为什么说传统车企搞不好 OTA 技术？

摘要

《通知》的发布应该就是为了避免 OTA 技术被车企滥用。不过，目前的《通知》还只是一个大纲性质的政策，并没有完善的执行细节，短时间内汽车 OTA 的召回事宜，估计还是要看企业的自觉性了。

“自觉性”是防微杜渐，也是浑水摸鱼。

11 月 25 日，市场监管总局发布《市场监管总局办公厅关于进一步加强汽车远程升级（OTA）技术召回监管的通知》，《通知》提出，当生产者采用 OTA 方式消除汽车产品缺陷、实施召回时，应按照《缺陷汽车产品召回管理条例》及《缺陷汽车产品召回管理条例实施办法》要求，向市场监管总局质量发展局备案，依法履行召回主体责任。其中，今年年内采用 OTA 方式对已售车辆开展技术服务活动的有关汽车生产者需要补充备案。

至此，蒙眼狂奔的 OTA 技术，开始从营销噱头转向关键性作用，到了需要政策进行规范的阶段。

借着上述《通知》的发布，我们来走近 OTA 产业背后，一睹行业的发展现状与挑战。

OTA 市场现状

OTA 全称“Over-The-Air”，即空中下载技术，早期被广泛应用在手机行业中，终结了手机软件升级需要连接电脑、下载软件、再安装更新的繁复操作。近年来，随着汽车网联技术不断发展，汽车 OTA 也成为了行业热词。

通过 OTA 技术对汽车进行远程升级，不仅可以持续为车辆改善终端功能和服务，让车主拥有更便捷、更智能的用车体验，而且还可以被用于快速修复漏洞，帮助实施汽车召回。正在逐渐成为企业解决软、硬件系统问题的重要措施。

业内公认的汽车 OTA 最早出现是在 2012 年，特斯拉推出的 Modes S 首次采用 OTA 技术，更新范围涉及人机交互、自动驾驶、动力电池系统等模块，当时特斯拉可以通过 OTA 完成钥匙卡漏洞、提升续航里程、提高最高速度、提升乘坐舒适度等，让车的功能迭代更加灵活和便捷。

后来，OTA 技术开始被丰田、福特、大众、宝马等传统车企所尝试。期间，国内的蔚来、理想、小鹏、上汽、比亚迪等也陆续推出了可以实现部分功能或整车 OTA 的车型。

OTA 能给车企和用户带来什么？

• 节约成本和时间

对很多车企而言，OTA 技术上车的主要动力是出于成本和时间节约的考虑。

传统的召回需要走内部及外部审批过程，时间和金钱的成本都非常高。通过 OTA 方式可以有效提高召回效率和完成率。现在一个召回可能需要两年时间，而通过 OTA 召回，可能两周就能解决，同时，还可大幅降低召回成本。有数据显示，2019 年 OTA 技术在汽车软件、程序升级中，为我国整车厂节约 165 亿美元售后体系的支出。

• 快速修复系统缺陷

传统汽车在用户行驶中出现了系统方面的缺陷，解决办法是汽车厂家启动召回程序，在用户收到召回程序后返厂进行系统的统一升级。

国家市场监督管理总局数据显示，自 2004 年 3 月建立召回制度开始，至 2020 年 9 月底，我国已累计实施汽车召回 2119 次，召回缺陷车辆 8010.2 万辆，约占我国汽车保有量的 30%。召回原因除了传统的气囊 / 安全带、发动机、转向 / 悬架和电子电器总成等缺陷，由软件故障引发的召回数量，在近几年呈明显增长态势。截至 2019 年涉及程序或软件问题的召回达到 213 次，涉及车辆 683.02 万辆，约占总召回数量的 9%。

未来，随着车联网、自动驾驶等新技术的快速发展，软件故障问题或更加突出。OTA 技术可以通过远程快速数据包的形式完成缺陷的修复，避免持续数月的进厂召回带来的风险。

图源：盖世汽车资讯

• 快速迭代、提升使用体验

OTA 升级对主机厂真正具有吸引力的地方在于它能够实现车辆重要功能的常用常新。由于在产品设计中的硬件超前配备，智联网汽车操作系统可以通过一次次 OTA 升级，不断给车主逐步开启新功能，优化产品体验，进行快速迭代，提供更加优质的系统服务。

• 实现软件收费的突破

近年来，汽车软件的角色发生了深刻的变化。以前由硬件执行的关键操作现在都使用和依赖软件。与此同时，软件及其功能的复杂性持续增长。

随着车载软件种类的增加，汽车销售时的利润已无法支撑汽车全生命周期内的软件开发成本，所以，同智能手机应用市场中的收费 App 一样，部分高价值的软件也将会采取收费的模式，汽车制造商通过软件升级的方式可以在产品售出后通过增加功能的方式继续获得收入。

据特斯拉内部人士透露，今后公司的 OTA 收费项目会越来越多，价格也会水涨船高。2014 年刚发布时，特斯拉 Autopilot 功能解锁费用为 2500 美元，两年后增强版 Autopilot 涨到了 5000 美元。近来，特斯拉多次提升 FSD 的价格，未来涨价预期基本已板上钉钉。相关机构预测，这种新的盈利方式或将继续为特斯拉带来巨大的商机，到 2025 年 Autopilot/FSD 的营收虽仅将占该公司总营收的 6%，但有望贡献近 25%的毛利。

总结来看，OTA 技术的出现，让汽车软件功能的定义与开发分布在汽车产品的这个生命周期中，软件功能在车型间的通用性越来越强。OTA 可以突破传统汽车的维修升级桎梏，实现改善或添加车辆功能和价值，让车的功能迭代更加灵活和便捷，最终变成一台可以不断进化的智能终端。

OTA 技术分类

目前，汽车 OTA 又分为 SOTA（软件 OTA）和 FOTA（固件 OTA）两种升级方式。

相比 SOTA，FOTA 升级实现难度更高，一般被应用于车辆性能的完善层面。此外，FOTA 须针对车辆上不同的通讯环境更新刷写机制，利用在不同 ECU 上分别植入主 / 从代理程序建构整车 OTA 的架构，并搭配完善的 OTA 平台管理系统达到整车更新的功能。

从 OTA 应用现状来看，目前绝大多数 OTA 能够做到的还只是将软件升级包发送至车内的 T-Box，而不能实现 ECU 层面的软件升级。受到车辆架构影响，整车 FOTA 目前仅有少数车型能够提供。

但随着普及率越来越高，从原本仅仅服务于车载系统，OTA 也正在慢慢向整车范围普及，从打补丁的迭代更新到涉及到固件的全面升级，可更新的内容和范围都在扩大。

什么是整车 OTA？

以特斯拉为例，其不仅可以通过 OTA 将软件升级发送到车辆内的车载通讯单元，更新车载信息娱乐系统内的地图和应用程序以及其他软件，还可以直接将软件增补程序传送至有关的 ECU，以实现安全、可靠的功能升级。此前，特斯拉曾通过 OTA 新增过自动驾驶功能、增加过电池容量，也通过 OTA 实现了百公里加速的提升和改善刹车距离。

有业内人士表示，目前能够整车 OTA 技术的汽车厂家和车型并不多，除了特斯拉之外，玩整车 OTA 的主要是造车新势力，并且成为其产品宣传的一大亮点，但更新频率仍远低于特斯拉。

图源：极客公园

行业里常规所说的整车升级，就是基于 FOTA 技术的。FOTA 相比 SOTA 在技术上难度更大，能够深层次改变汽车控制系统、管理系统及性能表现。那么 FOTA 难度为什么这么大？

为什么整车 OTA 难度这么大？

• 分布式电气架构

FOTA 的升级涉及硬件，在技术上有一定难度，FOTA 自主研发的前提是深刻掌握每个控制器的底层逻辑。

传统汽车无法实现 FOTA 的原因在于严重依赖供应链，没法摸透控制器的逻辑，导致电子架构的碎片化。而特斯拉产品的诞生是基于域控制器的架构。

图源：联合电子

对于供应商来说，实现 FOTA 需要与设备的更新机制进行深度整合，车辆在什么状态下进行刷写，如何确保确保更新过程的稳定性与安全性，这些实现上的难点都是要考虑的。此外还需要对不同的芯片与操作系统有深度的了解，以适配最佳的解决方案。

被供应商“绑架”了的传统车企，牵一发而动全身，目前还不具备整车 OTA 升级的成熟条件。

• 整车 OTA 时间较长

汽车内部各控制器的刷写需要时间，汽车内部各个控制器都有安全防护，刷写指令首先要通过控制器的安全认证，然后将文件传输给控制器，控制器再重启完成刷写。如果中间出了错误，刷写不成功，还需要重试。

如果遇到运算能力和存储空间小的控制器，需要将数据按照一定的格式慢慢的写进控制器，消耗的时间就会更长。

此外，从架构的角度来看，汽车内部 ECU 的数量多达上百个，它们连接在不同的车内通讯网络上，同时每条网络又有着不同的数据传输协议，且传输速度较慢，传输文件时间较长。因此，升级的控制器越多，升级的时间也就越长。

这就要 OTA 供应商需要熟悉车内的通讯网络拓扑结构，因为不同的 ECU 连接着从 CAN 总线、FlexRay、LIN 到 MOST、以太网等不同的通讯网络，只有对每条线路的特点有清晰的认知才能高效地实现软件升级。

对于整车 OTA 的挑战，瑞萨电子认为，整车功能的升级需要安全部件的更新，需要从两个方面入手：一是降低车内通讯网络的复杂性；二是简化车内 API 接口，同时增加 MCU 对多个系统的集成化控制。

这其实就是传统燃油平台向智能电动化迈进的过程，整车电子电气架构从分布式逐步向集中式过渡。车用计算平台的引入能够简化车内网络的结构，加速通讯协议的编译过程同时增强各个子版块的安全性。同时位于整个中枢系统的 MCU 应该足够智能，需要把从以太网获得的数据提前进行压缩，然后再传输给 CAN 总线，提升升级效率和安全性。

汽车 OTA 升级过程中还有哪些技术问题需要注意？

• 网络安全风险

在大多数汽车制造商的设计过程中，高端汽车控制器节点接近甚至超过 100 个，整车代码量已经突破亿行，创建和管理数大量代码已经成为主流，汽车工业打开了一片充满潜力的代码和应用程序的海洋。

而汽车行业 80%~90%的创新基于电子，离不开软件的支撑。因此，不断攀升的代码量带来的潜在网络风险不容小觑。不同的 OTA 技术能够在线进行软件和固件更新，及时弥补系统中存在的问题而不依赖于召回这个过程，OTA 的应用能够在一定程度上应对信息安全上可能存在的缺陷。

但 OTA 的普及并不直接代表了信息安全有了保证，OTA 只是用于保证信息安全的一个后手，是针对存在的信息安全缺陷的修复手段，单纯的维护并不能建立完全的信息安全体系，而且在 OTA 数据下发的过程中还提供了被攻击的潜在风险。实现信息安全的关键更多在于从设计开始就要有信息安全体系打造的先手措施。

• OTA 升级安全

OTA 设计要从安全、时间、版本管理、异常处理等方面综合考虑，车辆上 ECU 的软件运行状况直接会影响到车辆乘客的安全。从升级包制作，发布，下载，分发，刷写等环节，OTA 需要从云，网络，车端来保证安全。

图源：艾拉比

OTA 升级安全归纳起来可以分为以下两个方面：

信息安全：主要是通信加密、软件包验签、更新隔离以及安全芯片等；

功能安全：主要包括 OTA Manager 的启动条件判断（车辆状态等）、ECU 升级的预编程条件判断、整车模式配合以及升级方案考量；对于汽车整车 ECU 升级，必须要在一个合适的时间、合适的地点以及车辆合适的状态下进行升级。

否则蔚来 ES8 长安街"趴窝事件"（因误操作启动了 FOTA 升级，导致汽车无法行驶、车窗摇不下来，在长安街上停留 1 个多小时。），还将再次上演。

• 运营决定成败

技术之外，OTA 落地并持续运营也是一个系统级的问题，并不亚于开发一个系统的难度。主机厂在落地 OTA 系统后，运营两个字则会进入到其视线内。主机厂不能只看系统的功能是否按照要求实现，还要考虑在系统建成之后，谁来用，怎么用的问题。其原因背后是主机厂对于升级效率和安全问题的关心和焦虑。

升级效率的提升和安全保障才是 OTA 运营的最终目标。运营是一个云端与车端联动，OTA 系统与其他系统联动的过程。在保证功能实现的前提下，服务商需要设计更多细节能力，保证升级活动的顺利进行。

结语

目前，新车的价值构成中，硬件仍然占据绝对比例，软件仅占 10%左右。未来，一辆智能网联汽车的价值构成将变成 40%的硬件、40%的软件以及 20%的内容和服务。

未来，随着软件在汽车上的应用越来越广泛，下一代电子体系结构已经从硬件驱动发展到软件定义。过去几年，受到特斯拉的冲击，越来越多的汽车制造商公开表示，他们需要更像一个软件公司来思考，避免掉队。预计通过 OTA 方式召回的汽车将越来越多。因此，如何通过合理的手段对 OTA 技术的应用进行监管成了亟待解决的问题。

国家市场监管总局缺陷产品管理中心汽车部主任肖凌云曾指出，“我们鼓励企业用 OTA 的方式实施召回，但不能用 OTA 的方式逃避召回，或者替代召回。OTA 只是召回的一种技术服务方式，不等同于召回，更不能代替召回。且不管企业是以 OTA 作为召回措施还是技术服务活动，都要履行备案的义务。”

这次《通知》的发布应该就是为了避免 OTA 技术被车企滥用。不过，目前的《通知》还只是一个大纲性质的政策，并没有完善的执行细节，短时间内汽车 OTA 的召回事宜，估计还是要看企业的自觉性了。

然而，在这个利益纷争的商业地盘，很难说清楚“自觉性”是防微杜渐，还是浑水摸鱼。