• Ms. Kim Ngan
    +84938643353
Skype
Facebook
  • Trang chủ
  • Giới Thiệu
  • TƯ VẤN - ĐÀO TẠO
  • TIN TỨC
  • SỰ KIỆN
  • TIN TỨC NỔI BẬT
  • Khách hàng
  • Liên hệ
    • English Vietnamese

ISO 24089:2023 Công bố chính thức. Tất cả thông tin tại đây (Cập nhật: tháng 2 năm 2023)

Với việc ngày càng cập nhật phần mềm, ISO 24089 sẵn sàng trợ giúp thiết lập hệ thống quản lý cập nhật phần mềm (SUMS) và áp dụng kỹ thuật cập nhật phần mềm trong suốt vòng đời của phương tiện nhằm nâng cao chất lượng phần mềm, an ninh mạng và an toàn. Tiêu chuẩn mới được công bố cung cấp tiêu chuẩn hóa các bản cập nhật phần mềm ở cấp độ toàn cầu. Ngoài ISO 24089, Quy định số 156 của Liên hợp quốc (dưới dạng quy định UNECE-WP.29) đã thiết lập một cách tiếp cận thống nhất hơn đối với các yêu cầu xung quanh việc cập nhật phần mềm với Hệ thống quản lý cập nhật phần mềm (SUMS). Chúng tôi cung cấp một cái nhìn tổng quan trong bài viết sau.

 

Cách đây vài thập kỷ, khi ô tô chỉ thuần túy cơ khí, việc sửa chữa các hư hỏng hoặc thực hiện các thay đổi, nâng cấp chỉ có thể thực hiện được tại xưởng. Bây giờ hãy so sánh điều đó với các phương tiện ngày nay. Ngày nay, việc nâng cấp có thể được thực hiện thông qua cập nhật phần mềm hoàn toàn từ xa và nhanh chóng mà không cần sự tham gia của thợ máy.

Tất cả những khả năng này đều có thể thực hiện được nhờ việc tăng cường sử dụng các bộ điều khiển điện tử, điều này trực tiếp làm tăng độ phức tạp của phần mềm trên xe.

Tăng cường khả năng kết nối, dịch vụ trong xe, chức năng, tính năng,cách,và chức năng phân phối phần mềm đóng một vai trò ở đây.

Không có gì ngạc nhiên khi để tăng cường khả năng và cho phép nâng cấp, các bản cập nhật phần mềm thường được thực hiện. Tuy nhiên, trong nhiều năm, các bản cập nhật phần mềm không được kiểm soát, dẫn đến số lượng lỗi và sự cố ngày càng tăng. May mắn thay, điều này sẽ thay đổi với các tiêu chuẩn và quy định mới.

Tóm tắt ISO 24089 là gì?

ISO 24089 được coi là tiêu chuẩn tiên tiến và do đó là điểm tham chiếu cho các bản cập nhật phần mềm trong ngành công nghiệp ô tô trên toàn cầu. Lần đầu tiên, tiêu chuẩn này đặt ra những kỳ vọng xung quanh tài liệu cập nhật phần mềm. Hơn nữa, tiêu chuẩn này xác định một cách tiếp cận thống nhất để quản lý các bản cập nhật phần mềm. Các yêu cầu và khuyến nghị được quy định áp dụng cho phương tiện, hệ thống phương tiện, bộ phận linh kiện điện tử (ECU) cũng như việc lắp ráp và triển khai các gói cập nhật phần mềm sau quá trình phát triển ban đầu. Nó đóng một vai trò quan trọng trong các tổ chức liên quan đến kỹ thuật cập nhật phần mềm cho các phương tiện giao thông đường bộ cho phép cập nhật phần mềm, chẳng hạn như nhà sản xuất ô tô, nhà cung cấp cũng như các công ty con hoặc đối tác của họ.

Tại sao ISO 24089 lại cần thiết cho ngành ô tô?

Xét về tuổi thọ của một chiếc xe là khoảng 10 năm hoặc lâu hơn, một phương tiện lái xe cần phải cập nhật nhiều lần trong một khoảng thời gian dài để đảm bảo an ninh mạng. So với những thập kỷ trước, việc tăng cường vận hành phương tiện, thực hiện bảo trì và cập nhật từ xa là một cơ hội và cải tiến lớn.

Thoạt nhìn, đây có vẻ là một cách hiệu quả để bổ sung các khả năng mới, tính năng ứng dụng mới trên xe và triển khai các bản sửa lỗi quan trọng.

Tuy nhiên, mặc dù những bản cập nhật này rất cần thiết để cung cấp các bản vá bảo mật nhưng chúng cũng là một thách thức lớn đối với ngành.

Giống như ô tô có thể bị tấn công trước khi có kết nối, phương tiện ngày nay có thể bị tấn công thông qua một trong hàng trăm ECU, lỗ hổng trên ứng dụng của điện thoại thông minh được kết nối, mạng truyền thông, v.v.

Do khả năng kết nối ngày càng tăng, ô tô giờ đây dễ bị tổn thương hơn bao giờ hết.

Để làm cho vấn đề trở nên phức tạp hơn trong ngành công nghiệp ô tô, mặc dù đã có một số phương pháp xác minh các bản cập nhật phần mềm trong quá trình xác minh và xác thực ở giai đoạn phát triển, nhưng không có phương pháp thực hành tốt nhất được tiêu chuẩn hóa chính thức nào để xác minh các bản cập nhật phần mềm.

Mặc dù các OEM có thể đã có sẵn các phương pháp để xác nhận các bản cập nhật phần mềm, nhưng việc xác minh tất cả các thành phần bổ sung do nhà cung cấp sản xuất ban đầu có thể bị thất lạc trong chuỗi cung ứng phức tạp. Hơn nữa, vì ô tô ngày nay có hơn một trăm ECU nên việc xác minh các bản cập nhật phần mềm an toàn cho từng chiếc vẫn là một thách thức.

ISO 24089 đã được ban hành chính thức chưa?

Kể từ đầu tháng 2 năm 2023, ISO 24089:2023 Phương tiện giao thông đường bộ – Kỹ thuật cập nhật phần mềm đã chính thức được xuất bản và có thể mua được. Phiên bản trước đó là ISO 24089 trong phiên bản FDIS.

ISO 24089 và Quy định số 156 của Liên Hợp Quốc sẽ chuẩn hóa các bản cập nhật phần mềm như thế nào

Chúng ta không thể nói về ISO 24089 mà không đề cập đến Quy định số 156 của Liên hợp quốc. Cả Quy định số 156 và ISO 24089 của Liên hợp quốc đều đưa ra các yêu cầu về tiêu chuẩn hóa cách quản lý các bản cập nhật phần mềm trong khi vẫn đảm bảo an ninh mạng và an toàn, đây là những vấn đề cốt lõi của những cập nhật này cùng với các quy trình liên quan.

Ra mắt bộ tiêu chuẩn ngành ISO 24089:2023 Công bố chính thức "Phương tiện giao thông đường bộ - Kỹ thuật cập nhật phần mềm"  được thiết lập để thay đổi việc quản lý các bản cập nhật phần mềm và hướng tới một cách tiếp cận thống nhất để quản lý các yêu cầu.

Song song đó, Quy định an toàn chung (GSR) của Liên minh Châu Âu yêu cầu phải tuân thủ Quy định số 156 của Liên hợp quốc để phê duyệt kiểu loại phương tiện cho tất cả các quốc gia thành viên UNECE. Quy định số 156 của Liên Hợp Quốc quy định việc quản lý và ghi lại các bản cập nhật phần mềm là bắt buộc đối với phương tiện. Điều này sẽ được quản lý và ghi lại thông qua Hệ thống quản lý cập nhật phần mềm (SUMS) được chứng nhận. Quy định số 156 của Liên hợp quốc mô tả SUMS là cách tiếp cận có hệ thống xác định các quy trình và thủ tục của tổ chức nhằm tuân thủ các yêu cầu cung cấp các bản cập nhật phần mềm. Các yêu cầu này bao gồm các hệ thống và bộ phận liên quan đến phê duyệt kiểu cũng như các chức năng liên quan đến an toàn và vận hành liên tục.

Theo Quy định số 156 của Liên hợp quốc, các nhà sản xuất phải đánh giá và gia hạn SUMS được chứng nhận ít nhất ba năm một lần.

Sự khác biệt giữa ISO 24089 và Quy định số 156 của Liên Hợp Quốc là gì?

Điểm khác biệt chính giữa hai loại này là UN R156 là một quy định trong khi ISO 24089 là một tiêu chuẩn do ngành xác định. Điều này có nghĩa là UN R156 là bắt buộc đối với tất cả các phương tiện được bán ở các quốc gia thành viên UNECE trong khi ISO 24089 cung cấp các thông lệ công nghiệp tiên tiến nhất.

Hơn nữa, UN R156 chỉ đề cập đến việc tuân thủ của các OEM trong khi ISO 24089 có thể được OEM hoặc nhà cung cấp trong chuỗi cung ứng áp dụng. Có thể thấy điều này qua ví dụ về UN R155 và ISO/SAE 21434 về an ninh mạng, trong đó UN R155 được các OEM áp dụng và tiêu chuẩn này được các OEM yêu cầu từ các nhà cung cấp và nhà cung cấp phụ của họ, trong chuỗi giá trị.

Các OEM sẽ yêu cầu các nhà cung cấp của họ phải tuân thủ ISO 24089 để chứng minh sự tuân thủ của họ với UN R156.

Các OEM cũng cần hiểu rằng việc không tuân thủ R156 của UN có thể dẫn đến các hình phạt như lệnh cấm bán xe ở khoảng 64 quốc gia thành viên UNECE. Mặc dù không tuân thủ tiêu chuẩn ISO 24089, không có hình phạt nào được áp dụng nhưng việc tuân thủ sẽ hỗ trợ trong các vấn đề như trường hợp trách nhiệm pháp lý. Hơn nữa, ISO 24089 không có các hạn chế về mặt pháp lý vì bất kỳ tổ chức nào ở bất kỳ đâu cũng có thể chọn tuân thủ tiêu chuẩn.

Tuy nhiên, phải lưu ý rằng khả năng áp dụng SUMS chỉ phù hợp nếu công ty hỗ trợ cập nhật phần mềm, điều này cũng có thể bao gồm cả việc thay thế phần cứng.

Một điểm khác biệt nữa là phạm vi của UN R156 áp dụng cho các loại phương tiện cụ thể là M, N, O, R, S và T như được định nghĩa trong Nghị quyết tổng hợp về xây dựng phương tiện; cho phép cập nhật phần mềm. ISO 24089 cung cấp phạm vi chung bao gồm các phương tiện giao thông đường bộ có phần mềm có thể được cập nhật.

Liên quan đến luật trách nhiệm pháp lý đối với sản phẩm, với việc triển khai tiêu chuẩn ISO 24089, có thể chứng minh rằng việc thiết kế và triển khai các quy trình tuân theo các yêu cầu đối với một SUMS phù hợp, điều này cũng hỗ trợ bằng chứng cho thấy OEM đang tuân thủ các yêu cầu từ LHQ R156.

Tuy nhiên, việc tuân thủ tiêu chuẩn không tự động có nghĩa là công ty tuân thủ quy định và ngược lại.

Cũng cần lưu ý rằng OEM đang được yêu cầu kiểm tra và chứng nhận chính thức SUMS theo các yêu cầu của UN R156 và ISO 24089.

Với quy định UN R156, việc kiểm tra hoặc đánh giá để xác định xem một tổ chức có đáp ứng các yêu cầu hay không chỉ được thực hiện bởi cơ quan phê duyệt hoặc dịch vụ kỹ thuật. Chứng nhận SUMS tuân theo cách tiếp cận tương tự như chứng nhận CSMS theo UNR155.

Dịch vụ Kỹ thuật (chẳng hạn như TÜV hoặc DEKRA) thực hiện việc kiểm tra. Một báo cáo kiểm toán được chuẩn bị và giao cho Cơ quan phê duyệt (ví dụ: Kraftfahrtbundesamt KBA của Đức) để phê duyệt kiểm toán. 

Bằng cách này, Cơ quan phê duyệt có thể cấp Giấy chứng nhận tuân thủ (CoC) (sau khi Dịch vụ kỹ thuật kiểm tra)

Đối với ISO 24089, một tổ chức sẽ phải trải qua quy trình chứng nhận tương tự như các tiêu chuẩn ISO khác. Điều này sẽ liên quan đến việc thu hút tổ chức chứng nhận thực hiện đánh giá và kiểm tra, sau đó cấp chứng chỉ để chứng minh rằng các quy trình SUMS của tổ chức đã được chứng nhận.

Giống như việc chứng nhận theo ISO/SAE 21434 chiếm lĩnh các tổ chức, các tổ chức phát triển cụ thể và các cá nhân làm việc trong lĩnh vực này, có thể giả định rằng việc áp dụng tương ứng với việc tuân thủ theo ISO 24089 cũng sẽ được các OEM nói chung yêu cầu.

Các nhà cung cấp có thể phải hỗ trợ OEM bằng tài liệu hoặc thậm chí cung cấp các bản cập nhật phần mềm và việc này theo cách được quản lý.

ISO 24089 yêu cầu gì? [Bản cập nhật tháng 2 năm 2023]

ISO 24089 không chỉ cung cấp các yêu cầu kỹ thuật liên quan đến cập nhật phần mềm và an ninh mạng trong suốt vòng đời của phương tiện mà còn cung cấp các yêu cầu về tổ chức và thủ tục cho toàn bộ chuỗi cung ứng ô tô. Nói tóm lại, nó nhằm mục đích đảm bảo rằng:

  • Các bản cập nhật phần mềm xe được bảo mật và đến từ các nguồn đã được xác minh
  • Các quy trình và cải tiến liên tục để cập nhật phần mềm được triển khai
  • Tạo nhận thức chung về an toàn và an ninh mạng trong chuỗi cung ứng ô tô

Quan trọng nhất, vì ISO 24089 mô tả các yêu cầu kỹ thuật cho SUMS, OEM và nhà cung cấp phải xác định rõ hơn các quy trình tổ chức, ví dụ: bằng cách xác định thời gian cung cấp các bản cập nhật phần mềm trong một khoảng thời gian nhất định và nó sẽ được cung cấp bởi tổ chức nào.

Với ISO 24089 Phương tiện giao thông đường bộ – Kỹ thuật cập nhật phần mềm , Quy định số 156 của Liên hợp quốc có các yêu cầu tương tự vì cả hai đều yêu cầu cơ chế cập nhật phần mềm an toàn.

Do đó, sự liên kết chi tiết giữa các yêu cầu của ISO 24089 và Quy định số 156 của Liên hợp quốc sẽ là một chủ đề quan trọng. Việc đánh giá các bản cập nhật phần mềm của nhà sản xuất sẽ xác định mức độ tuân thủ Quy định số 156 của Liên hợp quốc và ISO 24089.

ISO 24089 và Quy định số 156 của Liên hợp quốc giống như ISO/SAE 21434 là tiêu chuẩn hỗ trợ việc tuân thủ các yêu cầu của Quy định số 155 của Liên hợp quốc.

Trước đây, chúng tôi đã phục vụ khách hàng trong việc hài hòa hai quan điểm này và thống nhất sự tuân thủ thống nhất với tiêu chuẩn và quy định. Giống như việc đồng bộ hóa và liên kết giữa ISO/SAE 21434 và Quy định số 155 của Liên hợp quốc là một thách thức cần phải giải quyết, lần này sẽ không khác với SUMS.

ISO 24089:2023 bao gồm những gì?

Khi đi sâu hơn vào ISO 24089, chúng ta sẽ thấy các yêu cầu khác nhau sẽ được áp dụng cho quy trình tổ chức, quy trình dự án cập nhật phần mềm, tập hợp cập nhật phần mềm và các hoạt động chiến dịch cập nhật phần mềm.

Những yêu cầu này được bao gồm trong năm loại chính là:

  1. Cấp tổ chức,
  2. cấp dự án,
  3. Cấp độ cơ sở hạ tầng,
  4. Cấp độ xe và hệ thống xe,
  5. Gói cập nhật phần mềm
  6. và cuối cùng là các yêu cầu của chiến dịch cập nhật phần mềm.

Đối với mỗi hạng mục này, đều có những yêu cầu và khuyến nghị chi tiết được nêu ra về những gì dự kiến ​​sẽ được thực hiện. Tiêu chuẩn này mở rộng để chỉ ra những kết quả dự kiến ​​dưới dạng sản phẩm công việc.

Cấp tổ chức

Yêu cầu là cấp độ tổ chức nhằm đảm bảo tổ chức đã thiết lập quản trị cho kỹ thuật cập nhật phần mềm. Quản trị xác định trách nhiệm của tổ chức, việc tuân thủ các tiêu chuẩn, các hoạt động như cải tiến liên tục, chia sẻ thông tin cũng như các quy trình hỗ trợ. Để cung cấp sự đảm bảo rằng các mục tiêu đã được đáp ứng, việc đánh giá phải được thực hiện.

Cấp độ dự án

Chúng bao gồm các hoạt động quản lý dự án cho các dự án cập nhật phần mềm và quản lý thông tin liên quan đến các dự án này. Thông tin có thể bao gồm việc điều chỉnh các dự án đi kèm với lý do hợp lý, khả năng tương tác giữa cơ sở hạ tầng và các chức năng của hệ thống phương tiện cùng với việc duy trì tính toàn vẹn của phần mềm cũng như siêu dữ liệu hoặc gói cập nhật của chúng.

Cấp độ cơ sở hạ tầng

Các yêu cầu về cấp độ cơ sở hạ tầng có tính đến các chức năng được giao cho cơ sở hạ tầng cho các chiến dịch cập nhật phần mềm. Các chức năng này bao gồm phân phối, liên lạc, lưu trữ thông tin và an ninh mạng. Các yêu cầu ở cấp độ này nhằm mục đích quản lý rủi ro an ninh mạng của cơ sở hạ tầng, quản lý thông tin cấu hình phương tiện, truyền đạt thông tin chiến dịch cập nhật phần mềm bên cạnh quy trình phân phối các gói cập nhật phần mềm.

Cấp độ xe và hệ thống xe

Các yêu cầu về cấp độ xe và hệ thống xe thiết lập chức năng trong và dành cho xe hoặc hệ thống xe để hỗ trợ hoạt động cập nhật phần mềm. Chức năng này liên quan đến việc quản lý cả rủi ro về an toàn và an ninh mạng, tạo thông tin cấu hình phương tiện cần thiết, truyền đạt thông tin chiến dịch cập nhật phần mềm, cho phép vận hành cập nhật phần mềm và xác minh các gói cập nhật phần mềm cùng với việc quản lý lỗi trong các chiến dịch cập nhật phần mềm.

Gói cập nhật phần mềm

Yêu cầu về gói cập nhật phần mềm tập trung vào việc tập hợp các gói cập nhật phần mềm, xác minh và xác thực nội dung của gói cập nhật phần mềm cùng với việc xác định các loại phương tiện và hệ thống phương tiện để nhận gói. Sau khi xác minh và xác thực gói cập nhật phần mềm, gói đó sẽ được phê duyệt để phát hành.

Chiến dịch cập nhật phần mềm

Trong các yêu cầu của chiến dịch cập nhật phần mềm, các chiến dịch cập nhật phần mềm được chuẩn bị, thực hiện và hoàn thành. Ở đây, các yêu cầu tập trung hơn nữa vào việc xác định mục tiêu của chiến dịch cập nhật phần mềm, thu thập thông tin cấu hình phương tiện, phân giải mục tiêu đến người nhận, phân phối gói cập nhật phần mềm và truyền đạt thông tin chiến dịch cập nhật phần mềm có liên quan.

Có thể mua ISO 24089:2023 ở đâu?

Hiện tại, tài liệu của tiêu chuẩn có thể được mua ở định dạng PDF/Epub hoặc bản cứng trên trang web chính thức của Tổ chức Tiêu chuẩn Quốc tế và thông qua www.iso.org.

Chuẩn bị sẵn sàng cho ISO 24089

Để giúp đáp ứng các yêu cầu nêu trên một cách tổng thể, chúng ta cũng có thể xem xét các tiêu chuẩn khác như nhưng không giới hạn ở:

  • ISO 26262 khi giải quyết rủi ro về an toàn
  • Bộ tiêu chuẩn ISO/SAE 21434 và ISO/IEC 27000 để quản lý rủi ro an ninh mạng
  • ISO 21448 về an toàn cho chức năng dự định (SOTIF)
  • ISO 10007 và ISO/IEC/IEEE 15288 để quản lý cấu hình
  • IATF 16949, ISO 9001 và ISO/IEC 25000 về quản lý chất lượng

Có thể nói, các chủ đề như quản lý chất lượng, bảo mật thông tin, an toàn chức năng, an ninh mạng có mối liên hệ chặt chẽ với SUMS và một số yêu cầu luôn song hành với nhau.

Cuối cùng, cần có các quy trình tương tác với người dùng phương tiện và cung cấp nhân sự có tay nghề cao trong các trường hợp cập nhật cụ thể qua mạng cũng như tài liệu kỹ lưỡng để đảm bảo rằng việc cập nhật phần mềm phương tiện được tiến hành theo yêu cầu.

Bây giờ là thời điểm tốt để tất cả các bên liên quan bắt đầu đối thoại giữa OEM và nhà cung cấp để đảm bảo các bản cập nhật phần mềm tuân thủ các quy định như Quy định số 156 của Liên hợp quốc cũng như tiêu chuẩn quốc tế ISO 24089 cũng như các tiêu chuẩn liên quan đến ô tô khác.

Với bất kỳ các thông tin thêm cần hỗ trợ?

Liên hệ hotline +84938643353 (Ms. Kim Ngân), mail [email protected], [email protected] để được hỗ trợ!