TUV NORD Taiwan提供实战指引 台厂加速实践车载AI/网安合规 智能应用 影音
Microchip
member

TUV NORD Taiwan提供实战指引 台厂加速实践车载AI/网安合规

  • 孙昌华台北

(左)TUV NORD Taiwan工业服务部国际AI网安策略总监林正伟,(右)TUV NORD Taiwan工业服务部资深经理陈育羣。TUV Nord Taiwan
(左)TUV NORD Taiwan工业服务部国际AI网安策略总监林正伟,(右)TUV NORD Taiwan工业服务部资深经理陈育羣。TUV Nord Taiwan

近年随着智能车、电动车热潮延续延烧,让各界意识到未来汽车与AI与网安的距离急遽拉近,若未善加管制恐引发后患。因此近年车载AI/网安相关法规或标准相继出炉;有志朝汽车供应链发展的台厂,自然需要遵循这些规范。

身为全球知名第三方验证机构(Certification Body)的TUV NORD,凭藉多元验证、稽核、检验、测试与教育训练服务所淬链的底蕴,深谙车载AI/网安不同法规与标准之间的章节式连动,且富含导入的实作经验,可望协助台厂顺利实现合规目标。

遵循ISO/IEC 42001+ASPICE v4.0,管控车载AI风险

TUV NORD Taiwan工业服务部国际AI网安策略总监林正伟表示,欧盟有监于AI发展快速,于是积极建立对应监管架构,催生AI Act(AIA)法案,预计2024年底(2024)生效,在后续2~3年内上路施行,其影响力堪比过去GDPR,值得台厂高度关注。

AIA影响范围广泛,不论各行各业,只要有产品或服务出口至欧盟,甚至仅是将AI产出结果运用于欧盟,皆被匡列于适法范围,需要依法管理AI风险。此时即可以ISO/IEC 42001标准做为基底,建立整个公司的管理架构;若企业属于车用产业,另需导入ASPICE v4.0产业标准,两相结合,便能满足AIA合规需求。

ISO/IEC 42001自2023年底发布后,北德已接获许多企业前来谘询,甚至不乏直接展开实作者。它与其余ISO标准架构相同,均讲求PDCA循环,惟在风险评监部分呈现不同之处。系因AI应用的最大困境在于幻觉,不易分辨对或错,然一旦误用恐对个人、企业、社会产生重大影响,风险态样迥异于其他领域,故需采取不同的评监思维,因而在标准中列出多达9大领域、38个控制项,涵盖政策、组织、资源、影响评估、生命周期…等维度。

此外以车用产品开发商而论,凡涉及AI开发者,另需遵循ASPICE 4.0所定义的Machine Learning管理架构。大致上来说,ISO/IEC 42001与ASPICE 4.0,一为国际标准、一为产业标准,两者间有一定相关性;因此台厂必须先做到ISO/IEC 42001,接着再把ASPICE 4.0做细。

导入ISO/SAE 21434建构车载网安管理能力

另一方面,2024年7月起严格实施的R155汽车网络安全法规,同样受到台厂重视。持平而论,R155规范对象为整车,台厂大多扮演代工、元件供应等角色,迫切需要遵循的标的,其实落在ISO/SAE 21434标准,此标准的导入与否,也攸关各厂能否取得汽车供应链的入场券。

TUV NORD Taiwan工业服务部资深经理陈育羣指出,约莫从1、2年前开始,即有许多台厂对ISO/SAE 21434预作准备,逐步建构企业整体的网安管理制度;此外亦针对ASPICE车用标准中关于开发流程的网安细部要求展开研究。

基本上TUV NORD Taiwan对「软件定义汽车」主轴着墨甚深,并锁定AI/ML或Cyber Security等相关议题养成扎实的Technical Domain。谈到ISO/SAE 21434,TUV NORD Taiwan归纳有两个需要厂商留意的事项,首先切莫将网安视为开发部门一己责任,应要求所有单位共同参与,才能从点、线到面形成全面防堵。其次Cyber Security与AI一样,欲控制风险,先从整个公司的管理做起,再就产品开发面执行细致管理。

值得一提,汽车网安与一般网络网安不乏矛盾之处,例如以往网络网安经常诉求持续更新、严格加解密,试想行驶中的车辆若暂停数秒来满足这些需求,岂不酿成Safety风险!故北德在执行相关教育训练时,不会流于ISO/SAE 21434条文解释,会一并带入执行细节,引导厂商懂得弭平Cyber Security与Safety中间的Gap。

陈育羣强调,总括来说,TUV NORD Taiwan聚焦在Safety、AI、Cyber Security和管理系统四大风险管理主题,以ASPICE为核心来建构管理系统,进而搭配Security 4 Safety(S4S)整合性服务,整理不同标准规范的互相关联,辅以长期养成的实作Knowhow,协助客户综观所有标准,依据不同标准章节之间的相依性或连结性,设定最顺畅的合规路径。

关键字