2020 年 10 月 31 日，是蔚来正式推出 FOTA 升级两周年的日子。

2016 年 12 月，蔚来 FOTA 项目立项。在调研过其他车厂和供应商的方案之后，蔚来最终选择自主研发 FOTA 系统。

2017 年底，蔚来 FOTA 系统整体跑通。

2018 年 10 月底，蔚来进行了第一次大规模的软件版本推送。

两年来，蔚来保持着每月一次功能升级的更新节奏，一共向存量用户推送了39 个大版本更新包，覆盖 4 款车型（两代 ES8、ES6 以及 EC6），新增了 131 项功能，推送车次超 35 万次，完成了 280 项功能优化，总共 411 项进化。

最近，蔚来开始向车主推送最新的 NIO OS 2.7.0 版本，其中一个重大更新就是领航辅助。对于智能汽车来说，OTA（空中升级）是一项必备能力。

OTA 分为：

• SOTA（Software Over The Air）

• FOTA（Firmware Over The Air）

顾名思义，SOTA 是软件空中升级，FOTA 是固件空中升级。

从车辆使用体验角度来看，SOTA 能实现车内信息娱乐等体验的优化，而 FOTA 在拥有 SOTA 的能力之外，还能实现车辆的动力操控、驾驶品质、辅助驾驶等系统级别体验的整体提升。

从 SOTA 到 FOTA，它深度改变了用户的用车体验，使用户购车后的体验能够「常用常新」，这是质的飞跃。

站在 FOTA 两周年的节点上，蔚来联合汽车之心在上海中心 NIO House 举办了「深读蔚来 FOTA 分享会」。

在这场分享会上，嘉宾有：安波福主动安全与用户体验事业部先进工程亚太区总工程师朱魁、蔚来软件开发部资深专家孔念智、腾讯安全科恩实验室高级安全工程师张文凯，以及辰韬资本执行总经理贺雄松。

他们针对蔚来 FOTA 的技术细节、智能汽车的整车架构革新以及智能汽车的信息安全设计方面进行了深入探讨。

1、蔚来的 FOTA 做得怎么样？

过去很长一段时间，传统车厂的车型绝大部分功能都是在设计阶段就提前锁定的，用户想要拥有新的功能，只能购买新款车型或者对部分硬件进行更换。

也有很少的传统车企在做 OTA 升级，但是大部分都是用来做 BUG 修复，所以并不是真正意义上的 FOTA 升级。

蔚来软件开发部资深专家孔念智表示，FOTA 固件远程升级是实现汽车智能化的重要工具。

FOTA 的核心价值在于能够将全新开发的功能推送给车主，以及不断优化现有功能并改善潜在问题，让车主享受到智能汽车技术发展的红利，而不是重新去购买一台车。

事实上，蔚来是全球首个通过完全自主研发实现大规模整车 FOTA 的汽车品牌。

2016 年 12 月，蔚来 FOTA 立项，在这之前也调研了很多车厂和供应商的相关方案，但是最终还是选择自主研发。

2017 年底，蔚来 FOTA 系统整体跑通。

2018 年 10 月底，蔚来进行了第一次大规模的系统升级推送。

为了保证系统更新的自主权，蔚来不但自研 FOTA系统，还自研了车内核心的域控制器，包括智能座舱、智能语音助手、智能驾驶系统以及三电系统。

作为一家新兴的智能电动车厂商，蔚来尽可能选择自研的目的就是尽可能减少对供应商的依赖，避免很多新功能的迭代受制于供应商的进度，毕竟供应商并不只服务一家主机厂，它的资源也需要进行分配。

通过自研技术的加持，蔚来现在可通过 FOTA 实现车身五大功能域的更新，包括车身域、底盘域、动力域、信息娱乐域以及辅助驾驶域。

具体的更新内容包括：

• 系统与应用级的双重更新

• 功能涉及三电系统、底盘悬挂、辅助驾驶、信息娱乐等

• 涉及全车 35 个高安全标准的电子控制单元（ECU）

目前，蔚来的软件开发交付体系主要分为四大步骤：

• 软件包规划

• 测试验证

• 小批量发布

• 批量发布

为了保证软件包整个生命周期可控可追溯，蔚来建立起了庞大的售后服务以及市场反馈团队，可以通过多种渠道收集车主的反馈和建议，比如蔚来 APP、NOMI 以及蔚来 Fellow。

经过两年多的技术和实践积累，蔚来的 FOTA 体系已经形成了四大特点：

• 数据规范化：以整车软件包为粒度发布固件，保证了安全性和稳定性；

• 服务中台化：根据车辆硬件/软件/功能特性信息，规划车辆 FOTA 升级路径，因为每个用户的每辆车它的配置都是差异化的，所以在 FOTA 的时候也需要做到针对性；

• 体系化支撑：对于车辆系统的全生命周期都可追溯，从研发到生产再到交付；

• 极致安全策略：完善的整车功能集成测试和交付流程（包括台架测试、整车台架测试、实车测试、用户场景实测）。

当然，FOTA 升级和信息安全息息相关，所以这套系统需要有完善的防黑客攻击策略。

蔚来的软件研发团队为其 FOTA 体系设置了多层次的安全机制，涵盖了固件、软件包、系统服务以及基础网络还有车辆终端五大层面，采用了各类加密、签名验证等技术措施来保证整套系统的安全可靠。

既然智能汽车可以通过 FOTA 技术新增各类功能、升级使用体验，做到「常用常新」。

那么在更底层，一个怎样的整车架构才能满足未来智能汽车不断进化的需求？

2、智能汽车需要一个怎样的整车架构？

一级供应商安波福正在这个领域展开探索和实践。

他们提出了 SVA（Smart Vehicle Architecture）机构，目的就是为了满足自动驾驶和电气化对于整车电子电气架构高安全性、高数据吞吐能力等的要求。

在 SVA 中，至少有两份蓄电池电池和供电电路确保关键部件的供电安全，通过优先考虑安全相关的数据流量，来确保网络的稳定性。

此外，多路径拓扑保证数据在主路径异常的情况下，能通过备用路径传输至目标控制器。

对于大多数 OEM 来说，直接切换到一种全新的电子电气架构几乎是不可能的，所以可以对现有电子电气架构中单个组件采用 SVA 的理念，然后逐步渐进式的推广。

安波福主动安全与用户体验事业部先进工程亚太区总工程师朱魁提到：

2015 年，安波福的自动驾驶测试车在北美进行了长距离的路测。5 年下来，安波福的研发关注点也发生了变化，在开发自动驾驶技术的同时，更多地开始对适应智能汽车发展的全新的整车架构进行探索。

回顾过去 40 年汽车电子的发展：

• 最早在 70 年代，大众的甲壳虫上出现了第一台电子设备：收音机。

• 80 年代，发动机开始做电喷了。

• 90 年代，出现了车辆的信息娱乐系统，还有各种被动安全的设备（比如气囊），以及车身控制开始出现。

• 进入新世纪，车辆上的主动安全功能成为热点。

• 2010 年开始，4G 网络兴起，市场掀起车联网风潮。

• 发展到今天，辅助驾驶大行其道，未来 10 年将向着自动驾驶进行转变。

在这个过程中，囿于 SoC 算力低下，车辆每新加一个功能就要加一个分布式 ECU，加到现在一款高端车型上就有上百个 ECU，整车线束的长度已经超过了 5 公里。

而在未来的智能汽车上，针对辅助驾驶、自动驾驶、智能座舱、数据管理等的新功能将层出不穷。特别是自动驾驶域用到的电、感知系统、信号传输系统、计算平台、执行器等都要进行冗余备份。

这样带来的是更多的 ECU、更复杂的线束布局，整车的 BOM 成本将会急剧增加。

这种趋势发展下去，车辆开发周期拉长、开发难度加大、开发费用剧增，而且这还会导致车辆生产的难度加大，因为很多零部件都无法实现自动化组装，而要依靠人工组装。

这一切变化都在表明：传统整车架构发展到今天已经走到了一个临界点，很难支撑智能汽车下一步的进化，整车架构需要进行变革。

现在的一个趋势是：车内的分布式 ECU正在不断整合、汇聚。

这得益于半导体技术的长足进步，现在 1 个 CPU 的算力已经顶 10 年前的 5-6 个 CPU 的算力。

未来 10 年，ECU 的算力还会大幅提升，最终这些 ECU 会集成到车内的几个域当中，比如自动驾驶域、用户体验域等等。

未来的车会演变成分区控制，比如特斯拉的车辆就是这样的，Model 3 上有三个域控制器，两个在车身前部、一个在车身后部。

安波福认为，未来的智能汽车只需要 2-4 个域控制器，比如标准的 ADAS 车型只需要左右两个分区，而要实现更高级别的自动驾驶则可以使用 4-6 个域控制器。

安波福为 SVA 架构下的车辆规划了 4 个主要的计算平台：

• 2 个通用计算平台（主要做通用计算，比如自动驾驶域、智能座舱域的计算）

• 1 个底盘和推进域控制器

• 1 个中央汽车控制单元

在量产计划上，朱魁透露，2022 年在欧洲会有部分基于 SVA 架构的车辆量产，SVA 架构的真正爆发要等到 2025 年，还需要给芯片产业以及供应链更多时间来成长和适应新架构的需求。

智能汽车进化过程中，不仅需要一个全新的整车架构来支撑，其所带来的信息安全挑战也是不小的。特别是车辆能够通过 FOTA 实现车身诸多固件的升级，那这些可远程升级的固件某种程度上也增加了被黑客远程攻击的可能性。

3、如何保障 FOTA 体系的信息安全？

腾讯安全科恩实验室高级安全工程师张文凯带来了他对于 FOTA 升级信息安全的思考。

一个 FOTA 升级包从出生到测试验证到规模推送再到被替换是一个漫长的过程，里面有各类供应商以及车企参与，涉及到成百上千人的开发团队，他们势必遗留下来一些漏洞、BUG，都会在车端暴露出来。

腾讯科恩实验室 2016 年攻击过特斯拉的车辆系统，攻击的渠道是蜂窝网络和 WiFi。

然后科恩实验室在 WebKit 上发现了多个已知漏洞， 系统内核里也有已知漏洞，通过这一漏洞，进而攻击车辆的网关，发现 OTA 没做签名校验（OTA 设计不当），跳过完整性校验即可刷入恶意固件，实现对车辆的控制。

2017 年，科恩实验室再次对特斯拉车辆系统进行攻击，发现很多此前存在的已知漏洞已经得到修复。但是在系统内核中，还是找到了英伟达 Tegra 内核模块 nvmap 的零日漏洞。

虽然这个时候的特斯拉已经为 OTA 增加了签名校验，但是实现代码仍然存在逻辑问题，可以跳过签名校验，再次刷写恶意固件，然后通过给车辆动力 CAN 发送指令影响车辆功能安全。

2019 年，科恩实验室又针对特斯拉的 Autopilot 系统进行了攻击，成功对其动力控制系统以及自动驾驶算法展开了攻击。

基于以往的一些研究经验，张文凯表示，在车联网中，很常见的一些安全问题 60% 都是一些设计缺陷和已知漏洞，涉及功能安全问题占一定比例。若多个漏洞结合就可以给攻击者提供一条完整的远程攻击链。

车联网系统常见的安全问题主要包括两个方面：「设计安全」和「实现安全」。

所谓「设计安全」问题指的是一些系统内核老旧、基础防护的缺失等，「实现安全」问题则是指代码实现出现逻辑错误、算法本身的问题等。

「设计安全」如果做得不好，很容易被黑客抓住漏洞进行攻击，而如果是「实现安全」上做得不够好，黑客攻击起来会相对困难。

所以从某种程度上，设计安全在整个系统开发过程中是非常重要的一环。

开发者应该怎么做？

张文凯总结了四点：

• 最小权限原则：合理分配权限，保证每个应用/服务/用户只能访问所必须的信息或者资源；

• 攻击面收敛：尽量减少暴露非必要的接口，删除非必要的组件，从而缩小攻击面；

• 默认安全：系统原生安全选项默认处于开启状态并合理配置；

• 纵深防御：将不同安全防护手段应用于业务的每个层面，提升攻击门槛。

对于车厂来说，传统意义上的软件开发一直严格按照 V-Model 的流程进行，所有的安全测试和验证都被安排在了 V-Model 的右侧。

随着智能汽车的发展，车辆的信息安全越来越重要。

车企软件开发团队有必要将安全测试流程尽可能往 V-Model 的左侧推，在开发的更早期就更加注重软件的防黑客攻击特性，把安全验证放到一个非常优先的位置，这也就是所谓的「安全左移」。

另外，对于智能汽车企业来说，还应该组建专门的团队负责信息安全，找专业的人做专业的事，将 PC/移动端已经成熟的安全技术，结合具体业务场景，按优先级顺序应用到车载软件系统中。

张文凯最后总结，FOTA 安全和汽车信息安全是强相关的，它将会是一项汽车软件中最基本的能力之一，也将成为汽车软件研发实力的评估指标之一。

换句话说，拥有一个安全、稳定的 FOTA 体系，车企便掌握了智能汽车持续进化的奥秘。

当然，这一切都建立在一个创新的整车电子电气架构之上。

返回第一电动网首页 >