GB 44496不是简单地在原有的测试清单上增加几个检查项,它改变的是整个软件升级这件事的运行规则——从你内部怎么管理、到车端怎么执行、到每次推送之前要经过什么流程,全部被纳入了监管框架。
GB 44496管的是软件升级的全过程。它不只关心升级本身安不安全,还关心你在做升级这件事的时候有没有一套完整的机制来保证每一次操作都是可控的、可追溯的、不会把车搞出问题。
GB 44496是给房子定了一套**和**的管理规定:谁有资格来修、修之前要通知住户什么、修的过程中如果出了问题怎么恢复、修完之后要留下哪些记录。
所以如果你的车不具备软件升级能力——既没有OTA也没有任何形式的远程或离线升级通道——那理论上GB 44496对你不产生直接约束。但在2026年的市场环境下,不带升级功能的新车型几乎不存在。
二、它对标的是UN R156,但比R156更严
GB 44496的核心框架参考了联合国技术法规UN R156(《关于批准车辆软件升级和软件升级管理体系的统一规定》)。R156是全球范围内第一个针对汽车软件升级的国际性法规,2021年生效。
两者在整体结构上是一致的:都要求企业建立一套软件升级管理体系(SUMS),都要求车辆本身满足一系列安全技术要求,都需要通过型式认证才能合法上市。
但GB 44496在R156的基础上做了相当大幅度的加码。这不是简单的"翻译+本土化",而是在多个关键环节上提高了要求。了解这些差异对你理解标准的实质很有帮助。
1.用户知情权和确认权:R156允许静默升级,也就是在满足一定条件下可以不经过用户的显式同意就完成更新。但GB 44496彻底禁止了这种做法。每一次在线升级,必须在开始之前明确告知用户升级的内容是什么、可能带来什么影响和风险,并且必须获得用户的主动确认才能继续。这对很多原本设计成"夜间自动后台更新"的车企来说意味着HMI交互逻辑需要重新调整。
2.升级失败的处理方式:R156对失败后的状态没有强制要求必须回到原来的版本。但GB 44496明确要求:升级一旦失败,必须能够完整回滚至升级前的版本,并且车辆应进入一种安全的应急模式。这意味着你不能接受"升级失败后卡在中间某个状态等下次再试"的设计方案,回滚能力是硬性要求。
3.型式认证关联评估:这是GB 44496的一个独有要求。每一次软件升级发布之前,企业必须评估这次升级会不会影响到已经通过型式认证的各项参数——排放是否变化、制动性能有没有受影响、安全气囊的触发逻辑改没改等等——并形成书面报告存档。R156只原则性地提了一句要注意这个问题,GB 44496则把它变成了每次升级前的固定动作。
4.记录保存期限:R156没有明确规定记录要保留多久。GB 44496明确要求相关电子化记录需保存至该车型停止生产后至少10年。这对企业的IT系统和数据管理能力提出了实实在在的要求,用Excel手动跟踪的方式已经无法满足审计需求了。
5.车门防锁止:这是一个中国特有的条款。GB 44496要求在软件升级过程中禁止车门锁止功能生效。原因是考虑到乘员在车内时的逃生安全——万一升级过程中出现紧急情况,人必须能打开车门离开。R156里完全没有这一条。
6.试验方法:R156本身只给出了要求,没有说明怎么测。GB 44496专门写了第6章试验方法,给出了纲领性的验证指南,包括怎么验证升级包的完整性、怎么验证RXSWIN(软件识别号)读取与防篡改、怎么验证用户告知确认流程、怎么做中断恢复和回滚测试等。这让检测机构和企业都有了明确的操作依据。
综合来看,第4章管理体系部分的内容量相比R156扩大了近3倍。这不是夸张的说法,而是实际文本量的对比结果。
三、GB 44496标准的正式结构和每部分管什么
GB 44496-2024的全文结构大致分为以下几个部分:
适用范围是具备软件升级功能的M类、N类及至少装有1个ECU的O类车辆。注意这里说的是"具备软件升级功能",如果一个车型从硬件到软件都不支持任何形式的升级,那就不在这个标准的约束范围之内。但正如前面提到的,这样的车型在今天几乎不会作为新车型去申请公告。
管理体系要求是第4章的内容。这部分规定了企业在组织层面应该建立什么样的制度和流程来管理软件升级的全生命周期。包括一般性的组织要求(谁负责、有什么权限)、过程要求(从需求评审到发布后监控的完整流程应该是什么样的)、文件和记录要求(需要形成哪些书面材料、保留多久)。2025年底发布的第1号修改单将"软件升级管理体系"调整为"软件升级保障要求",审核重心进一步向整车层面的技术保障能力倾斜,不再单纯强调体系文件的完备性。
车辆技术要求是第5章,也是和实车直接相关的核心部分。具体包括几个大的方面:
·用户告知与确认。前面已经提到过,每次在线升级前必须告知并获得用户确认。这里的具体要求还包括告知内容的完整性和准确性——不能笼统地说"系统升级",而要让用户知道具体升级了什么东西。
·版本号识别。车辆必须能够通过标准化的诊断接口读取当前安装的软件版本信息,并且这个信息必须是唯一的、不可伪造的。这就是常说的RXSWIN(软件识别号)的要求。
·升级包的安全保护。包括完整性校验(确保传输过程中没有被篡改)、真实性验证(确认来源可信)、以及防重放攻击(防止旧的升级包被重复使用)。
·先决条件检查。车辆在进行升级之前必须自行检查是否满足升级的基本条件——电量够不够、网络是否稳定、车辆是否处于适合升级的状态(行驶中还是驻车)。
·电量保障。标准对SOC阈值做了明确要求,电量不足时要么暂停升级要么拒绝启动,中断后要有明确的恢复或回滚策略。
·升级失败处理。前面也提到了,失败必须能完整回滚。
除了以上这些,还有升级过程中的特殊状态处理、应急模式要求等内容。
试验方法是第6章。如前所述,这是R156没有的部分。第6章给出了检测机构在实际操作中如何验证上述各项要求的方**指导。虽然具体的测试细则还会由各检测机构根据自己的设备条件和技术能力来细化,但第6章为全行业的测试一致性奠定了基础。
同一型式判定是第9章。逻辑和GB 44495类似:什么样的变更属于同一型式不需要重新认证、什么样的变更需要重新走流程。
四、它和你的OTA是什么关系?
这是企业最常问的问题之一。"我们已经有OTA系统了,是不是只要再加几项测试就能过?"
**是:取决于你现有的OTA系统在设计之初有没有把这些合规要素考虑进去。
如果你的OTA平台是在最近一两年内新建的,且架构设计时已经参照了UNECE R156或ISO/SAE 21434等国际规范,那么差距可能主要集中在一些本地化的细节调整上。比如用户确认弹窗的文案和交互流程是否符合要求、回滚机制的实现是否足够可靠、记录系统能否支撑10年以上的追溯查询。
但如果你的OTA系统是比较早期搭建的、或者是从消费电子领域移植过来的方案,那要做的事情就远不止"加几项测试"。可能涉及到的改动包括:
·架构层面,需要在现有的推送链路中嵌入**验签环节,在TSP云端建立完整的密钥管理和升级包生成-验证流水线,在车端增加或强化安全启动链以防止未授权固件加载。
·流程层面,需要建立从升级需求提出→安全评估→型式认证影响分析→测试验证→审**布→发布后监控的完整闭环流程,并且每个环节都有对应的文档输出和责任人。
·数据层面,需要建设或改造现有的记录系统以满足长期留存和快速检索的需求。这不是简单地多存几张表的问题,而是要考虑数据的结构化程度、备份策略、访问权限控制以及在审计场景下的导出和呈现方式。
·还有一个容易被忽略的点:GB 44496不仅管在线的OTA升级,也覆盖离线升级的场景(比如通过USB或诊断接口进行的软件刷写)。有些企业觉得"我先把OTA这块搞定就行,离线升级用的少可以后面再说"——这种想法是有风险的,因为离线升级同样在标准的管辖范围内。
五、哪些车必须要做?哪些可以豁免?
判断依据很简单:看你的产品是否具备软件升级功能。
具备升级功能的所有M类和N类车辆都在范围内。O类挂车如果有ECU且支持软件升级也需要满足要求。
反过来,以下情况通常被认为不在GB 44496的直接约束范围内:车辆从硬件层面就不支持任何形式的软件更新;车辆虽然装了ECU但这些ECU的固件在生产时一次性写入后终身不可更改。
但这里有一个现实问题需要注意。即使某款车型当前不具备升级能力,如果在后续的产品规划中打算增加这个功能,那么在功能增加的那一刻起就需要符合GB 44496的要求。与其到时候临时抱佛脚,不如在做产品规划的时候就提前把这个因素纳入考量。
六、实施时间线怎么理解
GB 44496-2024于2024年8月23日正式发布,原定的实施日期是2026年1月1日。
2025年12月16日,工信部公示了第1号修改单(报批稿),其中一项重要内容是将新申请型式批准车型的实施时间推迟6个月。按照修改单中"自本文件实施之日起第7个月开始执行"的表述,新的实施节点预计在2026年7月1日左右。(注:截至本文写作时,修改单仍处于征求意见阶段,尚未正式发布生效。最终的实施日期请以官方公告为准。)
延期的主要背景是行业整体的准备进度参差不齐。一方面部分中小车企在信息安全领域的积累相对薄弱,短时间内难以建立起符合要求的体系和能力;另一方面检测机构的资质准备和测试能力的完善也需要一定的时间周期。延期给了行业半年的缓冲期,但对于还没有实质性启动的企业来说,半年其实并不宽裕。
蓝亚技术深耕汽车信息安全与软件升级合规领域多年,具备GB 44496和GB 44495双标准的全流程技术服务能力。从体系搭建、差距分析、预测试到正式认证代理,我们可以提供一站式的解决方案。如需进一步沟通,可联系蓝亚技术检测认证机构顾问:13632500972(Benson)。