OTA 技術(shù)最早應(yīng)用在 PC 電腦和移動(dòng)手機(jī)行業(yè)，近幾年才開(kāi)始在汽車行業(yè)中 廣泛應(yīng)用。然而車內(nèi)通訊網(wǎng)絡(luò)的復(fù)雜性、汽車電子系統(tǒng)的碎片化等因素限制著 OTA 技術(shù)整車范圍普及。本章從 OTA 定義與應(yīng)用場(chǎng)景、OTA 實(shí)現(xiàn)流程和“云-管-端”關(guān)鍵技術(shù)進(jìn)行研究，為行業(yè)從業(yè)者對(duì) OTA 技術(shù)的設(shè)計(jì)開(kāi)發(fā)、技術(shù)驗(yàn)證和生產(chǎn)工作提供參考。

一、汽車 OTA 定義與應(yīng)用場(chǎng)景

1.1  OTA 定義及分類

OTA 是 Over the Air 的縮寫(xiě)，通常指的是遠(yuǎn)程無(wú)線方式，OTA 技術(shù)可以理解為一種遠(yuǎn)程無(wú)線升級(jí)技術(shù)。在無(wú)特別說(shuō)明情況下，本文所指的 OTA 是所有汽車遠(yuǎn)程升級(jí)的統(tǒng)稱。實(shí)現(xiàn) OTA 的基礎(chǔ)是車輛具備遠(yuǎn)程聯(lián)網(wǎng)功能，這意味著正是智能網(wǎng)聯(lián)汽車滲透率的快速增長(zhǎng)，推動(dòng)了 OTA 的快速普及。

OTA 的本質(zhì)是通過(guò)技術(shù)實(shí)現(xiàn)軟件更新，智能網(wǎng)聯(lián)汽車與傳統(tǒng)汽車的軟件升級(jí)不同之處在于，通過(guò) OTA 技術(shù)，原始設(shè)備制造商（OEM）可以不用通過(guò)售后服務(wù)中心，而是直接遠(yuǎn)程連接目標(biāo)聯(lián)網(wǎng)車輛，將軟件更新推動(dòng)至待升級(jí)的車輛。

隨著 OTA 的應(yīng)用越來(lái)越廣泛，針對(duì)升級(jí)對(duì)象的不同，延伸出來(lái)很多不同的 概念。人們?cè)谡劶?OTA 相關(guān)業(yè)務(wù)時(shí)通常會(huì)在前面增加一個(gè)具體對(duì)象，用于表明使用 OTA 技術(shù)實(shí)現(xiàn)何種功能，比如遠(yuǎn)程軟件升級(jí)、遠(yuǎn)程固件升級(jí)、遠(yuǎn)程配置、遠(yuǎn)程數(shù)據(jù)更新等。然而在一些 OTA 解決方案中，已經(jīng)模糊了不同類型遠(yuǎn)程升級(jí)的邊界，將所有可升級(jí)的軟件對(duì)象抽象為軟件簇，而軟件簇包含了從小到配置字信息大到整個(gè)操作系統(tǒng)固件所有顆粒度的對(duì)象。并且，GB《汽車軟件升級(jí)通用 技術(shù)要求》中對(duì)軟件升級(jí)（Software Update）的定義已經(jīng)涵蓋了下述幾種 OTA 概念（遠(yuǎn)程診斷除外）。

1.1.1  遠(yuǎn)程軟件升級(jí)(SOTA)

SOTA（Software Over-The-Air），即遠(yuǎn)程軟件升級(jí)，是指在操作系統(tǒng)的基礎(chǔ)上對(duì)應(yīng)用程序進(jìn)行遠(yuǎn)程升級(jí)。SOTA 通過(guò)遠(yuǎn)程下載并給車輛安裝“應(yīng)用程序升級(jí)包”，來(lái)實(shí)現(xiàn)控制器功能的一個(gè)“增量”更新， 一般應(yīng)用于娛樂(lè)系統(tǒng)和智駕系統(tǒng)。

SOTA 一般涉及應(yīng)用層小范圍的功能局部更新，不包括汽車核心系統(tǒng)，對(duì)整 車性能和安全影響較小，升級(jí)前置條件要求較低。SOTA 的增量更新策略， 可以大幅減小升級(jí)包文件大小、從而節(jié)約網(wǎng)絡(luò)流量和存儲(chǔ)空間。

1.1.2  遠(yuǎn)程固件升級(jí)(FOTA)

FOTA（Firmware Over-The-Air），即遠(yuǎn)程固件升級(jí)，是指囊括車輛底層算法至頂層應(yīng)用的綜合升級(jí)，在不改變車輛原有配件的前提下，通過(guò)遠(yuǎn)程下載并寫(xiě)入新的固件程序進(jìn)行設(shè)備升級(jí)。FOTA 包括驅(qū)動(dòng)、系統(tǒng)、功能、應(yīng)用等的升級(jí)，與硬件的更換沒(méi)有關(guān)系。

FOTA 涉及車輛的核心系統(tǒng)，包括但不限于汽車動(dòng)力控制系統(tǒng)、底盤(pán)電子系 統(tǒng)、自動(dòng)駕駛系統(tǒng)、車身控制系統(tǒng)等核心零部件的控制系統(tǒng)，可以改變車輛的充放電、動(dòng)能回收、加速性能、輔助駕駛系統(tǒng)邏輯等與深度駕控有關(guān)的體驗(yàn)。理論上所有支持固件更新的電子控制單元（ECU）都可以涵蓋在 FOTA 范圍中。

1.1.3  遠(yuǎn)程配置(COTA)

COTA（Configuration Over-The-Air），即遠(yuǎn)程配置，是指通過(guò) OTA 的方式實(shí)現(xiàn)遠(yuǎn)程修改配置字，以達(dá)到修改軟件功能配置的目的。配置字是一組以數(shù)據(jù)標(biāo)識(shí)碼(DID)方式存儲(chǔ)在 ECU 上的數(shù)據(jù)，可通過(guò)診斷指令進(jìn)行讀取和修改。它根據(jù)特定的編碼規(guī)則與車輛功能特征碼一一對(duì)應(yīng)，通過(guò)配置可判斷車輛的功能配置，軟件可根據(jù)配置實(shí)現(xiàn)相應(yīng)的功能。遠(yuǎn)程配置常見(jiàn)的應(yīng)用場(chǎng)景是遠(yuǎn)程開(kāi)啟和關(guān)閉某項(xiàng)功能，例如軟件訂閱功能。

1.1.4  遠(yuǎn)程診斷/遠(yuǎn)程數(shù)據(jù)更新(DOTA)

DOTA 有兩種常見(jiàn)解釋：

DOTA(Data Over-The-Air)，即遠(yuǎn)程數(shù)據(jù)更新，是指一些獨(dú)立于軟件程序存在的數(shù)據(jù)包的更新，比如，地圖數(shù)據(jù)、語(yǔ)音數(shù)據(jù)和算法模型數(shù)據(jù)等。這類更新的特點(diǎn)是數(shù)據(jù)量比較大，更新流程相對(duì)獨(dú)立，比如，地圖數(shù)據(jù)通常由地圖應(yīng)用自行更新，而數(shù)據(jù)量也可能高達(dá)幾 G 到幾十G。

DOTA(Diagnostic Over-The-Air)，即遠(yuǎn)程診斷，通過(guò)云平臺(tái)實(shí)時(shí)數(shù)據(jù)采集監(jiān)控，主動(dòng)性地檢查汽車系統(tǒng)異常問(wèn)題，為遠(yuǎn)程問(wèn)題修復(fù)與人工問(wèn)題修復(fù)提供決策依據(jù)。遠(yuǎn)程診斷的觸發(fā)方式有兩種，一種是用戶在車輛上發(fā)現(xiàn)異常狀況的響應(yīng)式；另一種是周期性收集通訊網(wǎng)絡(luò)、應(yīng)用程序、硬件效能、使用操作記錄、系統(tǒng)程序等狀態(tài)信息，利用大數(shù)據(jù)后臺(tái)分析監(jiān)測(cè)故障。

1.1.5  其他類型(XOTA)

隨著汽車智能化程度越來(lái)越高，除了車輛本身軟件的升級(jí)外，還可能會(huì)涉及 到外部智能設(shè)備交互功能的軟件更新，比如，智能鑰匙、AR 設(shè)備等。目前有些企業(yè)和組織將所有與車輛相關(guān)聯(lián)的軟件升級(jí)統(tǒng)稱為 XOTA，即 Everything Over-The-Air 的意思。

1.2 OTA 應(yīng)用場(chǎng)景

1.2.1 車輛生命周期維度

從開(kāi)發(fā)者編譯生產(chǎn)出目標(biāo)版本軟件，到該軟件更新至目標(biāo)硬件設(shè)備上的全過(guò) 程涉及多個(gè)階段。在不同的階段，受產(chǎn)品形態(tài)和生產(chǎn)環(huán)境限制，所適用的軟件更新目的和手段也有所不同，如下表 2- 1 所示。目前，大部分車企的 OTA 主要集中在售后軟件更新，但不論是從效率上還是成本上 OTA 都體現(xiàn)出了巨大的優(yōu)勢(shì)。隨著 OTA 應(yīng)用越來(lái)越成熟，從單一的售后升級(jí)場(chǎng)景向更多的應(yīng)用場(chǎng)景發(fā)展是的必然趨勢(shì)。

表 2-1  車輛生命周期維度的軟件更新應(yīng)用

1.2.2  軟件運(yùn)營(yíng)管理維度

從軟件運(yùn)營(yíng)管理的維度 OTA 的典型應(yīng)用場(chǎng)景如下表 2-2 所示。

表 2-2  軟件運(yùn)營(yíng)管理維度的軟件更新典型應(yīng)用場(chǎng)景

二、 汽車 OTA 技術(shù)體系   

2.1  OTA 實(shí)現(xiàn)流程

汽車軟件更新的本質(zhì)是將供應(yīng)商或者 OEM 內(nèi)部開(kāi)發(fā)部門(mén)編譯出來(lái)的軟件或 者數(shù)據(jù)替換當(dāng)前車輛 ECU 中的版本，以實(shí)現(xiàn)預(yù)期的特定功能。因此，汽車軟件升級(jí)所需要的核心工作是建立遠(yuǎn)程傳輸鏈路并實(shí)現(xiàn) OEM 云端系統(tǒng)遠(yuǎn)程更新車輛 ECU 中的軟件數(shù)據(jù)。同時(shí)，為了準(zhǔn)確、安全、可靠地完成 ECU 軟件的更新，OTA 系統(tǒng)需要云端管理系統(tǒng)對(duì)軟件、升級(jí)對(duì)象進(jìn)行管理，以實(shí)現(xiàn)人工操作到自動(dòng)化的轉(zhuǎn)變；車端系統(tǒng)需要完成軟件數(shù)據(jù)的接收和分發(fā)工作，并保證無(wú)專業(yè)技師操作情況下的安全升級(jí)。 

圖 2-1：OTA 實(shí)現(xiàn)流程(來(lái)源 AutoSAR)    

圖2-1 是一個(gè)典型的 OTA 系統(tǒng)框架，包含了三個(gè)基本要素，即云端的 OTA 平臺(tái)、車端 OTA 主控、OTA 對(duì)象。其中：OTA 云平臺(tái)負(fù)責(zé) OTA 升級(jí)包管理、車輛管理及 OTA 發(fā)布等功能，車端 OTA 主控負(fù)責(zé)從 OTA 云平臺(tái)下載升級(jí)包并將其刷寫(xiě)到目標(biāo) ECU ，OTA 升級(jí)對(duì)象即最終軟件刷寫(xiě)的主體，從主控接收軟件并完成自身軟件更新。OTA 的基本實(shí)現(xiàn)流程（圖2-1）可歸納為下表 2-3 所示步驟。

表 2-3  OTA 的基本實(shí)現(xiàn)流程

2.2  OTA 云平臺(tái)架構(gòu)及關(guān)鍵技術(shù)    

OTA 云平臺(tái)是支撐 OTA 業(yè)務(wù)正常運(yùn)行的相關(guān)云端系統(tǒng)的集合，既包括實(shí)現(xiàn) OTA 核心功能的 OTA 服務(wù)端，也包括了其他關(guān)聯(lián)系統(tǒng)如企業(yè) IT 管理系統(tǒng)、安全服務(wù)端、web 控制臺(tái)以及文件服務(wù)端。OTA 云平臺(tái)業(yè)務(wù)范圍涉及軟硬件生命周期管理、業(yè)務(wù)流程整合、軟件遠(yuǎn)程分發(fā)等軟件更新所有相關(guān)業(yè)務(wù)，是一個(gè)軟件升級(jí)管理體系(SUMS)。

2.2.1  云平臺(tái)架構(gòu)

基于 OTA 產(chǎn)品業(yè)務(wù)形態(tài)，結(jié)合系統(tǒng)組件之間松耦合高內(nèi)聚的標(biāo)準(zhǔn)，行業(yè)內(nèi) 普遍將云平臺(tái)設(shè)計(jì)為 4 層的分層架構(gòu)型式，如圖 2-2 所示，包括前端展示層、路由網(wǎng)關(guān)層、業(yè)務(wù)服務(wù)層和數(shù)據(jù)存儲(chǔ)層。前端展示層是系統(tǒng)與用戶交互的 web 應(yīng)用層，用戶訪問(wèn)和操作云平臺(tái)系統(tǒng)的交互接口；網(wǎng)關(guān)路由層包括指令控制層和網(wǎng)關(guān)接入層，是云平臺(tái)與車端建立通信鏈接以及控制車端流程的通信中間件；業(yè)務(wù)服務(wù)層負(fù)責(zé)所有 OTA 相關(guān)業(yè)務(wù)邏輯的處理，包括車輛、軟件包管理、策略管理等諸多業(yè)務(wù)模塊，是 OTA 云平臺(tái)的核心；數(shù)據(jù)存儲(chǔ)層負(fù)責(zé) OTA 所有業(yè)務(wù)相關(guān)數(shù)據(jù)存儲(chǔ)，包括基本的數(shù)據(jù)庫(kù)集群數(shù)據(jù)緩存和大文件存儲(chǔ)等。

圖 2-2  OTA 云服務(wù)框架圖

（1） 前端展示層

前端展示層的劃分，是基于前后端分離開(kāi)發(fā)方式設(shè)計(jì)的架構(gòu)分層模式，主要 負(fù)責(zé) Web 端用戶交互頁(yè)面的功能。核心思想是前端頁(yè)面通過(guò)調(diào)用后端的接口并進(jìn)行交互，前端專注于交互頁(yè)面的開(kāi)發(fā)，業(yè)務(wù)邏輯由后端負(fù)責(zé)。對(duì) OTA 云平臺(tái)而言，前端展示層可以理解為業(yè)務(wù)服務(wù)層的用戶交互接口，其展示功能與具體業(yè)務(wù)功能一一對(duì)應(yīng)。

（2） 指令控制層

各業(yè)務(wù)平臺(tái)與網(wǎng)關(guān)接入層的連通介質(zhì)，接收來(lái)自業(yè)務(wù)系統(tǒng)指令并將指令發(fā)送 至網(wǎng)關(guān)可訪問(wèn)的緩存中，接收來(lái)自網(wǎng)關(guān)回寫(xiě)的升級(jí)狀態(tài)至各業(yè)務(wù)系統(tǒng)可訪問(wèn)的消息隊(duì)列中。

（3） 網(wǎng)關(guān)接入層

針對(duì)不同的數(shù)據(jù)格式及上層需求，接收封裝來(lái)自車載終端傳輸?shù)臄?shù)據(jù)，并流

向緩存、消息隊(duì)列等中間件。

（4）業(yè)務(wù)服務(wù)層

業(yè)務(wù)服務(wù)層是 OTA 服務(wù)所有業(yè)務(wù)及相關(guān)流程管理功能在云平臺(tái)端的實(shí)現(xiàn)， 除了車輛管理服務(wù)、軟件包服務(wù)、版本服務(wù)、策略管理和任務(wù)管理 5 個(gè)支撐 OTA 的核心功能外，還包括關(guān)聯(lián)系統(tǒng)審批、數(shù)據(jù)對(duì)接、信息安全服務(wù)、測(cè)試、統(tǒng)計(jì)分析、日志查詢等重要輔助功能。由于不同的企業(yè)內(nèi)部管理存在差異，云平臺(tái)所支持的輔助業(yè)務(wù)可能存在較大差異，常見(jiàn)服務(wù)列舉見(jiàn)表 2-4。

表 2-4 常見(jiàn)服務(wù)舉例

（5） PKI 系統(tǒng)

公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）：基于公鑰密碼體制實(shí)現(xiàn)數(shù)字證書(shū)的發(fā)布、撤銷和管理等功能，并為數(shù)字證書(shū)用戶提供相應(yīng)服務(wù)的系統(tǒng)。其目的在于創(chuàng)造、管理、分配、使用、存儲(chǔ)以及撤銷數(shù)字證書(shū)，可以用來(lái)保證通信對(duì)象的身份真實(shí)性、軟件程序的來(lái)源真實(shí)性和完整性、通信行為的不可否認(rèn)性等。

PKI 在 OTA 系統(tǒng)中的作用主要在于為相關(guān)實(shí)體發(fā)放數(shù)字證書(shū)，通過(guò)密碼技術(shù)保證升級(jí)包和升級(jí)過(guò)程的安全。主要包括車輛證書(shū)、設(shè)備證書(shū)、供應(yīng)商證書(shū)等 的申請(qǐng)和校驗(yàn)；云端對(duì)車端身份認(rèn)證，車端對(duì)云端身份認(rèn)證；升級(jí)包的安全認(rèn)證等。

（6）外部數(shù)據(jù)系統(tǒng)

外部數(shù)據(jù)對(duì)接的系統(tǒng)可能包括整車生命周期配置系統(tǒng)（VLCS）、遠(yuǎn)程診斷系 統(tǒng)、軟件可售系統(tǒng)及一些其他支撐系統(tǒng)組成。主機(jī)廠研發(fā)部門(mén)需要根據(jù)車型的功能規(guī)劃確定該車型所對(duì)應(yīng)的軟硬件相關(guān)配置。需要進(jìn)行軟件更新時(shí)， 從 VLCS 系統(tǒng)中確定所涉及的車型和影響的功能范圍，并依據(jù)確定好的范圍， 從物料信息管理系統(tǒng)(BOM)中申請(qǐng)軟件物料號(hào)作為版本控制依據(jù)， 供應(yīng)商軟件釋放后經(jīng)由產(chǎn)品生命周期管理系統(tǒng)（PLM）系統(tǒng)通過(guò)驗(yàn)證審批后流轉(zhuǎn)到 OTA 服務(wù)端供升級(jí)使用使用。OTA 服務(wù)端管理設(shè)備中初始的車輛信息，可通過(guò)對(duì)接 MES 在車輛下線檢驗(yàn)合格后將新生產(chǎn)車輛自動(dòng)注冊(cè)到 OTA 云平臺(tái)，所有升級(jí)目標(biāo)車輛應(yīng)保證是已 注冊(cè)車輛。除此之外，根據(jù)實(shí)際需要還可能會(huì)從汽車經(jīng)銷商管理系統(tǒng)（DMS）系 統(tǒng)獲取經(jīng)銷商及售后服務(wù)站點(diǎn)信息，售后系統(tǒng)通常也需要與 OTA 系統(tǒng)關(guān)聯(lián)以同步最新版本信息以及線下配置更改信息等。

另外， OTA 系統(tǒng)在升級(jí)前可通過(guò)遠(yuǎn)程診斷系統(tǒng)獲得最新的 ECU 配置信息及 狀態(tài)信息，并且當(dāng)遠(yuǎn)程診斷系統(tǒng)發(fā)現(xiàn)問(wèn)題后，可以通過(guò) OTA 系統(tǒng)下發(fā)經(jīng)過(guò)測(cè)試驗(yàn)證的補(bǔ)丁包來(lái)修復(fù)。對(duì)于一些有運(yùn)營(yíng)需求的主機(jī)廠來(lái)說(shuō)，通過(guò) OTA 系統(tǒng)配合軟件可售系統(tǒng)，可以實(shí)現(xiàn)軟件付費(fèi)升級(jí)、功能付費(fèi)使用等后向運(yùn)營(yíng)，真正實(shí)現(xiàn)“千車千面”、“用戶定義汽車”。

（7）數(shù)據(jù)存儲(chǔ)層

數(shù)據(jù)存儲(chǔ)層包括數(shù)據(jù)庫(kù)集群、緩存和存儲(chǔ)節(jié)點(diǎn)，分別用于存儲(chǔ) OTA 云平臺(tái) 不同類型的數(shù)據(jù)。其中，數(shù)據(jù)庫(kù)集群，主要用于存儲(chǔ)車輛信息版本信息等關(guān)系型數(shù)據(jù)；緩存，為了解決數(shù)據(jù)庫(kù)性能瓶頸問(wèn)題，可以通過(guò)多架設(shè)一層緩存層來(lái)減少對(duì)數(shù)據(jù)庫(kù)的直接訪問(wèn)；存儲(chǔ)節(jié)點(diǎn)，針對(duì)較大的升級(jí)包、配置文件等需要提供車端下載的文件，通常可以存儲(chǔ)在分布式存儲(chǔ)節(jié)點(diǎn)上。

2.2.2  關(guān)鍵技術(shù)

（1）安全技術(shù)

OTA 服務(wù)端以及企業(yè) IT 管理系統(tǒng)、安全服務(wù)端、web 控制臺(tái)、文件服務(wù)端 等關(guān)聯(lián)系統(tǒng)，會(huì)面臨傳統(tǒng)云平臺(tái)的所有安全威脅。為保證 OTA 升級(jí)的安全性，常用安全技術(shù)如表 2-5 所示。   

表 2-5  OTA 云平臺(tái)常用安全技術(shù)

（2） OTA 技術(shù)

OTA 系統(tǒng)常用升級(jí)技術(shù)如表 2-6 所示。

表 2-6  OTA 云平臺(tái)常用升級(jí)技術(shù)

2.3  OTA 車載端架構(gòu)及關(guān)鍵技術(shù)

2.3.1  車載端架構(gòu)

OTA 車載端功能模塊主要包括 2 大部分，即 OTA 主控和 OTA 對(duì)象，如圖 2-3 所示。OTA 主控是車端 OTA 系統(tǒng)的核心，車端所有 OTA 業(yè)務(wù)邏輯均由主控實(shí)現(xiàn)，包括上報(bào)車輛信息、下載更新文件、升級(jí)包安裝、車輛狀態(tài)管理、人機(jī)交互等。

圖 2-3  車載端功能模塊(參考 AutoSAR UCM)

（1） OTA 主控功能模塊

按照車載端的工作流程，車載端的功能模塊包括：OTA 客戶端負(fù)責(zé)與云端進(jìn) 行數(shù)據(jù)交互；下載模塊負(fù)責(zé)升級(jí)包下載及分發(fā)；升級(jí)管理模塊負(fù)責(zé)升級(jí)過(guò)程的控制；升級(jí)代理負(fù)責(zé)執(zhí)行軟件刷寫(xiě)或者軟件安裝；人機(jī)交互模塊負(fù)責(zé)升級(jí)信息提示、用戶輸入、升級(jí)過(guò)程的展示等，如表 2-7 所示。

表 2-7  OTA 主控功能模塊