。除了標準化之外,還有管理的統一性,要跟車廠現有的管理體系規範達成一致。比如說很多車廠現有的零部件管理系統,其中一些編碼規則將同樣適用於軟件,統一規劃實現。
Q:現階段在車輛深度嵌入式且對安全性要求較高的應用方面,似乎還尚未實現OTA。對此,艾拉比方面未來是否有相關針對性計劃?您認為,就這方面而言,哪種路線是最優選擇?
A:從我們以及很多車廠的觀點來看,當考慮技術可行性和方案搭建時,其實就已經把深度嵌入且相對安全性較高的ECU升級考慮進來了,這裡面最典型的就是底盤ECU等等。當然現在大家看到,很多車廠對外宣傳或者對外介紹時,的確是沒有涉及到這樣一些領域。這背後的原因在於,OTA體系的建設不是一蹴而就的,需要一個漸進的過程。所以對於車廠來說,現階段並未把ECU體系作為當前建設目標,但是目前在我們的合作車廠中,都已經將其確立為下一步升級目標了。
第二,對於這樣一些核心關鍵件的ECU,同時也需要有很高的可靠性保障。為了實現這種保障,在整體架構層面,未來比如說刷寫這些ECU,或者升級這樣ECU的主節點上面,要做很多優化和冗餘的工作。同時呢,對於這樣的ECU本身,也要做好這種雙分區、雙備份的機制,這樣的話才能夠實現可靠穩定的升級。
所以就這方面而言,關於這個路線我認為肯定是一個逐步實施逐步實現的過程。不是說車廠有直接規劃就可以直接實現的,同時也要藉助於ECU廠商以及整車架構的變化。所以我相信可能大家在2019年或2020年的部分車型上,能夠見證這樣場景的實現。
閱讀更多 Abup艾拉比智能 的文章
