自動駕駛汽車的軟體升級技術管理與法規策略分析

隨著智慧車輛在網路聯化、智慧化及架構技術的發展，汽車無論是在韌體或軟體上都已經不可逆轉的需求進行軟體迭代升級。要求在汽車生命週期內會持續的基於汽車 OTA 能力為整車提供軟體升級、韌體升級、售後服務等服務能力，可以說，汽車的智慧化更迭對於 OTA 升級能力已經成為不可或缺的主流趨勢。

本篇文章將針對自動駕駛汽車的軟體升級現況需求及法規要求等進行詳細的描述。意圖幫助讀者整體了解自動駕駛中的軟體升級流程原理、存取要求及其應對策略。

1 整車軟體升級技術優勢

#首先，軟體定義汽車推動了整車軟體升級技術的發展與應用，透過整車軟體升級解鎖新技能，堵住小漏洞，甚至對不同使用場景進行特性化的配置推送或更改。由於軟體定義汽車已經形成共識，軟體有bug風險也成為一大趨勢。整車軟體升級可有效解決軟體故障，透過緊急應變降低開發週期短帶來的軟體風險問題，以及完成資訊安全漏洞的修復。

以智駕系統與智慧座艙系統的升等為例可以很好的說明OTA升等過程原理及資料流走向。整個 OTA 軟體框架包括三部分：OTA 雲端，多媒體服務，智慧駕駛模組。

OTA 雲端的軟體框架結構主要包括以下部分：OTA 管理平台、任務調度系統、升級監控、版本監控、打包工具打包升級包、加密計算、簽名、版本管理、升級日誌報告、升級通知等。

智慧駕駛域（包含網域控制器以及各個感測器零件）透過軟體開發完成迭代，其對應的軟體會被打包為升級包，進行加密、簽章後傳送給到OTA 雲端，同時本地端進行版本管理、記錄升級日誌報告、向相關聯繫統發送升級通知。軟體包包括要更新的內容，全量還是分量，一個車型，一個批次，還是一個特定群體等，這些包被放在 OTA 雲端伺服器上開始互動。對於攝影機這類元件如果是純掛接到網域控制器上，升級前需要明確其與網域控制器的相容性來明確他們之間的關聯關係。考慮網域控制器模組的功率，如果有液冷散熱需求，整車升級流程中無法在網域控制器工作的情況下升級TMS模組。

智慧座艙可透過 4G/5G 網路建立車輛與伺服器之間的安全連接，確保全新的、待更新的韌體安全地傳輸到車輛的各個ECU。主要軟體框架如下：取得版本資訊、升級條件判斷與偵測、升級日誌上傳伺服器、DoIP client、從服務去下載升級包、制定升級策略、解密計算、驗簽、HMI 解密顯示、升級日誌上傳等。

智慧駕駛模組需要滿足車端的安全通信，包括協定通信連結管理以及安全認證。其主要的軟體框架如下：升級包驗簽、升級包進度和結果回饋、升級包解密、差點還原、DoIP server、5R1V 升級、高精定位升級、網域控制器升級、環景攝影機升級等。

整個升級要素包含如下：

#1）軟體升級套件設定：透過包裝工具產生對應的設定文件.Config。然後，對配置好的軟體包進行簽章、拆包、加密傳輸。

2）軟體升級包組包：智慧座艙控制器解析接收到的數據，並進行解密、組包、驗簽；取得軟體升級包與Config 檔案的壓縮包。

3）軟體升級包傳輸：讀取 Config 檔案中的相關資訊用於通訊控制交互，將軟體升級包傳輸至智慧駕駛各模組。

4）軟體升級包交付：智慧駕駛控制器對軟體升級包進行解密、差分還原，解密後得到軟體安裝包；最後，使用應用證書進行驗簽，開啟自升級任務。

#

其次，若有因軟體故障導致的召回，可以節省大量的時間和金錢成本。快速迭代、提升產品和使用體驗。隨著軟體在汽車上的應用越來越廣泛，涉及軟體相關的召回越來越多，在這個發展過程當中，軟體帶來的效能改變會為企業帶來許多潛在的品質問題。新能源車出去之後投訴率百分之百，百分之百裡面90%都是軟體bug。

通常情況下，軟體升級可以把原先不夠好的功能變得更好，而車輛召回則是把有缺陷的東西換成或修復為符合標準和要求的東西。因此升級和召回都是一種消除缺陷的活動，返點返廠並不是必要條件。而透過合理的手段對OTA技術的應用，可以是省事省力又省錢的解決問題，預計透過這種方式召回的汽車將越來越多。

2 整車軟體升級安全管理與測試挑戰

汽車作為成熟的工業產品，上市前需完成產品的公告認證及生產企業的許可認證。整車、零件都是固化的，整車軟體升級使這一切成為可變的。

從軟體升級的整體把控上看，軟體OTA的過程涉及雲端安全管理，OTA連接安全管理，車端OTA安全管理幾個大項。其中，雲端安全主要是包括伺服器存取保護、伺服器攻擊抵禦、伺服器-客戶端鑑權、升級套件安全儲存、OTA業務滲透測試、OTA管理平台漏洞掃描、OTA業務安全日誌這幾大塊。其次，OTA連線安全則是涉及Https的安全連線、傳輸內容加密、APN等業務領域。最後，車端OTA安全則是涉及汽車伺服器鑑權、升級套件完整性及安全性驗證、OTA應用漏洞掃描、升級套件儲存安全管理、升級可靠性等多面向。

從某種程度上講，軟體升級過程需要通過對整個安全體系的設計與認證：其中包含雲端OTA安全設計，管理端的連線安全保護，車端的OTA安全加固，並輔以嚴苛的性能測試，才能確保產品的可靠性和安全性。

3 軟體升級管理要求應對策略

高階智慧駕駛汽車為了從實踐層面實現智慧駕駛汽車准入，從目前准入指南規定的角度出發需要重點考慮軟體升級在實際應用過程中的具體要求和實施措施。這是因為已經有不少新勢力在設計之初，往往對於軟體升級真正的規則和需求理解不夠透徹，在軟體版本發布中做毫無安全管控的升級濫用。目前出現的各類軟體升級法規及進入指南關於軟體升級的部分規範則是軟體升級指引所下的及時雨。將從以下幾方面為軟體升級帶來更多的應對優勢。

1）軟體升級的國家監管

中國市場，截止到2019年涉及程序或軟體問題的召回就達到213次，涉及車輛683.02萬輛，約佔總召回數量的9%→因軟體造成的召回增漲趨勢明顯。

目前市場上部分車企為快速推出產品，將還沒有完善的汽車產品推出市場→透過OTA忽悠消費者，用升級之類的藉口，對自身產品存在的問題進行搪塞、混淆甚至掩蓋召回的事實。

基於上述現狀描述，國家市場監督總局2020年11月25日國家市場監督管理總局出台了《關於進一步加強汽車遠程升級（OTA）技術召回監管的通知》 ，著力實現對OTA的監管重點：在於透過有效的手段出台政策方法辨識召回與升級的差別。以避免OEM透過OTA方式消除缺陷，掩蓋召回事實的行為。

採用OTA方式對已售車輛進行技術服務活動的汽車廠家，應依照《缺陷汽車產品召回管理條例》和《缺陷汽車產品召回管理條例實施辦法》要求，向市場監理總局品質發展局備案。 2020年1月1日已實施OTA技術服務活動，生產者應於2020年12月31日已完成了相應的補充備案。

此外，2022年4月15日，工業與資訊化部裝備工業發展中心發布了《關於開展汽車軟體線上升級備案的通知》中就明確指出，軟體升級的申請主體應是汽車整車廠商。且升級過程應依要求依序完成企業管理能力備案、車款及功能備案及具體升級活動備案等一系列要求。解讀下來，那就是國家對軟體升級的監管將更加嚴苛，後續主機廠想學特斯拉那一套，先上後優化的策略可能會存在較大的阻礙了。

2）軟體升級法規-UN/WP29

對於軟體升級法規而言，歐洲標準中UN/WP29可以完全適用於有軟體升級功能的M類（乘用車）、N類（載貨車）、O類（掛車）、R類（拖車）、S類(牽引車）、T類（農用車）等車輛的國際法規。對於智慧駕駛市場佈局而言，其軟體升級的法規適用範圍總結如下：

• #2020年6月24日，WP.29第181次全體會議以網絡會議形式通過軟體升級法規，並於2020年6月25日正式發布；
• 法規發布後，已於2021年1月22日正式生效，並由日本正式實施到研發車型中。
• 韓國在法規正式發布之前已經將其融入了國家指南。
• 2022-2024年，歐盟已陸續將所有新車型到全部車型納入該軟體升級所需遵守的範疇中。

對於軟體升級而言，其法規所規定的部分涉及利害關係人（汽車製造商、技術服務部門、主管部門）的責任。軟體升級涵蓋的內容涉及資訊安全方面、認證合規方面、功能安全方面的要求。軟體升級的具體流程、步驟、主要包括車輛類型核准申請、SUMS合格證書、RX軟體識別號碼（RXSWIN）等幾大面向。如上這些內容都意在滿足軟體升級的安全性和可靠性要求。

3）《智慧型網路連線汽車准入指南》軟體升級的要求

智慧網聯汽車准入指南是一部針對目前各家主機廠期待所研發的自動駕駛功能被認可所辦法的準則、規範​​。它涉及包含如功能安全、資訊安全安全、軟體升級、資料記錄、模擬/實車測試等各方面。而軟體升級上又主要包括對管理制度、標準規範、升級影響、測試和驗證、適配性、可追溯性、告知義務和安全性等內容進行了相應的開發內容規範。綜合總結相應的管理要求和測試要求如下圖。

對於各家車企而言，需要各企業需盡快建立OTA管理營運體系、組織，積極配合國家進行監督管理。建構完善的OTA安全保障體系，流程體系先行。嚴控軟體開發交付體系，做好全流程及全生命週期管理的驗證、發布、備案、製程監理及緊急處理，確保軟體開發的安全可靠及系統效率。形成完善的OTA整車整合測試能力，同步發展功能安全、資訊安全測試能力，形成OTA功能安全與資訊安全的測試與驗收方案。

4 總結

本文是概述性的講解了軟體升級在自動駕駛汽車設計開發中的優勢、難點及規範要求幾大方面。對於智慧駕駛開發來講，了解軟體升級的重要技術優勢，才能傾注更多的精力去發展軟體升級技術開發及安全管理所帶來的挑戰，才能明確如何較好利用軟體升級所涉及的規格、標準、法規等內容較好的開發出適合智慧汽車的軟體包。因此，這個過程的了解將使得整體把控軟體升級過程將顯得不那麼棘手。

以上是自動駕駛汽車的軟體升級技術管理與法規策略分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！