智能网联是我国汽车产业重大战略方向,软件定义汽车成为行业发展方向的重要特征。智能网联汽车软件在线升级可实现全新功能导入、产品性能迭代、用户体验改善,具备经济、高效的显著特征。近年来,在应用规模、范围等方面均大幅提升。但是,汽车软件在线升级涉及升级前、升级中、升级后过程状态,对原有汽车管理模式带来新的挑战,需要综合分析国内外汽车创新管理经验,针对智能网联汽车软件在线升级潜在的安全风险,从管理方面提出针对性对策建议。
1引言
本文主要从汽车软件在线升级架构、流程、最新管理实践方面,研究汽车软件在线升级的潜在风险和发展重点。
2国内外汽车软件在线升级管理最新进展
智能网联汽车OTA远程升级的软件数据内容不仅包含智能座舱、车联网,还扩展到汽车行车系统控制层和自动驾驶(图1)[3]。OTA远程升级将深度变革汽车产品定义、开发、验证、销售、服务全过程。当前,汽车OTA远程升级范围,已从信息娱乐系统逐渐扩展至制动能量回收系统、电池管理系统、智能座舱、辅助驾驶功能等领域,不同功能域的性能参数均发生变更,产品缺陷修复方式更加灵活多样[4-5]。从一定程度来看,属于汽车“再造”属性,升级后的汽车产品如何满足生产一致性管理要求,如何进行汽车安全影响评估,如何界定消除汽车产品缺陷和性能改进的边界等,均对传统汽车静态固化的管理模式带来新的挑战。
图1智能网联汽车应用软件[3]
国外以联合国和日本为代表,已出台具体法规要求对汽车OTA进行管理。目前,联合国世界车辆法规协调论坛发布3项涉及智能网联汽车信息安全的重要法规UNRegulationNo.155、UNRegulationNo.156、UNRegulationNo.157,其中UNRegulationNo.155和UNRegulationNo.156法规要求销售到58协约国的汽车制造企业必须获得政府监管部门的汽车信息安全管理认证和汽车软件升级管理体系认证,汽车软件升级管理体系认证要求汽车制造企业从软件更新过程,软件更新的安全性要求、已安装软件的标识等方面建立软件升级管理体系,政府监管部门会保持认证结果不定期复审。
日本对于汽车OTA远程升级管理处于领先位置,为促进自动驾驶产业的快速落地,先后出台或修订了《道路车辆运输法》《车辆特定改造许可制度》《道路运输车辆保安基准》《审查事务规程》等文件,从上位法、管理制度、法规要求等维度,对汽车OTA在线升级申请、审查、验证、许可等关键环节构建了较为完善的管理体系[6-8]。日本将汽车OTA远程升级作为汽车制造企业对已销售车型改装应用的一种技术方式,针对具备OTA远程升级改装的汽车制造企业,其需要建立软件升级和网络安全等制度管理体系,并且国家监管部门不定期审查已建立的软件升级和网络安全等制度管理体系的执行状态,此外汽车制造企业在OTA升级前需向日本国土交通部提交汽车软件升级申请材料,经国土交通部批准后方可执行汽车OTA远程升级。
我国行业主管部门高度重视汽车OTA远程升级管理。总体来看,我国以备案方式开展汽车OTA管理,对汽车OTA升级进行规范管理。具体来看,从新车准入和在用车管理角度先后出台了《市场监管总局办公厅关于进一步加强汽车远程升级(OTA)技术召回监管的通知》《关于开展汽车软件在线升级备案的通知》等管理政策。其中,《市场监管总局办公厅关于进一步加强汽车远程升级(OTA)技术召回监管的通知》提出对OTA远程升级追溯、对OTA远程升级技术服务活动和OTA远程升级召回备案进行管理。《关于开展汽车软件在线升级备案的通知》对企业远程升级过程进行管理,主要体现在OTA远程升级过程管理、安全应急响应、升级版本、信息记录等。此外,工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》也提到准入测试应开展OTA远程升级安全测试和升级过程测试。《关于开展汽车数据安全、网络安全等自查工作的通知》提出要对OTA远程升级安全和网络安全状态进行评估检验。市场监管总局等部委联合发布的《关于试行汽车安全沙盒监管制度的通告》,提出对使用远程升级等新功能模式的车辆开展深度测试,更早发现质量安全问题,保障安全底线。
从标准法规来看,我国在2022年6月已发布了强制性国家标准《汽车软件升级通用技术要求》(征求意见稿),该标准规定了汽车软件升级的管理体系要求、车辆要求、试验方法、车辆型式的变更和扩展、说明书要求等,从技术法规角度进一步完善汽车OTA远程升级管理要求。
图2汽车OTA系统架构[11]
通过功能测试的汽车软件远程升级数据包,在OTA远程升级云服务器完成刷写验证流程,经远程升级云服务器工程设计人员在远程升级云服务器部署车端控制器的软件数据包,建立远程升级任务,利用车载远程升级主控单元执行端与远程升级服务器的无线通信链路,匹配和下载远程升级软件数据文件,实现待升级车载控制单元的远程软件数据下载、软件数据安装过程[12-14],OTA远程升级主要流程见图3。
图3汽车OTA升级流程
从汽车OTA远程升级的系统框架分析,在远程升级的每个流程中均存在安全风险,常见的安全风险包含远程在线升级云服务器风险、软件数据传输风险、远程在线升级服务器与车载远程在线升级控制单元之间的通讯协议风险、车内通信网络风险、软件在线升级数据包被篡改风险[15-16]。据统计,利用OTA远程升级端口的攻击方式已成为汽车产品当前面临的最高风险,如果出现安全事件,其影响范围包含汽车运行状态、车主隐私数据泄露、车主财务损失,更为严重的安全事件会涉及到车主的人身伤亡[17]。如何在软件快速迭代进程中确保软件质量和升级成功率、如何准确评估识别复杂电子电器系统升级必要性和升级软件准确性、如何确保软件在线升级合规等关键问题,均对程序可靠性、数据完整性、系统安全性和传输连通性方面提出了更高要求。
从用户使用来看,OTA远程升级可涉及产品技术参数和控制策略调整,安全风险有待评估,一定程度上影响用车安全;部分OTA远程升级并未明确告知车主远程在线升级的理由,以及远程在线升级的内容和升级后对汽车的影响,侵犯用户合法权益;OTA远程升级过程中还可获取智能网联汽车位置信息和汽车使用数据等个人隐私数据,面临着数据安全风险及车主隐私数据保护问题。
从汽车产品来看,频繁的OTA远程升级导致先期投发车型配置与不断自动升级的软件系统不相匹配,车载控制单元的硬件能力不足,软件系统运行速度慢,将影响产品正常运行,不利于可持续发展。
从产业生态来看,智能网联汽车OTA远程升级产品的使用条件和环境十分复杂,OTA远程升级升级生态系统涉及实体包括智能网联汽车、OTA远程升级云服务器、手机、汽车制造商、备件OEM、软件经销商、车主、汽车服务中心、保险公司、执法人员等,明确各方权责利弊是一项系统工程,需要各方持续探索行业解决方案。