随着汽车产业范式向软件定义汽车 ( SDV ) 转变 , 软件更新的频率和重要性不断提升 , 全球范围内相关法规的制定也日益活跃。其代表性案例是 UNECE WP.29 ( 联合国欧洲经济委员会下属国际汽车标准协调机构 ) 制定的 UN Regulation No. 156 ( 以下简称 UN R156 ) 。

UN R156 涉及车辆软件更新政策及管理体系 , 自 2022 年正式实施以来 , 目前已强制适用于欧洲市场销售的所有车辆。为遵守该规定 , 整车制造商必须获得 SUMS ( 软件更新管理体系 ) 认证 , 并基于此取得 VTA ( 车辆类型批准 ) 。

中国也将于 2026 年起实施相关法规 GB 44496-2024 ( 汽车软件升级通用技术要求 ) , 以加强对软件更新管理体系的监管 , 并推动相关企业建立系统化的管理系统。目前 , 多个国家正在制定与 UN 法规类似的汽车网络安全及软件更新相关法规 , 通过保障软件更新过程中的安全性、可控性和合规性 , 顺应汽车产业智能化和数字化转型的趋势。随着中国未来汽车产业在全球市场中影响力的不断扩大 , 中国的 GB 标准也呈现出与 UN R156 类似的方向性。因此 , 要成功应对中国 GB 标准 , 深入理解 UN 法规并进行彻底的前期分析 , 将成为有效的应对策略。

为此 , 汽车网络安全专业企业飞斯柯罗撰写了关于监管应对策略的第三篇专栏文章。

飞斯柯罗 ( FESCARO ) 拥有丰富的成功案例 , 曾在全球整车制造商 ( OEM ) 及控制器开发商 ( Tier ) 中 , 协助完成 UN 法规相关的四大认证 ( CSMS、ISO/SAE 21434、VTA、SUMS ) 。我们不仅在咨询与战略制定阶段提供支持 , 还在整个实施过程中深度参与 , 积累了全面的实战经验与专业知识。

本专栏系列共分 3 期连载 , 系统介绍汽车网络安全监管相关的 4 项主要认证的核心内容及应对策略 :

① CSMS 与 ISO/SAE 21434 的核心要点

② VTA 认证的主要难点及解决方案

③ SDV ( 软件定义车辆 ) 的必备前提条件及 SUMS 相关内容。

本期专栏将介绍汽车网络安全法规应对策略的最后阶段—— SUMS ( 软件更新管理系统 ) 。

软件更新管理系统 : 未来汽车生命周期的核心支撑

UN R156 的核心要求是整车制造商 ( OEM ) 必须先获得 SUMS 认证 , 再将其要求应用于车辆开发 , 并通过车辆型式批准 ( VTA,Vehicle Type Approval ) 验证车辆是否符合相关要求。

1 ) SUMS 要求

▲ 对 UN R156 相关信息进行文档化并保护

▲ 所有软件版本必须具备唯一标识

▲ 确保在更新前后可访问并更新 RXSWIN 信息

RXSWIN ( Regulation X Software Identification Number, 车辆控制器软件版本信息 ) 的目的是用于识别和管理车辆软件与相关法规之间的关联性。

对于配备 RXSWIN 的车辆型式 , 必须遵守以下要求 :

① 确认型式批准 ( VTA ) 的软件版本与 RXSWIN 版本是否一致。

② 识别已更新系统与其他系统之间的相互依赖性。

③ 确定需要进行软件更新的车辆。

④ 检查新软件与现有车辆配置之间的兼容性。

⑤ 评估、识别并记录软件更新是否会影响已获型式批准的系统。

2 ) 车辆型式要求

车辆型式的要求涵盖软件更新和无线更新 ( OTA ) 相关内容。

⦁ 软件更新要求

▲ 保护软件更新的真实性 ( Authenticity ) 和完整性 ( Integrity )

▲ 防止软件更新过程中出现损坏和无效更新

▲ 当车辆型式使用 RXSWIN 时 , 必须能够唯一识别每个 RXSWIN

▲ 通过 OBD 接口等标准化通信方式识别 RXSWIN

▲ 保护 RXSWIN 和软件版本 , 防止未经授权的篡改

当整车制造商修改已获型式批准的软件时 , 必须更新 RXSWIN。如果修改对原有项目认证的影响较小 , 可以申请型式批准的延续 ; 如果影响较大 , 则需要重新获得型式批准。

⦁ 无线更新要求

▲ 具备与车辆软件更新相关的系统恢复能力

▲ 确保更新执行过程中有充分的电力管理与安全执行保障

▲ 在更新前、中、后向车辆用户告知相关内容

在软件更新前 , 应向车辆用户提供相关信息说明。如果在行驶过程中执行更新存在安全隐患 , 应禁止车辆行驶 , 并确保用户无法操作可能影响车辆安全与成功更新的功能。

更新完成后 , 必须告知用户更新的成功或失败结果以及相关变更内容。

有效应对策略 : 自动化系统 × 分层安全增强解决方案

在应对汽车软件更新相关法规时 , 最重要的是建立一个能够分析并有效评估更新对现有认证项目影响的系统化流程。如果软件更新对现有认证没有特殊影响 , 可以直接进行更新 ; 但如果存在影响 , 原有认证将不再有效 , 需重新申请认证。在某些情况下 , 甚至可能需要重新获得欧洲整车型式批准 ( WVTA ) 。因此 , 事前进行彻底验证至关重要。

然而 , 由于车辆中的各个领域和系统紧密相连 , 手动逐一确认软件更新带来的所有影响需要耗费大量时间和精力。为解决这一问题 , 推荐将自动化集成管理系统与分层安全增强解决方案结合 , 以实现更加高效的管理。通过具备系统化影响度分析和管理功能的自动化系统 , 不仅可以有效管理软件版本和更新状态 , 还能精准控制因更新带来的附带影响 , 从而显著降低潜在风险。

通过能够系统性分析和管理影响程度的自动化系统 , 不仅能有效管理软件版本与更新现状 , 还能精密管控更新所带来的附带影响 , 从而降低潜在风险。飞斯柯罗自主开发的 " 车辆软件更新管理系统 " 能够在软件更新时确认对现有车辆型式认证的影响 , 并提供历史记录与版本管理、完整性验证等功能。一家全球整车制造商采用该系统后 , 成功简化了复杂的软件更新管理工作 , 顺利获得了 SUMS 认证。

在此处 , 还建议接入全面管理车辆内各域及控制器间通信的 " 网络安全专用控制器 ( SGW, Secured Gateway ) "。飞斯柯罗自主开发的软件与硬件 SGW, 能够实现车辆控制器的软件配置管理、更新及 OTA 执行功能。仅更新经授权的固件 , 并系统性管理软件更新和 RXSWIN, 通过这一措施可满足 SUMS 认证及型式认证要求。

另外 ,SGW 还执行如下 " 安全 " 功能 :

1 ) 内部网络 ( IVS, In-Vehicle Network ) 保护 : 通过利用车辆主要外部接点—— OBD-II 接口实施 Secure Unlock、Secure Access、Secure Flash 等措施 , 保护拥有重要资产的内部网络免受外部攻击

2 ) 异常消息实时检测 ( IDS, Intrusion Detection System ) : 通过实时监控连接至车辆内部网络的所有控制器的网络消息 , 检测可能在 IVS 中发生的网络攻击

3 ) 与安全监控系统 ( vSOC, Vehicle Security Operation Center ) 联动监控 : 通过迅速报告安全事件 , 对网络威胁作出快速响应

如此一来 ,SGW 可以同时满足 SUMS 和 CSMS 要求 , 作为应对监管的战略手段具有极高的实用价值。

贯穿SUMS 认证的核心 :Orchestration

车辆与广泛领域和众多系统有机连接 , 因此软件更新伴随着大量工作量和高度复杂性。SUMS 认证的核心在于 "Orchestration ( 自动化工作流管理 ) ", 这代表着突破人为限制的技术突破。正如前文所述 , 通过 " 车辆软件更新管理系统 " 和 " 网络安全专用控制器 ( SGW ) " 的技术联动 , 实现工作流程的优化和工作效率的提升。

为了有效实施 Orchestration, 必须全面理解汽车产业复杂的价值链及车辆全生命周期。在此基础上 , 可以分析法规要求与客户情况之间的差距 ( Gap ) , 并设计出针对客户环境和需求的最优化系统。

至此 , 关于汽车网络安全及软件更新监管应对的系列专栏——从 CSMS、ISO/SAE 21434、VTA 到 SUMS ——已经圆满结束。

由于去年 GB 44495-2024/44496-2024 的实施预告 , 许多整车制造商及控制器开发商正忙于积极筹备 , 以适应这一全新的监管环境。在这种情况下 , 飞斯柯罗凭借丰富的监管应对成功案例 , 能够为客户的实际情况和环境提供最优化、务实的战略。