GB 44496-2024《汽车软件升级通用技术要求》标准解读|标准结构、测试方法、测试内容
2024年08月23日,我国工业和信息化部发布了GB 44496-2024《汽车软件升级通用技术要求》,该标准将于2026年01月01日起实施。该标准是一项强制性国家标准,适用于M类、N类和O类汽车。自该项标准实施之日起,所有需要申请道路机动车辆产品准入的车企,必须满足该项标准要求。对于该公告实施之前的车辆,给予两年的缓冲整改期,以便车企对车辆进行升级改造,确保符合该项标准要求。自2028年01月01日起,所有在售车辆均需强制性符合该项标准要求。本文我们一起来学习和梳理GB 44496-2024标准的结构、内容以及依据该标准如何开展测试。
一、GB 44496-2024《汽车软件升级通用技术要求》标准结构
1、软件升级管理体系
GB 44496-2024《汽车软件升级通用技术要求》标准中明确了软件升级管理体系的要求包括:一般要求、过程要求、文件和记录要求、安全保障要求,以及在线升级的附加要求。汽车制造商需具备软件升级管理体系,并对升级流程进行管控,对于在线升级时的特定要求作出明确规定,以确保车辆软件升级的安全性和可靠性。
汽车制造商应记录和存储与软件更新相关的所有信息,包括软件升级过程的文档、型式认证系统配置的文件、软件识别码相关的软件文档、配置的兼容性或具有升级的目标车辆最新配置的文档以及描述每次软件信息的文档等。这些信息应具备可审计性,以便于追踪和验证软件更新的合规性。
汽车制造商应具备汽车软件升级全过程的安全保障措施,包括升级包的保护、升级过程的保护、能验证和确认被升级软件的功能和代码的合理性、具备软件升级突发事件的应急管理机制。这些措施可对软件升级的安全提供保障。
2、车辆要求
车辆要求部分主要包括一般要求和在线升级的附加要求两个部分。一般要求中主要是针对升级包、软件识别码和版本号的安全。附加要求中,主要是用户告知、用户确认、先决条件、电量保障、车门防锁止、升级结果告知、车辆安全、驾驶安全、升级失败处理测试方面的内容。
二、GB 44496-2024《汽车软件升级通用技术要求》测试内容
1、软件升级管理体系
针对车辆制造商软件升级管理体系进行检测,主要的测试内容是针对软件升级管理体系的检查,包括管理制度、管理流程、附件表单运行记录等内容,确认满足汽车软件升级的一般要求、过程要求、文件和记录要求、安全保障要求和在线升级的附加要求。
(1)一般要求:
| 体系要求 | 当生产具有软件升级功能的车辆时,车辆制造商应具备软件升级管理体系。 |
| 信息存储要求 | 对于每次软件升级,车辆制造商应记录并安全存储本标准要求的要求的相关信息,该信息至少应保存至车型停产后 10 年。 |
| 信息的可追溯性 | 当具备软件识别码时,无论车辆上是否存储软件识别码,车辆制造商至少应确保: a)每个软件识别码是唯一且可识别的; b)每个软件识别码与型式批准相关车辆系统中所有电子控制单元(ECU)的软件版本信息构建明确的对应关系; c)当车辆型式发生扩展或产生新车辆型式时,同步更新相应软件识别码的所有信息。 当不具备软件识别码或虽具备软件识别码但未在车辆上存储时,车辆制造商至少应确保: a)向授权机构声明车辆中型式批准相关车辆系统中所有电子控制单元(ECU)的软件版本信息; b)对所声明软件版本进行软件升级时,同步更新 a)中的声明信息。 |
(2)过程要求
| 版本信息 | 应具备一个过程,能唯一地标识与型式批准或召回相关车辆系统中所有初始和更新的软件版本信息以及相关硬件部件信息,其中软件版本信息应至少包括软件版本号和相应升级包的完整性校验值。 |
| 软件识别码 | 当具备软件识别码时,应具备以下过程。 a)在软件升级前后,能访问软件识别码相关信息。 b)在软件升级后,能更新软件识别码相关信息,至少包括以下信息: 1)所有相关的软件版本号; 2)所有相关升级包的完整性校验值。 c)能验证软件识别码对应的软件版本信息与相关车辆系统中软件版本信息保持一致。 |
| 可识别性 | 应具备一个过程,能识别软件升级的目标车辆。 |
| 兼容性 | 应具备一个过程,能确认软件升级与目标车辆配置兼容性。该过程至少应包括在发布软件升级前,确认目标车辆最新已知软硬配置的兼容性。 |
| 关联性 | 应具备一个过程,能识别被升级的车辆系统与车辆其他系统之间的相关性。 |
| 型式批准 | a.应具备一个过程,在发布软件升级前,能评估、识别和记录软件升级是否会影响型式批准相关车辆系统,至少应包括软件升级是否会影响相关参数。 b.应具备一个过程,在发布软件升级前,能评估、识别和记录软件升级是否会增加、更改或启用在型式批准时不存在或未启用的任何功能,或是否会更改、禁用型式批准相关标准法规中定义的任何其他参数或功能。该评估至少应包括: a)型式批准相关的信息条目是否需要修改; b)型式检验结果是否不再适用软件升级后的车辆; c)对车辆功能的修改是否影响车辆的型式批准结果。 应具备一个过程,在发布软件升级前,能评估、识别和记录软件升级是否会影响除上面两条之外的任何车辆其他系统(该系统可能与车辆安全和持续运行有关),或是否会增加或更改车辆注册登记时的功能。 |
| 用户告知 | 应具备一个过程,能将每次软件升级信息通知给车辆用户。 |
(3)文件和记录要求
| 升级记录文件及证明文件 | 应具备描述车辆制造商进行软件升级的过程以及证明其符合本文件的相关文件。 |
| 系统配置文件 | 应具备描述型式批准相关车辆系统配置的文件。该文件至少应记录车辆系统的软硬件信息以及相关车辆或车辆系统参数。 |
| 软件识别码 | 当具备软件识别码时,每个软件识别码应具备一个可审核的记录。该记录至少应包括: a)描述该软件识别码的编码规则; b)描述该软件识别码与型式批准相关车辆系统的对应关系; c)描述该软件识别码与型式批准相关车辆系统所有软件版本号的对应关系; d)所有相关升级包的完整性校验值。 |
| 配置与软件升级兼容性文件 | 应具备记录目标车辆并确认其配置与软件升级兼容性的文件 |
| 软件升级信息记录文件 | 应具备描述每次软件升级信息的文件,该文件至少应记录: a) 软件升级的目的、时间和主要内容; b)软件升级可能影响的车辆系统或功能; c)b)中车辆系统或功能是否与型式批准有关; d)对于c)中与型式批准有关的车辆系统或功能,软件升级是否影响其符合性; e)软件升级是否影响车辆系统的任何型式批准相关参数; f)获得车辆制造商内部和/或外部的批准记录; j)执行软件升级的方法和先决条件; h)确认软件升级能安全可靠执行的证明; i)确认软件升级已经成功通过验证和确认程序的证明。 |
(4)安全保障要求
| 升级包安全保障 | 应具备一个过程,能保护升级包,合理地防止其在执行前被篡改。 |
| 升级过程安全保障 | 应保护软件升级全过程,包括发布软件升级的过程,合理地防止其受到损害。 |
| 软件功能、代码测试 | 应具备一个过程,能对被升级软件的功能和代码的合理性进行验证和确认。 |
| 突发事件安全保障 | 应具备处理软件升级突发事件的应急管理机制。 注:突发事件是指软件升级过程中包括信息安全事件在内的所有可能发生异常的情况,如将升级包发布给非目标车辆。 |
(5)在线升级的附加要求
| 升级不影响车辆安全 | 对于可能在车辆行驶过程中进行的在线升级,车辆制造商应证明其具备有关过程和程序,以确保该在线升级不会影响车辆安全。 |
| 特定条件下的升级 | 对于需要特定的技能或复杂操作的在线升级,车辆制造商应证明其具备有关过程和程序,以确保只有在专业人员在场或执行该操作的情况下才能进行在线升级。 |
2、车辆要求
主要包括离线升级测试和在线升级测试。具备离线升级的车辆,根据第6.2~6.4章节的试验方法开展试验,具备在线升级的车辆,根据第6.2~6.13章节的试验方法开展试验,确认满足本条款所列的技术要求。
(1)一般要求
| 升级包安全 | 车辆应保护升级包的真实性和完整性,合理地防止其受到损害和无效升级。 |
| 软件识别码安全 | 当车辆存储软件识别码时,车辆应具备更新软件识别码的能力,且每个软件识别码应能通过使用市场上可获取的工具以标准接口(例如,OBD 接口)进行读取。 |
| 软件识别码安全 | 当车辆未存储软件识别码时,车辆应具备更新软件版本号的能力,且与型式批准相关车辆系统的软件版本号应能通过电子通信接口以标准化的方式进行读取,至少包括标准接口(例如.OBD接口)。 |
| 软件版本号安全 | 车辆应保护所存储的软件识别码和/或软件版本号免受篡改。 |
(2)在线升级的附加要求
| 用户告知 | 在执行在线升级前,车辆应告知车辆用户有关在线升级的信息,至少应包括: a) 目的(例如,在线升级的重要性,以及是否与召回、安全等有关); b) 对于车辆功能的任何更改; c)完成在线升级的预期时长; d)执行在线升级期间任何可能无法使用的车辆功能; e)有助于安全执行在线升级的任何说明。 |
| 用户确认 | 在执行在线升级前,车辆应得到车辆用户的确认。 |
| 先决条件 | 在执行在线升级前,车辆应确保满足先决条件。 |
| 电量保障 | 在执行在线升级前,车辆至少应确保有能完成在线升级(包括可能恢复到以前版本或使车辆进人安全状态)的足够电量。 |
| 车辆安全 | 当执行在线升级可能影响车辆安全时,在执行在线升级时,车辆应通过技术措施确保安全。 |
| 驾驶安全 | 当执行在线升级可能影响驾驶安全时,在执行在线升级时,车辆至少应: a)确保车辆不能被车辆用户驾驶; b)确保任何影响成功执行在线升级或影响车辆安全的车辆功能不能被车辆用户使用。 |
| 车门防锁止 | 在执行在线升级时,车辆不应禁止车辆用户从车内解除车门锁止状态。 |
| 升级结果告知 | 在执行在线升级后,车辆应: a)告知车辆用户在线升级的结果(成功或失败);若成功,告知车辆用户所完成的更新,并及时更新车载电子版机动车产品使用说明书(如有);b)c)若失败,告知车辆用户处理建议。 |
| 升级失败处理测试 | 当在线升级失败时,车辆应确保及时将车辆系统恢复至以前的可用版本或将车辆置于安全状态。 |
三、GB 44496-2024《汽车软件升级通用技术要求》测试方法
1、软件升级管理体系
根据GB 44496-2024《汽车软件升级通用技术要求》标准,软件升级管理体系可以通过以下检验方式开展,包括管理文件、过程记录以及现场演示等方式。针对每一项检测内容满足所有判定准则的为该项符合,否则为该项不符合。
| 序号 | 测试项 | 测试方法 |
| 1 | 管理体系 | 1、软件升级管理体系相关的文档清单和配套文档。 2、其它相关管理体系的相关证明材料 |
| 2 | 信息记录 | 1、记录和存储4.3要求的信息的过程/程序和信息存储时长。 2、说明/展示用于保护以上信息的方法。 |
| 3 | 软件识别码 | 1、软件识别码的编码规则。 2、软件识别码与ECU、软件版本的对应关系。 3、软件识别码变更管理规则。 |
| 4 | 软件版本 | 若没有使用软件识别码: 1、声明车型型式批准相关车辆系统中ECU软件版本信息的管理规则。 2、声明更新的管理规则。 |
| 5 | 版本管理 | 1、型式批准、召回相关ECU所有初始和更新的软件版本信息,硬件部件的唯一性标识管理规则。 2、管理规则中完整性校验值的生成方法。 "唯一地标识”指至少可以基于软件信息去识别和验证软件。 "相关硬件部件”是指型式批准或召回相关车辆系统中搭载软件的硬件。 |
| 6 | 影响评估 | 应考虑软件升级是否会影响或改变此前在一定条件下执行型式试验所得到的结果。评估哪些技术要求或参数受到软件升级的影响或改变,有哪些影响,包括得出结论所需的证据。 “参数”是指描述系统的型式批准相关车辆系统的参数。"影响”是指引起车辆型式扩展或变更。 |
| 7 | 相关性、兼容性评估 | 1、评估软件升级是否会影响车辆其他系统。车辆制造商应识别不同车辆系统之间相互的功能和性能影响,并评估被升级系统是否会影响任何其他车辆系统的预期行为。 2、确认软件升级与目标车辆配置兼容性的管理规则。 |
| 8 | 记录要求 | 1、应记录用于描述进行软件升级所使用的所有过程信息:包括第 4.1、4.2、44.44.5 条及其子条款中所列过程的文件; 2、以上过程如何应用于各种车型的说明。 |
| 9 | 版本记录要求 | 1、描述型式批准相关车辆系统配置的记录文档; 2、包括系统的硬件版本、软件版本以及任何相关车辆或系统的参数。 |
| 10 | 每次升级的记录信息 | 1、应记录描述该车型所有软件升级的文件; 2、通过展示用于记录信息的过程来提供证据; 3、以上信息的存储位置。 |
| 11 | 网络安全要求 | 1、应能够证明其有适当的过程来控制向车辆推送哪些升级包,并确保只向车辆推送已知和有效的升级包。可能包括保证供应商提供的保障软件升级安全的过程。 2、车辆制造商软件升级全过程(包括发布软件升级的系统、车辆系统、传输通道)的信息安全管理规则。 (信息安全管理体系(CSMS)可以用来支撑这一要求。) |
| 12 | 功能验证要求 | 目的是确保仅有正确测试过的升级包才能发送到车辆。目的在于最大限度地减少升级包中的缺陷(bug)。 1、验证和确认被升级软件的功能和代码的管理规则; 2、被升级软件验证和确认的测试报告。 |
| 13 | 应急响应 | 针对软件升级过程中可能突然发生的意外事件(例如升级失败,以及升级过程中因车辆或人为因素导致的意外事件),应具备应急管理机制用于处理相应事件。 例如,处理软件升级突发事件的应急管理机制; 软件升级过程应急管理事件的记录。 |
2、车辆要求
GB 44496-2024《汽车软件升级通用技术要求》标准对软件升级的一般要求、在线升级附加要求提出了安全要求,包含离线安全要求,在线升级的前、中、后全过程的安全要求,共计14个技术要求。
(1)一般要求
| 1 | 升级包真实性完整性 | 刷写规范以及对升级包的校验方式。在线升级和离线升级分别测试: 1、离线升级:诊断仪和U盘; 2、在线升级:OTA平台,车机。 |
| 2 | 软件识别码更新读取 | 软件识别码的编码规则、存储的位置以及更新读取的方式。软件识别码变化时与型式批准相关ECU版本的对应关系。软件识别码可以通过离线/在线的方式更新并且能从标准接口读取 |
| 3 | 软件版本更新读取 | 软件版本号存储的位置以及更新读取的方式。 |
| 4 | 版本号防篡改 | 1、不具备SOC的ECU,通过OBD接口使用2E服务尝试修改; 2、具备SOC的ECU,尝试通过特殊权限账户修改。 通过OBD读取软件识别码/软件版本号,查看是否被篡改。 |
(2)在线升级附加要求
| 1 | 升级前用户告知和确认 | 1、通过车机屏幕对用户进行告知及获取用户确认; 2、通过电话、短信、手机APP等方式对用户进行告知及获取用户确认; 3、通过其他方式对用户进行告知及获取用户确认。 4、明确告知用户升级所涉及的各类信息,待用户确认后升级才会开始。 |
| 2 | 升级前先决条件 | 企业所定义的所有影响在线升级时的车况条件和状态。 |
| 3 | 足够电量 | 1、电量满足要求,升级成功; 2、电量满足要求但升级失败; 3、电量不满足要求,不执行升级。 |
| 4 | 升级中车辆安全 | 对于影响车辆安全的判定以及保障车辆安全的措施。 |
| 5 | 升级中驾驶安全 | 测试车辆处于驾驶状态、斜坡状态以及其他涉及到车辆安全的状态。 |
| 6 | 升级后结果告知 | 明确告知用户升级结果,成功则告知车辆用户所完成的更新,并及时更新车载电子版机动车产品使用说明书(如有);失败则告知车辆用户处理建议。 |
| 7 | 升级后失败处理 | 企业通过实现回滚功能保持软件有效性或定义车辆安全状态 |
以上就是针对GB 44496-2024《汽车软件升级通用技术要求》标准架构、标准内容以及测试方法的解读。在汽车检测领域,我们拥有丰富的实验室建设相关经验,如需汽车检测实验室质量管理体系建设、汽车检测实验室检测工具选型比对清单,可私信我获取。
本文整理仅作技术学习交流,如有侵权请联系删除。
(谢绝转载,更多内容可查看我的专栏)