汽車在線升級(jí)OTA，從安全駛向更安全

2022年11月，特斯拉召回了40,000輛汽車，原因之一便是在汽車在線升級(jí)（OTA，over-the-air）中發(fā)現(xiàn)了一個(gè)錯(cuò)誤，從而導(dǎo)致汽車在道路上遇到坑洼或顛簸后出現(xiàn)動(dòng)力轉(zhuǎn)向的問題。

兩年前，本田曾召回60多萬輛汽車，原因是軟件錯(cuò)誤導(dǎo)致儀表盤速度讀數(shù)錯(cuò)誤，和后視鏡攝像頭視頻出現(xiàn)問題。

梅賽德斯也曾召回130多萬輛汽車，原因是應(yīng)急位置追蹤器代碼出現(xiàn)故障，最后是通過OTA完成了故障修復(fù)。
今天就跟大家好好聊聊關(guān)于汽車OTA的那些事。

為什么OTA很重要

OTA發(fā)揮作用的地方很多。當(dāng)車輛出現(xiàn)故障后，傳統(tǒng)的召回流程可能需要數(shù)月的時(shí)間，而且無法保證能夠完成，或者要等到車主碰巧前往4S店或修理店，才能僥幸完成。OTA遠(yuǎn)比召回更具成本效益。

通過OTA，制造商不僅可以確定車輛是如何做出反應(yīng)的，還可以確定做出這種反應(yīng)的原因究竟是軟件錯(cuò)誤、不當(dāng)?shù)能浖?、還是操作參數(shù)的調(diào)整導(dǎo)致了事故……通過OTA，制造商能夠深入了解車輛的操作情況，還能在無需車主前往4S店或修理店的情況下輕松地解決問題。OTA功能有著巨大的優(yōu)勢(shì)，而且能從根本上節(jié)省成本，但糟糕的實(shí)現(xiàn)或不當(dāng)?shù)?a class="article-link" target="_blank" href="/tag/%E8%BD%AF%E4%BB%B6%E5%BC%80%E5%8F%91/">軟件開發(fā)實(shí)踐卻可能會(huì)導(dǎo)致代價(jià)高昂的錯(cuò)誤。

此外，“網(wǎng)絡(luò)攻擊”也是許多人最關(guān)心的問題，OTA功能為其提供了應(yīng)對(duì)之道。

不管導(dǎo)致車輛出現(xiàn)問題的原因是軟件錯(cuò)誤、不當(dāng)更新還是網(wǎng)絡(luò)攻擊，對(duì)消費(fèi)者來說并沒有什么區(qū)別。制造商可以大規(guī)模執(zhí)行OTA，在出現(xiàn)網(wǎng)絡(luò)攻擊或測(cè)試不佳的更新等不利局面時(shí)，這可能會(huì)影響數(shù)十萬輛汽車。與傳統(tǒng)的召回流程相比，OTA是一條能夠更快、更直接地解決問題的重要途徑。

在大多數(shù)情況下，汽車OTA對(duì)車主來說是無縫體驗(yàn)。OTA的透明性質(zhì)更大限度地減少了需要車主前往當(dāng)?shù)胤?wù)經(jīng)銷商所需的行程以及給車主帶來的時(shí)間損失。除了信息安全和軟件安全修復(fù)外，更新中還可以添加一些汽車在制造時(shí)所沒有的增強(qiáng)功能，以改善駕駛體驗(yàn)，或者在某些情況下延長(zhǎng)車輛部件的壽命。OTA可以提高駕乘的安全保障，并且會(huì)隨著技術(shù)的不斷發(fā)展而做出調(diào)整，其代碼數(shù)量達(dá)數(shù)十億行，由此增強(qiáng)了軟件定義的自動(dòng)駕駛汽車的互聯(lián)性和融合性。

考慮到這些新功能和OTA本身，車輛的整體攻擊面會(huì)相應(yīng)增加，出錯(cuò)的可能性也隨之增大。

在出現(xiàn)問題時(shí)，OTA是一個(gè)很好的解決方案，但規(guī)模和速度卻成為決定硬件和軟件開發(fā)實(shí)踐能否成功的關(guān)鍵。鑒于當(dāng)今的技術(shù)復(fù)雜性和風(fēng)險(xiǎn)之多，這里列出了一些方法，以幫助開發(fā)者在部署OTA之前更好地保護(hù)系統(tǒng)并更大程度地減少錯(cuò)誤。

解決系統(tǒng)基礎(chǔ)設(shè)施和流程創(chuàng)新問題

OTA比較復(fù)雜。它們并不是一個(gè)簡(jiǎn)單的解決方案，并不是封裝在一個(gè)簡(jiǎn)潔的盒子里，隨時(shí)可以部署。因此，務(wù)必要關(guān)注交付軟件的底層系統(tǒng)基礎(chǔ)設(shè)施，以及適當(dāng)?shù)牧鞒毯蜋z查，以驗(yàn)證一切在任何情況下都能正常工作。事實(shí)上，要想得到一個(gè)有效的OTA計(jì)劃，需要開展大量活動(dòng)。這些活動(dòng)通常分為三類：

• 穩(wěn)健的公鑰基礎(chǔ)設(shè)施（PKI）定義明確的軟件驗(yàn)證與確認(rèn)實(shí)踐高效的車輛軟件部署、存儲(chǔ)與激活

1.穩(wěn)健的公鑰基礎(chǔ)設(shè)施

雖然大規(guī)模密鑰管理已經(jīng)出現(xiàn)了一段時(shí)間（比如零售業(yè)中的信用卡應(yīng)用），但對(duì)于汽車應(yīng)用來說，這仍然是一個(gè)相對(duì)較新的概念。例如，正確管理汽車PKI會(huì)涉及到多方面的技術(shù)和廣泛的參與者，包括汽車制造商、OEM以及協(xié)助打造OEM解決方案的關(guān)鍵基礎(chǔ)設(shè)施管理機(jī)構(gòu)。

不法分子可能會(huì)偽裝身份，甚至是竊取身份驗(yàn)證密鑰，以提供感染病毒的軟件或在入侵期間阻止服務(wù)訪問。遭到入侵后再設(shè)法處理就不是一件容易的事。這時(shí)要撤銷的不是數(shù)百個(gè)密鑰，而是整個(gè)供應(yīng)鏈中的數(shù)萬到數(shù)十萬個(gè)密鑰，然后再重新發(fā)放。這只是其中的原因之一，畢竟確保PKI安全是一項(xiàng)涉及多學(xué)科、多組織且需要各方充分參與的工作。

要想獲得成功，打造一個(gè)可用于測(cè)試和評(píng)估流程的仿真環(huán)境至關(guān)重要，因?yàn)楝F(xiàn)在并不是攻擊是否會(huì)發(fā)生，而是何時(shí)會(huì)發(fā)生攻擊。PKI計(jì)劃應(yīng)包括對(duì)攻擊者可以利用的各種故障條件和極端情況進(jìn)行測(cè)試。該計(jì)劃還應(yīng)遵循ISO/SAE 21434實(shí)踐，以確保相關(guān)過程是開發(fā)計(jì)劃的一部分，并會(huì)隨著軟件特性和功能的發(fā)展而發(fā)展。

2.定義明確的軟件驗(yàn)證與確認(rèn)實(shí)踐

在軟件驗(yàn)證與確認(rèn)流程中，開發(fā)者需要綜合考慮軟件開發(fā)的方方面面。其中一個(gè)發(fā)展迅速的領(lǐng)域就是用于軟件測(cè)試的硬件虛擬化。鑒于軟件的快速變化和參與其中的開發(fā)者人數(shù)，開發(fā)周期的早期不可能有足夠的硬件測(cè)試臺(tái)來有效地測(cè)試軟件。虛擬化硬件允許進(jìn)行硬件仿真，它們可以集成到CI/CD管道中，并提供給更廣泛的開發(fā)受眾使用。這其中還包括后期制造環(huán)境的開發(fā)。硬件訪問要容易得多，但由于硬件數(shù)量、空間限制等原因以及缺乏相關(guān)專業(yè)知識(shí)，這一切很快就變得不切實(shí)際。

利用新思科技的Virtualizer?等虛擬化技術(shù)和其他仿真技術(shù)，開發(fā)者可以在受保護(hù)的環(huán)境中快速交付單元級(jí)和系統(tǒng)級(jí)測(cè)試。這種形式的測(cè)試在一定程度上增加了軟件測(cè)試周期的嚴(yán)格性，降低了測(cè)試軟件與所部署軟件之間出現(xiàn)紕漏或發(fā)生意外交互的可能性，而這在傳統(tǒng)測(cè)試環(huán)境中是不可能的。

3.高效的車輛軟件部署、存儲(chǔ)與激活

即使進(jìn)行了最強(qiáng)大、最全面的測(cè)試，也還是會(huì)有這樣或那樣的問題。原因可能包括部署后的指示不清晰、意外交互或售后調(diào)整。各種情況可謂層出不窮。重要的是要有適當(dāng)?shù)谋Ｕ洗胧┖瓦m應(yīng)性強(qiáng)的做法，以處理各種各樣的問題和狀況。

制定更新的驗(yàn)證與確認(rèn)政策是關(guān)鍵。的確，許多組織都制定了此類政策，但他們是否考慮到了部分失敗的部署？他們有沒有想到“開箱即用”？更為關(guān)鍵的是，雖然一些簡(jiǎn)單的步驟（例如代碼簽名檢查）很重要，但對(duì)錯(cuò)誤平臺(tái)部署的簡(jiǎn)單檢查卻要困難得多。

在將更新推送給車輛后，更新的存儲(chǔ)和激活必須要做到盡善盡美。更新的軟件存儲(chǔ)需要架構(gòu)方面的決策，例如車載存儲(chǔ)空間和閃存的大小。多大的空間夠用？對(duì)于車輛的使用壽命來說，該空間是否大小合適？它是否適合特定內(nèi)存類型的讀寫次數(shù)？這些決策都將對(duì)軟件更新的數(shù)量、頻率和大小產(chǎn)生影響。如果內(nèi)存不足，便無法存儲(chǔ)當(dāng)前固件的副本以進(jìn)行回滾。而如果內(nèi)存過大，則可能造成制造成本攀升。

汽車OTA只是整個(gè)信息安全和軟件安全的一部分

OTA并非靈丹妙藥，而只是整個(gè)信息安全和軟件安全拼圖中的一塊。在向車輛提供更新時(shí)，開發(fā)者必須要遵循一個(gè)穩(wěn)健的軟件驗(yàn)證與確認(rèn)流程，以確保無論是從漏洞還是從質(zhì)量和安全角度來說，車輛內(nèi)的交付與交互都盡可能沒有缺陷。無論開發(fā)者推出什么，都可能會(huì)影響到成千上萬人，因此驗(yàn)證與確認(rèn)必須非常嚴(yán)格。

現(xiàn)代軟件開發(fā)是一項(xiàng)涉及多學(xué)科、多組織的工作，開發(fā)者必須做好這項(xiàng)工作，從而確保汽車和道路的安全。在這方面，選擇合適的合作伙伴非常重要，新思科技正好可以提供強(qiáng)有力的幫助。

新思科技提供業(yè)界領(lǐng)先的IP、設(shè)計(jì)、驗(yàn)證解決方案以及軟件安全解決方案，能夠滿足開發(fā)者的各種需求。憑借在各行業(yè)中積累的豐富經(jīng)驗(yàn)，新思科技能夠幫助汽車行業(yè)加速創(chuàng)新，讓OTA軟件一次生效且次次無憂。