R155对车型型式认证VTA的要求

1.前提条件

2.具体要求

3.审批内容

4.对审批机构的要求

1.前提条件

R155在网络安全方面涵盖了乘用车和商用车的适用范围，包括M类车型、N类车型、至少装备了一个ECU的O类车型，以及具备L3级及以上自动驾驶功能的L6和L7类车型。

车型VTA（Vehicle Type Approval，车辆型式认证）认证的前提条件是主机厂必须先通过CSMS（Cyber Security Management System）网络安全管理体系认证。CSMS是流程体系，而VTA是具体车型的认证，因此有效的CSMS合格证书是进行车型型式认证VTA的前提条件。

2.具体要求

车辆制造商应具有与被批准车辆类型相关的有效网络安全管理系统合规证书。对于2024年7月1日之前的型式批准，如果车辆类型无法按照CSMS进行开发，则车辆制造商应证明在相关车辆类型的开发阶段充分考虑了网络安全。

对于批准的车辆类型，车辆制造商应识别和管理与供应商相关的风险。

车型要素识别与风险评估：

车辆制造商应识别车辆类型的关键要素，并对车辆类型进行详尽的风险评估，并应适当处理/管理已识别的风险。风险评估应考虑车辆类型的各个要素及其相互作用。风险评估应进一步考虑与任何外部系统的相互作用。在评估风险时，车辆制造商应考虑与附件5 A部分中提到的所有威胁相关的风险，以及任何其他相关风险。

风险缓解措施：

车辆制造商应保护车辆类型免受车辆制造商风险评估中识别到的风险，应实施相应的缓解措施以保护车辆类型。实施的缓解措施应包括附件5的B和C部分中提到的与所识别风险相关的所有缓解措施。但是，如果附件5的B或C部分中提到的缓解措施与所识别的风险无关或不足以应对所识别的风险，则车辆制造商应确保实施另一种适当的缓解措施。

对于2024年7月1日之前的型式批准，如果附件5的B或C部分中提到的缓解措施在技术上不可行，车辆制造商应确保实施另一种适当的缓解措施。制造商应向批准机构提供相应的技术可行性评估。

车辆制造商应采取适当和相称的措施，以确保车辆类型（如有）上用于存储和执行售后软件、服务、应用程序或数据的专用环境的安全。

安全措施验证：

车辆制造商应在型式批准之前进行适当和充分的测试，以验证所实施安全措施的有效性。

车辆制造商应针对车辆类型采取措施，以便：

（a）检测和防止针对车辆类型的网络攻击；

（b）支持车辆制造商在检测与车辆类型相关的威胁、漏洞和网络攻击方面的监控能力；

（c）提供数据取证能力，以便分析企图或成功的网络攻击。

为本法规目的使用的密码模块应符合共识标准。如果使用的密码模块不符合共识标准，则车辆制造商应证明其使用的合理性。

报告规定：

车辆制造商应至少每年一次，或更频繁地向批准机构或技术服务部门报告其监测活动（网络攻击、网络威胁、安全漏洞）的结果，这应包括有关新的网络攻击的相关信息。车辆制造商还应向批准机构或技术服务部门报告并确认针对其车辆类型实施的网络安全缓解措施仍然有效。

批准机构或技术服务处应核实车辆制造商所提供的信息，并在必要时要求车辆制造商纠正任何检测到的无效。

3.审批内容

车型VTA认证是进一步针对在车型开发过程中具体工作进行网络安全审查，保证在进行审查认证时车辆的网络安全技术已足够完备。

批准机构或技术服务部门应通过文件检查核实车辆制造商已采取与车辆类型相关的必要措施，以：

（a）通过供应链收集和验证本法规要求的信息，以证明已识别和管理与供应商相关的风险；

（b）记录风险评估（在开发阶段或回顾性地进行）、测试结果和适用于车辆类型的缓解措施，包括支持风险评估的设计信息；

（c）在车辆类型的设计中实施的适当的网络安全措施；

（d）检测和应对可能的网络安全攻击；

（e）记录数据以支持检测网络攻击并提供数据取证能力，以便能够分析企图或成功的网络攻击。

批准机构或技术服务部门应通过对车辆类型的车辆进行测试来验证车辆制造商是否实施了他们记录的网络安全措施。测试应由批准机构或技术服务部门本身或通过抽查与车辆制造商合作进行。抽查应侧重于但不限于风险评估期间评估为高的风险。

如果车辆制造商没有满足第2章中提到的一个或多个要求，则批准机构或技术服务部门应拒绝就网络安全授予型式批准，特别是：

（a）车辆制造商没有进行详尽风险评估；包括制造商没有考虑到附件5的A部分所述的所有风险；

（b）车辆制造商没有保护车辆类型免受车辆制造商风险评估中识别到的风险，或者没有按照第2章的要求实施相应的缓解措；

（c）车辆制造商没有采取适当和相称的措施来确保车辆类型上的用于存储和执行售后软件、服务、应用程序或数据专用环境（如有）的安全。

（d）车辆制造商在批准之前没有进行适当和充分的测试，以核实所实施的安全措施的有效性。

如果认证机构或技术服务部门没有从车辆制造商那里收到足够的信息来评估车辆类型的网络安全，评估认证机构也应拒绝就网络安全授予型式认证。

根据本法规批准、延期或拒绝批准车辆类型的通知应传达给适用本法规的所有1958年协议缔约方。

4.对审批机构的要求

批准机构在未核实制造商已制定令人满意的安排和程序以妥善管理本法规涵盖的网络安全方面之前，不得授予任何型式批准。

审批机关及其技术服务部门应确保：

（a）具备适当网络安全技能和特定汽车风险评估知识的胜任人员；

（b）根据本条例实施统一评价程序。

实施本条例的每一缔约方应通过其审批机关通知其他1958年协议缔约方的审批机关，通知其所采取的方法和标准，以及所采取措施的适当性。

此信息应在首次根据本法规授予批准之前，和每次更新评估方法或标准时共享。

这些信息旨在用于收集和分析最佳实践，并确保所有应用本法规的批准机构的审批标准一致性。

上述信息应以英文及时上传到联合国欧洲经济委员会UN ECE建立的安全互联网数据库“DETA”，上传数据库的时间应不迟于根据有关评估方法和标准首次获得批准前14天。该信息应足以理解批准机构每项具体要求采用的最低性能要求，以及为核实这些最低性能要求得到满足而适用的程序和措施。

收到上述信息的所有审批机关可在通知之日后14天内将意见上传到DETA，向通知审批机关提交意见。

如果授予批准的机关不接受相关意见，已发送意见的批准机关和授予批准机关应根据1958年协定附表6寻求进一步澄清。制定本法规的世界车辆法规协调论坛（WP.29）相关工作组应就评估方法和标准的共同解释达成一致。该共同解释应得到实施，所有批准机关应相应地根据本法规颁发型式批准。

根据本法规授予型式批准的每个批准机构应将授予的批准通知其他批准机构。型式批准连同补充留档应由批准机构在授予DETA批准之日起14天内以英语上传。

本法规的缔约各方可根据根据上传的信息研究批准。如果缔约方之间有任何不同意见，应根据1958年协定第10条和附表6解决。缔约方还应将1958年协定附表6含义内的不同解释通知世界车辆法规协调论坛（WP.29）相关工作组。相关工作组应支持解决不同意见，并可在必要时就此与WP.29协商。