1 引言

隨著人工智能、電子控制以及互聯網技術的不斷完善，汽車正逐步從機械產品演變成為集各種先進電子技術于一身的智能網聯汽車。智能網聯汽車將帶動傳感、通信、數據、軟件、人工智能、汽車電子等產業的發展，推動我國建設成為汽車強國、制造強國、網絡強國，智能網聯汽車已成為我國汽車產業轉型升級、高質量發展的戰略機遇。

智能網聯汽車電子控制系統的增多使得汽車電子部件或軟件遇到問題時，對控制單元軟件、固件進行升級的需求也越來越強烈。同時，智能網聯汽車的智能駕駛技術快速發展，企業通過預埋硬件系統，后期軟件升級的方式發布汽車智能駕駛或自動駕駛功能已成為企業普遍開發模式。目前，汽車軟件升級多采用空中下載技術。

空中下載技術（Over-The-Air Technology,OTA）是通過移動通信的空中接口實現對系統和應用程序進行遠程管理的技術。OTA不僅可以帶來更便捷的車輛升級途徑，也讓消費者感受到更加智能便捷的用車體驗。此外，OTA技術在車輛量產后可降低車輛的召回成本，實現對車輛軟件和車輛數據的統一管理，提高售后服務效率和質量。

OTA已成為智能網聯汽車功能優化與迭代、性能提升、缺陷修補的重要手段。涉及安全、環保、節能、防盜等技術參數的變更、自動駕駛相關功能的升級，關系工業和信息化部相關公告信息變更，涉及缺陷修補的升級關系市場監督管理總局召回相關監管要求。

因此，OTA技術的出現，對汽車當前的管理規范性形成嚴峻挑戰。本文以國內外OTA法規為研究對象，分析國內外OTA法規的現狀及差異，同時為我國OTA升級法規提出相應建議。

2 國外OTA法規分析

2.1 國際OTA法規情況分析

2014年12月，聯合國歐洲經濟委員會世界車輛法規協調論壇（UN/WP.29）在原有智能交通ITS非正式工作組的基礎上成立智能交通與自動駕駛非正式工作組ITS/AD，2016年12月成立專門汽車信息安全標準任務組CS/OTA，圍繞汽車網絡安全、數據保護和在線升級開展國際法規和標準的制定工作。

WP.29成立的智能網聯汽車OTA安全任務組TFCS/OTA，提出關于網絡安全和信息保護措施的指南草案，聯合國以此任務組提出的研究報告為基礎，制定智能網聯汽車OTA安全專用國際法規WP.29/R155（信息安全與信息安全管理系統）和WP.29/R156（軟件升級與軟件升級管理系統）。WP.29/R156法規的新車實施時間為2022年7月，在產車實施時間為2024年7月。

WP.29/R156法規適用于M類、N類、至少裝有1個電控單元的O類及具備L3（SAE J3016）以上自動駕駛功能的L6（輕便四輪車）和L7（重型四輪車）類車輛。“軟件升級”是指用軟件包將軟件升級或更新到新的版本（包括更改配置參數），“軟件升級管理系統（Software Upgrade Management System,SUMS）”是一種通過定義組織過程和程序，以符合本法規軟件升級要求的系統方法。

SUMS規定了升級流程（圖1）、在線升級、安全策略、升級記錄、車型一般要求和在線升級要求6方面內容。

圖1 WP.29/R156軟件升級流程

（1）在線升級要求

明確汽車生產企業在線升級過程中具備相應的文檔文件。包括軟件升級過程的文檔，及證明合規的所有相關標準；升級前后描述所有型式認證系統配置的文件；升級前后描述與車輛類型的RXSWIN（軟件標識符）相關的軟件的文檔；用于升級和驗證注冊配置的兼容性或具有升級的目標車輛最新配置的文檔。

（2）安全策略要求

明確汽車生產企業在線升級過程中采取防護策略。包括確保車輛升級過程中受到保護，升級啟動前防止駕駛員誤操作；避免軟件在升級過程中被破壞，包括開發系統的升級；驗證并確保車輛使用軟件的功能和代碼。

（3）升級記錄要求

明確汽車生產企業對在線升級記錄的要求。包括在線升級需要技術人員完成升級過程時，應確保相關人員在場；軟件升級符合汽車信息安全管理要求（包括信息安全管理系統合規合格證、汽車信息安全車型型式認證）。

（4）車型一般要求

明確汽車生產企業對在線升級的其他要求。包括保護軟件升級的真實性和完整性，防止其泄密或無效升級；對于RXSWIN，應保證每個RXSWIN必須是唯一可識別的，可通過電子通信接口以標準化的方式讀出，企業應保護車輛RXSWIN免受未經授權的篡改。

（5）車型在線升級要求

明確汽車生產企業在軟件升級過程中的安全要求。升級前，企業應確保在執行軟件升級前車輛必須滿足前提條件；確保在車輛有足夠的動力完成升級時才能執行升級；證明當升級可能影響車輛的安全性時可安全升級；證明在執行升級之前能夠通知車輛用戶有關升級的信息。

升級中，企業應確保在執行升級期間用戶無法駕駛車輛，及確保用戶無法使用會影響車輛安全性或升級的車輛功能。升級后，執行升級后，企業應說明如何告知車輛用戶升級成功（或失敗）和所實施的變更，及與用戶手冊相關的所有升級，確保車輛能夠在升級失敗或中斷的情況下系統和車輛進入安全狀態。 WP.29/R156汽車軟件在線升級法規對汽車生產企業提出了明確的安全保障和體系要求框架，明確了軟件升級流程，確保軟件升級安全。

2.2 日本OTA法規情況分析

2019年3月，日本內閣府通過了《道路運輸車輛法》修正案，在汽車改造的范圍中新增自動駕駛裝置，并規定了改造的流程和要求，其中包含汽車軟件在線升級。

《道路運輸車輛法》修正案中關于軟件在線升級的修訂內容是創立許可制度，使用通信電路等方式允許改變汽車自動駕駛裝置的軟件程序來改造汽車，與許可制度相關的技術審查類工作應交由汽車技術綜合機構處理（日本獨立行政法人）；為確保整車檢查符合汽車認證制度，增加糾錯機制，用于處理汽車檢查中的不足；隨著汽車檢查的電子化，創立委托制度，負責汽車檢查的記錄等事務。

《道路交通車輛法》修正案是日本從國家政府層面規定OTA升級的法規要求。

2020年8月，日本國土交通省以省令的形式頒布《機動車特別許可法案》，明確了OTA升級特定改造許可的范圍、流程和要求等內容。

（1）OTA升級許可

適用范圍通過OTA升級可能影響安全基準符合性的升級內容。

（2）申請許可流程

向國土交通部申請在線升級；汽車技術綜合機構審查材料；國土交通部批準，辦法能力達標和特定改造許可證。

（3）OTA升級許可相關要求

汽車生產企業網絡安全管理系統和軟件升級管理系統符合相關標準；

汽車生產企業具備綜合管理及改善機制；

車輛符合安全基準。

（4）注意事項

在線升級申請材料出現變更時，需向國土交通省申報；

軟件升級的實施狀況及相關信息需要記錄和保存；

對網絡安全威脅進行監測并處理；

向用戶提供軟件升級的目的、內容等相關信息。

（5）審核結果

根據申請的類別發放結果通知書。

日本針對汽車OTA升級活動制定了較為完善的管理體系，國家法律方面出臺《道路車輛運輸法》修正案[8]，允許對車輛進行遠程升級；管理部門頒布《機動車特別許可法案》[9]，明確OTA省級特定改造許可的流程、要求和注意事項；技術法規方面發布《道路運輸車輛保安基準》[10]，增加OTA升級的網絡安全要求，認證試驗規程；監管驗證階段利用《審查事務規程》，明確OTA升級的認證試驗要求，包括試驗型式和試驗項目等。

2.3 德國OTA法規情況分析

2020年7月德國汽車工業協會（VDA）發布汽車行業質量管理《使用OTA空中下載升級召回管理》紅皮書文件。文件初步定義OTA升級的7個階段步驟：

（1）發現產品安全風險；

（2）內部報告產品安全風險；

（3）安全風險問題準備；

（4）決策；

（5）執行產品安全風險召回；

（6）有效性驗證；

（7）經驗教訓總結。

紅皮書指出利用OTA軟件升級執行質量召回時，對發現產品安全風險，內部報告產品安全風險，決策方面流程保持現有質量召回制度不變。在安全風險問題準備階段，除了考慮召回行動的影響范圍后，需要確定哪些車輛具備OTA升級功能及哪些車輛可以進行OTA升級，還需進一步說明執行OTA升級所有先決條件。

執行產品召回時階段，需要明確哪些車輛應該被升級，以及何時、如何處理未實施升級的車輛，OTA升級前應告知用戶，必須征得用戶同意，升級成功后需要記錄更改后的配置情況，監測升級的結果。有效性驗證階段，車輛執行OTA升級過程中，根據國家要求，向管理部門匯報完成率，并且監控升級后的車輛運行狀態。

召回結束后，企業應從OTA升級可用性、召回管理流程、安裝策略、硬件要求、兼容性、驗證安裝過程的安全操作條件，以及遠程升級失敗等方面總結OTA升級在質量召回中的應用。

德國采用了行政管理的手段明確了OTA升級相關要求，且針對的是OTA升級作為質量召回的應用。目前，德國尚未出臺行之有效的OTA升級法規體系。

3 國內OTA法規情況分析

我國尚未出臺針對OTA升級的具體法規。目前主要以管理規范的形式對汽車軟件升級進行管理，目前主要有國家市場監督管理總局的《市場監管總局辦公廳關于進一步加強汽車遠程升級（OTA）技術召回監管的通知》以及工業和信息化部裝備工業發展中心的《關于開展汽車軟件在線升級備案的通知》。

國家市場監督管理總局于2020年11月和2021年6月，分別發布《市場監管總局辦公廳關于進一步加強汽車遠程升級（OTA）技術召回監管的通知》和《市場監管總局質量發展局關于汽車遠程升級（OTA）技術召回備案的補充通知》。管理通知中表示，OTA升級可作為汽車召回的手段，企業在實施OTA升級（不論是否是召回行為）時需要向市場監督管理總局備案，企業用OTA升級實施召回的需要制定召回計劃，依法履行召回主體責任。企業在實施OTA升級活動時，需要按照要求完善相關信息。

2022年4月，工業和信息化部裝備工業發展中心發布《關于開展汽車軟件在線升級備案的通知》（以下簡稱《通知》）。管理通知中表示，OTA升級是汽車的一種“再造”，可能改變車輛的安全、環保、節能、防盜等技術性能或增加車輛的自動駕駛功能。

企業開展OTA升級不涉及安全、環保、節能、防盜等技術性能變化的升級活動，企業在OTA備案后可直接進行升級；企業開展OTA升級涉及安全、環保、節能、防盜等技術性能變化的升級活動，應提交驗證材料，保障產品符合國家法律法規、技術標準及技術規范等相關要求。

其中，涉及《公告》技術參數變更的相關升級活動，企業應在備案前按照《公告》管理規定，向工業和信息化部申請產品變更或擴展，按流程完成《公告》產品準入后才能開展升級，保障汽車產品生產一致性；涉及汽車自動駕駛功能（駕駛自動化分級的3級及以上）的相關升級活動，應經過工業和信息化部批準。《通知》要求企業在實施具體的OTA升級活動前依次開展企業管理能力備案、車型及功能備案和具體升級活動備案。

目前，我國正在加快制定針對汽車軟件在線升級的國家標準《汽車軟件升級通用技術要求》，國家標準的制定，將進一步提升完善汽車生產企業和汽車產品的管理能力和技術要求，對提升軟件在線升級的安全性提供保障。

4 總結及建議

4.1 國內外OTA法規對比分析

目前，各國針對OTA升級法規實施情況不同，但總體有基本共識。在對OTA升級認知方面，各國認為OTA升級是對車輛的一種“改造”，或者可作為質量召回的手段。在頒布具體法規方面，聯合國和日本頒布具體的法規，德國和中國暫未頒布具體法規，我國以備案的方式對OTA升級進行管理；在OTA升級是否需要型式批準方面，主流國家和地區認為OTA升級涉及型式批準的升級需要批準，同時OTA升級需要獨立機構對OTA升級進行合規審查；在是否明確OTA升級步驟方面，目前我國暫未明確具體OTA升級步驟（表1）。

表1 國內外OTA法規對比分析

4.2 我國OTA法規發展建議

當前，聯合國和日本汽車軟件在線升級法規走在世界前列，針對汽車軟件在線升級提出明確法規要求，對涉及型式批準的升級內容需要獨立機構進行審查批準。德國認為汽車軟件在線升級是一種實施召回的手段，暫未頒布具體的法規，但是已經明確了汽車生產企業實施軟件在線升級的步驟。

從我國發布政策內容看，我國將汽車軟件在線升級看作質量召回和車輛再造的手段，采用汽車軟件在線升級備案的方式對其進行管理。建議以汽車軟件在線升級備案作為基礎，收集汽車軟件在線升級備案情況和需求，分析總結汽車軟件在線升級過程中的實際問題，推進標準體系制修訂，建立健全汽車生產企業管理能力，明確軟件在線升級步驟，逐步建立適合我國智能網聯汽車發展的汽車軟件在線升級法規體系，保障智能網聯汽車軟件在線升級安全，提升智能網聯汽車運行安全，保障用戶使用權益，進一步促進智能網聯汽車產業有序發展。

審核編輯：劉清