2020 年 10 月 31 日，是蔚來正式推出 FOTA 升級(jí)兩周年的日子。

2016 年 12 月，蔚來 FOTA 項(xiàng)目立項(xiàng)。在調(diào)研過其他車廠和供應(yīng)商的方案之后，蔚來最終選擇自主研發(fā) FOTA 系統(tǒng)。

2017 年底，蔚來 FOTA 系統(tǒng)整體跑通。

2018 年 10 月底，蔚來進(jìn)行了第一次大規(guī)模的軟件版本推送。

兩年來，蔚來保持著每月一次功能升級(jí)的更新節(jié)奏，一共向存量用戶推送了39 個(gè)大版本更新包，覆蓋 4 款車型（兩代 ES8、ES6 以及 EC6），新增了 131 項(xiàng)功能，推送車次超 35 萬次，完成了 280 項(xiàng)功能優(yōu)化，總共 411 項(xiàng)進(jìn)化。

最近，蔚來開始向車主推送最新的 NIO OS 2.7.0 版本，其中一個(gè)重大更新就是領(lǐng)航輔助。對(duì)于智能汽車來說，OTA（空中升級(jí)）是一項(xiàng)必備能力。

OTA 分為：

• SOTA（Software Over The Air）

• FOTA（Firmware Over The Air）

顧名思義，SOTA 是軟件空中升級(jí)，F(xiàn)OTA 是固件空中升級(jí)。

從車輛使用體驗(yàn)角度來看，SOTA 能實(shí)現(xiàn)車內(nèi)信息娛樂等體驗(yàn)的優(yōu)化，而 FOTA 在擁有 SOTA 的能力之外，還能實(shí)現(xiàn)車輛的動(dòng)力操控、駕駛品質(zhì)、輔助駕駛等系統(tǒng)級(jí)別體驗(yàn)的整體提升。

從 SOTA 到 FOTA，它深度改變了用戶的用車體驗(yàn)，使用戶購車后的體驗(yàn)?zāi)軌颉赋Ｓ贸Ｐ隆梗@是質(zhì)的飛躍。

站在 FOTA 兩周年的節(jié)點(diǎn)上，蔚來聯(lián)合汽車之心在上海中心 NIO House 舉辦了「深讀蔚來 FOTA 分享會(huì)」。

在這場(chǎng)分享會(huì)上，嘉賓有：安波福主動(dòng)安全與用戶體驗(yàn)事業(yè)部先進(jìn)工程亞太區(qū)總工程師朱魁、蔚來軟件開發(fā)部資深專家孔念智、騰訊安全科恩實(shí)驗(yàn)室高級(jí)安全工程師張文凱，以及辰韜資本執(zhí)行總經(jīng)理賀雄松。

他們針對(duì)蔚來 FOTA 的技術(shù)細(xì)節(jié)、智能汽車的整車架構(gòu)革新以及智能汽車的信息安全設(shè)計(jì)方面進(jìn)行了深入探討。

1、蔚來的 FOTA 做得怎么樣？

過去很長(zhǎng)一段時(shí)間，傳統(tǒng)車廠的車型絕大部分功能都是在設(shè)計(jì)階段就提前鎖定的，用戶想要擁有新的功能，只能購買新款車型或者對(duì)部分硬件進(jìn)行更換。

也有很少的傳統(tǒng)車企在做 OTA 升級(jí)，但是大部分都是用來做 BUG 修復(fù)，所以并不是真正意義上的 FOTA 升級(jí)。

蔚來軟件開發(fā)部資深專家孔念智表示，F(xiàn)OTA 固件遠(yuǎn)程升級(jí)是實(shí)現(xiàn)汽車智能化的重要工具。

FOTA 的核心價(jià)值在于能夠?qū)⑷麻_發(fā)的功能推送給車主，以及不斷優(yōu)化現(xiàn)有功能并改善潛在問題，讓車主享受到智能汽車技術(shù)發(fā)展的紅利，而不是重新去購買一臺(tái)車。

事實(shí)上，蔚來是全球首個(gè)通過完全自主研發(fā)實(shí)現(xiàn)大規(guī)模整車 FOTA 的汽車品牌。

2016 年 12 月，蔚來 FOTA 立項(xiàng)，在這之前也調(diào)研了很多車廠和供應(yīng)商的相關(guān)方案，但是最終還是選擇自主研發(fā)。

2017 年底，蔚來 FOTA 系統(tǒng)整體跑通。

2018 年 10 月底，蔚來進(jìn)行了第一次大規(guī)模的系統(tǒng)升級(jí)推送。

為了保證系統(tǒng)更新的自主權(quán)，蔚來不但自研 FOTA系統(tǒng)，還自研了車內(nèi)核心的域控制器，包括智能座艙、智能語音助手、智能駕駛系統(tǒng)以及三電系統(tǒng)。

作為一家新興的智能電動(dòng)車廠商，蔚來盡可能選擇自研的目的就是盡可能減少對(duì)供應(yīng)商的依賴，避免很多新功能的迭代受制于供應(yīng)商的進(jìn)度，畢竟供應(yīng)商并不只服務(wù)一家主機(jī)廠，它的資源也需要進(jìn)行分配。

通過自研技術(shù)的加持，蔚來現(xiàn)在可通過 FOTA 實(shí)現(xiàn)車身五大功能域的更新，包括車身域、底盤域、動(dòng)力域、信息娛樂域以及輔助駕駛域。

具體的更新內(nèi)容包括：

• 系統(tǒng)與應(yīng)用級(jí)的雙重更新

• 功能涉及三電系統(tǒng)、底盤懸掛、輔助駕駛、信息娛樂等

• 涉及全車 35 個(gè)高安全標(biāo)準(zhǔn)的電子控制單元（ECU）

目前，蔚來的軟件開發(fā)交付體系主要分為四大步驟：

• 軟件包規(guī)劃

• 測(cè)試驗(yàn)證

• 小批量發(fā)布

• 批量發(fā)布

為了保證軟件包整個(gè)生命周期可控可追溯，蔚來建立起了龐大的售后服務(wù)以及市場(chǎng)反饋團(tuán)隊(duì)，可以通過多種渠道收集車主的反饋和建議，比如蔚來 APP、NOMI 以及蔚來 Fellow。

經(jīng)過兩年多的技術(shù)和實(shí)踐積累，蔚來的 FOTA 體系已經(jīng)形成了四大特點(diǎn)：

• 數(shù)據(jù)規(guī)范化：以整車軟件包為粒度發(fā)布固件，保證了安全性和穩(wěn)定性；

• 服務(wù)中臺(tái)化：根據(jù)車輛硬件/軟件/功能特性信息，規(guī)劃車輛 FOTA 升級(jí)路徑，因?yàn)槊總€(gè)用戶的每輛車它的配置都是差異化的，所以在 FOTA 的時(shí)候也需要做到針對(duì)性；

• 體系化支撐：對(duì)于車輛系統(tǒng)的全生命周期都可追溯，從研發(fā)到生產(chǎn)再到交付；

• 極致安全策略：完善的整車功能集成測(cè)試和交付流程（包括臺(tái)架測(cè)試、整車臺(tái)架測(cè)試、實(shí)車測(cè)試、用戶場(chǎng)景實(shí)測(cè)）。

當(dāng)然，F(xiàn)OTA 升級(jí)和信息安全息息相關(guān)，所以這套系統(tǒng)需要有完善的防黑客攻擊策略。

蔚來的軟件研發(fā)團(tuán)隊(duì)為其 FOTA 體系設(shè)置了多層次的安全機(jī)制，涵蓋了固件、軟件包、系統(tǒng)服務(wù)以及基礎(chǔ)網(wǎng)絡(luò)還有車輛終端五大層面，采用了各類加密、簽名驗(yàn)證等技術(shù)措施來保證整套系統(tǒng)的安全可靠。

既然智能汽車可以通過 FOTA 技術(shù)新增各類功能、升級(jí)使用體驗(yàn)，做到「常用常新」。

那么在更底層，一個(gè)怎樣的整車架構(gòu)才能滿足未來智能汽車不斷進(jìn)化的需求？

2、智能汽車需要一個(gè)怎樣的整車架構(gòu)？

一級(jí)供應(yīng)商安波福正在這個(gè)領(lǐng)域展開探索和實(shí)踐。

他們提出了 SVA（Smart Vehicle Architecture）機(jī)構(gòu)，目的就是為了滿足自動(dòng)駕駛和電氣化對(duì)于整車電子電氣架構(gòu)高安全性、高數(shù)據(jù)吞吐能力等的要求。

在 SVA 中，至少有兩份蓄電池電池和供電電路確保關(guān)鍵部件的供電安全，通過優(yōu)先考慮安全相關(guān)的數(shù)據(jù)流量，來確保網(wǎng)絡(luò)的穩(wěn)定性。

此外，多路徑拓?fù)浔ＷC數(shù)據(jù)在主路徑異常的情況下，能通過備用路徑傳輸至目標(biāo)控制器。

對(duì)于大多數(shù) OEM 來說，直接切換到一種全新的電子電氣架構(gòu)幾乎是不可能的，所以可以對(duì)現(xiàn)有電子電氣架構(gòu)中單個(gè)組件采用 SVA 的理念，然后逐步漸進(jìn)式的推廣。

安波福主動(dòng)安全與用戶體驗(yàn)事業(yè)部先進(jìn)工程亞太區(qū)總工程師朱魁提到：

2015 年，安波福的自動(dòng)駕駛測(cè)試車在北美進(jìn)行了長(zhǎng)距離的路測(cè)。5 年下來，安波福的研發(fā)關(guān)注點(diǎn)也發(fā)生了變化，在開發(fā)自動(dòng)駕駛技術(shù)的同時(shí)，更多地開始對(duì)適應(yīng)智能汽車發(fā)展的全新的整車架構(gòu)進(jìn)行探索。

回顧過去 40 年汽車電子的發(fā)展：

• 最早在 70 年代，大眾的甲殼蟲上出現(xiàn)了第一臺(tái)電子設(shè)備：收音機(jī)。

• 80 年代，發(fā)動(dòng)機(jī)開始做電噴了。

• 90 年代，出現(xiàn)了車輛的信息娛樂系統(tǒng)，還有各種被動(dòng)安全的設(shè)備（比如氣囊），以及車身控制開始出現(xiàn)。

• 進(jìn)入新世紀(jì)，車輛上的主動(dòng)安全功能成為熱點(diǎn)。

• 2010 年開始，4G 網(wǎng)絡(luò)興起，市場(chǎng)掀起車聯(lián)網(wǎng)風(fēng)潮。

• 發(fā)展到今天，輔助駕駛大行其道，未來 10 年將向著自動(dòng)駕駛進(jìn)行轉(zhuǎn)變。

在這個(gè)過程中，囿于 SoC 算力低下，車輛每新加一個(gè)功能就要加一個(gè)分布式 ECU，加到現(xiàn)在一款高端車型上就有上百個(gè) ECU，整車線束的長(zhǎng)度已經(jīng)超過了 5 公里。

而在未來的智能汽車上，針對(duì)輔助駕駛、自動(dòng)駕駛、智能座艙、數(shù)據(jù)管理等的新功能將層出不窮。特別是自動(dòng)駕駛域用到的電、感知系統(tǒng)、信號(hào)傳輸系統(tǒng)、計(jì)算平臺(tái)、執(zhí)行器等都要進(jìn)行冗余備份。

這樣帶來的是更多的 ECU、更復(fù)雜的線束布局，整車的 BOM 成本將會(huì)急劇增加。

這種趨勢(shì)發(fā)展下去，車輛開發(fā)周期拉長(zhǎng)、開發(fā)難度加大、開發(fā)費(fèi)用劇增，而且這還會(huì)導(dǎo)致車輛生產(chǎn)的難度加大，因?yàn)楹芏嗔悴考紵o法實(shí)現(xiàn)自動(dòng)化組裝，而要依靠人工組裝。

這一切變化都在表明：傳統(tǒng)整車架構(gòu)發(fā)展到今天已經(jīng)走到了一個(gè)臨界點(diǎn)，很難支撐智能汽車下一步的進(jìn)化，整車架構(gòu)需要進(jìn)行變革。

現(xiàn)在的一個(gè)趨勢(shì)是：車內(nèi)的分布式 ECU正在不斷整合、匯聚。

這得益于半導(dǎo)體技術(shù)的長(zhǎng)足進(jìn)步，現(xiàn)在 1 個(gè) CPU 的算力已經(jīng)頂 10 年前的 5-6 個(gè) CPU 的算力。

未來 10 年，ECU 的算力還會(huì)大幅提升，最終這些 ECU 會(huì)集成到車內(nèi)的幾個(gè)域當(dāng)中，比如自動(dòng)駕駛域、用戶體驗(yàn)域等等。

未來的車會(huì)演變成分區(qū)控制，比如特斯拉的車輛就是這樣的，Model 3 上有三個(gè)域控制器，兩個(gè)在車身前部、一個(gè)在車身后部。

安波福認(rèn)為，未來的智能汽車只需要 2-4 個(gè)域控制器，比如標(biāo)準(zhǔn)的 ADAS 車型只需要左右兩個(gè)分區(qū)，而要實(shí)現(xiàn)更高級(jí)別的自動(dòng)駕駛則可以使用 4-6 個(gè)域控制器。

安波福為 SVA 架構(gòu)下的車輛規(guī)劃了 4 個(gè)主要的計(jì)算平臺(tái)：

• 2 個(gè)通用計(jì)算平臺(tái)（主要做通用計(jì)算，比如自動(dòng)駕駛域、智能座艙域的計(jì)算）

• 1 個(gè)底盤和推進(jìn)域控制器

• 1 個(gè)中央汽車控制單元

在量產(chǎn)計(jì)劃上，朱魁透露，2022 年在歐洲會(huì)有部分基于 SVA 架構(gòu)的車輛量產(chǎn)，SVA 架構(gòu)的真正爆發(fā)要等到 2025 年，還需要給芯片產(chǎn)業(yè)以及供應(yīng)鏈更多時(shí)間來成長(zhǎng)和適應(yīng)新架構(gòu)的需求。

智能汽車進(jìn)化過程中，不僅需要一個(gè)全新的整車架構(gòu)來支撐，其所帶來的信息安全挑戰(zhàn)也是不小的。特別是車輛能夠通過 FOTA 實(shí)現(xiàn)車身諸多固件的升級(jí)，那這些可遠(yuǎn)程升級(jí)的固件某種程度上也增加了被黑客遠(yuǎn)程攻擊的可能性。

3、如何保障 FOTA 體系的信息安全？

騰訊安全科恩實(shí)驗(yàn)室高級(jí)安全工程師張文凱帶來了他對(duì)于 FOTA 升級(jí)信息安全的思考。

一個(gè) FOTA 升級(jí)包從出生到測(cè)試驗(yàn)證到規(guī)模推送再到被替換是一個(gè)漫長(zhǎng)的過程，里面有各類供應(yīng)商以及車企參與，涉及到成百上千人的開發(fā)團(tuán)隊(duì)，他們勢(shì)必遺留下來一些漏洞、BUG，都會(huì)在車端暴露出來。

騰訊科恩實(shí)驗(yàn)室 2016 年攻擊過特斯拉的車輛系統(tǒng)，攻擊的渠道是蜂窩網(wǎng)絡(luò)和 WiFi。

然后科恩實(shí)驗(yàn)室在 WebKit 上發(fā)現(xiàn)了多個(gè)已知漏洞， 系統(tǒng)內(nèi)核里也有已知漏洞，通過這一漏洞，進(jìn)而攻擊車輛的網(wǎng)關(guān)，發(fā)現(xiàn) OTA 沒做簽名校驗(yàn)（OTA 設(shè)計(jì)不當(dāng)），跳過完整性校驗(yàn)即可刷入惡意固件，實(shí)現(xiàn)對(duì)車輛的控制。

2017 年，科恩實(shí)驗(yàn)室再次對(duì)特斯拉車輛系統(tǒng)進(jìn)行攻擊，發(fā)現(xiàn)很多此前存在的已知漏洞已經(jīng)得到修復(fù)。但是在系統(tǒng)內(nèi)核中，還是找到了英偉達(dá) Tegra 內(nèi)核模塊 nvmap 的零日漏洞。

雖然這個(gè)時(shí)候的特斯拉已經(jīng)為 OTA 增加了簽名校驗(yàn)，但是實(shí)現(xiàn)代碼仍然存在邏輯問題，可以跳過簽名校驗(yàn)，再次刷寫惡意固件，然后通過給車輛動(dòng)力 CAN 發(fā)送指令影響車輛功能安全。

2019 年，科恩實(shí)驗(yàn)室又針對(duì)特斯拉的 Autopilot 系統(tǒng)進(jìn)行了攻擊，成功對(duì)其動(dòng)力控制系統(tǒng)以及自動(dòng)駕駛算法展開了攻擊。

基于以往的一些研究經(jīng)驗(yàn)，張文凱表示，在車聯(lián)網(wǎng)中，很常見的一些安全問題 60% 都是一些設(shè)計(jì)缺陷和已知漏洞，涉及功能安全問題占一定比例。若多個(gè)漏洞結(jié)合就可以給攻擊者提供一條完整的遠(yuǎn)程攻擊鏈。

車聯(lián)網(wǎng)系統(tǒng)常見的安全問題主要包括兩個(gè)方面：「設(shè)計(jì)安全」和「實(shí)現(xiàn)安全」。

所謂「設(shè)計(jì)安全」問題指的是一些系統(tǒng)內(nèi)核老舊、基礎(chǔ)防護(hù)的缺失等，「實(shí)現(xiàn)安全」問題則是指代碼實(shí)現(xiàn)出現(xiàn)邏輯錯(cuò)誤、算法本身的問題等。

「設(shè)計(jì)安全」如果做得不好，很容易被黑客抓住漏洞進(jìn)行攻擊，而如果是「實(shí)現(xiàn)安全」上做得不夠好，黑客攻擊起來會(huì)相對(duì)困難。

所以從某種程度上，設(shè)計(jì)安全在整個(gè)系統(tǒng)開發(fā)過程中是非常重要的一環(huán)。

開發(fā)者應(yīng)該怎么做？

張文凱總結(jié)了四點(diǎn)：

• 最小權(quán)限原則：合理分配權(quán)限，保證每個(gè)應(yīng)用/服務(wù)/用戶只能訪問所必須的信息或者資源；

• 攻擊面收斂：盡量減少暴露非必要的接口，刪除非必要的組件，從而縮小攻擊面；

• 默認(rèn)安全：系統(tǒng)原生安全選項(xiàng)默認(rèn)處于開啟狀態(tài)并合理配置；

• 縱深防御：將不同安全防護(hù)手段應(yīng)用于業(yè)務(wù)的每個(gè)層面，提升攻擊門檻。

對(duì)于車廠來說，傳統(tǒng)意義上的軟件開發(fā)一直嚴(yán)格按照 V-Model 的流程進(jìn)行，所有的安全測(cè)試和驗(yàn)證都被安排在了 V-Model 的右側(cè)。

隨著智能汽車的發(fā)展，車輛的信息安全越來越重要。

車企軟件開發(fā)團(tuán)隊(duì)有必要將安全測(cè)試流程盡可能往 V-Model 的左側(cè)推，在開發(fā)的更早期就更加注重軟件的防黑客攻擊特性，把安全驗(yàn)證放到一個(gè)非常優(yōu)先的位置，這也就是所謂的「安全左移」。

另外，對(duì)于智能汽車企業(yè)來說，還應(yīng)該組建專門的團(tuán)隊(duì)負(fù)責(zé)信息安全，找專業(yè)的人做專業(yè)的事，將 PC/移動(dòng)端已經(jīng)成熟的安全技術(shù)，結(jié)合具體業(yè)務(wù)場(chǎng)景，按優(yōu)先級(jí)順序應(yīng)用到車載軟件系統(tǒng)中。

張文凱最后總結(jié)，F(xiàn)OTA 安全和汽車信息安全是強(qiáng)相關(guān)的，它將會(huì)是一項(xiàng)汽車軟件中最基本的能力之一，也將成為汽車軟件研發(fā)實(shí)力的評(píng)估指標(biāo)之一。

換句話說，擁有一個(gè)安全、穩(wěn)定的 FOTA 體系，車企便掌握了智能汽車持續(xù)進(jìn)化的奧秘。

當(dāng)然，這一切都建立在一個(gè)創(chuàng)新的整車電子電氣架構(gòu)之上。

返回第一電動(dòng)網(wǎng)首頁 >