随着汽车智能化和互联化的快速发展,汽车软件的安全和合规性成为汽车行业亟待解决的重要问题。ASPICE认证和ISO21434认证是两个在汽车行业中被广泛采用的标准,分别关注软件开发和网络安全,它们对于确保汽车软件的高质量和网络安全具有重要意义。
1. ASPICE简介
ASPICE(Automotive SPICE)是一种国际标准,用于评估汽车行业软件开发过程的质量和效率。它提供了一套完整的流程框架和评估模型,帮助汽车制造商评估和改进软件开发过程。ASPICE认证可以帮助企业建立高效的软件开发流程,确保软件产品的质量和稳定性。
2. ISO21434简介
ISO/SAE 21434《道路车辆-网络安全工程》,它关注汽车网络安全风险管理和安全工程,旨在通过确保适当考虑网络安全,使车辆电子电气系统工程可以应对最先进的技术和不断进化的攻击手段。该标准于2021年8月31日正式发布,覆盖管理、活动、概念、开发、生产、运维、报废等全生命周期各个阶段。
该标准提供了车辆网络安全相关的术语、目标、需求和指导,以定义网络安全方针及流程、管理网络安全风险以及促进网络安全文化,可以用于实施包括网络安全危害管理在内的网络安全管理系统。包括网络安全威胁分析、安全设计和安全验证等方面。ISO21434认证的目标是帮助汽车制造商和供应商有效管理和降低汽车网络安全风险。
ISO21434标准由15个章节组成,其中主体部分为4~15章节:
第4章概述:主要介绍道路车辆网络安全工程的背景信息;
第5章组织级网络安全管理:主要是规定组织层面网络安全管理的要求,制定组织网络安全管理的总体方针;
第6章基于项目的网络安全管理:针对项目网络安全活动的管理原则;
第7章分布式网络安全活动:主要是在网络安全角度如何进行供应商管理;
第8章持续的网络安全活动:主要描述产品全生命周期的持续性网络安全活动;
第9-14章描述了从概念设计到产品开发、验证、生产及后期运维和退役全生命周期的网络安全活动和相关要求;
第15章威胁分析与风险评估模型:从受影响的道路使用者的角度进行,提供一套网络安全威胁分析、风险评估及处置的方法。
3. UN R155简介
联合国世界车辆法规协调论坛(简称为UN/WP.29)发布了3项关于智能网联汽车的重要法规R155,即网络安全(Cybersecurity)。该系列法规适用于1958协议下成员国(UNECE 1958年协议的缔约方已增加到54个,其中包括所有欧盟国家和其他OECD国家,虽然中国不在1958协议国中,但是生产的汽车只要销售到这些国家中就必须通过相关认证。R155是全球第一个汽车网络安全强制法规,这意味着车辆的网络安全已经从符合标准进入到遵从法规的时代。
4. ASPICE认证与ISO21434认证的联系
ASPICE认证和ISO21434认证是相辅相成的。ASPICE认证关注软件开发过程的质量和效率,而ISO21434认证关注汽车网络安全。将两者结合应用可以帮助企业实现软件开发和网络安全的双重合规,提高软件产品的质量和网络安全的稳定性。
5. ISO21434和UN R155的联系
ISO/SAE 21434是由SAE和ISO联合起草发布的标准。标准通常是在ISO等权威机构的管理下,由行业本身设计的先进的参考性文件。该标准支持在整个供应链的组织中实施R155的要求。换言之,UN R155与ISO/SAE 21434互为补充,共同规定了汽车的网络安全要求。
法规是具有地域限制的,R155适用于欧盟等国家,且针对整车,真正要进行公告和型式认证申请的只有OEM。在中国,类似于R155认证的强制规范《汽车整车信息安全技术要求》 目前也正在起草中。
而ISO/SAE 21434则属于行业内标准,无地域限制且非强制要求(ISO一般是非强制的,类似于国内的GB是强制的,GB/T是推荐的),描述的是汽车网络安全的工程框架和方法论,明确了从概念和开发到生产、运营、维护和退役的整个车辆生命周期内的组织和程序要求,在具体操作层面上给出了更详尽的指导。所以,不管在OEM还是各级供应商,都可以按照该标准开发功能和产品,OEM也可以基于ISO/SAE 21434来给供应商提需求。
实际上,UNR155中引用到了ISO/SAE 21434这一标准。这一点在UNECE公布的官方解释文件中说得特别清楚,该文件大量地将法规的要求与ISO/SAE 21434的各种要求联系了起来。
换句话说,ISO/SAE 21434可以作为具体方法论,按其指导就很容易满足UNR155的法规要求,ISO21434对R155起到了实施支撑的作用。当然如果企业有另外成熟的最佳实践,同样可以满足UNR155也行,所以ISO/SAE 21434并非必要条件。
6. ASPICE认证与ISO21434认证的实施经验
一家汽车制造商在开发智能汽车时,采用了ASPICE认证和ISO21434认证的方法。他们建立了完善的软件开发流程,加强了软件开发团队的培训和能力提升,并同时建立了专业的网络安全团队,负责网络安全的管理。最终,该汽车制造商成功地将汽车推向市场,获得了高度认可。
ASPICE认证和ISO21434认证是汽车行业中重要的认证标准,分别关注软件开发和网络安全。将它们结合应用可以帮助汽车制造商实现软件开发和网络安全的双重合规,提高产品质量和网络安全的稳定性,从而更好地适应汽车行业的发展和变化。