汽车新四化(电动化、智能化、网联化、共享化)是行业公认的趋势,在智能化和网联化方面,OTA技术就成为了不少车企拿来宣传自家产品的重要卖点,此时推出的新车如果没有OTA,或许会被当做笑话。
几年前的网络速度,处理器的制程以及车机系统处在很低级的状态,想要通过OTA升级汽车有点不切实际。即便到了现在车用OTA更多是对车载应用、多媒体系统或整车底层系统进行升级。车机内搭载了SIM卡模块或者WiFi模块,就可以实现OTA,其实技术并不复杂。
与汽车的底盘、发动机不同,软件是很容易进行更新迭代的。以往车辆遇到软件故障或是需要更新,我们需要将车开到4S店让工作人员利用专业电脑修复,但这样做所耗费的人力物力,以及消费者的时间可都不少,而OTA技术可以让用户足不出户就完成车辆升级,相比之下减少了成本、还节省了用户时间。
答案很简单,因为电动车更适合OTA升级。早期的汽车都是纯机械结构,软件不可能对车辆进行升级。所以车用OTA一般是针对娱乐系统、导航等推出在线系统更新。比如更新中控的Android Auto及Apple CarPlay车载系统,或者是更新导航地图。
不过电动车结构相对简单,整车的动力系统、制动系统、电池管理系统等所有跟车辆行驶有关的系统都转向了电子化,OTA随时可以对其进行“控制”、“改写”,只要厂商前期在设计时,在核心的三电系统、车机处理器、传感器等方面留出较多的冗余,后期通过软件提升的难度要容易的多。
而且为了实现自动驾驶,不少汽车上安装了大量传感器,汽车厂商能够通过软件利用这些传感器来让车辆有更多功能。
如果是燃油车,想要通过OTA升级50马力以当前的技术手段很难实现,不过电动车就另当别论了。另外特斯拉通过OTA百公里加速可以从5.2秒缩短至4.7秒,特斯拉可以通过OTA把刹车距离缩短6米,还可以通过OTA刷出圣诞节彩蛋。
1) 交钥匙工程,搭建软件付费,提供端到端整体解决方案;
2) 完全新功能搭建,项目开发验收;
2012年,Mansour等人设计了一种诊断和安全OTA系统,称为AiroDiag,用于连接车辆。下图为AiroDiag的架构。AiroDiag架构的主要分为:OEM、汽车和云端。AiroDiag采用了对称密钥技术,特别是采用了先进的加密标准来保证软件更新过程中的通信安全。在AiroDiag中,密钥存储在OEM端的数据库中。
2008年 Nilsson和Larson在IEEE大会上提出了一种用于车联网的安全OTA固件更新协议。在他的架构中分为了四个实体:车、服务器后端、互联网和无线基站。
在这里,服务器后端是负责与网联车通信的主要单元。作者先将更新后的二进制文件划分为多个数据块。然后以相反的顺序对每个片段进行哈希处理,创建哈希表。
最后,服务器后端使用预共享的加密密钥对的每个数据块进行加密,然后再将它们传输汽车终端。考虑到车辆中有限的资源,后端使用分块哈希加密作为加密技术。尽管这种变法可以确保不会受到窃听、拦截和篡改攻击,但是无法防止拒绝服务攻击。
2018年,Steger等人在工作中引入了区块链(BC)的架构来解决智能汽车OTA升级的安全和隐私问题。该体系结构的主要实体有:OEM、服务中心、汽车、云服务器和SW主机。
该架构中,所有参与的实体组成一个集群,一旦出现了新的OTA包,SW主机上的程序就会触发软件更新过程。
首先,SW主机向云服务器发送一个带有自己签名的存储请求。在验证成功后,云服务器发送一个二次确认包,包括自己的签名和软件上传过程中需要的文件描述符发送到SW主机中。
将新软件上传到云服务器后,SW主机在区块中创建一个更新事件,其中包含关于新软件在云端位置等信息。然后SW主机中使用私钥签署这个事件,并最终将加密的事件广播给车辆。接着作者进行了本概念的验证测试,结果表明,该体系架构的性能优于基于证书的体系架构。
2016年Steger等人在IEEE大会提出了一个名为SecUp的框架,用于对网联车进行安全高效的OTA软件更新。其中涉及到:OEM、服务中心、汽车终端和汽车维修人员。
SecUp同时使用对称和非对称密钥加密来保护OTA更新过程。汽车维修人员使用NFC智能卡与PIN码对手持设备进行对称的身份验证,然后服务后端返回会话密钥,利用该会话密钥配合汽车RSA公钥将安装包加密下发到每个汽车。接收成功后,汽车在安装前对软件用私钥进行验证解密。
2016年Petri等人在国际汽车安全大会上提出了一种基于HSM的可信平台模块(Trusted Platform Module, TPM)的安全OTA更新机制。
作为软件,就有被攻击的可能性,而汽车在利用OTA技术升级的过程中,同样存在这样的风险。汽车在下载升级包的过程中,攻击者可以利用网络手段将被修改过的升级包发送给车辆,进而修改系统、甚至远程控制车辆。
除了被攻击以外,车辆在下载升级包的时候,如果出现网络不稳定等情况,也会导致升级包出现漏洞,进而使得车辆升级失败。
所以汽车OTA就需要厂家制定出完善的升级策略,比如终端在升级过程中建立严密的验证机制,保证升级包不被篡改,同时对升级条件加以限定,保证车辆能在合适的状态下进行升级。现在针对汽车控制器出台了网络安全法规,R155,R156就是国家在出台政策规范市场,提高信息安全。
OTA给予了主机厂控制汽车更多的权限,也会默默采集上传了车主很多的隐私,比如车辆位置、形势轨迹、图像信息和音频信息,这在蔚来的隐私政策中都有详尽的表述,无论车企是基于怎样的目的,智能化只能是在隐私保全的前提下开展。
打个不恰当的比方,你买了一栋智能住宅,却发现基于安全或莫名的理由,家里有众多摄像机和隐藏麦克风无时无刻地收集你的信息,是不是会觉得很不自在甚至毛骨悚然?
更进一步,如果汽车企业在服务器安全层面被黑客攻破,不仅海量的用户数据被泄露,而且未来像《速度与激情》那样被黑客入侵,海量的汽车被远程OTA控制后,可以轻易打开车门、启动汽车,甚至启用自动驾驶模块来执行某些任务或指令,成为大规模危险武器未必没有可能,这时的安全又有谁来保障?
其次,主机厂OTA往往会沦为一种可耻的借口,为了抢先上市,而提前将功能未完善的“半成品”推向市场,让付款消费者来充当“小白鼠”或者“风险承担者”,而车企则后期借OTA升级来弥补原本测试阶段的缺失,反而忽悠消费者“这是一辆不断生长的汽车”。
许多品牌为了抢夺“新能源补贴窗口期”从而赶工明显,在造车环节上借助OTA偷了不少“懒”,产品功能不成体系,甚至是预埋硬件,后期希望通过宣传OTA来掩盖当前产品尚未完善的现实。
老老实实做好设计、测试和研发环节,旗下产品各方面都打磨成熟了再量产推向市场,一旦出了问题该召回就认认真真通过召回制度来解决,这才是负责任的汽车企业该有的态度,而不能急功近利地玩噱头。
相比特斯拉以及国内新势力品牌大肆宣传自家的OTA功能,反观日企的丰田、本田,一向以只搭载合格、成熟的功能为市场所接受,事故率相比之下很低。
小结
OTA技术对于车企以及消费者而言,都是有利有弊。像一些娱乐功能OTA无妨,毕竟只是娱乐功能,出不了什么大事,还可以让消费者享受到到更好的娱乐体验。
觉得文章不错,点击“分享”、“赞”、“在看” 呗!
