统计数据显示，预计未来五年软件定制市场的年均复合增长率约为30%，2023年全球汽车软件定制市场规模有望达到275.42亿元（如图2所示），因此主机厂可OTA升级的软件潜力及效益可观。

汽车OTA是一种包含云、管、端三部分的远程无限升级技术。OTA升级对象涵盖汽车动力控制系统、信息娱乐网联系统、安全控制系统、底盘电子系统、车身控制系统、自动驾驶系统等。OTA升级经历4个阶段，从最初对T-BOX进行OTA升级，到2012年特斯拉Model S第一次OTA升级，再到2021年众多车企纷纷布局OTA，新能源汽车OTA经历了从零部件OTA到整车升级FOTA以及企业级OTA阶段，未来OTA产业将在更强的监管力度下往全产业链协调方向发展。随着中国新能源汽车行业的快速发展，汽车OTA需求和应用逐渐增多，OTA升级对象也从单个零部件逐渐扩展到大部分汽车固、软件，汽车核心功能域也逐渐对OTA升级技术开放。

(资料图)

未来OTA产业将在更强的监管力度下往全产业链协调方向发展。OTA在安全保障的前提下解锁汽车更多关键ECU，同时受益于大数据的积累和全产业链的高度协调，预测性预埋硬件和预测性软件升级或将成为可能，未来汽车或将在一段时间内获得硬软件持续改进的潜力。

目前几乎大部分的车企召回都需要物理修复，但 2020年1月以来，特斯拉的17次召回中有7次（即37%) 是通过OTA更新解决。

早在2018年中旬，美国权威杂志《消费者报告》报告：特斯拉Model 3在60 Mile/h(约 97 KM/h)的时速下，制动距离为152英尺(约 46.3米)，因为制动距离过长，而将Model 3列为不推荐车型。随后马斯克在社交媒体表示Model 3刹车系统确实存在一定缺陷，特斯拉将通过OTA推送固件升级，将刹车距离缩短6.1米。

虽然许多OEM都实现了OTA，但目前个主机厂的OTA技术应用深度不同，造车新势力和个别传统车企可以实现全领域的OTA，但大部分主机厂还只能实现座舱娱乐域和智能驾驶域的OTA。

汽车OTA分为两类，包括FOTA（固件在线升级）和 SOTA（软件在线升级）；FOTA（固件在线升级）指的是给一个零部件的ECU闪存下载完整的固件镜像，或者修补现有固件、更新闪存。而固件之外的软件更新，就是SOTA。

国际相关标准组织为减少汽车OTA远程升 级质量问题，先后发布了 SAE J3061（2016）、Uptane IEEE- ISTO 6100.1.0.0（2018）、ISO/SAE 21434（2021）等行业标准，从信息安全工程体系建设、安全测试技术和汽车安全防护框架等方面提供标准化OTA远程 升级产品解决方案。另外，国际标准化组织为支撑UN Regulation No. 156-Software update and software update mana-gement system 法规在企业体系的实施， ISO 24089《道路车辆软件升级工程》已正式立项，旨在提出车载软件更新所涉及的功能安全和信息安全方 面的要求，明确软件升级管理系统、车辆、电子电气架构和软件包的设计开发流程，支撑相关法规的实施。综合来看，国际上已出台的法规和标准从OTA远程升 级前对车况的正确感知，到 OTA 远程升级结果完整 性、功能性验证、升级内容防篡改机制，再到升级失败 后车辆自动还原到可用状态、更新内容和过程可追溯，以及完备的安全监控和审计机制、告知车主更新内容及保护措施等方面，对汽车OTA远程升级安全均 强化了管理要求。

国内方面2020 年 11 月，国家市场监督管理 总局出台了《关于进一步加强汽车远程 升级（OTA）技术召回监管的通知》， 采用 OTA 方式对已售车辆开展技术服务活动的，应按照《缺陷汽车产品召回管理条例》及《缺陷汽车产品召回管理条例实施办法》要求，向市场监管总局 质量发展局备案。目的是通过有效的手段和方法辨识召回与升级的差别，以避免OEM通过 OTA方式消除缺陷，掩盖召回事实的行为。如发现生产者存在 未按规定备案有关信息或召回计划、不配合缺陷调查、隐瞒缺陷或未按照已备案的召回计划实施召回等违法行为的， 将严格依法处理。在中国市场上发生被入侵、远程控制等安全事故时，应按照 《缺陷汽车产品召回管理条例》第十二条规定，立即组织调查分析，并向市场监管总局质量发展局报告调查分析结果。市场监管总局质量发展局将组织相关单位加强汽车OTA安全监督技术研究，探索建立OTA监管数据平台，组织开展OTA安全技术评估，加强相关的召回工作。

2021年7月，工业和信息化部装备工业发展中心发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》，强化企业的管理能力。企业生产具有在线升级功能的汽车产品时，应该建立相应的管理能力，具有在线升级安全影响评估、测试验证、实施过程保障、 信息记录等能力，确保车辆在线升级时处于安全状态，并向车辆用户告知在线升级的目的、内容、所需时间、注意事项和升级结果等信息。保证产品生产一致性：企业实施在线升级活动前，应该确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案，涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报，保证汽车产品生产一致性，未经审批，不得通过在线升级等软件升级方式新增或更新汽车功能。

2022年4月，工业和信息化部装备工业发展中心发布了《关于开展汽车软件在线升级备案的通知》，主要从备案范围、备案要求、备案工作流程、实施安排和企业责任等五个方面来规范主机厂OTA升级，比如明确备案范围：OTA升级应进行备案，并且申请主体应是汽车整车生产企业。

汽车OTA可以类比手机升级系统，不过两者还是有很大的区别，尤其是安全方面。手机在进行OTA升级时，如果升级不成功，最坏的的情况就是手机变“砖头”，而汽车则不一样，如果控制转向、制动等一些与行驶相关的部件在升级程序时出现错误，就有可能造成极为严重的后果。

作为软件，就有被攻击的可能性，而汽车在利用OTA技术升级的过程中，同样存在这样的风险。汽车在下载升级包的过程中，攻击者可以利用网络手段将被修改过的升级包发送给车辆，进而修改系统、甚至远程控制车辆。除了被攻击以外，车辆在下载升级包的时候，如果出现网络不稳定等情况，也会导致升级包出现漏洞，进而使得车辆升级失败。所以汽车OTA就需要厂家制定出完善的升级策略，比如终端在升级过程中建立严密的验证机制，保证升级包不被篡改，同时对升级条件加以限定，保证车辆能在合适的状态下进行升级。现在针对汽车控制器出台了网络安全法规，R155,R156就是国家在出台政策规范市场，提高信息安全。

作为软件，就有被攻击的可能性，而汽车在利用OTA技术升级的过程中，同样存在这样的风险。汽车在下载升级包的过程中，攻击者可以利用网络手段将被修改过的升级包发送给车辆，进而修改系统、甚至远程控制车辆。除了被攻击以外，车辆在下载升级包的时候，如果出现网络不稳定等情况，也会导致升级包出现漏洞，进而使得车辆升级失败。所以汽车OTA就需要厂家制定出完善的升级策略，比如终端在升级过程中建立严密的验证机制，保证升级包不被篡改，同时对升级条件加以限定，保证车辆能在合适的状态下进行升级。现在针对汽车控制器出台了网络安全法规，R155,R156就是国家在出台政策规范市场，提高信息安全。

一个车型的OTA平台的建设大体需要半年以上甚至一年以上的时间，这与车型的研发周期相关，要考虑具体车型的研发、测试以及量产前需要做的一些准备所需的时间。在整车 OTA升级中，信息安全在OTA升级中至关重要。随着攻击者攻击技术的不断提升，OEM除 了保证OTA升级高效、可靠外，需对OTA升级安全进行不断的优化提升。

END

标签：