随着智能网联汽车技术的持续演进,软件在整车价值链中的地位日益凸显,车辆正由传统以硬件为主的功能实现模式迈入“软件定义汽车”的新阶段。汽车软件在线升级(以下简称OTA升级)技术现已成为汽车生产企业提升整车功能性能、优化用户体验、延长产品生命周期、构建企业核心竞争力的重要抓手。当前,随着汽车软件功能日益复杂,升级需求快速增长。我们必须客观看待OTA升级带来的技术进步与风险挑战,坚持安全底线、科学监管、分类管理、精准施策,护航智能网联汽车产业高质量发展。
一、科学认知OTA升级本质,厘清汽车与消费电子的边界
(一)OTA升级是实现“软件定义汽车”的重要支撑能力
与传统线下召回或回厂维护方式相比,OTA升级通过无线网络远程更新车辆电子控制系统软件,显著提升了运维效率和用户体验。目前,OTA升级已广泛应用:一是座舱车机系统升级,如升级UI界面、地图导航、语音助手等,用于提升信息交互体验。二是驾驶辅助功能优化,如增强环境感知识别、路径规划、车辆运动控制能力等,用于提升驾驶辅助的安全性和体验。三是整车控制策略调整,如优化动力管理、底盘控制、车身控制、能效管理策略等,用于改善能效和操控体验。四是网络安全漏洞修复,通过OTA及时修复网络安全漏洞,有效防范远程攻击带来的安全隐患。
不过,OTA升级在提升运维效率和用户体验的同时,也可能改变甚至重构车辆的关键功能和性能特征。尤其是在涉及制动、转向、动力等关键控制系统时,OTA升级行为可能直接影响整车运行状态,存在高度外溢的安全风险。目前,OTA升级已经深度嵌入整车研发、生产、验证、交付与使用各个阶段,改变了传统“交付即定型”的产品一致性逻辑,对产品生产一致性管理和安全合规提出了全新挑战。
(二)汽车不是手机,软件升级须遵循严格的工程规范
不同于手机等消费电子的APP升级,汽车运行于公共道路,运行场景复杂、机电系统高度耦合、功能安全要求高,OTA升级失败或升级后功能异常可能直接危及人身安全。因此,汽车OTA升级管理应严格遵循汽车工业的工程逻辑与风险防控要求。一是控制系统耦合复杂。涉及多个关键安全控制系统(如动力、制动、转向、驾驶辅助)跨域功能联动、软硬件深度集成。二是升级验证路径严苛。涉及多系统耦合、数据链复杂、验证路径长,并受限于运行环境及网络条件,必须基于严谨的工程规范和验证流程,经过场景评估、功能验证、整车测试,确保不会对行车安全造成潜在影响。三是合规责任重。涉及交通安全法规、产品合规责任、用户知情权、网络与数据安全等管理要求,汽车OTA升级必须符合有关规定,充分告知用户,防范安全风险。
因此,汽车OTA升级是一项必须建立在功能安全、网络安全等保障机制基础之上的系统工程,必须严肃对待、充分验证、科学管理。
(三)OTA升级必须坚持“验证闭环”原则
为实现安全、可靠的OTA升级,企业必须遵循汽车产品研发全过程的严谨工程活动,开展完整的技术验证。一是研发阶段充分验证。通过模型在环、软件在环、硬件在环等方式,确保软件算法与控制逻辑正确有效。二是测试阶段充分覆盖工况。根据升级内容可覆盖包括极端温湿度、电磁干扰、网络中断等工况,测试验证车辆在不同工况下的升级稳定性。三是设计安全容错机制。确保关键控制系统在升级过程中具备容错与自恢复能力,包括自动重试、回滚、多分区机制等,确保升级失败不影响行车安全或者车辆处于安全可控状态。
汽车OTA升级比传统开发模式更需充分测试验证,不能以压缩流程换取上线速度,必须以“验证闭环”保障升级活动的安全可靠。
二、建立OTA升级管理机制是引导创新与保障安全的共同需求
(一)引导创新:构建支撑产业升级与技术演进的能力基础
OTA升级突破了传统“售后维保”范畴,通过远程动态调整车辆功能和性能参数,已成为嵌入产品研发、生产、销售、运维全过程的关键能力。因此,管理机制必须与技术发展协同演进,构建支撑创新的制度基础:一是实现产品生命周期的动态管理:针对不同的OTA应用场景,建立可动态调整配置和参数的管理机制,确保产品在功能变更过程中的一致性与合规性。二是建立基于风险评估的升级管理制度:在明确升级风险类别和影响范围基础上,分类管理升级行为,保障安全前提下激发企业优化产品性能的活力。三是推动数据驱动的合规监管能力建设,提升升级过程的透明度、可追溯性和部门协同监管效率,在保障安全底线的同时,支持企业持续创新。
(二)保障安全:防范系统性风险、筑牢产品质量安全底线
OTA可在无物理接入的前提下完成整车控制逻辑的改写,相比线下升级,操作隐形,用户感知弱。OTA系统在提升效率的同时,也可能引发新的风险,一旦控制系统失效,可能造成严重事故。因此,有必要加强OTA升级管理,为OTA行为设定最基本的“安全底线”和“责任边界”。一是防范功能失控风险。防止未经验证的升级引发系统失效或功能失控。升级行为可能改动底层算法或控制逻辑,应确保涉及控制逻辑变更的升级均经过全面验证、安全可控。二是维护用户合法权益。明确用户知情权和选择权,防范未经用户授权的“黑盒式”升级,或因软件变更导致的功能退化,维护用户合法权益。三是强化企业主体责任。通过版本追溯机制、责任主体备案制度,明确软件版本、升级路径、责任主体,确保可查、可控、可追责。
OTA升级的不仅体现了技术创新与演示的特征,更必须以强化企业质量安全主体责任为前提,确保产品符合有关安全、环保、节能法规标准要求。
三、推进分类管理机制,科学平衡“效率”与“安全”
(一)政策体系持续完善,形成制度合力
近年来,随着技术发展与应用深化,我国对OTA升级管理逐步建立制度体系。2021年,工业和信息化部印发《关于加强智能网联汽车生产企业及产品准入管理的意见》,明确企业生产具有OTA升级功能的汽车产品的,应当建立与汽车产品及升级活动相适应的管理能力。企业实施OTA升级活动前,应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案,涉及技术参数变更的应提前向工业和信息化部申报,保证汽车产品生产一致性。2023年,工业和信息化部、公安部、住房城乡建设部、交通运输部联合印发《关于开展智能网联汽车准入和上路通行试点工作的通知》,明确企业应具备OTA升级安全管理能力,以及技术要求和测试验证要求。2025年,工业和信息化部、市场监管总局联合发布《关于进一步加强智能网联汽车产品准入、召回及软件在线升级管理的通知》,将搭载组合驾驶辅助系统和具备OTA升级功能的智能网联汽车产品纳入准入与召回管理,并进一步规范企业OTA升级活动。
上述政策体系为企业开展合规、安全、高效的OTA升级提供了政策引导,也为先进技术创新和安全应用保驾护航。
(二)OTA升级企业能力建设是一项“长期功课”
OTA升级的系统通常涉及多控制域、多数据链、高协同依赖的复杂体系,企业需要构建符合OTA特点的能力机制。一是内部管理联动,提升内部合规管理能力。法规、研发、产品、质量等部门需协同联动,建立规范化实施汽车软件OTA升级备案的能力,加强统筹管理、人员培训和技能提升。二是建立覆盖产品全周期的保障能力。企业生产具备软件OTA升级功能的智能网联汽车产品的,应当健全完善与产品及升级活动相适应的管理制度和保障能力,强化安全保障和防护、影响评估、测试验证、执行过程保障、日志记录、历次升级信息保存等技术能力。三是开展充分测试验证。升级软件的功能和代码必须经过充分验证,保护升级包的真实性和完整性,防范安全风险,确保车辆进行OTA升级时处于安全状态。四是建立OTA升级用户告知机制。在执行OTA升级前,明确告知升级目的、升级前后变化、升级预估时间、升级期间无法使用的功能等信息,并应得到车辆用户确认;在执行OTA升级后,应告知车辆用户车辆升级的结果。五是健全追溯管理能力。企业应当识别升级活动所影响的系统及电子控制器,并保存软件初始和升级版本(集),保护车辆上的软件版本免受篡改,并能通过标准化的电子通信接口读取软件版本,确保升级目的、影响评估、升级涉及的系统与变更参数、升级的功能与变更参数、升级任务信息等升级活动备案信息真实、准确和完整,支持升级追溯管理。
(二)OTA升级活动分类管理
考虑到OTA升级内容差异性大、风险等级不同,基于管理实践,已逐步建立“分类管理”机制。根据升级活动的影响评估,对具体升级活动采取分类管理。
第一类:不涉及产品主要技术参数变更的OTA升级活动,企业在完成备案后,即可实施升级。此类升级的典型代表是一些主要影响用户交互体验的座舱车机系统(信息娱乐)类升级,例如地图导航优化、语音助手升级、UI界面调整等,升级风险相对较低。第二类:涉及产品主要技术参数变更的,企业应当在取得产品变更许可并完成备案后,方可实施升级。此类升级的典型代表是车控系统(功能安全和预期功能安全相关)类升级,涉及组合驾驶辅助系统、转向系统、制动系统等技术参数变更,必须严格履行测试验证与备案流程。涉及跨域耦合升级,如智能座舱与组合驾驶辅助系统集成,深度耦合的升级,需多系统协同验证、安全协同设计,要求更高程度的数据一致性、协同验证和安全评估。第三类:涉及汽车自动驾驶功能的OTA升级活动,应当按照准入管理有关规定,取得相应许可。汽车自动驾驶功能的OTA升级活动,按照智能网联汽车准入和上路通行试点等有关要求,取得相应许可。第四类:企业实施OTA升级活动涉及消除汽车产品缺陷、实施召回的,应当按照《缺陷汽车产品召回管理条例实施办法》组织实施,并立即停止生产、销售缺陷汽车产品。若消除缺陷的措施涉及产品主要技术参数变更,企业应当在取得产品变更许可后,方可恢复相应汽车产品的生产。
通过差异化的管理路径,科学平衡“效率”与“安全”,鼓励企业功能创新与质量提升,推动管理模式向精细化、差异化演进。
四、推动OTA发展,创新与管理并重
未来,我们将持续支撑推动构建“分类备案、标准支撑、责任清晰”的OTA管理新生态,在严守安全底线的同时,激发技术创新和产业活力,与行业携手共进,助力中国汽车产业在智能化、网联化时代行稳致远。
(一)管理上,既坚守安全底线,也尊重技术路径
坚持“安全底线不动摇、流程机制可优化”的原则,在保障安全的前提下积极回应产业发展诉求。一是优化备案流程,提升效率与透明度。加强与企业的信息互动,提升备案工作的系统化和数字化水平。二是加强部门协同监督。支撑落实工业和信息化部、市场监管总局等部门的联动工作部署,健全监管透明度与协调机制,共同筑牢守住安全底线。
(二)企业端,既强化能力建设,也严守合规边界
汽车生产企业应高度重视OTA管理体系建设,尤其是全面评估OTA升级对产品一致性、安全和用户权益的影响,共同推动智能网联汽车产业安全、规范、可持续发展。一是科学安排升级节奏,避免为追求功能更新频率,而忽视需求质量、系统稳定性和安全运行风险。二是强化测试验证体系,构建研发—验证—交付—监测的全流程闭环机制,保障系统安全、可靠。三是提升风险管理与数据追溯能力。建立“可控、可测、可追溯”的保障能力,支持实施升级追溯管理,为产品安全与合规运行提供数据支撑。四是履行用户告知义务,将OTA升级活动的有关目的和影响等充分告知用户,保障尊重用户知情权和选择权。
结语
汽车软件OTA升级是产业智能化发展的关键支撑,亦是产品系统性变革的重要手段。希望各方以更加科学严谨的态度,共筑制度基石,守护高质量创新,合力推动OTA管理体系高效运行,共同推动我国汽车产业在智能化、网联化进程中稳健前行、开拓新局。