特斯拉在科技圈中,是个有话题有热点的黑网红,曝出来的永远都是各种控制系统失控出车祸的新闻,这不最近又闯祸了。近日消息,特斯拉召回部分进口和国产 Model 3、国产 Model Y 电动汽车,共计 285520 辆,召回的主要原因是车辆存在主动巡航控制系统安全隐患,易造成驾驶员在转弯或者在 D 挡位情形误激活主动巡航功能,可能出现车辆速度突增情形,极端情况下可能导致车辆发生碰撞。
看起来非常吓人,毕竟是关系到用车安全的问题。特斯拉此次的大规模召回不是物理上将车返厂返点的方式,而是通过汽车远程升级 OTA 的技术,用户无需到店即可完成在线升级。看似很严重的安全隐患仅仅通过 OTA 升级安全包的更新就可以解决问题吗?这种召回方式,没有车厂后续的常规安全测试,总觉得让人不安,甚至也会让人对 OTA 技术本身是否安全有疑虑。那么 OTA 系统到底安全吗?想要回答这个问题,先从什么是 OTA 汽车聊起。
OTA 汽车到底是什么?
OTA 的全称“Over-The-Air”,即空中下载技术(远程升级技术),通过无线网络下载数据包从而对系统更新进而改善终端功能和服务的技术。我们的电脑和手机进行系统更新的时候也是用的这个 OTA 技术。OTA 进行系统升级的目的就是修复系统漏洞、优化改善以获得更多的功能、性能提升,又或者是视觉效果的改善,且这种更新是通过联网后在线检测、匹配版本、下载新的代码到本地进而执行安装、校验等程序。
OTA 技术最早应用于的汽车就是在 2012 年特斯拉推出的 ModeL S 上,内容更新范围包括人机交互、自动驾驶、动力电池系统等模块,当时特斯拉可以通过 OTA 完成钥匙卡漏洞、提升续航里程、提高最高速度、提升乘坐舒适度等。
汽车 OTA 技术根据升级固件的差异,可以分为 SOTA(Software OTA,软件空中升级)和 FOTA(Firmware OTA,固件空中升级),即整车 OTA。其中,SOTA 只能对车辆应用层软件更新,仅限车机、信息娱乐等软件,几乎没有硬件调度的能力,车企实现难度较小,市面上经常看到宣传的 OTA 汽车大多数都是仅具有 SOTA 技术。而 FOTA 是对车辆控制器的系统层进行升级,影响的是车的动力系统、电池管理等系统,比如可以对底盘、动力、ADAS 等底层系统进行 OS 层的软件更新。
搭载 OTA 技术的汽车跟传统的汽车主要的区别是:在性能方面,搭载 OTA 技术的汽车车载实现的功能更丰富,总的来说是从这几方面实现功能:可以修复系统 bug,更新驱动,优化 UI 界面,删除问题 APP,大版本升级等。大多数车用 OTA 一般是针对娱乐系统、导航等推出在线系统更新。
其次是车辆遇到软件故障或是需要更新时,传统汽车需要将车开到 4S 店利用专业电脑修复,耗费的时间精力,而搭载 OTA 技术的汽车可以足不出户就完成车辆升级,修复问题,节省成本与时间。比如 OTA 汽车可以对汽车的 ECU 软件进行更新。ECU 是汽车电子控制器,通俗的来说就是汽车的大脑,新车出厂时动力不会完全发挥出来,通常会留下一部分可提升的空间,刷 ECU 就是通过一些技术手段,在原厂发动机能承受的基础上对 ECU 进行编码,达到提升马力或扭矩的目的,传统汽车想要刷 ECU 需要借助原厂的技术,OTA 汽车可以在线升级这种能力。
从上述的描述可以看出搭载 OTA 技术的车辆实现的功能以及便捷性让人心动与青睐,但是因为 OTA 技术本身涉及到对车辆物理性能比如 ECU 改变、电池性能改变、以及车辆软件体验功能的改变,在这其中,也有一些暗礁可能被触及。
OTA 汽车是把双刃剑
从传统车企的保守选择来看,大家没有照单全收这些美好的体验,没有那么热衷搭载也是有原因的,OTA 汽车也是把双刃剑。
首先是因为传统汽车成熟的研发周期和稳定的企业架构,想要实现 OTA 需要新匹配的元器件太多,产线与企业结构的改变成本太大,这些新的元器件都需要经过高成本的测试,汽车厂商不会将一堆未经测试考验的“半成品”集成后推向市场,影响生命财产安全。
从技术原因分析来看,主要是跟传统汽车的结构有关。传统的汽车都是纯机械结构,动力单元非常复杂,喷油量、刹车系统、换挡逻辑、转向比、悬挂风格等参数关系标定,需要被工程师千万次调试测试到最佳安全状态才能出厂。而重新搭建 OTA 对于动力输出来说变得不稳定,破坏平衡的参数设定。
除了因为物理硬件设备的安全隐患外,OTA 技术在远程升级过程中,有被黑客攻击的风险。汽车在下载升级包的过程中,黑客可以利用网络手段将被病毒升级包发送给车辆,进而修改系统、远程控制、勒索钱财。如果遇到一些极端天气或者环境网络不稳定的情况,也会导致升级包出现漏洞,进而使得车辆升级失败。
我们可以看到 OTA 技术在物理设备元器件本身的匹配以及协议和设计过程需要经过大量的安全测试,软硬件设备之间的链接耦合无论是哪个环节存在隐患,对于企业和车辆的安全都是生死存亡的问题,不能儿戏。拿特斯拉汽车此次召回事件来说,ACC 自适应巡航控制的操作,常规的车企设计方案是采用按键式或者独立拨杆的操作开启自适应巡航功能,但是特斯拉在使用自适应巡航控制功能的时候容易有误操作,这是一个设计逻辑上的缺陷,特斯拉的解决方案是提升激活主动巡航的阈值,加入了其激活和退出的提醒,避免误触的可能再发生。
小小的一个功能逻辑设定有误的话,也会带来万劫不复的结果,对于安全问题,不能假设所有人都是小心谨慎没有大脑短路的时候。如果关注车辆相关的的新闻召回事件屡见不鲜,对于软件故障,OTA 可以通过升级可以解决部分故障,但是是否还会带来新的问题,也会是个亟待解决的问题。可以看到 OTA 技术对于车企而言,是把双刃剑,讨论其是否绝对安全也没有意义,OTA 汽车的智能化之路,不会一蹴而就,一些系统的瑕疵需要时间去逐渐迭代优化,毕竟没有任何产品在设计之初就是完美的。
目前整个市场发展的趋势就是车企逐渐在拥抱 OTA 技术,不会因为局部的限制因噎废食。OTA 技术正成为智能汽车标配,其技术渗透率提升尤为明显。有数据显示,在 2020 年全球售出的车辆中,有 30%具有 OTA 功能。到 2025 年,该比例将上升至 79%。而根据高工智能汽车研究院发布的数据,2020 年中国市场新车 OTA 搭载率已经达到 22.42%,预计今年将提升至 35-40%。
尽管不少车企在发布会卖力营销 OTA 升级技术,但裸泳的人也不少,大多数车企还是停留在 SOTA 升级层面,也就是娱乐互动层面的功能升级,能够进行整车 OTA 升级的车企屈指可数。目前有着整车 OTA 能力的是特斯拉、理想、小鹏、等新贵。而面向于整车 OTA 升级,才是智能汽车区别于传统汽车的一个非常显著的标志。从 OTA 汽车的发展历程上来看,汽车行业对于 OTA 的需求是逐步由零部件级、整车级、企业级发展到行业生态级。宝马、大众、上汽通用等传统车企在这个大的变革中积极改革进行电子架构重构,以实现整车 OTA。
OTA 汽车未来的大考之路
现在大部分车企都能做到车机娱乐系统的 OTA,也就是 SOTA,但真正难啃的硬骨头是整车 FOTA。因为其涉及整车制造商在新车上的电子架构、硬件配置以及软件自研能力。电子控制器需要与设备的更新机制进行深度整合,车辆在什么状态下进行刷写,如何确保确保更新过程的稳定性与安全性,这些实现上的难点都是要考虑的。比如汽车内部件的 ECU(汽车电子控制元器件),它们在整车的架构中数量为几百个,连接在不同的通讯网络中,每条网络的数据传输协议不同,比较复杂,升级的控制器越多考量的网络通讯拓扑结构协议翻番难度上升,需要 OTA 供应商对每条通讯线路的特点有清晰的认知才能高效地实现软件升级。
在信息安全方面,OTA 数据传输的过程中,有被仿冒、窃取、攻击的潜在风险,在通讯过程中会被不怀好意的黑客挟持与篡改,可能导致车辆运行异常、隐私泄露、财务甚至是生命安全受到威胁。保障 OTA 汽车的安全升级之路尤为重要。OTA 汽车厂商需要搭建设计完善的标识秘钥技术架构,验证机制与升级条件的限定需要双向把控,才能保障端云一体的信息安全体系。
OTA 汽车功能的实现背后依托网关协议、网络安全、算力算法技术持续开发等多方面能力发展,虽然电子模块与软件技术协同发展,在整车上应用的越来越多,但技术还是没有成熟到社会广泛认同的阶段,智能汽车的发展之路长途漫漫,更新和改善的空间还是很大,OTA 汽车功能上的优化,服务的差异化需要同步进化,幸运的是我们会一起见证 OTA 汽车带来的惊喜。