智能网联汽车生产企业及产品准入 管理指南（试行） (征求意见稿) 第一条 为加强道路机动车辆生产企业及产品准入管理， m o c . 5 根据《中国人民共和国道路交通安全法》《中华人民共和国网 络安全法》《道路机动车辆生产企业及产品准入管理办法》等规 定，针对申请准入的具备有条件自动驾驶、高度自动驾驶功能的 b u 智能网联汽车生产企业及其产品，制定本指南。 h t i g 第二条 智能网联汽车生产企业应满足企业安全保障能力要 求（见附件 1），针对车辆的软件升级、网络安全、数据安全等 建立管理制度和保障机制，建立健全企业安全监测服务平台，保 证产品质量和生产一致性。 第三条 智能网联汽车生产企业应遵守网络安全法律法规规 定，建立覆盖车辆全生命周期的网络安全防护体系，采取必要的 技术措施和其他必要措施，有效应对网络安全事件，保护车辆及 其联网设施免受攻击、侵入、干扰和破坏。 智能网联汽车生产企业应依法收集、使用和保护个人信息， 实施数据分类分级管理，制定重要数据目录，不得泄露涉及国家 安全的敏感信息。在中华人民共和国境内运营中收集和产生的个 1 人信息和重要数据应当按照有关规定在境内存储。因业务需要， 确需向境外提供的，应向行业主管部门报备。 第四条 智能网联汽车生产企业应明确告知车辆设计运行条 件、人机交互设备指示信息、驾驶员职责、驾驶自动化功能激活 及退出方法、软件升级维护等信息，解决智能网联汽车与传统汽 车在操作、使用等方面可能产生的预期差异问题。 第五条 智能网联汽车产品应明确驾驶自动化功能及其 m o c . 5 设计运行条件。设计运行条件应包括设计运行范围、车辆状 态、驾乘人员状态及其他必要条件；设计运行范围应包括但 不限于道路、交通、电磁环境、天气、光照等。 b u 第六条 智能网联汽车产品应能自动探测驾驶自动化系统失 h t i g 效以及是否持续满足设计运行条件，并能采取风险减缓措施以达 到最小风险状态。在自动驾驶模式下，智能网联汽车应能按照道 路交通安全法律法规及有关部门的相关规定安全行驶。 第七条 智能网联汽车产品应具备人机交互功能，显示驾驶 自动化系统运行状态，具备对驾驶员参与行为的监测能力。在动 态驾驶任务需要驾驶员参与的情况下，应评估驾驶员执行相应驾 驶任务的能力。车辆应能够依法依规合理使用灯光信号、声音等 方式与其他道路使用者进行交互。 第八条 智能网联汽车产品应具有事件数据记录和自动 驾驶数据存储功能，采集和记录的数据至少应包括驾驶自动 化系统运行状态、驾驶员状态、行车环境信息、车辆控制信 2 息等，并应满足相关性能和安全性要求，保证车辆发生事故 时设备记录数据的完整性。 第九条 智能网联汽车产品应满足功能安全、预期功能安全 和网络安全等过程保障要求（见附件 2），以及模拟仿真、封 闭场地、实际道路、网络安全、软件升级和数据存储等测试 要求（见附件 3），避免车辆在设计运行条件内发生可预见且可 预防的安全事故。 m o c . 5 第十条 智能网联汽车生产企业及产品可参考本指南申请准 入。工业和信息化部根据相关规定组织开展准入申请受理、技术 审查、应用评估、监督检查等工作。 b u h t i g 附件： 1. 智能网联汽车生产企业安全保障能力要求 2. 智能网联汽车产品准入过程保障要求 3. 智能网联汽车产品准入测试要求 4. 名词解释 3 附件 1 智能网联汽车生产企业安全保障能力要求 企业应具备专职的功能安全、预期功能安全和网络安全 保障团队，负责产品全生命周期的安全保障工作。具备工业 和信息化部规定条件的企业集团可统一设立安全保障团队。 企业安全保障能力要求包括功能安全及预期功能安全保障要求、 m o c . 5 网络安全保障要求和软件升级管理要求。 一、企业功能安全及预期功能安全保障要求至少包括： （一）企业应满足汽车安全生命周期相关阶段的功能安 b u 全活动流程要求，符合汽车安全完整性等级对应流程的规定， h t i g 避免不合理的风险。 （二）企业应满足功能安全管理要求，符合整体功能安 全管理、产品开发安全管理、安全发布管理等规定。 （三）企业应满足生产、运行和服务阶段的功能安全要 求，符合生产过程能力评估、控制措施、现场观察说明等规 定。 （四）企业应满足支持过程要求，符合开发管理、安全 要求的定义和管理、配置管理、变更管理、验证和确认、文 档管理、软硬件组件鉴定、在用证明等方面的规定。 （五）企业应满足预期功能安全开发接口管理要求，符 合预期功能安全管理职责和角色定义、供应商计划管理等规 4 定。 （六）企业应满足预期功能安全开发流程要求，符合设 计定义、危害识别、功能不足识别、功能改进、验证及确认、 安全发布、运行维护等规定，保障车辆不存在因预期功能的 不足所导致的不合理风险。 二、企业网络安全保障要求至少包括： （一）企业应建立健全网络安全责任制度，确定网络安 m o c . 5 全负责人，落实网络安全保护责任。 （二）在车辆安全生命周期内，企业应当同步规划、同 步建设、同步运行网络安全技术措施。 b u （三）企业应制定网络安全防护制度，定期开展网络安 h t i g 全风险识别、分析和评估，管控生产过程网络安全风险，及 时消除车辆及联网设施重大网络安全隐患。 （四）企业应建立网络安全监测预警机制，采取监测、 记录网络运行状态、网络安全事件的技术措施，并按照规定 留存相关的网络日志不少于 6 个月。 （五）企业应建立网络安全应急响应机制，制定网络安 全应急预案，及时处置安全威胁、网络攻击、网络侵入等安 全风险。 （六）企业应建立产品安全漏洞管理机制，及时修补和 合理修复安全漏洞，指导支持车辆用户采取防范措施。 （七）企业应建立完善数据安全管理制度，实施数据分 5 类分级管理，制定重要数据目录，强化数据访问权限管理和 安全审计；采取有效技术措施，强化数据采集、传输、存储、 使用等安全保护，及时处置数据泄露、滥用等安全事件。 （八）企业应建立车联网卡实名登记制度，如实登记购 车用户身份信息，并会同基础电信企业落实车联网卡实名登 记有关要求。 （九）企业应建立供应链网络安全保障机制，明确供方 m o c . 5 产品和服务网络安全评价标准、验证规范等，确定与供方的 安全协议，协同管控供应链网络安全风险。 （十）企业应制定网络安全审计规范，并对网络安全管 b u 理和技术措施运行、网络安全风险管理和人员安全能力等开 展审计。 h t i g （十一）企业应建立产品售后网络安全管理机制，包括 售后服务、维修、报废阶段的网络安全保障措施。 （十二）企业应在关键流程变更、重特大网络安全事件 发生后，及时更新完善网络安全管理规范、安全机制等。 （十三）企业应依法依规为维护国家安全、开展行业监 管等提供技术支持和协助。 三、企业软件升级管理要求至少包括： （一）企业应建立软件升级管理制度，至少包括软件开 发管理、配置管理、质量管理、变更管理、发布管理、安全 应急响应管理等。 6 （二）企业应制定软件升级从设计、开发、测试、发布、 推送等过程的标准规范，并遵照执行。 （三）企业应能够识别、评估和记录软件升级对产品安 全、环保、节能、防盗相关系统的功能和性能的影响。 （四）企业应对软件升级可能影响的功能和性能进行测 试和验证，确保符合相关法规、标准和技术要求。 （五）企业应能够识别软件升级的目标车辆，评估软件 m o c . 5 升级与目标车辆的适应性，确保软件升级与目标车辆软硬件 配置兼容。 （六）企业应能够唯一识别车辆初始和升级的软件版本， b u 记录与保存软件升级包完整性验证数据以及相关的硬件配 置信息。 h t i g （七）企业应记录与安全保存汽车产品初始软件版本和 历次软件升级相关信息，应能支持汽车产品全生命周期的追 溯需求和监督管理要求。 （八）企业应对 OTA（Over-The-Air，空中下载技术） 升级服务平台采取必要的网络安全防护管理和技术措施，对 升级的软件进行安全检测，保障 OTA 升级安全。 （九）企业应具备软件升级过程管理能力，履行用户告 知义务，记录和保存升级过程相关信息。 7 附件 2 智能网联汽车产品准入过程保障要求 智能网联汽车产品准入过程保障要求包括整车尤其是 驾驶自动化系统的功能安全过程保障要求、驾驶自动化系统 预期功能安全过程保障要求和网络安全过程保障要求。 一、针对驾驶自动化功能的安全风险，整车尤其是驾驶 m o c . 5 自动化系统的功能安全过程保障要求至少包括： （一）应定义驾驶自动化系统的功能概念，包括范围、 要素、运行条件、架构及内外部接口示意图等。 b u （二）应识别可能造成人身安全伤害的整车功能失效， h t i g 建立合理的功能安全场景，针对危害事件分析可控性、严重 性、暴露率等参数，确认合理的汽车安全完整性等级及危害 事件的安全目标。 （三）应按照整车功能安全开发的相关规定进行功能安 全分析，明确功能安全要求。功能安全要求应考虑运行模式、 故障容错时间间隔、安全状态、紧急运行时间间隔等，并分 配给驾驶自动化系统的架构要素或外部措施。 （四）应定义驾驶自动化系统功能安全相关零部件的开 发接口要求，明确角色和责任要求，确保在系统、硬件和软 件各层级满足整车安全要求。 （五）应进行功能安全集成测试，通过基于需求的测试、 8 故障注入测试等方法，确保对整车和驾驶自动化系统的相关 要求得到实施和满足。 （六）应满足功能安全确认要求，通过检查、测试等方 式，确保安全目标在整车层面正确、完整并得到充分实现。 二、驾驶自动化系统预期功能安全过程保障要求至少包 括： （一）应满足预期功能安全规范和设计的要求，识别和 m o c . 5 评估预期功能可能造成的危害，制定合理的风险可接受准则。 （二）应识别和评估潜在功能不足和触发条件（含可合 理预见的人员误用），并应用功能改进等措施减少预期功能 b u 安全相关的风险。 h t i g （三）应定义验证及确认策略，并进行预期功能安全的 验证和确认，评估已知危害场景和未知危害场景下是否符合 产品预期功能安全发布要求，并对发布后产品的预期功能安 全风险进行合理管控。 （四）应定义驾驶自动化系统预期功能安全相关零部件 的接口要求，确保零部件符合对应的预期功能安全设计开发、 验证、确认等规定。 三、智能网联汽车产品网络安全过程保障要求至少包括： （一）应开展网络安全风险评估，包括资产识别、威胁 分析、攻击路径分析、潜在影响评估、风险分类应对措施。 （二）在概念设计阶段，应根据网络安全风险评估结果， 9 明确网络安全目标和