2.1.3 车云结合

为了优化汽车的移动与“第三生活空间”属性，车与万物互联（Vehicle-to-Everything，V2X）已经逐步成为研究与产品热点，让车辆通过传感器、网络通信技术与周边其他车、人、物联系起来，方便分析决策，如图2-6所示。V2X包含车与车（V2V）、车与基础设施（V2I）、车与人（V2P）、车与云（V2N）四方面。对于智能座舱而言，V2N尤为重要。一方面，部分场景需要与云端连接提供更加优质丰富的内容服务；另一方面，部分场景也要通过OTA来进行升级与更新，确保系统的稳定性与可靠性。本节将详细介绍车云结合中云端的技术架构，以及OTA技术的相关内容。最后，我们还会讨论在车云结合中相关的隐私保护与相关法律问题。

1.云端

在实际应用中，云端会为车辆提供各类服务（图2-7）。因为服务场景及供应商等的不同，这些服务大都独立且分散，因此所对应的架构也有所不同。在本节中，我们主要探讨与人机交互相关的服务。在智能座舱中，经典的人机交互如手势识别、语音识别、行为动作识别、表情识别、疲劳识别、拍照等大都以离线的方式在本地运行，与云端互联的主要目标是提供基于内容的服务。例如，当识别到疲劳驾驶后，除了报警、开窗、香氛等本地疲劳缓解策略外，还有可能通过云端推送一些音乐、广播、呼叫等服务；当识别到驾驶员开心或其他表情后，其音乐歌单也会随之更改，进行更加个性化的音乐推送。因此，杀手级应用+智能车云逐步取代了本地应用，成为各个车厂追逐的热点。为了实现以上功能，图2-8所示为一个典型的华为车云联网框架：车辆及座舱的感知结果通过数据通道入网。在云端主要包含车辆管理及连接管理两大模块。在车辆管理中，可以实现车辆配置（针对场景）、车辆控制、OTA管理及影子模式来进行数据采集与挖掘。在连接管理中，可以实现车辆认证管理、双向通信监控及管理等。在这两大管理的基础上，可以积累大量的车内外数据，从而在车联网智能体套件中实现更加高层的应用，如规划、分析、告警、画像等，进而为其他平台提供基础数据与应用层面的支撑。

目前来说，车联网云服务逐步朝着公有、私有两大方向发展。例如，以特斯拉（Tesla）、蔚来（NIO）为代表的私有云为相应的车主及车辆提供云端及线下服务；以华为、百度等为代表的公有云供应商提供标准及个性化的车联网云服务。华为智能车联网云服务包含了OTA、数字钥匙以及连接服务。特别是连接服务中，除了基础的可靠性及并发能力上的保证外，还支持多种协议接入、协议插件化、客户灵活定制协议解析规则。百度阿波罗（Apollo）智能车云在业务层面有更多服务，如用户洞察、广告投放、线索筛选、智能场景推荐、驾驶行为分析、售后等。然而，随着移动互联网的发展，部分OEM认识到数据的价值以及隐私保护等问题，要求将车辆、感知及服务数据存储在自己的私有云中，其他计算、业务及场景相关的内容可在公有云中完成，于是开始采用公有云的私有化部署或混合云方案。目前，部分公有云供应商也开始接受这种部署的方式。综上，在开发车云结合相关功能时，开发者可以选择在私有云或本地服务器中实现部分功能开发与调试。在最终量产后，需要考虑云端服务的稳定性、安全性（如通过ASPICE认证）以及可靠性。如果自身私有云无法达到以上要求，则可以考虑选择公有云或混合云进行。

2.空中下载技术（OTA）

空中下载技术（Over-the-Air Technology，OTA）是通过网络从远程服务器下载新的软件更新包对自身系统进行升级，包含固件升级和应用升级，从而满足终端厂商的应用管理需求和运营商对入网终端的管理要求。如图2-9所示，OTA可以理解为一种远程无线升级技术。具体来说，OTA升级可以分为三个阶段，即生成更新包、传输更新包、安装更新，整个阶段通过网络通信连接，最终实现终端内存储数据的更新，进而改善终端的功能和服务的技术。OTA技术最早应用在PC上，后来广泛应用在移动手机行业，近几年才开始在汽车行业里广泛应用。

OTA可以让汽车即便在已经离厂并且服役中的状态下，能透过互联网从远程进行系统升级，以达到功能更新或是漏洞补救的目的，从而让车企可以进行车辆的远程诊断、大数据等应用，快速修复系统故障，并增加新的功能等。OTA对于智能座舱尤为重要，这是因为各类算法在出厂前虽然做了充足的测试，但依然不能确保可以涵盖所有的场景，在这种情况下，通过OTA来发现问题并升级算法模型，可以更好地提升整体座舱场景的使用体感。另外，OTA还可以对部分场景实现千人千面，提供更好的个性化服务。

汽车OTA升级分为固件在线升级（Firmware-Over-The-Air，FOTA）和软件在线升级（Software-Over-The-Air，SOTA）两类，前者是一个完整的系统性更新，后者是迭代更新的升级。具体来说，FOTA指的是给一个车辆设备、ECU闪存等下载一个完整的固件镜像，或者修补现有固件、更新闪存，是一个完整的软件安装文件（镜像）下载的过程。SOTA指的是通过无线网络或移动网络将文件从云端服务器下载到车辆上。SOTA一般作为一个“增量”，整车企业仅发送需要更改的部分，在减少下载数量和时间的同时，降低了成本和失败的可能性。软件增量文件和对应于车辆的安全凭据被称为“更新包”，更新包中可能包含多个增量文件和多个ECU的补丁。综上所述，SOTA对整车的要求较低，由于其影响范围有限，且大多是娱乐系统，一般一个稍微高级点的ECU接一个4G网卡就可以实现简单的应用升级。但FOTA的实现（一般需要进行固件更新的都是高阶复杂的ECU）往往涉及整车重要的控制器，包括车身、动力和自动驾驶系统，对整车要求较高。

图2-10所示为OTA架构。OTA云端主要包括五部分：OTA管理平台、OTA升级服务、任务调度、文件服务、任务管理。

待升级的软件包一般由设备软件供应商提供，给到OTA服务营运方。软件包包括要更新的内容，全量还是分量，一个车型，一个批次，还是一个特定群体等，这些包被放在OTA云端服务器上开始交互。车端通过4G/5G网络与云端进行安全连接，并且将全新的、待更新的固件安全地传输到车辆的车载智能终端（T-BOX）。而之后的升级过程，主要由OTA升级管理程序（OTA Manager）和升级代理程序（Update Agent）完成：

1）OTA Manager是整个更新的核心，它负责连接车辆与OTA云平台的管理程序，管理车辆所有ECU的更新过程，它控制着将固件更新分发到ECU，并告知ECU何时执行更新（在多个ECU需要同时更新的情况下尤为重要）。OTA升级任务下发到车辆后，升级管理程序OTA Manager也必须判断车辆条件是否符合。对于不符合条件的车辆，升级管理程序必须中止升级任务并上报给云平台；对符合条件的车辆安全升级完成后，也要上报云端（图2-10所示的步骤4与步骤5）。OTA升级还需要能够灵活定义升级的具体范围、升级时机、升级内容、提示事项以及失败后给用户的失败处理提示，以提升大规模升级中的运营效率和运营体验。另外，它实现了端云的安全通信，包括协议通信链接管理、升级指令接收和升级状态发送、升级包下载、升级包解密、差分包重构、对升级包进行合法性验证，还包括密钥证书管理服务、数据加密服务、数字签名服务等功能。

2）Update Agent是为了兼容不同的车内通信网络和通信协议（CAN、以太网），以及不同OEM间各品牌车型的接口差异而进行封装适配的部分。应对不同安全等级的域控制器（动力系统域、车身系统域、智能座舱域、自动驾驶域）的多个ECU，不同ECU有不同版本的软件。升级先后次序，依赖关系也各不相同。升级代理提供了统一接口，由OTA厂商负责实现接口，完成接口和业务逻辑的适配。

OTA直接影响到用户的使用体验，是一个集技术与运营的复杂工程，需要考虑各方面因素[1]。OTA实操过程中部分需要考量的因素见表2-1。

最后需要强调的是，OTA虽然是间歇性的，但也是长期性的。上汽集团殷玮认为，要确保这项工作能够安全、稳定、高效运行，OTA云平台至少要包含升级模型管理、升级包管理、升级任务、升级策略以及升级日志功能。例如，升级模型管理中包含了配套关系和升级顺序控制，对于升级任务在设备侧的准确完整执行非常重要；升级包管理中需要提供常见的升级包制作处理相关工具，如文件压缩合并、文件签名、加密处理、差分生成等；升级任务中要有相应的模块进行升级任务创建、下发、监控、状态维护等整组活动的管理；升级策略中要有用于描述任务特征和目标设备升级行为的配置，如在整车升级中，升级策略包括静默升级、常规升级和紧急升级的分类，也包括了升级包下载前，是否需要通知用户下载确认的配置；升级日志包括云平台的日志、车端与云平台通信产生的日志和车端升级程序搜集上来的日志，用于升级失败后的分析和支撑升级运维运营管理。

3.隐私保护及相关法律

在车云结合中，难免会产生各类数据交换、存储、分析以及商业化利用，而在这个过程中，相关的隐私保护已经成为当前智能座舱领域的核心关注点之一。其中最主要的原因是座舱中主要使用摄像头及传声器来进行各类感知，部分数据还可能会被用于用户画像及行为分析，从而通过云端推送来实现千人千面的个性化服务。另外，由于深度学习的自身局限，需要依赖大量的数据进行模型调优，采集并挖掘实车数据成为算法高效迭代的重要途径之一。在这个大背景下，2021年3月爆出“特斯拉通过车内摄像头监控车主”的消息[2]，立刻引发了网络热潮，大量网友对智能座舱便捷性与隐私性进行了大量讨论，以寻找效率与正义的平衡点。本书不赘述各类企业的做法及相关讨论内容，主要介绍国内在法律层面的进展。相信随着监管环境的变化与用户数据隐私意识的觉醒，智能汽车过度收集用户数据并滥用的乱象将在未来一段时间内大量减少。

2021年5月12日，国家互联网信息办公室与有关部门起草了《汽车数据安全管理若干规定（征求意见稿）》（下文简称：征求意见稿），征求意见稿对部分数据的收集及储存都作出了严格规定，如明确和限制了车企可收集的用户数据的范围，此外征求意见稿中的诸多条款也增强了用户对其被收集信息的掌控力，将数据处置权让渡给用户。在数据收集端，该征求意见稿强调，默认不收集原则，除非确有必要，否则每次驾驶时默认为不收集状态，驾驶员的同意授权只对本次驾驶有效。此外，征求意见稿也提出车内处理原则，除非确有必要，否则用户数据不向车外提供。在保护用户数据不被过度收集的情况下，征求意见稿也规定车企必须告知用户收集每种类型数据的触发条件以及停止收集的方式。这一条款将带给用户更多的个人信息支配权。但依据前述条款的原则，车企在保持数据收集正当性的前提下，依然保留了通过用户数据优化产品及算法的空间，在效率与正义之间实现了相对平衡。

2021年6月10日，《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过，自2021年9月1日起施行。该法为我国第一部数据安全领域的专门法律，相较于《中华人民共和国网络安全法》则更强调数据安全保护和行业发展并重，相较于《中华人民共和国个人信息保护法》则更关注数据宏观层面的安全和数据处理的规范，为中国网络、信息及数据安全构筑更加全面和完善的法律框架，也标志着我国数据安全全面进入“法制”时代。

2021年8月，工业和信息化部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》（以下简称《意见》），目的在于加强智能网联汽车生产企业及产品准入管理，维护公民生命、财产安全和公共安全，促进智能网联汽车产业健康可持续发展。《意见》分为“总体要求、加强数据和网络安全管理、规范软件在线升级、加强产品管理、保障措施”共5个部分、11项内容，具体概括如下：

一是明确管理范围、强化企业主体责任。《意见》明确管理范围为智能网联汽车生产企业及其产品。智能网联汽车是指搭载先进的车载传感器、控制器、执行器等装置，融合现代通信与网络、人工智能等技术，实现车与X（车、路、人、云等）智能信息交换、共享，具备复杂环境感知、智能决策、协同控制等功能，可实现“安全、高效、舒适、节能”行驶，并最终可实现替代人来操作的新一代汽车。《意见》明确企业应落实主体责任，加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，保证产品质量和生产一致性。

二是加强数据和网络安全管理能力。在强化数据安全管理能力方面，《意见》明确企业应当建立健全汽车数据安全管理制度，依法履行数据安全保护义务，实施数据分类分级管理，加强个人信息与重要数据保护；建设数据安全保护技术措施，确保数据持续处于有效保护和合法利用的状态，依法依规落实数据安全风险评估、数据安全事件报告等要求；在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储，需要向境外提供数据的，应当通过数据出境安全评估。在加强网络安全保障能力方面，企业应当建立汽车网络安全管理制度；具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施，具备汽车网络安全风险监测、网络安全缺陷和漏洞等发现和处置技术条件，确保车辆及其功能处于被保护的状态，保障车辆安全运行；依法依规落实网络安全事件报告和处置要求。

三是规范软件在线升级。《意见》明确企业生产具有在线升级功能的汽车产品的，应当建立与汽车产品及升级活动相适应的管理能力。企业实施在线升级活动前，应当确保汽车产品符合法律法规、技术标准及技术规范等相关要求，并向工业和信息化部备案。升级涉及技术参数变更的，要求企业应提前按照《道路机动车辆生产企业及产品准入管理办法》（以下简称《管理办法》）办理变更手续。要求在线升级活动保证产品生产一致性。明确未经审批，不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。

四是加强产品管理。《意见》提出企业生产具有驾驶辅助和自动驾驶功能的汽车产品的，应当明确告知车辆功能及性能限制、驾驶员职责、人机交互设备指示信息、功能激活及退出方法和条件等信息。企业生产具有组合驾驶辅助功能的汽车产品的，还应采取脱手检测等技术措施，保障驾驶员始终在执行相应的动态驾驶任务。企业生产具有自动驾驶功能的汽车产品的，应当确保汽车产品至少满足系统失效识别与安全响应、人机交互、数据记录、过程保障和模拟仿真等测试验证的要求。应当确保汽车产品具有安全、可靠的时空信息服务，鼓励支持接受北斗卫星导航系统信号。

五是完善保障措施。《意见》明确企业应当建立自查机制，发现产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的，应当依法依规立即停止相关产品的生产、销售，采取措施进行整改，并及时报告。工业和信息化部指导有关机构做好智能网联汽车生产企业及产品准入技术审查等工作，各地主管部门要与相关部门协同配合，按照《管理办法》有关要求，做好对《意见》落实情况的监督检查。工业和信息化部将加快推动汽车数据安全、网络安全、在线升级、驾驶辅助、自动驾驶等标准规范制修订，并鼓励第三方服务机构和企业加强相关测试验证和检验检测能力建设，不断提升智能网联汽车相关技术和网络安全、数据安全水平。