自动驾驶汽车需要什么样的OTA架构？

2018年7月27-28日，由车云、中机国际联合举办的2018第二届中国汽车智能座舱论坛在广州保利世贸博览馆召开。HERE Technologies OTA 亚太区业务发展高级经理廖志贤发布了名为《OTA -自动驾驶时代最安全的在线更新架构》的演讲。

HERE Technologies OTA 亚太区业务发展高级经理 廖志贤

以下为演讲实录，车云菌做了不改变原意的删减：

大家下午好！很高兴受到车云的邀请跟大家分享一下OTA的内容。

我们前身是ATS (Advanced Telematic Systems GmbH)，做OTA有五年的历史。公司成立于2013年，今年1月被HERE Technologies并购。我会花3分钟时间介绍HERE的公司架构，其他大部分时间会用来介绍五年来跟欧洲汽车厂、日本汽车厂合作时对OTA架构的思考，针对三件事情跟大家做一些分享，第一是开源式的架构，第二是模组化跟标淮化，第三是大家关心的安全问题。

HERE是一个图资公司，我们在全球200个国家都有地图，在欧洲跟北美地区，用地图的车里，每5台就有4台用了HERE的地图，我们在全球56个国家共有8000名员工，全球有400台HERE的车采集地图，每天采集将近28TB的地图数据，目前我们的HD Live 地图覆盖了60万公里。

2015年诺基亚把地图卖给了世界前三大汽车厂，奔驰、宝马、奥迪，我们很庆幸地图可以留在汽车产业。2017年Intel入股HERE，我们在大陆地区跟四维、腾讯有很好的合作关系，Pioneer 在2017年成为我们在日本的合作伙伴，2018年博世跟Continental各自入股了我们公司。

大家都知道，以后汽车未来是资讯、智能、服务、人性化，很多嘉宾讲了很多这些东西，这些东西最主要实现的是软件。以前的车子软件大概只占10%，未来的汽车在软件方面会有40%，20%会有很多新的服务跟新的商业模式。

OTA是一个最基本的架构，未来如果汽车厂没有OTA的解决方案，三年内就很容易就被边缘化，因为他没有办法持续更新软件、没有办法做双向的沟通跟交流，没有办法组成有用的服务跟应用供车主使用。

Here除了图资以外还有很多IVI, CVS以及HAD的不同产品,架构在一个开放式的地图图资上，搭建了开放定位平台（Open Location Platform），有很多的地图数据和大数据在上面，可以提供给第三方服务整合公司. OTA不但可以支持这些不同的产品即时更新,也可以成为一个独立的产品来服务车厂。

在众多OTA公司中，我们是一家开源式架构的OTA解决方案平台，等下大家听过之后会知道开源性架构的重要性在哪里。

下图是全球汽车产业软件开源性架构协会，其中AGL以及GENIVI组织下有很多汽车厂的相关会员，我们公司经常性会参加他们的讨论会。并有许多软件技术发表。

下图是一个OTA的基本概念。以前车辆需要更新，车需要回到4S店，由服务人员通过OBD接口刷写资料，同时抓取一些车辆资料。有了OTA解决方案之后，汽车厂可以借助网络做一些远程更新和管理，这其实是一个双向的沟通，我们可以把资料从伺服器端放到车端，相对的，也可以把车端的一些资料抓回存储在云端，做一些再利用。

说到OTA，我们得提到特斯拉。特斯拉是汽车行业OTA的里程碑，是我们的目标。特斯拉从2012年就开始做OTA解决方案，通过SOTA跟FOTA大约进行了26次软件更新。特斯拉不是一个传统的汽车厂商，现在的传统汽车产业在电动车方面没办法跟特斯拉相比，OTA架构对特斯拉来说非常重要，三年内他们通过OTA解决了大大小小的问题。

2015年发生了另一个里程碑事件，2015-2017年特斯拉做了4次更新是要收费的，借由这4次更新，特斯拉获得的收入为一台车价的28%，这些新收入跟全新的商业模式，受到了很多汽车厂的关注。

除了更新之外，2014-2017年由于软件的问题，各大汽车厂都发生了召回事件，通用召回了430万辆车，玛莎拉蒂召回了3300辆车等等。如果有了OTA解决方案，我们不用再因为软件问题召回，可以在召回层面省下很多成本。

我相信现在没有一个车厂不把OTA当做一个基本解决方案，全世界每个地方，每个主要的国际性的联盟，都在尝试着制定OTA标淮。UN Task Force Cyber Security and OTA 预计在2019年会有自己的OTA的标淮出来，ISO/SAE计划在2020年做一些OTA的标淮，美国、英国跟德国有计划去做一些OTA的标淮。

特别注意的是，上图右下角有一个OTA security framework Uptane在一个专门为汽车多ECU、多电子控制元件载体上，做的OTA  Update的架构，这个架构是目前被国际广泛研究和讨论的汽车安全等级OTA安全架构。

OTA在不同的阶段有不同的时代使命。大家可以看到2015-2016年间，OTA只是用来帮助公司维持品牌信赖度，你不用常常召回，减少召回对品牌的影响。2016年开始，大家可以看到一些新的商业模式衍生出来，而且这些新的商业模式会帮助整车厂获得一些新收入。在2022年这个阶段，会有很多的应用和功能出现在车上，整车厂、汽车厂考虑的是怎么把有价值的服务跟应用利用OTA技术传到车上，让使用者就算买了三年、五年的车之后，还是可以获得最新的服务。我相信这是目前汽车行业还做不到的。

到2025年之后，汽车就会有移动性的远程信息交换和自动驾驶功能，那时候就不只是为了省钱、赚钱，那时候车上有很多传感器，不管是做自动驾驶，还是做其他服务，可能你要通过OTA存取一些ECU的资料，经过大数据分析和定位分析之后，创造一些更好的服务给车主，而且这些服务可能会包含收费机制。

到那时，自动驾驶不光是车上的车联网系统做串联，还有很多机会是汽车跟汽车做沟通，使用高精度地图之后，每台车经由车上的传感器，可以知道周围的车跟自车的具体距离，从而避免意外的碰撞或者意外的发生。

再更大一块是V2X，自动驾驶L4会需要一些信息，比如前面200米的红绿灯已经变为黄灯了，这个时候系统就不会加速，你就不会浪费你的电，这是很节能的一部分。HERE还有很多垂直性的功能，比如一般的天气预报只是预报，可是在HERE的服务里面，我们有能力告诉你，上海淮海路上行驶的车在启动雨刮，代表此时此地正在下雨，我们可以把这些与位置有关的资讯传到云端后，和云端资料整合成有用的价值，再传给汽车使用者。这是2025年OTA使用的一个概况跟模式，每个时期都有每个时期该做的历史任务。

我要讲的第二个重点是模组化跟标淮化。今天我们提供OTA的解决方案，你跟我合作，这并不代表你以前有的车辆管理系统，你以前的PKI系统等等要全部要换掉。我们有我们的核心部分，比如下图绿色的部分，汽车厂有很多东西是它沿用很久、很重要的资料，比如黑色的部分，我们已经把OTA做成一个模块化、标淮化的产品，合作伙伴只要跟我们说这个架构我只需要绿色部分加上白色的部分，我就可以组成适合你的OTA解决方案。

OTA三个字很简单，我们公司需要有人去了解四五十个不同的解决方案跟软件架构，有基础设施、有云端的、有管理的、有软件研发等等，这些是我们需要了解的软件跟技术，来完成我们的OTA解决方案。

第三块是安全，安全是很重要的一部分，美国国土安全局委托密歇根大学、纽约大学跟西南实验室专门为汽车这种多电子控制元件设计了一个OTA的安全架构。

我们常常去拜访整车厂，常常问的一个问题是你觉得你的系统安全吗？大家都说我的系统安全，因为我有密钥。密钥有两种，Online Keys和Offline Keys，Online Keys很方便，富有弹性，可是它比较不安全，Offline Keys比较安全。很多IT人觉得我已经有Offline Keys了，我的系统是安全的。

可是，世界上没有一个系统是安全的，你只要有节点，黑客就会从这个节点进来。我们也不觉得Offline Keys是安全的，因为每一次OTA的流程，你的Offline Keys就要拿出来使用一次。有些人说对呀，但是我使用过之后，就会把资料抹掉。可是我们的工程师常常会问一个问题，就是你确定你的资料已经抹掉了吗？你的资料可能在转到每个不同的伺服器时，留在某个伺服器端，但是你碰不到，所以即便是Offline Keys，当你使用一次OTA，它就拿出来一次，它就暴露在风险中一次，黑客有机会从你三年前的更新、从某个节点或者从某个伺服器知道你的Offline Keys。

在Offline Keys架构上，我们去假设每个节点都是不一样的，每个节点黑客都会进来。在这个观点跟理念之下，我们同时使用Offline Keys跟Online Keys，Uptane的 TUF解决方案也可以帮我们向上管理Tier1跟Tier 2。因为更新包不是汽车厂或者Tier 1自己去生成，一定是某个ECU配合厂商生成更新包，所以Tier 2在生成更新包的时候，其实它就是被保障的，它不只是被Offline Keys跟Online Keys保障，它还会用你场内Metadata、时间戳、Snapshot的大小，还有就是你Tier1的主管跟他的QA，跟你自己车厂的OTA主管跟QA，来做一些安全的认证，就算有人进来了你的系统里面，他丢了一个不好的更新包到你的伺服器里面，你的伺服器不会理它，它不会把这个更新包丢到车端。就算这个骇客把他做的更新包直接丢车端，车在认证到这些Metadate时会有安全秘钥，认证不到Tier 1、Tier 2的Offline Keys、Online Keys，更新包在车端就不会被执行的，所以我们使用的“不同节点都可能被入侵”的观念跟角度来设计OTA的安全架构。

我们会保障不管车里或者车外，伺服器跟车子里面的安全，我们用两种不同Offline跟Online的解决方案，我们更新软件的储存槽分成两个来保证它的安全，我们还可以帮车厂管理到你的Tier 1、Tier 2的安全机制。

刚才提到开放性的架构，这是ATS从2015-2018年做的事情，2015年我们把OTA的开源架构放在GENIVI协会让GENIVI的会员使用，2016年AGL也要求我们把OTA开源架构放在他们那里，给他们的会员使用，2017年我们整合了Uptane，目前我们是唯一在云平台上整合Uptane这个安全的机制可以来服务我们的汽车产业链，2018年我们被并购了，成为HERE的一员。

这是HERE跟欧洲车厂合作的案子，我相信明年年底大家就可以看到这个车子在市面上跑，我们用一些地理信息的概念，整合一些很好的服务，再给使用者使用。同时，我们跟戴姆勒也有一些合作，戴姆勒正在使用高精地图在开发未来的自动驾驶车。

我今天的分享就到这里，谢谢大家！