《《智能網聯汽車生產企業及產品準入管理指南（試行）》（征求意見稿）（18頁）.pdf》由會員分享，可在線閱讀，更多相關《《智能網聯汽車生產企業及產品準入管理指南（試行）》（征求意見稿）（18頁）.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、1智能網聯汽車生產企業及產品準入管理指南（試行）(征求意見稿)第第一一條條 為加強道路機動車輛生產企業及產品準入管理，根據中國人民共和國道路交通安全法中華人民共和國網絡安全法 道路機動車輛生產企業及產品準入管理辦法 等規定，針對申請準入的具備有條件自動駕駛、高度自動駕駛功能的智能網聯汽車生產企業及其產品，制定本指南。第第二二條條 智能網聯汽車生產企業應滿足企業安全保障能力要求（見附件 1），針對車輛的軟件升級、網絡安全、數據安全等建立管理制度和保障機制，建立健全企業安全監測服務平臺，保證產品質量和生產一致性。第第三三條條 智能網聯汽車生產企業應遵守網絡安全法律法規規定，建立覆蓋車輛全生命周期的

2、網絡安全防護體系，采取必要的技術措施和其他必要措施，有效應對網絡安全事件，保護車輛及其聯網設施免受攻擊、侵入、干擾和破壞。智能網聯汽車生產企業應依法收集、使用和保護個人信息，實施數據分類分級管理，制定重要數據目錄，不得泄露涉及國家安全的敏感信息。在中華人民共和國境內運營中收集和產生的個2人信息和重要數據應當按照有關規定在境內存儲。因業務需要，確需向境外提供的，應向行業主管部門報備。第第四四條條 智能網聯汽車生產企業應明確告知車輛設計運行條件、人機交互設備指示信息、駕駛員職責、駕駛自動化功能激活及退出方法、軟件升級維護等信息，解決智能網聯汽車與傳統汽車在操作、使用等方面可能產生的預期差異問題。第

3、第五五條條 智能網聯汽車產品應明確駕駛自動化功能及其設計運行條件。設計運行條件應包括設計運行范圍、車輛狀態、駕乘人員狀態及其他必要條件；設計運行范圍應包括但不限于道路、交通、電磁環境、天氣、光照等。第第六六條條 智能網聯汽車產品應能自動探測駕駛自動化系統失效以及是否持續滿足設計運行條件，并能采取風險減緩措施以達到最小風險狀態。在自動駕駛模式下，智能網聯汽車應能按照道路交通安全法律法規及有關部門的相關規定安全行駛。第第七七條條 智能網聯汽車產品應具備人機交互功能，顯示駕駛自動化系統運行狀態，具備對駕駛員參與行為的監測能力。在動態駕駛任務需要駕駛員參與的情況下，應評估駕駛員執行相應駕駛任務的能力。

4、車輛應能夠依法依規合理使用燈光信號、聲音等方式與其他道路使用者進行交互。第第八八條條 智能網聯汽車產品應具有事件數據記錄和自動駕駛數據存儲功能，采集和記錄的數據至少應包括駕駛自動化系統運行狀態、駕駛員狀態、行車環境信息、車輛控制信3息等，并應滿足相關性能和安全性要求，保證車輛發生事故時設備記錄數據的完整性。第第九九條條 智能網聯汽車產品應滿足功能安全、預期功能安全和網絡安全等過程保障要求（見附件 2），以及模擬仿真、封閉場地、實際道路、網絡安全、軟件升級和數據存儲等測試要求（見附件 3），避免車輛在設計運行條件內發生可預見且可預防的安全事故。第第十條十條 智能網聯汽車生產企業及產品可參考本指南

5、申請準入。工業和信息化部根據相關規定組織開展準入申請受理、技術審查、應用評估、監督檢查等工作。附件： 1. 智能網聯汽車生產企業安全保障能力要求2. 智能網聯汽車產品準入過程保障要求3. 智能網聯汽車產品準入測試要求4. 名詞解釋4附件1智能網聯汽車生產企業安全保障能力要求企業應具備專職的功能安全、預期功能安全和網絡安全保障團隊，負責產品全生命周期的安全保障工作。具備工業和信息化部規定條件的企業集團可統一設立安全保障團隊。企業安全保障能力要求包括功能安全及預期功能安全保障要求、網絡安全保障要求和軟件升級管理要求。一、企業功能安全及預期功能安全保障要求至少包括：（一）企業應滿足汽車安全生命周期相

6、關階段的功能安全活動流程要求，符合汽車安全完整性等級對應流程的規定，避免不合理的風險。（二）企業應滿足功能安全管理要求，符合整體功能安全管理、產品開發安全管理、安全發布管理等規定。（三）企業應滿足生產、運行和服務階段的功能安全要求，符合生產過程能力評估、控制措施、現場觀察說明等規定。（四）企業應滿足支持過程要求，符合開發管理、安全要求的定義和管理、配置管理、變更管理、驗證和確認、文檔管理、軟硬件組件鑒定、在用證明等方面的規定。（五）企業應滿足預期功能安全開發接口管理要求，符合預期功能安全管理職責和角色定義、供應商計劃管理等規5定。（六）企業應滿足預期功能安全開發流程要求，符合設計定義、危害識別

7、、功能不足識別、功能改進、驗證及確認、安全發布、運行維護等規定，保障車輛不存在因預期功能的不足所導致的不合理風險。二、企業網絡安全保障要求至少包括：（一）企業應建立健全網絡安全責任制度，確定網絡安全負責人，落實網絡安全保護責任。（二）在車輛安全生命周期內，企業應當同步規劃、同步建設、同步運行網絡安全技術措施。（三）企業應制定網絡安全防護制度，定期開展網絡安全風險識別、分析和評估，管控生產過程網絡安全風險，及時消除車輛及聯網設施重大網絡安全隱患。（四）企業應建立網絡安全監測預警機制，采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于 6 個月。（五）企業應建立

8、網絡安全應急響應機制，制定網絡安全應急預案，及時處置安全威脅、網絡攻擊、網絡侵入等安全風險。（六）企業應建立產品安全漏洞管理機制，及時修補和合理修復安全漏洞，指導支持車輛用戶采取防范措施。（七）企業應建立完善數據安全管理制度，實施數據分6類分級管理，制定重要數據目錄，強化數據訪問權限管理和安全審計；采取有效技術措施，強化數據采集、傳輸、存儲、使用等安全保護，及時處置數據泄露、濫用等安全事件。（八）企業應建立車聯網卡實名登記制度，如實登記購車用戶身份信息，并會同基礎電信企業落實車聯網卡實名登記有關要求。（九）企業應建立供應鏈網絡安全保障機制，明確供方產品和服務網絡安全評價標準、驗證規范等，確定與

9、供方的安全協議，協同管控供應鏈網絡安全風險。（十）企業應制定網絡安全審計規范，并對網絡安全管理和技術措施運行、網絡安全風險管理和人員安全能力等開展審計。（十一）企業應建立產品售后網絡安全管理機制，包括售后服務、維修、報廢階段的網絡安全保障措施。（十二）企業應在關鍵流程變更、重特大網絡安全事件發生后，及時更新完善網絡安全管理規范、安全機制等。（十三）企業應依法依規為維護國家安全、開展行業監管等提供技術支持和協助。三、企業軟件升級管理要求至少包括：（一）企業應建立軟件升級管理制度，至少包括軟件開發管理、配置管理、質量管理、變更管理、發布管理、安全應急響應管理等。7（二）企業應制定軟件升級從設計、開

10、發、測試、發布、推送等過程的標準規范，并遵照執行。（三）企業應能夠識別、評估和記錄軟件升級對產品安全、環保、節能、防盜相關系統的功能和性能的影響。（四）企業應對軟件升級可能影響的功能和性能進行測試和驗證，確保符合相關法規、標準和技術要求。（五）企業應能夠識別軟件升級的目標車輛，評估軟件升級與目標車輛的適應性，確保軟件升級與目標車輛軟硬件配置兼容。（六）企業應能夠唯一識別車輛初始和升級的軟件版本，記錄與保存軟件升級包完整性驗證數據以及相關的硬件配置信息。（七）企業應記錄與安全保存汽車產品初始軟件版本和歷次軟件升級相關信息，應能支持汽車產品全生命周期的追溯需求和監督管理要求。（八）企業應對 OTA

11、（Over-The-Air，空中下載技術）升級服務平臺采取必要的網絡安全防護管理和技術措施，對升級的軟件進行安全檢測，保障 OTA 升級安全。（九）企業應具備軟件升級過程管理能力，履行用戶告知義務，記錄和保存升級過程相關信息。8附件2智能網聯汽車產品準入過程保障要求智能網聯汽車產品準入過程保障要求包括整車尤其是駕駛自動化系統的功能安全過程保障要求、駕駛自動化系統預期功能安全過程保障要求和網絡安全過程保障要求。一、針對駕駛自動化功能的安全風險，整車尤其是駕駛自動化系統的功能安全過程保障要求至少包括：（一）應定義駕駛自動化系統的功能概念，包括范圍、要素、運行條件、架構及內外部接口示意圖等。（二）應

12、識別可能造成人身安全傷害的整車功能失效，建立合理的功能安全場景，針對危害事件分析可控性、嚴重性、暴露率等參數，確認合理的汽車安全完整性等級及危害事件的安全目標。（三）應按照整車功能安全開發的相關規定進行功能安全分析， 明確功能安全要求。 功能安全要求應考慮運行模式、故障容錯時間間隔、安全狀態、緊急運行時間間隔等，并分配給駕駛自動化系統的架構要素或外部措施。（四）應定義駕駛自動化系統功能安全相關零部件的開發接口要求，明確角色和責任要求，確保在系統、硬件和軟件各層級滿足整車安全要求。（五） 應進行功能安全集成測試， 通過基于需求的測試、9故障注入測試等方法，確保對整車和駕駛自動化系統的相關要求得到

13、實施和滿足。（六）應滿足功能安全確認要求，通過檢查、測試等方式，確保安全目標在整車層面正確、完整并得到充分實現。二、駕駛自動化系統預期功能安全過程保障要求至少包括：（一）應滿足預期功能安全規范和設計的要求，識別和評估預期功能可能造成的危害，制定合理的風險可接受準則。（二）應識別和評估潛在功能不足和觸發條件（含可合理預見的人員誤用），并應用功能改進等措施減少預期功能安全相關的風險。（三）應定義驗證及確認策略，并進行預期功能安全的驗證和確認，評估已知危害場景和未知危害場景下是否符合產品預期功能安全發布要求，并對發布后產品的預期功能安全風險進行合理管控。（四）應定義駕駛自動化系統預期功能安全相關零部

14、件的接口要求，確保零部件符合對應的預期功能安全設計開發、驗證、確認等規定。三、智能網聯汽車產品網絡安全過程保障要求至少包括：（一）應開展網絡安全風險評估，包括資產識別、威脅分析、攻擊路徑分析、潛在影響評估、風險分類應對措施。（二） 在概念設計階段， 應根據網絡安全風險評估結果，10明確網絡安全目標和要求，設計網絡安全架構和功能。（三）在產品開發階段，應實現網絡安全風險和脆弱性防范應對處置功能，滿足整車網絡安全目標和要求。（四） 在測試驗證階段， 應開展整車網絡安全測試驗證，并提供測試驗證情況說明（包括測試指標、測試方法、測試環境、測試結果等），確保所有已發現的安全風險和脆弱性被有效處置，以及網

15、絡安全目標和要求實現有效、合理、完整。11附件3智能網聯汽車產品準入測試要求產品準入測試要求是指申請準入的智能網聯汽車產品應至少滿足模擬仿真測試要求、封閉場地測試要求、實際道路測試要求、車輛網絡安全測試要求、軟件升級測試要求和數據存儲測試要求。一、駕駛自動化系統模擬仿真測試的要求至少包括：（一）模擬仿真測試應能驗證駕駛自動化系統在典型場景和連續場景下的安全性、道路交通規則符合性，滿足相應的道路交通安全要求。典型場景應覆蓋封閉場地測試所要求的測試場景及設計運行范圍所要求的駕駛自動化功能場景；模擬仿真測試中連續場景應能反應實際道路測試的場景要素組合情況。（二）應說明駕駛自動化系統的組成及工作原理、

16、駕駛自動化功能及其設計運行條件、風險減緩策略、最小風險狀態以及必要的安全風險提醒等。（三）應說明模擬仿真測試的軟硬件環境和工具鏈、駕駛自動化功能驗證的場景庫，以及使用的車輛動力學、傳感器等模型及其關鍵參數。（四）應能在多個相同場景下，通過封閉場地和實際道路測試，并與模擬仿真結果對比，驗證模擬仿真測試的有效12范圍。（五）應提供模擬仿真測試過程中所涉及的測試類型、測試方法、評價方法、測試流程以及測試數據存儲等說明。應保證模擬仿真測試結果的可追溯性。（六）應覆蓋產品設計運行條件內的道路、基礎設施、交通環境等要素，構建典型場景，驗證產品所聲明的駕駛自動化功能是否符合安全要求。（七）應定義設計運行條件

17、內不同場景要素的參數組合，針對駕駛自動化功能建立可合理預見的測試場景庫；通過連續自動化仿真測試，驗證駕駛自動化系統是否符合功能安全和預期功能安全要求。二、封閉場地測試的要求至少包括：（一）應能通過封閉場地測試，驗證車輛在封閉場地典型場景下的安全性。（二）封閉場地測試應考慮駕駛自動化功能設計運行條件內的關鍵要素。場景應覆蓋設計運行范圍內所要求的行駛范圍，并統籌考慮交通環境及附屬設施情況。（三）應對測試過程進行記錄，對測試過程中所涉及的測試環境、測試人員、測試方法、測試規范、測試設備及測試流程的規范性負責，能有效保證測試結果的可追溯性、一致性和準確性。（四）應能提供原始測試數據，應至少包含車輛位置

18、信13息、測試車輛控制模式、車輛運動狀態參數、駕駛員及人機交互狀態、行車環境信息、車輛執行機構控制信息等內容，并對測試結果進行分析與評價。三、實際道路測試的要求至少包括：（一）應能通過實際公共道路連續場景測試，驗證車輛在實際公共道路交通環境下的安全性。應通過封閉場地測試后才可進行實際道路測試。（二）應當根據所聲明的產品自動駕駛設計運行范圍，選擇匹配的公共道路開展車輛實際道路連續測試;基于測試時長、測試里程和自動駕駛功能響應及接管率，驗證所聲明的自動駕駛功能應對隨機場景的能力,且應當滿足產品的安全要求，并對測試結果進行分析及評價。（三）應對測試過程進行記錄，對實際道路測試過程中所涉及的測試環境、

19、測試人員、測試方法、測試規范、測試設備以及測試流程的規范性負責，能夠有效保證測試結果的可追溯性、一致性和準確性。（四）應滿足車輛測試遠程監控與測試數據記錄和存儲要求。對每一輛測試車輛運行狀態進行監控，記錄測試車輛行駛軌跡、控制模式、車輛運動狀態參數、駕駛員及人機交互狀態、行車環境信息、車輛執行機構控制信息、接管信息等數據。數據上傳要符合數據傳輸模式、格式等規定要求。四、車輛網絡安全測試要求至少包括：14（一）應能夠防御信息傳輸安全威脅。包括虛假消息入侵、代碼/數據未經授權修改、會話劫持或重放攻擊、未經授權訪問敏感數據、拒絕服務攻擊、獲取車輛特權控制、病毒及惡意消息等。（二）應不存在已公布的網絡

20、安全漏洞，預裝軟件、補丁包/升級包不應存在惡意程序， 不應存在未聲明的功能和訪問接口（含遠程調試接口）。（三）應能夠抵御合法用戶誤操作引發的網絡安全風險。（四）應能夠防御車輛外部連接的安全威脅。包括遠程非法入侵控制車輛、第三方應用軟件惡意代碼入侵、外部接口（如 USB 接口、OBD 接口、無線接口等）入侵等。（五）應能夠防御非法盜取、破壞關鍵數據的威脅。包括提取軟件代碼、未經授權訪問個人信息、提取密鑰數據、非法/未經授權修改電子身份、篡改車輛行駛數據、未經授權更改系統診斷數據、未經授權刪除/操作系統事件日志、未經授權訪問系統關鍵參數數據等。（六）應能夠防御系統被物理非法操控的威脅。包括非法操作

21、車輛硬件設備，如未經授權的硬件添加到車輛內部進行“中間人”攻擊等。（七）應能夠防御數據丟失/車輛數據泄漏的威脅。包括車輛更換使用用戶時的個人信息被泄露或破壞等。五、軟件升級測試的主要對象是智能網聯汽車的車端軟15件升級軟件或系統，測試要求至少包括：（一）車輛應確保在安全狀態下進行軟件升級，升級執行前應監測車輛狀態是否符合軟件升級條件，如車輛的運動狀態、擋位狀態等。（二）車輛應具備對軟件包進行真實性和完整性校驗的能力，確保安全下載和執行有效的軟件升級包。（三）車輛應具備升級執行確認功能，升級執行前應提供軟件包與待升級零部件的匹配校驗功能。（四）車輛應具備升級執行前提示軟件升級的相關信息，包括升級

22、的目的、功能升級描述、升級時車輛工況要求、升級包安裝所需時長、升級過程中注意事項等信息。（五）當升級執行可能影響車輛安全時，應通過技術手段，確保車輛處于可以安全執行升級的狀態。（六）車輛應具備升級完成后提示用戶升級成功或失敗功能。（七）車輛應在升級失敗或中斷后，確保車輛處于安全狀態。六、數據存儲測試應至少滿足如下要求：（一）自動駕駛數據記錄系統應在駕駛自動化系統激活、駕駛自動化系統退出、駕駛自動化系統發出接管請求情況下進行記錄，并可對駕駛自動化系統啟動最小風險策略、駕駛自動化系統啟動緊急策略、駕駛自動化系統退出緊急策略、16嚴重駕駛自動化系統故障、嚴重車輛故障等情況進行記錄。記錄內容應至少包括

23、車輛和駕駛自動化系統基本信息、觸發事件基本信息及事件發生原因并滿足數據一致性試驗要求；當車輛有碰撞風險和發生碰撞時，需增加記錄車輛狀態及動態信息、行車環境信息、人員信息及故障信息。（二）應滿足數據存儲測試要求，包括：數據存儲能力試驗、存儲覆蓋試驗、斷電存儲試驗等。（三）存儲的數據應能被正確讀取和解析，且不能被篡改。17附件4名詞解釋一、智能網聯汽車：搭載先進的車載傳感器、控制器、執行器等裝置， 并融合現代通信與網絡技術， 實現車與 X （人、車、路、云端等）智能信息交換、共享，具備復雜環境感知、智能決策、協同控制等功能，可實現安全、高效、舒適、節能行駛，并最終可實現替代人來操作的新一代汽車。通

24、常也被稱為自動駕駛汽車。二、駕駛自動化系統：由實現駕駛自動化的硬件和軟件所共同組成的系統。三、設計運行范圍：駕駛自動化系統設計時確定的適用于其功能運行的外部環境條件。四、設計運行條件：駕駛自動化系統設計時確定的適用于其功能運行的各類條件的總稱。五、最小風險狀態：車輛事故風險可接受的狀態。六、有條件自動駕駛：駕駛自動化系統在其設計運行條件下持續地執行全部動態駕駛任務，對于系統發出的介入請求，駕駛員應以適當的方式執行接管。七、高度自動駕駛：駕駛自動化系統在其設計運行條件下持續地執行全部動態駕駛任務并自動執行最小風險策略，對于系統發出的介入請求，用戶可不作響應，系統具備自動18達到最小風險狀態的能力。八、功能安全：不存在由電子電氣系統的功能異常表現引起的危害而導致不合理的風險。九、預期功能安全：沒有因預期功能或其實現的不充分性導致的危害而引發的不合理風險。十、網絡安全：汽車的電子電氣系統、組件和功能被保護，使其資產不受威脅的狀態。十一、軟件升級：根據需要，將某版本的軟件程序或配置參數更新到另一個版本并啟用的過程。十二、空中下載技術（Over-The-Air，簡稱 OTA）：通過無線傳輸數據的一種方法。