2018年7月27-28日,由车云、中机国际联合举办的2018第二届中国汽车智能座舱论坛在广州保利世贸博览馆召开。HERE Technologies OTA 亚太区业务发展高级经理廖志贤发布了名为《OTA -自动驾驶时代最安全的在线更新架构》的演讲。
HERE Technologies OTA 亚太区业务发展高级经理 廖志贤
以下为演讲实录,车云菌做了不改变原意的删减:
大家下午好!很高兴受到车云的邀请跟大家分享一下OTA的内容。
我们前身是ATS (Advanced Telematic Systems GmbH),做OTA有五年的历史。公司成立于2013年,今年1月被HERE Technologies并购。我会花3分钟时间介绍HERE的公司架构,其他大部分时间会用来介绍五年来跟欧洲汽车厂、日本汽车厂合作时对OTA架构的思考,针对三件事情跟大家做一些分享,第一是开源式的架构,第二是模组化跟标淮化,第三是大家关心的安全问题。
HERE是一个图资公司,我们在全球200个国家都有地图,在欧洲跟北美地区,用地图的车里,每5台就有4台用了HERE的地图,我们在全球56个国家共有8000名员工,全球有400台HERE的车采集地图,每天采集将近28TB的地图数据,目前我们的HD Live 地图覆盖了60万公里。
2015年诺基亚把地图卖给了世界前三大汽车厂,奔驰、宝马、奥迪,我们很庆幸地图可以留在汽车产业。2017年Intel入股HERE,我们在大陆地区跟四维、腾讯有很好的合作关系,Pioneer 在2017年成为我们在日本的合作伙伴,2018年博世跟Continental各自入股了我们公司。
大家都知道,以后汽车未来是资讯、智能、服务、人性化,很多嘉宾讲了很多这些东西,这些东西最主要实现的是软件。以前的车子软件大概只占10%,未来的汽车在软件方面会有40%,20%会有很多新的服务跟新的商业模式。
OTA是一个最基本的架构,未来如果汽车厂没有OTA的解决方案,三年内就很容易就被边缘化,因为他没有办法持续更新软件、没有办法做双向的沟通跟交流,没有办法组成有用的服务跟应用供车主使用。
Here除了图资以外还有很多IVI, CVS以及HAD的不同产品,架构在一个开放式的地图图资上,搭建了开放定位平台(Open Location Platform),有很多的地图数据和大数据在上面,可以提供给第三方服务整合公司. OTA不但可以支持这些不同的产品即时更新,也可以成为一个独立的产品来服务车厂。
在众多OTA公司中,我们是一家开源式架构的OTA解决方案平台,等下大家听过之后会知道开源性架构的重要性在哪里。
下图是全球汽车产业软件开源性架构协会,其中AGL以及GENIVI组织下有很多汽车厂的相关会员,我们公司经常性会参加他们的讨论会。并有许多软件技术发表。
下图是一个OTA的基本概念。以前车辆需要更新,车需要回到4S店,由服务人员通过OBD接口刷写资料,同时抓取一些车辆资料。有了OTA解决方案之后,汽车厂可以借助网络做一些远程更新和管理,这其实是一个双向的沟通,我们可以把资料从伺服器端放到车端,相对的,也可以把车端的一些资料抓回存储在云端,做一些再利用。
说到OTA,我们得提到特斯拉。特斯拉是汽车行业OTA的里程碑,是我们的目标。特斯拉从2012年就开始做OTA解决方案,通过SOTA跟FOTA大约进行了26次软件更新。特斯拉不是一个传统的汽车厂商,现在的传统汽车产业在电动车方面没办法跟特斯拉相比,OTA架构对特斯拉来说非常重要,三年内他们通过OTA解决了大大小小的问题。
2015年发生了另一个里程碑事件,2015-2017年特斯拉做了4次更新是要收费的,借由这4次更新,特斯拉获得的收入为一台车价的28%,这些新收入跟全新的商业模式,受到了很多汽车厂的关注。
除了更新之外,2014-2017年由于软件的问题,各大汽车厂都发生了召回事件,通用召回了430万辆车,玛莎拉蒂召回了3300辆车等等。如果有了OTA解决方案,我们不用再因为软件问题召回,可以在召回层面省下很多成本。
我相信现在没有一个车厂不把OTA当做一个基本解决方案,全世界每个地方,每个主要的国际性的联盟,都在尝试着制定OTA标淮。UN Task Force Cyber Security and OTA 预计在2019年会有自己的OTA的标淮出来,ISO/SAE计划在2020年做一些OTA的标淮,美国、英国跟德国有计划去做一些OTA的标淮。
特别注意的是,上图右下角有一个OTA security framework Uptane在一个专门为汽车多ECU、多电子控制元件载体上,做的OTA Update的架构,这个架构是目前被国际广泛研究和讨论的汽车安全等级OTA安全架构。
OTA在不同的阶段有不同的时代使命。大家可以看到2015-2016年间,OTA只是用来帮助公司维持品牌信赖度,你不用常常召回,减少召回对品牌的影响。2016年开始,大家可以看到一些新的商业模式衍生出来,而且这些新的商业模式会帮助整车厂获得一些新收入。在2022年这个阶段,会有很多的应用和功能出现在车上,整车厂、汽车厂考虑的是怎么把有价值的服务跟应用利用OTA技术传到车上,让使用者就算买了三年、五年的车之后,还是可以获得最新的服务。我相信这是目前汽车行业还做不到的。
到2025年之后,汽车就会有移动性的远程信息交换和自动驾驶功能,那时候就不只是为了省钱、赚钱,那时候车上有很多传感器,不管是做自动驾驶,还是做其他服务,可能你要通过OTA存取一些ECU的资料,经过大数据分析和定位分析之后,创造一些更好的服务给车主,而且这些服务可能会包含收费机制。
到那时,自动驾驶不光是车上的车联网系统做串联,还有很多机会是汽车跟汽车做沟通,使用高精度地图之后,每台车经由车上的传感器,可以知道周围的车跟自车的具体距离,从而避免意外的碰撞或者意外的发生。
再更大一块是V2X,自动驾驶L4会需要一些信息,比如前面200米的红绿灯已经变为黄灯了,这个时候系统就不会加速,你就不会浪费你的电,这是很节能的一部分。HERE还有很多垂直性的功能,比如一般的天气预报只是预报,可是在HERE的服务里面,我们有能力告诉你,上海淮海路上行驶的车在启动雨刮,代表此时此地正在下雨,我们可以把这些与位置有关的资讯传到云端后,和云端资料整合成有用的价值,再传给汽车使用者。这是2025年OTA使用的一个概况跟模式,每个时期都有每个时期该做的历史任务。
我要讲的第二个重点是模组化跟标淮化。今天我们提供OTA的解决方案,你跟我合作,这并不代表你以前有的车辆管理系统,你以前的PKI系统等等要全部要换掉。我们有我们的核心部分,比如下图绿色的部分,汽车厂有很多东西是它沿用很久、很重要的资料,比如黑色的部分,我们已经把OTA做成一个模块化、标淮化的产品,合作伙伴只要跟我们说这个架构我只需要绿色部分加上白色的部分,我就可以组成适合你的OTA解决方案。
OTA三个字很简单,我们公司需要有人去了解四五十个不同的解决方案跟软件架构,有基础设施、有云端的、有管理的、有软件研发等等,这些是我们需要了解的软件跟技术,来完成我们的OTA解决方案。
第三块是安全,安全是很重要的一部分,美国国土安全局委托密歇根大学、纽约大学跟西南实验室专门为汽车这种多电子控制元件设计了一个OTA的安全架构。
我们常常去拜访整车厂,常常问的一个问题是你觉得你的系统安全吗?大家都说我的系统安全,因为我有密钥。密钥有两种,Online Keys和Offline Keys,Online Keys很方便,富有弹性,可是它比较不安全,Offline Keys比较安全。很多IT人觉得我已经有Offline Keys了,我的系统是安全的。
可是,世界上没有一个系统是安全的,你只要有节点,黑客就会从这个节点进来。我们也不觉得Offline Keys是安全的,因为每一次OTA的流程,你的Offline Keys就要拿出来使用一次。有些人说对呀,但是我使用过之后,就会把资料抹掉。可是我们的工程师常常会问一个问题,就是你确定你的资料已经抹掉了吗?你的资料可能在转到每个不同的伺服器时,留在某个伺服器端,但是你碰不到,所以即便是Offline Keys,当你使用一次OTA,它就拿出来一次,它就暴露在风险中一次,黑客有机会从你三年前的更新、从某个节点或者从某个伺服器知道你的Offline Keys。
在Offline Keys架构上,我们去假设每个节点都是不一样的,每个节点黑客都会进来。在这个观点跟理念之下,我们同时使用Offline Keys跟Online Keys,Uptane的 TUF解决方案也可以帮我们向上管理Tier1跟Tier 2。因为更新包不是汽车厂或者Tier 1自己去生成,一定是某个ECU配合厂商生成更新包,所以Tier 2在生成更新包的时候,其实它就是被保障的,它不只是被Offline Keys跟Online Keys保障,它还会用你场内Metadata、时间戳、Snapshot的大小,还有就是你Tier1的主管跟他的QA,跟你自己车厂的OTA主管跟QA,来做一些安全的认证,就算有人进来了你的系统里面,他丢了一个不好的更新包到你的伺服器里面,你的伺服器不会理它,它不会把这个更新包丢到车端。就算这个骇客把他做的更新包直接丢车端,车在认证到这些Metadate时会有安全秘钥,认证不到Tier 1、Tier 2的Offline Keys、Online Keys,更新包在车端就不会被执行的,所以我们使用的“不同节点都可能被入侵”的观念跟角度来设计OTA的安全架构。
我们会保障不管车里或者车外,伺服器跟车子里面的安全,我们用两种不同Offline跟Online的解决方案,我们更新软件的储存槽分成两个来保证它的安全,我们还可以帮车厂管理到你的Tier 1、Tier 2的安全机制。
刚才提到开放性的架构,这是ATS从2015-2018年做的事情,2015年我们把OTA的开源架构放在GENIVI协会让GENIVI的会员使用,2016年AGL也要求我们把OTA开源架构放在他们那里,给他们的会员使用,2017年我们整合了Uptane,目前我们是唯一在云平台上整合Uptane这个安全的机制可以来服务我们的汽车产业链,2018年我们被并购了,成为HERE的一员。
这是HERE跟欧洲车厂合作的案子,我相信明年年底大家就可以看到这个车子在市面上跑,我们用一些地理信息的概念,整合一些很好的服务,再给使用者使用。同时,我们跟戴姆勒也有一些合作,戴姆勒正在使用高精地图在开发未来的自动驾驶车。
我今天的分享就到这里,谢谢大家!
