中标
中国重汽集团济南动力有限公司新能源车网络安全开发项目招标公告
金额
-
项目地址
山东省
发布时间
2024/08/13
公告摘要
公告正文
中国重汽集团济南动力有限公司
新能源车网络安全开发项目
附:新能源车网络安全开发项目技术要求
新能源车网络安全开发项目开发合同
招
标
书
招 标 人:中国重汽集团济南动力有限公司
2024年7月
第一章 招标公告一、项目名称
项目名称:新能源车网络安全开发项目
二、招标内容及形式
1、招标内容:新能源车网络安全开发项目
2、招标形式:公开招标。
具体要求详见《技术要求》:见附件。
三、交货及付款
1、交货期:验收日期为2025年09月30日。
2、交货地点:济南市高新区舜华南路688号中国重汽未来科技大厦。
3、交货方式:以最终签署的协议(或合同)约定为准。
4、付款方式:半年期商业汇票(包括银行承兑汇票和商业承兑汇票)。
中标人与中国重汽集团济南动力有限公司签订合同,根据《技术协议书》规定的项目阶段性交付及验收情况,按表1(具体付款方式)通知开具增值税发票,由中国重汽集团济南动力有限公司按照其财务制度进行审核后支付。
双方遵守与本合同有关的中国税法。本合同履行中,在中国境外发生的所有税款应由卖方承担。在中国境内发生的所有税款应由买方承担。
四、投标说明1、报名方式
拟投标人根据招标人在中国重汽的官网上发布的招标信息,邮件报名。报名邮箱:duanzhao@sinotruk.com。公示期间请尽快报名,报名后无须电话询问是否报名成功,我单位会通过邮件回复贵单位招标事项。
投标邮件主题:某单位授权某代表参与投标某项目+电话
投标邮件附件:营业执照,授权书(含法人及授权人身份信息)、(附件单独存放,不要发压缩包,不要使用126或者123邮箱报名,我公司无法打开下载)
不按要求报名的,需投标单位承担。报名后无需电话询问是否报名成功,我单位会通过邮件一一回复。2、投标条件
对于中国境内投标人,投标条件如下:(所有本项目所需资质证明文件以此为准)
(1)拟标投人必须是在中华人民共和国境内注册的独立法人机构,具有独立承担民事责任能力,注册资金不少于1000万人民币;公司成立三年以上(以营业执照成立日期到开标当日满三年为准);且经营范围满足招标人需求;并在人员、设备、资金等方面具有承担本项目的能力。投标人为该标的物的制造商或其在中国境内有完善的技术以及售后服务体系;投标人为代理商的须具有制造商出具的授权书或经销代理证明以及售后服务承诺;
(2)拟投标人应提供三证合一的供营业执照副本原件(加盖公章)。
(3)拟投标人应提供法定代表人资格证明文件。
(4)拟投标人在国家市场监督管理总局的《国家企业信用信息公示系统》中查询不存在不良记录;或同等效力的法律文件。
拟投标人不存在严重违规或被列入招标人“黑名单”的。拟投标人经审计的近三年的公司财务报表(资产负债表、损益表、现金流量表)未显示异常。若没有财务审计报告,需提供资产负债表、利润表、现金流量表(加盖公章版)无明显异常;中国人民银行信用代码证+征信报告或者开户行许可证+资信证明,二者选一即可。该信用证明材料显示无不良信贷记录
(8)拟投标人有与本次招标项目同类的项目经验,在中国境内外有与其他商用车企业合作的案例;投标时需提供用户清单,同时需提供用户合同复印件或验收报告复印件即可。
(9)投标人必须是最终投标、签订合同的单位,不得以任何理由将已中标项目以任何形式分包或转包给其他单位。
(10)本项目不接受联合体投标。
(11)供方的直接或间接股东、法定代表人、董事、监事、高管非重汽员工及其亲属。
* 注:
如果是授权委托人投标,要携带三证合一的营业执照副本原件和复印件、法人授权委托书、身份证原件参加开标会议,否则视为弃标;如果是法人参加投标,要携带要携带三证合一的营业执照副本原件和复印件、法人代表证明原件、身份证原件参加开标会议,否则视为弃标;如果是代理商投标,除上述a)b)中要求的资料,要另外携带生产商的授权书、原厂售后服务承诺书参加开标会议,否则视为弃标。境外投标人可提供与上述文件相当的证明文件(如有);3、报价
(1)本次招投标为公开招标,招标人有权根据项目情况,采取多级评标模式。评标流程以及规则详细见通知公告→六、评标规则。
经与招标人或其指派的答疑人员充分沟通确认基础上,由投标人在满足招标人所提出的、与本项目所有相关环节有关的所有费用,即固定总价。
(2)所有报价货币单位为: (人民币)元(请务必报含税价和不含税价并写明税率)。不以人民币报价的投标报价,开标当天要按照汇率折算为人民币进行报价。
4、技术规范及服务
投标人应与招标人指派的答疑人员充分沟通,理解认可并接受相关技术规范及服务要求。
本项目涉及的所有知识产权归中国重汽集团济南动力有限公司所有,中国重汽集团济南动力有限公司享有申请专利的权利及著作权。
5、投标文件资料
(1)投标人对本项目的详细技术资料清单,在标书中列示说明;
(2)投标人完整的技术支持与售后服务实施方案,在标书中列示说明,包含但不限于以下内容:
A、除享受由本公司提供的技术开发服务之外,还能获得由本厂家提供的何种免费支持、免费服务或其他对招标人有利的服务项目。
B、售后服务机构或网点(名称、地址、联系人、电话)。
C、针对本项目的技术服务团队情况(人员数量、姓名、电话、专业资质等)。
D、日常技术支持的保证。
(3)投标人关于交付、培训等方案,均需在标书中列示说明。
6、询标
凡对本次招标提出的询问,均以招标方的书面答复为准。
7、投标文件的编制
(1)投标文件和与投标有关的所有文件均应使用中文。
(2)除投标文件的技术规格中另有规定外,投标文件中所使用的计量单位应为中华人民共和国法定计量单位。
8、投标文件的组成
本项目商务标书、技术标书、资质文件分开封装。
本项目投标文件一式六份,正本一份,副本五份。电子版投标文件1份(保证电子版和纸质版一致性)。若为现场开标,营业执照和授权书需在开标现场出示;若为视频开标,则需在视频端呈现即可。若没有携带营业执照原件,将根据现场所有参与开标的投标单位和专家共同判定得出认可情况。详见附件格式1-9,其余未尽事宜请按各单位习惯制定即可。
8.1 资格证明文件包括:
(1)有统一社会信用代码的新版营业执照副本复印件;
(2)投标函(附件1);
(3)法定代表人授权书(附件2)法定代表人参加投标的,提供法人身份证明文件即可;授权人参加投标的,需提供法定代表人授权委托书(含法人身份证和被授权人身份证);
(4)近三年经审计的财务报表(资产负债表、损益表、现金流量表)复印件;若没有财务审计报告,需提供资产负债表、利润表、现金流量表(加盖公章版)无明显异常;若缺少本项或经财务专家审核认为有异常,则会根据评分标准进行扣分;
(5)近三年内在经营活动中没有违法违纪行为的声明;
(6)投标单位在国家企业信用信息公示系统中无行政处罚、经营异常和失信信息的声明;
(7)代理商投标要携带生产商的授权书、原厂售后服务承诺书;根据实际情况提供即可,无格式限制;
(8)税务部门开具的依法缴纳税收的证明(如有);
(9)企业近半年完税证明、信用证明材料(征信报告);
(10)年度纳税信用评价信息(可从电子税务局查询截图,需加盖公章);
(11)企业对外担保证明(写明贵单位对外有无对外担保和质押业务,需加盖公章)
8.2技术部分:
(1)技术规格偏离表(附件3);必须先进行两列要求一一对照。不允许直接写无偏离。
(2)近三年同类项目业绩一览表(附件4)及有效合同复印件;若没有提供相应业绩证明,将影响现场评标专家组对投标单位业绩判定打分。
(3)供货期及保证措施;
(4)产品的技术服务和售后服务内容及措施;
(5)交货进度及计划;
(6)投标产品技术支持材料
(7)投标人需提交的其它资料。
8.3商务部分:
(1)开标一览表(附件5)
(2)投标报价明细表(附件6)附件5、6、7需要一起单独封装1份。
(3)商务条款偏离表(附件7)付款方式不可以偏离,中小企业可以适当偏离;
(4)服务承诺函(附件8)需写明质保期外服务费用情况;
(5)按招标文件投标人须知和技术规格书中要求提供的有关文件。
9、投标文件格式
详见附件格式1-9,其余未尽事宜请按各单位习惯制定即可。
附件1 投标函
致:中国重汽集团济南动力有限公司:
根据贵方 新能源车网络安全开发 项目招标公告 , 投标公司, 法人代表人为 ,正式授权 提交纸质投标文件:商务和技术文件正本 份、副本 份;资质证明文件 份。电子版投标文件1份。
据此函,签字代表宣布同意如下:
1、投标人已详细审查全部“招标文件”,包括修改文件(如有的话)以及全部参考资料和有关附件,已经了解我方对于招标文件、采购过程、采购结果有依法进行询问、质疑、投诉的权利及相关渠道和要求。
2、投标人在投标之前已经与贵方进行了充分的沟通,完全理解并接受招标文件的各项规定和要求,对招标文件的合理性、合法性不再有异议。
3、本投标有效期自开标日起 90个日历日。
4、如中标,本投标文件至本项目合同履行完毕止均保持有效,本投标人将按“招标文件”及政府采购法律、法规的规定履行合同责任和义务。
5、投标人同意按照贵方要求提供与投标有关的一切数据或资料。
6、与本投标有关的一切正式往来信函请寄:
地址:
邮编:
电话: 传真:
投标人代表姓名:__ _____职务:
开户银行:
银行帐号:
投标人名称(盖章):
授权代表签字:
日期: 年 月 日
附件2 法定代表人授权委托书
本授权委托书声明:我_______(姓名)系____________________________(投标人全称)的法定代表人,就 (项目名称) (招标编号)现授权委托____________________________(单位名称)的________(姓名、职务)为我公司全权代表,全权代表在投标文件、评标过程中的书面承诺、合同等所签署的一切文件和处理与之有关的一切事务,我均予以承认。
全权代表无转委权。特此委托。
全权代表姓名: 性别: 年龄:
单位: 部门: 职务:
法定代表人签字或盖章
被授权人签字
被授权人电话:
投标人名称(公章)
年 月 日
附件3 技术规格偏离表
项目名称:新能源车网络安全开发项目
投标人:(盖章)
法定代表人(委托代理人):(签字)
附件4 近三年同类项目业绩一览表
项目名称:新能源车网络安全开发项目
注:提供近三年同类产品的制造销售业绩(用户名单、联系方式),并附合同复印件。
投标人:(盖章)
法定代表人(委托代理人):(签字)
日 期: 年 月 日
附件5 设备质量承诺函
项目名称: 新能源车网络安全开发项目
中国重汽集团济南动力有限公司:
我代表(投标单位名称)为保证中标产品的质量特作如下承诺:
投标人:(盖章)
法定代表人(委托代理人):(签字)
日 期: 年 月 日
附件6 开标一览表
《开标一览表》单独封存,以备唱标使用
项目名称:新能源车网络安全开发项目
注:
1、此表中的报价必须与相应的报价明细表中的报价一致。
2、附件678单独封装一份,否则不予唱标。
3、总价格需写明含税价、不含税价格、税率。单个报价无需报不含税价格。
投标人:(盖章)
法定代表人(委托代理人):(签字)
日 期: 年 月 日
附件7 投标报价明细表
项目名称:新能源车网络安全开发项目
注:
1、选购件不包括在本报价表内,应另附纸分项单报。
2、如上表中的有关费用投标人免费提供,请注明“免费”字样。
3、分项金额=数量*单价;合计等于各分项金额之和。
投标人:(盖章)
法定代表人(委托代理人):(签字)
日 期: 年 月 日
附件8 商务条款偏离表
投标人名称: 授权代表签字: 日期:
注:为避免歧义,无偏离也应要提报该表,并注明“无”字。如无该表则即使在其它部分已反映,将也被视为“无偏离”。
附件9 服务承诺函
项目名称: 新能源车网络安全开发项目
中国重汽集团济南动力有限公司:
我代表(投标单位名称)对中标合同产品的服务作如下承诺:
投标人:(盖章)
法定代表人(委托代理人):(签字)
日 期: 年 月 日
附件10技术标评分标准
技术标评审表(100分)
附件11 投标文件封面及封口格式
封面格式:
投标人名称: 授权代表签字: 日期
五、议程安排1、发标时间
2024年8月9日
2、发布招标方式
公开项目,实施单位在中国重汽的官网上发布相关招标信息。
注意:此渠道为官方唯一发布渠道,切勿相信其他来源的信息。
3、技术答疑
答疑时间:截止至2024年8月20日(周二)下午17点前,逾期不受理
答疑方式:电话、书面及邮件
联 系 人:刘昌林
电 话:18366131962
邮 箱:liuchanglin@sinotruk.com
4、商务答疑
答疑方式:邮件(电话不受理)
联系人:段钊
邮 箱:duanzhao@sinotruk.com
5、投标报名及注意事项
5.1投标人在报名参与本项目的同时,应提供20000元(或其他等值货币)的投标保证金,并作为其投标文件的组成部分。投标保证金应在投标截止时间1日前将投标保证金从投标人单位基本帐户转出并到账或银行保函电子版确认(保函原件于开标之日交于招标人),否则按否决投标处理;未按规定提交保证金的投标人,其投标文件按否决投标处理;
5.2招标人银行账户信息如下:
账户名称:中国重汽集团济南动力有限公司
银行账号:376010100101373547
开户银行:兴业银行股份有限公司济南分行营业部
联行号:309451013018
注意事项:
转账时,请注意备注投标的项目名称,方便后期核对退款。报名时提供电子回单(含贵公司账户及我公司账户信息)报名时候,请务必在邮件正文中文字表述付款账号、户名、开户行名称、开户行行号、保证金金额。未按照本要求提供信息,导致保证金退回困难等事宜,由投标单位承担。
投标保证金形式:
(一) 该银行账户只接受外币电开保函和电汇。
(二) 境外投标单位缴纳投标保证金形式应采用电开保函形式;境内投标单位缴纳投标保证金应采用电汇形式;若有其他特殊情况,请提前与我们沟通,做好转账信息备注工作。
(三) 对于没有中标的投标单位,投标保证金将于招标人内部完成中标人评审并确认最终中标人后在30工作日内予以原路无息返还;对于中标供应商,投标保证金将在签订合同后30工作日内无息返还。
5.3发生以下情况时,有权没收保证金:
①截至开标前3天,供应商无正当理由、未以书面形式递交说明而在投标截止日不来投标的;
②供应商递送文件后,无正当理由放弃投标的;
③自中标(成交)通知书发出之日起30日内,中标(成交)供应商无正当理由不签订合同的;
投标过程中被查实有串标、围标、陪标等违规违纪行为的;
⑤供应商有违约违规行为或被投诉、举报的,在调查处理期间,保证金暂不退还,待调查处理结束后按有关规定处理。
如果是授权委托人投标,要提交三证合一的营业执照副本、法人授权委托书(含法人及授权人身份信息证明、授权代表联系方式)如果是法人参加投标,要提交三证合一的营业执照副本、法人代表证明文件如果是代理商投标,除上述a)b)中要求的资料,要另外携带生产商的授权书、原厂售后服务承诺书6、开标时间
2024年8月23日(周五)下午13:30,若有变动另行通知。
7、开标方式
根据授权代表近期出行状况而定。若授权代表及所在公司通过视频参与开/投标,视频链接会在报名后统一邮件回复,提前邮寄投标文件即可;
现场投标自行携带投标书即可。
视频与会前,请提前邮寄投标文件。邮寄时注意:快递封面上请务必写清楚是哪个项目、哪个公司的投标书、授权代表电话。
招标文件邮寄地址:济南市高新区舜华南路688号中国重汽未来科技大厦,段钊,15117146136
8、现场资质审验
详见投标条件→资质证明文件。(本文档搜索查找即可)
投标地点:山东省济南市高新区舜华南路688号中国重汽未来科技大厦2楼会议室
六、评标规则
1、评标
为保证项目顺利实施,由招标人组织、按国家法律法规及公司相关规章制度要求,设立评标工作小组,同时依据以下评分标准,采用综合评定法,本着公平、公正、公开的原则,在最大限度地满足招标文件实质性要求的前提下,对招标文件中规定的各项因素进行综合评审,确定中标人(不保证最低价格中标),对未中标单位不做任何解释。招标人有权根据项目情况,采取多级评标模式,最终确定推荐中标人。
评标流程:
资质审核:投标文件组成8.1中要求的(1)-(5)资质证明文件审核;通过资质审核的单位可以进入技术评议,没有通过的单位不能进入技术评议;技术评议:投标文件不满足或严重偏离招标技术文件关键条款或无证实性技术资料支持,达到1项(包含)及以上者。证实性技术资料以投标文件、投标人公开发布印刷资料或检测机构出具检测报告为准。若投标人公开发布印刷资料与检测机构出具检测报告相矛盾或不一致,以检测机构出具检测报告为准。投标文件不满足或严重偏离招标技术文件重要条款或无证实性技术资料支持,达到5项(包含)及以上者。投标文件技术规格书的响应与事实不符或虚假投标的。投标人复制招标文件的相关内容作为其投标文件内容,达到50%及以上者。投标文件符合招标文件中规定废标的其它技术条款。技术评议合格的单位可以进入商务评议环节,技术评议不合格的单位会面临淘汰。商务评议:先公开唱标→商务条款相应确认→商务评议;综合评价:根据技术和价格综合得分,择优选择供应商。
2.本项目只产生一个中标人。中标人签订合同前须进行最终审查。最终审查的对象是投标项目的中标候选人。最终审查的内容是对中标候选人的经营状况、服务质量、资格、信誉以及招标人认为有必要了解的其它问题作进一步的考查及后审。最终审查的方式,根据需要采取问询或实地查证等方式。如审查结果综合评价得分最高的投标单位不符合成交条件,则本次评标作废。
七、合同签订
1、招标人根据评标工作小组的评标结果确定中标人,并书面通知中标人,招标人不承诺将合同授予报价最低的投标人。
2、中标人应当按照合同约定的履约责任,在保证质量的前提下完成中标项目,不得将中标项目转包或分包给他人,否则视为违约,招标人有权解除合同。
3、合同已双方最终签署的版本为准。
4、中标人由于履行义务的能力或信用有严重缺陷,招标人有权取消其中标资格,招标人将从中标候选单位中依序重新确定中标人,或重新组织招标。
5、投标人有下列情形之一,其投标将被视为废标,招标人将严格按照《中华人民共和国招标投标法》及相关法律、法规及规章制度的规定行使权利。投标人给招标人造成损失的,招标人有索赔的权利,投标人应予以赔偿。
(1)有效投标不足三家;
(2)投标人提供的有关资格、资质证明文件不合格、不真实或提供虚假投标材料;
(3)投标人在报价有效期内撤回投标;
(4)在整个评标过程中,投标人有企图影响评标结果公正性的任何活动;
(5)投标人以任何方式诋毁其他投标人;
(6)投标人串通投标;
(7)以他人名义投标或者以其他方式弄虚作假,骗取中标的;
(8)投标人负责人为同一人或者存在控股、管理关系的不同单位;
(9)投标人被举报、检举,并经招标方查实无误的;
(10)法律、法规规定的其他情况。
6、出现下列情形之一,招标人有权否决所有投标人的投标,并终止招标
(1)符合条件的投标人或者对招标文件做实质响应的投标人不足三家的。
(2)出现影响采购公正的违法、违规行为的;
(3)评标委员会经评审,认为所有投标都不符合招标文件要求的;
(4)因重大变故,采购任务取消的;
八、其他
1.其余未尽事宜均以最终签署的协议(或合同)约定为准。
2.要求招标人或相关合同签订单位提供的配合,在标书文件中说明。
3.凡对本次招标提出的问询,均以招标人的书面答复为准。招标人的任何工作人员对投标人所作的任何口头解释、介绍、答复,对招标人和投标人均无任何约束力。
4.投标人应承担所有与准备和参加投标有关的全部费用,招标人在任何情况下均无义务和责任承担此费用。
5.中标人瑕疵滞后发现的处理原则:无论基于何种原因,各项本应作为拒绝处理的情形即便未被及时发现而使该中标人通过了资格审核、初评、现场复审、终评或其他所有相关程序,包括已签订合同的情形,一旦中标人被拒绝或该中标人此前的评议结果被取消,相关的一切损失均由该中标人承担。
九、招标解释权
本次招标最终解释权归中国重汽集团济南动力有限公司。
第二章 新能源车网络安全开发项目技术要求
1. 项目概述
1.1 项目背景
2020年6月,联合国世界车辆法规协调论坛(WP.29)发布了关于智能网联汽车的重要法规UN R155/156,并于2021年1月22日生效。法规明确2022年7月起适用于新车型,2024年7月起适用于所有车型。UN R155/156法规属于强制实施的准入型法规,销往欧洲、日本、韩国等国家地区的车型需要获取CSMS/SUMS体系认证和VTA车型认证后,方可在当地注册和销售。
另外,我国汽车网络安全相关强制性标准《汽车整车信息安全技术要求》和《汽车软件升级通用技术要求》已经报批,据官方文件显示,将在2026年1月1日起实施。两部标准同样对汽车企业汽车产品的网络安全和软件升级从管理角度和技术角度提出了具体要求,基本与UN R155/156法规要求一致或相近。未来也将作为国内汽车产品准入的先决条件,纳入新车型公告管理当中。
本项目针对一款重汽新能源车型完成整车级概念阶段开发,向各个控制器/部件提出网络安全要求,并协助中国重汽进行供应商设计方案与测试报告审核,并最终完成整车网络安全一致性测试。期间,需协助中国重汽完成自研整车控制器网络安全开发及验证,包括概念阶段交付物审核以及测试用例测试报告审核工作。
1.2项目目的完成整车网络安全概念设计,形成安全目标、安全概念及相关ECU网络安全需求规范;协助完成供应商网络安全测试方案以及报告审核;完成整车级网络安全需求一致性测试、模糊测试和渗透测试,验证整车实现与需求一致;协助完成自研控制器概念阶段开发和测试工作;完成网络安全开发测试必要的培训工作。1.3 项目依据主要标准/法规
1.4项目工作范围
项目以重汽纯电车型为样本车辆,对整车所有功能进行网络安全概念阶段开发工作,依据但不限于WP29 R155、R156法规以及《汽车整车信息安全技术要求》(征求意见稿),并完成整车级网络安全需求一致性测试。
协助完成网络安全相关控制器供应商测试方案以及报告审核。
协助完成自研控制器的网络安全概念阶段开发交付物和测试交付物审核工作。
完成网络安全开发以及测试培训。
项目工作内容:
现联合设计公司进行整车网络安全开发测试相关项目,详情如下:
1.5 总体要求
1.5.1 设计公司以中国重汽指定的车型为设计目标,结合自身之前的项目经验,完成整车网络安全概念阶段开发以及整车测试工作,向中国重汽提供概念阶段交付物、测试报告、培训材料等文件,在完成相关工作后,提供网络安全开发测试培训。
1.5.2 设计公司提供的技术文件(所有与项目相关的技术数据、参数、文件、档案和资料)应符合汽车行业法规及标准,符合中国重汽标准。相关设计文件、检验标准由双方商定,并经中国重汽书面认可后执行。
1.5.3 设计公司需按照中国重汽要求开展质量、成本、进度管理工作。
1.5.4 设计公司需明确内部评审等级、质量保障方式,设计公司向中国重汽提交交付物前,需对交付物进行严格的内部评审,并完成签批后交付中国重汽;
1.5.5 项目过程中,设计公司派遣项目团队成员驻厂办公,与中国重汽一起完成项目成果。为保持项目团队成员稳定,项目进行中未经中国重汽书面同意,设计公司不得随意更换项目成员;
1.5.6 本设计方案在具体设计过程中可进一步完善和修整;
1.5.7 中标方的驻场人员均需提供证据证明其项目经验,以第三方颁发的网络安全资质证书为准;
1.5.8 本项目不允许中标方外包或者转包,中标方所有的项目组成员包含但不限于驻场服务人员均需提供6个月以上的社保证明并经中国重汽查验,如发现有外包或者转包情形,会按照中国重汽相关规定拉入供应商黑名单。
2. 项目周期与进度计划2.1 项目重要里程碑安排见下表:
2.2 甲乙双方合同签订后两周内,乙方完成该项目实施的具体方案,并提供切实可行的工程开发节点计划和按重点交付物排布的分进度计划。2.3 合同一经签定,乙方必须严格遵守开发计划,同时可以提出合理的有利于项目的改进建议。因甲方原因(会签延误、付款延误)造成项目节点顺延外,本项目的最终完成交付的时间不变。2.4 若因特殊情况乙方不能按进度计划表中规定时间完成某个阶段的工作,乙方应立即将有关情况书面通知甲方,并及时提供有关证明材料,取得甲方认可。甲方认可后,乙方开发进度可以相应顺延或按甲方规定的时间执行。3.项目详细工作内容3.1 整车&部件网络安全概念阶段开发方法制定
为了保证整车&部件网络安全概念阶段开发进度,且与中国重汽现有网络安全体系流程保持一致。设计公司自身应满足ISO/SAE 21434网络安全管理体系要求并取得第三方审核证书,并且具有整车网络安全开发并且通过最终R155、R156 VTA审核的项目经验。 设计公司需在项目前期基于业界主流方案、认证项目经验,与中国重汽共同确定概念阶段开发工作模板及流程,明确网络安全概念开发方法论。
表 1 网络安全开发方法制定
3.2 整车概念阶段开发
基于功能清单,遵循ISO&SAE 21434标准规定的网络安全概念阶段开发流程,参考WP29 R155附录5以及《汽车整车信息安全技术要求》(征求意见稿)法规要求,以每一个主功能为相关项进行整车网络安全概念阶段开发。
需针对每个主功能进行相关项定义工作。相关项定义包含相关项整车架构图,相关项资产汇总,现有安全机制统计以及各子功能详细描述。相关项整车架构图需体现相关项边界、控制器、运行环境边界。相关项资产汇总需包含资产编号、资产名称、资产类型以及资产功能,以方便后续便于执行威胁分析与风险分析。各子功能详细描述需包含功能描述,基于数据流图和时序图的形式说明功能运行逻辑。
应将每个具有独立功能的通信信号、存储数据作为独立的资产进行分析,以保证损害场景的确定性和唯一性。
应在威胁分析与风险评估(后续简称“TARA”)前首先基于项目经验确定损害场景库以及威胁场景库。其中损害场景库需包括整车级可能出现的安全、经济、操作、隐私等损害场景,并且确定其各场景的影响等级。威胁场景库需包含整车级常见的攻击路径,并基于攻击时间、已知知识、人员能力要求、攻击窗口、所需工具五个维度进行攻击可行性定义。
应保证上述场景均有唯一编号以便于统一引用。并且为保证中国重汽后续针对场景的维护和更新,需明确命名规则以及更新方式。
应保证场景库中损害场景数量>50,威胁场景数量>100。
应将威胁场景与WP29 R155附录5相关攻击方式进行关联,保证法规覆盖度。
应基于STRIDE方法针对每个资产进行信息安全影响要素分析,包含真实性、完整性、不可抵赖性、机密性、可用性、授权六个维度。
应明确每个资产信息安全要素被破坏的后果。
应基于影响等级以及攻击可行性确定风险值以及CAL。
确认安全处置决策的确定。
为每条处置决策为减缓的需求提出安全目标,为接受和转移的提出安全声明。
将安全目标和安全声明进行汇总,并具备唯一的ID以便于需求管理。
针对残余风险进行分析。
基于ISO & SAE 21434法规要求进行TARA交付物审核工作,保证其交付物质量满足法规要求。
针对每个安全目标设计网络安全机制,并完成与安全目标的关联。
将每个网络安全机制基于控制器为颗粒度进行需求拆解,并完成网络安全需求分配和汇总。
为每个安全机制以及安全需求进行ID定义,且ID唯一。
乙方应基于控制器配套经验、网络安全软件开发经验以及零部件开发经验设计相应网络安全机制,辅助中国重汽与相关供应商进行沟通,以保证需求落地性。
基于ISO&SAE21434法规要求进行网络安全概念交付物审核工作,保证其交付物质量满足法规要求。
将每个控制器的网络安全需求进行汇总,完成《零部件网络安全需求规范》以释放给相关供应商。支持后续的零部件开发工作。
在确定《零部件网络安全需求规范》时,为保证后续网络安全需求实现的落地性,乙方应支持中国重汽与供应商进行沟通确认,明确需求的可实现性,必要时需根据实际情况针对需求分配、网络安全概念进行变更。
TARA分析工具支持项目管理、资产库管理、损害场景库管理、攻击库管理、网络安全需求/措施分类、TARA分析参数配置、自动生成攻击路径/攻击树、自动计算网络安全风险、一键生成损害场景、威胁攻击路径以及TARA分析报告导出等功能,乙方支持中国重汽进行需求录入管理工作,以保证网络安全相关数据的一致性。
为支持后续可能的出口需求,乙方相关交付物均为中英双语。
表 2整车网络安全概念阶段开发
注:上表及下列表格中,缩略语对应如下:
R=Responsible,表明相关方会负责此项服务,即由相关方完成此项服务内容;
S=Support,表明相关方会支持此项服务内容,但相关方不是责任方;
C=Consultant,表明相关方对此项服务提供驻厂咨询服务(驻厂人数不少于4人),即提供培训+示例展示+辅导+评审,但相关方不是责任方;
本项目涉及的整车功能清单如下:
3.3 整车通用网络安全技术规范开发
乙方需协助中国重汽制定整车统一的ECU网络安全通用技术规范,开发包括安全启动、安全刷写、安全升级、安全存储、安全诊断和IDPS等网络安全机制的技术规范。网络安全通用技术规范作为网络安全需求规范的实现方式,支撑不同供应商采用统一的技术规范开发零部件安全机制。网络安全通用技术规范至少涵盖以下内容:
安全启动:数据保护范围、校验值加密算法、校验值校验流程、安全启动密钥管理、安全启动错误处理;
安全刷写:安全刷写流程、数据保护范围、校验值加密与校验算法、安全刷写密钥证书管理、安全刷写错误处理;
安全升级:车云安全通信规范、车云认证规范、升级数据完整性验证、升级失败回退机制、用户告知与同意、安全事件审计、安全升级密钥证书管理、安全升级错误处理;
安全存储:安全存储方式(硬件安全存储、软件加密存储、访问控制等)、安全存储数据范围、安全存储密钥证书管理(如有)、安全存储错误处理;
安全诊断:网关诊断请求认证与认证状态管理、网关诊断数据隔离、安全诊断服务定义、安全诊断加密算法、安全诊断密钥证书管理、安全诊断错误处理;
IDPS:车端IDPS部署方案及检测范围、整车入侵检测规则、入侵事件分析、入侵事件处理、系统安全检测、安全审计、IDPS软件开发要求、安全日志规范与传输存储要求、云端安全事件管理要求。
3.4 自研整车控制器概念阶段开发协助
乙方应基于零部件网络安全开发项目最佳实践,提供部件级网络安全概念阶段开发培训,中国重汽根据培训完成自研控制器网络安全概念阶段开发工作。乙方应针对交付物进行一轮评审工作。
乙方应针对资产识别完整度、攻击路径完整度、安全机制覆盖度进行评审。
乙方应基于法规要求建立checklist以保证评审工作的完整性。
乙方应针对评审问题进行审核报告编写,报告中需明确问题内容以及整改建议。
乙方应在审核报告中体现最终的审核结论。
为支持后续可能的出口需求,乙方相关交付物均为中英双语。
表 3 自研整车控制器概念阶段开发协助
3.4 供应商网络安全测试报告审核
中国重汽协调供应商提交报告并组织评审会议。
乙方应协助中国重汽,根据供应商提交测试方案、测试报告进行审核,确认供应商测试方案的完整性、有效性,节约整车开发周期,保障产品开发质量。
乙方应针对需求覆盖度、测试点完整性、测试方法正确性、测试结果可靠性等方面进行评审。
乙方应基于法规要求建立checklist以保证评审工作的完整性。
乙方应针对评审问题进行审核报告编写,报告中需明确问题内容以及整改建议。
乙方应在审核报告中体现最终的审核结论。
为支持后续可能的出口需求,乙方相关交付物均为中英双语。
表 4零部件网络安全测试交付物审核协助
3.5 整车网络安全需求一致性测试
根据网络安全技术规范,根据需求完成整车级网络安全需求一致性测试、模糊测试和渗透测试,确认整车实现与需求定义的一致性。
编写相应测试用例,用例至少包含测试对象、测试目的、测试环境、测试步骤、期望结果以及关联需求。
测试用例数量不少于400条。
针对测试用例的完整性、正确性、需求关联进行自查,并通过评审。
乙方应针对测试用例进行测试环境搭建,测试脚本工程编写工作。其中所需的待测样件、线束、系统台架、整车等由中国重汽提供。其中常见测试设备如CANoe需由中国重汽提供,其他特殊设备双方协商。
应对整车进行一轮测试及一轮针对问题项的回归测试。并提交测试报告及相应的log、截图等佐证材料。
乙方支持与零部件供应商进行问题确认、解决方案讨论等会议参与,支持整车开发的顺利推动。
为支持后续可能的出口需求,相关交付物均为中英双语。
表 6: 网络安全需求一致性测试
3.6 自研整车控制器网络安全测试协助
乙方应基于零部件网络安全开发项目最佳实践,提供部件级网络安全测试培训,中国重汽根据培训完成自研控制器网络安全测试工作。乙方应针对交付物进行一轮评审工作。
乙方应针对需求覆盖度、测试点完整性、测试方法正确性、测试结果可靠性等方面进行评审。
乙方应基于法规要求建立checklist以保证评审工作的完整性。
乙方应针对评审问题进行审核报告编写,报告中需明确问题内容以及整改建议。
乙方应在审核报告中体现最终的审核结论。
为支持后续可能的出口需求,相关交付物均为中英双语。
表 5 VTCU网络安全测试交付物审核
3.7 网络安全培训
为保证中国重汽对网络安全整体开发流程的认识,需针对国内外法规、网络安全开发方法、常见网络安全机制、网络安全测试方法等内容进行培训。
表 6网络安全培训
4.项目协作及软件版本4.1 双方各自指定一名项目经理负责对项目协调及进度跟踪管控。在项目开发过程中,设计公司的项目负责人不能很好履行合同要求或对于交付物不满意时,中国重汽有权要求设计公司更换人员。4.2 本项目在实施过程中,中国重汽指定项目授权管理人员,设计公司指定项目管理团队、执行团队,在整个项目期间,未经中国重汽建议或许可,项目负责人不得变更,项目主要参与人员不得变更。5.项目交付物5.1 具体详见附件12交付物清单明细表。5.2 所有资料均应以可编辑形式交付,文字一律使用中英双语。6.项目评审及节点验收6.1 项目以设计目标和国家相关法规、标准为验收依据,以项目评审会的方式验收,并以双方负责人签字为准。6.2 项目验收分阶段在各个节点结束后进行。以双方负责人签订的评审报告或会议纪要为准。节点验收前设计公司需进行自检,并提前3日通知中国重汽进行节点验收;6.3 项目节点评审发现的问题,设计公司必须在一周之内提出解决方案,确保节点可控。6.4 在通过项目节点验收后如因设计缺陷而产生的问题,由编写方负责设计修改,双方组会确认。附件12 交付物清单明细表
合同编号:
技术咨询合同
项目名称: 新能源车网络安全开发项目
委托方(甲方): 中国重汽集团济南动力
有限公司
受托方(乙方):
签订地点: 济南
有效期限: 一年
中华人民共和国科学技术部印制
填 写 说 明
一、本合同为中华人民共和国科学技术部印制的技术咨询合同示范文本,各技术合同认定登记机构可推介技术合同当事人参照使用。
二、本合同书适用于一方当事人(受托方)为另一方(委托方)就特定技术项目提供可行性论证、技术预测、专题技术调查、分析评价报告所订立的合同。
三、签约一方为多个当事人的,可按各自在合同关系中的作用等,在“委托方”、“受托方”项下(增页)分别排列为共同委托人或共同受托人。
四、本合同书未尽事项,可由当事人附页另行约定,并作为本合同的组成部分。
五、当事人使用本合同书时约定无需填写的条款,应在该条款处注明“无”等字样。
技术咨询合同
委托方(甲方): 中国重汽集团济南动力有限公司
住 所 地: 中国济南市章丘圣井唐王山路北潘王路西
法定代表人: 赵红
项目联系人: 刘昌林
联系方式 :18366131962
通讯地址: 中国济南市高新区舜华南688号
电话: 传真:
电子信箱: liuchanglin@sinotruk.com
受托方(乙方):
住 所 地:
法定代表人:
项目联系人:
联系方式 :
通讯地址:
电话: 传真:
电子信箱:
本合同甲方委托乙方就 新能源车网络安全开发 项目进行技术咨询,并支付咨询报酬。双方经过平等协商,在真实、充分地表达各自意愿的基础上,根据《中华人民共和国民法典》的规定,达成如下协议,并由双方共同恪守。
第一条:乙方进行技术咨询的内容、要求和方式:
1.咨询内容:
。
2.咨询要求:
。
3.咨询方式:
。
第二条:乙方应当按照下列进度要求进行本合同项目的技术咨询工作:
。
第三条:为保证乙方有效进行技术咨询工作,甲方应当向乙方提供下列协作事项:【据实填写】
1.提供技术资料:
(1)
(2)
(3)
(4)
2.提供工作条件:
(1)
(2)
(3)
(4)
3.其他:
。
甲方提供上述协作事项的时间及方式:
。
第四条:甲方向乙方支付技术咨询报酬及支付方式为:
1.技术咨询报酬总额为:【列明含税、不含税及税率】
2.技术咨询报酬由甲方 分期 (一次或分期)支付乙方。
具体支付方式和时间如下:
(1)
(2)
(3)
乙方开户银行名称、地址和帐号为:
开户银行:
地址:
帐号:
第五条:双方确定因履行本合同应遵守的保密义务如下:
甲方:
无保密内容(包括技术信息和经营信息)需甲方进行保密,甲方无涉密人员、无保密期限、无泄密责任。
乙方:
1. 保密内容(包括技术信息和经营信息): 乙方不得向第三方泄漏委托业务的内容以及执行业务过程中获知的甲方一切信息(不包括乙方获知以前已经公开或乙方已经合法拥有的)。
2.涉密人员范围: 所有参加开发工作的相关人员 。
3.保密期限: 自保密信息披露之日起【5年(根据项目判断具体保密期限)】。
4.泄密责任: 一旦由乙方泄密时,乙方应向甲方赔偿泄密给甲方造成的损失,包括但不限于甲方聘请律师费用以及办理该纠纷产生的相关差旅、住宿等费用。 。
第六条:本合同的变更必须由双方协商一致,并以书面形式确定。一方可以向另一方提出变更合同权利与义务的请求。
第七条:双方确定,按以下标准和方式对乙方提交的技术咨询工作成果进行验收:
1.乙方提交技术咨询工作成果的形式: 乙方以邮件或邮寄形式提交所有相关设计的技术资料,技术成果给甲方。
2.技术咨询工作成果的验收标准:
。
3.技术咨询工作成果的验收方法:
。
4.验收的时间和地点: 按甲方指定的时间,按甲方指定的邮箱及地点,发送给甲方指定人 。
第八条:双方确定,按以下约定承担各自的违约责任:
1. 【乙】 方违反本合同约定,应当 返还甲方已支付的所有费用并向甲方支付合同总金额10%的违约金,若违约金不足以弥补甲方损失的,乙方还应当按本合同约定赔偿 。
第九条:双方确定,甲方按照乙方符合本合同约定标准和方式完成的技术咨询工作成果做出决策并予以实施所造成的损失,按以下方式处理: 乙方承担全部责任。
第十条:双方确定:
1.在本合同有效期内,甲方利用乙方提交的技术咨询工作成果所完成的新的技术成果,归 甲 方所有。
2.在本合同有效期内,乙方利用甲方提供的技术资料和工作条件所完成的新的技术成果,归 甲 方所有。
第十一条:双方确定,在本合同有效期内,甲方指定
为甲方项目联系人,乙方指定 为乙方项目联系人。项目联系人承担以下责任:
1. 【举例: 劳务管理及工作上的指挥命令】
2. 【举例: 有关本业务履行过程中的双方联络及调整】
3. 【举例:项目开展过程的项目信息沟通、项目交付物签收与确认】
4.
一方变更项目联系人的,应当及时以书面形式通知另一方。未及时通知并影响本合同履行或造成损失的,应承担相应的责任。
第十二条:双方确定,因发生不可抗力,致使本合同的履行成为不必要或不可能的,可以解除本合同:
第十三条:双方因履行本合同而发生的争议,应协商、调解解决。协商、调解不成的,依法向甲方所在地人民法院起诉。
第十四条:双方确定:本合同及相关附件中所涉及的有关名词和技术术语,其定义和解释如下:【据实填写,如没有,填写“无”或删除本条】
1.
2.
3.
4.
5.
第十五条:与履行本合同有关的下列技术文件,经双方确认后,
为本合同的组成部分:【根据实际情况据实填写,若没有可以删除】
1.技术背景资料: ;
2.可行性论证报告: ;
3.技术评价报告: ;
4.技术标准和规范: ;
5.原始设计和工艺文件: ;
6.其他: ;
第十六条:双方约定本合同其他相关事项为:【根据实际情况据实填写,若没有可以删除】 。
第十七条:本合同一式 份,具有同等法律效力。
第十八条:乙方应当按以下方式向甲方交付研究开发成果:
1.研究开发成果交付的形式及数量: 乙方以邮件或邮寄形式提交所有相关设计的技术资料,技术成果给甲方。
2.研究开发成果交付的时间及地点: 按甲方指定的时间,按甲方指定的邮箱及地点,发送给甲方指定人员。
第十九条:双方确定,按以下标准及方法对乙方完成的研究开发成果进行验收: 以各阶段项目验收标准(详见技术协议)为依据,由甲方对本合同技术成果进行验收。
第二十条:乙方应当保证其交付给甲方的研究开发成果不侵犯任何第三方的合法权益。如发生第三方指控甲方实施的技术侵权的,乙方应当负责解决并承担相应的法律责任及由此给甲方造成的损失。
第二十一条:双方确定,因履行本合同所产生的研究开发成果及其相关知识产权权利归属,按下列第 1 种方式处理:
1.本合同内容涉及的所有知识产权归 甲 方所有,甲 方享有申请专利的权利及著作权。
双方对本合同有关的知识产权权利归属特别约定如下:在本合同履行完毕后5年内,或者因本合同原因而接触甲方相关信息后5年内,乙方及乙方工作人员在甲方提供信息的基础上而进行的任何设计、研究、发明等的知识产权,权利归属于甲方。
第二十二条:乙方不得在向甲方交付研究开发成果之前,自行将研究开发成果转让给第三方。
第二十三条:乙方完成本合同项目的研究开发人员享有在有关技术成果文件上写明技术成果完成者的权利和取得有关荣誉证书、奖励的权利。
第二十四条:乙方利用研究开发经费所购置与研究开发工作有关的设备、器材、资料等财产,归甲方所有。
第二十五条:双方确定:任何一方违反本合同约定,双方应通过友好协商解决;协商不成或一方不愿协商的,任何一方均可将争议提交合同签订所在地有权管辖的人民法院解决。
第二十六条:双方确定,甲方有权利用乙方按照本合同约定提供的研究开发成果进行后续改进。由此产生的具有实质性或创造性技术进步特征的新的技术成果及其权利归属,由 甲 方享有。
第二十七条:双方确定,在本合同有效期内,甲方指定 刘昌林 为甲方项目联系人,乙方指定 为乙方项目联系人。
第二十八条:开发成果被甲、乙双方正式接受和确认,即应视为开发目标的完成。
项目结束后,在甲方所在地、由甲方负责组织项目验收工作,所需费用由甲方承担,乙方人员费用自理;验收通过后,甲方立即为乙方出具项目验收证明。
甲乙双方根据本协议全力配合开展工作。乙方提供的技术方案、技术路线、实现目标和考核指标应具有针对甲方的明确性目标,并具有较强的可行性和可操作性。
不论本协议是否规定完善,甲乙双方均知晓应完整、及时地完成各阶段的研究及其技术文件,并努力按质按量通过阶段检查、验收或项目总验收。
乙方项目负责人应根据项目要求及时参加课题阶段会议,同时应在本协议项目进度要求规定的节点前提交本协议的工作报告。
甲方有权根据预定的目标在取得乙方同意后考察乙方的工作进度,协议期间若因乙方自身过错出现严重影响本项目实施进度的情况时,经双方协商后可以终止本协议,乙方应将已收到甲方支付的费用退还甲方;当由于乙方自身过错导致本项目拖期,甲方应提出警示;当由于乙方自身过错导致本项目无法通过甲方上级组织的验收时,乙方应按甲方实际已经支付给乙方的费用50%退还给甲方。由于甲方自身原因或其他第三方不可抗拒原因影响乙方未完成进度,乙方不承担违约责任。
第二十九条:本合同经双方签字盖章后生效。
本合同的各签约方选择使用电子签约的,已由法定代表人本人或授权其代理人在电子签约平台进行了实名注册,并通过CA证书进行签约。电子签约的任一方均已知晓且同意通过代理人密码登录账户后的所有操作视为该方的行为,并自愿承担由此产生的一切法律后果。电子签约方的代理人包括在平台完成认证并具有相应盖章、签字权限的管理员、盖章人或签名人。电子签约方在相关电子合同通过CA证书进行电子签章的,视为该方有效签署合同。如各方签章时间不一致的,以最后签章的时间为准。本合同所有的手写涂改部分无效(个人手写签名除外)。
若一方不使用电子签约,此情形下各方认可并同意电子签章与在纸质合同上手写签名或者盖章具有同等的法律效力,一方在合同上使用电子签章,另一方将已完成电子签章的合同打印为纸质合同后,再于合同签署处加盖实物印章、手写签名视为双方已签署完毕。
甲方: (盖章)
法定代表人/委托代理人: (签名)
年 月 日
乙方: (盖章)
法定代表人/委托代理人: (签名)
年 月 日
印花税票粘贴处:
(此页由技术合同登记机构填写)
合同登记编号:
1.申请登记人:
2.登记材料:(1)
(2)
(3)
3.合同类型:
4.合同交易额:
5.技术交易额:
技术合同登记机构(印章)
经办人:
年 月 日
| 表1:具体付款方式 | |||
| 项目 | 序号 | 节点 | 比例 |
| 新能源车网络安全开发项目 | 1 | 整车级相关项定义交付完毕; | 20% |
| 2 | TARA分析、概念分析交付完毕; | 30% | |
| 3 | VTCU网络安全开发及验证、外购控制器整改完毕 | 20% | |
| 4 | 整车级测试完毕 | 20% | |
| 5 | 质保期完毕 | 10% | |
| (附法人身份证明复印件) (附授权代理人身份证明复印件) |
| 序号 | 招标要求 | 响应规格 | 是否偏离 |
| 序号 | 采购单位 | 项目名称 (万元) | 数量 | 合同金额 | 合同签订时间 | 联系人及 联系电话 |
| 序号 | 货物名称 | 数量 | 投标总价(元) | 质保期 | 交货及安装 时间 | 付款方式及比例如何响应 | 付款方式及比例是否偏离 |
| 1 | 1批 | 不含税价: 含税价格: 税率: |
| 序 号 | 部件名称 | 规格型号 | 单 位 | 数 量 | 生产厂商名称 | 单价 | 分项金额 | 交货日期 | 交货地点 |
| 合计: | |||||||||
| 项目 | 招标文件要求 | 响应规格 | 是否偏离 (提供说明) |
| 质保期 | |||
| 交货时间及地点 | |||
| 付款条件 | |||
| 售后技术服务要求 | 无偏离 | ||
| 备品备件及耗材等要求 | 无 | 无 | 无 |
| 分类 | 评审项目 | 评定内容 | 最大分值(分) |
| 技术100分 | 项目经验 | 1.投标人需要至少有5家国内外主流主机厂整车网络安全工程开发经验,需具备国内外网络安全开发案例至少10个,此项得10分。 2.投标人需要同时有VCU、中控大屏、TBOX、网关、BCM 5个部件的网络安全工程开发经验,此项得5分,无法满足要求,得0分。 3.服务对象为国内外主流汽车企业或者关键、重要企业5家以上,此项得5分。 得分原则:提供有效合同复印件或其他有效证明材料 | 20 |
| 整车网络安全技术方案质量 | 对整车网络安全开发需求理解完全正确,技术方案完整、合理、阐述详尽。整车级网络安全开发方案内容清晰,标准正确,内容应覆盖整车动力域、底盘域、车身及信息娱乐、智驾域。满分20分,无法满足要求,得0分;提供网络安全开发培训,包括但不限于规范、标准、案例等,此项得分10分3.整车级、部件级网络安全文档符合标准要求,且具备较高的颗粒度,满分5分,无法满足要求,得0分 4.服务承诺,具有较理想的服务承诺。此项得分5分。 | 40 | |
| 项目周期 | 1.需求开发阶段的重要节点有明确节点计划,并且安排合理; 2. 周期满足招标要求。 得分原则:每阶段有明确节点计划并安排合理,周期无法满足招标要求,则此项为0分。 | 10 | |
| 项目团队配备 | 1.公司资质:投标方网络安全团队至少有不少于10位的满5年汽车行业工作经验的网络安全开发工程师。满分5分 2.投标方需具备成熟的整车网络安全开发和辅导的能力,包括但不限于整车网络安全开发和控制器产品网络安全开发等,满分5分。 3.投标方应具备国内外整车网络安全开发能力且网络安全团队不少于10人,且项目主负责人具备10年以上网络安全相关经验,满分5分; 4.此项目拟投入开发人员不少于8人,提供投入人员情况(含姓名、联系方式等),且均为隶属于供应商的正式员工,最低汽车行业开发工作年限不少于5年,满分5分; | 20 | |
| 资质文件 | 对于招标文件要求的资格证明文件,每缺少一项扣除1分;扣完为止。 | 10 |
| 技术/资质/商务文件 (1正本/ 副本) 项目名称:新能源车网络安全开发项目 投标人名称(公章): 地址: 授权代表电话: 传真: |
| 序号 | 标准/法规编号 | 标准/法规名称 |
| 1 | GB/T 40861-2021 | 汽车信息安全通用技术要求 |
| 2 | UN R155 | 关于批准车辆网络安全与网络安全管理系统的统一规定 |
| 3 | UN R156 | 关于批准车辆软件更新和软件更新管理系统的统一规定 |
| 4 | ISO/SAE 21434 | 道路车辆-网络安全工程 |
| 5 | ISO/DIS 24089 | 道路车辆-软件更新工程 |
| 6 | GB XXXX | 汽车整车信息安全技术要求 |
| 7 | GB XXXX | 汽车软件升级通用技术要求 |
| 8 | GB/T 40856-2021 | 车载信息交互系统信息安全技术要求及试验方法 |
| 9 | GB/T 40855-2021 | 电动汽车远程服务与管理系统信息安全技术要求及试验方法 |
| 10 | GB/T 40857-2021 | 汽车网关信息安全技术要求及试验方法 |
| 11 | GB/T 41578-2022 | 电动汽车充电系统信息安全技术要求及试验方法 |
| 12 | 20211169-T-339 | 汽车诊断接口信息安全技术要求 |
| 序号 | 名称 | 备注 |
| 1 | 整车网络安全概念阶段开发 | |
| 2 | 整车网络安全测试 | 1轮正式与1轮回归 |
| 3 | 零部件供应商测试报告审核 | |
| 4 | 整车控制器概念阶段开发及测试审核 | |
| 5 | 网络安全开发及测试培训 |
| 序号 | 时间 | 工作内容 | 责任方 |
| 1 | 2024.9 | 项目启动 | 甲/乙方 |
| 2 | 2025.3 | 整车网络安全概念阶段开发 | 甲/乙方 |
| 3 | 2025.8 | 零部件供应商测试审核 | 甲/乙方/甲方供应商 |
| 4 | 2025.8 | VTCU网络安全开发及测试审核 | 甲/乙方 |
| 5 | 2025.9 | 整车网络安全测试 | 甲/乙方 |
| 6 | 2025.9 | 完成网络安全培训 | 乙方 |
| 工作项目 | 描述 | 甲方 | 乙方 | 工作交付物 | |
| 1 | 开发方法制定 | 结合架构开发流程以及认证经验,完成概念阶段网络安全开发方法制定 | S | R | 整车网络安全概念阶段开发模板(一套)部件网络安全概念阶段开发模板(一套) |
| 工作项目 | 描述 | 中国重汽 | 乙方 | 工作交付物 | |
| 1 | 相关项定义 | 根据架构输入,明确功能逻辑,数据流 | R | SC | 相关项定义(10份) |
| 2 | TARA | 识别资产,分析危害场景及威胁场景,确定风险等级,确定处置措施及安全目标或声明 | R | SC | TARA(包含安全目标及安全声明,10份)安全目标验证报告(10份) |
| 3 | 网络安全概念 | 基于安全目标设计整车安全机制,并分配给控制器对应安全需求,确定通用网络安全技术规范 | R | SC | 网络安全概念(10份)网络安全概念验证报告(10份) |
| 4 | ECU网络安全需求 | 与供应商沟通确认,明确各控制器网络安全需求 | R | SC | ECU网络安全规范(每个网络安全相关ECU,20份) |
| 序号 | 主功能 | 中国重汽 | 乙方 | 备注 |
| 1 | 灯光 | R | SC | |
| 2 | 雨刮控制 | R | SC | |
| 3 | 声音报警 | R | SC | |
| 4 | 差速锁 | R | SC | |
| 5 | 后视镜调节 | R | SC | |
| 6 | 车窗升降 | R | SC | |
| 7 | 门锁 | R | SC | |
| 8 | 胎压监测 | R | SC | |
| 9 | 钥匙进入及一键启动 | R | SC | |
| 10 | 充电 | R | SC | |
| 11 | 电池管理 | R | SC | |
| 12 | 驱动电机管理 | R | SC | |
| 13 | 高压安全控制 | R | SC | |
| 14 | DCDC控制 | R | SC | |
| 15 | 换挡控制及档位显示 | R | SC | |
| 16 | 行驶驱动 | R | SC | |
| 17 | 定速巡航 | R | SC | |
| 18 | 能量回收 | R | SC | |
| 19 | 座舱空调控制 | R | SC | |
| 20 | 高压热管理 | R | SC | |
| 21 | 行车制动EBS | R | SC | |
| 22 | 空气悬架ECAS | R | SC | |
| 23 | 电子手刹EPB | R | SC | |
| 24 | 转向助力系统EHPS | R | SC | |
| 25 | 车道偏离预警LDW | R | SC | |
| 26 | 前碰撞预警FCW | R | SC | |
| 27 | 自动紧急制动系统AEBS | R | SC | |
| 28 | 盲区监测功能BSD | R | SC | |
| 29 | 低速防撞雷达 | R | SC | |
| 30 | 疲劳预警 | R | SC | |
| 31 | 销贷锁车 | R | SC | |
| 32 | 全景影像 | R | SC | |
| 33 | 收音机 | R | SC | |
| 34 | 导航 | R | SC | |
| 35 | 蓝牙 | R | SC | |
| 36 | USB | R | SC | |
| 37 | 数据上报 | R | SC |
| 工作项目 | 描述 | 中国重汽 | 乙方 | 工作交付物 | |
| 1 | 开发及审核 | 依据法规要求和项目经验,评审确定整车控制器概念阶段开发交付物 | R | S | 整车控制器相关项定义文档整车控制器TARA文档整车控制器网络安全概念文档 |
| 2 | 开发及审核 | 依据法规要求和项目经验,评审确定整车控制器概念阶段开发交付物 | S | R | 整车控制器相关项定义文档整车控制器TARA文档整车控制器网络安全概念文档整车控制器网络安全概念阶段开发交付物审核评估报告(一份) |
| 工作项目 | 描述 | 中国重汽 | 乙方 | 工作交付物 | |
| 1 | 测试报告审核 | 基于供应商提交的测试方案及测试报告进行审核,确认测试内容的完整性和正确性,保障交样产品的网络安全功能正常 | S | R | 零部件网络安全测试交付物审核评估报告(每个涉及到网络安全的ECU一份) |
| 工作项目 | 描述 | 中国重汽 | 乙方 | 工作交付物 | |
| 1 | 整车级测试用例编写 | 根据技术规范完成整车级测试用例编写,包括GNSS、车身接口、远程诊断(如有)、APP交互、USB、遥控钥匙、车外通讯等,并完成评审 | S | R | 整车级网络安全测试用例(一份) |
| 2 | 一轮整车级测试 | 根据测试用例完成一轮网络安全整车测试执行 | S | R | 整车级网络安全测试报告(一份) 测试脚本工程 |
| 3 | 一轮针对问题项的复测 | 针对测试问题,对整改后的整车进行一轮复测,确认问题修复 | S | R | 整车级网络安全复测报告(一份) |
| 工作项目 | 描述 | 中国重汽 | 乙方 | 工作交付物 | |
| 1 | 测试方案开发与执行 | 自研控制器网络安全测试方案开发与测试执行,并完成测试报告编制 | R | C | 固件安全测试报告硬件PCB安全测试报告漏洞扫描报告单元/集成测试报告静态代码检查测试报告 |
| 2 | 测试工作产品审核 | 基于中国重汽的测试方案及测试报告进行审核,确认测试内容的完整性和正确性,保障产品的网络安全功能正常 | S | R | 整车控制器网络安全测试交付物审核评估报告 |
| 工作项目 | 描述 | 中国重汽 | 乙方 | 工作交付物 | |
| 1 | 国外法规要求培训 | WP29 R155、R156,ISO 21434等国外法规针对流程、开发测试、运维要求 | S | R | WP29 R155法规要求ISO&SAE21434法规要求 |
| 2 | 国内法规要求培训 | 《汽车整车信息安全技术要求》(征求意见稿)等国内法规技术要求及测试方法培训 | S | R | 《汽车整车信息安全技术要求》(征求意见稿)法规要求培训 |
| 3 | 网络安全基础密码学 | 针对密码学包括常见网络安全要素、对称非对称加密算法、PKI等常见概念 | S | R | 密码学基础 |
| 4 | 概念阶段开发 | 整车&部件网络安全概念阶段开发过程、开发方法说明 | S | R | 相关项定义及数据流图绘制方法TARA方法论及功能分析培训网络安全概念设计方法 |
| 5 | 网络安全测试 | 网络安全需求一致性测试 | S | R | 常见网络安全测试项说明 |
| 阶段 | 工作内容 | 输出 | 备注 |
| 开发方法确定 | 确定整车&部件开发方法 | 整车网络安全概念阶段开发模板(一套)部件网络安全概念阶段开发模板(一套) | |
| 整车概念阶段开发 | 完成整车概念阶段开发,包括相关项定义,TARA和网络安全概念 | 相关项定义(10份)TARA(包含安全目标及安全声明,10份)安全目标验证报告(10份)网络安全概念(10份)网络安全概念验证报告(10份)ECU网络安全规范(20份) | |
| 整车控制器概念阶段开发协助 | 进行控制器网络安全概念阶段开发交付物审核 | 整车控制器相关项定义文档整车控制器TARA文档整车控制器网络安全概念文档整车控制器网络安全概念阶段开发交付物审核评估报告(1份) | |
| 整车通用网络安全技术规范开发 | 制定整车统一的ECU网络安全通用技术规范 | 安全启动技术规范;安全刷写技术规范;安全升级技术规范;安全存储技术规范;安全诊断技术规范;IDPS技术规范 | |
| 供应商网络安全测试报告审核 | 根据checklist完成测试报告审核,并出具审核报告 | 零部件网络安全测试交付物审核评估报告(每个涉及到网络安全的ECU一份) | |
| 整车网络安全需求一致性测试 | 完成整车网络安全需求一致性测试、模糊测试和渗透测试,包含一轮测试和一轮复测 | 整车级网络安全测试用例(一份)整车级网络安全测试报告(一份)整车级网络安全复测报告(一份)测试脚本工程 | |
| 自研控制器网络安全测试协助 | 进行控制器网络安全测试交付物审核 | 整车控制器网络安全测试交付物审核评估报告 | |
| 网络安全培训 | 针对法规、网络安全开发、网络安全测试进行培训 | WP29 R155法规要求ISO&SAE21434法规要求《汽车整车信息安全技术要求》(征求意见稿)法规要求培训密码学基础相关项定义及数据流图绘制方法TARA方法论及功能分析培训网络安全概念设计方法常见网络安全测试项说明 |
解决方案
联系我们
返回顶部