网络安全风险
在大多数汽车制造商的设计过程中,高端汽车控制器节点接近甚至超过100个,整车代码量已经突破亿行,创建和管理数大量代码已经成为主流,汽车工业打开了一片充满潜力的代码和应用程序的海洋。
而汽车行业80%~90%的创新基于电子,离不开软件的支撑。因此,不断攀升的代码量带来的潜在网络风险不容小觑。不同的ota技术能够在线进行软件和固件更新,及时弥补系统中存在的问题而不依赖于召回这个过程,ota的应用能够在一定程度上应对信息安全上可能存在的缺陷。
但ota的普及并不直接代表了信息安全有了保证,ota只是用于保证信息安全的一个后手,是针对存在的信息安全缺陷的修复手段,单纯的维护并不能建立完全的信息安全体系,而且在ota数据下发的过程中还提供了被攻击的潜在风险。实现信息安全的关键更多在于从设计开始就要有信息安全体系打造的先手措施。
ota升级安全
ota设计要从安全、时间、版本管理、异常处理等方面综合考虑,车辆上ecu的软件运行状况直接会影响到车辆乘客的安全。从升级包制作,发布,下载,分发,刷写等环节,ota需要从云,网络,车端来保证安全。
ota升级安全归纳起来可以分为以下两个方面:
信息安全
主要是通信加密、软件包验签、更新隔离以及安全芯片等;
功能安全
主要包括ota manager的启动条件判断(车辆状态等)、ecu升级的预编程条件判断、整车模式配合以及升级方案考量;对于汽车整车ecu升级,必须要在一个合适的时间、合适的地点以及车辆合适的状态下进行升级。
否则蔚来es8长安街"趴窝事件"(因误操作启动了fota升级,导致汽车无法行驶、车窗摇不下来,在长安街上停留1个多小时。),还将再次上演。
运营决定成败
技术之外,ota落地并持续运营也是一个系统级的问题,并不亚于开发一个系统的难度。主机厂在落地ota系统后,运营两个字则会进入到其视线内。主机厂不能只看系统的功能是否按照要求实现,还要考虑在系统建成之后,谁来用,怎么用的问题。其原因背后是主机厂对于升级效率和安全问题的关心和焦虑。
升级效率的提升和安全保障才是ota运营的最终目标。运营是一个云端与车端联动,ota系统与其他系统联动的过程。在保证功能实现的前提下,服务商需要设计更多细节能力,保证升级活动的顺利进行。
写在最后
目前,新车的价值构成中,硬件仍然占据绝对比例,软件仅占10%左右。未来,一辆智能网联汽车的价值构成将变成40%的硬件、40%的软件以及20%的内容和服务。
未来,随着软件在汽车上的应用越来越广泛,下一代电子体系结构已经从硬件驱动发展到软件定义。过去几年,受到特斯拉的冲击,越来越多的汽车制造商公开表示,他们需要更像一个软件公司来思考,避免掉队。预计通过ota方式召回的汽车将越来越多。因此,如何通过合理的手段对ota技术的应用进行监管成了亟待解决的问题。
国家市场监管总局缺陷产品管理中心汽车部主任肖凌云曾指出,“我们鼓励企业用ota的方式实施召回,但不能用ota的方式逃避召回,或者替代召回。ota只是召回的一种技术服务方式,不等同于召回,更不能代替召回。且不管企业是以ota作为召回措施还是技术服务活动,都要履行备案的义务。”
这次《通知》的发布应该就是为了避免ota技术被车企滥用。不过,目前的《通知》还只是一个大纲性质的政策,并没有完善的执行细节,短时间内汽车ota的召回事宜,估计还是要看企业的自觉性了。
然而,在这个利益纷争的商业地盘,很难说清楚“自觉性”是防微杜渐,还是浑水摸鱼。