9月20-21日，由中国人才研究会汽车人才专业委员会指导，专家汽车组及盖世汽车主办的"2019（第七届）汽车与环境创新论坛"隆重举办，论坛以一个主论坛加四个平行论坛的形式，携百名行业权威嘉宾，共同探讨中国汽车产业在转型升级的新形势和新常态下，整车厂与零部件企业协同创新、升级做强、共同应对严峻市场和产业变革挑战之发展路径。以下为金康新能源电子电器与智能驾驶总监高继勇先生的演讲内容实录：

我这个题目就是现在非常关注的自动驾驶和智能网联的基础技术，没有网络安全和OTA，就无法实现真正意义上的自动驾驶。 这里主要关注我们讲的汽车的网络安全和OTA，所谓OTA（Over The Air）就是指远程刷新，有人也称其为FOTA(Firmware/Flash Over The Air)。今天我四个方面来讲，第一就是四化和软件定义汽车，第二是汽车网络安全设计，第三是整车OTA设计和挑战，最后就是总结一下。

第一个题目市四化汽车和软件定义汽车的发展。四化汽车核心是软件，软件定义了汽车。最早提出口号的是美国一家著名的汽车电子杂志：”Hanson Report”提出来的。现在很多汽车有大量的原代码，一些豪华车和新能源车有200多万行代码，大型民航客机才10多万行代码，汽车的控制软件远远多于飞机，甚至一些非常著名的互联网网站。汽车的新软件功能，人工智能的应用，包括大数据和V2X的应用，特别是汽车当中的电气化、智能化，软件代码大量增加，另外整车电子架构有两种不同的发展方向，分离式和集成式，从特斯拉引领了Integrated 电子架构的发展，很多汽车现在有上百个 ECU。大概十年前，我们把一家国际豪华品牌的汽车拆开以后，调研和对标的时候就发现有200多个的ECU，每一个ECU就是一个电脑，另外整车通讯从CAN, CANFD, MOST, FlexRay到以太网等实施，这些都让汽车软件有大量的增加。

汽车软件架构的发展，最早只是一个软件，一个操作系统，后来加了Bootloader，有了标定，有了基础软件，有了中间层RTE，有了很多软件模块SWC，现在很多汽车电子的硬件控制器不是简单的ECU，有GPU、MPU有人称为MCU等等，包括了多核的SOC，特别是现在讲的智能网联域控制器，自动驾驶域控制器等这些都是多核SOC和多个操作系统控制器。

实际上我们软件的发展，大家是朝着portable，reusable and scalable 的方向在发展，这个能减少研发周期,减少重新开发，减少成本和减少验证，实施和如何实施AUTOSAR也是一个巨大的挑战。

网络安全和功能安全的软件影响，实际上是这些年对于汽车智能化、四化汽车的最大挑战之一，大量的黑客事件也发生了，自动驾驶和V2X未来智能网联需要保护好黑客的攻击，没有网络安全的自动驾驶和智能网联都呈现了巨大的风险。实际上，2015-2018年全世界大概有140多万车由于网络安全而召回。Richard Yen刚才也介绍了，我们现在汽车数据每年产生几千亿美元的价值，比如我们需要提高自动驾驶人工智能算法就一直都是要把数据上传到云端进行训练，也是产生的一种价值，这个上传数据就需要做到避免黑客攻击带来的损害。

另外就是功能安全对软件的认证、研发和验证都是非常挑战，特别是ASILC和ASIL D软件模块功能安全的验证。在我们汽车上人脸识别，智能支付，语音识别，包括自动驾驶，在软件大量应用以后，既有功能安全的影响也带来了汽车网络安全的挑战。汽车网络安全设计和我们常用的民用网络安全还是不太一样，即使在汽车上黑客对于智能网联系统和驾驶安全系统的攻击带来的后果也是不一样，网联系统的黑客攻击带来的是个人信息和支付信息等损失，但是驾驶系统的黑客攻击造成的是驾驶安全的伤害。 我把我们现在汽车网络安全设计行业界的一些进展和一些设计方案和方法介绍一下。

汽车行业网络安全现在没有统一的国际标准，但是有些指导性文件和推荐标准，这其中有很多原因。实际上有很多国际组织，比较知名的就是SAE，美国汽车协会NTSHA，还有日本的JANSPAR也就是日本的AutoSAR组织，还有SAC等一些新的组织都在发布和公布了一些自己的文件和标准，包括一些汽车保险公司，特别是在欧洲、北欧的汽车保险公司有特殊的要求， 而且很多公司的自己的标准不向外公开，因为担心公布自己的设计标准让黑客容易攻击。有几个汽车网络安全文件有比较著名和实际参考的，像J3061，然后就是ISO21434，还有就是SAE3101等，中国有关部门也在积极制定和完善汽车的网络安全标准和指导意见。

汽车网络安全设计成什么样是一个需要主机厂结合本身能力和产品等决定的事情，行业的Auto-ISAC现在正在做汽车网络安全方面best practice这个工作。在设计应用和量产车型上，一些国际主机厂应用了软件（AutoSAR Crypto Stack）和硬件HSM组合的方案，就是不仅带了一个硬件的保护还有软件的通讯保护，另外一些国际主机厂，规划了通过OTA来解决一些未来难以预测的黑客攻击等问题。 在汽车行业，大家对于网络安全设计的共识就是多层保护，黑客攻破一层还有其他层保护，比如三层保护设计。但是现在实际中国内的自主品牌主机厂大家可能做一层也可能做两层，比如说从云端到车联网端的PKI认证和加密传输，然而在最里面这一层很少有自动品牌主机厂实施，也就是说ECU之间的CAN/CANFD通讯认证，包括单纯基于软件上做CANFD通讯认证的设计，或者软硬件结合的通讯认证。这儿有一个实例，这是很多主机厂都采用的实例电子架构：基于中央网关的电子架构网络安全设计，共计三层防护：第一层从云端到车的TBOX，这里包括云端本身的安全，通过PKI的设备双向认证，加密的数据传输，设备有唯一性，即使黑客把硬件更换了也马上能够防护，传输的数据也是有加密的。第二层就是从TBOX或者VBOX到中央网关之间可以认证，也可以通过中央网关加上防火墙，在这一层上很多人用了简化版的网络安全，比如只有简单版本的防火墙。第三层在每一个控制器可以进行通讯认证或者部分重要的CAN报文认证或者加密，硬件可以选择带HSM/SHE的硬件，通过硬件的认证来保证安全刷新或者是通信的认证，这个层面，车内可能相互之间只有几十个，上百个控制器之间相互认证，这是做很挑战，无论从设计和验证的都对主机厂和供应商有很大的挑战。

汽车的网络安全实际上是一个大家这些年都在讨论的问题。其中第一个就是成本，就是它的威胁。 汽车网络安全和黑客攻击也是一个平衡，就像一杆秤，一头是网络安全，另一头是黑客攻击，能够做到的平衡两者设计是最好的设计。我们实际中有些汽车公司在公司网站上悬赏他人攻击其汽车，然后把黑客的算法或者其他攻击手段买过来，融入汽车设计中保护好自己公司的设计和汽车网络安全，有些成功攻击了公司汽车的人后来成了这家汽车公司的工程师。 总之汽车的网络安全设计需要把握保护和攻击之间的平衡。第二，是要适应自己公司，每个主机厂可能有不同的整车电子架构，通信和保护的措施肯定不一样，你的网络安全技术无法像其他的一样，自主品牌和国际主机厂的研发能力和验证能力不一样。再就是区分个人隐私和驾驶安全的网络保护，被攻击以后带来的是个人隐私或者支付带来的损失。在J3061当中做了非常详细的描述，什么时候做个人隐私的保护，怎么做驾驶安全的保护。

很多公司也采用了PKI的认证技术，实际上汽车网络安全如果采用PKI这种方式，对于你的生产，售后服务，OTA等都有巨大影响，比如备件的准备，供应商的生产和主机厂生产。比如密钥注入，在哪里注入？主机厂和供应商的生产线如何支持？ 研发如何应对？。售后的零部件需要保证网络安全和汽车上零部件的唯一性，而且有时间限制，你的零部件备件不能那么长时间，很多汽车电子元器件有规定的存储时间要求，网络安全的设计可能影响了你研发，生产和售后，如何应对这些挑战也是行业需要解决的问题。

下一个话题是整车OTA， 整车的OTA设计和挑战，汽车整个控制器有一两百个，都像手机一样，能够不断的实时远程更新软件，这也称为OTA。客户已经卖了好几年了，你怎么让他们更新，造车新势力没有4S店或者很少，客户很难去实体店更新软件，这个时候说可以通过OTA来更新。另外OTA也可以开始卖车的时候没有很多功能或者功能没有开发完成，汽车需要赶市场，尽快SOP。 这样客户要买车的话，软件可以卖钱增加收入，也就是特斯拉的方式，很多功能没有开放，通过OTA把功能开发给客户同时功能卖给客户。

OTA是四化汽车的必备技术，4化汽车特别是智能化汽车离不开OTA， 比如自动驾驶离不开OTA。像自动驾驶和智能网联，自动驾驶AI的应用需要不断地学习，数据需要上传来训练深度学习模型，不断提高自动驾驶水平和功能，提高后的功能只能通过OTA刷新整车控制器，传统的实体4S店无法满足这么多周期性的更新，无法要求客户经常性地访问4S店。第二就是高精地图也要更新的，自动驾驶需要HD地图，地图的更新也是经常性的，客户已经买了车几年了，必须要通过远程刷新更新地图，提高你的驾驶和安全性。由于软件的极其复杂性和关联性， 没有任何一家生产现代汽车的公司能够保证SOP后没有软件问题， 既然客户买到的车肯定有软件问题，车卖出去不成熟，如何帮助大面积的解决客户手中车的软件问题？行业都把OTA当做解决的最佳方案和方向。 几乎所有中国造车新势力都在朝着这个方向做，最早的还是特斯拉给大家树立了好的榜样，软件太复杂必须要OTA， 车卖给客户时AutoPilot 没有完成研发，后面Auotpilot 功能需要提高或者增加功能。另外软件有问题，需要RECALL，但是很多客户特别是美国调查，至少有30%以上的客户不去4S店，很多RECALL问题没有解决，客户的车可能有重大驾驶安全问题。这个时候OTA的作用就呈现出来了， 我通过远程刷新，避免了客户不去4S店的问题，客户不去4S，如果汽车最后出了安全驾驶问题他们还是会认为是主机厂的责任，可能有法律诉讼等，我们远程刷新OTA可以比较有效的解决这个问题。

从大的方面来讲，有两种不同的OTA，一种就是驾驶的安全性没有关系的系统，就像我们讲的智能网联系统OTA，这个部分控制器主要是汽车的显示和报警，提示等包括IVI,TBOX和仪表等，OTA可以提高客户体验，改正部分软件BUG和增加功能等。 还有一种OTA就是和整车控制有关系，刹车、转向，速度控制，这部分OTA与客户的汽车安全驾驶关联，对于OTA的实施要求严，验证和技术等和第一种OTA不太一样。 也就是说有两个域的OTA， 一个是智能网络部分包括TBOX,IVI和仪表，HUD等， 另一个域是控制电子域，比如网关，底盘，三电控制等等。现在大多数企业在量产车上只能做和驾驶安全无关的，也就是第一种OTA：智能网络OTA， 比如说给客户进行OTA之后，可以有不同的体验和APP等。 既然是两个域的OTA，也就可能有不同的技术方案和实现方式。第一种就是右上角的这种智能网联OTA，可以采用以太网技术完成，如果没有以太网技术（像今天很多车厂）前，就用USB的方式来做OTA，采用USB技术把智能网联控制器连接在一起，OTA的软件通过USB传输到刷新。第二部分就是和驾驶安全有关，做起来不像手机一样，不能死机，不能卡顿，另外这些ECU之间可能有关联性，单独远程OTA更新某个ECU，其他关联ECU也需要OTA更新，再就是OTA之后不能出现驾驶安全问题，不能出现ECU之间冲突和不匹配或者软件版本不一致等问题。

从整车上来讲，也有两种不同的技术路线来实现OTA，这两种方案的最大区别就是哪个控制器来管理整车OTA，哪个ECU担当OTA Manager，包括下载，传输，分包，校验等工作?  这又和本身主机厂的电子架构，研发能力，网络安全规划等都有关联。 受时间限制，这个话题没法展开讨论了。

第一网络安全是OTA的前提，没有网络安全，黑客侵入也会刷新软件，这个带来的后果和影响是不可接受的，没有网络安全不能做OTA。第二如果做刷新的时候，客户是不是必须把车停下来，或者开车也能做，这也是需要解决的问题，实际上有很多种做法。如果OTA失败了，不像手机可以重新来一遍，系统和软件能否恢复原来的状态Roll back? 如果开始软件架构没有设计考虑，因为没有机制来保证就无法实现这个功能，有人采用ECU软件内存AB区方案，但是成本增加可能比较大，整车成本如何解决？第三个问题：每次OTA更新是否需要客户同意？我们手机是这么做的，更新客户需同意，但是是否有些汽车的软件更新在客户不知情的情况下做？还有一个问题，如果客户一直推迟更新怎么办？汽车OTA应该如何进行，这些都是问题，在这个方面特斯拉做的比较好，基本上解决了这些问题和矛盾。还有如果客户拒绝某些更新，你怎么办？这实际上这些都是在做远程刷新当中需要回答的问题，我们做量产车不是demo，需要所有的问题都要有明确的答复和方案。

总结一下，还是刚才说的，网络安全和OTA是相辅相成。没有网络安全没有OTA，反过来OTA促进网络安全，假设你出现了新的病毒和新的攻击方法，汽车也可以效仿电脑的window操作系统的更新方式，，新的病毒发现了，我们可以通过OTA让新的软件解决新的病毒或者黑客的新攻击，一些公司也在设计中融入了这个理念，对汽车行业也是一种解决方法，当然真正实施起来也不容易。我们讲四化汽车，特别是智能车，OTA是必须的，主要是来自高清地图需要更新，人工智能驾驶需要训练和更新。无论车是卖出去多少年，都要能够继续更新。整车OTA实际上就是关乎安全的问题，特别是控制电子软件的OTA的问题，关乎了驾驶安全和驾驶员的生命安全。没有整车OTA就无法彻底进行控制电子OTA，怎么解释呢？因为我们整车控制是相互关联的，你更新一个，其他的不更新不行，极端的情况：，某个ECU：比如ECU1的有些软件的bug也可能无法OTA解决，因为这个ECU1关联了其他整车中的ECU: ECU2 和ECU3，但是设计中ECU2和ECU3没有OTA功能，这就限制了ECU1的OTA， OTA动一个软件可能影响很大ECU就把整个都动了。控制电子域的OTA研发是比较挑战的，这也是行业大家面临的共同挑战，目前只有极个别企业能做，最后一个就是在行业当中特别是我们的新造车势力都在实现整车所有ECU的OTA，不止是某一个域比如音响域或者动力域。

受时间限制，我今天就讲这些，谢谢大家！

欢迎关注“2019第（七）届汽车与环境创新论坛”直播专题：

PC端链接：http://auto.gasgoo.com/NewsTopic/206.html

移动端链接：https://m.gasgoo.com/news/topic/206