GB 44496-2024 汽车软件升级通用技术要求
Contents
以下是 GB 44495-2024 第4节和第5节的详细解读:
第4节 软件升级管理体系要求
4.1 一般要求
- SUMS建设
- 策略:建立符合ISO 21434的软件升级管理体系(SUMS),覆盖升级流程、版本控制、供应商协作。
- 方案:采用自动化工具(如ALM系统)管理软件版本、硬件配置及SWIN编码规则,确保唯一性。
- 软件识别码(SWIN)管理
- 策略:定义SWIN与ECU软件版本、升级包哈希值的映射关系。
- 方案:通过加密存储SWIN,结合数字签名防止篡改,支持OBD接口标准化读取。
4.2 过程要求
- 目标车辆识别与兼容性验证
- 策略:基于VIN识别目标车辆,构建车型配置数据库。
- 方案:在升级包中嵌入车辆配置白名单,通过预校验逻辑阻断非目标车辆升级。
- 型式批准影响评估
- 策略:建立升级影响评估矩阵,关联法规参数(如排放、安全)。
- 方案:采用静态代码分析工具验证升级包对型式批准相关代码的修改范围。
- 用户通知机制
- 策略:分级通知策略(紧急升级强提醒,常规升级可选)。
- 方案:通过车机HMI、移动App推送升级内容、风险说明及操作指引。
4.3 文件与记录要求
- 升级过程文档化
- 策略:按ASPICE标准编制升级流程文档。
- 方案:使用区块链技术存储升级记录,确保审计追踪不可篡改。
4.4 安全保障要求
- 升级包防篡改
- 策略:采用非对称加密(RSA/ECC)签名升级包。
- 方案:在东风诊断安全算法基础上,增加两级校验(Level1动态种子+Level2证书链)。
- 应急回滚机制
- 策略:设计双分区冗余存储,支持版本回退。
- 方案:参考岚图Bootloader规范,在刷写预处理阶段验证备份分区完整性。
4.5 在线升级附加要求
- 行车中升级安全
- 策略:限制行车中仅升级非安全相关ECU(如信息娱乐系统)。
- 方案:通过域控制器隔离关键ECU,升级时触发车辆进入Park状态。
第5节 车辆要求
5.1 一般要求
- 升级包完整性保护
- 策略:端到端加密传输(TLS 1.3)+ 哈希校验(SHA-256)。
- 方案:参考江铃TLS规范,在车端部署HSM模块实现信源加密。
- SWIN/版本号防篡改
- 策略:硬件安全模块(HSM)存储关键信息。
- 方案:ECU内嵌Secure Boot,禁止未签名固件修改SWIN字段。
5.2 在线升级附加要求
- 用户确认与先决条件检查
- 策略:多因素确认(语音+HMI+App),实时检测电池电量、网络状态。
- 方案:集成岚图刷写规范的预处理检查流程,电量低于20%时阻断升级。
- 驾驶安全保护
- 策略:升级时锁定动力域控制器(VCU)。
- 方案:通过网关防火墙隔离CAN总线,禁止行驶信号触发。
- 失败处理与状态恢复
- 策略:自动回滚+安全状态降级(如限速模式)。
- 方案:参考东风Bootloader规范,在刷新阶段失败后启用备份镜像。
- 车门解锁保障
- 策略:机械解锁与电子锁并行设计。
- 方案:升级时禁用电子锁逻辑,保留机械拉索应急解锁功能。