德国莱因TUV助攻 电子产业加速掌握产品网安关键要领

进入数码时代，随着科技演进速度加快，对于人们生活、工作乃至商业经营的影响正急遽扩大；身为科技工具与解决方案提供者的电子产业，也在这波的变革浪潮中，面临网安、合规、隐私保护等接踵而来的严峻挑战。

有感于众多业者急欲突破瓶颈、站稳浪头，德国莱因TUV于日前举行「安全神队友！ 解锁信息产品升级关键口令」研讨会，动员旗下众多专家，从揭示最热门的USB Type-C充电技术出发，接续探讨联网产品信息安全相关的欧盟无线电设备（RED）指令、剖析电子产品标准IEC 62368-1新旧版差异，进而解读AI对信息电子产业可能造成的关键影响。

德国莱因TUV董事总经理王秀云致词表示，本次主题围绕在电子电气产品领域，横跨AI、网安两大热门议题，也连结到外销欧盟时需要遵循的RED指令，加上同样备受关注的IEC 62368-1、USB Type-C等议题，足见这次活动内容极为丰富。她强调，德国莱因TUV会持续分享一些正在发生或未来要发生的法规、标准指令，期盼对电子产业从业人员有所启发。

欧盟统一充电规格，2024年底开始强制生效

德国莱因TUV电子电气产品服务经理吴政璋，以「欧盟统一充电规格，USB Type-C时代来临」为题，展开第一场主题演讲。他指出德国莱因TUV在2022年甚至前年起，早已密切关注USB Type-C的进展。

那麽为何德国莱因TUV一再探索这个主题吴政璋解释，一来因为它与RED指令所管制的资通讯产品至为相关，而台湾在全球资通讯产业居关键合作夥伴地位，二来他形容它像是降龙十八掌，先前只讲前面九掌，围绕在受电端（Powered Device；PD），如今随着充电端（Power Sourcing Equipment；PSE） 的法规修改即将诞生，意谓现在已到了揭示后面九掌的时机。

欧盟统一充电规格，蕴含四大目的，前二大目的包括「确保最低限度兼容性」、「增加使用者便利性」， 当此二者目的符合后，可望接续实现另外二个目的 -「减少环境废弃物」，及「避免技术市场碎片化」。 原因在于当电子产品更换时，若能沿用外部电源，可避免制造新废弃物，且确保大家都采用相同USB硬件规格、USB PD协定下，达到彼此兼容，避免技术碎片化。

回顾USB PD发展史，它在2010年诞生，初期名为USB BC 1.2，用于规范电池充电功能。2012年「USB PD」供电协定正式现身。

时至2015年USB PD 3.0出炉，规格组数明显增多，2021年也获欧盟引用并调和为EN 62680-1-2:2021标准，此时最大功率仍维持在100瓦。直到2021年USB PD 3.1，2022年成为欧盟EN 62680-1-2:2022标准，最大功率提升为240瓦；此外PD 3.1较特别之处，在于新增EPR（Extend Power Range）级别规格「28/36/48V@5A」，因在5A恒定不变符合硬件耐受性下，唯有将电压提高至48V，才能达到240瓦。

欲实现240瓦功率，有赖三位一体，首先需要使用USB PD 3.1协定，其次线材必须支持48V@5A，最后供电端与受电端都要同时支持此协定。

欧盟于2022年11月修订通过统一充电规格，并于12月公告，后续分为两阶段强制生效，一是2024年12月28日，适用于小型电子产品，另一是2026年4月28日，适用于笔记本电脑。同时间RED也修改部分内容，将原本「透过100W内有线充电」的13项纳管产品规定，修订为240W，与EN 62680-1-2:2022标准亦步亦趋。

针对外部电源（EPS）供电端，欧盟也在2023年2月公布外部电源生态化指令草案；谈到个中对应统一充电规格的重点，值得关注两项内容，一是要求AC/DC的外部电源在输出端需改为非永久连接式，因为此类产品的损坏通常都在线材的部分，在可更换线材的情况下，假使EPS仍然正常运作理应继续使用，以延长产品生命周期。其次是AC/DC 外部电源若支持快充则应能符合EN 62680-1-2:2022 USB PD标准，并适配于符合EN 62680-1-3:2022标准的输出线材，达到欧盟统一充电规格，实现「减少环境废弃物」的目标。

善用今后2年时间，准备因应RED网安要求

接着由德国莱因TUV的电子电气产品服务资深专案经理陈舒璇、工业服务与信息安全业务经理庄佩甄二人，联手揭开从RED（Radio Equipment Directive）指令到物联网与工控网安的关键口令。

陈舒璇表示，当无线产品要进入欧盟贩售，即需符合RED指令的安规、电磁兼容与RF要求；另着眼于信息网络安全日益重要，RED亦将网安纳入规范、落在3（3）def条文范围，预计2025年8月开始强制执行，业者还有两年时间做准备。其中3(3)d旨在增强网络服务品质的保护，意即当网络遭受攻击时，不能降低服务品质；3(3)e是为了保护个人数据及隐私，受到网络攻击时不能外泄个资；3（3）f则是要防止网络诈骗。

目前RED尚无明确标准，建议大家参考ETSI TS 103 929，其中提供的IEC62443-4-2、EN 303 645两项标准，就能对应RED Articles 3（3）def要求。以一般无线产品供应商而论，可参酌EN 303 645的Mapping Table；系因该标准的范围比起RED更广更大，所以只要遵循EN 303 645，对未来符合3（3）def理应极具助益。

EN 303 645内含13项条款要求，包括缺省口令不能太简化（如0000或1234）、制造商须提供管理网络漏洞的方式、软件须维持在最新版本、须妥善保存安全参数、传输过程必须安全、须减少黑客攻击界面（如最小特权原则）、须确保软件完整性、须保护个人数据安全、须有能力面对断电或断网状况、业者针对蒐集到的数据须分辨能否使用及正确与否、要让使用者很简单地删除想要删除的数据、产品安装或维护方式务求方便简单，及输入的数据须有验证机制。

值得一提，2022年欧盟有M585决议，要求欧洲两大标准委员会着手制作Articles 3（3）def对应法规。据传相关草稿已出炉，目前审核中，尽管如此业者仍可预先参考M585当中的一些基本原则。

庄佩甄接着说，针对想要准备RED Articles 3（3）标准的业者，德国莱因已撰写2 PfG 2912/07.22标准，方便大家用来做过渡期准备。

在2 PfG当中，针对Article 3（3）d要求的身份安全、界面安全、通讯安全、软件更新等，3（3）e提到个人数据储存、分析、传输，乃至删除用户通知、内部活动日志等，及3(3)f所提避免诈骗的种种内容，皆提出完整指引，同时也定义出对应的测项。

为何要制作2 PfG标准？她解释，德国莱因希望客户在RED正式颁布前有依循的目标，不要等到标准颁布了、才仓促探究合规之道；毕竟网安功能是透过设计出来的、不是测试出来的，若在一开始设计时没有做到，最终测试时就不会具备这样的能力。2 PfG标准所参酌的依据，同时涵括EN 303 645、IEC?62443等重要标准。

理解新版电子产品安全标准，并关注AIGC网安风险

活动后半场包含两场演说，其中一位主讲人为台湾德国莱因电子电气产品服务技术专家林文堂，另一位为DIGITIMES分析师黄耀汉。

林文堂将讲题设定在「电子产品安全标准IEC 62368-1 3/4版差异分析」。他表示IEC 62368-1最新的第四版于2023年5月发行，与前版的主要差别，首先是撤除IEC 60950-1或IEC 60065定义的内外部组件／子组件规定。其余修改重点，遍布于外部电路、防火外壳、液体填充部件、电池充电等范畴。

关于外部电路的修订，可分环境1、环境0两部分来谈。环境1部分，户外的中长距离配线适用1500V的瞬态电压（Transient Voltages）要求，若配线处在市电（Mains）所走的路径，适用4000V瞬态电压要求。至于环境0，意指端子符合IEC/EN 61000-4-5或布线配线小于10米者，主要定义设备互联规范；假使有提供电源使用的外部电路、其线径须大于0.4mm，在成对导体电缆上的电流应限制于1.3A RMS或DC。

防火外壳部分，针对专业设备的开孔出现了较前版更宽松的解释，只要侧面开孔不超过外壳厚度的11倍即可。而在液体填充零件部分，主要加入一些制冷剂的要求，基本上应符合IEC 60335-2-40和／或IEC 61010-2-011规范，并删除液体超过1升的设备不适用的条文；此外模块LFC（Liquid Field Component），若非已符合IEC 61010，皆需通过G.15测试要求。

有关充电的要求，凡是符合IEC 62133-2的电池，并用于固定设备中的子系统供电应用，依靠电气、电子、软件控制及系统作为安全防护者，应符合IEC 62619的8.1要求，或必须提供安全防护；再来电池本身须额外提供一个防火外壳，以加强保护。

担任压轴讲师的DIGITIMES分析师黄耀汉，则剖析AI对信息电子产业的影响与趋势发展。他引述美国一份调查报告指出，2023年有60%企业规划采购生成式AI（AIGC）工具，55%员工认为AIGC有助提升生产力，且无论对信息管理、营运管理、客户服务、市场行销、业务销售或人力资源皆有正面影响，足见AIGC趋势已无法回避。

另按财团法人人工智能科技基金会在2022年的调查，将「尚未导入任何信息系统」、「已有基础的信息系统」及「信息系统已进行整合，将不同系统的数据透过API或应用程序连结在一起」归类为无AI应用，另将「导入外部信息系统，串联内外部数据分析，加速商业决策判断」、「善用数据分析来辅助助进行商业决策制定，将数码化视为必要任务」归类有AI应用。

在此脉络下，目前ICT产业中约60%属于无AI应用，而制造业更高达75%，显示AI技术的导入商机仍大，值得期待。惟企业投入AIGC应用时，应留意隐藏网安问题，包括训练流程的数据传输、推论流程的用户提出数据，皆是需要管控的信息泄漏点。

2023年AI当道，电子产业亟待掌握的市场趋势及技术发展变化仍然很大，选择合适的验证单位为软硬件安全的神队友，将有利企业专注强化核心竞争力。