基于标准化和流程化的汽车软件升级管理

武艳俊

基于标准化和流程化的汽车软件升级管理

武艳俊

Wu Yanjun

（北京新能源汽车股份有限公司，北京102600）

汽车智能化及网联化的不断普及使整车端OTA（Over the Air Technology，远程升级技术）成为必须，软件升级过程中须确认升级包的真实性、完整性和安全性，并核实车端信息，保证OTA升级顺利完成。须依据相关法规和标准对OTA升级过程进行管理，构建标准化和流程化的管理体系，包括升级包的整体开发和编制，通过标准化管理确保OTA升级过程安全、合规和防篡改。采用标准化和流程化的管理方式，可以逐步优化现有系统，缩短升级包的编制和准备周期，实现客户高满意度。

软件升级；智能网联；流程；标准

0　引言

随着互联网及智能设备的普及，网络与汽车的结合越来越紧密，智能化系统逐渐成为汽车标配，不仅满足出行需求，也改善了驾乘便捷性和舒适性。智能网联汽车通常包括智能驾驶、智能网联和智能座舱3个部分，其中智能驾驶是通过感知、认知、决策、控制和执行等实现车辆的辅助或自动驾驶，智能网联是实现车与车、车与互联网及云端平台、车与路甚至车与人等多方位联通，智能座舱是实现车与驾驶员及其他乘员的深度交互[1]。

整车智能网联系统除了能够为乘员提供智能化操作界面和功能外，还可以完成自身车载端OTA（Over the Air Technology，远程升级技术）。车端OTA升级类似手机系统升级，通过网络下载升级包，之后解码运行，一方面实现包括系统升级、固件升级等多种升级模式，主要对现有硬件所匹配的软件系统进行优化升级，以提升性能或改正存在的问题；另一方面可以激活已有固件，提升配置服务，安装新的软件，对车载端多媒体或导航系统提供数据升级等。OTA升级由驾驶员自行完成不需回厂，既节约时间，又提升了车辆智能化水平。

1　OTA发展及特点

随着整车智能化程度加深以及对系统优化升级需求不断提升，OTA技术成为整车企业研发的重点之一。目前，有车企已为旗下各车型累计完成近千次OTA推送，涉及车载娱乐系统、辅助驾驶功能、动力电池管理、车辆加速制动等，以及问题的优化和修补等。国内外多家车企已对旗下车型进行了若干次OTA升级，主要用于提升整车功能以及车载娱乐、导航系统的优化升级。

OTA升级可以在线修复整车中部分软硬件系统问题，降低车企召回成本并节省时间；此外，通过OTA升级可以在现有车机系统中增加新功能，提升系统智能化程度，改善车辆使用便捷性，不断满足客户新的需求；OTA是车企售后与客户互动交流的窗口与通道，使车企的传统产业链延伸至售后服务端，实现研发与售后对接。传统的用户反馈模式只能够了解客户需求，OTA针对用户反馈可以进行及时更新和优化，使客户体验持续升级。

OTA升级过程需要注意很多问题，信息安全是首要问题，OTA通过互联网连接车载终端，此过程需要设定冗余解决方案并对相关信息进行加密，避免出现传输故障、解析故障以及外界干扰[2]。整车系统升级关系到道路交通安全和人身安全，不允许存在漏洞的系统上车运行，须对升级方案进行备案和管理，避免出现系统缺陷或造成安全事故。目前，各国出台了相关政策，规范OTA升级的相关要素和流程，车企须根据政策要求对OTA升级进行系统管理。

2　OTA相关规定

为了保证OTA升级合规和安全，各国都在积极推进相关规定和标准的制定。2020年6月联合国世界汽车发展协调论坛（UN/ECE/WP29）发布了《关于软件升级和软件升级管理系统的汽车型式批准统一规定》（R156），要求使用“软件识别码”进行版本管理，该规定自2021年1月起正式生效，目前日本和欧盟积极响应并遵照执行。自2020年起，我国国家市场监督管理总局及工信部陆续出台针对汽车软件升级的监管政策，包括《关于进一步加强汽车OTA技术召回监管的通知》《关于开展汽车软件在线升级备案的通知》《关于加强智能网联汽车生产企业及产品准入管理的意见》等，2022年6月，工信部就组织修订的《汽车软件升级通用技术要求》（征求意见稿）强制性国家标准向社会公开征求意见[3]。

《汽车软件升级通用技术要求》（征求意见稿）的发布标志着汽车软件升级逐步进入国家强制性标准及国家备案监管规范化的新阶段。《汽车软件升级通用技术要求》（征求意见稿）一共涉及9部分内容，包括线下和在线等所有技术方案的软件升级方式，要求构建针对OTA的管理体系，确保升级过程全流程管理和满足信息记录、留存、安全等重点要求，对车辆和试验方式进行了明确定义，保证车辆能够准确、迅速、安全地收到、识别并解析升级包，同时每一次升级前均要求进行逐项测试验证，对于车辆车型扩展所涉及到的申报和应急状态下的应对措施和冗余措施也给予了明确要求。

OTA相关规范和标准的实施是保证车端安全的基础，同时对车企提出了全新要求。OTA升级涉及整车各个部件和系统，需要各部门协同完成，需要在OTA管理体系框架内构建流程化、标准化操作方法，各部门按照统一规范梳理并准备相关升级文件，安全有序可靠地实现OTA升级。

3　管理要求及关键要素

3.1　标准化管理体系建设

标准化的OTA管理体系建设是后续升级的保障和基础，针对《汽车软件升级通用技术要求》（征求意见稿）的要求，制定OTA开发管理办法、测试管理办法和远程升级管理办法，同时对研发和售后各环节的记录与备案表等进行梳理，增加升级的准备和实施记录[4]。

为了将管理体系融入整车研发及制造的各个环节，将管理体系所涉及内容与企业能力、产品公告进行融合，满足全流程管理要求。管理体系中一般要求对应企业准入中的管理制度、标准规范和信息保存等内容，同时与智能汽车准入中的软件升级管理制度和软件升级信息记录等整合管理。

《汽车软件升级通用技术要求》（征求意见稿）中的过程要求与备案过程中的管理流程和智能汽车准入时的软件升级版本管理、目标车辆识别管理以及软件升级影响评估等诸多内容相对应，例如，识别目标车辆以及确认兼容性等要求与企业准入审查中目标车辆软件识别及新旧版本信息一致性和兼容性相呼应[5]。

管理体系中一个重要环节是安全相关要求，特别是网络安全。由于OTA升级采用公网传输数据，所以须采取必要的加密措施以确保OTA升级顺利推进。

3.2　流程化开发与应用

整车OTA升级须在确认升级包真实性、完整性、安全性以及读取版本信息的前提和基础上依据流程进行，确认升级包真实、完整和安全是后续升级的初始条件，这需要车企基于车辆信息和要求对升级包进行多重确认，与拟升级的车辆进行信息核对[6]。

首先，升级前须确保车辆的信息、型号等满足升级要求，车辆处于安全、静止的状态且整车电气系统正常；通常，为了保证升级安全，要求车辆处于启动状态，须避免升级过程中出现蓄电瓶缺电。

其次，车辆升级过程中，须定时检查车辆情况并与车机和系统确认，当升级过程中出现问题时，须及时启动失败引导等选项，杜绝因为升级失败而使车辆无法正常运行的情况。此外，升级过程中为了保证乘员安全，须确认车辆处于停止状态并且门锁均已打开。

最后，升级结束后，须告知客户目前信息状态和成功升级提示，保证客户已明确车辆情况。

车辆升级过程中，需要加强安全措施的实施，包括防失效保护机制、失败后安全措施以及信息安全机制，这是为了更好地完成升级和应对突发情况。

3.3　标准化测试能力建设

OTA测试验证过程中，采用OBD诊断仪及相关采集工具对升级包的完整性、真实性进行验证，同时验证升级包是否可以读取、更新和安全防篡改等。重点开展功能符合性测试，包括用户告知、用户确认、先决条件、电量保障、车辆安全、驾驶安全、车门防锁止、结果告知以及升级失败处理试验等[7]。目前大部分车企处于OTA初期推广阶段，因此缺少系统性测试分析过程以及对节能、环保、安全以及公告参数等的影响分析和解决方案，缺少对功能兼容性测试分析和安全防篡改测试评价，在后续OTA升级包准备和编写过程中需要完善和加强标准化监管。

需要加强整体在线升级测试验证体系建设，对标寻找差距并结合标准法规的要求逐步充实完整，实现全面满足监管法规要求，使建立的体系可以兼容各自主平台所开发的车型，包括在线升级测试规范与管理办法，关键项升级识别方法和验证规范，以及涉及信息安全的专项测试要求与规范。为了顺利推进后续车型OTA升级，采用测试用例、影响分析模板和测试报告模板，规定各模板的填报要求，实现标准规范化输出，便于后续核对和参考对照。

3.4　其他要求

车型变更扩展环节为了保证OTA升级能够涵盖并满足不同衍生车型，对车企资质和软件升级技术状态进行明确定义，需要验证的内容包括电控系统软硬件型号、数量、版本，以及安全保护模式等，同时确认相关内容的读取和处理模式一致[8]。

车辆使用说明书须明确OTA相关环节的提示信息，包括软件升级方法、升级过程的注意问题以及升级后的操作，列举出升级中不同阶段的注意事项，特别是升级结束后车辆出现控制失灵等异常情况，引导客户进行正确判断和处理，告知客户第一时间与后台服务人员取得联系，避免产生严重后果。

4　结束语

OTA升级为车企和客户双方提供了高效便捷的解决方案，需要加强OTA升级过程中的安全和规范管理，建立规范编制、检测、验证和应急预案等全套管理体系，既响应更新的研发周期，又满足客户需求。

保证OTA合规化推进，重点构建软件升级流程化管理体系，完善不同平台车型的升级管理，以信息安全为核心开展安全方案设计，提升软件系统测试验证能力，打造专业化测试体系和平台。流程化管理不仅可以保证OTA升级合规，还保证系统升级运行高效和便捷，为整车安全可靠运行和客户高质量体验打好基础。

[1]李克强，戴一凡，李升波，等. 智能网联汽车（ICV）技术的发展现状及趋势[J].汽车安全与节能学报，2017，8（1）：1-14.

[2]施勇.车载终端系统远程升级安全机制的研究与实现[D]. 石家庄：河北科技大学，2016.

[3]中华人民共和国工业和信息化部. 公开征求《汽车软件升级通用技术要求》等九项强制性国家标准的意见[EB/OL]. (2022-06-17)[2022-08-03]. https：//www.miit.gov.cn/jgsj/zbys/qcgy/art/2022/art_c1878e 9460a74860a37bd3964436116d.html.

[4]高洁，汪庆.一种电动汽车软件OTA升级服务平台的设计方案[J]. 电脑知识与技术，2017，13（8）：209-211.

[5]张海强. 智能网联汽车安全远程升级技术的研究与实现[D]. 成都：电子科技大学，2018.

[6]郝铁亮，叶平，郝成龙，等. 车联网技术研究[J].汽车实用技术，2017（20）：141-143.

[7]张亚萍，刘华，李碧钰，等.智能网联汽车技术与标准发展研究[J]. 上海汽车，2015（8）：55-59.

[8]王兰，郝成龙，许茜. 车载通信终端OTA升级方案[J].智能网联汽车，2018（6）：11-12.

2022-08-29

1002-4581（2023）02-0039-03

U463.6

A

10.14175/j.issn.1002-4581.2023.02.010