R155 不直接审核手机 App、云端环境本身,但必须审核车 - 云 - 手机整个链路对车辆安全的影响,OEM 负全责。
一、法规原文明确边界
UN R155 是车辆型式认证法规 ,直接认证对象仅限:车端软硬件 + 整车厂 CSMS 体系,不把手机 App、云平台当作独立认证单元EUR-Lex。
1. 直接强制审核范围(必须过审)
- 车辆电子电气系统、ECU、车载软件
- 车端通信接口(蜂窝、Wi‑Fi、蓝牙、UDS、OTA、CAN/CAN FD 等)
- 整车网络安全架构、防护、漏洞响应
- 整车厂CSMS 网络安全管理体系(全生命周期)
- 与车辆安全相关的供应商、依赖项、数据链路EUR-Lex
2. 不直接发证审核,但必须纳入管控
- 云端:车 - 云通信、身份认证、加密、OTA 服务器、日志监测
- 手机端 App:控车、钥匙、远程操作、账号权限、数据接口
- 车 - 云 - App 整条链路的风险、脆弱性、应急响应
二、云与手机必须管(R155 强制逻辑)
R155 第 7.2.2.4/7.2.2.5 条明确要求:
- 持续监测威胁,包含车辆上线后的车云数据与日志EUR-Lex
- 管理供应商 / 服务提供商依赖风险,证明链路安全可控EUR-Lex
- 任何能影响车辆安全的入口(云、手机、钥匙)都要做风险评估 + 缓解措施
👉 结论:云与手机不是 R155 直接认证对象,但属于必须审核的关联范围,缺了就过不了整车认证。
三、最简一句话区分
- 直接审核:车端软硬件 + 整车 CSMS
- 间接强管控:云端、手机 App、车云通信链路
- 责任主体:整车厂(OEM),必须证明全链路不危害车辆安全
四、合规实操
- 车端:按 R155 做渗透、漏洞、架构、OTA 安全
- 云端:做等保 / ISO 27001,提供安全评估报告给 OEM
- 手机 App:做渗透、权限、加密、账号安全,提供安全报告
- 链路:端到端加密、双向认证、防重放、防越权控制