ChinaIndustryInnovationAllianceforlheIntelligentandConnecten PAGEPAGE105/易圖通科技（北京）博泰車聯(lián)網(wǎng)科技（上海）紫光展銳（上海）愛瑟福信息科技（上海）賽靈思電子科技（上海）第一章前 編制背 編制方 第二章汽車遠(yuǎn)程升級(jí)（OTA)定義與技術(shù)體 第三章汽車遠(yuǎn)程升級(jí)（OTA）政策法規(guī)標(biāo)準(zhǔn)研 第四章汽車遠(yuǎn)程升級(jí)(OTA)產(chǎn)業(yè)生態(tài)研 第五章汽車遠(yuǎn)程升級(jí)（OTA）安全風(fēng)險(xiǎn)研 第六章汽車遠(yuǎn)程升級(jí)(OTA)測試評(píng)價(jià)研 國內(nèi)主要第三方測試機(jī)構(gòu)概 第七章汽車遠(yuǎn)程升級(jí)（OTA）發(fā)展建 加強(qiáng)政策引導(dǎo)，完善監(jiān)管機(jī) 強(qiáng)化標(biāo)準(zhǔn)引領(lǐng)，規(guī)范行業(yè)發(fā) 重視流程管理，形成完善體 推進(jìn)協(xié)同創(chuàng)新，構(gòu)建良好生 參考文 附件1:UNR156與ISO24089:2023的映射關(guān)系 附件2:2021年-2022年OTA召回情況分 附件3:OTA企業(yè)開發(fā)案 附件4:OTA系統(tǒng)功能測試主要測試 附件5:OTA體驗(yàn)評(píng)價(jià)主要測試 OTA技術(shù)最應(yīng)用在PC電腦和移動(dòng)手機(jī)行業(yè)近幾年才開始在汽車行業(yè)中廣泛應(yīng)用。然而車內(nèi)通訊網(wǎng)絡(luò)的復(fù)雜性、汽車電子系統(tǒng)的碎片化等因素限制著-端”O(jiān)TA技術(shù)的設(shè)計(jì)開發(fā)、技術(shù)驗(yàn)證和生汽車OTAOTA的快速普及。OTA的本質(zhì)是通過技術(shù)實(shí)現(xiàn)軟件更新，智能網(wǎng)聯(lián)汽車與傳統(tǒng)汽車的軟件升OTA技術(shù)，原始設(shè)備制造商（OEM）可以不用通過售后遠(yuǎn)程軟件升級(jí)Air上對(duì)應(yīng)用程序進(jìn)行遠(yuǎn)程升級(jí)。SOTA通過遠(yuǎn)程下載并給車輛安裝“應(yīng)用程序升級(jí)遠(yuǎn)程固件升級(jí)Air上所有支持固件更新的電子控制單元（ECU）FOTA范圍中。遠(yuǎn)程配置Air遠(yuǎn)程診斷/遠(yuǎn)程數(shù)據(jù)更新GG。DOTA(DiagnosticOver-The-Air)，即遠(yuǎn)程診斷，通過云平臺(tái)實(shí)時(shí)數(shù)據(jù)采集監(jiān)其他類型到外部智能設(shè)備交互功能的軟件更新，比如，智能鑰匙、AR設(shè)備等。目前有些XOTAEverythingOver-The-Air的意思。2-1OTA主要集OTA應(yīng)用越來越成熟，從單一的售后升級(jí)場景向更多的應(yīng)用場景發(fā)展是的2-1ECU供應(yīng)商產(chǎn)線是最可以切換到最新軟件版本的節(jié)點(diǎn)該節(jié)點(diǎn)進(jìn)行軟件切換可避免舊版OTA方式。OEMOEM不會(huì)在產(chǎn)線進(jìn)行大量軟件刷寫。OTA。OTA技術(shù)，用戶可隨時(shí)隨地通過簡單操作完成軟件更新，使車輛“常用常新”。目前OTA2-22-2OTA方式召回，可以在短時(shí)間內(nèi)批量完成問題軟件的修復(fù)，盡可能降低軟件缺陷造成的OTAOTA場景之一。COTA應(yīng)用，比如用戶可根據(jù)個(gè)人需求，完成怠速調(diào)整、車下啟動(dòng)/熄火，OTAOTAOEMOTA應(yīng)用場景。汽車OTAOEM內(nèi)部開發(fā)部門編譯出來的軟件或ECU中的版本，以實(shí)現(xiàn)預(yù)期的特定功能。因此，汽車軟件升級(jí)所需要的核心工作是建立遠(yuǎn)程傳輸鏈路并實(shí)現(xiàn)OEM云端系統(tǒng)遠(yuǎn)程更新車輛ECU，OTA1.ECU2.OEM內(nèi)部開發(fā)部門生產(chǎn)的軟件驗(yàn)證合格后，經(jīng)由產(chǎn)品生命周期管理系統(tǒng)(PLM)OTA云平臺(tái)，供更新使用。3.OTA任務(wù)發(fā)4.OTAOTAOTA主控執(zhí)行軟件更新動(dòng)作，OTA主OTA系統(tǒng)可能由于升級(jí)對(duì)象升級(jí)包大小原因，OTA主控不會(huì)直接下載升級(jí)包而是通過相ECU完成其所需升級(jí)包的下載。5.OTAECU指定存儲(chǔ)介質(zhì)。ECU硬件不同、通信方式不同，通常安裝的過程會(huì)有所差異。6.7.8.ECU9.OTAOTAOTA云平臺(tái)可以根據(jù)車輛最新狀態(tài)OTAOTAIT管理系統(tǒng)、安webOTA2-2OTAWeb端用戶交互頁面的功能。核心思想是前端頁面通過調(diào)用后端的接口并2-4。2-4ECU不同版本的所有軟件實(shí)體，包含軟件包的簽名加密以及各版本與其關(guān)OTA平臺(tái)實(shí)現(xiàn)在線化，達(dá)到自動(dòng)流傳，OTAPKI系統(tǒng)對(duì)接完成升級(jí)包的簽名加密，車端設(shè)備的身安全訪問控制ECUECU實(shí)現(xiàn)獨(dú)立的安全訪問方案。OTA任務(wù)推送的車輛數(shù)，保證系統(tǒng)資源和售后資源OTAPKIInfrastructurePKIPKIOTA系統(tǒng)中的作用主要在于為相關(guān)實(shí)體發(fā)放數(shù)字證書，通過密碼技（VLCS理系統(tǒng)(BOM)OTAIT管理系統(tǒng)、安全服務(wù)端、web控制臺(tái)、文件服務(wù)端2-5所示。PKI簽名驗(yàn)簽在升級(jí)過程中，OTAOTA云平臺(tái)下載的升級(jí)包、升數(shù)字證書身份認(rèn)證及信息安OTA2-6OTAOTA2OTAOTA對(duì)象，如圖2-3車載端功能模塊(AutoSAR按照車載端的工作流程，車載端的功能模塊包括：OTA客戶端負(fù)責(zé)與云端進(jìn)2-7所示。升級(jí)管理（OTAOTAECUECU，ECUECUs需要同時(shí)更新的情況下尤為重要。OTAOTAManager車定制化功能，OTAManager還需能夠靈活定義升級(jí)的具體范圍，升級(jí)時(shí)機(jī)，升級(jí)內(nèi)OTAOTAOTAOTAOTA控制命令，反饋控BootloaderECU，ABABswap雙備份分ECU,ECU負(fù)責(zé)確保車輛在安全狀態(tài)下進(jìn)行升級(jí)，其功能主要包括兩個(gè)OTA的要求，比如判斷②車輛狀態(tài)控制,OTAAPPE/E架構(gòu)的不同以及控制器升級(jí)方式的不同，功能模塊的部署方式OTA主控部署的位置不同，大致方案、網(wǎng)關(guān)（GW）2-4TCU/IVIECU的軟件刷寫，GW僅作為路由實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，刷寫的鏈路比較長；后一種方案GWGW并不能直接聯(lián)網(wǎng)，如果通過TCU/IVI路由聯(lián)網(wǎng)必須增加安全機(jī)制，或者由TCU/IVI下載升級(jí)包后再分發(fā)至2-4OTA主控部署方案傳統(tǒng)網(wǎng)關(guān)分布式架構(gòu)下，由于控制器分散以及層級(jí)很深，導(dǎo)致在實(shí)現(xiàn)OTAOTA主控內(nèi)部對(duì)軟件進(jìn)行備份，以保證升級(jí)失敗后，控制器可以FlashRAM容量小，實(shí)現(xiàn)也比較困難。E/E“中央計(jì)算平臺(tái)+區(qū)域控制器”E/EOTA。SOA架OTA主控部署方2-5所示?？刹捎弥醒肟刂茊卧?CCU)ECU的刷寫有兩種方式：1)區(qū)域控制器作為網(wǎng)關(guān)路由UDS報(bào)文，主控通過UDS升級(jí)區(qū)ECU的更新文件傳輸?shù)絽^(qū)域控制中，由區(qū)域控器完整自身升ECUECU芯片類型及運(yùn)行軟件的特性可分ECUECUECU類型根據(jù)其內(nèi)存空間結(jié)構(gòu)又可以分為4種方案，本小節(jié)將分別對(duì)其展開討論。 ECU單分區(qū)（Bootloader）ECU由于存儲(chǔ)空間有限，通常會(huì)采用流式刷寫的方式進(jìn)行升級(jí)，所謂流式刷寫即先將目標(biāo)刷寫空間的數(shù)據(jù)擦除，然后傳輸數(shù)據(jù)的同時(shí)，ECUBootLoaderUDS協(xié)議刷寫的方式就是典型的流式刷寫。ECU切換2-6BootloaderECU功能無法使用，如果更新過程異常中斷或者失敗也會(huì)導(dǎo)致功能無法BootLoader進(jìn)行更新不受應(yīng)用程ECU的更新仍ECU雙分區(qū)（AB分區(qū)）ABAB分區(qū)彼此為回滾，ABB分區(qū)BECU刷新AB1A/B交換方ECU內(nèi)存足夠，而且支持地址重映射，也就是當(dāng)新版本軟件刷AB2-7所示。2-7ABECUECU是指具有高性能處理器，可運(yùn)行現(xiàn)代操作系統(tǒng)(Linux、QNX、Android等)支持文件系統(tǒng)的控制器。這類控制器存儲(chǔ)介質(zhì)成本相對(duì)較低，一般存ECUECU的升級(jí)通常采用私有協(xié)議，通過升級(jí)代理(updateagent)OTA主控的升級(jí)包和控制命令，根據(jù)主控的指令使用本地安裝程序(Installer)2-8ECU升級(jí)單分區(qū)方案2-8ECUECU切換至更新子系統(tǒng)，在子系統(tǒng)中通過安裝程序?qū)⑸?jí)包安裝到主ECUECU雙分區(qū)方案與單分區(qū)相似，雙分區(qū)方案具有兩個(gè)結(jié)構(gòu)完全相同的A系OTA主控接收升級(jí)包文件，并保存在升級(jí)包緩存區(qū)；②升級(jí)包接收完成后由進(jìn)行解密、簽名認(rèn)證；③OTA主控安裝命令后，A系統(tǒng)分區(qū)安裝程序?qū)⒕彉?biāo)志設(shè)置為B⑤BOTA主控需要具備一定車輛功能控制能力，根據(jù)不同的升級(jí)類型，控制車輛的OTAECUECUUDS協(xié)議、AUTOSARAP的UCM。FBL規(guī)范定義了控制器要實(shí)現(xiàn)軟件刷寫所需遵循的軟件架構(gòu)，并且定義了刷寫時(shí)需要使用哪些UDSUDS診斷服務(wù)，可以命令控制ECUUDS處理軟件更新請(qǐng)求的服務(wù)。UCMAP上更新，安裝，刪除和保留軟件記APAUTOSARAP的軟件更新。除了升級(jí)遵從標(biāo)準(zhǔn)協(xié)議的傳統(tǒng)控制器，OTAECU的升級(jí)。ECUOTAOTA主控進(jìn)行信息交互，實(shí)現(xiàn)升級(jí)的觸發(fā)ECUMCU2-82-9、2-10所示。2-8ECUECU接收到差分包后，使用算法將差分包中的更改與當(dāng)前軟件版本進(jìn)行合ECU2-9v1.0v1.1v1.0-v1.1-update.patchECUv1.0-v1.1-update.patch后，開始后2-10差分還原算法輸入?yún)?shù)為舊版本安裝包v1.0與差分升級(jí)包v1.0-v1.1-update.patchv1.1。ECU端安v1.1完整升級(jí)包實(shí)現(xiàn)升級(jí)目標(biāo)。安全啟動(dòng)(SecureBoot)用于保證固件啟動(dòng)的代碼受信任的安全保證機(jī)制，它ECU端需要具備對(duì)所安裝軟件包進(jìn)行完整性校驗(yàn)和真實(shí)性校驗(yàn)的能力，這2-8所示。2-9OEMOTA人機(jī)交互方式各有差異，本節(jié)共總2-92-10AB分區(qū)技術(shù)來實(shí)√APP√通過運(yùn)營公司的車輛管理平臺(tái)確認(rèn)授權(quán)并設(shè)APPOEM設(shè)定的時(shí)間(比如凌晨)手機(jī)端APP進(jìn)行版本檢查，通過手機(jī)下發(fā)下√向車主的手機(jī)端汽車軟件在線升級(jí)具備經(jīng)濟(jì)、高效的顯著特征，但對(duì)原有汽車管理模式帶來了新的挑戰(zhàn)，需要綜合分析國內(nèi)外汽車創(chuàng)新管理模式和最佳應(yīng)用實(shí)踐，從產(chǎn)品管理、技術(shù)發(fā)展角度提出針對(duì)性建議，以應(yīng)對(duì)復(fù)雜多變汽車安全形勢(shì)、保OTA標(biāo)準(zhǔn)體系，促進(jìn)汽車產(chǎn)業(yè)高質(zhì)量UNR156的截至日期[2]。UNR155/R156M類、N1O類車輛。UNR155落實(shí)車輛網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，提供安全可靠的軟件更新，確保車輛安全UNR1563-13-220226WP.29187次全體會(huì)議上審議通過了《適用于<1958年協(xié)定書>和<1998年協(xié)定書>締約方的關(guān)于網(wǎng)絡(luò)安全和軟件更新的統(tǒng)一規(guī)定》建議案。UNR155UNR156盡可能保持一致，未來此建議案的實(shí)行，也將為1998年協(xié)議書締約國的中國在制定有關(guān)汽車網(wǎng)絡(luò)安全的法規(guī)和/或車輛軟件3-1UNR1553-2UNR1562019年11月發(fā)布的法規(guī)(EU同規(guī)定了歐盟的型式批準(zhǔn)流程（3-3所示3-3*AnnexI聯(lián)合國法規(guī)(UNRegulation)*AnnexII技術(shù)20223月歐盟提出的《車輛安全——無限量、小批量和特殊用途的全自3-1202276202477(EU)2018/858對(duì)于軟件更新的規(guī)定，國家主管部門應(yīng)拒(EU)2018/858202677(EU)2018/858對(duì)于軟件更新的規(guī)定，則小批量生產(chǎn)的或特殊(EU)2018/858（DOT認(rèn)EPA可對(duì)已生產(chǎn)和組裝的汽車整車、設(shè)備或零部件實(shí)施抽檢，若達(dá)不到安全3-4所示。3-4當(dāng)前，NHTSA要求制造商對(duì)以彌補(bǔ)不合理安全風(fēng)險(xiǎn)為目的的修復(fù)活動(dòng)（包NHTSA通和機(jī)動(dòng)車輛安全法案》(NationalTrafficandMotorVehicleSafetyAct)政策[5]NHTSA施行的召回制度無法充分適應(yīng)網(wǎng)聯(lián)車輛，導(dǎo)致政府對(duì)車輛3-2列舉的美國軟件升級(jí)事件可對(duì)中國法律法規(guī)制定起到借鑒作用。3-22015下，F(xiàn)CA140萬輛汽車和卡車的召回流程。FCA通知消費(fèi)者下載安全補(bǔ)丁，或去經(jīng)銷商處進(jìn)行FCA雖然同意召回車輛，但聲稱網(wǎng)絡(luò)風(fēng)險(xiǎn)不是安全202019年，一名司機(jī)在使用特斯拉半自動(dòng)自動(dòng)駕駛技20228月，NHTSAAutopilot系統(tǒng)造成OTA方式更新了“急救車車燈檢測”功能，該功能使（RoadTransportVehicleAct）是汽車認(rèn)證制度的法3-5所示。3-5*20204月生效的日本《道路運(yùn)輸車輛法》修正案，針對(duì)配備自動(dòng)駕駛設(shè)如表3-33-3MLIT標(biāo)準(zhǔn)”）UNR155中網(wǎng)絡(luò)安全管理體系（“CSMS技術(shù)標(biāo)準(zhǔn)”）品公告管理的職能部門，2010年發(fā)布的《車輛生產(chǎn)企業(yè)及產(chǎn)品生產(chǎn)一致性監(jiān)督20217月發(fā)布的《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》OTA活動(dòng)進(jìn)行監(jiān)督。20224月發(fā)布的《關(guān)于開展13-4OTA序號(hào)名稱部門主要內(nèi)容《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生見》（2021.07）工信部級(jí)備案的通知》工信部裝備中規(guī)定如何開展汽車軟件在線升級(jí)備案工作，規(guī)定了備案范圍、備案要求、備案工作流程、實(shí)施安排、企業(yè)責(zé)任等。OTA2012年所發(fā)布的《缺陷汽車產(chǎn)品召回管理?xiàng)l例》及序號(hào)名稱部門主要內(nèi)容《缺陷汽車產(chǎn)品召回管理?xiàng)l《缺陷汽車產(chǎn)品召回管理?xiàng)l國家市場監(jiān)管《關(guān)于進(jìn)一步加強(qiáng)汽車遠(yuǎn)程國家市場監(jiān)管國家市場監(jiān)管總局質(zhì)量發(fā)展OTA5/云平臺(tái)/國家市場監(jiān)管OTA技術(shù)服務(wù)的影響。《家用汽車產(chǎn)品修理更換退國家市場監(jiān)管OTA技術(shù)作為《三包》《關(guān)于試行汽車安全沙盒監(jiān)工信息化部、交通運(yùn)輸部、應(yīng)急部、海關(guān)OTA技術(shù)的汽車可作為沙盒監(jiān)管的OTA得到較預(yù)防，已在《中華人民共和國網(wǎng)絡(luò)安全法《中華人民共和國數(shù)據(jù)安智能網(wǎng)聯(lián)汽車分層解耦、跨域共用的特征，OTA技術(shù)在應(yīng)用層和計(jì)算平臺(tái)的升OTA技術(shù)帶來的新型網(wǎng)絡(luò)安全、數(shù)據(jù)安全風(fēng)險(xiǎn)，安全保障體系亟須健全完善。3-5序號(hào)名稱部門工信部、國家互聯(lián)網(wǎng)信息辦公室、公安部國家互聯(lián)網(wǎng)信發(fā)展和改革委工信部裝備中心工信部17項(xiàng)具體要求。產(chǎn)業(yè)發(fā)展、標(biāo)準(zhǔn)先行。標(biāo)準(zhǔn)在推動(dòng)新技術(shù)新功能發(fā)展過程中發(fā)揮著基礎(chǔ)引領(lǐng)作用。OTA技術(shù)的規(guī)?；瘧?yīng)用推動(dòng)了汽車、通信、大數(shù)據(jù)、安全等跨領(lǐng)域行業(yè)組織及社會(huì)團(tuán)體的標(biāo)準(zhǔn)制定工作。本文基于OTAOTA信息安全、OTA技術(shù)管理、OTA工程開發(fā)應(yīng)用和軟件接口5個(gè)分類，共梳理出國內(nèi)外標(biāo)準(zhǔn)27項(xiàng)，如表3-7所示，并遴選關(guān)鍵標(biāo)準(zhǔn)進(jìn)行概述。3-7OTAOTAUNR156TC114OTAUNR155ITU-TX.1373IEEE-ISTO6:UptaneStandardforDesignIEEE-GB/T40861-2021TC114GB/T40856-2021TC114GB/T40855-2021TC114TC114TC114T/CCSA480-2023《車聯(lián)網(wǎng)在線升級(jí)(OTA)CCSAYD/TCCSAT/CSAE1010-2018CSAE中國汽車CSAE中國汽車CSAE中國汽車OTATC463全國產(chǎn)品缺陷與安全管理標(biāo)準(zhǔn)化技術(shù)委員OTAISO24089ST-OTA-1SystemRequirementsDefinitionST-OTA-2DataRequirementsDefinitionST-OTA-3HMIRequirementsDefinitionST-OTA-4VehicleSystemRequirementsST-OTA-5In-vehicleRewriteRequirementsDefinitionST-OTA-6In-vehicleCommunicationSpecificationST-OTA-7ProcessRequirementsDocumentST-OTA-8ST-OTA-9ComplianceTestSpecificateion-OTAMasterST-OTA-10ComplianceTestSpecificateion–TargetECU TC114TC114API參考》CAAMCSAE中國汽車CSAE中國汽車T/CSAECSAE中國汽車CSAE中國汽車GB《汽車軟件升級(jí)通用技術(shù)要求》報(bào)批稿規(guī)定了汽車軟件2024OTA功能的汽車產(chǎn)品的準(zhǔn)入強(qiáng)UNR156和國標(biāo)對(duì)整車企業(yè)的軟件升級(jí)管理體系（SUMS）建設(shè)和型式認(rèn)證方面提出了具體要求。UNR156RXSWIN，相同描（SWIN商定義，用于表示與準(zhǔn)入或認(rèn)證相關(guān)系統(tǒng)中軟件信息的專用標(biāo)識(shí)符。其中UNR156SUMS體系建設(shè)方面的要求基本相同，在車輛型式認(rèn)證中，針對(duì)3-6、3-7所示。3-6管理體系建設(shè)要求3-72017年3月，國際電信聯(lián)盟電信標(biāo)準(zhǔn)分局(ITU-T)發(fā)布建議書（標(biāo)準(zhǔn)）X.13732022年進(jìn)行修訂。本標(biāo)準(zhǔn)首先提出軟件升級(jí)通用車載模型包括信息設(shè)備、電子控制單元(ECU)和車輛移動(dòng)網(wǎng)關(guān)(VMG)等，以及軟件升級(jí)通用過程。之后定義軟件升級(jí)的傳輸消息類型和格式。2022年修訂版本提出了三種軟件升級(jí)的主要威脅和針對(duì)三種威202110（以下簡稱“汽標(biāo)委202110月，汽標(biāo)委GB/T40861-2021《汽車信息安全通用技術(shù)要202310GB《汽車整車信息安全技術(shù)要求》已提交202310月，中國通信標(biāo)準(zhǔn)化協(xié)會(huì)提出的行標(biāo)《車聯(lián)網(wǎng)在線升級(jí)OTA安全技術(shù)要求與測試方法》已發(fā)布。該標(biāo)準(zhǔn)對(duì)GB《汽車整車信息安全技術(shù)要求》OTA云端服務(wù)平臺(tái)安全、通信鏈路安全、OTA應(yīng)用安全等方面的技術(shù)要求與測試方法。2018（CAICV，以下簡稱“創(chuàng)新聯(lián)盟”）T/CSAE1010-20182022年T/CSAE252-2022《智能網(wǎng)聯(lián)汽車車載端信息安全測試規(guī)程》共同規(guī)定了T/CSAE1010-2018提出了軟件升級(jí)包來源鑒別、T/CSAE252-2022提出為規(guī)范缺陷汽車產(chǎn)品召回，全國產(chǎn)品缺陷與安全管理標(biāo)準(zhǔn)化技術(shù)委員會(huì)GB/T34402-2017GB/T39603-2020GB/T40914-2021GB/T41047-2021《汽車產(chǎn)品召回過程追溯系統(tǒng)技術(shù)要求》等國家推薦標(biāo)2021TC463發(fā)布《基于遠(yuǎn)程升級(jí)技術(shù)的汽車產(chǎn)品召回實(shí)施要求》國標(biāo)研工程》。ISO24089形成了一整套從管理到功能開發(fā)、再到開展升級(jí)的規(guī)范。該OTA支撐設(shè)施和車輛產(chǎn)品的軟件升級(jí)功能。以及開發(fā)驗(yàn)證軟件升級(jí)包和實(shí)施軟件升級(jí)相關(guān)的流程的規(guī)范。ISO24089發(fā)布后除指導(dǎo)企業(yè)實(shí)施OTA外，也可被認(rèn)證機(jī)構(gòu)采用，作為整車廠和供應(yīng)商具備軟件升級(jí)能力的認(rèn)證24089UNR156SUMS認(rèn)證和車輛型式審批等的要求，還考慮OEM與供應(yīng)商協(xié)同開發(fā)的工作方式；軟件升級(jí)帶來的車輛功能安全風(fēng)險(xiǎn)和預(yù)期功能安全風(fēng)險(xiǎn)；給出功能開發(fā)和升級(jí)活動(dòng)中的不同示例等。UNR156與ISO24089：202313-8所示。SystemRequirementsOTADataRequirementsOTAHMIRequirementsOTAHMIVehicleSystemOTAIn-vehicleRewriteRequirementsECUIn-vehicleCommunicationECUProcessRequirementsOTAOTAComplianceTestSpecificateion-OTAOTAMasterComplianceTestSpecificateion–TargetECU（AUTOSAR(andConfigurationManagement)制定OTA相關(guān)標(biāo)準(zhǔn)，已發(fā)布版本為R21-11的RequirementsonUpdateandConfigurationManagementSpecificationonUpdateandConfigurationManagement。UCMPackageManagementVehiclePackageManagement服務(wù)接口，支持整車升級(jí)包的下載，并把整車升級(jí)包基于SOA理念的電子電氣架構(gòu)開發(fā),使互相分散的ECU及對(duì)應(yīng)的功能以O(shè)TAOTA關(guān)鍵共性技術(shù)的研發(fā)，將支持軟件的持續(xù)更新、海量關(guān)鍵信息流2021ISOISO23150—2021202012SOA軟件架SOA軟件架構(gòu)分成應(yīng)用層、原子服務(wù)層、設(shè)備抽象層、基礎(chǔ)平臺(tái)層。2022628SDVAPI參考》V3.0APIAPI參考APIAPI接口的功能和參數(shù)。20236月,T/CSAE《車控操作系統(tǒng)功能軟件架構(gòu)及接口ISO/FDIS23150-2021的感知數(shù)據(jù)。ISO23150基礎(chǔ)上，突出各傳感器的獨(dú)立邏輯接口，規(guī)（4D毫米波雷達(dá)等）V2X設(shè)備（OBU設(shè)備）的設(shè)備抽象服務(wù)和感知服務(wù)的接口規(guī)范。OTA的監(jiān)管更偏向于軟件升級(jí)的實(shí)施過程是否合規(guī)，OTAOTA備案管理國家標(biāo)準(zhǔn)，規(guī)范備案管理，OTA的合規(guī)管理主要采用升級(jí)前備案的方式，由生產(chǎn)廠家按R156OTA隱瞞車輛缺陷、規(guī)避召回責(zé)任的風(fēng)險(xiǎn)。缺少供應(yīng)商能力管理類標(biāo)準(zhǔn)。ISO24089《道路車輛軟件升級(jí)工程標(biāo)準(zhǔn)》雖UNR156基礎(chǔ)上制定了車輛、系統(tǒng)、ECUOTA支撐但仍然缺乏實(shí)施細(xì)則，還需要相應(yīng)技術(shù)標(biāo)準(zhǔn)詳細(xì)規(guī)定；JASPARAUTOSAR雖ECUISO24089的有效補(bǔ)充，但是未構(gòu)建OTA3-8所示?；A(chǔ)通用標(biāo)準(zhǔn)包括OTA技術(shù)術(shù)語和定義、通用技術(shù)要求、信息安全標(biāo)準(zhǔn)。核心技術(shù)與產(chǎn)品應(yīng)用標(biāo)準(zhǔn)OTA技OEM與供應(yīng)商相互協(xié)作的全生命周期軟件開發(fā)和質(zhì)量管理要求，以及軟件供應(yīng)商的軟件升級(jí)管理體系要求；OTA技術(shù)管理標(biāo)準(zhǔn)主要包括為政府（SOAEE架構(gòu)下不同功能領(lǐng)域或子系統(tǒng)之間的邏輯接口，減少待升級(jí)部件和周邊部件第四章汽車遠(yuǎn)程升級(jí)(OTA)增加新功能；其升級(jí)對(duì)象已經(jīng)從期的T-BOX基礎(chǔ)功能發(fā)展到安全性要求相對(duì)汽車OTA汽車OTAOTA系統(tǒng)在“云管端”架構(gòu)下，有相對(duì)統(tǒng)一的業(yè)務(wù)環(huán)節(jié)，吸引著眾多參與者，共同構(gòu)成了多樣化的業(yè)務(wù)模式（OTA系統(tǒng)的“云管端”4-1OTA功能。4-1OTA系統(tǒng)的“云管端”架構(gòu)（示意服務(wù)的用戶。OTA4-2德爾福）MovimentoArynga等。OTA內(nèi)容提供商的升級(jí)服務(wù)主要在應(yīng)用軟件內(nèi)部進(jìn)行，以車載娛樂與導(dǎo)航OTAOTA服務(wù)覆蓋乘用車、OTA服4-2OTA我國汽車OTA全技術(shù)評(píng)估信息表》1100OTA1億輛次。根據(jù)企業(yè)提交信息表數(shù)據(jù)顯示，2021OTA2021OTA3513424202055%307%。20228OTA435430020212022202120224320212022OTA2021442020年-2022OTA座艙系統(tǒng)等9仍是目前OTA2022202022倍（46所示45OTA46OTABUG是目前OTA31.81%BUG/28.63%（4-7所示BUG/漏洞的占比相對(duì)較高，相關(guān)漏洞是否會(huì)引發(fā)47OTAOTA56.69%，但是私有云及5OTA92.16%。87%（48所示OTA48OTA55.24%。升級(jí)包簽名、通訊鏈路加密以及雙向身份驗(yàn)證是主流的三85.18%，通訊鏈路加對(duì)于整車企業(yè)，OTA帶來的是產(chǎn)品全生命周期持續(xù)研發(fā)問題，要求重塑傳OTA帶來的產(chǎn)品全生命周期持續(xù)研發(fā)問題，對(duì)于傳統(tǒng)以硬件開發(fā)為主導(dǎo)的OTA更需開發(fā)過程執(zhí)行嚴(yán)格的“需求、設(shè)計(jì)、驗(yàn)證、確認(rèn)”V模型開發(fā)流程，在量產(chǎn)前鎖定OTA為產(chǎn)品增加全新開發(fā)的功能及服務(wù)(4-9所示)OTAV模型將與敏捷開發(fā)等增量開發(fā)模式4-9OTAOTA所牽引的商業(yè)價(jià)值，意識(shí)到掌握數(shù)產(chǎn)業(yè)分工體系的垂直分層、鏈條式的采購-供應(yīng)關(guān)系（4-10所示）410傳統(tǒng)采購-411OTA的發(fā)展加速了軟硬件解耦的進(jìn)程。在全新的產(chǎn)業(yè)生態(tài)模式下，隨著軟在新的更為復(fù)雜的產(chǎn)業(yè)生態(tài)中，OTA同樣影響著未來硬件供應(yīng)商對(duì)整車產(chǎn)MPSoC（Multi-ProcessorSystemonChip）等實(shí)現(xiàn)動(dòng)態(tài)功能改變也是未來可能的OTA是未來車企向用戶提供增值服務(wù)的關(guān)鍵手段，開辟全新的商業(yè)模式，203040%（4-12所示。412中國汽車消費(fèi)價(jià)值鏈占比（2020-務(wù)正在成為車企創(chuàng)收的新渠道，OTA則提供了該模式的技術(shù)基礎(chǔ)。預(yù)計(jì)未來軟OTA具有強(qiáng)用戶體驗(yàn)的屬性，從用戶體驗(yàn)的角度，OTA不僅僅是簡單的功業(yè)模式的閉環(huán)（4-13。4-13車企用戶運(yùn)營模式的變化（車企與車主關(guān)系轉(zhuǎn)變對(duì)于整車企業(yè)來說，OTA重新定義了售后階段運(yùn)營內(nèi)容。OTA將被納入汽個(gè)過程中，數(shù)據(jù)資源都將作為核心資產(chǎn)貫穿整個(gè)變革。OTA過程中的數(shù)據(jù)可反OTA開OTA系統(tǒng)而言，OTA系統(tǒng)方案的組成部分，尤其是在智能汽車背景下，提升，OTA服務(wù)商也正在向整車一級(jí)供應(yīng)商發(fā)展。OTA服務(wù)商發(fā)展的關(guān)鍵方向。OTA改變了汽車產(chǎn)業(yè)化的消費(fèi)和服務(wù)模式，縮短了智能汽車從研發(fā)到量產(chǎn)OTAOTA正在成為智能汽車核心競爭力，消費(fèi)者享受到了新技術(shù)帶來的便利體OTA的失敗案例或爭議案例。1小時(shí)后升級(jí)結(jié)束，車輛功能OTA激活邏輯時(shí)應(yīng)充分考慮車輛狀態(tài)及用車場景，從技術(shù)上避免誤操2021OTA，2小時(shí)后2022OTA與軟件升級(jí)綁定的宣傳方式，正在成為車企美化產(chǎn)品設(shè)計(jì)問題的手段。在2022OTA技術(shù)的出現(xiàn)，使原本購車時(shí)敲定功能配置、整車交付即代表開發(fā)驗(yàn)證OTA交付功能。OTA管理不當(dāng)、OTA技術(shù)不成熟，會(huì)加劇功能實(shí)現(xiàn)的可靠性風(fēng)險(xiǎn)，使升級(jí)后的OTAOTAOTA技術(shù)中面臨的各種安全風(fēng)險(xiǎn)。BOX務(wù)攻擊等漏洞隱患，可導(dǎo)致WiFi、藍(lán)牙、智能鑰匙失效[16]。在被攻擊和篡改等安全隱患。OTA5-1所示?；诰W(wǎng)絡(luò)安全、數(shù)據(jù)安全及功能安全風(fēng)險(xiǎn)評(píng)估理論基礎(chǔ)、現(xiàn)有的威脅分析以及實(shí)踐經(jīng)驗(yàn)，結(jié)合汽車本身的復(fù)雜特性，可建立以資產(chǎn)為核心的汽車OTA遠(yuǎn)程升級(jí)安全風(fēng)險(xiǎn)評(píng)估模型。262621434SAEJ30615-1所示。STRIDEVAST模型（可操作性、P（隱私STRIDECVSS5-2所示。TARA分析前，需要對(duì)相關(guān)項(xiàng)的功能及其運(yùn)行環(huán)境進(jìn)行定義，以充分了解其業(yè)務(wù)、功能、流程、邊界，OTA5-3所示。數(shù)據(jù)流圖（DataFlowDiagram）需把該相關(guān)項(xiàng)中每個(gè)功能用到的數(shù)據(jù)標(biāo)識(shí)出5-4所示。[S][P][E][TB][P][E][TB]（external

（processing

（data

(data

(trusted5-4OTA5-5Identification5-2所示。5-25-3所示。5-3OTA過程涉及的資產(chǎn)和損害情況（示例T-T-BoxGatewayECU軟件的工作進(jìn)程，使其無法正常工Gateway軟件的工作進(jìn)程，使其無法正常升級(jí)管理程5-4所示。5-4威脅分析過程表（示例攻擊方法等要素(STRIDE分析)（SFOP定性EVITA,TVRA,PASTA,STRIDE等。OTA過程中數(shù)據(jù)資產(chǎn)升級(jí)包的完整性、機(jī)密性、可用性被破壞為例，威5-5所示。5-5威脅場景識(shí)別（示例5-6所示。5-6攻擊可行性評(píng)估（示例偽造升級(jí)包內(nèi)容，使升級(jí)無法正常執(zhí)OTA平臺(tái)網(wǎng)頁描系統(tǒng)漏洞發(fā)現(xiàn)下載升級(jí)包鏈接獲取升級(jí)包 公開的 CAN總線監(jiān)聽UDS協(xié)議要求，找到與網(wǎng)關(guān)的通信，獲取升級(jí)包 適度 尋找T-BOX的業(yè)務(wù)邏輯漏洞，獲取升級(jí)包- 適度 物理拆解T-儲(chǔ)升級(jí)包的芯片升級(jí)包- 通過獲取并破解待升級(jí)軟件包，竊取其中核心利用社會(huì)工程學(xué)辦法從開發(fā)人員或其他相關(guān)人員處獲取升級(jí)包并破解，導(dǎo)致核心 容易 通過汽車遠(yuǎn)程升級(jí)平臺(tái)或管理平臺(tái)數(shù)據(jù)庫暴露的 升級(jí)平臺(tái)數(shù)據(jù)庫未設(shè)置訪問權(quán)限或其他相關(guān)管控 從T-BOX升級(jí)節(jié)點(diǎn)控制器或存儲(chǔ)芯片中提取升級(jí) 通過干擾升級(jí)過程，導(dǎo)致升級(jí)無法正常執(zhí)行或非法升對(duì)OTA云平臺(tái)發(fā)起拒絕服務(wù)攻擊平臺(tái)和T-BOX通信帶寬，導(dǎo)致控制器程序包無法T- 適度 偽造升級(jí)指令，使車輛執(zhí)行非預(yù)期的刷新動(dòng)作和 （Server（Major（Moderate（Safety（Financial（Oprational響等級(jí)和影響值，如表5-7所示。在實(shí)際的影響等級(jí)評(píng)估中，也可以采用（0~1000（0~1005-8。5-9R5-9影響評(píng)1=可忽略不 2=低 3=中 4=高 5=嚴(yán)5-105-10風(fēng)險(xiǎn)值分析（示例OTA平臺(tái)網(wǎng)頁漏洞掃描-網(wǎng)頁掃描/系統(tǒng)漏洞-發(fā)現(xiàn)下高可忽略低危通過獲取并破解待升級(jí)軟件包，竊取其中核心算法中中中級(jí)——極低高危低危115-12。5-115-12風(fēng)險(xiǎn)處置活動(dòng)（示例正常執(zhí)行——OTA平臺(tái)網(wǎng)頁漏洞掃描-低危6個(gè)中核心算法——通過汽車遠(yuǎn)程升級(jí)平臺(tái)或管理平臺(tái)數(shù)據(jù)庫暴露的后門端口中合理部署可對(duì)攻擊行為進(jìn)行檢測、阻斷或限制的TCPP上層應(yīng)用端口默認(rèn)全部關(guān)閉，并根據(jù)實(shí)際業(yè)（例如SH22HTTPS43（IIP應(yīng)指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，指定端口低危通信完整性檢驗(yàn)采用MAC、車內(nèi)網(wǎng)絡(luò)通信采用CAN殘余風(fēng)險(xiǎn)主要方式產(chǎn)生如表5-13OTAOTA業(yè)務(wù)場景所涉及零部件和環(huán)境進(jìn)行漏掃，以得出具體漏洞信息。OTA5-6。STIRDECommonVulnerabilityScoringSystem（CVSS）提供了一種方法來描述可利用性CVSS5-14所示。5-14CVSS能通過網(wǎng)絡(luò)（OSI第三藍(lán)牙，WIFI等攻擊0.62(S0.27(SCVSS5-15CVSS2.96-2.00-1.06-0.12-OTA系統(tǒng)是否造成影響或引入新的高危及以上風(fēng)險(xiǎn)。OTA威脅分析和風(fēng)險(xiǎn)評(píng)估流程，OTAOTA平臺(tái)安全風(fēng)險(xiǎn)主要包括云平臺(tái)自身安全、第三方應(yīng)用安全兩個(gè)主要方OTA平臺(tái)大多數(shù)部署在云端服務(wù)器中，會(huì)面臨傳統(tǒng)云平臺(tái)的所有安全威脅，庫漏洞接口API安全注入漏洞等手段發(fā)起DDoS攻擊MITC攻擊跨云攻擊、編排攻擊、加密劫持等，可能導(dǎo)致AccessKey泄露風(fēng)險(xiǎn)、 OTA也將OTA通信安全風(fēng)險(xiǎn)主要包括身份認(rèn)證、傳輸加密、中間人攻擊三個(gè)主要方OTA（2）ECU接收任何更新。OTA升級(jí)包的機(jī)密性破壞，攻擊者可輕易捕獲并分析通信數(shù)據(jù)，導(dǎo)致升級(jí)（bug人信息安全的前提下，企業(yè)如何實(shí)施數(shù)據(jù)利用共享，OTA相關(guān)數(shù)據(jù)如何跨境流OTA系統(tǒng)OTA系統(tǒng)窺探到用戶的隱私信息，如車輛位置、18危險(xiǎn)中。OTA功能安全風(fēng)險(xiǎn)可舉例為：P檔、電池電量充足等一定條件下才能進(jìn)ECUOTA測試需要從標(biāo)準(zhǔn)合規(guī)測試、開發(fā)測試兩個(gè)維度進(jìn)行同步考量。其中合UNR156和國標(biāo)的相關(guān)要求；開發(fā)測試又可從功能測試和安全OTA相關(guān)指導(dǎo)性評(píng)價(jià)思路與方法。UNR155、UNR156以及《汽車軟件升級(jí)通用試”“OTA開發(fā)測試”“測試方案咨詢”“SUMS咨詢服務(wù)”“信息安全服務(wù)”的汽車軟OTA測試驗(yàn)證。CNAS資質(zhì)的檢測機(jī)構(gòu),2018年以來,40余款車型的整車或零部件的測機(jī)構(gòu)，目前已完成3OTA測試能力。SUMS建設(shè)、CSMS建設(shè)的服UNR156和國標(biāo)對(duì)整車企業(yè)的軟件升級(jí)管理體系（SUMS）建設(shè)和型式認(rèn)證6-1OTAOTA平臺(tái)測試、OTAOTA4OTA系統(tǒng)6-2OTA系統(tǒng)功能測試流程圖OTA的測試驗(yàn)證普遍側(cè)重功能驗(yàn)證，對(duì)網(wǎng)絡(luò)安全的測試驗(yàn)證關(guān)注度較低，可參考的相關(guān)測試方法和實(shí)踐經(jīng)驗(yàn)較少。相關(guān)行業(yè)標(biāo)準(zhǔn)法規(guī)如UNtestingscanningtesting3步：1)試可以在產(chǎn)品全生命周期幫助發(fā)現(xiàn)系統(tǒng)在期開發(fā)測試階段遺漏的問題是創(chuàng)建fl6-3OTAECU;風(fēng)險(xiǎn)和威脅分析可參考第五章的描述，已OTA云端主要用于升級(jí)包管理、用戶管理及任務(wù)管理等。OTA云端服務(wù)與管理安全測試、數(shù)據(jù)及存儲(chǔ)安全測試、OTA平臺(tái)滲透測試。API接口供車端或第三方應(yīng)用使用，在此之前，OTA系統(tǒng)帶來安全隱患。數(shù)據(jù)隔離安全測試：OTA云端服務(wù)通常需要對(duì)不同的數(shù)據(jù)進(jìn)行管理，如OTAOTA云端安全測試，除了身份認(rèn)證管理安全和數(shù)據(jù)存儲(chǔ)安全，還需要相連接的車輛、應(yīng)用及與其相關(guān)的所有設(shè)備。OTA平臺(tái)滲透測試包含以下幾方IP信息，端口掃描獲取系統(tǒng)開放的端口信息，操作系統(tǒng)探測掃區(qū)寫超出其長度的內(nèi)容,造成緩沖區(qū)的溢出,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它指令,SQL注入測試測試：SQLSQL注入安全SQL查詢，如果沒有做SQL注入安全檢查，可能會(huì)讓攻擊者通過構(gòu)造惡意的查詢參數(shù)，獲SYNFlood攻擊、IP欺騙性攻擊、UDP洪（None（Degraderecoverable工恢復(fù)的服務(wù)破壞（Manu-recoverable）以及不可恢復(fù)的服務(wù)破壞（Non-recoverableOTA更新通信交互的通道，也是導(dǎo)致車端對(duì)外OTA平臺(tái)進(jìn)行通信過程中，應(yīng)采用安全通信協(xié)議進(jìn)行數(shù)據(jù)傳輸，OTA云平臺(tái)端操作系統(tǒng)中運(yùn)行wireshark等軟件查看數(shù)據(jù)包，驗(yàn)證其是否采SSL/TLS協(xié)議和數(shù)字簽名等，還可進(jìn)一步通過修改通信數(shù)OTAOTA平臺(tái)之間的通信OTA通信鏈路安全證書測試的開展，需要明確車端與云端實(shí)體及其通信相3OEM或者第三方的云端后臺(tái)及其通信內(nèi)容，通信方OTA6-1OEM云端后臺(tái)OEMCA6-56-1FoodFunctionAccessTokenXXXFunctionXXX6-6。6-66-7。6-7TCPdump、Wireshark等工具進(jìn)行通信數(shù)據(jù)包抓取，驗(yàn)證通信過程安OEM6-1車端直連多個(gè)云端后臺(tái)的情況，檢查是否所有車端對(duì)直連云端后6-1Wireshark6-8為車6-9為云端后臺(tái)對(duì)車端證書進(jìn)行驗(yàn)證。6-86-9OTARSA、AES、SHA-256、SM2、SM3、SM4等算法，同時(shí)應(yīng)保證密鑰長度滿足一定安全性要求。基于TLS的HTTPSRSAAESSHA-256，SM2、SM3、SM4GMSSL6-10、圖6-11所示。OTA云平臺(tái)端操作系統(tǒng)中運(yùn)行wireshark6-10OTATLS1.2OTA軟件升級(jí)系統(tǒng)在提高軟件升級(jí)效率的同時(shí)引入了新的安全風(fēng)險(xiǎn)，諸如非授權(quán)軟件安裝，拒絕更新服務(wù)，以及獲取升級(jí)包的逆向信息、log敏感信試、ECU安全訪問的測試、ECU安全啟動(dòng)測試、更新日志的安全測試以及升級(jí)6-12OTA軟件升OTA云平臺(tái)對(duì)其進(jìn)行數(shù)字OTA云平臺(tái)對(duì)需要下發(fā)到車輛端OTAOTA包簽名進(jìn)行驗(yàn)證，ECU對(duì)固件簽名進(jìn)行驗(yàn)證，從而實(shí)現(xiàn)對(duì)升級(jí)包的全鏈OTAOTAOTA更新系統(tǒng)在上一小OTA更新業(yè)務(wù)流程及系統(tǒng)功能分布，結(jié)合系統(tǒng)安全風(fēng)險(xiǎn)分析情況，升級(jí)包測試3個(gè)方面開展。OTA云平臺(tái)是否有效OTA主控是否有效校驗(yàn)ECU是否有能力驗(yàn)證升級(jí)包的真實(shí)性，具體測試方法如下：OTA主控對(duì)下載校驗(yàn)通過的更新進(jìn)行OTAECUECUECU通常通過統(tǒng)一診斷服務(wù)(UDS)UDS通過安全訪問服務(wù)(SecurityAccess)ECU非授權(quán)控制或軟件篡改。6-13所示。Tq3Tq3 (Kqy)6-13OTAECU生成的種子(Seed)，并通過ECU才會(huì)執(zhí)行后續(xù)對(duì)應(yīng)安全訪問等級(jí)要求的診斷請(qǐng)求。OTAECUECU的軟件及相關(guān)配OTAECU重復(fù)多次進(jìn)行安全訪問服務(wù)操作，解析并記錄種子-密ECU，觀察是否可成功獲取安全訪問權(quán)限。ECU是否采取防暴力破解措施(如限制ECU回復(fù)的種子，重復(fù)發(fā)送不同的隨機(jī)密鑰，嘗試解鎖安全訪問；持續(xù)監(jiān)控后，ECUOTAECU刷寫權(quán)限后，是否可以通過非授ECU通信；使用非授權(quán)設(shè)ECU進(jìn)行非授權(quán)軟件的刷寫操作，驗(yàn)證是否成功刷寫并運(yùn)行非授權(quán)軟件。安全啟動(dòng)(SecureBoot)用于保證固件啟動(dòng)的代碼受信任的安全保證機(jī)制，它CPU內(nèi)部不可修改(eFUSE)的簽名密鑰匹配，從而行成一個(gè)6-14所示，ECUCPU內(nèi)部只讀存儲(chǔ)(bootROM)的指令,bootROM運(yùn)行后從一階BootLoader(FBL-FirststageBootLoader)eFUSE中密鑰匹配獲得跟信任 boobooF??33BooloSqcond3BooloOpq?Appl?cRooofT? Ch?nofT?6-14Secureboot安全啟動(dòng)的測試驗(yàn)證目的在于確認(rèn)該功能各階段加載不同程序前的安全校驗(yàn)及加載運(yùn)行效果，主要分為正向功能測試和異常測試。FBLFBL在加載前會(huì)被有效地校FBL進(jìn)行更新，驗(yàn)證安全啟動(dòng)功SBLSBL在加載前會(huì)被有效地校OSOS在加載前會(huì)被有APPAPP在加載前會(huì)被APP進(jìn)行更新，驗(yàn)證安固件中存在的弱口令、硬編碼以及認(rèn)證繞過等不安全的配置選項(xiàng)。0-day漏洞是web型和內(nèi)存型。分析發(fā)OTA升級(jí)，尤其是涉及到安全性的升級(jí)，需要進(jìn)行嚴(yán)格的PCB硬件調(diào)試接口測試：硬件調(diào)試接口測試旨在發(fā)現(xiàn)是否有隱蔽接口或后減少潛在的物理攻擊和未經(jīng)授權(quán)的訪問可能性。ISO26262GB/T34590標(biāo)準(zhǔn)，對(duì)升級(jí)包進(jìn)行靜態(tài)分析，確保升級(jí)包OTAOTA后的功能、性能和預(yù)期一致、功OTA技術(shù)服務(wù)體驗(yàn)評(píng)價(jià)指標(biāo)。5OTA體驗(yàn)評(píng)價(jià)主要2022漸呈現(xiàn)“解耦”“面向信號(hào)”轉(zhuǎn)變?yōu)椤懊嫦蚍?wù)”SOAASPICECMMI的模型框架來構(gòu)建絡(luò)安全與數(shù)據(jù)安全發(fā)展報(bào)告(2022年)[M].北京:社會(huì)科學(xué)文獻(xiàn)出版社.2020.[2].SOLW’ITR155/R156aquickguidetotheupdatedcybersecurityregulationsfor[3].EUROPEANCOMMISSION.COMMISSIONDELEGATED(EU)…/...ofXXXamendingAnnexesI,II,IVandVtoRegulation(EU)2018/858oftheEuropeanParliamentandoftheCouncilasregardsthetechnicalrequirementsforvehiclesproducedinunlimitedseries,vehiclesproducedinsmallseries,fullyautomatedvehiclesproducedinsmallseriesandspecialpurposevehicles,andasregardssoftwareupdate[R].2022.[4].MichaelL.Sena.SecureOvertheAirVehicleSoftwareUpdates–OperationalandFunctionalRequirements[R].2015.[5].TESLARATI.Tesla’ssoftwarefixes,theNHTSA’sstatusquo,andanimpendingneedforupdatedrecallterminologies[EB/OL].[6].AutomotiveNewsEurope.JeephackingpromptsFiatChryslersoftwareupdatetoenhancesecurity[EB/OL].[7].EmmaHimes,NHTSAUpintheClouds:TheFormalRecallProcess&Over-AirSoftwareUpdates[J].,MichiganTechnologyLawReview.2021(153).[8].CNBC.TeslasharesfallafterU.S.regulatorslaunchformalinvestigationinto [9].CNBC.NHTSAasksTeslawhyitdidn’tinitiatearecallwhenitpushedsafety-relatedsoftwareupdate[EB/OL]./2021/10/13/nhtsa-asks-tesla-[11].SONDERHOFFEINSEL.Q&AONtheamendedroadtransportationvehicleactintroductionofvehiclesoftwareupdateregulation[EB/OL].[14].產(chǎn)品安全與召回.OTA升級(jí)是否計(jì)入三包維修等汽車三包典型案例分析[15].永安華為.智能汽車云服務(wù)白皮書[R].2022.[17].FIRST.CommonVulnerabilityScoringSystemv3.0:User[18].21世紀(jì)經(jīng)濟(jì)報(bào)道.智能網(wǎng)聯(lián)汽車數(shù)據(jù)合規(guī)：數(shù)據(jù)跨境成監(jiān)管重點(diǎn)，跨國車企[19].高斐,楊誠瀟.汽車整車遠(yuǎn)程升級(jí)(OTA)系統(tǒng)的發(fā)展[J].重型汽車,2022(5):33-[20].SAEInternational.ProposaltoUpdatetheInterpretationDocumentforUNR156RegardingnewlyAvailableInternationalStandardonSoftwareUpdateEngineeringforRoadVehicles[R].2023.[21].國家市場監(jiān)督管理總局缺陷產(chǎn)品管理中心.缺陷產(chǎn)品召回查詢 UNR156與ISO24089:2023的映射關(guān)系UNISO24089：20237.1.7.1.1. ..RXSWIN在升級(jí)前后相關(guān)信息的過程。這應(yīng)包括更新每個(gè)RXSWIN.RXSWINRXSWIN. 于系統(tǒng)型式認(rèn)證的任意參數(shù)（定義UNISO24089：2023包含（除了車輛登記 2車輛制造商應(yīng)能根據(jù)第將信息提供給負(fù)責(zé)機(jī)構(gòu)或技術(shù)服務(wù)部門7.1.2.工作產(chǎn)品已覆蓋記錄/存儲(chǔ)/ （（包括軟件版本）（（.RXSWIN應(yīng)有一個(gè)可審計(jì)的記錄.（（見工作產(chǎn)品8.4.1（ （(b)(e) 工作產(chǎn)品UNISO24089：2023(h).4.1（見工作產(chǎn)品8.4.37.1.3.安全性—— .升級(jí)流程應(yīng)得到得到保護(hù)，從而合 7.1.4. （特附示例（3（特附示例（2（..1.軟件更新包的真實(shí)性和完整性應(yīng)受 RXSWINUNISO24089：2023 接口進(jìn)行標(biāo)準(zhǔn)化讀取，至少采用標(biāo)準(zhǔn)接口部分包含/RXSWIN，制造商應(yīng)向型式認(rèn)證ECU讀取，至少通過標(biāo)準(zhǔn)接口（OBD端口RXSWIN和/或軟件版本集。進(jìn)行型式認(rèn)RXSWIN和/NOTE部分包含/. .1.車輛制造商應(yīng)確保在更新失敗或中（全狀態(tài)（特附示例用技術(shù)手段確保車輛處于安全狀態(tài)下執(zhí)行升（（ 絡(luò)安全）0（特附第一點(diǎn) 0（特附第四點(diǎn) 0（特附第六點(diǎn) 0（特附第五點(diǎn)UNISO24089：2023 0（特附第三點(diǎn)（NOTE （特附示例 （特附示例（（特附示例 （特附示例（ 車輛用戶能夠告知升級(jí)成功（或失?。ㄌ馗绞纠?7（1 2021年-2022年OTA召回情況分據(jù)統(tǒng)計(jì)，OTA20元/600元車。其中，202130250015452524.565（72.36%52-1所示。PAGEPAGE113/2-122031梅德斯-奔下降可能導(dǎo)致車輛自動(dòng)發(fā)送給梅德斯-奔馳緊急呼叫中心的201612120201120ABCESGLASUV、GLBSUV、GLCSUV、GLESUV、GLSSUV、CLA、SLC、CLS、SL、GAMGGT、EQC使碰撞后車輛部分功能（援電話功能等）202161iX36636Model32019121967Model3ModelY2020810202169SMercedesmeC（2095S（212）2307（2021.4420）沒有糾正功能，長期可能造202012282022115Model3（12003）ModelY（14044）電梅德斯-奔202234梅德斯-奔201810292021618SUV、GLESUV、GLSSUV、AMGGT20188級(jí)、EGLA、GLBSUV、GLCSUV、EQC202247Model3NX260、NX350h、NX400h+汽車6832Model3像、風(fēng)擋（除霜、除霧及雨刮）Model3、ModelYLTANX260、NX350h、NX400h+汽車8308輛由于制動(dòng)執(zhí)行器控制單元（ECU）（EPB）進(jìn)行駐車，存在安全隱患。NX2606491ModelS、ModelXModel320211120221111ModelY2023XC902021426202269852023V90CC2022101120231132023XC904103ModelS、ModelX、Model3Model3、ModelYModelX4787PAGEPAGE124/首個(gè)實(shí)現(xiàn)整車OTAModelS上市至今，OTA頻率，涉及的內(nèi)容生態(tài)大到智駕系統(tǒng)、人機(jī)交互、動(dòng)蔚來為代表的新勢(shì)力車企也將整車OTA作為自身產(chǎn)品“智能化”的特色功能，且OTA提升用戶體驗(yàn)OTA成為國內(nèi)較的能夠真正實(shí)現(xiàn)整車FOTA的車企。OTA是小鵬旗下所有車型必備的基礎(chǔ)功能之一，20191OTAG3、P7P5車型用戶301902400多項(xiàng)，累計(jì)OTA38萬次。小鵬汽車堅(jiān)持“OTA升級(jí)的核心是安全和穩(wěn)定”的理念，OTA服務(wù)發(fā)展成用戶基礎(chǔ)服務(wù)。NGP的開發(fā)涉及到包括自動(dòng)OTA做預(yù)備。ECUP5、G9ECUOTA范圍包括：動(dòng)力系統(tǒng)、智能座艙系統(tǒng)、車當(dāng)系統(tǒng)推送升級(jí)OTA請(qǐng)求時(shí)，小鵬汽車用戶還可進(jìn)行預(yù)約處理，避免對(duì)當(dāng)41OTA20191OTAXPILOT、XmartOSG3上市發(fā)布會(huì)上對(duì)軟件快速迭代20196ICAXPILOT2.020197通過OTA為小鵬G3