ICS43.020CCST40DB4403深圳市市場監(jiān)督管理局發(fā)布DB4403/T356—2023前言 II 2規(guī)范性引用文件 3術語和定義 4軟件升級管理體系要求 25車輛要求 36試驗方法 47車輛型式的擴展 58說明書 5DB4403/T356—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件以強制性國家標準《汽車軟件升級通用技術要求》（計劃號：20214423-Q-3392022年6月版本）為基礎制定，主要用于支持深圳市智能網聯(lián)汽車準入管理工作的實施。本文件由深圳市工業(yè)和信息化局提出并歸口。本文件起草單位：深圳市工業(yè)和信息化局。1DB4403/T356—2023智能網聯(lián)汽車軟件升級技術要求本文件規(guī)定了汽車軟件升級管理體系要求、汽車軟件升級車輛要求、試驗方法、車輛型式的擴展、說明書等。本文件適用于M類、N類汽車，其他車輛類型可參照執(zhí)行。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。DB4403/T355—2023智能網聯(lián)汽車整車信息安全技術要求3術語和定義下列術語和定義適用于本文件。3.1軟件software電子控制系統(tǒng)中由數字數據和指令組成的部分。3.2軟件升級softwareupdate將某版本的軟件（3.1）更新到新版本或更改配置參數的過程。3.3軟件識別碼softwareidentificationnumber由車輛制造商定義，用于表示與型式批準相關系統(tǒng)中軟件（3.1）信息的專用標識符。3.4軟件升級管理體系softwareupdatemanagementsystem為完成軟件升級（3.2）而制定的一種規(guī)范組織的過程和程序的系統(tǒng)方法。3.5在線升級over-the-airupdate通過無線方式而不是使用電纜或其他本地連接進行數據傳輸的軟件升級（3.2）。3.6升級包updatepackage用于進行軟件升級（3.2）的軟件包。3.7執(zhí)行execution安裝和激活已下載升級包（3.6）的過程。3.8安全狀態(tài)safestate當軟件升級（3.2）失敗時，一種沒有不合理風險的運行模式。3.9完整性驗證數據integrityvalidationdata用以檢測數據中的錯誤或變化的值。2DB4403/T356—20233.10系統(tǒng)system用于實現功能的一組車輛部件和/或子系統(tǒng)。3.11車輛用戶vehicleuser操作、駕駛、擁有或管理車輛的人。示例：車輛所有者，車隊經理的授權代表或雇員，車輛制造商的4軟件升級管理體系要求4.1一般要求4.1.1車輛制造商應具備軟件升級管理體系。4.1.2對于每次軟件升級，車輛制造商應記錄并安全存儲4.3要求的相關信息，該信息應至少保存至車型停產后10年。4.1.3對于具有軟件識別碼的車型，車輛制造商應確保：a)該車型的每個軟件識別碼是唯一可識別的；b)當軟件升級導致車型擴展或變更時，同步更新該車型的相應軟件識別碼的所有信息。4.1.4若車輛未存儲軟件識別碼，車輛制造商應確保：a)聲明該車型型式批準相關系統(tǒng)中所有電子控制單元(ECU)的軟件版本信息；b)對所聲明軟件版本進行軟件升級時，同步更新a）中的聲明。4.2過程要求4.2.1應具備一個過程，能唯一地標識與型式批準或召回相關車輛系統(tǒng)中所有初始和更新的軟件版本信息以及相關硬件部件信息，其中軟件版本信息至少包括軟件版本號和相應升級包的完整性驗證數據。4.2.2對于具有軟件識別碼的車型，應具備：a)在軟件升級前后，具備能訪問該車型軟件識別碼相關信息的過程；b)在軟件升級后，能更新軟件識別碼相關信息的過程，至少更新所有相關軟件的版本號及完整性驗證數據；c)能驗證相關系統(tǒng)中軟件版本信息與相關軟件識別碼中軟件版本信息保持一致的過程。4.2.3應具備識別被升級系統(tǒng)與車輛其他系統(tǒng)之間相關性的過程。4.2.4應具備識別軟件升級的目標車輛的過程。4.2.5在軟件升級發(fā)布之前，應具備確認軟件升級與目標車輛配置兼容性的過程，至少應評估目標車輛在軟件升級發(fā)布之前最新已知軟硬件配置，以確保其與升級包的兼容性。4.2.6應具備評估、識別和記錄軟件升級是否會影響型式批準相關系統(tǒng)的過程，至少應包括軟件升級是否會影響受型式批準約束的參數或其他關鍵參數。4.2.7應具備評估、識別和記錄軟件升級是否會增加、更改或啟用在型式批準時不存在或未啟用的任何功能，或是否會更改、禁用標準法規(guī)中定義的任何其他參數或功能的過程，至少應包括：a)型式批準相關的信息條目是否需要修改；b)型式試驗結果是否不再適用軟件升級后的車輛；c)對車輛功能的修改是否影響車輛的型式批準結果。4.2.8應具備評估、識別和記錄軟件升級是否會影響任何車輛其他系統(tǒng)（該系統(tǒng)可能與車輛安全和持續(xù)運行有關或是否會增加或更改車輛注冊登記時的功能的過程。4.2.9應具備通知車輛用戶有關軟件升級的過程。4.3信息記錄要求4.3.1描述車輛制造商進行軟件升級的過程，以及證明其符合性的相關標準的文件。4.3.2在軟件升級前后，描述型式批準相關系統(tǒng)的配置的文件，至少應包括系統(tǒng)的硬件、軟件的唯一標識以及相關車輛或系統(tǒng)參數。4.3.3在軟件升級前后，每個軟件識別碼應有一個可審核的記錄用于描述所有相關的軟件，至少應包DB4403/T356—2023括所有相關軟件的版本及完整性驗證數據。4.3.4應具備記錄目標車輛并確認其配置與軟件升級兼容性的文件。4.3.5應具備描述每次軟件升級的信息的文件，至少包括：a)軟件升級的目的；b)軟件升級可能影響的車輛系統(tǒng)或功能；c)b)中系統(tǒng)或功能是否與型式批準有關；d)對于c）中與型式批準有關的系統(tǒng)或功能，軟件升級是否影響其符合性；e)軟件升級是否影響系統(tǒng)的任何型式批準相關參數；f)是否獲得軟件升級批準；g)執(zhí)行軟件升級的方法和先決條件；h)確認軟件升級將安全可靠地進行；i)確認軟件升級已經成功通過驗證和確認程序。4.4安全相關要求4.4.1應具備保護升級包的過程，合理地防止其在執(zhí)行前被篡改。4.4.2應保護軟件升級全過程，合理地防止其受到損害，包括軟件升級發(fā)布系統(tǒng)。4.4.3應確保驗證和確認車輛軟件的功能和代碼的過程是適當的。4.4.4應具備處理軟件升級突發(fā)事件的應急管理機制。4.5在線升級的附加要求4.5.1若在線升級是在車輛行駛過程中進行，車輛制造商應證明其具備有關過程和程序以確保該軟件升級不會影響車輛安全。4.5.2當在線升級需要特定的技能或復雜操作時，車輛制造商應證明其具備有關過程和程序以確保只有在專業(yè)人員在場或執(zhí)行該操作的情況下才能進行軟件升級。5車輛要求5.1一般要求5.1.1應保護升級包的真實性和完整性，合理地防止其受到損害和無效軟件升級。5.1.2當車輛存儲軟件識別碼時，車輛應具備更新軟件識別碼的能力，且每個軟件識別碼應能通過使用市場上可獲取的工具以標準接口進行讀取。5.1.3當車輛未存儲軟件識別碼時，車輛應具備更新軟件版本的能力，與型式批準相關系統(tǒng)的軟件版本應能通過使用電子通信接口，至少通過標準接口，以標準化的方式易于讀取。5.1.4應保護車輛上的軟件識別碼和/或軟件版本號免受篡改。5.2在線升級的附加要求5.2.1在每次執(zhí)行在線升級前，應告知車輛用戶有關在線升級的信息，至少應包括：b)對于車輛功能的任何更改；c)完成在線升級的預期時長；d)執(zhí)行在線升級期間任何可能無法使用的車輛功能；e)有助于安全執(zhí)行在線升級的任何說明。5.2.2在執(zhí)行在線升級前，應得到車輛用戶的確認。5.2.3在每次執(zhí)行在線升級前，應確保車輛滿足先決條件。5.2.4在每次執(zhí)行在線升級前，至少應確保車輛有能完成在線升級的足夠電量。5.2.5若執(zhí)行在線升級可能影響車輛安全，在執(zhí)行在線升級時，應通過技術措施確保車輛安全。4DB4403/T356—20235.2.6若執(zhí)行在線升級可能影響駕駛安全，在執(zhí)行在線升級時，至少應滿足：a)確保車輛不能被駕駛；b)確保任何影響成功執(zhí)行在線升級或影響車輛安全的車輛功能不能被使用。5.2.7在執(zhí)行在線升級中，不應禁止車輛用戶從車內解除車門鎖止狀態(tài)。5.2.8在執(zhí)行在線升級后，車輛應：a)告知車輛用戶在線升級的結果（成功或失?。籦)若成功，告知車輛用戶實施的更新，并及時更新車載電子版機動車產品使用說明書（如果有）；c)若失敗，告知車輛用戶處理建議。5.2.9當在線升級失敗時，應確保及時將車輛系統(tǒng)恢復至以前的可用版本或將車輛置于安全狀態(tài)。5.2.10對于5.2.1和5.2.8，應通過車輛系統(tǒng)將信息告知車輛用戶，若因車輛硬件原因無法通過車輛系統(tǒng)告知車輛用戶，車輛制造商應證明其具備合理技術措施實現信息告知。6試驗方法6.1升級包真實性完整性試驗對于在線升級，按照DB4403/T355—2023中A.6.2.2開展試驗，試驗結果符合5.1.1的要求；對于離線升級，按照DB4403/T355—2023中A.6.3開展試驗，試驗結果符合5.1.1的要求。6.2軟件識別碼/軟件版本更新及讀取試驗軟件識別碼/軟件版本更新及讀取試驗分為以下2種情況：a)當車輛存儲軟件識別碼時，在執(zhí)行軟件升級前，使用市場上可獲取的讀取工具讀取車輛中軟件識別碼并進行記錄，使用與型式批準相關的軟件升級包（軟件識別碼與本車不同），成功執(zhí)行軟件升級并使用通用讀取工具讀取升級后的軟件識別碼并進行記錄，試驗結果符合5.1.2的要求；b)當車輛不存儲軟件識別碼時，在執(zhí)行軟件升級前，使用通用讀取工具讀取車輛中軟件版本并進行記錄，使用與型式批準相關的軟件升級包（軟件版本與本車不同），成功執(zhí)行軟件升級并使用通用讀取工具讀取升級后的軟件版本并進行記錄，試驗結果符合5.1.3的要求。6.3軟件識別碼/軟件版本防篡改試驗按照DB4403/T355—2023中A.7.4開展試驗，試驗結果符合5.1.4的要求。6.4用戶告知試驗在執(zhí)行在線升級前，檢查和記錄告知用戶的信息內容，試驗結果符合5.2.1和5.2.10的要求。6.5用戶確認試驗在執(zhí)行在線升級前，檢查并記錄所提供的用戶確認操作選項及相應操作結果，試驗結果符合5.2.2的要求。6.6先決條件試驗分別使車輛處于滿足和不滿足先決條件的狀態(tài)下，執(zhí)行在線升級，檢查并記錄車輛軟件升級執(zhí)行結果，試驗結果符合5.2.3的要求。6.7電量保障試驗在滿足其他先決條件情況下，分別使車輛處于滿足電量保障和不滿足電量保障的狀態(tài)下，執(zhí)行在線升級，檢查并記錄車輛執(zhí)行在線升級結果，試驗結果符合5.2.4的要求。6.8車輛安全試驗根據可能影響車輛安全的在線升級項目清單開展相應試驗，檢查并記錄在線升級結果及車輛狀態(tài)，試驗結果符合5.2.5的要求。5DB4403/T356—20236.9駕駛安全試驗根據可能影響駕駛安全的在線升級項目清單開展相應試驗，在執(zhí)行在線升級過程中，嘗試將車輛置于行駛狀態(tài)，檢查并記錄在線升級結果及車輛行駛狀態(tài)，試驗結果符合5.2.6中a）的要求；在執(zhí)行在線升級過程中，嘗試使用可能影響在線升級成功執(zhí)行或影響車輛安全的車輛功能，檢查并記錄在線升級結果及相應車輛功能狀態(tài)，試驗結果符合5.2.6中b）的要求。6.10車門防鎖止試驗鎖止車門并執(zhí)行在線升級，在執(zhí)行在線升級過程中，從車內解鎖車門，記錄車門解鎖結果，試驗結果符合5.2.7的要求。6.11結果告知試驗結果告知試驗按照以下兩個步驟開展：a)在線升級成功后，檢查并記錄結果告知信息，檢查并記錄車載電子用戶手冊（如果適用），試驗結果符合5.2.8a）、5.2.8b）以及5.2.10的要求；b)在線升級失敗后，檢查并記錄結果告知信息和用戶建議，試驗結果符合5.2.8a）、5.2.8c）以及5.2.10的要求。6.12升級失敗處理試驗在執(zhí)行在線升級過程中，觸發(fā)在線升級失敗，檢查并記錄車輛狀態(tài)，試驗結果符合5.2.9的要求。7車輛型式的擴展7.1總則按照本文件通過型式檢驗的車型，其結果可擴展到符合7.2判定條件的其他車型。車型獲得擴展后，此擴展車型不可再擴展到其他車型。7.2判定條件7.2.1整車生產企業(yè)相同。7.2.2使用的軟件升級管理體系與第4章的相關內容未發(fā)生變更。7.2.3若有車載軟件升級系統(tǒng)，則其軟硬件的版本相同，但在不影響軟件升級的控制策略時允許軟件版本不同。7.2.4能被軟件升級