OTA升級351次召回292萬輛 智能網聯汽車產業的新挑戰？

“軟件定義汽車”已成為行業發展趨勢，如今，配裝智能軟件系統的智能網聯汽車在大街小巷隨處可見。軟件的功能決定汽車的功能，智能網聯汽車生產者(以下簡稱“生產者”)通過汽車遠程升級(以下簡稱OTA)技術可以對已經售出的智能網聯汽車繼續提高汽車性能、升級迭代自動輔助駕駛系統等車載軟件，甚至可以直接修復汽車系統存在的安全隱患。

根據國家市場監督管理總局公布的數據，2021年我國企業報告OTA升級351次，涉及車輛3424萬輛，同比分別增長55%和307%，OTA升級主要涉及娛樂系統、整車系統和信息與數據系統三大主流系統，占涉及車輛的86%;2021年OTA召回共有10起，涉及缺陷車輛292萬輛。可見OTA技術已在汽車產品中廣泛應用，但隨之也出現了技術濫用、數據及網絡安全等方面的問題，對智能網聯汽車產業的健康發展帶來新的挑戰。

一、OTA具有明顯優勢

OTA分為SOTA(Software Over-The-Air)和FOTA(Firmware Over-The-Air)兩種。SOTA是應用軟件遠程升級，比如車內的車機娛樂系統、導航地圖、人機交互系統等應用軟件的升級;FOTA是固件軟件遠程升級，比如針對汽車ECU(電子控制單元，又稱“行車電腦”)、VCU(電動汽車整車控制器)等電控單元進行升級，可以對汽車的動力輸出、轉向、懸架、車輛控制系統、電控管理系統等進行升級或修改，從而改善汽車某些駕駛性能。

其中，FOTA的應用改變了汽車行業的商業模式，使汽車產品功能的“現貨”交付模式進入到一個“期貨”交付模式，也就是生產者將汽車硬件“預埋”在汽車中，在售出汽車后可以對“預埋”硬件中的固件軟件進行FOTA，激活或升級“預埋”硬件的功能。比如，部分生產者向消費者銷售交付的汽車產品起初并不具有自動駕駛功能，但實際上已經在該車輛中“預埋”具有自動駕駛功能的硬件模塊，生產者后續可以通過(免費或有償)FOTA的方式對該“預埋”硬件進行激活或升級，使車輛具有自動駕駛功能。

必須承認，OTA的優勢是明顯的。首先它具有低成本、高效率的優勢。比如，無OTA功能的傳統汽車如果存在系統缺陷，生產者召回車輛，用戶需將汽車開到生產者指定4S店進行修復，這會增加生產者的人工成本和用戶的時間成本。而智能網聯汽車通過OTA就可以在線修復系統缺陷，用戶只需將車輛連入網絡進行OTA升級即可，既便捷又可以降低生產者的召回成本。其次，OTA技術有利于生產者發展汽車增值服務。生產者通過OTA技術可以持續更新或增加汽車功能及服務內容，提高用戶的用車體驗，導入和迭代人機交互系統，開展在線銷售不同汽車軟件、提供多樣化服務場景等增值服務。

二、OTA引發新問題

盡管OTA的優勢顯而易見，但目前在應用過程中也出現了一些新問題。

1.侵害用戶合法權益

比如，部分生產者在未告知用戶的情況下便對新能源汽車電池管理系統進行OTA升級，導致車輛升級后出現續駛里程降低、動力電池容量減少、充電速度變慢等性能受到限制的問題。這不僅嚴重侵害了用戶的知情權，也減損了車輛性能，無法達到生產者在銷售時宣稱的原有車輛性能，損害用戶的車輛財產權益。

2.挑戰產品生產一致性

我國現行汽車產品管理制度要求產品生產一致性，汽車產品出廠參數須符合國家相關標準，并且要求實際出廠的汽車產品性能參數應當與國家許可或認證的汽車準入型式保持一致。但是，在智能網聯汽車出廠銷售之后，生產者仍可以通過OTA技術多次修改汽車實際的安全、排放、能耗等技術參數，車輛的實際技術參數會發生變化，可能與國家許可或認證的汽車準入技術參數不一致。這將使汽車產品管理制度存在空轉問題，對汽車產品生產一致性制度構成挑戰。

3.引發汽車數據、個人信息及網絡安全問題

生產者在對車輛OTA升級時，整個升級過程涉及云端服務器的安全、車端安全、車與云之間的通訊安全，也關系到生產者、汽車用戶及汽車軟件供應商等其他主體之間的網絡通信、數據收集、傳輸等多個處理環節。這期間如有漏洞，會存在被黑客劫持網絡、植入病毒軟件、篡改數據、遠程控制車輛、竊取個人信息等風險。

4.逃避召回責任

汽車與用戶人身安全息息相關，部分生產者在智能網聯汽車系統功能不完善、驗證不充分的情況下匆匆上市銷售，并期望后續通過OTA的方式再對一些軟件問題打補丁、升級修復。由于彌補產品缺陷與改進產品性能這兩個行為很難劃出清晰的界線，這就導致“汽車軟件問題”是否屬于“汽車質量問題”存在爭議，也一度使OTA技術處于監管的灰色地帶。

比如某品牌汽車通過OTA對車載系統升級時無法正常行駛直接“趴窩”在公路上引發行業的廣泛關注，其根本原因是汽車軟件對車輛使用環境判斷失誤，生產者在人機交互系統設計上出現了安全漏洞。同時，部分生產者將一些汽車系統缺陷問題通過OTA以“升級”的名義進行秘密修復，并未依法主動履行汽車產品召回的程序，以此來規避因召回公告等法定程序給其汽車品牌形象帶來的負面影響。

三、我國已初步形成OTA監管制度

對于上述OTA引發的新問題，我國從市場準入、產品生產一致性、數據、個人信息與網絡安全、召回管理等多方面制定監管制度，已初步形成一套管理體系。

1.市場準入方面

工信部于2021年7月30日發布的《關于加強智能網聯汽車生產企業及產品準入管理的意見》規定，企業生產具有OTA功能的汽車產品，應當建立與汽車產品及升級活動相適應的管理能力，具有在線升級安全影響評估、測試驗證、實施過程保障、信息記錄等能力。同時，要求確保車輛進行在線升級時處于安全狀態，并向車輛用戶告知在線升級的目的、內容、所需時長、注意事項、升級結果等信息。

2.產品生產一致性方面

為防止汽車OTA升級影響產品生產一致性，《關于加強智能網聯汽車生產企業及產品準入管理的意見》和今年4月中旬發布的《關于開展汽車軟件在線升級備案的通知》，都規定企業實施在線升級活動前，應當確保汽車產品符合國家法律法規、技術標準及技術規范等相關要求并向工信部備案，涉及安全、節能、環保、防盜等技術參數變更的應提前申報，保證汽車產品生產一致性。未經審批，不得通過在線等軟件升級方式新增或更新汽車自動駕駛功能。

3.數據、個人信息與網絡安全方面

在汽車進行OTA涉及數據、個人信息與網絡安全方面，目前也有相關法律法規進行了規定。生產者對汽車進行OTA應當遵守《網絡安全法》、《數據安全法》、《個人信息保護法》、《網絡產品安全漏洞管理規定》、《汽車數據安全管理若干規定(試行)》的相關規定。此外，工信部在《關于加強車聯網網絡安全和數據安全工作的通知》中，明確規定生產者要加強OTA安全和漏洞檢測評估，建立在線升級服務軟件包安全驗證機制，采用安全可信的軟件;開展在線升級軟件包網絡安全檢測，及時發現產品安全漏洞;加強在線升級服務安全校驗能力，采取身份認證、加密傳輸等技術措施，保障傳輸環境和執行環境的網絡安全;加強在線升級服務全過程的網絡安全監測和應急響應，定期評估網絡安全狀況，防范軟件被偽造、篡改、損毀、泄露和病毒感染等網絡安全風險。

4.召回管理方面

為了加強OTA監管，防止企業濫用，國家市場監管總局于2020年11月發布《關于進一步加強汽車遠程升級(OTA)技術召回監管的通知》規定，生產者采用OTA方式對已售車輛開展技術服務活動的，應按照《缺陷汽車產品召回管理條例》及《缺陷汽車產品召回管理條例實施辦法》要求，向市場監管總局質量發展局備案;生產者采用OTA方式消除汽車產品缺陷、實施召回的，應制定召回計劃，向市場監管總局質量發展局備案，依法履行召回主體責任。另外，《機動車排放召回管理規定》也要求，機動車生產者應及時通過機動車排放召回信息系統，報告與排放有關的維修與遠程升級等技術服務通報、公告等信息。

5.國家標準正在相繼推出

隨著汽車OTA越來越普遍，相應的國家標準也在不斷完善。我國早在2016年10月1日便已實施國家推薦標準《電動汽車遠程服務與管理系統技術規范》，國家推薦標準《電動汽車遠程服務與管理系統信息安全技術要求及試驗方法》也于今年5月1日實施。另外，《汽車軟件升級通用技術要求》作為我國首個OTA方面的強制性國家標準，目前已完成草案編制工作，相信不久的將來就會實施。國家市場監督管理總局也表示，將推進智能網聯汽車OTA大數據云平臺和相應測試分析能力建設。

四、對OTA技術的管理還需不斷完善

應該說，我國已經從事先、事中、事后對OTA的監管作出框架性規定，但這只是基于我國傳統汽車監管制度對新出現的OTA法律新漏洞“打補丁”，但“補丁”的有效性還有待于實踐進一步檢驗。傳統汽車只是一種機械交通工具，沒有配裝智能軟件，在生產出廠之后一般不存在隨時改變功能、性能的情況(車主對車輛進行改裝的情況不在此討論范圍)。

而智能網聯汽車作為新一代的數據處理平臺，搭載多個傳感器、控制器、執行器等裝置，并融合現代通信與網絡技術，具有與外界進行智能信息交換、共享，具備復雜環境感知、智能決策、協同控制等功能。其中，OTA作為智能網聯汽車不斷升級迭代的一種技術管道，可以使汽車不斷更新功能與性能，這種升級直接影響到汽車產品質量本身的狀態，更與車主或第三方人身財產安全密切相關。所以，生產者通過OTA技術對已售出汽車產品進行升級，也可被視為是一種生產制造行為的延續，是生產者通過OTA技術不斷塑造智能網聯汽車的行為，智能網聯汽車由此也具有一定的“成長性”。

在這種情況下，具有OTA功能的智能網聯汽車集合了上述生產制造延續、數據安全、網絡安全、個人信息等多個方面的問題，也徹底改變了國家對汽車產品監管的現有模式。比如，我國在監管傳統汽車背景下制定的《缺陷汽車產品召回管理條例》，認為缺陷是指由于設計、制造、標識等原因導致的在同一批次、型號或者類別的汽車產品中普遍存在的不符合保障人身、財產安全的國家標準、行業標準的情形或者其他危及人身、財產安全的不合理的危險。

但是，智能網聯汽車(包含生產者通過OTA技術升級的智能網聯汽車)由于設計、制造、升級等原因導致車輛在網絡安全、數據安全、個人信息保護方面，存在危及國家主權、國家安全、社會公共利益、個人合法權益的危險時，也應當認定該類汽車產品存在“缺陷”。這種“汽車軟件問題”應當被認為是“汽車質量問題”。智能網聯汽車集合的生產制造延續、數據安全、網絡安全、個人信息等因素已經屬于智能網聯汽車產品質量的一部分，國家需要以全生命周期的動態監管視角完善智能網聯汽車的管理制度。《缺陷汽車產品召回管理條例》的規定已不能完全適應智能網聯汽車的健康發展。同理，在監管傳統汽車背景下制定的其他汽車管理制度，國家也應當及時對其進行“OTA升級”。

總之，對于OTA技術，汽車行業既要用好，也要管好。(楊陽)