蔚來

2年39個版本更新，蔚來自研FOTA技術(shù)，掌控智能汽車進化的奧秘

第一電動大牛作者汽車之心 2020-11-11 09:12

2020 年 10 月 31 日，是蔚來正式推出 FOTA 升級兩周年的日子。

2016 年 12 月，蔚來 FOTA 項目立項。在調(diào)研過其他車廠和供應(yīng)商的方案之后，蔚來最終選擇自主研發(fā) FOTA 系統(tǒng)。

2017 年底，蔚來 FOTA 系統(tǒng)整體跑通。

2018 年 10 月底，蔚來進行了第一次大規(guī)模的軟件版本推送。

兩年來，蔚來保持著每月一次功能升級的更新節(jié)奏，一共向存量用戶推送了39 個大版本更新包，覆蓋 4 款車型（兩代 ES8、ES6 以及 EC6），新增了 131 項功能，推送車次超 35 萬次，完成了 280 項功能優(yōu)化，總共 411 項進化。

最近，蔚來開始向車主推送最新的 NIO OS 2.7.0 版本，其中一個重大更新就是領(lǐng)航輔助。對于智能汽車來說，OTA（空中升級）是一項必備能力。

OTA 分為：

SOTA（Software Over The Air）
FOTA（Firmware Over The Air）

顧名思義，SOTA 是軟件空中升級，F(xiàn)OTA 是固件空中升級。

從車輛使用體驗角度來看，SOTA 能實現(xiàn)車內(nèi)信息娛樂等體驗的優(yōu)化，而 FOTA 在擁有 SOTA 的能力之外，還能實現(xiàn)車輛的動力操控、駕駛品質(zhì)、輔助駕駛等系統(tǒng)級別體驗的整體提升。

從 SOTA 到 FOTA，它深度改變了用戶的用車體驗，使用戶購車后的體驗?zāi)軌颉赋Ｓ贸Ｐ隆?，這是質(zhì)的飛躍。

站在 FOTA 兩周年的節(jié)點上，蔚來聯(lián)合汽車之心在上海中心 NIO House 舉辦了「深讀蔚來 FOTA 分享會」。

在這場分享會上，嘉賓有：安波福主動安全與用戶體驗事業(yè)部先進工程亞太區(qū)總工程師朱魁、蔚來軟件開發(fā)部資深專家孔念智、騰訊安全科恩實驗室高級安全工程師張文凱，以及辰韜資本執(zhí)行總經(jīng)理賀雄松。

他們針對蔚來 FOTA 的技術(shù)細節(jié)、智能汽車的整車架構(gòu)革新以及智能汽車的信息安全設(shè)計方面進行了深入探討。

1、蔚來的 FOTA 做得怎么樣？

過去很長一段時間，傳統(tǒng)車廠的車型絕大部分功能都是在設(shè)計階段就提前鎖定的，用戶想要擁有新的功能，只能購買新款車型或者對部分硬件進行更換。

也有很少的傳統(tǒng)車企在做 OTA 升級，但是大部分都是用來做 BUG 修復(fù)，所以并不是真正意義上的 FOTA 升級。

蔚來軟件開發(fā)部資深專家孔念智表示，F(xiàn)OTA 固件遠程升級是實現(xiàn)汽車智能化的重要工具。

FOTA 的核心價值在于能夠?qū)⑷麻_發(fā)的功能推送給車主，以及不斷優(yōu)化現(xiàn)有功能并改善潛在問題，讓車主享受到智能汽車技術(shù)發(fā)展的紅利，而不是重新去購買一臺車。

事實上，蔚來是全球首個通過完全自主研發(fā)實現(xiàn)大規(guī)模整車 FOTA 的汽車品牌。

2016 年 12 月，蔚來 FOTA 立項，在這之前也調(diào)研了很多車廠和供應(yīng)商的相關(guān)方案，但是最終還是選擇自主研發(fā)。

2017 年底，蔚來 FOTA 系統(tǒng)整體跑通。

2018 年 10 月底，蔚來進行了第一次大規(guī)模的系統(tǒng)升級推送。

為了保證系統(tǒng)更新的自主權(quán)，蔚來不但自研 FOTA系統(tǒng)，還自研了車內(nèi)核心的域控制器，包括智能座艙、智能語音助手、智能駕駛系統(tǒng)以及三電系統(tǒng)。

作為一家新興的智能電動車廠商，蔚來盡可能選擇自研的目的就是盡可能減少對供應(yīng)商的依賴，避免很多新功能的迭代受制于供應(yīng)商的進度，畢竟供應(yīng)商并不只服務(wù)一家主機廠，它的資源也需要進行分配。

通過自研技術(shù)的加持，蔚來現(xiàn)在可通過 FOTA 實現(xiàn)車身五大功能域的更新，包括車身域、底盤域、動力域、信息娛樂域以及輔助駕駛域。

具體的更新內(nèi)容包括：

系統(tǒng)與應(yīng)用級的雙重更新
功能涉及三電系統(tǒng)、底盤懸掛、輔助駕駛、信息娛樂等
涉及全車 35 個高安全標準的電子控制單元（ECU）

目前，蔚來的軟件開發(fā)交付體系主要分為四大步驟：

軟件包規(guī)劃
測試驗證
小批量發(fā)布
批量發(fā)布

為了保證軟件包整個生命周期可控可追溯，蔚來建立起了龐大的售后服務(wù)以及市場反饋團隊，可以通過多種渠道收集車主的反饋和建議，比如蔚來 APP、NOMI 以及蔚來 Fellow。

經(jīng)過兩年多的技術(shù)和實踐積累，蔚來的 FOTA 體系已經(jīng)形成了四大特點：

數(shù)據(jù)規(guī)范化：以整車軟件包為粒度發(fā)布固件，保證了安全性和穩(wěn)定性；
服務(wù)中臺化：根據(jù)車輛硬件/軟件/功能特性信息，規(guī)劃車輛 FOTA 升級路徑，因為每個用戶的每輛車它的配置都是差異化的，所以在 FOTA 的時候也需要做到針對性；
體系化支撐：對于車輛系統(tǒng)的全生命周期都可追溯，從研發(fā)到生產(chǎn)再到交付；
極致安全策略：完善的整車功能集成測試和交付流程（包括臺架測試、整車臺架測試、實車測試、用戶場景實測）。

當然，F(xiàn)OTA 升級和信息安全息息相關(guān)，所以這套系統(tǒng)需要有完善的防黑客攻擊策略。

蔚來的軟件研發(fā)團隊為其 FOTA 體系設(shè)置了多層次的安全機制，涵蓋了固件、軟件包、系統(tǒng)服務(wù)以及基礎(chǔ)網(wǎng)絡(luò)還有車輛終端五大層面，采用了各類加密、簽名驗證等技術(shù)措施來保證整套系統(tǒng)的安全可靠。

既然智能汽車可以通過 FOTA 技術(shù)新增各類功能、升級使用體驗，做到「常用常新」。

那么在更底層，一個怎樣的整車架構(gòu)才能滿足未來智能汽車不斷進化的需求？

2、智能汽車需要一個怎樣的整車架構(gòu)？

一級供應(yīng)商安波福正在這個領(lǐng)域展開探索和實踐。

他們提出了 SVA（Smart Vehicle Architecture）機構(gòu)，目的就是為了滿足自動駕駛和電氣化對于整車電子電氣架構(gòu)高安全性、高數(shù)據(jù)吞吐能力等的要求。

在 SVA 中，至少有兩份蓄電池電池和供電電路確保關(guān)鍵部件的供電安全，通過優(yōu)先考慮安全相關(guān)的數(shù)據(jù)流量，來確保網(wǎng)絡(luò)的穩(wěn)定性。

此外，多路徑拓撲保證數(shù)據(jù)在主路徑異常的情況下，能通過備用路徑傳輸至目標控制器。

對于大多數(shù) OEM 來說，直接切換到一種全新的電子電氣架構(gòu)幾乎是不可能的，所以可以對現(xiàn)有電子電氣架構(gòu)中單個組件采用 SVA 的理念，然后逐步漸進式的推廣。

安波福主動安全與用戶體驗事業(yè)部先進工程亞太區(qū)總工程師朱魁提到：

2015 年，安波福的自動駕駛測試車在北美進行了長距離的路測。5 年下來，安波福的研發(fā)關(guān)注點也發(fā)生了變化，在開發(fā)自動駕駛技術(shù)的同時，更多地開始對適應(yīng)智能汽車發(fā)展的全新的整車架構(gòu)進行探索。

回顧過去 40 年汽車電子的發(fā)展：

最早在 70 年代，大眾的甲殼蟲上出現(xiàn)了第一臺電子設(shè)備：收音機。
80 年代，發(fā)動機開始做電噴了。
90 年代，出現(xiàn)了車輛的信息娛樂系統(tǒng)，還有各種被動安全的設(shè)備（比如氣囊），以及車身控制開始出現(xiàn)。
進入新世紀，車輛上的主動安全功能成為熱點。
2010 年開始，4G 網(wǎng)絡(luò)興起，市場掀起車聯(lián)網(wǎng)風潮。
發(fā)展到今天，輔助駕駛大行其道，未來 10 年將向著自動駕駛進行轉(zhuǎn)變。

在這個過程中，囿于 SoC 算力低下，車輛每新加一個功能就要加一個分布式 ECU，加到現(xiàn)在一款高端車型上就有上百個 ECU，整車線束的長度已經(jīng)超過了 5 公里。

而在未來的智能汽車上，針對輔助駕駛、自動駕駛、智能座艙、數(shù)據(jù)管理等的新功能將層出不窮。特別是自動駕駛域用到的電、感知系統(tǒng)、信號傳輸系統(tǒng)、計算平臺、執(zhí)行器等都要進行冗余備份。

這樣帶來的是更多的 ECU、更復(fù)雜的線束布局，整車的 BOM 成本將會急劇增加。

這種趨勢發(fā)展下去，車輛開發(fā)周期拉長、開發(fā)難度加大、開發(fā)費用劇增，而且這還會導(dǎo)致車輛生產(chǎn)的難度加大，因為很多零部件都無法實現(xiàn)自動化組裝，而要依靠人工組裝。

這一切變化都在表明：傳統(tǒng)整車架構(gòu)發(fā)展到今天已經(jīng)走到了一個臨界點，很難支撐智能汽車下一步的進化，整車架構(gòu)需要進行變革。

現(xiàn)在的一個趨勢是：車內(nèi)的分布式 ECU正在不斷整合、匯聚。

這得益于半導(dǎo)體技術(shù)的長足進步，現(xiàn)在 1 個 CPU 的算力已經(jīng)頂 10 年前的 5-6 個 CPU 的算力。

未來 10 年，ECU 的算力還會大幅提升，最終這些 ECU 會集成到車內(nèi)的幾個域當中，比如自動駕駛域、用戶體驗域等等。

未來的車會演變成分區(qū)控制，比如特斯拉的車輛就是這樣的，Model 3 上有三個域控制器，兩個在車身前部、一個在車身后部。

安波福認為，未來的智能汽車只需要 2-4 個域控制器，比如標準的 ADAS 車型只需要左右兩個分區(qū)，而要實現(xiàn)更高級別的自動駕駛則可以使用 4-6 個域控制器。

安波福為 SVA 架構(gòu)下的車輛規(guī)劃了 4 個主要的計算平臺：

2 個通用計算平臺（主要做通用計算，比如自動駕駛域、智能座艙域的計算）
1 個底盤和推進域控制器
1 個中央汽車控制單元

在量產(chǎn)計劃上，朱魁透露，2022 年在歐洲會有部分基于 SVA 架構(gòu)的車輛量產(chǎn)，SVA 架構(gòu)的真正爆發(fā)要等到 2025 年，還需要給芯片產(chǎn)業(yè)以及供應(yīng)鏈更多時間來成長和適應(yīng)新架構(gòu)的需求。

智能汽車進化過程中，不僅需要一個全新的整車架構(gòu)來支撐，其所帶來的信息安全挑戰(zhàn)也是不小的。特別是車輛能夠通過 FOTA 實現(xiàn)車身諸多固件的升級，那這些可遠程升級的固件某種程度上也增加了被黑客遠程攻擊的可能性。

3、如何保障 FOTA 體系的信息安全？

騰訊安全科恩實驗室高級安全工程師張文凱帶來了他對于 FOTA 升級信息安全的思考。

一個 FOTA 升級包從出生到測試驗證到規(guī)模推送再到被替換是一個漫長的過程，里面有各類供應(yīng)商以及車企參與，涉及到成百上千人的開發(fā)團隊，他們勢必遺留下來一些漏洞、BUG，都會在車端暴露出來。

騰訊科恩實驗室 2016 年攻擊過特斯拉的車輛系統(tǒng)，攻擊的渠道是蜂窩網(wǎng)絡(luò)和 WiFi。

然后科恩實驗室在 WebKit 上發(fā)現(xiàn)了多個已知漏洞，系統(tǒng)內(nèi)核里也有已知漏洞，通過這一漏洞，進而攻擊車輛的網(wǎng)關(guān)，發(fā)現(xiàn) OTA 沒做簽名校驗（OTA 設(shè)計不當），跳過完整性校驗即可刷入惡意固件，實現(xiàn)對車輛的控制。

2017 年，科恩實驗室再次對特斯拉車輛系統(tǒng)進行攻擊，發(fā)現(xiàn)很多此前存在的已知漏洞已經(jīng)得到修復(fù)。但是在系統(tǒng)內(nèi)核中，還是找到了英偉達 Tegra 內(nèi)核模塊 nvmap 的零日漏洞。

雖然這個時候的特斯拉已經(jīng)為 OTA 增加了簽名校驗，但是實現(xiàn)代碼仍然存在邏輯問題，可以跳過簽名校驗，再次刷寫惡意固件，然后通過給車輛動力 CAN 發(fā)送指令影響車輛功能安全。

2019 年，科恩實驗室又針對特斯拉的 Autopilot 系統(tǒng)進行了攻擊，成功對其動力控制系統(tǒng)以及自動駕駛算法展開了攻擊。

基于以往的一些研究經(jīng)驗，張文凱表示，在車聯(lián)網(wǎng)中，很常見的一些安全問題 60% 都是一些設(shè)計缺陷和已知漏洞，涉及功能安全問題占一定比例。若多個漏洞結(jié)合就可以給攻擊者提供一條完整的遠程攻擊鏈。

車聯(lián)網(wǎng)系統(tǒng)常見的安全問題主要包括兩個方面：「設(shè)計安全」和「實現(xiàn)安全」。

所謂「設(shè)計安全」問題指的是一些系統(tǒng)內(nèi)核老舊、基礎(chǔ)防護的缺失等，「實現(xiàn)安全」問題則是指代碼實現(xiàn)出現(xiàn)邏輯錯誤、算法本身的問題等。

「設(shè)計安全」如果做得不好，很容易被黑客抓住漏洞進行攻擊，而如果是「實現(xiàn)安全」上做得不夠好，黑客攻擊起來會相對困難。

所以從某種程度上，設(shè)計安全在整個系統(tǒng)開發(fā)過程中是非常重要的一環(huán)。

開發(fā)者應(yīng)該怎么做？

張文凱總結(jié)了四點：