前言

近來，隨著越來越多的智能網(wǎng)聯(lián)汽車走向市場，軟件在線升級（OTA升級）技術(shù)的應(yīng)用日益廣泛。相比傳統(tǒng)通過召回車輛修復(fù)系統(tǒng)缺陷的方式，OTA升級技術(shù)因具有低成本、高效率的優(yōu)勢而被廣泛應(yīng)用。但同時(shí)OTA升級技術(shù)也帶來了新的挑戰(zhàn)。

本文對OTA升級技術(shù)的潛在風(fēng)險(xiǎn)及當(dāng)前相關(guān)法規(guī)標(biāo)準(zhǔn)進(jìn)行了梳理。

背景

傳統(tǒng)汽車如出現(xiàn)系統(tǒng)缺陷，只能寄希望于車企通過召回方式進(jìn)行修復(fù)，費(fèi)時(shí)費(fèi)力；而通過OTA升級技術(shù)則可以在線修復(fù)系統(tǒng)缺陷，顯著節(jié)省成本、提高效率。同時(shí)，OTA升級技術(shù)也有助于車輛新增功能，提升用戶體驗(yàn)，助力車企形成持續(xù)增值收入，因此眾多車企紛紛引入。

而在提升效率的同時(shí)，OTA升級技術(shù)被濫用的問題也開始顯現(xiàn)：

首先，部分車企針對智能網(wǎng)聯(lián)汽車的軟件在線升級較為隨意，在未向用戶做充分說明的情況下自動(dòng)升級，用戶甚至不了解升級目的是修補(bǔ)漏洞還是新增功能；

其次，汽車與用戶人身安全息息相關(guān)，部分車企在智能網(wǎng)聯(lián)汽車系統(tǒng)功能不完善、驗(yàn)證不充分的情況下匆匆上市，并期望通過軟件在線升級方式進(jìn)行后續(xù)修補(bǔ)，這顯然是不嚴(yán)謹(jǐn)?shù)?，也對現(xiàn)行汽車管理制度帶來新的挑戰(zhàn)；

最后，現(xiàn)行汽車產(chǎn)品管理制度是基于型式的許可（或認(rèn)證）管理，要求車輛參數(shù)須符合國家相關(guān)標(biāo)準(zhǔn)規(guī)定，實(shí)際產(chǎn)品性能參數(shù)應(yīng)與準(zhǔn)入型式保持一致，但在軟件升級技術(shù)廣泛應(yīng)用的情況下，汽車生產(chǎn)企業(yè)很容易繞開汽車產(chǎn)品管理制度而對車輛安全、排放、能耗等準(zhǔn)入?yún)?shù)進(jìn)行改動(dòng)，這或?qū)?dǎo)致產(chǎn)品一致性問題，也對現(xiàn)行管理制度構(gòu)成挑戰(zhàn)。

針對以上情況，各國政府都非常重視，陸續(xù)出臺相應(yīng)法規(guī)進(jìn)行約束。

國外情況

2020 年 6 月，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（WP.29）頒布了《軟件升級與軟件升級管理系統(tǒng)》（Software Update and Software Update Management System，R156）技術(shù)法規(guī)。R156法規(guī)提出了軟件升級管理體系認(rèn)證要求，規(guī)范了軟件升級實(shí)施流程，確保軟件升級過程安全、可控、合規(guī)，該法規(guī)已于2021年1月正式生效。2021年3月召開的WP.29論壇審議通過了R156解讀文件，對法規(guī)部分條款作出進(jìn)一步解釋，以幫助企業(yè)及審核機(jī)構(gòu)理解并應(yīng)對法規(guī)具體管理要求。

R156法規(guī)對軟件升級的要求如下：

在對車輛實(shí)施首次軟件升級之前，OEM應(yīng)確保其軟件升級過程、與車型相關(guān)的軟件升級管理系統(tǒng)經(jīng)過批準(zhǔn)；

OEM應(yīng)評估軟件升級是否會影響車輛型式批準(zhǔn)系統(tǒng)的合規(guī)性，并進(jìn)行記錄；

如果軟件升級不影響任何型式批準(zhǔn)系統(tǒng)的合規(guī)性，則OEM可以進(jìn)行直接升級，但應(yīng)確保所實(shí)施的軟件升級過程是安全的，并進(jìn)行記錄；

如果軟件升級可能影響型式批準(zhǔn)系統(tǒng)的合規(guī)性，則OEM應(yīng)與相關(guān)型式批準(zhǔn)機(jī)構(gòu)聯(lián)系，為受影響的系統(tǒng)尋求延期認(rèn)證或進(jìn)行新認(rèn)證；

如果延期認(rèn)證或新認(rèn)證被批準(zhǔn)，則OEM還應(yīng)依據(jù)國家法規(guī)對受影響的車輛進(jìn)行登記，此后便可實(shí)施軟件升級，升級完成后要更新符合性聲明中的車輛信息，以反映車輛經(jīng)過型式機(jī)構(gòu)批準(zhǔn)的新的類型狀態(tài)；

型式批準(zhǔn)機(jī)構(gòu)應(yīng)定期檢查OEM部署的軟件和作出的決策是否適當(dāng)，檢查應(yīng)包括對軟件升級相關(guān)記錄進(jìn)行審計(jì)等內(nèi)容。

2021年6月，歐盟汽車專家組提交了Regulation (EU) 2018/858和Regulation (EU) 2019/2144關(guān)于軟件更新的修訂法規(guī)草案，將R156法規(guī)融入其中，預(yù)計(jì)相關(guān)內(nèi)容將于2022年正式實(shí)施。另外，國際標(biāo)準(zhǔn)化組織道路車輛委員會軟件升級工作組于2019年3月正式對標(biāo)準(zhǔn)ISO 24089《道路車輛 軟件升級工程》進(jìn)行立項(xiàng)，旨在為道路車輛軟件升級提供一個(gè)標(biāo)準(zhǔn)架構(gòu)，目前該標(biāo)準(zhǔn)處于草案編寫階段，預(yù)計(jì)將于2024年發(fā)布。

國內(nèi)情況

我國對智能網(wǎng)聯(lián)汽車軟件升級可能引發(fā)的車輛安全、駕駛安全問題極為重視，國家市場監(jiān)管總局、國家工業(yè)和信息化部也陸續(xù)發(fā)布相關(guān)管理文件加強(qiáng)監(jiān)管。

01

2020年11月25日

國家市場監(jiān)管總局發(fā)布《關(guān)于進(jìn)一步加強(qiáng)汽車遠(yuǎn)程升級（OTA）技術(shù)召回監(jiān)管的通知》；

02

2021年4月7日

工業(yè)和信息化部發(fā)布《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南（試行）》（征求意見稿）；

03

2021年6月4日

國家市場監(jiān)管總局發(fā)布《關(guān)于汽車遠(yuǎn)程升級（OTA）技術(shù)召回備案的補(bǔ)充通知》；

04

2021年7月30日

工業(yè)和信息化部發(fā)布《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》；

05

2021年9月13日

工業(yè)和信息化部裝備中心發(fā)布《關(guān)于開展汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全等自查工作的通知》；

06

2021年9月15日

工業(yè)和信息化部發(fā)布《工業(yè)和信息化部關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》。

以上文件對智能網(wǎng)聯(lián)汽車軟件升級相關(guān)工作和要求進(jìn)行了明確，涉及事前、事中、事后三個(gè)階段，包括企業(yè)管理、評估驗(yàn)證、準(zhǔn)入測試、過程控制、政府監(jiān)管五個(gè)維度。

針對軟件升級技術(shù)被濫用的問題，工業(yè)和信息化部《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》明確指出：“企業(yè)實(shí)施在線升級活動(dòng)前，應(yīng)當(dāng)確保汽車產(chǎn)品符合國家法律法規(guī)、技術(shù)標(biāo)準(zhǔn)及技術(shù)規(guī)范等相關(guān)要求并向工業(yè)和信息化部備案，涉及安全、節(jié)能、環(huán)保、防盜等技術(shù)參數(shù)變更的應(yīng)提前向工業(yè)和信息化部申報(bào)，保證汽車產(chǎn)品生產(chǎn)一致性。未經(jīng)審批，不得通過在線等軟件升級方式新增或更新汽車自動(dòng)駕駛功能?！?/p>

另外，為進(jìn)一步將汽車軟件升級管理相關(guān)要求進(jìn)行規(guī)范、具體、細(xì)化，全國汽車標(biāo)準(zhǔn)化技術(shù)委員會智能網(wǎng)聯(lián)汽車分標(biāo)委汽車信息安全標(biāo)準(zhǔn)工作組正在組織制定《汽車軟件升級通用技術(shù)要求》強(qiáng)制標(biāo)準(zhǔn)（以下簡稱“軟件升級標(biāo)準(zhǔn)”），該標(biāo)準(zhǔn)參考了R156法規(guī)，涉及軟件升級管理體系要求、車輛要求、車輛試驗(yàn)方法等，并針對R156法規(guī)缺乏試驗(yàn)方法的不足進(jìn)行了完善。

軟件升級標(biāo)準(zhǔn)5.1節(jié)提出了針對車輛升級的一般要求，包括應(yīng)保護(hù)軟件升級包的真實(shí)性和完整性，以防止其受到損害并防止無效升級；應(yīng)具備更新軟件識別碼或軟件版本（集），并支持通過標(biāo)準(zhǔn)接口以標(biāo)準(zhǔn)方式進(jìn)行讀??；對應(yīng)的7.3節(jié)則相應(yīng)提出了對軟件升級包的真實(shí)性和完整性測試、對軟件識別碼或軟件版本（集）的更新及讀取測試的方法。

軟件升級標(biāo)準(zhǔn)5.2節(jié)提出了針對車輛在線升級過程的具體要求，包括用戶告知要求、用戶確認(rèn)要求、先決條件要求、電量保障要求、車輛安全影響、駕駛安全影響、不禁止車門鎖止、升級結(jié)果告知、升級失敗處理等內(nèi)容，對應(yīng)的7.3節(jié)則針對以上內(nèi)容逐一提出了相應(yīng)的測試方法。

目前，標(biāo)準(zhǔn)工作組正在針對試驗(yàn)方法組織開展驗(yàn)證活動(dòng)，同時(shí)，也在對軟件升級管理體系要求等內(nèi)容進(jìn)行完善，預(yù)計(jì)該標(biāo)準(zhǔn)將于2022年年底報(bào)批。

總的來看，針對汽車軟件升級的法規(guī)、標(biāo)準(zhǔn)正在逐步完善，具體的申請備案、審查評估等實(shí)施辦法也會進(jìn)一步細(xì)化。同時(shí)，車企的OTA技術(shù)也將更加成熟、可靠。嚴(yán)格有效的監(jiān)管機(jī)制將對車企軟件升級行為進(jìn)行規(guī)范，在保障消費(fèi)者權(quán)益的同時(shí)，也將為整個(gè)行業(yè)的發(fā)展帶來積極影響。

國家智能網(wǎng)聯(lián)汽車創(chuàng)新中心信息安全業(yè)務(wù)以“支撐監(jiān)管，服務(wù)行業(yè)”為己任，致力于為智能網(wǎng)聯(lián)汽車行業(yè)構(gòu)建全生命周期動(dòng)態(tài)縱深安全防御體系。目前，已初步建成ICV信息安全攻防實(shí)驗(yàn)室、車輛安全漏洞預(yù)警與分析平臺（CVVD）、ICV綜合安全運(yùn)營平臺等基礎(chǔ)平臺，可為行業(yè)客戶提供V2X-PKI系統(tǒng)、主動(dòng)安全防護(hù)系統(tǒng)的設(shè)計(jì)規(guī)劃、建設(shè)開發(fā)和系統(tǒng)運(yùn)營，可為整車企業(yè)或零部件廠商提供安全測試、咨詢培訓(xùn)等專業(yè)服務(wù)。

其中，ICV綜合安全運(yùn)營平臺，可面向主機(jī)廠與自動(dòng)駕駛示范區(qū)“車、路、云、網(wǎng)、圖“復(fù)雜應(yīng)用場景，提供實(shí)時(shí)安全監(jiān)測、主動(dòng)安全防護(hù)、安全預(yù)警分析與響應(yīng)等功能，并具備車輛及路側(cè)設(shè)備軟件升級全生命周期監(jiān)管能力，助力用戶有效開展安全管理運(yùn)營工作；另外，CICV信息安全測試工具箱，既能支持用戶對軟件升級包等進(jìn)行全面的安全檢測，也可為用戶自建安全測試團(tuán)隊(duì)、提升車輛安全測試能力提供有力支撐。

后續(xù)，創(chuàng)新中心將繼續(xù)跟蹤國家智能網(wǎng)聯(lián)汽車安全政策法規(guī)和標(biāo)準(zhǔn)規(guī)范，加強(qiáng)解讀驗(yàn)證，推進(jìn)創(chuàng)新融合，持續(xù)為智能網(wǎng)聯(lián)汽車生態(tài)圈賦能！

本文作者：國家智能網(wǎng)聯(lián)汽車創(chuàng)新中心 信息安全部