随着汽车产业电动化、智能化、网联化加速融合发展，汽车产品形态发生重大变化，汽车软件在线升级（OTA升级）逐步在智能网联汽车产品中广泛应用。一方面，OTA升级可快速迭代产品功能、优化产品性能、提升用户体验、重塑产品开发模式，成为汽车生产企业为消费者提供增值服务、提升产品竞争力的重要手段；另一方面，不同于普通电子消费品，汽车OTA升级如果缺乏必要的监管，可能带来车辆行驶安全风险，甚至危及公共安全。强化汽车OTA升级管理，明确企业安全主体责任，将为保障消费者合法权益和社会公共安全提供重要支撑。

一、汽车OTA升级广泛应用，深刻影响汽车产品与研发

当前，汽车电子电气架构从分布式向中央集中式进化，为汽车OTA升级提供了良好的实施环境，OTA升级功能市场搭载率逐步提高，智能座舱域、智能驾驶域OTA升级较为普遍。据统计（见下图），车企在智能驾驶域的OTA升级主要涉及导航辅助驾驶功能（NOA）、辅助泊车等；在智能座舱域的OTA升级主要涉及信息娱乐、语音服务、触屏界面等。2024年，问界、理想、小米、比亚迪等多家车企通过OTA升级功能先后对多款已上市的车型推送了不依赖高精地图的城市领航辅助驾驶功能、“车位到车位”辅助驾驶功能、辅助泊车等组合驾驶辅助功能。

2024年OTA升级重点更新功能情况一览

在“基础硬件趋同、软件定义功能”的趋势下，整车产品进入软硬协同定义的新阶段，对汽车产业链各环节产生深远影响。相当一部分主机厂已经开始在新出售车型中预先装配性能冗余的硬件，其目的是尽可能地在汽车使用全生命周期内保持充足的硬件性能，为后期OTA升级和运营提供可操作空间。

传统整车开发过程执行严格的“需求、设计、验证、确认”V模型开发流程，在量产前锁定硬件状态、软件版本、标定数据。智能网联汽车产品开发带有典型的软硬解耦特征，硬件研发随量产结束，而软件的研发和升级将伴随整车全生命周期过程，严谨规范的V模型将与敏捷开发等增量开发模式相结合，进化出更加灵活的开发流程；传统组织结构“研产供销服”相互割裂的状态将被打破和重组，零部件供应商、软件开发商、OTA升级服务商也将创新服务模式，共同配合车企做好OTA升级运营工作，满足用户常用常新、越用越好的体验需求。

二、汽车OTA升级面临诸多安全风险，亟需强化安全要求

OTA升级面临着管理流程、云端、传输、通信协议、车端、升级包等方面的安全风险。典型的管理流程风险如生产企业在软件升级过程中，改变原有准入或认证相关车辆参数后选择瞒报或延报；车端风险包括未经用户同意实施升级活动等；升级包方面也面临云端平台升级包真实性和/或完整性被损害、无效升级、未满足实施升级先决条件等风险；此外，车端升级包与现有软硬件不兼容、软件刷写失败后无法确保车辆安全状态也是OTA升级面临的潜在风险。

同时，汽车OTA升级带来对已售车型大量应用服务的数据井喷，还面临在保证用户个人信息安全的前提下，企业如何实施数据共用共享等问题。因此要从OTA升级管理体系建设、功能合规建设、升级活动建设、试验方法等方面对OTA升级提出要求，夯实企业安全主体责任，切实保障消费者合法权益和公共安全。

三、汽车OTA升级发展建议

一是加强行业科普与协同治理。倡导行业学会、协会、联盟、创新中心等行业组织肩负起传播普及汽车OTA升级等前沿科技知识的社会责任，通过科普宣讲等形式，确保公众充分知情、正确理解与熟练使用OTA升级功能；倡导建立多方参与的协同治理机制，强调企业安全主体责任，规范产品功能宣传，严格履行用户告知义务，加强用户培训，建立健全企业自律行为准则、管理规范和评价体系，主动接受社会监督，促进行业健康发展。

二是充分发挥团体标准先行先试作用。《汽车软件升级通用技术要求》《基于远程升级技术的汽车产品召回实施要求》等国家标准对汽车OTA升级活动提出基线要求，同时鼓励行业学会、协会、创新中心、第三方机构等社会力量联合高校、企业等多方主体在国家标准的基础上补充细化制定行业规范和团体标准，支撑行业加强自律，在多方监督下进行测试与安全评估，不断引导企业提升OTA升级技术水平、完善产品安全验证。

张进华

中国汽车工程学会理事长

国家智能网联汽车创新中心执行主任