对车辆网络安全(UN R155)认证的官方解答
2022-10-27 17:56:32 Author: 谈思实验室(查看原文) 阅读量:61 收藏

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

正在进行的联合国自动驾驶和网联汽车工作组GRVA的第14次会议上,由日本交通安全环境研究所(NTSEL)和GRVA秘书处共同总结了各国对在车辆网络安全法规(UN R155)实施过程中出现的一些问题的解答。这些解答有助于汽车制造商更好的理解并符合法规的要求,以便申请这项被所有缔约方都互认的UNR法规认证

联合国第155号法规规定了对车辆网络安全的型式认证要求,该法规于2021年1月22日正式生效,并且已经被欧盟、日本以及韩国等多个国家和地区作为车辆市场准入的强制性要求之一。
然而,UN R155法规(以及UN R156的软件更新法规)在1958协定中是一种独特的存在,与1958协定中的其他UNR法规相比,按照UN R155法规进行型式认证有着很大的不同,其中最为重要的差异在于:
  • 汽车制造商需负责确保车辆的整个供应链和整个生命周期的网络安全;
  • 认证管理机构有义务通过型式认证信息交互数据库(DETA)彼此交流各自对网络安全法规实施所采取的评估方法。
要求认证管理机构相互交流评估方法的原因在于UN R155法规本身并没有提供足够详细的要求,使制造商、技术服务机构和认证管理机构能够按照统一的标准进行法规符合性的判断。这一方面增加了制造商合规工作的难度,另一方面对于1958协定的“互认”原则也是一种挑战。
为此,从法规正式发布之后,工作组就开展了一系列服务于法规实施的研讨会,短短一年多的时间,有关缔约方的认证管理机构和技术服务机构已经举办了10多次会议,并发布了UN R155的实施指南(Guidance),下面是在GRVA的第14次会议上总结的这些研讨会的一些成果,解答了汽车制造商在法规实施过程中的一些疑问。
关于网络安全管理体系(CSMS)
  • 问题1:认证时对于外部的采购/供应将如何进行评估?
  • 答:汽车制造商应证明与有关的供应商签订了网络安全接口相关的协议,并证明自己是如何对有关的要求进行控制的,例如通过文件评审、现场审核等方式确保协议中的要求得以落实。
  • 问题2:制造商需要多长期限内保证网络安全?
  • 答:制造商必须持续地管理网络安全风险,直到车辆生命周期结束为止。为此,制造商应明确地规定车辆生命周期结束的条件,并需要考虑在停止对车辆进行软件更新时应采取何种措施来减免网络安全风险。
  • 问题3:一个制造商是否可以或者是否需要申请多个CSMS证书?
  • 答:制造商可以申请一个CSMS证书(一个CSMS管理体系),也可以申请多个CSMS证书(多个CSMS管理体系)。每一个CSMS体系/证书都必须具备明确的范围。这为拥有多个生产基地/研发中心/车辆平台的制造商提供了合规的灵活性。
关于型式认证的管理规定(Vehicle Type Approval)
  • 问题1:供应商是否可以申请UN R155认证?
  • 答:UN R155不适用于对供应商的认证。汽车制造商需负责满足网络安全法规的要求。对供应商规定其应采用的方式方法、标准以及行业协会的要求,是汽车制造商的责任。
  • 问题2:在B国申请车辆型式认证时,是否认可A国颁发的CSMS证书?
  • 答:是否认可由缔约方自主决定,例如按照双边协定或互认协定来实施。一个缔约方可以认可其他缔约方颁发的CSMS证书(或者R156中的SUMS证书),认可范围可以是管理体系中的部分范围也可以是全部范围。
  • 问题3:CSMS证书被撤销或者因过期失效,是否可以批准车辆型式认证?
  • 答:在签发UN R155证书的时候,CSMS证书必须是有效的。
关于型式试验的规定(Type Approval Tests)
对于汽车制造商最为关注的与型式试验的确定性(Certainty) 相关的问题,时至今日仍然有很多问题未能达成一致意见,包括:
  • WHY:What is the purpose of test by Technical Service?
  • WHAT:How many tests? Chosen on what basis?
  • HOW:How much effort (time) shall be spent (in particular on pen-testing)?
随着认证工作的逐步推进,相信更多的问题会出现,同时更明确的指南和答案也将伴随着经验的累积和交流的深入而获得共识。
在此之前,请查看下面提供的会议总结原始文件(节选)。

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

10月精品课程:AutoSec汽车网络安全高级工程师技术培训,仅限前15位,报满即止。

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。

扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

谈思实验室,为汽车科技赋能,推动产业创新发展!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247514661&idx=1&sn=fbd95b8327b0959a998b3faeddd4bd0d&chksm=e927fefede5077e8d7f2da029abfc712987b44e68e8ad5a79e96430ca2ae19d54d8d5e20136f#rd
如有侵权请联系:admin#unsafe.sh