返回目录:金融新闻
编者按:11月14-16日,由工业和信息化部、应急管理部、科学技术部、广东省人民政府指导举办的“2018中国安全产业”在广东佛山举行。车云主办“安全出行主题论坛暨第二届交通安全产业峰会”,峰会以”安全出行”为主题,”专业论坛+创新展”联动,打通汽车、交通、电子、通信等多个行业,探讨最具前瞻性和可行性的安全出行模式与生态,强势推动跨界融合与协同发展,全面提升大会关注度及影响力。
论坛期间,上海艾拉比智能科技有限公司总裁芮亚楠发表了以“智能网联汽车的升级与安全”为主题的演讲,以下为演讲实录。
芮亚楠上海艾拉比智能科技有限公司总裁
大家上午好,我来自上海艾拉比智能科技有限公司的芮亚楠,公司主要专注于提供汽车和物联网升级解决方案。
大家知道,升级和安全是一个密不可分的整体。一方面我们的升级肯定要依赖于各式各样的手段,包括功能安全的手段,为OTA进行保驾护航。同时,升级也是高效地解决一些安全隐患、安全漏洞最有效果的方式。通过不断的升级迭代,不断地提高安全防御的等级。所以今天我想跟大家分享的是“智能网联汽车升级与安全”的话题。
有很多朋友可能对智能网联汽车升级的体系不太熟悉,那么我首先介绍一下升级的体系,这里着重看一下OTA升级的功能安全和信息安全。功能安全和信息安全需要一定的权重,而功能安全其中更重要的一个方面。
这里简单介绍下我们公司。艾拉比拥有国内首个专注于汽车和物联网升级的专业技术团队,同时也是国内首个拥有汽车OTA项目落地经验的服务团队。目前跟多个厂商达成战略合作协议,服务了500家以上的客户。
车辆的领域,我们的合作伙伴既包括国内主要的汽车主机厂同时也服务于各大供应商。和供应商的合作是通过双方的技术让汽车零部件、智能化的产品具备安全稳定可靠的生命能力。
我们首先看一下智能网联汽车的OTA的体系。OTA的建设在国内是一个很热门的话题,为什么一下这么热,很多车场招标急迫,我们做了总结。
第一个阶段,大部分的主机厂实现了,以互联网为核心的,用户账号体系的构建。这个具备了以后,未来我们的任务就是不断地提升车联网前装渗透率,打造更加开放的生态,让用户可以自主选择自己想要的APP和互联网服务的生态。
第二步对很多车场就是打基础的阶段。虽然很多的精力放到驾驶技术这样的投入,基础的投入同等重要,这里面包括了OTA的能力、远程诊断等基础建设。如果没有安全性或者一些升级能力,或者诊断能力的基础性平台,后续的辅助驾驶的技术,B2S的技术,演进会受到制约,这是基础能力的建设期,这个也是为什么很多车企为什么急迫构建自己安全平台、诊断平台的原因。
下一个阶段,基于平台的能力,推广自己的辅助驾驶技术。一方面可以通过诊断技术获取服务设备运行的状况,同时还可以借助于OTA技术不断升级迭代,信息安全保证基站稳定性还有端到端的稳定性,多次的端的迭代达到互联性,也是依赖于硬件冗余,软件升级,目前OTA在国内的情况。
OTA的体系包括哪些内容,虽然是细分领域,本身涵盖了云管端的体系。云端主要是汽车升级或者汽车软件生命周期管理的云端服务器平台,通讯端的车云交互协议以及车内的一些OTA升级相关的软件程序包,这是整体OTA升级体系的情况。
具体每个体系负责什么功能,这里详细介绍一下,方便大家了解。
首先对于平台来说,主要是做好四个方面的管理:软件的管理、车辆的管理、任务的管理、人员的管理。可能有各个的ECO的标地需要升级,有整车的配制,还有内容包、安全的物理包同样升级,不同类似的包怎么做分类,对于特定分类的升级包是不是有统一的格式,还有统一的生命流程对车厂很重要。
其次对车进行一个管理。我们要做一个升级,首先要知道你的起点是什么,才有一个合理的有效的终点,所以我们需要对车辆的车型信息,零部件组成、版本非常清楚,这样才可以匹配出升级包。对任务进行管理,一定有一个概念的,未来不同的升级来说,升级包的升级顺序怎么定,哪些参与,哪些暂时不参与,有什么样的前提条件,都需要进行有效的管理。
最后关键的是人员管理,升级这件事来说大的意义延伸变成硬件和软件的生命周期,也有IT和OT。管理非常的强,既有未来验证升级包的有效性的工作人员,还有车型车辆配置信息的人员,还有配置升级任务的人员,还有临时的角色站到审批审核的角色,还有售后的人员,是全员参与的过程,软件、车、任务、人的管理是平台端给大家做的主要的功能。
连接层,流量池,都是车场升级,分配公网还有私网APP的功能,还有基于双向验证的安全的建立,应用层主要是构建自己的交互协议,车企可以选择完全私有的,还是按照全球性的标准进行自己构建。
对于车内来说,主要的功能包括升级的控制,云端进行交互下载自己的升级包,对下载好的升级包进行控制程序,控制谁先谁后,如果遇到问题怎么处理,升级包分发给升级目标,是不是有自己的代理程序完成自己的能力,这是升级要做的。升级当然也涉及到很多交互协议,既有车云的交互协议,还有分发传输的协议。对升级这件事来说,车主有明确的知情权,必须收到升级提醒同意才可以,人机的操作协议什么时候同意,升级的时候是不是可以取消和暂停,要制定一些丰富的操作体验。
还有具体设备的升级能力。车厂构造的是整车升级的框架,车内升级,ECU非常地碎片化,有的是增量升级的方式做。也有很多的智能化设备,从自身的稳定性可靠性,还有用户的体验性进行升级。还有更多的ECU进行诊断式的升级。这是车端的核心部门。
我们再看一下整个的功能安全的部分。前面讲了对OTA的安全来说,不仅仅是信息安全的问题,主机厂考虑首要的问题,是功能安全的问题。包括几个部分,怎么把正确的升级包发到车辆,正确的条件下得到一个正确的执行,发生异常情况的时候是否有对应的策略,不然带来风险的安全隐患很大,功能安全可能是考虑的首要问题。
功能安全问题有什么步骤进行防护?首先是云端流程的功能安全,对包的产生来说我们是产生在供应商,自己利用车厂给予的构建的一套统一工具进行新版本的测试和验证,完成测试验证以后打包核心的版本统一提交,这是必备的流程,验证报告跟你的是不是一致,在领导层进行入库审批,进入到自己的零部件系统,这是软件管理层面功能安全的保障,蓝色的是主要跟功能安全相关的保障。
而要给一个车配置升级策略,除了完成车型的配置,也要进行一个测试,基于报告进行审核,审核后的策略才可以被售后的部门应用到车辆,这是重要的步骤。升级任务的配置,在任务正式大规模推广前还要做灰度的测试,通过后才可以做正式发布。最后,任务管理的话,对某一个任务发布以后,必须有实时监控的能力,有能够对异常情况及时管理的能力,还有整体的统计和维护能力。
这是云端的角度来看的,还有车端的问题,解决第一个要上报自己的信息,获得自己的升级包完成自己的注册,这个首先要完成的。
同时从云端获得了车辆模型还有自己的策略和升级包进行有效的验证,这是很重要的步骤。验证好了升级包,匹配一下,在云端配置是否满足,比如配置一个汽车处于静止状态,挂在P档风险隐患巨大,进行条件的确认才可以进行具体目标的分发,具体目标收到了以后同样进行自身的完整性的确认,确认了没有问题,调用自己的升级能力或者发现能力完成自身的升级,能力的赋予当中,必须有一些防断电,防终断有保护的机制。出现问题的时候,同时具备一些机制,回到上一个文件的版本。同时每一个步骤都有升级日志,有升级发生的各式各样的步骤,这样云端结合车端保障基本的升级功能安全,才可以让车厂放心的使用OTA升级功能。
讲完功能安全再看一下OTA和信息安全的对应关系。
OTA是密不可分的一个整体,升级服务依赖于一些安全的基础设施,对自身进行一些防护,包括证书和密钥体系,包括升级包的加密解密的机制,基于基础的设施,我们的升级服务才可以做到一个有效防护,同时也要跟安全的服务厂商达成合作。没有绝对的安全,所有的建设体系必须要进行安全服务商的审核功能的审核以及一些升级流程和接口的检验和审核,当体系建设好了以后,未来有一些风险隐患的时候,OTA反过来给体系进行反哺,当前的设备,比如手机和平板,功能升级比如经过了第一年的功能迭代,大家发现后面的升级包,90%以上是安全的稳定包,所以安全的升级本身也是给OTA服务的主体。
现在跟国内主流的安全战略合作伙伴达成了战略合作关系,我们借助安全伙伴的关系,有5S的升级体系,这个升级体系覆盖了安全包的安全制作还有发布,下载,升级过程还有过程当中的反馈涵盖了。
这个可能是具体的流程,怎么基于双向的验证,怎么建立一个安全的连接,基于安全的连接上传本地的信息,获得我自己的升级策略和升级包,对升级包制作来说,怎么制定签名和本地验签的操作。还有下发,每个设备和设备之间传输的时候,又是怎么验证的,包含了比较详细的流程,时间关系不展开了。
谢谢大家。