从技术的角度谈谈OTA召回

昨天，国家市场监督管理总局发布特斯拉召回公告，一下子掀起了互联网热议，这次召回的范围是在2019年1月12日至2023年4月24日期间国内销售特斯拉汽车（含国产和进口共计110万辆车），在这个召回公告中有两点值得关注，

一、召回原因描述为“没有允许驾驶员选择能量回收制动策略；同时，对驾驶员长时间深度踩下加速踏板的情况可能没有提供足够提醒。以上因素叠加可能增加长时间误踩加速踏板的概率，可能增加碰撞的风险，存在安全隐患。这是官方认定特斯拉当前强制单踏板模式的设计存在安全隐患。

二、召回方式是特斯拉通过汽车远程升级（OTA）技术，为召回范围内的车辆推送新开发的功能，以降低因长时间深踩加速踏板导致速度过快引起的碰撞风险。

近几年来，特斯拉突然加速事故屡屡上新闻，许多专业人士都提出了单踏板模式存在风险，特斯拉给出的解释总是数据显示车主踩下油门，这次召回算是对这个问题有了盖棺定论了。下面cao sir着重讲一下通过OTA召回的方式。

许多人对召回的直观印象都是进店维修，但实际上，根据《缺陷汽车产品召回管理规定》，汽车召回是指按照《规定》要求的程序，有缺陷汽车产品制造商选择修理、更换、收回等方式消除其产品可能引起人身伤害、财产损失的缺陷的过程。 因此，一旦发现产品需要召回，厂家可以根据缺陷的具体情况制订消除缺陷的技术方案，传统情况下通过进店修理或换件，但特斯拉通过OTA的方式进行缺陷修复也是符合规定的。根据国家市场监督管理总局3月2日发布的《市场监管总局关于2022年全国汽车和消费品召回情况的通告》中介绍，在2022年实施实施 OTA召回17次， 涉及车辆88.7万辆， 占全年召回总数量的19.8%。

1.什么是OTA？

OTA：空中升级（ON THE AIR）是通过无线通讯网络（WIFI/5G/4G），实现对汽车控制器的软件进行更新的技术。具体来说，OTA升级可以分为三个阶段，即组织更新包，推送更新包，安装更新包，整个阶段通过网络通信连接，最终实现终端内存储数据的更新，进而改善终端的功能和服务。

一般来说，OTA 分为三类，一种是 FOTA（Firmware-over-the-air，固件在线升级），指的是给一个车辆设备、ECU 闪存下载完整的固件镜像，或者修补现有固件、更新闪存。第二种是SOTA（Software-over-the-air，软件在线升级），指的是对操作系统、地图，应用程序进行更新升级。第三类是COTA（Configuration-over-the-air），付费购买服务后，通过OTA方式打开车辆上某项功能权限。

随着汽车智能化发展，电子电气架构从分布式进入域集中式，技术架构上更加适合OTA功能落地，越来越多的车企在自己的产品上支持OTA功能。数据显示，仅2022年1-6月，共有33家车企推送了总计92次OTA，内容方面以智能座舱相关功能的优化、升级为主，智能辅助驾驶是新势力品牌重点升级方向。

2.OTA如何实现？

以汽车嵌入式控制器为例，其软件软件代码分为两大类，一部分是操作系统、用户数据、标定数据等代码，统称为应用程序（APP），另一部分则是运行引导程序（Bootloader）。

Bootloader是一段独立的代码（这段Boot代码一般是出厂预置，或使用编程器烧录的，通常只有1k或4k，通常是占用一块独立的Block，当系统上电之后，Bootloader可以进行：关闭WATCHDOG、改变系统时钟、初始化存储控制器、将更多的代码复制到内存中等一系列初始化动作，然后再将操作系统内核制到内存中运行。简单地说，Bootloader就是这么一小段程序，它在系统上电时开始执行，初始化硬件设备、准备好软件环境，最后调用操作系统内核进入工作。与之对应的是PC中的BIOS。

由于Bootloader保存在Flash的首地址，MCU上电后，默认从Flash开始的第一个读取栈指针，第二个字就是复位中断的入口，并根据该指针进度复位处理函数中执行相应的函数，由于中断向量表1寻找复位中断处理函数指向Bootloader，所以必然首先进入Bootloader程序中中执行，进行初始化设置，然后再进入下一个中断向量表2中执行APP程序的复位中断处理函数。

Bootloader和APP应用程序在嵌入式存储器中的位置如下：

由于我们所有的操作系统和用户数据都放在APP程序中，通过更改这部分数据可以优化控制器的使用体验，所以许多汽车厂家所谓对MCU进行固件更新（FOTA）实际上就是对MCU内存中的APP存储区域进行刷写。刷写有两种方式，一种是先擦除当前版本软件，再刷写新版本软件，但这种方法有个隐患，就是新软件有问题时，由于旧软件已经被擦除，没有备份，恢复会很麻烦；另一种方式A/B交换，内存中会分两块区域，一块存放当前版本软件，另一块存放旧版本软件。当OTA升级新版本软件时，新版本软件将代替旧版本软件，这时，一块放的是当前版本软件，另一块放的是新版本软件。再激活运行新版本软件，此时原先的当前版本就变为旧版本软件，作为备份，以防运行的新版本软件有问题，可以及时回滚恢复。刷写完成以后，重新启动，控制器运行新的软件。

由于OTA可以对控制器软件进行擦写，为了确保软件的完整性，可信性，许多车企在OTA系统中开发了安全服务平台。

此外为了，节省OTA下载时流量费用，许多车企开发了差分升级的技术，即利用算法，做出原版软件和新版软件差分包，将差分包下载到flash中，内部的BootLoader程序再利用算法将新版软件还原，一般差分包只有原包的5%左右。

3.OTA运营流程

前面简单介绍了OTA技术的实现原理，但落到具体实施层面如何组织一场OTA活动，就是OTA运营的范畴了。下面是一种许多车企通用的OTA运营流程图，可以大致分为OTA研发测试阶段、OTA实施阶段、OTA后响应阶段、OTA后评估阶段四个阶段。

3.1 OTA研发测试阶段

该阶段主要包括需求管理、功能开发，验收测试、基线发布四个小阶段。

需求管理主要是进行需求发起，需求评审，验收测试主要与功能开发测试不同，它主要是在OTA端到端全链路环境中验证功能的成熟度，售后部门亦需验证线下诊断仪的刷写能力，不仅作为基线发布的必要条件，更为FOTA小概率失败的援救行动提供工具支持。基线测试完成发布时，OTA运营需要编写本次发布的ReleaseNote H5页面，文案需要突出本次版本的新功能和亮点。软件内容和release note都要提交监管部门进行备案。

3.2 OTA实施阶段

该阶段主要包括监管备案，智行团发布，灰度发布，批量发布等动作。

在整车功能和FOTA测试通过，且备案完成后，OTA任务可以正式发布了。然而，相对于工程车较为简单的环境，FOTA在实车的复杂情况和状态下的健壮度仍需进一步观察和验证。此时，会邀请升级活跃度高、抱怨概率低的员工车或者忠实用户可作为“智行团”率先执行升级操作，一般可放在公司园区执行，一旦出现了升级异常，救援方便，更容易截取日志分析原因。

“智行团“用户测试完成后，进行意见反馈收集，组织相关产品和研发团队进行问题整改和修复。灰度发布是通过小范围、分批次的发布方式，观察升级版本的稳定性，决策是否将任务全量发布至所有车辆，从而有效规避发布风险和降低版本发布升级的影响范围。

灰度发布需要运营在后台对灰度车辆进行监控、运维、远程协助；相较于内部用户测试，灰度任务还需新增售后话术和售后救援资源。灰度发布的任务数据形成灰度发布报告，作为正式任务批量发布的决策依据。

在灰度发布的同时，可在手机APP、微博、抖音等渠道进行FOTA新版本的宣传，让用户知晓本次升级任务，通过炫酷的图文和视频介绍新功能，引起用户对于升级的强烈兴趣。

3.3 OTA后响应阶段

在批量发布实施日期到达后，在FOTA平台触发任务生效。一线客服集中协助用户安装指导和小概率失败后的操作，售后服务团队提前准备包括但不限于线下刷写工具、拖车、代步车、升级失败备用件的救援资源，同时研发团队也需快速响应问题，识别出问题责任方并排期修复，对于严重失败需和售后共同参与现场救援。

3.4 OTA后评估阶段

在任务结束后，收集本次OTA活动过程中的数据，形成正式任务报告，对升级完成率和成功率进行复盘。分析偶发的失败case，寻找相应对策，进行优化改进Lesson&Learn。售后问题和功能缺陷录入JIRA等管理工具，解决的实施方案合并入下一次基线发布中。

4.OTA监管备案

书接上回，在OTA运营流程中，有一个非常重要的环节就是监管备案，这是为保障软件升级后车辆功能及信息安全符合法律法规的要求以及车辆用户的生命财产安全而通用的国际监管规则。

4.1 欧盟UNECE R156

2020年6月，联合国世界车辆法规协调论坛（简称为UN/WP.29）发布了3项关于智能网联汽车的重要法规R155/R156/R157，即信息安全（Cybersecurity）/软件升级（Software updates）/自动车道保持系统（ALKS）。其中UNECE R156主要是关于SUMS（software update management system）以及相应的VTA（Vehicle type approval）说明。SUMS主要内容有：建立SUMS体系、RXSWIN管理、确保软件升级流程的安全、描述软件升级前后型式认证相关的硬件和软件；VTA主要内容有：信息安全、软件识别码、升级前、升级中、升级后。SUMS是VTA的一个前提条件，即车企在获得SUMS之前不允许进行VTA测试，VTA相关的车型能测试也会对相应的一些信息安全或软件识别码进行相应的测试和管理。

4.2 国内监管法规

针对OTA监管，我国从市场准入、产品生产一致性、数据、个人信息与网络安全、召回管理等多方面制定监管制度，已初步形成一套管理体系。

4.2.1市场准入和产品生产一致性方面

2021年7月30日工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》规定，企业生产具有OTA功能的汽车产品，应当建立与汽车产品及升级活动相适应的管理能力，具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力，确保车辆进行在线升级时处于安全状态，并向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。

同时规定企业实施在线升级活动前，应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案，涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报，保证汽车产品生产一致性。未经审批，不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。

4.2.2 数据、个人信息与网络安全方面

首先，车企对汽车进行OTA行为应当遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》《汽车数据安全管理若干规定（试行）》的相关规定。

工业和信息部也另行发布了具体工作要求及规定。2021年6月8日发布《关于开展车联网身份认证和安全信任试点工作的通知》，国家将加快推进车联网网络安全保障能力建设，构建车联网身份认证和安全信任体系，推动商用密码应用，保障蜂窝车联网（C-V2X）通信安全，已经开展车联网身份认证和安全信任试点工作。2021年9月13日发布《关于开展汽车数据安全、网络安全等自查工作的通知》，对生产者组织开展汽车数据安全、网络安全、软件OTA升级和驾驶辅助功能情况自查工作。2021年9月15日发布《关于加强车联网网络安全和数据安全工作的通知》，其中关于OTA规定，要求生产者要加强在线升级服务（OTA）安全和漏洞检测评估，建立在线升级服务软件包安全验证机制，采用安全可信的软件；开展在线升级软件包网络安全检测，及时发现产品安全漏洞；加强在线升级服务安全校验能力，采取身份认证、加密传输等技术措施，保障传输环境和执行环境的网络安全；加强在线升级服务全过程的网络安全监测和应急响应，定期评估网络安全状况，防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险。

4.2.3 召回管理方面

国家市场监督管理总局于2020年11月23日发布《关于进一步加强汽车远程升级（OTA）技术召回监管的通知》规定，生产者采用OTA方式对已售车辆开展技术服务活动的，应按照《缺陷汽车产品召回管理条例》及《缺陷汽车产品召回管理条例实施办法》要求，向市场监管总局质量发展局备案。生产者采用OTA方式消除汽车产品缺陷、实施召回的，应按照上述召回条例及召回实施办法要求，制定召回计划，向市场监管总局质量发展局备案，依法履行召回主体责任。如OTA方式未能有效消除缺陷或造成新的缺陷，生产者应当再次采取召回措施。2021年6月4日发布《关于汽车远程升级（OTA）技术召回备案的补充通知》规定，生产者备案采用OTA方式的技术服务活动或召回时，需提交《汽车远程升级（OTA）安全技术评估信息表》。

工业和信息化部于2022年4月发布《关于开展汽车软件在线升级备案的通知》，明确了备案要求和备案工作流程。通知规定，涉及产品安全、环保、节能、防盗等技术性能变化的相关升级活动，应提交验证材料。涉及《公告》技术参数变更的，应在备案前向工业和信息化部申请产品变更或扩展，按流程完成《公告》产品准入后才能开展升级，保障汽车产品生产一致性。涉及汽车自动驾驶功能（L3级及以上）的相关升级活动，同样应经工信部批准。在各项功能前期审核完成后，车企可通过 “汽车软件在线升级备案系统”线上发起备案流程。

综上，特斯拉需要在实施OTA召回前5个工作日内提交汽车远程升级（OTA）安全技术评估信息表和电子版升级包。

随着汽车“新四化“的发展，OTA作为智能网联汽车不断升级迭代的重要技术管道，已经日益成为贯穿研发、生产、售后的重要环节。OTA功能可以作为生产制造的延续使智能化汽车不断更新功能和性能，但同时也带来了数据安全、网络安全、个人信息等多个方面的问题。如何将OTA这头神兽关进笼子里并发挥最大化效能为用户和车企创造更多的价值，是企业和政府共同面对的课题。

总之一句话，对OTA技术我们既要用好，也要管好！

审核编辑 ：李倩