OTA 技術最早應用在 PC 電腦和移動手機行業(yè)，近幾年才開始在汽車行業(yè)中 廣泛應用。然而車內通訊網絡的復雜性、汽車電子系統(tǒng)的碎片化等因素限制著 OTA 技術整車范圍普及。本章從 OTA 定義與應用場景、OTA 實現流程和“云-管-端”關鍵技術進行研究，為行業(yè)從業(yè)者對 OTA 技術的設計開發(fā)、技術驗證和生產工作提供參考。

一、汽車 OTA 定義與應用場景

1.1  OTA 定義及分類

OTA 是 Over the Air 的縮寫，通常指的是遠程無線方式，OTA 技術可以理解為一種遠程無線升級技術。在無特別說明情況下，本文所指的 OTA 是所有汽車遠程升級的統(tǒng)稱。實現 OTA 的基礎是車輛具備遠程聯網功能，這意味著正是智能網聯汽車滲透率的快速增長，推動了 OTA 的快速普及。

OTA 的本質是通過技術實現軟件更新，智能網聯汽車與傳統(tǒng)汽車的軟件升級不同之處在于，通過 OTA 技術，原始設備制造商（OEM）可以不用通過售后服務中心，而是直接遠程連接目標聯網車輛，將軟件更新推動至待升級的車輛。

隨著 OTA 的應用越來越廣泛，針對升級對象的不同，延伸出來很多不同的 概念。人們在談及 OTA 相關業(yè)務時通常會在前面增加一個具體對象，用于表明使用 OTA 技術實現何種功能，比如遠程軟件升級、遠程固件升級、遠程配置、遠程數據更新等。然而在一些 OTA 解決方案中，已經模糊了不同類型遠程升級的邊界，將所有可升級的軟件對象抽象為軟件簇，而軟件簇包含了從小到配置字信息大到整個操作系統(tǒng)固件所有顆粒度的對象。并且，GB《汽車軟件升級通用 技術要求》中對軟件升級（Software Update）的定義已經涵蓋了下述幾種 OTA 概念（遠程診斷除外）。

1.1.1  遠程軟件升級(SOTA)

SOTA（Software Over-The-Air），即遠程軟件升級，是指在操作系統(tǒng)的基礎上對應用程序進行遠程升級。SOTA 通過遠程下載并給車輛安裝“應用程序升級包”，來實現控制器功能的一個“增量”更新， 一般應用于娛樂系統(tǒng)和智駕系統(tǒng)。

SOTA 一般涉及應用層小范圍的功能局部更新，不包括汽車核心系統(tǒng)，對整 車性能和安全影響較小，升級前置條件要求較低。SOTA 的增量更新策略， 可以大幅減小升級包文件大小、從而節(jié)約網絡流量和存儲空間。

1.1.2  遠程固件升級(FOTA)

FOTA（Firmware Over-The-Air），即遠程固件升級，是指囊括車輛底層算法至頂層應用的綜合升級，在不改變車輛原有配件的前提下，通過遠程下載并寫入新的固件程序進行設備升級。FOTA 包括驅動、系統(tǒng)、功能、應用等的升級，與硬件的更換沒有關系。

FOTA 涉及車輛的核心系統(tǒng)，包括但不限于汽車動力控制系統(tǒng)、底盤電子系 統(tǒng)、自動駕駛系統(tǒng)、車身控制系統(tǒng)等核心零部件的控制系統(tǒng)，可以改變車輛的充放電、動能回收、加速性能、輔助駕駛系統(tǒng)邏輯等與深度駕控有關的體驗。理論上所有支持固件更新的電子控制單元（ECU）都可以涵蓋在 FOTA 范圍中。

1.1.3  遠程配置(COTA)

COTA（Configuration Over-The-Air），即遠程配置，是指通過 OTA 的方式實現遠程修改配置字，以達到修改軟件功能配置的目的。配置字是一組以數據標識碼(DID)方式存儲在 ECU 上的數據，可通過診斷指令進行讀取和修改。它根據特定的編碼規(guī)則與車輛功能特征碼一一對應，通過配置可判斷車輛的功能配置，軟件可根據配置實現相應的功能。遠程配置常見的應用場景是遠程開啟和關閉某項功能，例如軟件訂閱功能。

1.1.4  遠程診斷/遠程數據更新(DOTA)

DOTA 有兩種常見解釋：

DOTA(Data Over-The-Air)，即遠程數據更新，是指一些獨立于軟件程序存在的數據包的更新，比如，地圖數據、語音數據和算法模型數據等。這類更新的特點是數據量比較大，更新流程相對獨立，比如，地圖數據通常由地圖應用自行更新，而數據量也可能高達幾 G 到幾十G。

DOTA(Diagnostic Over-The-Air)，即遠程診斷，通過云平臺實時數據采集監(jiān)控，主動性地檢查汽車系統(tǒng)異常問題，為遠程問題修復與人工問題修復提供決策依據。遠程診斷的觸發(fā)方式有兩種，一種是用戶在車輛上發(fā)現異常狀況的響應式；另一種是周期性收集通訊網絡、應用程序、硬件效能、使用操作記錄、系統(tǒng)程序等狀態(tài)信息，利用大數據后臺分析監(jiān)測故障。

1.1.5  其他類型(XOTA)

隨著汽車智能化程度越來越高，除了車輛本身軟件的升級外，還可能會涉及 到外部智能設備交互功能的軟件更新，比如，智能鑰匙、AR 設備等。目前有些企業(yè)和組織將所有與車輛相關聯的軟件升級統(tǒng)稱為 XOTA，即 Everything Over-The-Air 的意思。

1.2 OTA 應用場景

1.2.1 車輛生命周期維度

從開發(fā)者編譯生產出目標版本軟件，到該軟件更新至目標硬件設備上的全過 程涉及多個階段。在不同的階段，受產品形態(tài)和生產環(huán)境限制，所適用的軟件更新目的和手段也有所不同，如下表 2- 1 所示。目前，大部分車企的 OTA 主要集中在售后軟件更新，但不論是從效率上還是成本上 OTA 都體現出了巨大的優(yōu)勢。隨著 OTA 應用越來越成熟，從單一的售后升級場景向更多的應用場景發(fā)展是的必然趨勢。

表 2-1  車輛生命周期維度的軟件更新應用

1.2.2  軟件運營管理維度

從軟件運營管理的維度 OTA 的典型應用場景如下表 2-2 所示。

表 2-2  軟件運營管理維度的軟件更新典型應用場景

二、 汽車 OTA 技術體系   

2.1  OTA 實現流程

汽車軟件更新的本質是將供應商或者 OEM 內部開發(fā)部門編譯出來的軟件或 者數據替換當前車輛 ECU 中的版本，以實現預期的特定功能。因此，汽車軟件升級所需要的核心工作是建立遠程傳輸鏈路并實現 OEM 云端系統(tǒng)遠程更新車輛 ECU 中的軟件數據。同時，為了準確、安全、可靠地完成 ECU 軟件的更新，OTA 系統(tǒng)需要云端管理系統(tǒng)對軟件、升級對象進行管理，以實現人工操作到自動化的轉變；車端系統(tǒng)需要完成軟件數據的接收和分發(fā)工作，并保證無專業(yè)技師操作情況下的安全升級。 

圖 2-1：OTA 實現流程(來源 AutoSAR)    

圖2-1 是一個典型的 OTA 系統(tǒng)框架，包含了三個基本要素，即云端的 OTA 平臺、車端 OTA 主控、OTA 對象。其中：OTA 云平臺負責 OTA 升級包管理、車輛管理及 OTA 發(fā)布等功能，車端 OTA 主控負責從 OTA 云平臺下載升級包并將其刷寫到目標 ECU ，OTA 升級對象即最終軟件刷寫的主體，從主控接收軟件并完成自身軟件更新。OTA 的基本實現流程（圖2-1）可歸納為下表 2-3 所示步驟。

表 2-3  OTA 的基本實現流程

2.2  OTA 云平臺架構及關鍵技術    

OTA 云平臺是支撐 OTA 業(yè)務正常運行的相關云端系統(tǒng)的集合，既包括實現 OTA 核心功能的 OTA 服務端，也包括了其他關聯系統(tǒng)如企業(yè) IT 管理系統(tǒng)、安全服務端、web 控制臺以及文件服務端。OTA 云平臺業(yè)務范圍涉及軟硬件生命周期管理、業(yè)務流程整合、軟件遠程分發(fā)等軟件更新所有相關業(yè)務，是一個軟件升級管理體系(SUMS)。

2.2.1  云平臺架構

基于 OTA 產品業(yè)務形態(tài)，結合系統(tǒng)組件之間松耦合高內聚的標準，行業(yè)內 普遍將云平臺設計為 4 層的分層架構型式，如圖 2-2 所示，包括前端展示層、路由網關層、業(yè)務服務層和數據存儲層。前端展示層是系統(tǒng)與用戶交互的 web 應用層，用戶訪問和操作云平臺系統(tǒng)的交互接口；網關路由層包括指令控制層和網關接入層，是云平臺與車端建立通信鏈接以及控制車端流程的通信中間件；業(yè)務服務層負責所有 OTA 相關業(yè)務邏輯的處理，包括車輛、軟件包管理、策略管理等諸多業(yè)務模塊，是 OTA 云平臺的核心；數據存儲層負責 OTA 所有業(yè)務相關數據存儲，包括基本的數據庫集群數據緩存和大文件存儲等。

圖 2-2  OTA 云服務框架圖

（1） 前端展示層

前端展示層的劃分，是基于前后端分離開發(fā)方式設計的架構分層模式，主要 負責 Web 端用戶交互頁面的功能。核心思想是前端頁面通過調用后端的接口并進行交互，前端專注于交互頁面的開發(fā)，業(yè)務邏輯由后端負責。對 OTA 云平臺而言，前端展示層可以理解為業(yè)務服務層的用戶交互接口，其展示功能與具體業(yè)務功能一一對應。

（2） 指令控制層

各業(yè)務平臺與網關接入層的連通介質，接收來自業(yè)務系統(tǒng)指令并將指令發(fā)送 至網關可訪問的緩存中，接收來自網關回寫的升級狀態(tài)至各業(yè)務系統(tǒng)可訪問的消息隊列中。

（3） 網關接入層

針對不同的數據格式及上層需求，接收封裝來自車載終端傳輸的數據，并流

向緩存、消息隊列等中間件。

（4）業(yè)務服務層

業(yè)務服務層是 OTA 服務所有業(yè)務及相關流程管理功能在云平臺端的實現， 除了車輛管理服務、軟件包服務、版本服務、策略管理和任務管理 5 個支撐 OTA 的核心功能外，還包括關聯系統(tǒng)審批、數據對接、信息安全服務、測試、統(tǒng)計分析、日志查詢等重要輔助功能。由于不同的企業(yè)內部管理存在差異，云平臺所支持的輔助業(yè)務可能存在較大差異，常見服務列舉見表 2-4。

表 2-4 常見服務舉例

（5） PKI 系統(tǒng)

公鑰基礎設施（Public Key Infrastructure，PKI）：基于公鑰密碼體制實現數字證書的發(fā)布、撤銷和管理等功能，并為數字證書用戶提供相應服務的系統(tǒng)。其目的在于創(chuàng)造、管理、分配、使用、存儲以及撤銷數字證書，可以用來保證通信對象的身份真實性、軟件程序的來源真實性和完整性、通信行為的不可否認性等。

PKI 在 OTA 系統(tǒng)中的作用主要在于為相關實體發(fā)放數字證書，通過密碼技術保證升級包和升級過程的安全。主要包括車輛證書、設備證書、供應商證書等 的申請和校驗；云端對車端身份認證，車端對云端身份認證；升級包的安全認證等。

（6）外部數據系統(tǒng)

外部數據對接的系統(tǒng)可能包括整車生命周期配置系統(tǒng)（VLCS）、遠程診斷系 統(tǒng)、軟件可售系統(tǒng)及一些其他支撐系統(tǒng)組成。主機廠研發(fā)部門需要根據車型的功能規(guī)劃確定該車型所對應的軟硬件相關配置。需要進行軟件更新時， 從 VLCS 系統(tǒng)中確定所涉及的車型和影響的功能范圍，并依據確定好的范圍， 從物料信息管理系統(tǒng)(BOM)中申請軟件物料號作為版本控制依據， 供應商軟件釋放后經由產品生命周期管理系統(tǒng)（PLM）系統(tǒng)通過驗證審批后流轉到 OTA 服務端供升級使用使用。OTA 服務端管理設備中初始的車輛信息，可通過對接 MES 在車輛下線檢驗合格后將新生產車輛自動注冊到 OTA 云平臺，所有升級目標車輛應保證是已 注冊車輛。除此之外，根據實際需要還可能會從汽車經銷商管理系統(tǒng)（DMS）系 統(tǒng)獲取經銷商及售后服務站點信息，售后系統(tǒng)通常也需要與 OTA 系統(tǒng)關聯以同步最新版本信息以及線下配置更改信息等。

另外， OTA 系統(tǒng)在升級前可通過遠程診斷系統(tǒng)獲得最新的 ECU 配置信息及 狀態(tài)信息，并且當遠程診斷系統(tǒng)發(fā)現問題后，可以通過 OTA 系統(tǒng)下發(fā)經過測試驗證的補丁包來修復。對于一些有運營需求的主機廠來說，通過 OTA 系統(tǒng)配合軟件可售系統(tǒng)，可以實現軟件付費升級、功能付費使用等后向運營，真正實現“千車千面”、“用戶定義汽車”。

（7）數據存儲層

數據存儲層包括數據庫集群、緩存和存儲節(jié)點，分別用于存儲 OTA 云平臺 不同類型的數據。其中，數據庫集群，主要用于存儲車輛信息版本信息等關系型數據；緩存，為了解決數據庫性能瓶頸問題，可以通過多架設一層緩存層來減少對數據庫的直接訪問；存儲節(jié)點，針對較大的升級包、配置文件等需要提供車端下載的文件，通常可以存儲在分布式存儲節(jié)點上。

2.2.2  關鍵技術

（1）安全技術

OTA 服務端以及企業(yè) IT 管理系統(tǒng)、安全服務端、web 控制臺、文件服務端 等關聯系統(tǒng)，會面臨傳統(tǒng)云平臺的所有安全威脅。為保證 OTA 升級的安全性，常用安全技術如表 2-5 所示。   

表 2-5  OTA 云平臺常用安全技術

（2） OTA 技術

OTA 系統(tǒng)常用升級技術如表 2-6 所示。

表 2-6  OTA 云平臺常用升級技術

2.3  OTA 車載端架構及關鍵技術

2.3.1  車載端架構

OTA 車載端功能模塊主要包括 2 大部分，即 OTA 主控和 OTA 對象，如圖 2-3 所示。OTA 主控是車端 OTA 系統(tǒng)的核心，車端所有 OTA 業(yè)務邏輯均由主控實現，包括上報車輛信息、下載更新文件、升級包安裝、車輛狀態(tài)管理、人機交互等。

圖 2-3  車載端功能模塊(參考 AutoSAR UCM)

（1） OTA 主控功能模塊

按照車載端的工作流程，車載端的功能模塊包括：OTA 客戶端負責與云端進 行數據交互；下載模塊負責升級包下載及分發(fā)；升級管理模塊負責升級過程的控制；升級代理負責執(zhí)行軟件刷寫或者軟件安裝；人機交互模塊負責升級信息提示、用戶輸入、升級過程的展示等，如表 2-7 所示。

表 2-7  OTA 主控功能模塊