WP.29最新法規生效在即，智能網聯汽車如何跨越信息安全準入門檻

中國/上海日前，在聯合國歐洲經濟委員會（以下簡稱“UNECE”）的世界車輛法規協調論壇上決議了三項智能網聯汽車領域的重要法規，其中一項便涉及信息安全（以下簡稱“WP.29信息安全法規”）。該法規適用于M類、N類、至少裝有1個電控單元的O類以及具備L3以上自動駕駛功能的L6和L7類車輛，并將于2021年1月起生效。一些傳統汽車生產強國也據此發布了實施計劃時間表，比如歐盟要求信息安全法規將在2022年7月起成為車輛準入歐盟的新強檢項之一。

得益于網聯技術及自動駕駛技術的不斷發展，汽車行業正經歷著深刻的變革。如今，一部汽車包含多達150個電子控制單元和大約1億行軟件代碼，預計到2030年將激增到3億行代碼。暴露于眾的接口日益增多，隨之而來的信息安全問題也不斷凸顯，比如黑客試圖入侵電子系統和竊取敏感數據，這將極大地威脅車輛安全和消費者隱私。為此，歐盟將當前WP.29信息安全法規中制定的原則納入歐盟法律框架，并確保與歐盟其它法規的一致性（例如排放、維修保養信息、成員國和/或歐盟信息安全通用規則）。考慮到UNECE法規在全球汽車領域應用范圍之廣，預計這項法規會在UNECE 1958年協議的54個締約國中廣泛采用并覆蓋至全球。

WP.29信息安全法規概述

WP.29相關法規中針對信息安全的要求主要分為：信息安全管理體系認證（Cyber Security Management System，以下簡稱“CSMS認證”）和車輛型式審批兩方面。

其中CSMS認證主要審查OEM是否在汽車的全生命周期中制定了信息安全相關的流程，以確保汽車全生命周期中都有對應的流程措施。各流程實施于開發、生產、量產運維各個階段，保證信息安全設計、實施及響應均有流程體系指導。而車輛型式審批則是針對OEM的信息安全開發中具體的工作項進行審查，旨在保證實施于車輛的信息安全防護技術在進行審查認證時足夠完備。換言之，CSMS認證是車輛型式審批的前提，而最終車輛準入必須完成CSMS認證及車輛型式審批。

WP.29信息安全法規的兩大要求

信息安全認證合規落地任重道遠

WP.29信息安全法規的強制實施意味著，對于有計劃出口至歐盟地區的汽車制造商而言將面臨更為嚴峻的準入挑戰。TÜV南德意志集團（以下簡稱“TÜV南德”）信息安全專家黃清泉坦言，獲得信息安全認證（包括CSMS認證及車輛型式審批）將會是一個長戰線的系統性工程。“短期來看，信息安全認證涉及面廣，貫穿開發、生產、量產維護及響應等各階段，工作量之大不言而喻。長期來看，鑒于行業內的自動駕駛技術和網聯技術的持續性發展，車輛信息安全勢必無法做到一蹴而就。OEM除了完成CSMS認證及車輛型式審批外，還需要對信息安全流程及防護方案進行持續審查和更新，并及時向技術服務機構或發證機構上報變化情況。同時，發證機構也將不定期抽查信息安全流程及防護方案的實施狀態。如果當前狀態無法確保車輛信息安全，將直接影響車輛的信息安全認證。” 黃清泉總結道。

新型技術在引發汽車行業變革、加速技術創新的同時，也對車輛安全性提出了前所未有的挑戰。作為一家在汽車工業安全領域深耕逾150年檢測認證經驗的技術服務機構，TÜV南德始終緊跟國際車輛法規要求，致力于幫助汽車制造商解決信息安全認證中的難點、痛點。

TÜV南德信息安全認證一站式解決方案

目前，TÜV南德專家正深度參與最新的汽車信息安全標準（ISO/SAE 21434）制定。此外，TÜV南德的信息安全專家小組還加入了UNECE WP.29自動駕駛工作組，參與制定有關信息安全的法規。“我們確保遵循最新技術標準和最佳實踐，助力汽車制造商應對信息安全威脅，攜手研發和驗證尖端的安全系統，為其揚帆海外市場保駕護航。”黃清泉如是說。

下期預告：

于2021年1月起實施的不僅有信息安全法規，還有一項關于軟件升級的《軟件升級與軟件升級管理系統》法規。時值智能網聯汽車蓬勃發展之際，這兩項國際統一并具有約束力的技術規范的發布，不僅為汽車制造商建立明確的性能和審核要求，同時也為終端用戶的使用安全撐起了“保護傘”。有關軟件升級法規的要求，敬請期待TÜV南德專家為您指點迷津。

專家介紹

黃清泉