本文基于ISO/DIS 24089-2022版本标准,相关内容仅供参考用途,不代表ISO组织官方中文解释。ISO 24089标准中定义了道路车辆软件升级工程需要满足的相关要求,同时阐述了ISO 24089标准与其它相关的安全标准,e.g. ISO 26262功能安全,ISO 21448预期功能安全,ISO 21434道路车辆网络安全要求等标准的关联关系,并对企业满足相关法规(e.g. UNECE R156 SUMS)提供了支撑。
……………………………………………………………………………………………………………………………………………………….
本文作者:刘海洋#David Liu @ FUSA Solutions
版权声明:本文核心内容为FUSA Solutions特约攥稿,未经事先书面许可,任何第三方不得随意转载;
转载声明:如需引用或转载本文章,请提前邮件联络相关管理员 (mailto:该邮件地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。 );
免责声明:本文仅代表作者个人意见和经验总结,不代表网站在特定领域的相关见解;
………………………………………………………………………………………………………………………………………………………….
版权声明:本文核心内容为FUSA Solutions特约攥稿,未经事先书面许可,任何第三方不得随意转载;
转载声明:如需引用或转载本文章,请提前邮件联络相关管理员 (mailto:该邮件地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。 );
免责声明:本文仅代表作者个人意见和经验总结,不代表网站在特定领域的相关见解;
………………………………………………………………………………………………………………………………………………………….
ISO/DIS 24089-2022: Vehicle and vehicle systems design and development
7.1 目标
ISO 24089标准本章节的目标,是确保以下内容:
a) 管理车辆和/或其ECU的 安全和网络安全风险;
b) 管理车辆和/或其ECU中的车辆配置信息;
c) 管理关于车辆和/或其ECU的软件更新活动的信息;
d) 启用软件更新操作并验证软件更新包;
e) 在车辆和/或其ECU的软件更新活动中管理故障。
7.2 车辆系统的设计开发 / 一般要求
ISO 24089标准本章节中,主要包含对车辆和ECU所需功能的要求,以支持软件更新运动。这些功能包括通信、生成必要的车辆信息和能够在车辆中下载、安装和激活软件。本条款中描述的软件更新功能支持车辆中的软件更新操作。这种功能可以打开或关闭车辆,这取决于组织的架构决定。
7.3 车辆系统的设计开发 / 详细要求和相关建议
7.3.1 ISO 24089车辆系统中的风险管理要求
7.3.1.1 针对功能安全风险:
车辆软件升级操作过程中带来的功能安全(ISO 26262)风险,必须得到适当的管理;
示例1:OEM对制动系统进行了功能安全风险评估之后,基于分析结果去决策是否需要由熟练人员来操作软件升级工作;
7.3.1.2 针对预期功能安全风险:
应规避因合理和可预见的人为误用因素,导致的软件更新操作的安全风险;
示例1:ISO/PAS 21448(SOTIF)标准在预期功能安全方面,提供了相关的指导建议;
示例2:需要规避在车辆行驶状态下,人为错误触发软件升级带来的安全风险;
7.3.1.3 针对网络安全风险:
应管理车辆软件升级操作中的网络安全风险;
备注1:ISO/SAE 21434标准为车辆领域的网络安全风险管理和工程开发提供了指导建议;
备注2:典型的网络安全风险,包含车辆配置信息遭到了非授权人为篡改;
7.3.2 ISO 24089车辆系统中的车辆配置信息管理要求
7.3.2.1 车辆系统或软件升级基础设施中,应具备一个或多个功能,来收集车辆配置信息;
7.3.2.2 车辆系统或软件升级基础设施中,应具备一个或多个功能,来识别软件升级包所适用的ECU;
7.3.3 ISO 24089车辆系统中的软件升级沟通
7.3.3.1 车辆系统或软件升级基础设施中,应有一个或多个职能部门按照本办法的要求向关联方提供信息,其中包含告知车辆用户软件升级信息;
7.3.3.2 车辆系统或软件升级基础设施中,应具备一个或多个功能来获得车辆用户对软件升级操作的确认;
示例:可以通过以下方式获得车辆用户确认
- 车内系统(e.g.娱乐系统显示屏);
- 移动程序(e.g.手机端APP);
- 网站(e.g. OEM售后管理界面);
- 合同协议(e.g. 软件升级协议);
7.3.4 ISO 24089车辆系统中的软件升级包处理能力要求
7.3.4.1 车辆系统或软件升级基础设施中,应有一个或多个功能来确定车内的资源满足所有的预设条件,以便下载、安装和激活该软件升级;
示例1:可用的电池总量和剩余电量(SOC),足以支撑执行软件更新操作;
示例2:检查ECU的当前软件版本,是否与新的软件升级包兼容;
7.3.4.2 车辆系统或软件升级基础设施中,应具备一个或多个功能,以处理升级包下载过程中的中断;
7.3.4.3 车辆系统或软件升级基础设施中,应具备一个或多个功能,在正式激活软件升级之前,对已经完成下载的升级包的真实性和完整性进行校验;
备注1:验证可以在升级正式激活之前完成;
示例1:可采用数字签名技术,进行真实性和完整性校验;
7.3.4.4 车辆系统或软件升级基础设施中,应具备一个或多个功能,以确保车辆在软件升级过程中,处于安全状态;
备注1:临时禁用或限制某些特定功能,可以支持软件升级操作安全进行;
示例1:安全的车辆状态可以由车间里的熟练人员来保证。
示例2:如遇到车辆无法继续维持安全状态,软件升级操作可以随时暂停或中止;
7.3.5 ISO 24089车辆系统中的软件升级失败管理要求
7.1 目标
ISO 24089标准本章节的目标,是确保以下内容:
a) 管理车辆和/或其ECU的 安全和网络安全风险;
b) 管理车辆和/或其ECU中的车辆配置信息;
c) 管理关于车辆和/或其ECU的软件更新活动的信息;
d) 启用软件更新操作并验证软件更新包;
e) 在车辆和/或其ECU的软件更新活动中管理故障。
7.2 车辆系统的设计开发 / 一般要求
ISO 24089标准本章节中,主要包含对车辆和ECU所需功能的要求,以支持软件更新运动。这些功能包括通信、生成必要的车辆信息和能够在车辆中下载、安装和激活软件。本条款中描述的软件更新功能支持车辆中的软件更新操作。这种功能可以打开或关闭车辆,这取决于组织的架构决定。
7.3 车辆系统的设计开发 / 详细要求和相关建议
7.3.1 ISO 24089车辆系统中的风险管理要求
7.3.1.1 针对功能安全风险:
车辆软件升级操作过程中带来的功能安全(ISO 26262)风险,必须得到适当的管理;
示例1:OEM对制动系统进行了功能安全风险评估之后,基于分析结果去决策是否需要由熟练人员来操作软件升级工作;
7.3.1.2 针对预期功能安全风险:
应规避因合理和可预见的人为误用因素,导致的软件更新操作的安全风险;
示例1:ISO/PAS 21448(SOTIF)标准在预期功能安全方面,提供了相关的指导建议;
示例2:需要规避在车辆行驶状态下,人为错误触发软件升级带来的安全风险;
7.3.1.3 针对网络安全风险:
应管理车辆软件升级操作中的网络安全风险;
备注1:ISO/SAE 21434标准为车辆领域的网络安全风险管理和工程开发提供了指导建议;
备注2:典型的网络安全风险,包含车辆配置信息遭到了非授权人为篡改;
7.3.2 ISO 24089车辆系统中的车辆配置信息管理要求
7.3.2.1 车辆系统或软件升级基础设施中,应具备一个或多个功能,来收集车辆配置信息;
7.3.2.2 车辆系统或软件升级基础设施中,应具备一个或多个功能,来识别软件升级包所适用的ECU;
7.3.3 ISO 24089车辆系统中的软件升级沟通
7.3.3.1 车辆系统或软件升级基础设施中,应有一个或多个职能部门按照本办法的要求向关联方提供信息,其中包含告知车辆用户软件升级信息;
7.3.3.2 车辆系统或软件升级基础设施中,应具备一个或多个功能来获得车辆用户对软件升级操作的确认;
示例:可以通过以下方式获得车辆用户确认
- 车内系统(e.g.娱乐系统显示屏);
- 移动程序(e.g.手机端APP);
- 网站(e.g. OEM售后管理界面);
- 合同协议(e.g. 软件升级协议);
7.3.4 ISO 24089车辆系统中的软件升级包处理能力要求
7.3.4.1 车辆系统或软件升级基础设施中,应有一个或多个功能来确定车内的资源满足所有的预设条件,以便下载、安装和激活该软件升级;
示例1:可用的电池总量和剩余电量(SOC),足以支撑执行软件更新操作;
示例2:检查ECU的当前软件版本,是否与新的软件升级包兼容;
7.3.4.2 车辆系统或软件升级基础设施中,应具备一个或多个功能,以处理升级包下载过程中的中断;
7.3.4.3 车辆系统或软件升级基础设施中,应具备一个或多个功能,在正式激活软件升级之前,对已经完成下载的升级包的真实性和完整性进行校验;
备注1:验证可以在升级正式激活之前完成;
示例1:可采用数字签名技术,进行真实性和完整性校验;
7.3.4.4 车辆系统或软件升级基础设施中,应具备一个或多个功能,以确保车辆在软件升级过程中,处于安全状态;
备注1:临时禁用或限制某些特定功能,可以支持软件升级操作安全进行;
示例1:安全的车辆状态可以由车间里的熟练人员来保证。
示例2:如遇到车辆无法继续维持安全状态,软件升级操作可以随时暂停或中止;
7.3.5 ISO 24089车辆系统中的软件升级失败管理要求
7.3.5.1 车辆系统或软件升级基础设施中,应具备一个或多个功能,在软件升级失败的条件下,依然能够保证车辆的安全性;
备注1:这些功能可以委派熟练技术人员负责;
备注2:这些功能的开发,可以将 7.3.1条款中的风险分析结果作为目标;
示例:安全措施可以包括:
- 将车辆操作模式锁定为安全状态;
- 启动软件回滚策略;
7.3.5.2 车辆系统或软件升级基础设施中,应具备一个或多个功能,来仲裁同时进行的访问请求,以保持车辆安全;
备注1:仲裁可以是限制、接受或拒绝同时访问的请求;
示例1:同时接收来自有线升级和无线升级的请求;
示例2:同时收到多个无线升级请求;