2018年7月27－28日，由車云、中機國際聯(lián)合舉辦的2018第二屆中國汽車智能座艙論壇在廣州保利世貿(mào)博覽館召開。HERE Technologies OTA 亞太區(qū)業(yè)務(wù)發(fā)展高級經(jīng)理廖志賢發(fā)布了名為《OTA －自動駕駛時代最安全的在線更新架構(gòu)》的演講。

HERE Technologies OTA 亞太區(qū)業(yè)務(wù)發(fā)展高級經(jīng)理 廖志賢

以下為演講實錄，車云菌做了不改變原意的刪減：

大家下午好！很高興受到車云的邀請跟大家分享一下OTA的內(nèi)容。

我們前身是ATS （Advanced Telematic Systems GmbH），做OTA有五年的歷史。公司成立于2013年，今年1月被HERE Technologies并購。我會花3分鐘時間介紹HERE的公司架構(gòu)，其他大部分時間會用來介紹五年來跟歐洲汽車廠、日本汽車廠合作時對OTA架構(gòu)的思考，針對三件事情跟大家做一些分享，第一是開源式的架構(gòu)，第二是模組化跟標淮化，第三是大家關(guān)心的安全問題。

HERE是一個圖資公司，我們在全球200個國家都有地圖，在歐洲跟北美地區(qū)，用地圖的車里，每5臺就有4臺用了HERE的地圖，我們在全球56個國家共有8000名員工，全球有400臺HERE的車采集地圖，每天采集將近28TB的地圖數(shù)據(jù)，目前我們的HD Live 地圖覆蓋了60萬公里。

2015年諾基亞把地圖賣給了世界前三大汽車廠，奔馳、寶馬、奧迪，我們很慶幸地圖可以留在汽車產(chǎn)業(yè)。2017年Intel入股HERE，我們在大陸地區(qū)跟四維、騰訊有很好的合作關(guān)系，Pioneer 在2017年成為我們在日本的合作伙伴，2018年博世跟Continental各自入股了我們公司。

大家都知道，以后汽車未來是資訊、智能、服務(wù)、人性化，很多嘉賓講了很多這些東西，這些東西最主要實現(xiàn)的是軟件。以前的車子軟件大概只占10％，未來的汽車在軟件方面會有40％，20％會有很多新的服務(wù)跟新的商業(yè)模式。

OTA是一個最基本的架構(gòu)，未來如果汽車廠沒有OTA的解決方案，三年內(nèi)就很容易就被邊緣化，因為他沒有辦法持續(xù)更新軟件、沒有辦法做雙向的溝通跟交流，沒有辦法組成有用的服務(wù)跟應(yīng)用供車主使用。

Here除了圖資以外還有很多IVI， CVS以及HAD的不同產(chǎn)品，架構(gòu)在一個開放式的地圖圖資上，搭建了開放定位平臺（Open Location Platform），有很多的地圖數(shù)據(jù)和大數(shù)據(jù)在上面，可以提供給第三方服務(wù)整合公司． OTA不但可以支持這些不同的產(chǎn)品即時更新，也可以成為一個獨立的產(chǎn)品來服務(wù)車廠。

在眾多OTA公司中，我們是一家開源式架構(gòu)的OTA解決方案平臺，等下大家聽過之后會知道開源性架構(gòu)的重要性在哪里。

下圖是全球汽車產(chǎn)業(yè)軟件開源性架構(gòu)協(xié)會，其中AGL以及GENIVI組織下有很多汽車廠的相關(guān)會員，我們公司經(jīng)常性會參加他們的討論會。并有許多軟件技術(shù)發(fā)表。

下圖是一個OTA的基本概念。以前車輛需要更新，車需要回到4S店，由服務(wù)人員通過OBD接口刷寫資料，同時抓取一些車輛資料。有了OTA解決方案之后，汽車廠可以借助網(wǎng)絡(luò)做一些遠程更新和管理，這其實是一個雙向的溝通，我們可以把資料從伺服器端放到車端，相對的，也可以把車端的一些資料抓回存儲在云端，做一些再利用。

說到OTA，我們得提到特斯拉。特斯拉是汽車行業(yè)OTA的里程碑，是我們的目標。特斯拉從2012年就開始做OTA解決方案，通過SOTA跟FOTA大約進行了26次軟件更新。特斯拉不是一個傳統(tǒng)的汽車廠商，現(xiàn)在的傳統(tǒng)汽車產(chǎn)業(yè)在電動車方面沒辦法跟特斯拉相比，OTA架構(gòu)對特斯拉來說非常重要，三年內(nèi)他們通過OTA解決了大大小小的問題。

2015年發(fā)生了另一個里程碑事件，2015－2017年特斯拉做了4次更新是要收費的，借由這4次更新，特斯拉獲得的收入為一臺車價的28％，這些新收入跟全新的商業(yè)模式，受到了很多汽車廠的關(guān)注。

除了更新之外，2014－2017年由于軟件的問題，各大汽車廠都發(fā)生了召回事件，通用召回了430萬輛車，瑪莎拉蒂召回了3300輛車等等。如果有了OTA解決方案，我們不用再因為軟件問題召回，可以在召回層面省下很多成本。

我相信現(xiàn)在沒有一個車廠不把OTA當做一個基本解決方案，全世界每個地方，每個主要的國際性的聯(lián)盟，都在嘗試著制定OTA標淮。UN Task Force Cyber Security and OTA 預(yù)計在2019年會有自己的OTA的標淮出來，ISO／SAE計劃在2020年做一些OTA的標淮，美國、英國跟德國有計劃去做一些OTA的標淮。

特別注意的是，上圖右下角有一個OTA security framework Uptane在一個專門為汽車多ECU、多電子控制元件載體上，做的OTA  Update的架構(gòu)，這個架構(gòu)是目前被國際廣泛研究和討論的汽車安全等級OTA安全架構(gòu)。

OTA在不同的階段有不同的時代使命。大家可以看到2015－2016年間，OTA只是用來幫助公司維持品牌信賴度，你不用常常召回，減少召回對品牌的影響。2016年開始，大家可以看到一些新的商業(yè)模式衍生出來，而且這些新的商業(yè)模式會幫助整車廠獲得一些新收入。在2022年這個階段，會有很多的應(yīng)用和功能出現(xiàn)在車上，整車廠、汽車廠考慮的是怎么把有價值的服務(wù)跟應(yīng)用利用OTA技術(shù)傳到車上，讓使用者就算買了三年、五年的車之后，還是可以獲得最新的服務(wù)。我相信這是目前汽車行業(yè)還做不到的。

到2025年之后，汽車就會有移動性的遠程信息交換和自動駕駛功能，那時候就不只是為了省錢、賺錢，那時候車上有很多傳感器，不管是做自動駕駛，還是做其他服務(wù)，可能你要通過OTA存取一些ECU的資料，經(jīng)過大數(shù)據(jù)分析和定位分析之后，創(chuàng)造一些更好的服務(wù)給車主，而且這些服務(wù)可能會包含收費機制。

到那時，自動駕駛不光是車上的車聯(lián)網(wǎng)系統(tǒng)做串聯(lián)，還有很多機會是汽車跟汽車做溝通，使用高精度地圖之后，每臺車經(jīng)由車上的傳感器，可以知道周圍的車跟自車的具體距離，從而避免意外的碰撞或者意外的發(fā)生。

再更大一塊是V2X，自動駕駛L4會需要一些信息，比如前面200米的紅綠燈已經(jīng)變?yōu)辄S燈了，這個時候系統(tǒng)就不會加速，你就不會浪費你的電，這是很節(jié)能的一部分。HERE還有很多垂直性的功能，比如一般的天氣預(yù)報只是預(yù)報，可是在HERE的服務(wù)里面，我們有能力告訴你，上海淮海路上行駛的車在啟動雨刮，代表此時此地正在下雨，我們可以把這些與位置有關(guān)的資訊傳到云端后，和云端資料整合成有用的價值，再傳給汽車使用者。這是2025年OTA使用的一個概況跟模式，每個時期都有每個時期該做的歷史任務(wù)。

我要講的第二個重點是模組化跟標淮化。今天我們提供OTA的解決方案，你跟我合作，這并不代表你以前有的車輛管理系統(tǒng)，你以前的PKI系統(tǒng)等等要全部要換掉。我們有我們的核心部分，比如下圖綠色的部分，汽車廠有很多東西是它沿用很久、很重要的資料，比如黑色的部分，我們已經(jīng)把OTA做成一個模塊化、標淮化的產(chǎn)品，合作伙伴只要跟我們說這個架構(gòu)我只需要綠色部分加上白色的部分，我就可以組成適合你的OTA解決方案。

OTA三個字很簡單，我們公司需要有人去了解四五十個不同的解決方案跟軟件架構(gòu)，有基礎(chǔ)設(shè)施、有云端的、有管理的、有軟件研發(fā)等等，這些是我們需要了解的軟件跟技術(shù)，來完成我們的OTA解決方案。

第三塊是安全，安全是很重要的一部分，美國國土安全局委托密歇根大學(xué)、紐約大學(xué)跟西南實驗室專門為汽車這種多電子控制元件設(shè)計了一個OTA的安全架構(gòu)。

我們常常去拜訪整車廠，常常問的一個問題是你覺得你的系統(tǒng)安全嗎？大家都說我的系統(tǒng)安全，因為我有密鑰。密鑰有兩種，Online Keys和Offline Keys，Online Keys很方便，富有彈性，可是它比較不安全，Offline Keys比較安全。很多IT人覺得我已經(jīng)有Offline Keys了，我的系統(tǒng)是安全的。

可是，世界上沒有一個系統(tǒng)是安全的，你只要有節(jié)點，黑客就會從這個節(jié)點進來。我們也不覺得Offline Keys是安全的，因為每一次OTA的流程，你的Offline Keys就要拿出來使用一次。有些人說對呀，但是我使用過之后，就會把資料抹掉。可是我們的工程師常常會問一個問題，就是你確定你的資料已經(jīng)抹掉了嗎？你的資料可能在轉(zhuǎn)到每個不同的伺服器時，留在某個伺服器端，但是你碰不到，所以即便是Offline Keys，當你使用一次OTA，它就拿出來一次，它就暴露在風(fēng)險中一次，黑客有機會從你三年前的更新、從某個節(jié)點或者從某個伺服器知道你的Offline Keys。

在Offline Keys架構(gòu)上，我們?nèi)ゼ僭O(shè)每個節(jié)點都是不一樣的，每個節(jié)點黑客都會進來。在這個觀點跟理念之下，我們同時使用Offline Keys跟Online Keys，Uptane的 TUF解決方案也可以幫我們向上管理Tier1跟Tier 2。因為更新包不是汽車廠或者Tier 1自己去生成，一定是某個ECU配合廠商生成更新包，所以Tier 2在生成更新包的時候，其實它就是被保障的，它不只是被Offline Keys跟Online Keys保障，它還會用你場內(nèi)Metadata、時間戳、Snapshot的大小，還有就是你Tier1的主管跟他的QA，跟你自己車廠的OTA主管跟QA，來做一些安全的認證，就算有人進來了你的系統(tǒng)里面，他丟了一個不好的更新包到你的伺服器里面，你的伺服器不會理它，它不會把這個更新包丟到車端。就算這個駭客把他做的更新包直接丟車端，車在認證到這些Metadate時會有安全秘鑰，認證不到Tier 1、Tier 2的Offline Keys、Online Keys，更新包在車端就不會被執(zhí)行的，所以我們使用的“不同節(jié)點都可能被入侵”的觀念跟角度來設(shè)計OTA的安全架構(gòu)。

我們會保障不管車里或者車外，伺服器跟車子里面的安全，我們用兩種不同Offline跟Online的解決方案，我們更新軟件的儲存槽分成兩個來保證它的安全，我們還可以幫車廠管理到你的Tier 1、Tier 2的安全機制。

剛才提到開放性的架構(gòu)，這是ATS從2015－2018年做的事情，2015年我們把OTA的開源架構(gòu)放在GENIVI協(xié)會讓GENIVI的會員使用，2016年AGL也要求我們把OTA開源架構(gòu)放在他們那里，給他們的會員使用，2017年我們整合了Uptane，目前我們是唯一在云平臺上整合Uptane這個安全的機制可以來服務(wù)我們的汽車產(chǎn)業(yè)鏈，2018年我們被并購了，成為HERE的一員。

這是HERE跟歐洲車廠合作的案子，我相信明年年底大家就可以看到這個車子在市面上跑，我們用一些地理信息的概念，整合一些很好的服務(wù)，再給使用者使用。同時，我們跟戴姆勒也有一些合作，戴姆勒正在使用高精地圖在開發(fā)未來的自動駕駛車。

我今天的分享就到這里，謝謝大家！