软件升级管理系统

联合国欧洲经济委员会（UNECE）的网络安全法规（UN R155）和软件升级管理法规（UN R156）于2022年正式生效。这两项法规要求主机厂建立一套有条理、结构清晰的软件升级管理系统（SUMS），以确保车辆的网络安全。

软件升级是网络安全的关键环节。随着攻击者利用网联汽车漏洞的能力不断提升，即使是最新且最先进的网络安全措施也可能迅速变得过时。某款车型在投产时或许安全无虞，但这并不能确保其在未来依然安全可靠。因此，持续升级对于维持网联汽车的安全性至关重要。

继续阅读了解：

• 软件升级管理系统的目的
• 软件升级管理系统所包含的内容
• 建立软件升级管理系统的最佳实践
• 如何满足软件升级管理系统法规要求，包括UN R156要求

软件升级管理系统

软件升级管理系统是在网络安全管理系统所奠定的基础上构建的，而网络安全管理系统是联合国欧洲经济委员会（UNECE）的网络安全法规（UN R155）所要求的。网络安全管理体系明确了为维护车辆网络安全所必需的责任和程序，并要求开展全面活动，以便能够系统地监测和评估威胁。此外，UN R155还明确了制造商应如何应对所获得的相关信息。

因此，网络安全管理系统明确了软件升级的时机以及必要性——这是应对潜在威胁的关键举措。如果企业决定通过提供更新来降低网络风险，那么就需要遵循软件升级管理系统及其必要的流程。

然而，如果软件升级没有经过适当的测试和验证，可能会引入新的漏洞，这些漏洞可能被恶意利用，或者引发新的安全问题。因此，主机厂必须精心设计其软件升级管理系统（SUMS），以解决这一问题，并且在发布软件升级之前，必须进行全面的测试和验证。

软件升级管理系统需要充分筹备，并且有助于网络安全设计。

软件升级管理系统的目的是什么？具体包括哪些内容？

软件升级管理系统有助于保障软件升级的安全性、功能性、可追溯性，并可使其符合UN R156和车辆型式认证要求。

该管理体系包含一些有助于达成以下目的的汽车安全过程：

• 识别目标车辆的软件升级，并记录车辆配置
• 检查软件升级与整车配置的兼容性，以了解升级对车辆系统和参数的影响
• 识别软件升级及其对型式认证和整车的影响
• 满足在店内或远程（OTA)进行软件升级时的防护性、安全性和文档编制要求。
• 软件可用且安全实施
• 软件及其升级具有完整性和真实性

软件升级管理系统有助于确保每辆车都能可靠地获取所需的升级。这可能是一个挑战，因为同一类型的车辆通常存在多种配置。

软件升级管理系统将网联车辆视为整个系统的一部分进行管理。车辆由其软件定义，但该系统并不包括后端服务器的车辆架构。具体情况如下图所示。

系统的中心是软件定义的车辆。车身、底盘、安全方面以及网关的各种控制单元具有接口，通过这些接口，它们连接到后端服务器。

管理多种配置至关重要。标识符有助于确定车辆的软件配置，包括相应组件。监管软件标识号（RXSWIN）是一个专门的标识符，它代表与型式批准相关的软件及其特性的信息。该标识符由主管部门要求，并由车辆制造商定义。RXSWIN应针对每种车型的每个软件版本保持唯一性。它可以读取自车辆，并能够确定受UNECE法规约束的各个功能及其相关控制单元的认证状态。

遵循系统化的结构和明确的流程在升级失败时至关重要。若升级失败或中断，必须能够恢复到之前的状态。此外，网络安全的三大核心目标——保护机密性、完整性和更新的可用性——必须得到严格遵循。

您应该如何建立软件升级管理系统？

有效的软件升级管理系统会提供系统化的方法，以确保车辆升级的可靠执行。车辆升级涉及的流程和程序涵盖以下方面：

• 如何记录不同系统、不同功能的车型所需的硬件和软件版本。
• 哪种软件对型式认证很重要并且需要RXSWIN。
• 定义和更新RXWIN。
• 依赖关系，特别是软件更新方面。
• 哪些组件会受升级影响。
• 升级如何影响组件的兼容性。
• 软件升级对于型式认证或立法机构规定的其他方面的影响程度。
• 升级对于功能安全或驾驶安全的影响程度。
• 车主如何获知更新信息。
• 升级过程如何从网络安全角度得到保护。
• 应当如何记录以上要点。

除了关注汽车利益相关者的网络安全问题，汽车制造商还极为重视法律确定性，即是否采取了适当的措施来确保车辆的安全性。随着车辆配置随时间发生变化，处理网联车辆相关的复杂问题变得更具挑战性。汽车制造商该如何应对这些挑战？

即使制造商采取了所有可能的措施，恶意行为者仍可能找到进入系统的方法。在这种情况下，制造商必须提供证据，证明他们已经尽一切合理努力保护车辆，并且按照标准行事。此外，联合国欧洲经济委员会（UNECE）的法规还规定，从2024年7月开始，制造商将有义务报告网络攻击事件。

另一个挑战是，尽管UN R156规定了必要的活动，但它并没有指明制造商应该如何实施这些要求。然而，2023年发布的ISO 24089《道路车辆-软件更新工程》为这些必要活动的实际实施提供了指导。

如图所示，完善的组织流程是确保车辆能够及时、安全地接收更新的基础。从规划、制定到提供各项需求，包括基础设施、配置数据库以及RXSWIN的访问权限，都需与车辆开发进度保持同步。这同样是安全设计的关键环节。一旦决定通过发布更新来规避风险，软件更新流程必须提前就绪，以便能够有条不紊、结构清晰地开展软件升级工作。

管理体系应符合“规划 - 执行 - 检查 - 处理”（PDCA）过程，同时应定期评估过程的有效性和效率，其中包括由独立检查机构进行审核。

软件升级管理系统规定

注：本网页所提供的资料不能构成，也无意构成法律建议。

尽管UN R156明确了相关要求，但制造商需自行判断如何满足这些要求。软件升级管理系统是车辆批准流程和型式认证的关键环节，必须获得相关机构的认可。与网络安全管理系统一样，软件升级管理系统也需由独立的第三方机构进行审核和认证，车辆才能获得型式认证。

下图展示了这一流程

该图表明，必须建立一个符合ISO 24089指导原则的软件升级管理系统。

UNECE列名的认证机构会委派审核员，来确认软件升级管理系统及相关活动是否由公司实施，以及是否符合UN R156的监管要求。如果符合要求，制造商将获得有效期为三年的证书。

然而，要将车辆投放到市场，还需要满足一些其他要求。有关被认定为关键的组件都必须经过独立机构的认证。通过认证后制造商会收到各个关键组件的证书 - 以系统确认报告的形式呈现。组件认证要求是软件升级管理系统认证过程与网络安全管理系统的关键区别。

生产厂家在生产前需要获得国家质检总局型式认证。该机构会检查必要证书是否齐全，并确认其是否经过独立机构审核。

在进行型式认证时，制造商需要提供：

1. 网络安全管理系统证书
2. 软件升级管理系统证书
3. 为每个被认定为关键的组件颁发一份证书。

如果满足所有要求，车辆将会获得型式批准和型式认证。随后即可进入市场销售。

有效的软件升级管理系统需符合UN R156法规，并以ISO 24089指南为依据。然而，在遵循这些指南的同时，还需根据组织的具体情况和整体流程环境对SUMS进行适当调整，以确保其与企业运营无缝对接。

阅读我们的相关内容

网络安全