“软件定义汽车”已成为行业发展趋势,如今,配装智能软件系统的智能网联汽车在大街小巷随处可见。软件的功能决定汽车的功能,智能网联汽车生产者(以下简称“生产者”)通过汽车远程升级(以下简称OTA)技术可以对已经售出的智能网联汽车继续提高汽车性能、升级迭代自动辅助驾驶系统等车载软件,甚至可以直接修复汽车系统存在的安全隐患。
根据国家市场监督管理总局公布的数据,2021年我国企业报告OTA升级351次,涉及车辆3424万辆,同比分别增长55%和307%,OTA升级主要涉及娱乐系统、整车系统和信息与数据系统三大主流系统,占涉及车辆的86%;2021年OTA召回共有10起,涉及缺陷车辆292万辆。可见OTA技术已在汽车产品中广泛应用,但随之也出现了技术滥用、数据及网络安全等方面的问题,对智能网联汽车产业的健康发展带来新的挑战。
一、OTA具有明显优势
OTA分为SOTA(Software Over-The-Air)和FOTA(Firmware Over-The-Air)两种。SOTA是应用软件远程升级,比如车内的车机娱乐系统、导航地图、人机交互系统等应用软件的升级;FOTA是固件软件远程升级,比如针对汽车ECU(电子控制单元,又称“行车电脑”)、VCU(电动汽车整车控制器)等电控单元进行升级,可以对汽车的动力输出、转向、悬架、车辆控制系统、电控管理系统等进行升级或修改,从而改善汽车某些驾驶性能。
其中,FOTA的应用改变了汽车行业的商业模式,使汽车产品功能的“现货”交付模式进入到一个“期货”交付模式,也就是生产者将汽车硬件“预埋”在汽车中,在售出汽车后可以对“预埋”硬件中的固件软件进行FOTA,激活或升级“预埋”硬件的功能。比如,部分生产者向消费者销售交付的汽车产品起初并不具有自动驾驶功能,但实际上已经在该车辆中“预埋”具有自动驾驶功能的硬件模块,生产者后续可以通过(免费或有偿)FOTA的方式对该“预埋”硬件进行激活或升级,使车辆具有自动驾驶功能。
必须承认,OTA的优势是明显的。首先它具有低成本、高效率的优势。比如,无OTA功能的传统汽车如果存在系统缺陷,生产者召回车辆,用户需将汽车开到生产者指定4S店进行修复,这会增加生产者的人工成本和用户的时间成本。而智能网联汽车通过OTA就可以在线修复系统缺陷,用户只需将车辆连入网络进行OTA升级即可,既便捷又可以降低生产者的召回成本。其次,OTA技术有利于生产者发展汽车增值服务。生产者通过OTA技术可以持续更新或增加汽车功能及服务内容,提高用户的用车体验,导入和迭代人机交互系统,开展在线销售不同汽车软件、提供多样化服务场景等增值服务。
二、OTA引发新问题
尽管OTA的优势显而易见,但目前在应用过程中也出现了一些新问题。
1.侵害用户合法权益
比如,部分生产者在未告知用户的情况下便对新能源汽车电池管理系统进行OTA升级,导致车辆升级后出现续驶里程降低、动力电池容量减少、充电速度变慢等性能受到限制的问题。这不仅严重侵害了用户的知情权,也减损了车辆性能,无法达到生产者在销售时宣称的原有车辆性能,损害用户的车辆财产权益。
2.挑战产品生产一致性
我国现行汽车产品管理制度要求产品生产一致性,汽车产品出厂参数须符合国家相关标准,并且要求实际出厂的汽车产品性能参数应当与国家许可或认证的汽车准入型式保持一致。但是,在智能网联汽车出厂销售之后,生产者仍可以通过OTA技术多次修改汽车实际的安全、排放、能耗等技术参数,车辆的实际技术参数会发生变化,可能与国家许可或认证的汽车准入技术参数不一致。这将使汽车产品管理制度存在空转问题,对汽车产品生产一致性制度构成挑战。
3.引发汽车数据、个人信息及网络安全问题
生产者在对车辆OTA升级时,整个升级过程涉及云端服务器的安全、车端安全、车与云之间的通讯安全,也关系到生产者、汽车用户及汽车软件供应商等其他主体之间的网络通信、数据收集、传输等多个处理环节。这期间如有漏洞,会存在被黑客劫持网络、植入病毒软件、篡改数据、远程控制车辆、窃取个人信息等风险。
4.逃避召回责任
汽车与用户人身安全息息相关,部分生产者在智能网联汽车系统功能不完善、验证不充分的情况下匆匆上市销售,并期望后续通过OTA的方式再对一些软件问题打补丁、升级修复。由于弥补产品缺陷与改进产品性能这两个行为很难划出清晰的界线,这就导致“汽车软件问题”是否属于“汽车质量问题”存在争议,也一度使OTA技术处于监管的灰色地带。
比如某品牌汽车通过OTA对车载系统升级时无法正常行驶直接“趴窝”在公路上引发行业的广泛关注,其根本原因是汽车软件对车辆使用环境判断失误,生产者在人机交互系统设计上出现了安全漏洞。同时,部分生产者将一些汽车系统缺陷问题通过OTA以“升级”的名义进行秘密修复,并未依法主动履行汽车产品召回的程序,以此来规避因召回公告等法定程序给其汽车品牌形象带来的负面影响。
三、我国已初步形成OTA监管制度
对于上述OTA引发的新问题,我国从市场准入、产品生产一致性、数据、个人信息与网络安全、召回管理等多方面制定监管制度,已初步形成一套管理体系。
1.市场准入方面
工信部于2021年7月30日发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》规定,企业生产具有OTA功能的汽车产品,应当建立与汽车产品及升级活动相适应的管理能力,具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力。同时,要求确保车辆进行在线升级时处于安全状态,并向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。
2.产品生产一致性方面
为防止汽车OTA升级影响产品生产一致性,《关于加强智能网联汽车生产企业及产品准入管理的意见》和今年4月中旬发布的《关于开展汽车软件在线升级备案的通知》,都规定企业实施在线升级活动前,应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工信部备案,涉及安全、节能、环保、防盗等技术参数变更的应提前申报,保证汽车产品生产一致性。未经审批,不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。
3.数据、个人信息与网络安全方面
在汽车进行OTA涉及数据、个人信息与网络安全方面,目前也有相关法律法规进行了规定。生产者对汽车进行OTA应当遵守《网络安全法》、《数据安全法》、《个人信息保护法》、《网络产品安全漏洞管理规定》、《汽车数据安全管理若干规定(试行)》的相关规定。此外,工信部在《关于加强车联网网络安全和数据安全工作的通知》中,明确规定生产者要加强OTA安全和漏洞检测评估,建立在线升级服务软件包安全验证机制,采用安全可信的软件;开展在线升级软件包网络安全检测,及时发现产品安全漏洞;加强在线升级服务安全校验能力,采取身份认证、加密传输等技术措施,保障传输环境和执行环境的网络安全;加强在线升级服务全过程的网络安全监测和应急响应,定期评估网络安全状况,防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险。
4.召回管理方面
为了加强OTA监管,防止企业滥用,国家市场监管总局于2020年11月发布《关于进一步加强汽车远程升级(OTA)技术召回监管的通知》规定,生产者采用OTA方式对已售车辆开展技术服务活动的,应按照《缺陷汽车产品召回管理条例》及《缺陷汽车产品召回管理条例实施办法》要求,向市场监管总局质量发展局备案;生产者采用OTA方式消除汽车产品缺陷、实施召回的,应制定召回计划,向市场监管总局质量发展局备案,依法履行召回主体责任。另外,《机动车排放召回管理规定》也要求,机动车生产者应及时通过机动车排放召回信息系统,报告与排放有关的维修与远程升级等技术服务通报、公告等信息。
5.国家标准正在相继推出
随着汽车OTA越来越普遍,相应的国家标准也在不断完善。我国早在2016年10月1日便已实施国家推荐标准《电动汽车远程服务与管理系统技术规范》,国家推荐标准《电动汽车远程服务与管理系统信息安全技术要求及试验方法》也于今年5月1日实施。另外,《汽车软件升级通用技术要求》作为我国首个OTA方面的强制性国家标准,目前已完成草案编制工作,相信不久的将来就会实施。国家市场监督管理总局也表示,将推进智能网联汽车OTA大数据云平台和相应测试分析能力建设。
四、对OTA技术的管理还需不断完善
应该说,我国已经从事先、事中、事后对OTA的监管作出框架性规定,但这只是基于我国传统汽车监管制度对新出现的OTA法律新漏洞“打补丁”,但“补丁”的有效性还有待于实践进一步检验。传统汽车只是一种机械交通工具,没有配装智能软件,在生产出厂之后一般不存在随时改变功能、性能的情况(车主对车辆进行改装的情况不在此讨论范围)。
而智能网联汽车作为新一代的数据处理平台,搭载多个传感器、控制器、执行器等装置,并融合现代通信与网络技术,具有与外界进行智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能。其中,OTA作为智能网联汽车不断升级迭代的一种技术管道,可以使汽车不断更新功能与性能,这种升级直接影响到汽车产品质量本身的状态,更与车主或第三方人身财产安全密切相关。所以,生产者通过OTA技术对已售出汽车产品进行升级,也可被视为是一种生产制造行为的延续,是生产者通过OTA技术不断塑造智能网联汽车的行为,智能网联汽车由此也具有一定的“成长性”。
在这种情况下,具有OTA功能的智能网联汽车集合了上述生产制造延续、数据安全、网络安全、个人信息等多个方面的问题,也彻底改变了国家对汽车产品监管的现有模式。比如,我国在监管传统汽车背景下制定的《缺陷汽车产品召回管理条例》,认为缺陷是指由于设计、制造、标识等原因导致的在同一批次、型号或者类别的汽车产品中普遍存在的不符合保障人身、财产安全的国家标准、行业标准的情形或者其他危及人身、财产安全的不合理的危险。
但是,智能网联汽车(包含生产者通过OTA技术升级的智能网联汽车)由于设计、制造、升级等原因导致车辆在网络安全、数据安全、个人信息保护方面,存在危及国家主权、国家安全、社会公共利益、个人合法权益的危险时,也应当认定该类汽车产品存在“缺陷”。这种“汽车软件问题”应当被认为是“汽车质量问题”。智能网联汽车集合的生产制造延续、数据安全、网络安全、个人信息等因素已经属于智能网联汽车产品质量的一部分,国家需要以全生命周期的动态监管视角完善智能网联汽车的管理制度。《缺陷汽车产品召回管理条例》的规定已不能完全适应智能网联汽车的健康发展。同理,在监管传统汽车背景下制定的其他汽车管理制度,国家也应当及时对其进行“OTA升级”。
总之,对于OTA技术,汽车行业既要用好,也要管好。(作者:杨阳)