分析国内外OTA法规的现状及差异

1 引言

随着人工智能、电子控制以及互联网技术的不断完善，汽车正逐步从机械产品演变成为集各种先进电子技术于一身的智能网联汽车。智能网联汽车将带动传感、通信、数据、软件、人工智能、汽车电子等产业的发展，推动我国建设成为汽车强国、制造强国、网络强国，智能网联汽车已成为我国汽车产业转型升级、高质量发展的战略机遇。

智能网联汽车电子控制系统的增多使得汽车电子部件或软件遇到问题时，对控制单元软件、固件进行升级的需求也越来越强烈。同时，智能网联汽车的智能驾驶技术快速发展，企业通过预埋硬件系统，后期软件升级的方式发布汽车智能驾驶或自动驾驶功能已成为企业普遍开发模式。目前，汽车软件升级多采用空中下载技术。

空中下载技术（Over-The-Air Technology,OTA）是通过移动通信的空中接口实现对系统和应用程序进行远程管理的技术。OTA不仅可以带来更便捷的车辆升级途径，也让消费者感受到更加智能便捷的用车体验。此外，OTA技术在车辆量产后可降低车辆的召回成本，实现对车辆软件和车辆数据的统一管理，提高售后服务效率和质量。

OTA已成为智能网联汽车功能优化与迭代、性能提升、缺陷修补的重要手段。涉及安全、环保、节能、防盗等技术参数的变更、自动驾驶相关功能的升级，关系工业和信息化部相关公告信息变更，涉及缺陷修补的升级关系市场监督管理总局召回相关监管要求。

因此，OTA技术的出现，对汽车当前的管理规范性形成严峻挑战。本文以国内外OTA法规为研究对象，分析国内外OTA法规的现状及差异，同时为我国OTA升级法规提出相应建议。

2 国外OTA法规分析

2.1 国际OTA法规情况分析

2014年12月，联合国欧洲经济委员会世界车辆法规协调论坛（UN/WP.29）在原有智能交通ITS非正式工作组的基础上成立智能交通与自动驾驶非正式工作组ITS/AD，2016年12月成立专门汽车信息安全标准任务组CS/OTA，围绕汽车网络安全、数据保护和在线升级开展国际法规和标准的制定工作。

WP.29成立的智能网联汽车OTA安全任务组TFCS/OTA，提出关于网络安全和信息保护措施的指南草案，联合国以此任务组提出的研究报告为基础，制定智能网联汽车OTA安全专用国际法规WP.29/R155（信息安全与信息安全管理系统）和WP.29/R156（软件升级与软件升级管理系统）。WP.29/R156法规的新车实施时间为2022年7月，在产车实施时间为2024年7月。

WP.29/R156法规适用于M类、N类、至少装有1个电控单元的O类及具备L3（SAE J3016）以上自动驾驶功能的L6（轻便四轮车）和L7（重型四轮车）类车辆。“软件升级”是指用软件包将软件升级或更新到新的版本（包括更改配置参数），“软件升级管理系统（Software Upgrade Management System,SUMS）”是一种通过定义组织过程和程序，以符合本法规软件升级要求的系统方法。

SUMS规定了升级流程（图1）、在线升级、安全策略、升级记录、车型一般要求和在线升级要求6方面内容。

图1 WP.29/R156软件升级流程

（1）在线升级要求

明确汽车生产企业在线升级过程中具备相应的文档文件。包括软件升级过程的文档，及证明合规的所有相关标准；升级前后描述所有型式认证系统配置的文件；升级前后描述与车辆类型的RXSWIN（软件标识符）相关的软件的文档；用于升级和验证注册配置的兼容性或具有升级的目标车辆最新配置的文档。

（2）安全策略要求

明确汽车生产企业在线升级过程中采取防护策略。包括确保车辆升级过程中受到保护，升级启动前防止驾驶员误操作；避免软件在升级过程中被破坏，包括开发系统的升级；验证并确保车辆使用软件的功能和代码。

（3）升级记录要求

明确汽车生产企业对在线升级记录的要求。包括在线升级需要技术人员完成升级过程时，应确保相关人员在场；软件升级符合汽车信息安全管理要求（包括信息安全管理系统合规合格证、汽车信息安全车型型式认证）。

（4）车型一般要求

明确汽车生产企业对在线升级的其他要求。包括保护软件升级的真实性和完整性，防止其泄密或无效升级；对于RXSWIN，应保证每个RXSWIN必须是唯一可识别的，可通过电子通信接口以标准化的方式读出，企业应保护车辆RXSWIN免受未经授权的篡改。

（5）车型在线升级要求

明确汽车生产企业在软件升级过程中的安全要求。升级前，企业应确保在执行软件升级前车辆必须满足前提条件；确保在车辆有足够的动力完成升级时才能执行升级；证明当升级可能影响车辆的安全性时可安全升级；证明在执行升级之前能够通知车辆用户有关升级的信息。

升级中，企业应确保在执行升级期间用户无法驾驶车辆，及确保用户无法使用会影响车辆安全性或升级的车辆功能。升级后，执行升级后，企业应说明如何告知车辆用户升级成功（或失败）和所实施的变更，及与用户手册相关的所有升级，确保车辆能够在升级失败或中断的情况下系统和车辆进入安全状态。 WP.29/R156汽车软件在线升级法规对汽车生产企业提出了明确的安全保障和体系要求框架，明确了软件升级流程，确保软件升级安全。

2.2 日本OTA法规情况分析

2019年3月，日本内阁府通过了《道路运输车辆法》修正案，在汽车改造的范围中新增自动驾驶装置，并规定了改造的流程和要求，其中包含汽车软件在线升级。

《道路运输车辆法》修正案中关于软件在线升级的修订内容是创立许可制度，使用通信电路等方式允许改变汽车自动驾驶装置的软件程序来改造汽车，与许可制度相关的技术审查类工作应交由汽车技术综合机构处理（日本独立行政法人）；为确保整车检查符合汽车认证制度，增加纠错机制，用于处理汽车检查中的不足；随着汽车检查的电子化，创立委托制度，负责汽车检查的记录等事务。

《道路交通车辆法》修正案是日本从国家政府层面规定OTA升级的法规要求。

2020年8月，日本国土交通省以省令的形式颁布《机动车特别许可法案》，明确了OTA升级特定改造许可的范围、流程和要求等内容。

（1）OTA升级许可

适用范围通过OTA升级可能影响安全基准符合性的升级内容。

（2）申请许可流程

向国土交通部申请在线升级；汽车技术综合机构审查材料；国土交通部批准，办法能力达标和特定改造许可证。

（3）OTA升级许可相关要求

汽车生产企业网络安全管理系统和软件升级管理系统符合相关标准；

汽车生产企业具备综合管理及改善机制；

车辆符合安全基准。

（4）注意事项

在线升级申请材料出现变更时，需向国土交通省申报；

软件升级的实施状况及相关信息需要记录和保存；

对网络安全威胁进行监测并处理；

向用户提供软件升级的目的、内容等相关信息。

（5）审核结果

根据申请的类别发放结果通知书。

日本针对汽车OTA升级活动制定了较为完善的管理体系，国家法律方面出台《道路车辆运输法》修正案[8]，允许对车辆进行远程升级；管理部门颁布《机动车特别许可法案》[9]，明确OTA省级特定改造许可的流程、要求和注意事项；技术法规方面发布《道路运输车辆保安基准》[10]，增加OTA升级的网络安全要求，认证试验规程；监管验证阶段利用《审查事务规程》，明确OTA升级的认证试验要求，包括试验型式和试验项目等。

2.3 德国OTA法规情况分析

2020年7月德国汽车工业协会（VDA）发布汽车行业质量管理《使用OTA空中下载升级召回管理》红皮书文件。文件初步定义OTA升级的7个阶段步骤：

（1）发现产品安全风险；

（2）内部报告产品安全风险；

（3）安全风险问题准备；

（4）决策；

（5）执行产品安全风险召回；

（6）有效性验证；

（7）经验教训总结。

红皮书指出利用OTA软件升级执行质量召回时，对发现产品安全风险，内部报告产品安全风险，决策方面流程保持现有质量召回制度不变。在安全风险问题准备阶段，除了考虑召回行动的影响范围后，需要确定哪些车辆具备OTA升级功能及哪些车辆可以进行OTA升级，还需进一步说明执行OTA升级所有先决条件。

执行产品召回时阶段，需要明确哪些车辆应该被升级，以及何时、如何处理未实施升级的车辆，OTA升级前应告知用户，必须征得用户同意，升级成功后需要记录更改后的配置情况，监测升级的结果。有效性验证阶段，车辆执行OTA升级过程中，根据国家要求，向管理部门汇报完成率，并且监控升级后的车辆运行状态。

召回结束后，企业应从OTA升级可用性、召回管理流程、安装策略、硬件要求、兼容性、验证安装过程的安全操作条件，以及远程升级失败等方面总结OTA升级在质量召回中的应用。

德国采用了行政管理的手段明确了OTA升级相关要求，且针对的是OTA升级作为质量召回的应用。目前，德国尚未出台行之有效的OTA升级法规体系。

3 国内OTA法规情况分析

我国尚未出台针对OTA升级的具体法规。目前主要以管理规范的形式对汽车软件升级进行管理，目前主要有国家市场监督管理总局的《市场监管总局办公厅关于进一步加强汽车远程升级（OTA）技术召回监管的通知》以及工业和信息化部装备工业发展中心的《关于开展汽车软件在线升级备案的通知》。

国家市场监督管理总局于2020年11月和2021年6月，分别发布《市场监管总局办公厅关于进一步加强汽车远程升级（OTA）技术召回监管的通知》和《市场监管总局质量发展局关于汽车远程升级（OTA）技术召回备案的补充通知》。管理通知中表示，OTA升级可作为汽车召回的手段，企业在实施OTA升级（不论是否是召回行为）时需要向市场监督管理总局备案，企业用OTA升级实施召回的需要制定召回计划，依法履行召回主体责任。企业在实施OTA升级活动时，需要按照要求完善相关信息。

2022年4月，工业和信息化部装备工业发展中心发布《关于开展汽车软件在线升级备案的通知》（以下简称《通知》）。管理通知中表示，OTA升级是汽车的一种“再造”，可能改变车辆的安全、环保、节能、防盗等技术性能或增加车辆的自动驾驶功能。

企业开展OTA升级不涉及安全、环保、节能、防盗等技术性能变化的升级活动，企业在OTA备案后可直接进行升级；企业开展OTA升级涉及安全、环保、节能、防盗等技术性能变化的升级活动，应提交验证材料，保障产品符合国家法律法规、技术标准及技术规范等相关要求。

其中，涉及《公告》技术参数变更的相关升级活动，企业应在备案前按照《公告》管理规定，向工业和信息化部申请产品变更或扩展，按流程完成《公告》产品准入后才能开展升级，保障汽车产品生产一致性；涉及汽车自动驾驶功能（驾驶自动化分级的3级及以上）的相关升级活动，应经过工业和信息化部批准。《通知》要求企业在实施具体的OTA升级活动前依次开展企业管理能力备案、车型及功能备案和具体升级活动备案。

目前，我国正在加快制定针对汽车软件在线升级的国家标准《汽车软件升级通用技术要求》，国家标准的制定，将进一步提升完善汽车生产企业和汽车产品的管理能力和技术要求，对提升软件在线升级的安全性提供保障。

4 总结及建议

4.1 国内外OTA法规对比分析

目前，各国针对OTA升级法规实施情况不同，但总体有基本共识。在对OTA升级认知方面，各国认为OTA升级是对车辆的一种“改造”，或者可作为质量召回的手段。在颁布具体法规方面，联合国和日本颁布具体的法规，德国和中国暂未颁布具体法规，我国以备案的方式对OTA升级进行管理；在OTA升级是否需要型式批准方面，主流国家和地区认为OTA升级涉及型式批准的升级需要批准，同时OTA升级需要独立机构对OTA升级进行合规审查；在是否明确OTA升级步骤方面，目前我国暂未明确具体OTA升级步骤（表1）。

表1 国内外OTA法规对比分析

4.2 我国OTA法规发展建议

当前，联合国和日本汽车软件在线升级法规走在世界前列，针对汽车软件在线升级提出明确法规要求，对涉及型式批准的升级内容需要独立机构进行审查批准。德国认为汽车软件在线升级是一种实施召回的手段，暂未颁布具体的法规，但是已经明确了汽车生产企业实施软件在线升级的步骤。

从我国发布政策内容看，我国将汽车软件在线升级看作质量召回和车辆再造的手段，采用汽车软件在线升级备案的方式对其进行管理。建议以汽车软件在线升级备案作为基础，收集汽车软件在线升级备案情况和需求，分析总结汽车软件在线升级过程中的实际问题，推进标准体系制修订，建立健全汽车生产企业管理能力，明确软件在线升级步骤，逐步建立适合我国智能网联汽车发展的汽车软件在线升级法规体系，保障智能网联汽车软件在线升级安全，提升智能网联汽车运行安全，保障用户使用权益，进一步促进智能网联汽车产业有序发展。

审核编辑：刘清