【盖世直播】芮亚楠：广升FOTA 安全升级提升汽车产品创新体验

上海广升信息技术股份有限公司物联网事业部总经理 芮亚楠 

我是来自上海广升的芮亚楠，很高兴认识大家。我相信大家对于OTA概念都不是非常的陌生，因为大家每天的手机产品都在进行OTA的操作。大到我们手机里面的操作系统，中到我们手机操作系统里面的APP，小到APP里面具体的内容资源几乎每天都在进行着空中升级和同步的操作。而Firmware OTA特指的是固件的空中升级，今天我们要讨论的主要内容就是FOTA和汽车产品之间的关系。

今天的分享内容中，我们首先看一下FOTA对于汽车产品可以带来哪些价值，然后再来看一下汽车产品如何实现FOTA功能。接下来我们再探讨一下如何构建一套安全升级的解决方案，最后为大家介绍一下我们可以提供哪些具体的服务内容。

目前在汽车领域把整个的固件升级体验做的比较好，比较灵活，给客户带来全新感受的主要主机厂商的代表是特斯拉。我们可以先看一下特斯拉是如何通过固件设计为客户搭建一个永不过时的焕新体验的。右边是特斯拉在中国地区推送的所有大版本的固件升级列表。以8.0版本为例，主要的对于前一段时间出现的自动驾驶的安全隐患做了一些优化，同时还优化了一些信息安全方面的漏洞，把操作的界面也进行扁平化的调整。同时增加了一些新的功能（比如恒温保持）。

所以汽车升级的主要价值体现在以下三个方面，第一个是潜在问题的改善。现在汽车的ECU越来越多，代码行数也越来越多，软件在汽车价值的占比里面也是不断的提升，开发周期却又被迫缩减。随之带来的是潜在的风险的加大。FOTA可以有效的解决软件故障的处理方法，可以通过应急响应降低软件的风险，同时可以对于信息安全漏洞进行修复；第二个方面是全新功能的导入，我可以通过FOTA的功能进行新功能新特性的导入让客户有常用常新的感觉；第三方面是进行一个界面的优化更新，提升人机交互体验。

从FOTA的紧迫性来考虑，其实这里面主要有两个方面的考虑，一个就是我刚才讲的，目前CEU的数量越来越多，但是我们整车的研发周期无形中在不断的缩短，带来的软件风险是在不断的增加的。还有从法律法规的层面来看，按照目前中美的汽车召回统计来看，未来国内的汽车厂商承担的召回的压力也是会不断增加的。汽车连接到互联网，同时改变了汽车的销售模式，过去销售是研发过程的一个结束，目前来说销售只是你跟客户互动的开始而已。所以未来如何应对客户软件方面的投诉，这是大家需要面对的问题。

还有就是FOTA表面只是一个固件的升级管道，但是整车厂也可以通过这个管道，把它变成跟客户沟通的最好的桥梁。比如厂商可以在社交平台进行一些意见的收集，同时做一些版本的预告。当升级准备好的时候再做一个智能化的版本发布和推送。客户收到自己的版本的升级请求之后可以选择一个具体的时间段对自己的整车进行升级。升级之后会有一个图象化的方式告诉客户升级了哪些新的功能，怎么使用。客户通过这些新功能的使用，可以在社交平台进行一个新功能的体验分享。从这个意义上说，FOTA已经变成了厂商跟用户的纽带。

从助力产品创新主要有以下几点，第一是商业模式的创新。刚才讲的，你的销售可能只是你跟客户沟通的开始。所以从这点来看，通过FOTA的方式我们可以确保汽车的产品可以及时的满足客户需求和市场变化。再就是我们研发模式的创新，现在大家对于功能的规划都是非常类似的，上市周期也是一个挑战。有了FOTA之后可以使用核心功能版进行先期的上市，其他的功能可以在后期进行叠加。

风险的管理就是可以降低软件漏洞的风险，增强信息安全的防护能力，应急响应、漏洞修复。

我们再看一下汽车产品如何来实现 FOTA功能，里面有两个主体需要实现：一个是客户端，一个是云平台。客户端就是要确保要升级的目标具备一个稳定、安全可靠升级的能力。云平台就是要建立起系统的汽车固件管理能力，升级策略对应关系，图形化，易于汽车厂商进行操作的平台。

升级的时候我们会配合车厂来构建汽车产品及内部ECU的升级能力，提供升级包的自动生成工具，然后把升级包做一个安全的公钥的加密，通过安全的连接上传到云端的服务器。云端服务器通过升级的云平台对整车固件进行有效的管理和智能化的服务。固件被智能的推送发布到汽车，汽车进行一个智能化的分包处理，由各个待升级部分调用构建好的升级程序完成自我升级工作，最后进行一个结果的统计、上报。

从整车企业目前的步伐来看，其实大家也是按照由外及内的步骤来逐步进行的。对于T-box来说我们可以同时构建通信模组和主控MCU的升级能力。对于车机产品，我们既可以升级车机主芯片，也可以对于电源控制芯片和通信单元、总线控制芯片进行升级。

还有一些车机设备不具备直接联网的能力，我们可以做手机的APP，通过手机的APP到云端来下载软件，然后传给车机。最终车机设备的间接升级能力。

关于整车升级，这是整车升级场景的大概的框图，除了T-box和车机设备的升级能力搭建以外，我们也可以配合厂商构建ECU的升级能力，这部分由于时间的关系就不深入讨论了。 

我们讨论一下如何进行安全的升级，升级这件事情刚才也有分享过，固件升级这件事其实本身也是一个对于汽车信息安全有效的防护手段。为了保护自己的升级体系的安全：第一，我要对于升级服务构建一套安全芯片，以及对应的证书体系。对于每一次升级操作要进行证书的鉴权完成身份认证，通过后我再进行一个加密的升级包的发送操作。在本地调用安全芯片里面的密钥来进行解密操作。这个框图是我们和安全芯片商以及证书商之间的配合关系示意；第二个就是我们的安全服务商，车厂必须要具备安全服务和安全运维的能力。安全服务商可以对我们的升级操作进行一些安全的监控和防御。同时对于发现的一些安全的攻击行为和风险，可以通过FOTA的方式进行补丁的升级。

与安全芯片商和安全服务商合作最终的目的是要做什么？首先我们把他分为事前、事中、事后三个层次来理解。事前我们是通过安全芯片和安全证书来构建一套基础的安全体系。同时再有安全服务商对这个体系评估、搭建、测试的工作，保证我们前期的体系基本是安全的。事中我要对这个体系具备一个安全的运营和安全监控的能力。对于里面所有的安全的操作必须要走认证权限和密钥的机制。同时我具备这种搭建发现攻击行为和安全风险的能力。事后，一旦发现了一些攻击和安全风险，第一时间可以通过FOTA的方式进行应急响应来做一些应急预案。同时进行攻击的溯源，找到真正的安全漏洞来源，并且通过FOTA进行弥补。所以，FOTA不仅是解决了软件更新的问题，也是一个有效的信息安全的防护手段。

我们再看一下我们可以提供哪些具体的服务。在产品层目前来说我们可以跟车厂搭建一个最小化的T-box或者车机系统的升级，也可以为车厂定制化实现一个整车ECU的升级体系。对于后装的汽车产品我们可以提供Turn Key解决方案。

在适配层有一个套自主的差分还原算法，把升级包做到极致小，同时可以适配到Android，Linux或者RTOS平台。

在连接层的方案来看我们现在具有直接联网升级解决方案，也有间接联网升级解决方案。

在平台层，我们有图形化的汽车固件管理平台，未来可以跟各主机厂的车辆管理平台进行一个集成和嵌入。

还有升级的稳定性，除了关心升级安全。还有一个车厂最关心的稳定性的保证。这里面包含了防变砖的机制，掉电的保护能力，还有一个断点续传能力，同时我们的升级还具备回退机制，万一车辆的升级是正确的，但是没有达到市场预期或者客户的要求，这样的话汽车客户端随时具备一个回退的机制，客户可以选择回退到上一个版本。

这是我们后台的展示，首先我要强调一点这个后台是可以根据车来进行定制和修改的。车厂可以通过这个后台来管理车型，VIN，ECU的逻辑对应关系和对应的升级策略配置。最终让用户完成智能化的升级服务体验。

以上这些就是我们主要的服务内容，我们的目标和客户就是让汽车产品变得更加智慧！

谢谢大家！

敬请关注盖世汽车“2016汽车与环境创新论坛”直播专题：

网站专题链接：http://auto.gasgoo.com/topic/qcyhj/

手机WAP站专题链接：http://m.gasgoo.com/topic/qcyhj/