观韬视点 | 汽车软件在线升级的监管现状及合规建议
作者:王渝伟 陈刚
引言
随着汽车软件在线升级((Over-The-Air,下称“OTA”)需求和应用增多,OTA升级对象从单个零部件逐渐扩大到大部分汽车固件、软件,汽车核心功能域也逐渐对OTA升级技术开放。部分OTA升级也可能改变车辆产品功能和性能,带来车辆行驶安全风险,甚至危及公共安全。OTA升级涉及车内外网络连接和众多电子控制单元(ECU),也存在网络攻击严重危害汽车安全的风险。因此,OTA安全性受到国家监管的重视,陆续颁布相关规范和标准,以保障OTA的安全性和合规性。结合近期项目经验,我们总结了相关企业在OTA事宜中的合规事项,起草本文仅供相关企业参考。
一、汽车软件在线升级
近年来,随着汽车产品智能化、网联化技术的快速发展,汽车产品形态发生重大变化,汽车软件在线升级((Over-The-Air,下称“OTA”)逐步在智能网联汽车产品中广泛应用。OTA升级,指替代线缆或者其它本地连接方式,通过无线传输方式进行软件下载和软件更新的过程。OTA常见类型包括FOTA(Firmware OTA,固件升级)、SOTA(Software OTA,应用软件升级)和COTA(Config OTA,配置更新)。 OTA升级架构由云平台、汽车软件管理端、用户端三部分组成。云端主要负责与车端保持数据同步并为实时分析数据等一系列活动提供支持。车端主要负责下载云平台通过软件管理端传输下来的软件包和APP应用服务等,车端与云端可通过Wi-Fi、蓝牙等方式保持连接,车载T-BOX作为汽车通讯终端,是车端与互联网连接的接口。 与离线升级相比,OTA升级可以更加快速地更新迭代产品功能、优化产品性能、提升用户体验,成为汽车生产企业提升产品竞争力的重要手段。
二、目前监管现状
(一)相关监管政策
为规范车企OTA升级活动,工信部和国务院等国家机关陆续颁布OTA领域相关政策和标准,具体如下:
政策 | 主要内容 |
《工业和信息化部装备工业发展中心关于开展汽车软件在线升级备案的通知》,工信部工业发展中心,2022年4月(下称“《备案通知》”) | 规定获得道路机动车辆生产准入许可的汽车整车生产企业及其生产的具备OTA升级功能的汽车整车产品和实施的OTA升级活动,应进行备案。《备案通知》包括备案范围、备案要求、备案工作流程、实施安排和企业责任5个部分。 |
《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》,工信部,2021年7月(下称“《准入意见》”) | 要求具有在线升级(又称OTA升级)功能的汽车产品的企业,要具有相应的管理能力,确保车辆在升级时处于安全状态,并向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。其次,未经审批,不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。 |
《工业和信息化部办公厅关于开展车辆网身份认证和安全信任试点工作的通知》,工信部,2021年6月 | 要求建立车、云、设备、道路之间相互通信安全信任体系,建立包括通信身份认证、数据加密等在内的技术能力,实现各类通信场景下的身份认证、数据机密性和完整性保护,要加强车联网各部分的通信安全保证能力。 |
《市场监管总局质量发展局关于汽车远程升级(OTA)技术召回备案的补充通知》,质量发展局 ,2021年6月 | 要求生产者备案采用OTA方式的技术服务活动或召回时,需提交《汽车远程升级(OTA)安全技术评估信息表》,填写要求参见《汽车远程升级(OTA)安全技术评估信息表填写指南》。 |
《市场监督总局办公厅关于进一步加强汽车远程升级(OTA)技术召回监管的通知》,市场监管总局办公厅,2020年11月(下称“《OTA召回通知》”) | 要求生产者采用OTA方式消除汽车产品缺陷、实施召回的,应按要求制定召回计划,向市场监管总局备案。对于OTA入侵方面也加强规范,要求生产者一旦获知OTA实施过程中的车辆在国内市场发生被入侵、远程控制等安全事故的,立即组织调查分析并向市监总局质量发展局报告调查分析结果。 |
《国务院办公厅关于引发新能源汽车产业发展(2021-2035年的通知)》,国务院,2020年11月 | 要求企业在提高新能源汽车整车综合性能的同时,做好三电核心技术、网联化与智能化技术等关键零部件技术的供给,加强智能网联汽车关联零部件及系统开发。支持企业跨界协同,研发复杂环境融合感知、智能网联决策与控制、信息物理系统架构设计等关键技术快速发展的同时注意网络安全保障,健全新能源汽车网络安全管理制度。 |
《电动汽车远程服务与管理技术规范》,全国汽车标准技术委员会,2016年10月 | 要求新生产的新能源汽车需要安装车载终端,相关企业需建立数据监测平台对新能源汽车各类关键系统实行实时数据采集,对相关车辆运行安全状态进行检测和管理。公共服务领域汽车数据需要收集并上传至地方监测平台。 |
(二)工信部监管情况
从以上相关规范的实施情况看,汽车OTA升级活动主要由工信部监管。工信部的《准入意见》要求相关企业加强OTA升级管理能力,并保证产品生产一致性,未经审批不得通过OTA方式新增或更新汽车自动驾驶功能。
4月15日新颁布的《备案通知》则是有关OTA升级活动备案的重要文件。《备案通知》在《准入意见》的基础上,要求企业依次按照管理能力备案、车型及功能备案和具体升级活动备案的顺序进行备案,重申了企业实施OTA升级活动时应当保证汽车产品生产一致性。《备案通知》还提出了分级备案要求,根据升级活动的影响评估分为三级。其中,不涉及产品安全、环保、节能、防盗等技术性能变化的相关升级活动,企业在备案后可直接开展升级。涉及产品安全、环保、节能、防盗等技术性能变化的相关升级活动,应提交保障产品符合国家法律法规、技术标准及技术规范等相关要求的验证材料,涉及《公告》技术参数变更的,还应在备案前申请《公告》变更或扩展,按流程完成《公告》产品准入后才能开展升级。涉及汽车自动驾驶功能的相关升级活动,应经工业和信息化部批准。
此外,企业应在升级前后履行车辆用户告知义务。同时,企业应识别升级活动所影响的电子控制系统,并保存软件初始和升级版本(集),支持实施升级追溯管理。自《备案通知》发布之日起,企业应通过登录“汽车软件在线升级备案系统”填报备案信息和相关证明材料,开展企业管理能力备案、车型及功能备案和具体升级活动备案。
(三)市场监督管理部门监管情况
值得注意的是,根据《OTA召回通知》,市场监督管理部门负责对OTA召回进行监管。对现阶段以及未来的智能汽车而言,除了传统的机械式故障以外,由软件引起的BUG也会非常多,此时就会涉及OTA召回的方式。根据《缺陷汽车产品召回管理条例》(下称“《召回条例》”),“召回”是指汽车产品生产者对其已售出的汽车产品采取措施消除缺陷的活动。“缺陷”是指由于设计、制造、标识等原因导致的在同一批次、型号或者类别的汽车产品中普遍存在的不符合保障人身、财产安全的国家标准、行业标准的情形或者其他危及人身、财产安全的不合理的危险。传统的召回是由汽车厂商召回涉及缺陷车辆,召回原因多为电子电器、发动机、制动系统、转向系统、车身、安全气囊或安全带等零部件引起,需要涉及车辆返回4S店或有授权的售后服务点进行缺陷消除。而涉及汽车软件缺陷时,汽车企业可进行OTA召回,此时车主不需要将汽车返回4S店,而仅通过在线软件更新的方式消除软件缺陷。例如,2021年6月,国家市场监督管理总局曾发布特斯拉的OTA召回消息。消息称因车辆主动巡航控制系统问题,在极端情况下存在安全隐患,特斯拉中国主动召回28.5万辆,涉及部分进口和国产Model 3以及Model Y车型。
根据《OTA召回通知》,汽车生产者采用OTA方式开展技术服务活动的,应按照《条例》及《缺陷汽车产品召回管理条例实施办法》(下称“《召回办法》”)的要求,向市场监管总局质量发展局备案。而进行OTA召回的车企应按照《召回条例》及《召回办法》要求,制定召回计划,向市场监管总局质量发展局备案,依法履行召回主体责任。如OTA方式未能有效消除缺陷或造成新的缺陷,生产者应当再次采取召回措施。生产者还有义务调查分析汽车网络被入侵、远程控制等安全事故并向质量发展局报告。生产者存在未按规定备案有关信息或召回计划、不配合缺陷调查、隐瞒缺陷或未按照已备案的召回计划实施召回等违法行为的,市场监督管理部门有权依据《召回条例》及《召回办法》进行行政处罚。
三、合规建议
汽车整车生产企业应积极响应工信部《备案通知》的要求,及时开展OTA升级自查,评估网络和数据安全管理等现状和存在的主要问题,梳理自身OTA升级管理能力、具备OTA升级功能的车型分布、具体需要开展的OTA升级活动,以履行OTA升级前的备案义务。企业还应特别注意OTA升级时保障汽车产品生产一致性,以及履行OTA升级前后的车辆用户告知义务。此外,如OTA升级的原因是为了修复可能危及人身、财产安全的汽车软件BUG时,即汽车软件BUG构成《召回条例》下的缺陷时,还需要履行《召回条例》及《召回办法》下的相关义务。
北京观韬中茂(上海)律师事务所 合伙人 王渝伟
北京观韬中茂(上海)律师事务所 律师助理 陈刚