唐 波，赖怡聪，李乐言*,3

智能网联汽车OTA测试案例分析及对策研究

唐 波1，赖怡聪2，李乐言*2,3

（1.西安电子科技大学广州研究院，广东 广州 510555； 2.工业和信息化部电子第五研究所，广东 广州 511370； 3.智能产品质量评价与可靠性保障技术工业和信息化部重点实验室，广东 广州 511370）

智能网联汽车的规模与日俱增，软件更新的需求也日益迅速，远程升级（OTA）技术为智能网联汽车的大规模更新提供了解决办法。文章从OTA的技术框架、安全技术和相关法规三个方面对OTA技术进行了概述，然后基于R156和《汽车软件升级通用技术要求》介绍了测试方法和测试案例。通过对测试案例进行分析，提出了存在的问题并给出了合理的对策。最后从智能网联汽车生产企业、OTA升级管理体系和第三方检测机构三个角度对网联汽车OTA升级安全技术提出了合理的建议。

远程升级技术；软件升级；法规政策；合规测试；安全测试

远程升级（Over The Air, OTA）是通过移动通信的空中接口实现对系统和应用程序远程管理的技术[1]。在汽车电动化、智能化、网联化、共享化的背景下，软件定义汽车近年来成为新的行业共识。随着智能网联汽车的快速发展，软件更新的需求日益频繁，传统的软件升级技术难以满足快速高效的软件更新需求，OTA已成了定义传统汽车和智能汽车的分水岭[2]。特斯拉是最早采用OTA技术对汽车进行远程升级的车企，开创了汽车OTA的先河， OTA不仅可以带来更便捷的车辆升级途径，也让消费者感受到更加智能便捷的用车体验[3]。此外，OTA技术在车辆量产后可降低车辆的召回成本，实现对车辆软件和车辆数据的统一管理，提高售后服务效率和质量[4]。同时，OTA 升级也逐渐成为汽车企业在售后市场交付新功能的主要手段。

1 OTA概述

1.1 OTA技术框架

汽车软件更新的本质是将编译好的软件或者数据，传输到电子控制单元（Electronic Control Unit, ECU），由ECU端将其写入指定的存储介质中替换原有软件数据，以实现预期的特定功能或者执行更新。为了准确、安全、可靠地完成ECU软件的更新，OTA升级系统需要一个云端管理系统对软件、车辆等相关升级对象进行管理，车端需要一个与云端系统对接的系统完成软件数据的接收和分发工作，并保证无专业人员操作的情况下软件升级安全、可靠地完成。

图1为典型的OTA升级系统框图，该系统包含三个基本要素，即OTA云服务平台、车-云通信链路、车端OTA系统。其中，OTA云服务平台主要功能包括OEM云对接、车型/车辆/ECU版本信息管理、升级软件管理、升级策略创建、ECU关联升级配置、升级模式配置、发布等[5]；车-云通信链路包括车辆基础联网功能，如：4G、5G、WiFi以及相应的通信应用层协议；车端OTA系统由OTA升级主控、被升级的ECU以及实现两者之间通信的网关和车内ECU的通信网络组成，如控制器局域网（Controller Area Network, CAN）总线技术、局域互联网络（Local Interconnect Network, LIN）总线和车载以太网等。

图1 OTA升级系统框图

1.2 OTA安全技术

OTA更新导致软件更新的入口暴露网络中，加大了汽车网络安全的攻击面，引入新的风险。OTA软件更新作为修复网络安全缺陷的重要手段，也可能成为攻击者重要攻击途径。整个OTA系统的安全需要从OTA云端到OTA终端以及OTA对象的整个链路进行全方位的防护，各个环节都采用适宜的加密机制来提升整个升级过程的安全性，包括OTA云端的权限限制、证书验证、签名验证和权限验证[6]。除功能软件自身可能存在的安全问题外，OTA更新引起的安全风险主要包括三类：非法软件安装、拒绝更新服务和更新文件泄露，安全风险以及相对应的措施如表1所示。

表1 OTA升级风险以及应对措施

安全风险应对措施 拒绝更新服务服务器欺骗：对服务器身份认证ECU欺骗：对ECU身份认证 非法软件安装数字签名对更新包身份认证安全服务器对OTA更新系统的实体身份认证构建车端OTA和OTA服务器之间的安全通道（比如双向TLS和Open VPN技术等）软件更新后进行加密身份验证以保证其合法性 更新文件泄露对原始更新包的签名和加密后更新包的签名进行身份认证

1.3 OTA相关法规

OTA提供远程软件升级，为车企和车主提供了便利。然而在快速普及的过程中，也发生了一系列有关OTA的乱象，有的车企通过OTA篡改车辆的系统，掩盖产品缺陷；有的车企依靠OTA升级制造“超前宣传”的噱头，来误导消费者；有的车企未经过车主允许，通过OTA强制读取用户个人信息。在OTA升级隐患逐渐显露的环境下，工信部高度重视，出台了一系列政策文件[7]。

2021年7月，工业和信息化部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》[8]，2022年4月，发布了《关于开展汽车软件在线升级备案的通知》[9]，对汽车生产企业实施软件升级以及OTA升级活动提出了备案的要求。

2021年1月，联合国欧洲经济委员会在世界车辆法规协调论坛[10]上颁布了《关于软件升级和软件升级管理系统的车辆批准统一规定》（以下简称R156），该法规主要从流程体系与技术需求上对软件更新提出了要求。另外，为进一步将汽车软件升级管理相关要求进行规范、具体、细化，全国汽车标准化技术委员会组织制定《汽车软件升级通用技术要求》强制标准，该标准参考了R156法规，涉及软件升级管理体系要求、车辆要求、车辆试验方法等，并针对R156法规缺乏试验方法的不足进行了完善。

2 OTA升级安全测试

目前，OTA准入测试是基于《汽车软件升级通用技术要求》和R156两项标准展开的，其中部分典型测试项目如表2所示，下文重点介绍几个典型的测试案例、采取的测试方法以及针对测试过程提出的问题。

表2 部分典型测试项

测试项测试项描述前置条件评判标准 升级失败处理若软件升级失败或中断，应确保将系统恢复到以前的可用版本或将车辆置于安全状态制造车辆升级失败场景能通过车载诊断系统或者其他方式读取软件版本号触发车辆升级失败场景，软件版本与上一版本保持一致，或车辆处于安全状态，则测试通过；否则不通过 升级包完整性应保护软件更新的完整性，以合理地防止其受到损害并合理地避免无效更新提供正常的软件升级包提供升级包缓存位置接入车机或的方式和升级包缓存位置对篡改后的升级包执行升级，若篡改后的升级包不能通过校验，则通过；否则不通过 升级影响车辆安全若执行软件升级可能影响车辆安全，升级过程中，应通过技术手段确保车辆安全提供升级执行影响车辆安全的场景（坡道执行刹车相关的ECU升级任务）分别正常执行升级任务和升级过程中断任务，升级过程中电子手刹正常工作，不发生溜车现象，则通过，否则不通过

2.1 升级包真实性和完整性校验

对升级包的真实性和完整性校验是为了确保在车辆上仅可执行经过认证和完整性检查的软件升级包，防止软件包被破坏并阻止无效的更新。真实性主要是针对验签证书，完整性则主要针对软件升级包进行测试。测试步骤如图 2所示。

R156升级包真实性和完整性要求为保护升级包的真实性和完整性，合理地防止其受到损害和防止无效软件升级。测试过程中，各第三方检测技术机构测试方法各不相同。比如真实性检验这一项，有的是利用第三方软件生成与升级包毫不相关的验签证书，然后使用Android调试桥（Android Debug Bridge, ADB）push命令上传到车机，执行升级，这似乎听起来不太合理，但是法规没有明确规定所使用的测试方法。本文所提出的测试方法是利用同一辆车不同ECU部件的升级包验签证书或者同一ECU部件不同版本的验签证书进行验证，这相比第三方软件生成的毫不相关的验签证书来验证，真实性更加合理。关于升级包的完整性校验，则采用的是对升级包数据分别进行增加、删除和改动的操作，操作的过程中尽可能保证对升级包的数据改动较小。

图2 升级包真实性和完整性校验步骤

2.2 升级影响驾驶安全测试

R156对升级影响驾驶安全这一项要求在执行软件升级中，需要确保车辆不能被驾驶，确保驾驶员无法使用影响车辆安全或成功执行更新的车辆功能。根据R156的要求，升级影响驾驶安全的测试主要看在升级过程中是否能执行挂挡、解除电子刹车和驾驶车辆。

本文在OTA安全升级测试过程中发现由于各家智能网联汽车厂商甚至同一品牌的智能网联汽车升级逻辑不相同。大致可以分为两类：一类是升级过程不可自主中断，即在执行升级过程中，无法通过踩刹车解除电子手刹和挂挡等操作中断升级，车辆不能被驾驶；第二类升级过程可自主中断，即在升级过程通过执行挂挡、上电和解除电子刹车等操作会中断OTA升级，中断后驾驶功能恢复正常。

升级过程不可自主中断的车辆一般有两种强制中断方式，一是构造致使升级失败的升级包，二是通过对整车断电。构造致使升级失败的升级包在现实生活场景中没有参考意义。而通过整车断电的方式中断升级，如果汽车OTA升级不支持AB升级方案或者没有配置回滚，则很可能导致车辆无反应。升级不可自主中断的升级逻辑符合R156在升级过程中确保车辆不能被驾驶和影响车辆的升级的要求。而升级过程可以自主中断却更加符合用户的体验以及突发情况的应对。

对于升级影响驾驶安全这一项的建议是在升级过程中应在屏幕设置取消升级的选项，并且在取消升级后软件版本能回滚到上一版本，以应对紧急情况下车辆需要被驾驶的场景。同时升级过程中执行上电、挂挡和解除电子手刹的操作不能中断升级过程，以防止误操作致使升级失败。这样既保证了升级过程能使用户应对突发情况，也防止误操作中断升级对车辆驾驶安全造成威胁。

2.3 升级影响车辆安全测试

OTA升级标准中并未定义升级影响车辆安全场景，构建升级影响车辆安全测试场景主要从外部安全环境和车辆内部安全场景两个方面考虑。本文在外部测试安全环境采用的是斜坡场景，测试环境如图 3所示。

车辆内部安全场景采取的是对车辆刹车和稳定系统有关的ECU部件执行OTA升级，比如车身电子稳定控制系统（Electronic Stability Con- troller, ESC）。升级影响车辆安全测试案例是在坡道针对车辆的ESC，分别在升级成功和升级失败两种情况下执行升级任务，观察电子刹车是否正常工作以及是否发生溜坡的行为。测试步骤如图 4所示。

图3 坡道执行ESC升级任务

图4 升级影响车辆安全测试步骤

升级影响车辆安全这一测试项，《汽车软件升级通用技术》要求若执行软件升级可能影响车辆安全，在执行软件升级中，应通过技术手段确保车辆安全。

在升级影响车辆安全测试项目中，发现某测试车辆是升级过程不可自主中断的类型。在测试过程中把车辆停在坡道，通过整车断电的方式强制中断升级，断电重启后车辆提示升级失败，电子手刹正常工作，未发生溜坡的现象。但是对汽车进行上电、踩刹车、解除电子手刹和挂挡的操作之后，所有的驾驶功能失效，汽车电子手刹、挂挡等不能正常工作，即出现车辆无反应的情况，这对于车主来说是一个很棘手的问题。而且这种情况在实际中是有可能发生的，比如升级过程中车主误操作使整车断电，或者车辆出现接触不良使整车断电。汽车的本质是为用户服务的，这个测试从用户体验和逻辑上来说是不合理的。然而，这项测试是符合法规的，在升级失败处理这一项中要求若软件升级失败或中断，应确保将系统恢复到以前的可用版本或将车辆置于安全状态。车辆虽然因为断电致使升级中断无反应，但是整个过程未发生溜坡的现象，保证了车辆的安全。

本文建议无论什么情况下，通过OTA升级把车辆“刷成砖”的情况都是不被允许的，应当通过配置回滚、双分区升级方案等措施来避免这种情况的发生。

3 展望与建议

3.1 企业应建立OTA升级分级安全保障机制

目前OTA升级还没有完整的OTA升级分类安全保障机制，企业应当细化安全保障能力，比如按照控制级别（车辆操控类、辅助控制类）、服务级别（操控服务类、非操控服务类）和管理级别从高到低的优先级执行安全保障。其中制动系统安全是底线，应最大限度保障制动系统安全，比如升级过程中升级ESC部件（制动相关部件）的时候，无论是正常执行升级或者升级失败都应当保障车辆制动系统正常工作。

3.2 第三方检测机构能力建设

目前关于OTA升级暂无有效的监管支撑技术，特别是针对OTA升级安全评估技术，建议第三方技术检测机构构建OTA升级安全技术评估能力，推动第三方技术检测机构联合智能网联汽车企业在OTA升级技术安全评估方面开展试点工作，测试内容包括OTA升级相关功能测试、安全性测试、稳定性测试等。

第三方检测机构根据OTA相关测试积累的测试经验，典型的测试案例，测试中特别注重的问题向工信部等部门进行提议，形成规范的测试案例，将测试步骤流程化、标准化和规范化。

3.3 加快OTA升级管理体系建设

目前我国有关OTA升级的标准都还处于草案阶段，目前需要明确智能网联汽车软件升级相关功能要求、安全要求及测试规范，保障软件的升级安全与高效。我国相关政府机构应当联合第三方检测机构开展智能网联汽车软件升级安全监管技术研究和安全监管平台试点，加快推动软件升级相关标准与规范制定，探索建立软件升级数据监管平台，组织开展监管技术研究，细化企业保障能力要求和软件升级功能测试要求，加强对软件升级管理和监督。同时，应该加快智能网联汽车软件升级分类体系与判定技术条件研制，完善软件升级安全评估与测试体系。

其次，由于R156和《汽车软件升级通用技术要求》都没有细化测试标准以及测试案例，导致第三方检测机构对标准的解读不一致，所采用的测试案例、测试方法不同，对测试案例通过的判定条件也不相同，可能出现误判的情况。所以应当建立专家评审制度，对有检测资质的第三方检测机构所提出的测试案例、测试方法和判定条件等进行评估，评估判定条件是否符合逻辑和规范要求。

4 总结

目前关于OTA升级的相关标准和法规并不完善，也很少有关于OTA测试案例的研究。本文首先从OTA的总体技术框架、OTA升级中所使用的安全技术以及与OTA相关的法规等方面对OTA进行介绍，然后基于R156和《汽车软件升级通用技术要求》所采用的测试案例，为OTA备案测试提供参考。通过对测试案例的分析，发现车企或者供应商在开发OTA系统存在不合理的地方，以及法规对OTA升级的要求和实际使用需求不符合的地方，并给出了合理的建议。最后从智能网联汽车生产企业、第三方检测机构和OTA升级管理体系三个角度对网联汽车OTA升级安全技术提出了对策与建议。

[1] 李立安,赵帼娟,任广乐.OTA实现方案及汽车端设计分析[J].汽车实用技术,2020,45(14):16-19.

[2] 陈茂利.工信部出台监管标准汽车OTA升级告别野蛮生长[N].中国经营报,2022-04-25(C06).

[3] 张倩.一种OTA汽车行业应用的整体框架[J].汽车实用技术, 2020,45(11):100-102.

[4] 王栋梁,汤利顺,陈博,等.智能网联汽车整车OTA功能设计研究[J].汽车技术,2018(10):29-33.

[5] 武智,刘天宇,贾先锋.智能网联汽车OTA升级安全设计[J].汽车实用技术,2022,47(3):38-40.

[6] 高斐,杨诚潇.汽车整车远程升级(OTA)系统的发展[J].重型汽车,2022(5):33-34.

[7] 牛小欧,翟亚男.车企OTA升级需备案[N].华夏时报, 2022-04-25(14).

[8] 工业和信息化部.关于加强智能网联汽车生产企业及产品准入管理的意见[EB/OL].(2021-07-30)[2023- 03-06].https://www.gov.cn/zhengce/zhengceku/2021- 08/12/content_5630912.htm.

[9] 工业和信息化部装备工业发展中心.关于开展汽车软件在线升级备案的通知[EB/OL].(2022-04-15) [2023-03-06].http://www.miit-eidc.org.cn/art/2022/4/ 15/art_374_422.html.

[10] 李健,张超,关清晨.汽车信息安全标准解读与检测实践[J].质量与标准化,2021(8):49-52.

OTA Test Case Analysis and Countermeasures Research of Intelligent and Connected Vehicles

TANG Bo1, LAI Yicong2, LI Leyan*2,3

( 1.Xidian University Guangzhou Institute of Technology, Guangzhou 510555, China; 2.China CEPREI Laboratory/China Electronic Product Reliability and Environmental Testing Research Institute, Guangzhou 511370, China; 3.Key Laboratory of MIIT for Intelligent Products Testing and Reliability, Guangzhou 511370, China )

As the scale of intelligent networked vehicles increases, the demand for software updates is also increasing rapidly. Over the air (OTA) technology provides a solution for large-scale updates of intelligent and connected vehicle. This paper summarizes the OTA technology from the OTA technical framework, security technology and related regulations, and then introduces the test methods and test cases based on R156 and. By analyzing the test cases,the existing problems are raised and reasonable countermeasures are given. Finally, reasonable suggestions are put forward for the OTA upgrade security technology of connected cars from the three perspectives of intelligent connected car manufacturers, OTA upgrade management system and third-party testing agencies.

OTA technology; Software upgrade; Regulations and policies; Compliance testing; Security testing

U463.61

B

1671-7988(2023)17-49-06

10.16638/j.cnki.1671-7988.2023.017.009

唐波（1997－），男，研究方向为智能产品及汽车信息安全，E-mail:21181214354@stu.xidian.edu.cn。

李乐言（1993－），男，工程师，研究方向为信息安全攻防技术和质量评价技术、智能产品及汽车信息安全，E-mail:liyueyan@ceprei.biz。