整车OTA被“双规”

汽车的智能化技术革新，为整个汽车产业带来了新的生机。但同时，部分车企对于技术的“滥用”，也给整个产业带来了“劣币驱逐良币”的恶性影响。

这其中，OTA技术应用乱象尤为突出。

1.0阶段的OTA，更多是SOTA，主要涉及地图等信息娱乐系统应用软件的版本更新，这个阶段改变了过去车主需要开车到4S店进行线下升级的繁琐体验。

到了2.0阶段的OTA，以特斯拉为代表，拉开FOTA在汽车行业应用的序幕，这个阶段不再仅仅是应用软件的版本更新，而是涉及到多个系统的固件更新，更多侧重功能软件的Bug修复、功能释放和性能提升。

与此同时，FOTA也推动整个汽车行业进入了一个功能交付的“期货”时代，也就是所谓的硬件预埋，软件再逐步迭代更新。比如，特斯拉的FSD，很多用户在预付费几年后，仍没有获得完整的功能交付。

与此同时，OTA频率、功能迭代速度，成为汽车制造商比拼技术能力、品牌差异化的关键手段。但也由此带来部分车企对OTA技术的“滥用”。

高工智能汽车研究院监测数据显示，今年1-6月，国内新车（合资+自主品牌）搭载OTA功能上险量为316.78万辆，同比上年同期增长123.04%；前装搭载率为31.5%，同比上年同期增加近13个百分点。

按照高工智能汽车研究院预计，到明年底，国内新车（合资+自主品牌）OTA功能前装搭载率有望突破50%大关，同时部分新上市车型将逐步实现OTA全系标配。

这意味着，行业监管成为“刚需”。

一、

特斯拉多年来一直在为其汽车提供OTA升级服务，从Autopilot驾驶员辅助系统、动力系统到信息娱乐系统，一切都可以发生变化（换个角度来说，车企随时可以补救）。

更为经典的案例则是几年前当美国《消费者报告》测试披露特斯拉Model 3(图片|配置|询价)的刹车距离比福特F-150还差时，几天后，特斯拉发布了软件更新，将刹车距离缩短了19英尺。

高频率的OTA，除了那些特斯拉官方披露的“改进”之外，这一事实的背后也表明，这些车可能存在根本性的缺陷。比如，上述刹车距离的改进，还是被第三方机构“点名”后才匆匆做的变更。

两年前，一名特斯拉车主声称，特斯拉公司“故意”降低旧车的行驶里程，以避免修复可能存在缺陷的电池。随后，该车主向法院提起的诉讼称，由于软件升级，全球“数千辆”特斯拉汽车的行驶里程可能会减少至多40英里。

一款Model S(图片|配置|询价)在香港起火后，问题的恶劣影响首次浮出水面。当时，特斯拉公司表示，出于谨慎的考虑，正在通过无线软件更新修改Model S和Model X(图片|配置|询价)的充电和热管理设置。

以2015年大众汽车排放丑闻为例，在这起案件中，大众公司“暗中”使用软件来掩盖其部分汽车的排放不达标问题，在软件上“做手脚”并非个案。而OTA技术的滥用，让类似的问题更加突出。

类似的问题，并非只发生在汽车行业。

多年来，iPhone用户一直担心，在苹果发布新版本的同时，他们的手机速度明显放缓。后来有消息称，苹果正在为iphone编写程序，以便在一段时间后放慢速度，不过该公司辩称，这是为了延长手机的电池寿命。

OTA原本是为了在车辆出现软件Bug或功能升级时，为消费者提供更为便捷、快速的漏洞补丁及性能改善的工具，但也正因为如此，这种方式让汽车制造商可以有更多的“暗箱操作”。

几天前，中国网汽车质量投诉平台收到多位广汽埃安车主投诉，在未告知客户并经客户允许的情况下，广汽通过后台OTA升级电池管理系统，降低车辆动力电池充电功率和可用容量，同时限制汽车输出功率……导致出现充电慢、续航缩水、锁电等一系列问题。

“上周五，店里给我打电话，说是我的车FPC出现问题，需要更换电池，但我已经不相信他们了！不打算去！”对于广汽埃安品牌的失望之情，投诉车主表示，“毫无信任可谈……”

最令车主们气愤的是，广汽埃安是在没有任何通知及公告，甚至没有得到车主允许的情况下，私自通过后台OTA升级电池管理系统。

这需要监管机构尽快出台汽车行业OTA的管理规范，并加大企业违规操作的惩罚力度来保证“技术不作恶”。类似的法律诉讼案例已经出现。

2021年5月25日，挪威一家法院裁定，特斯拉通过软件更新，远程限制了车辆充电速度和电池可用容量，违反该国法律，需要向车主赔偿每人13.6万克朗（约合10.4万人民币）。

以欧盟为例，根据现行法律，一辆新车在上路之前应该经过相关机构的严格测试。一旦新车审批发出后，交付后的新车将不能再更改任何功能。对于上市新车的任何改动，都必须重新申请新车核准。

此外，从今年1月1日起，对于OTA更新，欧盟也出台了更为严格的要求：包括评估软件更新是否影响新车审批时定义的参数（包括添加或删除功能）；评估更新是否会影响车辆安全或安全驾驶；严格记录与车辆有关的硬件和软件版本等等要求。

科络达首席执行官吴柏仪表示：随着智能网联汽车的普及，对智能汽车的安全性和稳定性提出了史无前例的高要求。

比如，自动驾驶是否会收到黑客的攻击，智能座舱环境车主的隐私问题，智能汽车OTA升级的安全和稳定，等等问题，都将考验OTA供应商的综合能力。

二、

过去数年时间，大部分传统汽车制造商可以很轻松的实现车内远程信息处理单元发送软件更新，以更新车载信息娱乐系统中的地图、应用程序和其他软件。

但，整车OTA则可以直接将软件补丁发送到更多单独的ECU，用于关键安全功能升级。特斯拉是第一个尝鲜者，但也埋下了巨大的安全风险。而以往像宝马、奔驰等汽车制造商只有在获得批准后才会对软件进行修改。

事实上，整车OTA在行业法规、标准以及市场监管上一直处于灰色地带。

去年，丰田旗下的雷克萨斯宣布将发布搭载高速公路自动驾驶功能的新车，而且将可以通过后续OTA升级。但，该公司负责人明确表示，目前推出的OTA功能只是就绪状态，今年内不会正式启用。

原因是，雷克萨斯希望OTA正式交付使用时，技术是处于完美的水平，同时该公司还在寻找新的解决方案。显然，OTA作为一种汽车软件升级维护的方式，仍需要非常复杂、细致的体系化工作来配合，尤其是涉及到关键安全功能。

但监管机构从来不会袖手旁观，尤其是涉及到整车质量、人身安全的重要技术应用。

去年3月，工信部发布的《智能汽车创新发展战略》中，就明确增加了完善智能汽车召回的管理规定，以及智能汽车进出口的监管，信息安全防控体系。

其中，针对智能汽车升级更新，增加了软硬件升级的更加明确的定义，这对于后续整车OTA功能渗透率快速提升的背景下，相关法规制度更加明确范围。同时，也增加了质量担保的管理规定。

同时，对于远程软件更新，从此前的完善管理修正为强化管理，并且强调提升应急处置能力。上述监管体系的细节调整，意味着了智能汽车的OTA应用将有更加细致、明确的监管。

而针对不断增加的通过OTA进行“隐性”召回的案例，去年，国家市场监管总局发布《关于进一步加强汽车远程升级（OTA）技术召回监管的通知》，对所有车企的软件OTA提出了更高的管理要求。

比如，采用OTA方式对已售车辆开展技术服务活动的，应向市场监管总局质量发展局备案。同时，生产者采用OTA方式消除汽车产品缺陷、实施召回的，应按照《条例》及《实施办法》要求，制定召回计划，向市场监管总局质量发展局备案。

此外，消费者、零部件生产者、软件与系统或数据服务商等获知生产者采用OTA方式隐瞒车辆缺陷、规避召回责任的，可以直接向市场监管总局质量发展局报告。

来自中国市场监管总局的数据显示，2020年国内共实施汽车召回199次，涉及车辆678.2万辆，其中，由软件故障引发的召回数量在近几年呈现明显增长的趋势。

紧接着，8月12日，工信部正式发布《关于加强智能网联汽车生产企业及产品准入管理的意见》，明确压实企业主体责任，加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，保证产品质量和生产一致性。

其中，在去年OTA事后（新车上市、功能可释放后）监管基础上，《意见》更进一步，明确企业实施在线升级活动前，应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案。

其中，涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报，保证汽车产品生产一致性。未经审批，不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。

同时，《意见》要求进一步完善智能网联汽车标准体系建设，加快推动汽车数据安全、网络安全、在线升级、驾驶辅助、自动驾驶等标准规范制修订。

此外，《意见》要求企业应当加强自查，发现生产、销售的汽车产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的，应当依法依规立即停止相关产品的生产、销售，采取措施进行整改。

可见，整车OTA的前提是保证最基本的安全性、稳定性、可靠性。而随着相应监管规范的出台，这个细分市场也将迎来新一轮的洗牌。同时，OTA行业的技术和市场准入门槛也将同步提升。

三、

和OTA相关的安全漏洞及风险，不仅来自汽车制造商，还有外部的其他风险。

去年，一家名为Ingenext的公司就向特斯拉车主提供了一种价格低廉的解决方案，车主只需在汽车的MCU上插上一个连接器，就可以得到软件更新，费用只需特斯拉官方价格的一半。

随后，特斯拉宣布采取行动对付这次所谓的“黑客”攻击。一些购买了Ingenext设备的特斯拉车主已经开始收到车内通知，警告他们已经检测到“不兼容的车辆改装”，这可能会导致“潜在的安全风险”。

“无论是V2X新四跨、近期国家出台的OTA相关监管政策，还是从我们目前跟踪的几个智能网联技术点，都可以看到，国家相关部门都在帮我们摆正位置。”艾拉比副总裁贺思聪强调，大家不要光想创新，最终还是要让OTA回到可监可管范畴内。

同时，OTA技术必须更为严格地遵循整个汽车信息安全的布置。

此次，《意见》也明确提出，第三方服务机构和企业要加强相关测试验证和检验检测能力建设，不断提升智能网联汽车相关技术和网络安全、数据安全水平。

“目前来看，整个OTA的功能需要贯穿到生产制造体系中，这就要求整体的OTA功能要全部进行仿真、测试和应用。”贺思聪表示。比如，OTA系统的验收性测试、新车型OTA验证测试、OTA运营活动的测试、OTA中国市场符合性测试、OTA自动化测试工具。

一些行业人士表示，有不少车企忽视产品安全管理规范，通过简单搭一个FTP服务器便开始做OTA，为用户带来了巨大安全隐患。而一家负责任的企业，要将安全性作为最重要的指标。

曾经承包2019年“笑点”的长安街某车趴窝事件就源于FOTA升级的失败，其根本原因是对车辆环境判断失误，同时在交互设计上出现了漏洞。

这意味着，OTA系统的设计中，也要充分考虑升级失败的预防举措。一般而言，预防举措包括断点续传、断电保护、重试和回滚。另外，相应的防护举措应该在什么场景下实施，实施的方式是什么，都是值得关注的点。

相较于传统汽车研发时代，未来汽车软件版本的数量将呈现几何倍数的增长，车辆软件迭代的周期将会缩短，随之带来的便是软件测试测验工作量的巨大增幅。因此，车辆软件的开发、测试、发布等相关操作也亟需规范的管理。

这就需要建立企业级的OTA产品。“目前头部车厂都在补这个工作，贺思聪认为，对于国内主机厂来说，第三阶段至关重要的是如何将OTA的功能服务从研发体系向后转移至生产制造、市场销售和售后。这也是此次“双规”政策，对于OTA行业的“纠偏”。

OTA作为一种汽车软件升级维护的方式，仍需要非常复杂、细致的体系化工作来配合，否则“躺枪”还是成为大概率事件。

对汽车行业来说，有效地管理代码风险变得越来越重要。比如，通用汽车内部有一个名为vehicle intelligent platform的平台项目，包括新的安全功能、对汽车进行OTA更新、5G网络和额外的网络安全保护。

而随着行业监管的不断加强，整车厂要想将具备OTA功能的智联汽车尽快推向市场，最理想的方案仍是与经验丰富的供应商合作，共同开发运营OTA更新服务，凭借OTA供应商的专业技术和久经验证的优势方案，最大限度地缩短汽车开发周期和上市时间。

这其中，包括OTA方案和汽车网络安全方案本身的合规性设计，以及为主机厂提供合规性差距分析、建议、审计准备的培训和咨询。同时，借助第三方供应商的渗透测试，确保了整个OTA更新过程的安全可靠。

贺思聪表示，艾拉比目前正在协助车企梳理定义，包括面向SOA全新电子电气架构的整车升级能力、汽车软件版本管理能力、市场销售售后软件服务能力和消费者汽车软件大数据应用能力。

四、

这意味着，接下来OTA考验的将不再是功能的有无问题，而是整车OTA的真正规模化落地、全链条的运营和用户体验，同时还需要完整的合规性要求。

在汽车行业，目前新车OTA功能开发主要有两种合作方式：

一种是整车厂深度参与（比如，特斯拉），部分采用外部的差分算法，另一种则是以艾拉比、哈曼、科络达为代表的第三方解决方案供应商。比起前者，供应商有更为灵活的商业模式，不管是整体方案还是模块化采购。

不过，由于OTA试错成本高，需要深厚的技术积累，而传统车企很多在此方面并没有很深的研究和团队储备，缺乏大规模可靠性的验证以及测试用例和测试工具方法。

“对汽车这样总线和软件架构极为复杂的产品来说，智能化软件升级服务体验的背后必然是专业和漫长的体系建设工作。”此前，宝马公司相关技术负责人表示，公司内部仍在制定战略，包括哪些软件可以通过OTA更新。

宝马并非第一家启动OTA战略的传统汽车制造商，但这些公司中的大多数到目前为止都只能提供信息娱乐系统等非关键安全功能的更新，或者为信息娱乐系统提供新的应用程序和功能的激活。

原因是，整车OTA更新被视为并非独立的单一系统更新，而是涉及到完整的系统耦合变化，不管是传统分布式架构还是未来的集中式架构，任何软硬件版本的更新，都是牵一发而动全身。

例如，如果软件变更提高了感知系统的性能，那么它可能会影响制动和转向的性能。尤其是考虑到未来汽车子系统高度耦合的趋势，任何软件的更新都不能视为独立行为。

业内人士提出，远程软件升级可以为OEM节省数十亿美元的召回成本。而功能性软件升级带来的收入，将远远超过部署OTA功能的成本。一旦汽车制造商将所有ECU集中连接以接收OTA升级的中央网关，则势必存在一定的安全漏洞风险。

这意味着，汽车制造商和方案商需要重视OTA标准化体系建设，包括提供供应商零件接入指导规范以及新版本测试验证标准化流程等。

此外，“OTA在方案设计的时候就要把后期运营的行为考虑进去，OTA的运营能力比建设OTA更为重要。”艾拉比相关负责人表示。

由于很多主机厂对于后期的运营能力缺失，所以缺少了整体思维，而经验丰富的OTA服务厂商则具备了天然的优势，他们可以把过去所有的经验快速的迁移到新的项目。

这其中，智能差分算法、网络安全部署、产品版本管理能力（数据分析、运营维护）等等环节，第三方解决方案供应商的优势非常明显。

比如，艾拉比目前正在协助车企梳理定义，包括面向SOA全新电子电气架构的整车升级能力、汽车软件版本管理能力、市场销售售后软件服务能力和消费者汽车软件大数据应用能力。

眼下，主流汽车制造商都在部署面向未来的SOA+以太网系统架构，从零开始的架构规划以及庞杂的功能定义意味着大部分车企分身乏术，包括OTA在内的一些落地方案的外部采购+联合开发，已经成为主选项。