隨著汽車產(chǎn)業(yè)范式向軟件定義汽車(SDV)轉(zhuǎn)變,軟件更新的頻率和重要性不斷提升,全球范圍內(nèi)相關(guān)法規(guī)的制定也日益活躍。其代表性案例是 UNECE WP.29(聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)下屬國(guó)際汽車標(biāo)準(zhǔn)協(xié)調(diào)機(jī)構(gòu))制定的 UN Regulation No. 156(以下簡(jiǎn)稱 UN R156)。

UN R156 涉及車輛軟件更新政策及管理體系,自2022年正式實(shí)施以來(lái),目前已強(qiáng)制適用于歐洲市場(chǎng)銷售的所有車輛。為遵守該規(guī)定,整車制造商必須獲得 SUMS(軟件更新管理體系)認(rèn)證,并基于此取得 VTA(車輛類型批準(zhǔn))。

中國(guó)也將于2026年起實(shí)施相關(guān)法規(guī)GB 44496-2024(汽車軟件升級(jí)通用技術(shù)要求),以加強(qiáng)對(duì)軟件更新管理體系的監(jiān)管,并推動(dòng)相關(guān)企業(yè)建立系統(tǒng)化的管理系統(tǒng)。目前,多個(gè)國(guó)家正在制定與UN法規(guī)類似的汽車網(wǎng)絡(luò)安全及軟件更新相關(guān)法規(guī),通過(guò)保障軟件更新過(guò)程中的安全性、可控性和合規(guī)性,順應(yīng)汽車產(chǎn)業(yè)智能化和數(shù)字化轉(zhuǎn)型的趨勢(shì)。隨著中國(guó)未來(lái)汽車產(chǎn)業(yè)在全球市場(chǎng)中影響力的不斷擴(kuò)大,中國(guó)的GB標(biāo)準(zhǔn)也呈現(xiàn)出與UN R156類似的方向性。因此,要成功應(yīng)對(duì)中國(guó)GB標(biāo)準(zhǔn),深入理解UN法規(guī)并進(jìn)行徹底的前期分析,將成為有效的應(yīng)對(duì)策略。

為此,汽車網(wǎng)絡(luò)安全專業(yè)企業(yè)飛斯柯羅撰寫了關(guān)于監(jiān)管應(yīng)對(duì)策略的第三篇專欄文章。

飛斯柯羅(FESCARO)擁有豐富的成功案例,曾在全球整車制造商(OEM)及控制器開(kāi)發(fā)商(Tier)中,協(xié)助完成UN法規(guī)相關(guān)的四大認(rèn)證(CSMS、ISO/SAE 21434、VTA、SUMS)。我們不僅在咨詢與戰(zhàn)略制定階段提供支持,還在整個(gè)實(shí)施過(guò)程中深度參與,積累了全面的實(shí)戰(zhàn)經(jīng)驗(yàn)與專業(yè)知識(shí)。

本專欄系列共分 3 期連載,系統(tǒng)介紹汽車網(wǎng)絡(luò)安全監(jiān)管相關(guān)的 4 項(xiàng)主要認(rèn)證的核心內(nèi)容及應(yīng)對(duì)策略:

① CSMS與ISO/SAE 21434的核心要點(diǎn) 

② VTA認(rèn)證的主要難點(diǎn)及解決方案 

③ SDV(軟件定義車輛)的必備前提條件及SUMS相關(guān)內(nèi)容。

本期專欄將介紹汽車網(wǎng)絡(luò)安全法規(guī)應(yīng)對(duì)策略的最后階段——SUMS(軟件更新管理系統(tǒng))。

軟件更新管理系統(tǒng):未來(lái)汽車生命周期的核心支撐

UN R156 的核心要求是整車制造商(OEM)必須先獲得SUMS認(rèn)證,再將其要求應(yīng)用于車輛開(kāi)發(fā),并通過(guò)車輛型式批準(zhǔn)(VTA,Vehicle Type Approval)驗(yàn)證車輛是否符合相關(guān)要求。

1)  SUMS要求

▲ 對(duì)UN R156相關(guān)信息進(jìn)行文檔化并保護(hù)

▲ 所有軟件版本必須具備唯一標(biāo)識(shí)

▲ 確保在更新前后可訪問(wèn)并更新RXSWIN信息

RXSWIN(Regulation X Software Identification Number,車輛控制器軟件版本信息)的目的是用于識(shí)別和管理車輛軟件與相關(guān)法規(guī)之間的關(guān)聯(lián)性。

對(duì)于配備RXSWIN的車輛型式,必須遵守以下要求:

① 確認(rèn)型式批準(zhǔn)(VTA)的軟件版本與RXSWIN版本是否一致。

② 識(shí)別已更新系統(tǒng)與其他系統(tǒng)之間的相互依賴性。

③ 確定需要進(jìn)行軟件更新的車輛。

④ 檢查新軟件與現(xiàn)有車輛配置之間的兼容性。

⑤ 評(píng)估、識(shí)別并記錄軟件更新是否會(huì)影響已獲型式批準(zhǔn)的系統(tǒng)。

2) 車輛型式要求

車輛型式的要求涵蓋軟件更新和無(wú)線更新(OTA)相關(guān)內(nèi)容。

? 軟件更新要求

▲ 保護(hù)軟件更新的真實(shí)性(Authenticity)和完整性(Integrity)

▲ 防止軟件更新過(guò)程中出現(xiàn)損壞和無(wú)效更新

▲ 當(dāng)車輛型式使用RXSWIN時(shí),必須能夠唯一識(shí)別每個(gè)RXSWIN

▲ 通過(guò)OBD接口等標(biāo)準(zhǔn)化通信方式識(shí)別RXSWIN

▲ 保護(hù)RXSWIN和軟件版本,防止未經(jīng)授權(quán)的篡改

當(dāng)整車制造商修改已獲型式批準(zhǔn)的軟件時(shí),必須更新RXSWIN。如果修改對(duì)原有項(xiàng)目認(rèn)證的影響較小,可以申請(qǐng)型式批準(zhǔn)的延續(xù);如果影響較大,則需要重新獲得型式批準(zhǔn)。

? 無(wú)線更新要求

▲ 具備與車輛軟件更新相關(guān)的系統(tǒng)恢復(fù)能力

▲ 確保更新執(zhí)行過(guò)程中有充分的電力管理與安全執(zhí)行保障

▲ 在更新前、中、后向車輛用戶告知相關(guān)內(nèi)容

在軟件更新前,應(yīng)向車輛用戶提供相關(guān)信息說(shuō)明。如果在行駛過(guò)程中執(zhí)行更新存在安全隱患,應(yīng)禁止車輛行駛,并確保用戶無(wú)法操作可能影響車輛安全與成功更新的功能。

更新完成后,必須告知用戶更新的成功或失敗結(jié)果以及相關(guān)變更內(nèi)容。

有效應(yīng)對(duì)策略:自動(dòng)化系統(tǒng) × 分層安全增強(qiáng)解決方案

在應(yīng)對(duì)汽車軟件更新相關(guān)法規(guī)時(shí),最重要的是建立一個(gè)能夠分析并有效評(píng)估更新對(duì)現(xiàn)有認(rèn)證項(xiàng)目影響的系統(tǒng)化流程。如果軟件更新對(duì)現(xiàn)有認(rèn)證沒(méi)有特殊影響,可以直接進(jìn)行更新;但如果存在影響,原有認(rèn)證將不再有效,需重新申請(qǐng)認(rèn)證。在某些情況下,甚至可能需要重新獲得歐洲整車型式批準(zhǔn)(WVTA)。因此,事前進(jìn)行徹底驗(yàn)證至關(guān)重要。

然而,由于車輛中的各個(gè)領(lǐng)域和系統(tǒng)緊密相連,手動(dòng)逐一確認(rèn)軟件更新帶來(lái)的所有影響需要耗費(fèi)大量時(shí)間和精力。為解決這一問(wèn)題,推薦將自動(dòng)化集成管理系統(tǒng)與分層安全增強(qiáng)解決方案結(jié)合,以實(shí)現(xiàn)更加高效的管理。通過(guò)具備系統(tǒng)化影響度分析和管理功能的自動(dòng)化系統(tǒng),不僅可以有效管理軟件版本和更新?tīng)顟B(tài),還能精準(zhǔn)控制因更新帶來(lái)的附帶影響,從而顯著降低潛在風(fēng)險(xiǎn)。

通過(guò)能夠系統(tǒng)性分析和管理影響程度的自動(dòng)化系統(tǒng),不僅能有效管理軟件版本與更新現(xiàn)狀,還能精密管控更新所帶來(lái)的附帶影響,從而降低潛在風(fēng)險(xiǎn)。飛斯柯羅自主開(kāi)發(fā)的“車輛軟件更新管理系統(tǒng)”能夠在軟件更新時(shí)確認(rèn)對(duì)現(xiàn)有車輛型式認(rèn)證的影響,并提供歷史記錄與版本管理、完整性驗(yàn)證等功能。一家全球整車制造商采用該系統(tǒng)后,成功簡(jiǎn)化了復(fù)雜的軟件更新管理工作,順利獲得了SUMS認(rèn)證。

在此處,還建議接入全面管理車輛內(nèi)各域及控制器間通信的“網(wǎng)絡(luò)安全專用控制器(SGW, Secured Gateway)”。飛斯柯羅自主開(kāi)發(fā)的軟件與硬件SGW,能夠?qū)崿F(xiàn)車輛控制器的軟件配置管理、更新及OTA執(zhí)行功能。僅更新經(jīng)授權(quán)的固件,并系統(tǒng)性管理軟件更新和RXSWIN,通過(guò)這一措施可滿足SUMS認(rèn)證及型式認(rèn)證要求。

另外,SGW還執(zhí)行如下“安全”功能:

1) 內(nèi)部網(wǎng)絡(luò)(IVS, In-Vehicle Network)保護(hù):通過(guò)利用車輛主要外部接點(diǎn)——OBD-II接口實(shí)施Secure Unlock、Secure Access、Secure Flash等措施,保護(hù)擁有重要資產(chǎn)的內(nèi)部網(wǎng)絡(luò)免受外部攻擊

2) 異常消息實(shí)時(shí)檢測(cè)(IDS, Intrusion Detection System):通過(guò)實(shí)時(shí)監(jiān)控連接至車輛內(nèi)部網(wǎng)絡(luò)的所有控制器的網(wǎng)絡(luò)消息,檢測(cè)可能在IVS中發(fā)生的網(wǎng)絡(luò)攻擊

3) 與安全監(jiān)控系統(tǒng)(vSOC, Vehicle Security Operation Center)聯(lián)動(dòng)監(jiān)控:通過(guò)迅速報(bào)告安全事件,對(duì)網(wǎng)絡(luò)威脅作出快速響應(yīng)

如此一來(lái),SGW可以同時(shí)滿足SUMS和CSMS要求,作為應(yīng)對(duì)監(jiān)管的戰(zhàn)略手段具有極高的實(shí)用價(jià)值。

貫穿SUMS認(rèn)證的核心:Orchestration

車輛與廣泛領(lǐng)域和眾多系統(tǒng)有機(jī)連接,因此軟件更新伴隨著大量工作量和高度復(fù)雜性。SUMS認(rèn)證的核心在于“Orchestration(自動(dòng)化工作流管理)”,這代表著突破人為限制的技術(shù)突破。正如前文所述,通過(guò)“車輛軟件更新管理系統(tǒng)”和“網(wǎng)絡(luò)安全專用控制器(SGW)”的技術(shù)聯(lián)動(dòng),實(shí)現(xiàn)工作流程的優(yōu)化和工作效率的提升。

為了有效實(shí)施Orchestration,必須全面理解汽車產(chǎn)業(yè)復(fù)雜的價(jià)值鏈及車輛全生命周期。在此基礎(chǔ)上,可以分析法規(guī)要求與客戶情況之間的差距(Gap),并設(shè)計(jì)出針對(duì)客戶環(huán)境和需求的最優(yōu)化系統(tǒng)。

至此,關(guān)于汽車網(wǎng)絡(luò)安全及軟件更新監(jiān)管應(yīng)對(duì)的系列專欄——從CSMS、ISO/SAE 21434、VTA到SUMS——已經(jīng)圓滿結(jié)束。

由于去年GB 44495-2024/44496-2024的實(shí)施預(yù)告,許多整車制造商及控制器開(kāi)發(fā)商正忙于積極籌備,以適應(yīng)這一全新的監(jiān)管環(huán)境。在這種情況下,飛斯柯羅憑借豐富的監(jiān)管應(yīng)對(duì)成功案例,能夠?yàn)榭蛻舻膶?shí)際情況和環(huán)境提供最優(yōu)化、務(wù)實(shí)的戰(zhàn)略。

咨詢: fescaro.cn@fescaro.com