2024年7月,中国香港运输署车辆安全及标准部类型评定组发布有关启用“在线升级/空中编程(OTA)”车辆型号类型评定申请要求的通告,将于2025年4月1日起对具备OTA功能的新车型实施R155和R156法规。
对具备“在线升级/空中编程(OTA)”车辆型号的类型评定申请时,车辆型号必须符合联合国欧洲经济委员会所制定的国际标准要求:
ECE R155《网络安全及网络安全管理系统规定》
ECE R156《软件更新及软件更新管理系统规定》
1、车辆网络安全
根据Upstream发布的《2023上半年汽车领域网络趋势报告》,汽车领域的数据泄露事件占安全事件总量的37%,数据泄露事件对原始设备制造商和消费者都带来了巨大风险,包括:
客户数据隐私泄露;
知识产权被盗;
车辆安全和盗窃;
品牌声誉和信任受损等。
而Upstream 最新发布的《2024年全球汽车网络安全报告》提供了一个全面剖析汽车网络安全的现状、挑战和未来趋势的视角。预计未来车辆网络安全的需求将面临以下几个关键趋势和挑战:
大规模&有组织攻击增加:对安全和运营的影响日益增大,威胁行为者的动机转向对移动资产的攻击。
远程攻击增加:越来越多的攻击者利用远程技术攻击车辆系统。
深网&暗网活动增加:与汽车和智能移动生态系统相关的深度和暗网活动增加,潜在影响着数千至数百万辆移动资产。
娱乐信息系统攻击增加:对娱乐信息系统的攻击占所有攻击的15%,攻击者正在寻找新的攻击途径。
AI技术的影响:AI将引入新的大规模攻击方法的同时,也为利益相关者提供了先进的检测、调查和缓解能力。
车辆信息系统
2、信息安全法规R155和R156
2021年1月,全球首套信息安全法规R155和R156在UNECE国家正式生效。
2022年7月起,R155和R156面向UNECE国家的新车型强制执行。
2024年7月,R155和R156两项法规要求将进一步覆盖UNECE国家所有在产车型。
R155和R156法规
2023年,中国首次成为全球第一汽车出口国,2024年,R155和R156的全面实施势必对国内广大汽车及零部件生产企业带来深远影响。
而中国香港在7月份发布2025年4月1日起对具备OTA功能的新车型实施R155和R156法规。
这也进一步加强了中国汽车出口信息安全认证要求:需提供覆盖R155和R156出口法规要求的全方位汽车网络安全测试,包括汽车信息安全测试在内的车联网漏洞扫描平台、V2X信息安全测试、硬件安全测试等在内的40余项测试
3、R155法规
R155法规的全称是全称为"Uniform provisions concerning the approval of vehicles with regard to their cybersecurity",翻译成中文是《关于车辆网络安全与网络安全管理体系型式认定的统一规定》,其中有关网络安全管理体系的要求纲要如下:
7.2.2.1 证明网络安全管理夏盖到车辆完整的生命周期
7.2.2.2 (a) 证明组织内部用于管理网络安全的流程
7.2.2.2 (b)(c) 证明制定威胁分析和风险评估的流程
7.2.2.2 (d) 证明用于验证已识别风险得到适当管理的流程
7.2.2.2 (e) 证明用于测试车型的网络安全的过程
7.2.2.2 (f)(g) (h) 证明制定网络安全持续监控活动的流程
7.2.2.3 证明对于网络安全威胁和漏洞在一个合理的时间内及时处理
7.2.2.4 证明网络信息的持续监控
7.2.2.5 证明网络安全管理系统将如何管理与合同供应商、服务提供商或制造商子组织之间可能存在的依赖关系
7.3 对整车车型的要求
Annex 5 威胁和应对措施列表,供自查是否完备
R155法规要求
R155网络安全方面基本涵盖了乘用车和商用车的适用范围,适用于M类车型、N类车型、至少一个ECU的O类、具备L3及以上自动驾驶功能的L6和L7类车型,关注7大威胁场景。
R155的合规认证包括:网络安全管理体系认证CSMS (Cyber SecurityManagement System)和车辆型式认证VTA (Vehicle Type Approval)两部分,车辆必须同时满定CSMS认证及VTA认证,才具备市场的准入资格,CSMS合格证书是进行型式认证VTA的前提条件。
R155认证条件
车辆制造商要有效执行UN R155的合规要求,首先需要建立全面的网络安全管理体系(Cybersecurity Management System (CSMS)),以确保汽车全生命周期中都有对应的流程措施用以控制相关风险。
其次车辆网络安全型式认证(Vehicle Type Approval, VTA)需要针对OEM在网络安全开发中的具体工作执行情况进行审查,确保车辆的网络安全防护技术能覆盖全生命周期的安全要求,并保证所实施的网络安全防护方案能够有效应对车辆的网络安全风险。
4、R156法规
R156法规全称《关于批准车辆的软件升级和软件升级管理体系统一规定的法规》,专注于汽车软件升级功能,适用于车辆的所有电子控制单元(ECU)和软件组件,提出了涵盖所有软件更新,包括通过空中下载(OTA)和传统方式提供的更新一系列具体要求。旨在确保软件升级流程的安全性、可控性和合规性,从而顺应汽车行业智能化、联网化的发展趋势,并进一步保障消费者的权益。
R156法规要求
R156法规的目标:
提高车辆软件更新的安全性和可靠性;
降低与软件更新相关的网络攻击和其他漏洞风险;
确保制造商在整个车辆生命周期内拥有一个结构化的软件更新管理方法。
5、总结
联合国欧洲经济委员会(UNECE,含56个成员国),除欧洲国家外,还包括美国、加拿大、以色列和中亚国家,在中国汽车主要出口目的地中占比突出。
2023年,中国首次成为全球第一汽车出口国,2024年,R155和R156的全面实施在增强车辆安全性、强化标准化方法、增强消费者信心等方面具有重大意义,势必对国内广大汽车及零部件生产企业,尤其是出口车企带来深远影响。