DB50∕T 1780-2025 智能网联汽车软件升级功能性能安全要求及测试方法

ICS43.020

CCST40

50

重庆市地方标准

DB50/T1780—2025

智能网联汽车软件在线升级功能性能

安全要求及测试方法

2025-03-24发布2025-06-24实施

重庆市市场监督管理局 发布

DB50/T1780—2025

目次

前言.......................................................................................................................................................................II

1范围.....................................................................................................................................................................1

2规范性引用文件.................................................................................................................................................1

3术语和定义.........................................................................................................................................................1

4缩略语.................................................................................................................................................................2

5升级流程.............................................................................................................................................................2

6功能要求.............................................................................................................................................................2

7性能要求.............................................................................................................................................................3

8安全要求.............................................................................................................................................................4

9试验方法.............................................................................................................................................................4

I

DB50/T1780—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由重庆市经济和信息化委员会提出、归口并组织实施。

本文件起草单位：中国汽车工程研究院股份有限公司、中汽院（江苏）汽车工程研究院有限公司、

深蓝汽车科技有限公司、赛力斯集团股份有限公司、重庆大学、庆铃汽车股份有限公司、鑫源汽车有限

公司、重庆长安跨越车辆有限公司、重庆工程职业技术学院。

本文件主要起草人：雷剑梅、文海鸥、陈睿、段文栋、全代勇、杨林、陈浩、刘维、韩庆文、曾令

秋、张志刚、秦黎、吴善利、张涌泉、裴智、闵艳、李仁杰、程遥。

II

DB50/T1780—2025

智能网联汽车软件在线升级功能性能安全要求及测试方法

1范围

本文件规定了智能网联汽车软件在线升级的流程要求、功能要求、性能要求、安全要求和试验方法。

本文件适用具备软件升级功能的M类、N类和O类汽车。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。其中，注日期的引用文件，仅该日期对应的版本适用于

本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T19596—2017电动汽车术语

GB/T25069—2022信息安全技术术语

GB44495—2024汽车整车信息安全技术要求

GB44496—2024汽车软件升级通用技术要求

3术语和定义

GB/T19596—2017、GB/T25069—2022、GB44495—2024、GB44496—2024界定的以及下列术

语和定义适用于本文件。

3.1

软件下载softwaredownload

将软件从一个计算机系统（例如后台服务器）复制到另一个计算机系统（例如车辆）的过程。

3.2

回滚rollback

将车辆内的固件、软件或数据恢复到上一次或更早的正确状态的过程。

4缩略语

下列缩略语适用于本文件。

ECU：电子控制单元（ElectronicControlUnit）

WLAN：无线局域网（WirelessLocalAreaNetworks）

TLS：传输层安全协议（TransportLayerSecurity）

CATC：全国标准行驶循环工况（ChinaAutomotiveTestingCycle）

IP：网际互联协议（InternetProtocol）

ID：身份标识号（IdentityDocument）

CAN：控制器局域网络（ControllerAreaNetwork）

5在线升级流程要求

1

DB50/T1780—2025

升级任务下发后，车端执行在线升级流程包括以下三个阶段，流程见图1：

a)升级前，应关注软件升级启动前的准备工作，包括升级包的下载和车辆状态检测等；

b)升级中，应关注软件升级中的升级进度监测、升级异常处理等；

c)升级后，应关注软件升级后车辆升级结果通知、升级信息同步等。

图1在线升级流程

6功能要求

6.1一般要求

在线升级功能应具备车辆状态检测功能、升级包下载功能、升级执行功能和必要的人机交互功能。

6.2车辆状态检测功能

6.2.1应检测存储空间大小是否满足升级包的下载、安装及恢复功能的执行。

6.2.2应检测车辆状态，如车辆的行驶状态，确保软件下载和升级过程顺利进行。

6.2.3应检测离线升级工具的接入。

6.2.4应识别行驶的过程中执行升级可能造成的安全风险。

6.2.5应检测待升级部件的软硬件环境，确保软件升级的兼容性。

6.3升级包下载功能

6.3.1在下载升级包过程中宜不限制车辆的位置和行驶功能。

6.3.2宜支持通过多种通讯方式对软件升级包进行下载。

6.3.3对下载网络环境进行检测，如通讯方式需车辆用户付费，应明确告知并征求车辆用户同意。

6.3.4应支持断点续传方式对升级包进行下载。

6.4升级执行功能

6.4.1在升级执行过程中，应不允许任何可能影响到升级成功的功能执行。

6.4.2在升级执行时应检测车辆制造商定义的先决条件是否满足要求。

6.4.3在升级执行时应检测车辆是否有足够电量完成在线升级。

6.4.4应支持在安装执行前被车辆用户取消升级。

6.4.5应具备升级失败的处理机制。

6.4.6应具备信息记录功能，包括记录车辆信息、初始和更新的软件版本信息以及升级结果等。

6.4.7应具备软件版本/软件识别码更新与读取功能。

6.4.8应具备限制在行驶过程中执行升级相关的人机交互功能。

2

DB50/T1780—2025

6.4.9应将升级成功后的更新组件、版本、时间等信息同步到后台服务器。

6.4.10若升级安装具备重试机制，重试次数宜不大于5次。重试升级失败后，拒绝升级重试，系统恢

复到最近一次完整的版本。

6.5人机交互功能

6.5.1在升级包下载过程中，应通过人机交互功能显示升级包下载过程，如进度提示、异常信息反馈

（中断、存储空间不足）。

6.5.2在执行在线升级前，应告知车辆用户有关在线升级的信息，至少应包括：

a)目的（例如，在线升级的重要性，以及是否与召回、安全等有关）；

b)对于车辆功能的任何更改；

c)完成在线升级的预期时长；

d)执行在线升级期间任何可能无法使用的车辆功能；

e)有助于安全执行在线升级的任何说明。

6.5.3应提示车辆是否满足先决条件。

6.5.4在执行在线升级前，应通过人机交互功能得到车辆用户的确认。

6.5.5在执行在线升级后，车辆应：

a)告知车辆用户在线升级的结果（成功或失败）；

b)若成功，告知车辆用户实施更新，并及时更新车载电子版机动车产品使用说明书（如有）；

c)若失败，告知车辆用户处理建议。

7性能要求

7.1云端性能要求

以确保软件在线升级服务平台支持不少于1000台车辆终端的并发连接，能够同时处理并发的升级请

求和数据处理任务。

7.2通信通道性能要求

宜确保软件在线升级服务平台和车辆终端的通信网络带宽不小于1Gbps，以支持大规模数据传输，

确保升级包能够快速传输到终端设备。

7.3升级端性能要求

7.3.1宜确保车载软件升级系统采用500K及以上的波特率分发升级包。

7.3.2应确保车辆终端人机交互系统具备高稳定性，能够在升级过程中保持正常运行，避免死机和黑

屏。

8安全要求

8.1云端安全要求

8.1.1应对软件在线升级服务平台建立通信对象的身份真实性验证机制。

8.1.2应对软件在线升级服务平台建立访问控制机制。

8.1.3应对软件在线升级服务平台用户凭据建立安全机制。

8.1.4应对软件在线升级服务平台数据处理活动建立安全机制。

3

DB50/T1780—2025

8.1.5应对软件在线升级服务平台会话建立安全机制。

8.1.6应对软件在线升级服务平台相关日志建立安全机制。

8.2通信通道安全要求

8.2.1应采用加密会话通道确保通信通道安全，如TLS1.2及以上协议。

注：TLS协议是一种用于在互联网上安全传输数据的协议，全称传输层安全协议。

8.2.2宜采用远程服务器通信的双向认证机制确保通信通道的安全。

8.2.3应采用完整性的保护机制保护通信通道安全。

8.3升级端安全要求

8.3.1应具备用户身份鉴别能力，鉴别通过后才可启动升级方式，包括立即升级、延后升级等。

8.3.2应具备升级包的真实性和完整性校验能力。

8.3.3应具备软件版本/软件识别码防篡改功能。

8.3.4应具备车辆通信通道遭受抵御拒绝服务攻击的能力。

8.3.5车载软件升级系统应通过安全保护机制，保护车载软件升级系统的可信根、引导加载程序、系

统固件不被篡改，或在被篡改后，通过安全保护机制使其无法正常启动。

8.3.6车载软件升级系统应不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞。

8.4升级包安全要求

8.4.1应确保升级包没有隐藏调试接口。

8.4.2应确保升级包使用的组件不存在已公开安全漏洞。

9试验方法

9.1一般要求测试

9.1.1测试条件

9.1.1.1测试环境要求

测试环境应满足以下要求：

a)若测试车辆在测试过程中速度大于0km/h或测试车辆可能发生非预期启动，应将测试车辆置

于整车转毂试验台或保证车辆安全运行的道路环境中开展测试；

b)应保障通信的信道强度。

9.1.1.2测试状态要求

测试状态应满足以下要求：

a)车辆应正常使用和维护保养。车辆与软件升级相关的功能均能正常工作，未有影响软件升级相

关装置正常工作的报警或故障，如：车辆人机交互界面故障或车辆的升级ECU故障。车辆与软

件升级安全相关功能处于开启状态；

b)车辆随车配备升级工具或者升级服务平台，能够触发车辆的升级并完成整个升级过程。要求在

正式测试开始之前，测试车辆应随车配备升级的介绍并在开始升级前完成整个升级过程的演示。

9.1.2车辆状态测试

4

DB50/T1780—2025

9.1.2.1检测存储空间测试

测试人员应按照如下的测试方法，检测测试车辆是否满足6.2.1的要求：

a)在软件升级系统能正常启动升级交互工况下，准备常规增量的数据安装包，检查车辆反馈的资

源计算情况，反馈情况可通过服务器平台信息或车辆的日志进行查看；

b)由测试人员规定3个下发升级包的大小，分别是极小〔步骤a）的1/2的升级包〕、普通〔步骤

a）的升级包〕、极大〔超过软件升级系统设定容纳大小〕的升级包；

c)查看步骤b）反馈的车辆计算资源检查情况，查看提示是否正确。

9.1.2.2检测车辆状态测试

测试人员应按照如下的测试方法，检测测试车辆是否满足6.2.2的要求：

a)在软件升级系统正常启动车辆升级工况下，确认车辆状态的获取方式；

b)分别在车辆多工况（CATC低速工况、CATC中速工况、CATC高速工况）、车辆怠速、车辆上电三

种状态下进行软件升级和升级包下载操作，按照a）的步骤查看车辆的状态反馈，是否能检测

到车辆状态。

9.1.2.3检测离线升级工具接入测试

测试人员应按照如下的测试方法，检测测试车辆是否满足6.2.3的要求：

a)软件升级系统在执行在线升级前接入离线升级工具，查看系统是否能检测到离线升级工具的接

入，在离线升级工具接入的状态下是否能执行在线升级；

b)软件升级系统在执行升级过程中接入离线升级工具，查看系统是否拒绝离线升级工具的接入，

在线升级过程是否会被打断。

9.1.2.4行驶风险识别测试

由软件升级系统构造影响车辆行驶安全的升级包，使车辆处于行驶过程中，执行升级，查看车辆对

于风险的识别方式和识别日志，测试车辆是否满足6.2.4的要求。

9.1.2.5升级软硬件环境测试

触发软件升级流程，查看日志或者服务器的信息日志，测试车辆是否满足6.2.5的要求。

9.1.3升级包下载功能检测

9.1.3.1升级包下载对车辆安全影响测试

测试人员应依据车辆制造商提供的不影响车辆安全的软件升级包和影响车辆安全的软件升级包，按

照如下的测试方法，检测测试车辆是否满足6.3.1的要求：

a)操作升级系统创建不影响车辆安全的升级任务，在升级包下载过程中尝试驾驶车辆进行多工况

行驶，检查车辆在升级包下载过程中是否能正常使用行驶功能；

b)若升级任务包含影响车辆安全的升级内容，在升级包下载过程中尝试驾驶车辆进行多工况行驶，

检查车辆在升级包下载过程中是否能正常使用行驶功能。

9.1.3.2升级包下载通讯方式测试

逐个切换不同通信方式，触发软件升级包下载，查看测试车辆是否满足6.3.2的要求，通信方式包

括但不限于4G、5G、Wi-Fi。

5

DB50/T1780—2025

9.1.3.3下载网络环境测试

触发软件升级，采用用户需要的通讯方式，查看测试车辆是否满足6.3.3的要求。

9.1.3.4断点续传功能测试

触发正常软件升级的升级包下载，在下载过程中通过断电、断网方式中断升级包下载，查看测试车

辆是否满足6.3.4的要求。

9.1.4升级执行功能测试

9.1.4.1影响升级成功测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足6.4.1的要求：

a)若软件升级系统申报可能影响升级成功的功能，包含但不仅限于重启车辆、车辆行驶、车机重

启等，触发升级，升级过程中逐个执行可能影响升级成功的功能，查看升级是否正常进行；

b)若软件升级系统不申报可能影响到升级的功能，触发升级，要求升级时长在30min以上，升

级过程中执行车辆重启并恢复、车辆原地空转行驶、车机重启、钥匙离车等功能，查看升级是

否正常进行。

9.1.4.2升级先决条件测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足6.4.2的要求：

a)根据车辆制造商提供的先决条件清单使车辆处于满足所有先决条件的状态，执行升级任务，检

查车辆是否执行升级；

b)根据车辆制造商提供的先决条件清单使车辆逐个处于不满足先决条件的状态，尝试执行升级任

务，检查车辆是否执行升级。

9.1.4.3升级电量保障测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足6.4.3的要求：

a)根据车辆制造商提供的先决条件清单操作车辆满足包括电量先决条件在内，执行升级任务，检

查并记录车辆是否执行升级；

b)除电量以外都满足的升级先决条件，执行升级任务，检查并记录车辆是否执行升级。

9.1.4.4用户取消升级功能测试

触发软件升级，进行升级包的下载，升级包下载完成后查看是否有取消本次升级的选项按钮，尝试

本次升级的取消，测试车辆是否满足6.4.4的要求。

9.1.4.5升级失败处理机制测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足6.4.5的要求：

a)升级前查看版本号，触发软件升级，采用技术手段使升级失败，查看车辆的升级情况，查看软

件版本号是否恢复到以前的版本；

b)升级前查看版本号，触发软件升级，在升级过程中采用车辆断电、系统重启方式中断升级，重

新启动车辆，查看车辆的升级情况，查看软件版本号是否恢复到以前的版本。

9.1.4.6车辆信息记录测试

触发软件升级，完成升级过程，查看升级系统的升级日志，检查并记录升级日志的车辆信息、车内

6

DB50/T1780—2025

软件版本号、版本号历史及升级结果。重新启动软件升级，查看是否具备升级日志，比对两次升级的升

级日志，其升级日志结果是否符合6.4.6的要求。

9.1.4.7软件版本/软件识别码更新与读取功能测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足6.4.7的要求：

a)当车辆存储软件识别码时，在执行软件升级前，使用市场上通用诊断仪与车辆OBD口建立通信，

读取车辆中软件识别码并进行记录，使用与型式批准相关的软件升级包（软件识别码与本车不

同），成功执行软件升级并读取升级后的软件识别码，查看软件识别码是否已更新；

b)当车辆不存储软件识别码时，在执行软件升级前，使用市场上通用诊断仪与车辆OBD口建立通信，

读取车辆中软件版本号并进行记录，使用与型式批准相关的软件升级包（软件版本与本车不同），

成功执行软件升级并读取升级后的软件版本号，查看软件版本号是否已更新。

9.1.4.8行驶过程中人机交互功能测试

车辆触发带有人机交互的软件升级，启动车辆，分别在多工况状态下进行软件升级，查看测试车辆

是否满足6.4.8的要求。

9.1.4.9信息同步功能测试

触发软件升级，完成升级过程，从车端读取车辆升级后的更新组件、版本、时间信息，查看后台的

更新组件、版本、时间信息，比对二者差异，查看测试车辆是否满足6.4.9的要求。

9.1.4.10升级重试功能测试

构造升级包，触发升级重试机制（如有），持续重试5次，查看测试车辆是否满足6.4.10的要求。

9.1.5人机交互功能测试

9.1.5.1升级包下载过程显示测试

触发升级，启动升级包下载，查看测试车辆是否满足6.5.1的要求。

9.1.5.2升级前用户告知信息测试

车辆触发升级，检查升级前车辆是否在人机交互系统显示升级目的、升级功能、升级所需时间及升

级期间限制功能等信息，查看其内容是否符合6.5.2的要求。

9.1.5.3先决条件提示信息测试

根据车辆制造商提供的先决条件清单，使车辆处于满足/不满足先决条件的状态，执行升级任务，

查看测试车辆是否满足6.5.3的要求。

9.1.5.4升级前用户确认功能测试

触发升级，查看用户确认软件升级的人机交互操作选项，测试车辆是否满足6.5.4的要求。

9.1.5.5升级后用户告知信息测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足6.5.5的要求：

a)分别触发升级成功和升级失败，升级结束，查看是否有升级成功和失败提示；

b)完成升级，查看是否有无对于升级后功能修改的明确说明，是否对车载电子版机动车产品及时

7

DB50/T1780—2025

更新（如有）；

c)设定不能正常完成的软件升级，包含但不限于车辆断电、升级包损坏，触发并启动升级，查看

是否有升级失败的提示和解决方法。

9.2性能要求测试

9.2.1云平台高并发场景测试

使用性能测试工具（如ApacheJMeter、LoadRunner），模拟大量终端设备同时连接平台，评估在

高并发请求下云平台的响应时间和处理能力，是否满足7.1的要求。

9.2.2通信通道性能测试

使用网络性能测试工具（如iPerf、NetFlow）测量网络带宽，评估在高并发状态下带宽是否满足7.2

的要求。

9.2.3升级端性能测试

9.2.3.1车载软件升级系统波特率测试

使用波特率检测工具（如逻辑分析仪、示波器、USB转CAN分析仪），检测测试车辆是否满足7.3.1

的要求：

9.2.3.2人机交互系统稳定性测试

通过长时间进行软件在线升级压力测试，验证人机交互系统的稳定性以及是否会出现死机和黑屏，

评估是否满足7.3.2的要求。

9.3安全要求测试

9.3.1云端安全测试

9.3.1.1通信对象身份真实性测试

测试人员应依据车辆制造商提供的云平台清单及采用的通信协议类型，并按照如下三种测试方法中

适用的测试方法，检测测试车辆是否满足8.1.1的要求：

a)若车辆与车辆制造商云平台采用专用网络或虚拟专用网络环境进行通信，测试人员应查看企业

提供的车辆云平台通信身份真实性的证明文件；

b)若车辆与车辆制造商云平台采用公共网络环境进行通信，且使用公有通信协议，测试人员应使

用网络数据抓包工具进行数据抓包，解析通信报文数据，检查车辆是否对车辆制造商云平台进

行身份真实性验证。若采用网络数据抓包工具无法进行数据抓包，测试人员应查看企业提供的

车辆云平台通信身份真实性的证明文件；

c)若车辆与车辆制造商云平台采用公共网络环境进行通信，且使用私有通信协议，测试人员应查

看企业提供的车辆云平台通信身份真实性的证明文件。

9.3.1.2软件在线升级服务平台访问控制机制测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足8.1.2的要求：

a)使用白名单之外的IP地址访问软件在线升级服务平台，检测服务平台是否正常响应；

b)匿名访问软件在线升级服务平台相关功能与服务，检测服务平台是否能正常响应；

c)查看系统用户权限配置文件，检查系统是否采取最小权限原则、责任分离原则、数据抽象原则

8

DB50/T1780—2025

和策略。

9.3.1.3用户凭据安全机制测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足8.1.3的要求：

a)检测功能文档或登录后台，检测对用户凭据是否有复杂度与定期更改的要求；

b)检测设计文档，用户凭据是否为加密存储，且加密算法是否采用强加密算法。

9.3.1.4数据处理活动安全机制测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足8.1.4的要求：

a)对软件在线升级服务平台中的数据进行分析，检测服务平台中是否存在对个人敏感信息进行非

授权收集或泄露、非授权数据外传等恶意行为；

b)使用分析、查找方法，检查服务平台中是否以明文形式存储个人敏感信息；

c)检测系统中是否存在测试程序、后门程序、密钥、执行脚本、敏感字段等；

d)对代码进行查找和分析，检查在代码中是否存在硬编码密钥；

e)检测服务平台中是否使用国际通用或国家标准规定的加密算法，加密算法是否为强加密算法；

f)检测是否存在将同一个密钥复用于多种不同用途。

9.3.1.5会话安全机制测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足8.1.5的要求：

a)检测设计文档是否有会话安全的设计；

b)分析会话内容，检测软件在线升级服务平台是否具备会话安全保护机制，服务器会话是否随

机分配ID；

c)检测安全通信协议是否禁用会话重协商和TLS压缩功能。

9.3.1.6升级日志机制安全测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足8.1.6的要求：

a)进入服务平台，打开日志信息记录文件，查看内容是否包括但不限于日期和时间、主体身份、

事件类型、事件结果等组成部分；

b)软件在线升级服务平台日志信息的存储保密性算法是否采用国际通用或国家标准规定加密算

法；

c)以非授权的用户进行软件在线升级服务平台日志存储区域读取写入操作，检测是否存在访问控

制机制，加密算法是否为强加密算法；

d)使用逆向分析工具配合系统命令读取日志功能区域内容，检测是否为密文存储；

e)日志记录保存周期从生产到报废整个生命周期，并对日志记录进行备份保存。

9.3.2通信安全测试

9.3.2.1通信通道安全测试

在车端与升级包服务器正常连接后，抓取车端与后台的通信数据包，分析通信通道使用的协议，查

看车辆是否满足8.2.1的要求。

9.3.2.2双向认证机制测试

在车端与升级包服务器正常连接后，抓取车端与后台的通信数据包，分析通信通道使用的认证机制，

9

DB50/T1780—2025

查看车辆是否满足8.2.2的要求。

9.3.2.3完整性保护机制测试

测试人员应依据车辆制造商提供的用于在线升级的车辆移动蜂窝通信、WLAN等，依次触发车辆在

线升级通信数据传输，并使用测试设备对车辆在线升级通信通道数据进行抓包，检查通道是否采用完整

性保护机制。若使用测试设备无法对车辆移动蜂窝通信的数据进行抓包，测试人员应根据企业提供的车

辆移动蜂窝通信通道完整性保护证明文件，检查车辆是否满足8.2.3的要求。

9.3.3升级端安全测试

9.3.3.1用户身份鉴别能力测试

测试人员应按照以下测试方法依次开展测试，检测测试车辆是否满足8.3.1的要求：

a)在线升级时，升级端车辆上电后连接网络（能成功访问升级后台），通过查看日志确定车辆与

升级包远程服务器的身份验证过程是否存在；

b)更换升级包远程服务器的身份认证信息，车端上电触发身份认证过程，执行启动升级方式，包