以傳播城市化專業知識為己任
2025年08月19日
星期二
設為首頁
|
加入收藏
搜索
附件1:
《智能網聯汽車產品準入、召回及軟件在線升級管理與技術指南》
為加強智能網聯汽車產品準入、召回及軟件在線升級(以下稱 OTA 升級)管理,制定本指南。本指南中智能網聯汽車產品搭載的組合駕駛輔助系統是指國家標準《汽車駕駛自動化分級》(GB/T 40429-2021)定義的 2 級駕駛自動化系統(以下簡稱系統)。
一、加強企業能力建設
(一)健全安全保障能力。企業生產搭載組合駕駛輔助系統的智能網聯汽車產品的,制定相應的安全管理制度,健全企業質量安全體系和產品技術標準,明確安全責任部門和負責人,健全流程、方法、工具等設計驗證能力,完善網絡安全、數據安全、功能安全、預期功能安全、個人信息保護、OTA 升級管理等保障能力,確保對開發、生產、運行等階段進行有效的安全管理,持續保障智能網聯汽車產品質量安全。
(二)加強安全監測與報告管理。企業生產搭載組合駕駛輔助系統的智能網聯汽車產品的,建立事件監測和分析評估機制,健全系統相關安全事件監測、事件事故報告流程,強化事件調查、分析、處置、改進,以及事故深度調查分析與技術改進等能力,健全事件事故數據記錄和存儲管理,確保監測數據的真實性、安全性和完整性。
(三)規范營銷宣傳行為。企業向消費者提供有關智能網聯汽車駕駛自動化等級、系統能力、系統邊界等信息時,應當真實、全面,不得作虛假、夸大系統能力或引人誤解的宣傳,確保消費者正確理解和使用智能網聯汽車產品。企業在組合駕駛輔助系統或功能命名及營銷宣傳中,不得使用暗示消費者該系統可以作為自動駕駛系統使用,具備實際上并不具備的功能等用語,防止駕駛員濫用風險。
(四)嚴格履行告知義務。企業生產搭載組合駕駛輔助系統的智能網聯汽車產品的,建立面向用戶的告知機制,告知范圍至少包含駕駛員責任、系統基本信息和正確使用方式、系統能力、系統邊界、狀態轉換、人機交互、發生安全事件的應急處置方法等內容,確保用戶以易理解的方式掌握相關信息。企業編制的智能網聯汽車產品使用說明書、用戶培訓材料,內容表達科學合理、圖文并茂、簡潔易懂、完整準確,易于一般用戶閱讀、理解和操作,并通過隨車配發的說明書、車載顯示終端、企業官方網站等有效方式告知用戶,避免駕駛員將組合駕駛輔助功能作為自動駕駛功能使用。
(五)健全產品售后服務管理體系。企業要履行質量擔保義務,明示智能網聯汽車產品售后服務承諾及應急措施等內容,提供售后服務,并保證在設計使用壽命期和企業承諾的質量擔保期內向用戶提供質量合格的備件、維修和咨詢服務。企業對用戶就其提供的智能網聯汽車產品或者服務的質量和使用方法等問題提出的詢問,應當作出真實、明確的答復,加強售后爭議處理能力建設。
(六)加強產品安全與召回能力建設。企業健全搭載組合駕駛輔助系統的智能網聯汽車產品安全與召回管理體系,建立缺陷信息收集、調查分析、召回決策與實施管理機制;建立應急管理機制,具備及時處置安全突發事件的能力;提高召回專業人員技術水平,提升缺陷技術分析與評估能力;建立智能網聯汽車產品追溯體系,提高召回實施效率和完成率。
二、強化產品安全管理
(七)加強產品安全設計。企業對生產的搭載組合駕駛輔助系統的智能網聯汽車產品,明確安全概念,確保安全目標實現,并將其設計為:
1.具備與組合駕駛輔助系統功能相匹配的硬件和軟件。
2.確保智能網聯汽車產品性能不低于機動車強制性國家標準對應的安全技術要求,裝備的電子控制系統不影響有關機動車強制性國家技術標準規定的制動、轉向、照明和信號裝置等安全要求。
3.具備檢測系統失效的能力,在失效時執行合理降低風險的策略。采取有效措施防止可合理預見的駕駛員誤用風險,包括檢測駕駛員脫離駕駛任務的必要技術措施、設置合理的防誤用閾值等。
4.汽車通信鏈路、OTA 升級活動等采用合規且有效的網絡安全防護技術。采取有效措施防御未經授權的系統硬件和軟件變更、數據提取或操作等網絡安全和數據安全威脅,確保車輛及其功能、車輛數據和個人信息持續處于被保護的狀態。
5.對于行車輔助功能,系統具備評估駕駛員持續執行駕駛任務的技術措施,檢測駕駛員是否脫離駕駛任務,確保駕駛員始終執行相應的動態駕駛任務。對于系統發起的車輛運動控制,還需確保系統行為合規合理。
6.智能網聯汽車產品在系統激活期間向駕駛員提供安全干預或退出系統的方式。針對系統失效、達到系統邊界等情況,應當給予合理的時間讓駕駛員做出適當的反應,采取必要措施,降低碰撞風險,保持駕駛員對系統的可控性。
(八)明確系統邊界和安全響應措施。企業明確系統邊界,包括道路類型、道路基礎設施、天氣條件、對其他道路使用者行為的響應能力等,驗證智能網聯汽車產品具有探測和響應系統邊界的能力。當系統在激活狀態下探測到已超出、正在超出或即將超出系統邊界時,采取合理策略告知駕駛員。
(九)確保控制策略合理。企業確保系統具備明確的激活、動態駕駛任務執行和退出策略。對于行車輔助,當系統檢測到駕駛員脫離動態駕駛任務、未響應警告且沒有采取必要的控制措施時,系統適時啟動風險減緩功能以使車輛安全停車;駕駛員未規范使用組合駕駛輔助功能的,系統應當具備禁止激活相應功能等限制策略。對于泊車輔助,系統具備檢測運行區域內其他道路使用者、障礙物,以及為避免碰撞而安全停車或減緩車速的能力。
(十)合理設計人機交互方式。企業確保系統向駕駛員提供及時、可區分、易于理解的提示信息,包括系統狀態、系統邊界、駕駛員需要執行的操作、駕駛員脫離動態駕駛任務等,確保駕駛員對系統能力認知清晰準確,避免駕駛員過度依賴;確保系統和功能開啟或激活的人機交互過程,與裝備在車輛上的其他系統不會產生混淆。當功能狀態發生變化或轉換為其他駕駛自動化功能時,系統及時向駕駛員提供提示信息。當執行動態駕駛任務期間發生系統失效時,系統發出失效警告信號。
(十一)開展充分的測試驗證。企業確保在設計和開發過程中對組合駕駛輔助系統及其功能進行全面安全評估,針對系統邊界和安全響應、控制策略、人機交互等,采用模擬仿真、封閉場地、實際道路、網絡安全等必要測試方法開展充分測試,確保智能網聯汽車產品滿足安全要求。實際道路測試符合國家有關保密、測繪等法律法規及管理規定。
三、強化沙盒監管深度測試
(十二)強化沙盒監管深度測試。企業主動履行質量安全主體責任,在搭載組合駕駛輔助系統車輛量產銷售初期,要通過沙盒監管深度測試開展新技術潛在風險驗證,不斷提升組合駕駛輔助系統安全水平,并具備必要的深度測試和應急處置資源。深度測試要聚焦于事故場景和缺陷場景等的識別與應對,以及高危場景下的預期功能安全和功能安全問題。企業對組合駕駛輔助系統未知風險加強研究和評估,鼓勵聯合構建可應用于深度測試的危險場景庫,包括事故場景、失效場景、缺陷場景、特定復雜場景等。
四、強化汽車軟件在線升級管理
(十三)加強 OTA 升級企業保障能力。企業生產具備軟件 OTA 升級功能的智能網聯汽車產品的,應當健全完善與產品及升級活動相適應的管理制度和保障能力,強化安全保障和防護、影響評估、測試驗證、執行過程保障、日志記錄、歷次升級信息保存、OTA 召回實施等技術能力,建立OTA 升級活動的唯一標識(如能夠唯一標識具體 OTA 升級活動的軟件版本),完善電子控制器(ECU)軟件版本編制規則、OTA 升級服務平臺 IP 地址和域名信息等備案信息。企業應對升級軟件的功能和代碼進行驗證,保護升級包的真實性和完整性,防范安全風險,確保車輛進行 OTA 升級時處于安全狀態。企業應建立 OTA 升級用戶告知機制,在執行 OTA 升級前,明確告知升級目的、升級前后變化、升級預估時間、升級期間無法使用的功能等信息,并應得到車輛用戶確認;在執行OTA 升級后,應告知車輛用戶車輛升級的結果。企業應當識別升級活動所影響的系統及電子控制器,并保存軟件初始和升級版本(集),保護車輛上的軟件版本免受篡改,并能通過標準化的電子通信接口讀取軟件版本,確保升級目的、影響評估、升級涉及的系統與變更參數、升級的功能與變更參數、升級任務信息等升級活動備案信息真實、準確和完整,支持實施升級追溯管理。
(十四)規范 OTA 升級活動備案。企業應當具有規范化實施智能網聯汽車軟件 OTA 升級活動備案能力,加強備案統籌管理。企業應當根據《關于加強智能網聯汽車生產企業及產品準入管理的意見》《關于加強車聯網網絡安全和數據安全工作的通知》等規定,按照汽車軟件在線升級備案關于企業能力、車型功能和升級活動等有關要求,通過汽車軟件在線升級備案系統向工業和信息化部備案;應當根據《關于進一步加強汽車遠程升級(OTA)技術召回監管的通知》規定,按照《關于汽車遠程升級(OTA)技術召回備案的補充通知》要求,通過智能網聯汽車安全大數據云平臺向市場監管總局備案。
附件2:
附件3:
