什么是汽车OTA？

让我们先了解一些背景知识：

什么是汽车OTA

OTA是一项被称为Over-the-Air Technology的技术方案，在实际应用中展现出显著的优势。也可理解为一种空气中的数据传输方法，在实现过程中是通过远程无线传输将数据加载至设备完成更新操作的具体过程。具体而言，在实现过程中是通过无线网络接收数据包并将其应用于汽车系统以完成升级工作的一种方法论框架

这一概念自手机行业诞生以来就已存在。如今这一技术不仅广泛应用于各类IT设备，并且还延伸至智能汽车领域。简单来说就是'在线升级'四个字。

严格来说，OTA又分为两种类型，FOTA 和SOTA ：

FOTA ，即Firmware Over The Air（固件升级），是一种通过无线更新的方式实现终端设备硬件或系统功能改进的技术。从字面上来看的话，则侧重于终端设备的固件升级操作，在手机行业应用极为广泛。刷过手机的朋友都有切身感受，“固件版本”这一概念在他们心中根深蒂固。值得注意的是，在智能手机领域，“固件升级”通常指的是通过网络连接直接更新设备内部存储中的操作系统或应用程序——这就是我们常说的FOTA；
而SOTA ，即Software Over The Air（软件升级），则是通过无线网络更新设备的应用软件或服务内容。从字面上来看的话，则更倾向于应用软件的升级操作。例如，在娱乐系统中常见的智能语音助手功能，在导航系统中则可以通过实时更新提供更为精准的服务信息——这些都属于典型的SOTA应用场景。

FOTA

它指的是给汽车获取一个完整的固件更新包或修复/更新现有固件 。比如它可以升级我们的车辆转向系统以提高驾驶操作的便捷性与舒适度；同时也能优化油门踏板的响应速度使加速过程更为线性平顺舒适等具体功能。总的来说相比于目前行业内的最佳方案SOTA FOTA技术所包含的价值更高

它指的是给汽车获取一个完整的固件更新包或修复/更新现有固件 。比如它可以升级我们的车辆转向系统以提高驾驶操作的便捷性与舒适度；同时也能优化油门踏板的响应速度使加速过程更为线性平顺舒适等具体功能

特斯拉Model 3在上市后其刹车系统存在安全隐患其在百公里/小时下的制动刹车距离为46米经过后续的软件升级这一数值减少至40米显著提升了行车过程中的安全性

SOTA

它通常以迭代更新的方式出现为一个更新项 ，汽车厂商只需要提交需要修改的部分即可类似于我们常说的补丁处理方式。

这种优化方案具有两大优点：其主要优势在于最大限度地减少了系统处理数据的时间与数据量；其次，则显著降低了系统更新过程中出现故障的概率。

例如，在对多媒体系统的升级过程中

OTA设计要求

OTA设计主要从安全、时间、版本管理、异常处理 等方面综合考虑，具体为：

1. 确保安全是OTA最基本的硬性要求。车辆上的ECU软件运行状态直接关系到车内人员的生命安全。从升级包制作、发布、下载、分发到刷写的整个流程中都需要从云平台、网络系统以及车端系统进行全面保障。云端通过证书、签名和加密机制来防止升级包被随意生成或发布，并保证内容不会被非法获取。通过可靠的物理链路和安全传输协议来确保网络传输过程的安全性。通过汽车的功能域隔离划分不同ASIL等级，并采用冗余设计来保证整车功能的可靠性，在线可信赖软件能够通过安全启动机制成功加载并运行。
2. 版本管理对OTA至关重要。由于车辆上的ECU数量众多且各车型间存在差异性需求，在版本升级路径规划方面必须建立全面有效的管控体系。
3. 在进行整车上ECU的刷写操作时（尤其是动力域的传统ECU），特别涉及通过CAN总线进行安装包分发的过程。
4. 针对防故障及中断等异常情况，在OTA传输过程中必须具备软件回滚能力、断点续传机制以及丢失重传策略。

OTA方案架构

OTA云平台主要包含有OTAS云端平台对升级模型、升级包、执行升级任务以及制定升级策略等核心功能的统一管理，并且同时提供了日志监控和存储功能以确保系统的稳定运行与数据安全

OTA云端的设计要求不仅包括物理隔离实现的云平台构建，还具备对多种协议下升级接入的支持能力。该平台能够兼容不同车型、不同品牌以及不同ECU软件版本的管理需求，并提供完善的升级包制作功能。同时支持对多个批次任务进行调度与分配管理，并能根据实际需求灵活配置升级模型定义以及相关的策略和规则参数设置。在性能方面，则需要确保系统可靠性达到3个9的标准，并提供持续稳定的7天×24小时运行保障。

OTA云端

升级模型

功能是用来定义目标升级设备模型所需的基础信息以及设备模型所具有的升级能力支持情况的一种重要工具。在整车 upgrades 中由于涉及到了车型与ECU之间的配套关系因此该功能一般能够体现一个车型下各个零部件ECU之间的依赖关系。例如多个零部件ECU直接软件包配套关系及 upgrade sequence control对于 upgrade tasks in the device side to be executed accurately and completely is particularly important.此外该功能还包含了 upgrade rules 的定义这些规则可以用于描述 upgrade process 中是否可以继续执行 upgrade 的判定条件.在整车 upgrades 中一般会针对一辆车款在 upgrade 前期阶段包括 upgrade 前期阶段包括 upgrade 前期阶段包括 upgrade 前期阶段包括 upgrade 结束时均需配置相应的判定规则。

软件包

软件包 作为升级工具被使用，在车辆维护过程中扮演重要角色。它包含修复设备软件存在的缺陷以及新增的功能内容，并在更新前与更新后阶段都需要完成相应的验证与检查逻辑，并将这些内容整合到相应的文件中。通常情况下，这类 软件包 由对应的 设备软件供应商 提供，并通过指定的 信息渠道 分发至 OTA 更新服务方。针对整车的 更新操作 ，OTA 系统分为两类：一类是固件在线升级（FOTA），另一类是基于 软件 更新的操作（SOTA）。无论是哪种类型的操作文档，在 软件 包管理模块中都会按照特定的标准进行分类存储。

升级包

在升级过程中使用的文件旨在完成安装部署任务

upgrade package can originate from either a software provider or be processed through an OTA platform

typical processing steps include merging files, generating metadata, signing and encrypting files

due to the limited storage capacity of IoT and vehicle devices

upgrade packages must be optimized for small memory environments

efficient development requires minimizing file sizes

OTA platforms provide both offline and online tools for diff generation

before applying a diff package, compare new and old versions

differences are captured in a difference file during this process

core technology behind diff updates is proprietary byte-level difference algorithms掌握 by OTA providers

升级任务

升级任务 是OTA平台用于执行和监控一组设备的升级活动的集合。

升级任务可适用于特定范围内的设备，并采用相应的升级包以及相关的策略方案来进行完整的升级操作管理。具体而言，则包括完成从任务创建到下发实施、状态监测以及状态维护等全方位的操作流程管理。

监控功能能够提供一组升级活动中的 upgrade task status, progress and result feedback information. According to different state classification criteria, in this process mainly involves the success state, failure state, number of mid-range devices upgraded and their proportion in each state. The control function provides a set of operational capabilities for a group of upgrade activities, including start, stop, pause, resume, restart and undo operations. This essentially maintains the ability to intervene in the state transitions of task executions.

升级策略

升级策略配置是升级活动中的用于说明或定义任务特征和目标设备升级行为的关键属性。

整个版本更新过程主要分为两个主要阶段：软件更新阶段与硬件更新阶段；其中，在制定具体的版本更新策略时；还需考虑到软件版本更新所需遵循的标准操作程序；以及可能出现的各种异常情况下的应对方案；例如，在整车 version 更新过程中；需要将 version 提升的主要内容划分为静默 version 更新、常规 version 更新以及紧急 version 更新三种类型；同时还需要明确在版本更新包下载前是否需要向用户发送版本确认通知等关键配置项

升级日志

升级记录

OTA车端

OTA车端主要包含通信终端 和各功能域的ECU 。

通信终端

OTA通信终端主要由TBOX负责，在其上执行OTA升级管理流程以及更新代理功能。

OTA通信终端主要由TBOX负责，在其上执行OTA升级管理流程以及更新代理功能。

其中，在OTA升级管理系统中包含有OTA Manager这一核心组件。该系统主要承担了端云的安全通信任务，并且能够处理包括协议通信链接建立与维护在内的多种功能需求。此外，在接收上传的升级指令及状态反馈信息的基础上完成升级包下载、解密以及差分包重构等功能操作

升级代理Update Agent旨在兼容不同的车内通信网络与通信协议，并解决不同OEM间各品牌车型之间的接口差异问题。这些统一化的接口由专门的技术团队进行功能开发与实现，并由OTA厂商负责完成相应的适配工作。

功能域

以功能分区的方式对整车架构进行划分，并包含有动力系统域、车身系统域、影音娱乐域、ADAS主动安全域以及自动驾驶域等模块；各功能分区对应配置了各自独立的通信网络体系，并依据风险等级设定相应的安全防护措施。

在自动驾驶系统或影音娱乐系统相关的ECU中采用主从分区架构设计，在内部划分两块区域：一块专门负责运行当前程序、另一块则存储备份版本

除了首次安装或设备关机的情况外，在后续的操作中更新的软件都会与之前的版本兼容共存。当前系统运行的是最新版本的软件，在出现故障或无法执行修改的情况下，请问系统是否能够按照OTA Manager的规定自动回滚至前一版本以避免车辆ECU出现失效的风险

场景与策略

基于OEM车联网运营策略的视角进行划分，在车辆售前及售后期别情况下，通常会划分为两类：一种是静默升级 ，另一种是非静默升级

未启动状态下车辆的静默升级操作主要适用于销售前库存状态的车辆。ota clouds platform通过执行远程唤醒命令并利用tbox技术实现上电连接后完成与平台的数据交互以完成 upgrade 任务

非静默式更新 主要应用于车辆归还给车主后进行的软件优化与功能增强服务。为了确保系统的稳定运行，在获得车主确认的情况下开展软件版本变更操作是必要的流程。根据场景的不同分为常规更新与紧急更新两种类型：常规更新主要用于系统功能优化；而特别重要的安全漏洞修复则采用这种形式——即使车主无法拒绝该软件更新也会被强制推进以保障行车安全

在OTA升级任务下发至各车辆后，在系统管理模块中的OTA Manager需评估各车辆的运行状态。如果发现有不满足运行条件的情况，则该系统将暂停当前升级操作并指令云端平台进行补充检测。

在OTA架构中，在升级包获取及应用阶段的判断条件由升级规则确定。每个车型都根据其特定需求来设定这些条件。这些条件包括但不限于最低版本要求、车辆运行状态以及车辆位置等关键指标。

一家电动车厂商在其长安街附近的车辆进行技术升级后造成了交通拥堵，并因此在相关网络平台引发了热议。值得注意的是，在执行升级操作之前无法判断车辆是否位于不适于实施此操作的位置这一问题将导致相关的 upgrade 任务不会自动发送给那些正在等待红绿灯的车主

一个优秀的一键式更新（OTA）系统一定具备支持灵活地设置升级条件的能力，并且能够有效管理升级过程以及用户的推送机制。

最终阶段中需综合考虑OEM运营的相关要求；确保OTA升级能够灵活地定义具体的实施范围、明确的实施时机安排、包含的内容以及相关提示信息；在出现故障时应当提供相应的故障处理流程说明；显著提升大规模升级过程中的运营效率与用户体验；持续为客户与合作伙伴创造价值

OTA的优劣势

优势

说到OTA对汽车的好处时，默认的第一点就是它具有修复汽车内部系统性缺陷的能力，并且能够迅速地完成这一功能。

通常情况下,传统车企在发现旗下某款产品存在软件缺陷时会全部召回该批次车辆,并认为这个过程耗时耗力且复杂.

通过OTA升级方案的实施后，车辆不再需要前往4S店进行常规维护服务。车主只需关注车辆状态并及时补充必要的能源即可。特别是在冬季环境下，该方法能够有效减少能源损耗并提升整体使用效率。

例如从前我们的汽车导航系统必须前往4S店或修理厂获取地图包更新；如今只需通过OTA升级就能轻松获取最新地图数据既实用又便捷

劣势

1. 受限于硬件问题无法得到改善……

OTA的乱象

众所周知, 特斯拉汽车在电动化与智能化领域处于领先地位, 其先进的整车OTA技术令众多车企为之瞩目. 然而, 这家"聪明"的主机厂很快发现了其中的关键所在: 即使当前的OTA技术尚不成熟, 也没关系,"掌握 playa of OTA"其实并不复杂. 因为考虑到这一技术带来的"常规 yet innovative"的可能性, 它决定大胆地向消费者展示对该技术的信心, 这一举动最终引发了整个汽车行业的OT A乱象频出.

第一，厂商以次充好掩盖产品劣势，侵害用户知情权

车联网的发展趋势促使各大厂商争相推出OTA服务以吸引眼球。然而，在信息不对称的情况下，汽车制造商往往通过隐藏性的条款转移责任。如果用户拒绝升级，则无法正常使用车辆功能；而消费者往往被广泛传播的观念所误导，在遇到软件更新提示时往往缺乏基本的审慎态度，默认选择同意更新流程而不仔细阅读相关协议内容。

如果一家车企过于追求极致，在必要时甚至不得不放弃一部分安全性 。 利用虚高的账面参数来诱惑消费者购买车辆 ，随后又以性能提升作为理由进行OTA（Over-The-Wire）软件升级 。 为了降低成本却在背后显著提升了安全性 。 这样一来 ，OTA实际上暴露了某些品牌在技术实力上的不足

第二，OTA式召回”存在灰色地带

另一个问题在于厂商是否拥有通过OTA软件升级来解决硬件相关问题的权利？如果厂商确实有权进行这种操作，则可能会导致严重的安全隐患。

当一辆车存在某个关键零部件不合格时（例如某重要部件出现问题），并且更换成本极其高昂（如费用极高），厂商可能声称自己通过OTA（软件over-the-air更新）解决了该问题（例如不再收到报警信号），这就相当于以软件手段隐藏了这一问题（即表面上解决问题实则掩盖本质缺陷），从而埋下了潜在安全隐患的种子（即这种处理方式虽然表面有效但隐藏了真正的风险）。

**从技术层面分析来看，在当前的硬件可靠性评估体系中存在一个问题：当感知元件出现故障时无法准确识别是否存在潜在缺陷。**因此，“特斯拉采用远程修复技术来处理热泵故障的操作，在表面上看似高效便捷，并未考虑潜在的安全隐患。”

对于软件工程有一定了解的人来说，现代汽车系统的规模非常庞大。如果通过OTA技术能够有效解决车辆软硬件问题的话，则主机厂将掌握绝对的技术主导权，在借用车辆升级的机会修复缺陷后的产品缺陷问题可能会被归类为灰色区域的问题。

第三，不透明的暗箱操作侵害用户权益

通过软件定义汽车后, 厂商仍然可以通过OTA修复缺陷, 并非只能采用该方式. 进而来看, 在这种情况下, OTA可能反而成为I型不良商家实施"计划报废"操作的一种手段.

在特斯拉官方论坛上》，有一名用户发文表示，在经历了软件升级之后Model 3的实际运行速度较之前有所下降，并且还有其他用户持不同看法指出Model 3减配行为可能是为了满足高端市场定位需求。

特斯拉旨在消除基础版Model 3的价格优势，并促使大家购买顶配版。

不过，在质疑车辆运行速度变慢的情况下，并未有人提供确凿证据。这些用户的猜疑不禁让人联想到iPhone手机"降速门"丑闻归因于=?, 实际上是出于iPhone续航问题, 其实质则是迫使人们购买新设备。后来, 苹果终于承认自己对系统进行了干预, 并赔偿了5亿美元

最后

如果称赞一个人长得难看、性格急躁、智力一般般、懒得省吃俭用的人儿时日久月长了我们只能说：其实他的心机小。
如果说一辆性能差工艺粗糙外观一般般无法直接升级的车那也只能说明它确实没什么特别之处

完！

原文链接：https://jsnds.cn/2022/06/21/235700.html

参考资料：

http://www.woshipm.com/pd/5179689.html

http://www.woshipm.com/it/5328719.html