9月20-21日，由中國人才研究會(huì)汽車人才專業(yè)委員會(huì)指導(dǎo)，專家汽車組及蓋世汽車主辦的"2019（第七屆）汽車與環(huán)境創(chuàng)新論壇"隆重舉辦，論壇以一個(gè)主論壇加四個(gè)平行論壇的形式，攜百名行業(yè)權(quán)威嘉賓，共同探討中國汽車產(chǎn)業(yè)在轉(zhuǎn)型升級(jí)的新形勢(shì)和新常態(tài)下，整車廠與零部件企業(yè)協(xié)同創(chuàng)新、升級(jí)做強(qiáng)、共同應(yīng)對(duì)嚴(yán)峻市場(chǎng)和產(chǎn)業(yè)變革挑戰(zhàn)之發(fā)展路徑。以下為金康新能源電子電器與智能駕駛總監(jiān)高繼勇先生的演講內(nèi)容實(shí)錄：

我這個(gè)題目就是現(xiàn)在非常關(guān)注的自動(dòng)駕駛和智能網(wǎng)聯(lián)的基礎(chǔ)技術(shù)，沒有網(wǎng)絡(luò)安全和OTA，就無法實(shí)現(xiàn)真正意義上的自動(dòng)駕駛。 這里主要關(guān)注我們講的汽車的網(wǎng)絡(luò)安全和OTA，所謂OTA（Over The Air）就是指遠(yuǎn)程刷新，有人也稱其為FOTA(Firmware/Flash Over The Air)。今天我四個(gè)方面來講，第一就是四化和軟件定義汽車，第二是汽車網(wǎng)絡(luò)安全設(shè)計(jì)，第三是整車OTA設(shè)計(jì)和挑戰(zhàn)，最后就是總結(jié)一下。

第一個(gè)題目市四化汽車和軟件定義汽車的發(fā)展。四化汽車核心是軟件，軟件定義了汽車。最早提出口號(hào)的是美國一家著名的汽車電子雜志：”Hanson Report”提出來的。現(xiàn)在很多汽車有大量的原代碼，一些豪華車和新能源車有200多萬行代碼，大型民航客機(jī)才10多萬行代碼，汽車的控制軟件遠(yuǎn)遠(yuǎn)多于飛機(jī)，甚至一些非常著名的互聯(lián)網(wǎng)網(wǎng)站。汽車的新軟件功能，人工智能的應(yīng)用，包括大數(shù)據(jù)和V2X的應(yīng)用，特別是汽車當(dāng)中的電氣化、智能化，軟件代碼大量增加，另外整車電子架構(gòu)有兩種不同的發(fā)展方向，分離式和集成式，從特斯拉引領(lǐng)了Integrated 電子架構(gòu)的發(fā)展，很多汽車現(xiàn)在有上百個(gè) ECU。大概十年前，我們把一家國際豪華品牌的汽車拆開以后，調(diào)研和對(duì)標(biāo)的時(shí)候就發(fā)現(xiàn)有200多個(gè)的ECU，每一個(gè)ECU就是一個(gè)電腦，另外整車通訊從CAN, CANFD, MOST, FlexRay到以太網(wǎng)等實(shí)施，這些都讓汽車軟件有大量的增加。

汽車軟件架構(gòu)的發(fā)展，最早只是一個(gè)軟件，一個(gè)操作系統(tǒng)，后來加了Bootloader，有了標(biāo)定，有了基礎(chǔ)軟件，有了中間層RTE，有了很多軟件模塊SWC，現(xiàn)在很多汽車電子的硬件控制器不是簡(jiǎn)單的ECU，有GPU、MPU有人稱為MCU等等，包括了多核的SOC，特別是現(xiàn)在講的智能網(wǎng)聯(lián)域控制器，自動(dòng)駕駛域控制器等這些都是多核SOC和多個(gè)操作系統(tǒng)控制器。

實(shí)際上我們軟件的發(fā)展，大家是朝著portable，reusable and scalable 的方向在發(fā)展，這個(gè)能減少研發(fā)周期,減少重新開發(fā)，減少成本和減少驗(yàn)證，實(shí)施和如何實(shí)施AUTOSAR也是一個(gè)巨大的挑戰(zhàn)。

網(wǎng)絡(luò)安全和功能安全的軟件影響，實(shí)際上是這些年對(duì)于汽車智能化、四化汽車的最大挑戰(zhàn)之一，大量的黑客事件也發(fā)生了，自動(dòng)駕駛和V2X未來智能網(wǎng)聯(lián)需要保護(hù)好黑客的攻擊，沒有網(wǎng)絡(luò)安全的自動(dòng)駕駛和智能網(wǎng)聯(lián)都呈現(xiàn)了巨大的風(fēng)險(xiǎn)。實(shí)際上，2015-2018年全世界大概有140多萬車由于網(wǎng)絡(luò)安全而召回。Richard Yen剛才也介紹了，我們現(xiàn)在汽車數(shù)據(jù)每年產(chǎn)生幾千億美元的價(jià)值，比如我們需要提高自動(dòng)駕駛?cè)斯ぶ悄芩惴ň鸵恢倍际且褦?shù)據(jù)上傳到云端進(jìn)行訓(xùn)練，也是產(chǎn)生的一種價(jià)值，這個(gè)上傳數(shù)據(jù)就需要做到避免黑客攻擊帶來的損害。

另外就是功能安全對(duì)軟件的認(rèn)證、研發(fā)和驗(yàn)證都是非常挑戰(zhàn)，特別是ASILC和ASIL D軟件模塊功能安全的驗(yàn)證。在我們汽車上人臉識(shí)別，智能支付，語音識(shí)別，包括自動(dòng)駕駛，在軟件大量應(yīng)用以后，既有功能安全的影響也帶來了汽車網(wǎng)絡(luò)安全的挑戰(zhàn)。汽車網(wǎng)絡(luò)安全設(shè)計(jì)和我們常用的民用網(wǎng)絡(luò)安全還是不太一樣，即使在汽車上黑客對(duì)于智能網(wǎng)聯(lián)系統(tǒng)和駕駛安全系統(tǒng)的攻擊帶來的后果也是不一樣，網(wǎng)聯(lián)系統(tǒng)的黑客攻擊帶來的是個(gè)人信息和支付信息等損失，但是駕駛系統(tǒng)的黑客攻擊造成的是駕駛安全的傷害。 我把我們現(xiàn)在汽車網(wǎng)絡(luò)安全設(shè)計(jì)行業(yè)界的一些進(jìn)展和一些設(shè)計(jì)方案和方法介紹一下。

汽車行業(yè)網(wǎng)絡(luò)安全現(xiàn)在沒有統(tǒng)一的國際標(biāo)準(zhǔn)，但是有些指導(dǎo)性文件和推薦標(biāo)準(zhǔn)，這其中有很多原因。實(shí)際上有很多國際組織，比較知名的就是SAE，美國汽車協(xié)會(huì)NTSHA，還有日本的JANSPAR也就是日本的AutoSAR組織，還有SAC等一些新的組織都在發(fā)布和公布了一些自己的文件和標(biāo)準(zhǔn)，包括一些汽車保險(xiǎn)公司，特別是在歐洲、北歐的汽車保險(xiǎn)公司有特殊的要求， 而且很多公司的自己的標(biāo)準(zhǔn)不向外公開，因?yàn)閾?dān)心公布自己的設(shè)計(jì)標(biāo)準(zhǔn)讓黑客容易攻擊。有幾個(gè)汽車網(wǎng)絡(luò)安全文件有比較著名和實(shí)際參考的，像J3061，然后就是ISO21434，還有就是SAE3101等，中國有關(guān)部門也在積極制定和完善汽車的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和指導(dǎo)意見。

汽車網(wǎng)絡(luò)安全設(shè)計(jì)成什么樣是一個(gè)需要主機(jī)廠結(jié)合本身能力和產(chǎn)品等決定的事情，行業(yè)的Auto-ISAC現(xiàn)在正在做汽車網(wǎng)絡(luò)安全方面best practice這個(gè)工作。在設(shè)計(jì)應(yīng)用和量產(chǎn)車型上，一些國際主機(jī)廠應(yīng)用了軟件（AutoSAR Crypto Stack）和硬件HSM組合的方案，就是不僅帶了一個(gè)硬件的保護(hù)還有軟件的通訊保護(hù)，另外一些國際主機(jī)廠，規(guī)劃了通過OTA來解決一些未來難以預(yù)測(cè)的黑客攻擊等問題。 在汽車行業(yè)，大家對(duì)于網(wǎng)絡(luò)安全設(shè)計(jì)的共識(shí)就是多層保護(hù)，黑客攻破一層還有其他層保護(hù)，比如三層保護(hù)設(shè)計(jì)。但是現(xiàn)在實(shí)際中國內(nèi)的自主品牌主機(jī)廠大家可能做一層也可能做兩層，比如說從云端到車聯(lián)網(wǎng)端的PKI認(rèn)證和加密傳輸，然而在最里面這一層很少有自動(dòng)品牌主機(jī)廠實(shí)施，也就是說ECU之間的CAN/CANFD通訊認(rèn)證，包括單純基于軟件上做CANFD通訊認(rèn)證的設(shè)計(jì)，或者軟硬件結(jié)合的通訊認(rèn)證。這兒有一個(gè)實(shí)例，這是很多主機(jī)廠都采用的實(shí)例電子架構(gòu)：基于中央網(wǎng)關(guān)的電子架構(gòu)網(wǎng)絡(luò)安全設(shè)計(jì)，共計(jì)三層防護(hù)：第一層從云端到車的TBOX，這里包括云端本身的安全，通過PKI的設(shè)備雙向認(rèn)證，加密的數(shù)據(jù)傳輸，設(shè)備有唯一性，即使黑客把硬件更換了也馬上能夠防護(hù)，傳輸?shù)臄?shù)據(jù)也是有加密的。第二層就是從TBOX或者VBOX到中央網(wǎng)關(guān)之間可以認(rèn)證，也可以通過中央網(wǎng)關(guān)加上防火墻，在這一層上很多人用了簡(jiǎn)化版的網(wǎng)絡(luò)安全，比如只有簡(jiǎn)單版本的防火墻。第三層在每一個(gè)控制器可以進(jìn)行通訊認(rèn)證或者部分重要的CAN報(bào)文認(rèn)證或者加密，硬件可以選擇帶HSM/SHE的硬件，通過硬件的認(rèn)證來保證安全刷新或者是通信的認(rèn)證，這個(gè)層面，車內(nèi)可能相互之間只有幾十個(gè)，上百個(gè)控制器之間相互認(rèn)證，這是做很挑戰(zhàn)，無論從設(shè)計(jì)和驗(yàn)證的都對(duì)主機(jī)廠和供應(yīng)商有很大的挑戰(zhàn)。

汽車的網(wǎng)絡(luò)安全實(shí)際上是一個(gè)大家這些年都在討論的問題。其中第一個(gè)就是成本，就是它的威脅。 汽車網(wǎng)絡(luò)安全和黑客攻擊也是一個(gè)平衡，就像一桿秤，一頭是網(wǎng)絡(luò)安全，另一頭是黑客攻擊，能夠做到的平衡兩者設(shè)計(jì)是最好的設(shè)計(jì)。我們實(shí)際中有些汽車公司在公司網(wǎng)站上懸賞他人攻擊其汽車，然后把黑客的算法或者其他攻擊手段買過來，融入汽車設(shè)計(jì)中保護(hù)好自己公司的設(shè)計(jì)和汽車網(wǎng)絡(luò)安全，有些成功攻擊了公司汽車的人后來成了這家汽車公司的工程師。 總之汽車的網(wǎng)絡(luò)安全設(shè)計(jì)需要把握保護(hù)和攻擊之間的平衡。第二，是要適應(yīng)自己公司，每個(gè)主機(jī)廠可能有不同的整車電子架構(gòu)，通信和保護(hù)的措施肯定不一樣，你的網(wǎng)絡(luò)安全技術(shù)無法像其他的一樣，自主品牌和國際主機(jī)廠的研發(fā)能力和驗(yàn)證能力不一樣。再就是區(qū)分個(gè)人隱私和駕駛安全的網(wǎng)絡(luò)保護(hù)，被攻擊以后帶來的是個(gè)人隱私或者支付帶來的損失。在J3061當(dāng)中做了非常詳細(xì)的描述，什么時(shí)候做個(gè)人隱私的保護(hù)，怎么做駕駛安全的保護(hù)。

很多公司也采用了PKI的認(rèn)證技術(shù)，實(shí)際上汽車網(wǎng)絡(luò)安全如果采用PKI這種方式，對(duì)于你的生產(chǎn)，售后服務(wù)，OTA等都有巨大影響，比如備件的準(zhǔn)備，供應(yīng)商的生產(chǎn)和主機(jī)廠生產(chǎn)。比如密鑰注入，在哪里注入？主機(jī)廠和供應(yīng)商的生產(chǎn)線如何支持？ 研發(fā)如何應(yīng)對(duì)？。售后的零部件需要保證網(wǎng)絡(luò)安全和汽車上零部件的唯一性，而且有時(shí)間限制，你的零部件備件不能那么長時(shí)間，很多汽車電子元器件有規(guī)定的存儲(chǔ)時(shí)間要求，網(wǎng)絡(luò)安全的設(shè)計(jì)可能影響了你研發(fā)，生產(chǎn)和售后，如何應(yīng)對(duì)這些挑戰(zhàn)也是行業(yè)需要解決的問題。

下一個(gè)話題是整車OTA， 整車的OTA設(shè)計(jì)和挑戰(zhàn)，汽車整個(gè)控制器有一兩百個(gè)，都像手機(jī)一樣，能夠不斷的實(shí)時(shí)遠(yuǎn)程更新軟件，這也稱為OTA?？蛻粢呀?jīng)賣了好幾年了，你怎么讓他們更新，造車新勢(shì)力沒有4S店或者很少，客戶很難去實(shí)體店更新軟件，這個(gè)時(shí)候說可以通過OTA來更新。另外OTA也可以開始賣車的時(shí)候沒有很多功能或者功能沒有開發(fā)完成，汽車需要趕市場(chǎng)，盡快SOP。 這樣客戶要買車的話，軟件可以賣錢增加收入，也就是特斯拉的方式，很多功能沒有開放，通過OTA把功能開發(fā)給客戶同時(shí)功能賣給客戶。

OTA是四化汽車的必備技術(shù)，4化汽車特別是智能化汽車離不開OTA， 比如自動(dòng)駕駛離不開OTA。像自動(dòng)駕駛和智能網(wǎng)聯(lián)，自動(dòng)駕駛AI的應(yīng)用需要不斷地學(xué)習(xí)，數(shù)據(jù)需要上傳來訓(xùn)練深度學(xué)習(xí)模型，不斷提高自動(dòng)駕駛水平和功能，提高后的功能只能通過OTA刷新整車控制器，傳統(tǒng)的實(shí)體4S店無法滿足這么多周期性的更新，無法要求客戶經(jīng)常性地訪問4S店。第二就是高精地圖也要更新的，自動(dòng)駕駛需要HD地圖，地圖的更新也是經(jīng)常性的，客戶已經(jīng)買了車幾年了，必須要通過遠(yuǎn)程刷新更新地圖，提高你的駕駛和安全性。由于軟件的極其復(fù)雜性和關(guān)聯(lián)性， 沒有任何一家生產(chǎn)現(xiàn)代汽車的公司能夠保證SOP后沒有軟件問題， 既然客戶買到的車肯定有軟件問題，車賣出去不成熟，如何幫助大面積的解決客戶手中車的軟件問題？行業(yè)都把OTA當(dāng)做解決的最佳方案和方向。 幾乎所有中國造車新勢(shì)力都在朝著這個(gè)方向做，最早的還是特斯拉給大家樹立了好的榜樣，軟件太復(fù)雜必須要OTA， 車賣給客戶時(shí)AutoPilot 沒有完成研發(fā)，后面Auotpilot 功能需要提高或者增加功能。另外軟件有問題，需要RECALL，但是很多客戶特別是美國調(diào)查，至少有30%以上的客戶不去4S店，很多RECALL問題沒有解決，客戶的車可能有重大駕駛安全問題。這個(gè)時(shí)候OTA的作用就呈現(xiàn)出來了， 我通過遠(yuǎn)程刷新，避免了客戶不去4S店的問題，客戶不去4S，如果汽車最后出了安全駕駛問題他們還是會(huì)認(rèn)為是主機(jī)廠的責(zé)任，可能有法律訴訟等，我們遠(yuǎn)程刷新OTA可以比較有效的解決這個(gè)問題。

從大的方面來講，有兩種不同的OTA，一種就是駕駛的安全性沒有關(guān)系的系統(tǒng)，就像我們講的智能網(wǎng)聯(lián)系統(tǒng)OTA，這個(gè)部分控制器主要是汽車的顯示和報(bào)警，提示等包括IVI,TBOX和儀表等，OTA可以提高客戶體驗(yàn)，改正部分軟件BUG和增加功能等。 還有一種OTA就是和整車控制有關(guān)系，剎車、轉(zhuǎn)向，速度控制，這部分OTA與客戶的汽車安全駕駛關(guān)聯(lián)，對(duì)于OTA的實(shí)施要求嚴(yán)，驗(yàn)證和技術(shù)等和第一種OTA不太一樣。 也就是說有兩個(gè)域的OTA， 一個(gè)是智能網(wǎng)絡(luò)部分包括TBOX,IVI和儀表，HUD等， 另一個(gè)域是控制電子域，比如網(wǎng)關(guān)，底盤，三電控制等等。現(xiàn)在大多數(shù)企業(yè)在量產(chǎn)車上只能做和駕駛安全無關(guān)的，也就是第一種OTA：智能網(wǎng)絡(luò)OTA， 比如說給客戶進(jìn)行OTA之后，可以有不同的體驗(yàn)和APP等。 既然是兩個(gè)域的OTA，也就可能有不同的技術(shù)方案和實(shí)現(xiàn)方式。第一種就是右上角的這種智能網(wǎng)聯(lián)OTA，可以采用以太網(wǎng)技術(shù)完成，如果沒有以太網(wǎng)技術(shù)（像今天很多車廠）前，就用USB的方式來做OTA，采用USB技術(shù)把智能網(wǎng)聯(lián)控制器連接在一起，OTA的軟件通過USB傳輸?shù)剿⑿?。第二部分就是和駕駛安全有關(guān)，做起來不像手機(jī)一樣，不能死機(jī)，不能卡頓，另外這些ECU之間可能有關(guān)聯(lián)性，單獨(dú)遠(yuǎn)程OTA更新某個(gè)ECU，其他關(guān)聯(lián)ECU也需要OTA更新，再就是OTA之后不能出現(xiàn)駕駛安全問題，不能出現(xiàn)ECU之間沖突和不匹配或者軟件版本不一致等問題。

從整車上來講，也有兩種不同的技術(shù)路線來實(shí)現(xiàn)OTA，這兩種方案的最大區(qū)別就是哪個(gè)控制器來管理整車OTA，哪個(gè)ECU擔(dān)當(dāng)OTA Manager，包括下載，傳輸，分包，校驗(yàn)等工作?  這又和本身主機(jī)廠的電子架構(gòu)，研發(fā)能力，網(wǎng)絡(luò)安全規(guī)劃等都有關(guān)聯(lián)。 受時(shí)間限制，這個(gè)話題沒法展開討論了。

第一網(wǎng)絡(luò)安全是OTA的前提，沒有網(wǎng)絡(luò)安全，黑客侵入也會(huì)刷新軟件，這個(gè)帶來的后果和影響是不可接受的，沒有網(wǎng)絡(luò)安全不能做OTA。第二如果做刷新的時(shí)候，客戶是不是必須把車停下來，或者開車也能做，這也是需要解決的問題，實(shí)際上有很多種做法。如果OTA失敗了，不像手機(jī)可以重新來一遍，系統(tǒng)和軟件能否恢復(fù)原來的狀態(tài)Roll back? 如果開始軟件架構(gòu)沒有設(shè)計(jì)考慮，因?yàn)闆]有機(jī)制來保證就無法實(shí)現(xiàn)這個(gè)功能，有人采用ECU軟件內(nèi)存AB區(qū)方案，但是成本增加可能比較大，整車成本如何解決？第三個(gè)問題：每次OTA更新是否需要客戶同意？我們手機(jī)是這么做的，更新客戶需同意，但是是否有些汽車的軟件更新在客戶不知情的情況下做？還有一個(gè)問題，如果客戶一直推遲更新怎么辦？汽車OTA應(yīng)該如何進(jìn)行，這些都是問題，在這個(gè)方面特斯拉做的比較好，基本上解決了這些問題和矛盾。還有如果客戶拒絕某些更新，你怎么辦？這實(shí)際上這些都是在做遠(yuǎn)程刷新當(dāng)中需要回答的問題，我們做量產(chǎn)車不是demo，需要所有的問題都要有明確的答復(fù)和方案。

總結(jié)一下，還是剛才說的，網(wǎng)絡(luò)安全和OTA是相輔相成。沒有網(wǎng)絡(luò)安全沒有OTA，反過來OTA促進(jìn)網(wǎng)絡(luò)安全，假設(shè)你出現(xiàn)了新的病毒和新的攻擊方法，汽車也可以效仿電腦的window操作系統(tǒng)的更新方式，，新的病毒發(fā)現(xiàn)了，我們可以通過OTA讓新的軟件解決新的病毒或者黑客的新攻擊，一些公司也在設(shè)計(jì)中融入了這個(gè)理念，對(duì)汽車行業(yè)也是一種解決方法，當(dāng)然真正實(shí)施起來也不容易。我們講四化汽車，特別是智能車，OTA是必須的，主要是來自高清地圖需要更新，人工智能駕駛需要訓(xùn)練和更新。無論車是賣出去多少年，都要能夠繼續(xù)更新。整車OTA實(shí)際上就是關(guān)乎安全的問題，特別是控制電子軟件的OTA的問題，關(guān)乎了駕駛安全和駕駛員的生命安全。沒有整車OTA就無法徹底進(jìn)行控制電子OTA，怎么解釋呢？因?yàn)槲覀冋嚳刂剖窍嗷リP(guān)聯(lián)的，你更新一個(gè)，其他的不更新不行，極端的情況：，某個(gè)ECU：比如ECU1的有些軟件的bug也可能無法OTA解決，因?yàn)檫@個(gè)ECU1關(guān)聯(lián)了其他整車中的ECU: ECU2 和ECU3，但是設(shè)計(jì)中ECU2和ECU3沒有OTA功能，這就限制了ECU1的OTA， OTA動(dòng)一個(gè)軟件可能影響很大ECU就把整個(gè)都動(dòng)了。控制電子域的OTA研發(fā)是比較挑戰(zhàn)的，這也是行業(yè)大家面臨的共同挑戰(zhàn)，目前只有極個(gè)別企業(yè)能做，最后一個(gè)就是在行業(yè)當(dāng)中特別是我們的新造車勢(shì)力都在實(shí)現(xiàn)整車所有ECU的OTA，不止是某一個(gè)域比如音響域或者動(dòng)力域。

受時(shí)間限制，我今天就講這些，謝謝大家！

歡迎關(guān)注“2019第（七）屆汽車與環(huán)境創(chuàng)新論壇”直播專題：

PC端鏈接：http://auto.gasgoo.com/NewsTopic/206.html

移動(dòng)端鏈接：https://m.gasgoo.com/news/topic/206