2.1.3 車云結合

為了優化汽車的移動與“第三生活空間”屬性，車與萬物互聯（Vehicle-to-Everything，V2X）已經逐步成為研究與產品熱點，讓車輛通過傳感器、網絡通信技術與周邊其他車、人、物聯系起來，方便分析決策，如圖2-6所示。V2X包含車與車（V2V）、車與基礎設施（V2I）、車與人（V2P）、車與云（V2N）四方面。對于智能座艙而言，V2N尤為重要。一方面，部分場景需要與云端連接提供更加優質豐富的內容服務；另一方面，部分場景也要通過OTA來進行升級與更新，確保系統的穩定性與可靠性。本節將詳細介紹車云結合中云端的技術架構，以及OTA技術的相關內容。最后，我們還會討論在車云結合中相關的隱私保護與相關法律問題。

1.云端

在實際應用中，云端會為車輛提供各類服務（圖2-7）。因為服務場景及供應商等的不同，這些服務大都獨立且分散，因此所對應的架構也有所不同。在本節中，我們主要探討與人機交互相關的服務。在智能座艙中，經典的人機交互如手勢識別、語音識別、行為動作識別、表情識別、疲勞識別、拍照等大都以離線的方式在本地運行，與云端互聯的主要目標是提供基于內容的服務。例如，當識別到疲勞駕駛后，除了報警、開窗、香氛等本地疲勞緩解策略外，還有可能通過云端推送一些音樂、廣播、呼叫等服務；當識別到駕駛員開心或其他表情后，其音樂歌單也會隨之更改，進行更加個性化的音樂推送。因此，殺手級應用+智能車云逐步取代了本地應用，成為各個車廠追逐的熱點。為了實現以上功能，圖2-8所示為一個典型的華為車云聯網框架：車輛及座艙的感知結果通過數據通道入網。在云端主要包含車輛管理及連接管理兩大模塊。在車輛管理中，可以實現車輛配置（針對場景）、車輛控制、OTA管理及影子模式來進行數據采集與挖掘。在連接管理中，可以實現車輛認證管理、雙向通信監控及管理等。在這兩大管理的基礎上，可以積累大量的車內外數據，從而在車聯網智能體套件中實現更加高層的應用，如規劃、分析、告警、畫像等，進而為其他平臺提供基礎數據與應用層面的支撐。

目前來說，車聯網云服務逐步朝著公有、私有兩大方向發展。例如，以特斯拉（Tesla）、蔚來（NIO）為代表的私有云為相應的車主及車輛提供云端及線下服務；以華為、百度等為代表的公有云供應商提供標準及個性化的車聯網云服務。華為智能車聯網云服務包含了OTA、數字鑰匙以及連接服務。特別是連接服務中，除了基礎的可靠性及并發能力上的保證外，還支持多種協議接入、協議插件化、客戶靈活定制協議解析規則。百度阿波羅（Apollo）智能車云在業務層面有更多服務，如用戶洞察、廣告投放、線索篩選、智能場景推薦、駕駛行為分析、售后等。然而，隨著移動互聯網的發展，部分OEM認識到數據的價值以及隱私保護等問題，要求將車輛、感知及服務數據存儲在自己的私有云中，其他計算、業務及場景相關的內容可在公有云中完成，于是開始采用公有云的私有化部署或混合云方案。目前，部分公有云供應商也開始接受這種部署的方式。綜上，在開發車云結合相關功能時，開發者可以選擇在私有云或本地服務器中實現部分功能開發與調試。在最終量產后，需要考慮云端服務的穩定性、安全性（如通過ASPICE認證）以及可靠性。如果自身私有云無法達到以上要求，則可以考慮選擇公有云或混合云進行。

2.空中下載技術（OTA）

空中下載技術（Over-the-Air Technology，OTA）是通過網絡從遠程服務器下載新的軟件更新包對自身系統進行升級，包含固件升級和應用升級，從而滿足終端廠商的應用管理需求和運營商對入網終端的管理要求。如圖2-9所示，OTA可以理解為一種遠程無線升級技術。具體來說，OTA升級可以分為三個階段，即生成更新包、傳輸更新包、安裝更新，整個階段通過網絡通信連接，最終實現終端內存儲數據的更新，進而改善終端的功能和服務的技術。OTA技術最早應用在PC上，后來廣泛應用在移動手機行業，近幾年才開始在汽車行業里廣泛應用。

OTA可以讓汽車即便在已經離廠并且服役中的狀態下，能透過互聯網從遠程進行系統升級，以達到功能更新或是漏洞補救的目的，從而讓車企可以進行車輛的遠程診斷、大數據等應用，快速修復系統故障，并增加新的功能等。OTA對于智能座艙尤為重要，這是因為各類算法在出廠前雖然做了充足的測試，但依然不能確保可以涵蓋所有的場景，在這種情況下，通過OTA來發現問題并升級算法模型，可以更好地提升整體座艙場景的使用體感。另外，OTA還可以對部分場景實現千人千面，提供更好的個性化服務。

汽車OTA升級分為固件在線升級（Firmware-Over-The-Air，FOTA）和軟件在線升級（Software-Over-The-Air，SOTA）兩類，前者是一個完整的系統性更新，后者是迭代更新的升級。具體來說，FOTA指的是給一個車輛設備、ECU閃存等下載一個完整的固件鏡像，或者修補現有固件、更新閃存，是一個完整的軟件安裝文件（鏡像）下載的過程。SOTA指的是通過無線網絡或移動網絡將文件從云端服務器下載到車輛上。SOTA一般作為一個“增量”，整車企業僅發送需要更改的部分，在減少下載數量和時間的同時，降低了成本和失敗的可能性。軟件增量文件和對應于車輛的安全憑據被稱為“更新包”，更新包中可能包含多個增量文件和多個ECU的補丁。綜上所述，SOTA對整車的要求較低，由于其影響范圍有限，且大多是娛樂系統，一般一個稍微高級點的ECU接一個4G網卡就可以實現簡單的應用升級。但FOTA的實現（一般需要進行固件更新的都是高階復雜的ECU）往往涉及整車重要的控制器，包括車身、動力和自動駕駛系統，對整車要求較高。

圖2-10所示為OTA架構。OTA云端主要包括五部分：OTA管理平臺、OTA升級服務、任務調度、文件服務、任務管理。

待升級的軟件包一般由設備軟件供應商提供，給到OTA服務營運方。軟件包包括要更新的內容，全量還是分量，一個車型，一個批次，還是一個特定群體等，這些包被放在OTA云端服務器上開始交互。車端通過4G/5G網絡與云端進行安全連接，并且將全新的、待更新的固件安全地傳輸到車輛的車載智能終端（T-BOX）。而之后的升級過程，主要由OTA升級管理程序（OTA Manager）和升級代理程序（Update Agent）完成：

1）OTA Manager是整個更新的核心，它負責連接車輛與OTA云平臺的管理程序，管理車輛所有ECU的更新過程，它控制著將固件更新分發到ECU，并告知ECU何時執行更新（在多個ECU需要同時更新的情況下尤為重要）。OTA升級任務下發到車輛后，升級管理程序OTA Manager也必須判斷車輛條件是否符合。對于不符合條件的車輛，升級管理程序必須中止升級任務并上報給云平臺；對符合條件的車輛安全升級完成后，也要上報云端（圖2-10所示的步驟4與步驟5）。OTA升級還需要能夠靈活定義升級的具體范圍、升級時機、升級內容、提示事項以及失敗后給用戶的失敗處理提示，以提升大規模升級中的運營效率和運營體驗。另外，它實現了端云的安全通信，包括協議通信鏈接管理、升級指令接收和升級狀態發送、升級包下載、升級包解密、差分包重構、對升級包進行合法性驗證，還包括密鑰證書管理服務、數據加密服務、數字簽名服務等功能。

2）Update Agent是為了兼容不同的車內通信網絡和通信協議（CAN、以太網），以及不同OEM間各品牌車型的接口差異而進行封裝適配的部分。應對不同安全等級的域控制器（動力系統域、車身系統域、智能座艙域、自動駕駛域）的多個ECU，不同ECU有不同版本的軟件。升級先后次序，依賴關系也各不相同。升級代理提供了統一接口，由OTA廠商負責實現接口，完成接口和業務邏輯的適配。

OTA直接影響到用戶的使用體驗，是一個集技術與運營的復雜工程，需要考慮各方面因素[1]。OTA實操過程中部分需要考量的因素見表2-1。

最后需要強調的是，OTA雖然是間歇性的，但也是長期性的。上汽集團殷瑋認為，要確保這項工作能夠安全、穩定、高效運行，OTA云平臺至少要包含升級模型管理、升級包管理、升級任務、升級策略以及升級日志功能。例如，升級模型管理中包含了配套關系和升級順序控制，對于升級任務在設備側的準確完整執行非常重要；升級包管理中需要提供常見的升級包制作處理相關工具，如文件壓縮合并、文件簽名、加密處理、差分生成等；升級任務中要有相應的模塊進行升級任務創建、下發、監控、狀態維護等整組活動的管理；升級策略中要有用于描述任務特征和目標設備升級行為的配置，如在整車升級中，升級策略包括靜默升級、常規升級和緊急升級的分類，也包括了升級包下載前，是否需要通知用戶下載確認的配置；升級日志包括云平臺的日志、車端與云平臺通信產生的日志和車端升級程序搜集上來的日志，用于升級失敗后的分析和支撐升級運維運營管理。

3.隱私保護及相關法律

在車云結合中，難免會產生各類數據交換、存儲、分析以及商業化利用，而在這個過程中，相關的隱私保護已經成為當前智能座艙領域的核心關注點之一。其中最主要的原因是座艙中主要使用攝像頭及傳聲器來進行各類感知，部分數據還可能會被用于用戶畫像及行為分析，從而通過云端推送來實現千人千面的個性化服務。另外，由于深度學習的自身局限，需要依賴大量的數據進行模型調優，采集并挖掘實車數據成為算法高效迭代的重要途徑之一。在這個大背景下，2021年3月爆出“特斯拉通過車內攝像頭監控車主”的消息[2]，立刻引發了網絡熱潮，大量網友對智能座艙便捷性與隱私性進行了大量討論，以尋找效率與正義的平衡點。本書不贅述各類企業的做法及相關討論內容，主要介紹國內在法律層面的進展。相信隨著監管環境的變化與用戶數據隱私意識的覺醒，智能汽車過度收集用戶數據并濫用的亂象將在未來一段時間內大量減少。

2021年5月12日，國家互聯網信息辦公室與有關部門起草了《汽車數據安全管理若干規定（征求意見稿）》（下文簡稱：征求意見稿），征求意見稿對部分數據的收集及儲存都作出了嚴格規定，如明確和限制了車企可收集的用戶數據的范圍，此外征求意見稿中的諸多條款也增強了用戶對其被收集信息的掌控力，將數據處置權讓渡給用戶。在數據收集端，該征求意見稿強調，默認不收集原則，除非確有必要，否則每次駕駛時默認為不收集狀態，駕駛員的同意授權只對本次駕駛有效。此外，征求意見稿也提出車內處理原則，除非確有必要，否則用戶數據不向車外提供。在保護用戶數據不被過度收集的情況下，征求意見稿也規定車企必須告知用戶收集每種類型數據的觸發條件以及停止收集的方式。這一條款將帶給用戶更多的個人信息支配權。但依據前述條款的原則，車企在保持數據收集正當性的前提下，依然保留了通過用戶數據優化產品及算法的空間，在效率與正義之間實現了相對平衡。

2021年6月10日，《中華人民共和國數據安全法》由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議通過，自2021年9月1日起施行。該法為我國第一部數據安全領域的專門法律，相較于《中華人民共和國網絡安全法》則更強調數據安全保護和行業發展并重，相較于《中華人民共和國個人信息保護法》則更關注數據宏觀層面的安全和數據處理的規范，為中國網絡、信息及數據安全構筑更加全面和完善的法律框架，也標志著我國數據安全全面進入“法制”時代。

2021年8月，工業和信息化部發布了《關于加強智能網聯汽車生產企業及產品準入管理的意見》（以下簡稱《意見》），目的在于加強智能網聯汽車生產企業及產品準入管理，維護公民生命、財產安全和公共安全，促進智能網聯汽車產業健康可持續發展。《意見》分為“總體要求、加強數據和網絡安全管理、規范軟件在線升級、加強產品管理、保障措施”共5個部分、11項內容，具體概括如下：

一是明確管理范圍、強化企業主體責任。《意見》明確管理范圍為智能網聯汽車生產企業及其產品。智能網聯汽車是指搭載先進的車載傳感器、控制器、執行器等裝置，融合現代通信與網絡、人工智能等技術，實現車與X（車、路、人、云等）智能信息交換、共享，具備復雜環境感知、智能決策、協同控制等功能，可實現“安全、高效、舒適、節能”行駛，并最終可實現替代人來操作的新一代汽車。《意見》明確企業應落實主體責任，加強汽車數據安全、網絡安全、軟件升級、功能安全和預期功能安全管理，保證產品質量和生產一致性。

二是加強數據和網絡安全管理能力。在強化數據安全管理能力方面，《意見》明確企業應當建立健全汽車數據安全管理制度，依法履行數據安全保護義務，實施數據分類分級管理，加強個人信息與重要數據保護；建設數據安全保護技術措施，確保數據持續處于有效保護和合法利用的狀態，依法依規落實數據安全風險評估、數據安全事件報告等要求；在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當按照有關法律法規規定在境內存儲，需要向境外提供數據的，應當通過數據出境安全評估。在加強網絡安全保障能力方面，企業應當建立汽車網絡安全管理制度；具備保障汽車電子電氣系統、組件和功能免受網絡威脅的技術措施，具備汽車網絡安全風險監測、網絡安全缺陷和漏洞等發現和處置技術條件，確保車輛及其功能處于被保護的狀態，保障車輛安全運行；依法依規落實網絡安全事件報告和處置要求。

三是規范軟件在線升級。《意見》明確企業生產具有在線升級功能的汽車產品的，應當建立與汽車產品及升級活動相適應的管理能力。企業實施在線升級活動前，應當確保汽車產品符合法律法規、技術標準及技術規范等相關要求，并向工業和信息化部備案。升級涉及技術參數變更的，要求企業應提前按照《道路機動車輛生產企業及產品準入管理辦法》（以下簡稱《管理辦法》）辦理變更手續。要求在線升級活動保證產品生產一致性。明確未經審批，不得通過在線等軟件升級方式新增或更新汽車自動駕駛功能。

四是加強產品管理。《意見》提出企業生產具有駕駛輔助和自動駕駛功能的汽車產品的，應當明確告知車輛功能及性能限制、駕駛員職責、人機交互設備指示信息、功能激活及退出方法和條件等信息。企業生產具有組合駕駛輔助功能的汽車產品的，還應采取脫手檢測等技術措施，保障駕駛員始終在執行相應的動態駕駛任務。企業生產具有自動駕駛功能的汽車產品的，應當確保汽車產品至少滿足系統失效識別與安全響應、人機交互、數據記錄、過程保障和模擬仿真等測試驗證的要求。應當確保汽車產品具有安全、可靠的時空信息服務，鼓勵支持接受北斗衛星導航系統信號。

五是完善保障措施。《意見》明確企業應當建立自查機制，發現產品存在數據安全、網絡安全、在線升級安全、駕駛輔助和自動駕駛安全等嚴重問題的，應當依法依規立即停止相關產品的生產、銷售，采取措施進行整改，并及時報告。工業和信息化部指導有關機構做好智能網聯汽車生產企業及產品準入技術審查等工作，各地主管部門要與相關部門協同配合，按照《管理辦法》有關要求，做好對《意見》落實情況的監督檢查。工業和信息化部將加快推動汽車數據安全、網絡安全、在線升級、駕駛輔助、自動駕駛等標準規范制修訂，并鼓勵第三方服務機構和企業加強相關測試驗證和檢驗檢測能力建設，不斷提升智能網聯汽車相關技術和網絡安全、數據安全水平。