GBT 43964-2024 家用和类似用途电自动控制器空中下载（OTA）技术要求

家用和类似用途电自动控制器空中下载(OTA)技术要求2024-04-25发布2024-11-01实施国家市场监督管理总局国家标准化管理委员会I前言 l2规范性引用文件 13术语和定义 14缩略语 35升级方式分类 35.1按发现机制 5.2按升级内容 36要求 36.1服务平台要求 36.2升级包要求 46.3控制器要求 46.4升级过程要求 56.5管理要求 6.6其他要求 7附录A(资料性)升级包格式规范 9附录B(规范性)通信能力测试方法 B.1测试环境 B.2通信能力测试 附录C(规范性)升级过程测试方法 C.1测试环境 C.2升级发起阶段测试 C.3预升级检查阶段测试 C.4下载阶段测试 C.5切换安装阶段测试 C.6空中升级成功率测试 附录D(规范性)静默升级测试方法 D.1测试环境 D.2测试方法 ⅢGB/T43964—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由中国电器工业协会提出。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国家用自动控制器标准化技术委员会(SAC/TC212)归口。本文件起草单位：合肥美的电冰箱有限公司、杭州鸿雁电器有限公司、广东中创智家科学研究有限公司、中国电器科学研究院股份有限公司、海信空调有限公司、海尔优家智能科技(北京)有限公司、美的集团股份有限公司、上海海思技术有限公司、中移物联网有限公司、北京小米电子产品有限公司、深圳和而泰智能控制股份有限公司、珠海格力电器股份有限公司、青岛海信日立空调系统有限公司、电子科技大学、威凯检测技术有限公司、广东万和新电气股份有限公司、卡奥斯创智物联科技有限公司、青岛海尔科技有限公司、博西华电器(江苏)有限公司、上海科络达云软件技术有限公司、无锡小天鹅电器有限公司、佛山市雅洁源科技股份有限公司、广东美的厨房电器制造有限公司、上海艾拉比智能科技有限公司、大金(中国)投资有限公司、海信(广东)空调有限公司、深圳市晟瑞科技有限公司、青岛国创智能家电研究院有限公司、中移(杭州)信息技术有限公司、施耐德电气(中国)有限公司深圳分公司、青岛海尔智能技术研发有限公司、中山市奥创通风设备有限公司、浙江绍兴苏泊尔生活电器有限公司、谷轮环境科技(苏州)有限公司、箭牌家居集团股份有限公司、厦门华联电子股份有限公司、深圳市酷开网络科技股份有限公司、深圳拓邦股份有限公司、澳柯玛股份有限公司、代傲电子控制(南京)有限公司、浙江哈尔斯真空器皿股份有限公司、佛山市雅洁源科技股份有限公司、浙江飞哲工贸有限公司、汕头市天际电器实业有限公司、宁波行行行标准技术有限公司、广东顺德凝卓智能科技有限公司、广东智科电子股份有限公司、中家院(北京)检测认证有限公司、江阴市志骏电器线缆有限公司、宁波欧知电器科技有限公司、宁波帅威电器有限公司、宁波思朗智能科技发展有限公司、广东当家人智能电器有限公司、智恒(广东)家用电器科技有限公司、中山市迪生电气有限公司、广东超勇检测技术有限公司、广东锦亚科技有限公司、浙江宜居装饰材料有限公司、三门康创电子科技有限公司、深圳市发掘科技有限公司、中山市嘉科电子有限公司、平湖李挺机械制造有限公司、中山市至拓智能控制系统有限公司、浙江安雅智能科技有限公司、山东遥思智能科技有限公司、义乌市全义模具产业发展有限公司、深圳盈特创智能科技有限公司、深圳市智微智能科技股份有限公司、深圳市景欣泰家居用品有限公司、浙江西盈科技股份有限公司、浙江协美科技有限公司。本文件主要起草人：武继荣、费斌、田云龙、孙杰英、景意新、别清峰、付伟、陈林、鲍海森、李波、沈援海、赵小平、汪显方、范凌云、张文强、李蒙、曹诗亮、庄伟玮、孙颖楷、李勇德、邓邱伟、马成东、张作强、单平、谢岳荣、陈虢、李晓榕、欧亮、崔世名、张友福、刘恺、芦小山、夏月飞、林镇城、柯金铭、饶森淼、李百尧、金轮、马志军、柯赐龙、闻人建鑫、施冬冬、蒋惠兴、王哲思、郑赞文、倪燎勇、张德军、1家用和类似用途电自动控制器空中下载(OTA)技术要求1范围本文件规定了家用和类似用途电自动控制器(以下简称“控制器”)空中下载(OTA)的分类、要求，描述了相关的测试方法。本文件适用于带空中下载功能的家用和类似用途的控制器。本文件不适用于电视机、手机、计算机等音视频及信息类产品的控制器。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T14536.1—2022电自动控制器第1部分：通用要求GB/T35273—2020信息安全技术个人信息安全规范GB/T41387—2022信息安全技术智能家居通用安全规范3术语和定义下列术语和定义适用于本文件运行在控制器上的特定应用程序或系统组件的代码、数据和文件等。固件firmware烧录并存储在硬件(芯片、控制器)上使其运行和控制相应功能的软件。一种通过网络将软件、固件等数据从远程服务器传输到控制器中进行更新、安装或配置的方法和过程。固件空中下载firmwareover-the-air;FOTA通过网络对控制器中的固件进行远程升级的过程。软件空中下载softwareover-the-air;SOTA通过网络对控制器中的软件进行远程升级的过程。2升级包upgradepackage用以更新控制器的固件或软件的内容及配置信息，以一定格式形成的数据包。差分更新deltaupdateOTA的一种更新方法，升级包包含新旧版本之间的差异数据，以提高传输和升级效率。全量更新fullupdateOTA的一种更新方法，升级包包含整个新版本数据，直接替换用于控制器运行。控制器上只有一个运行分区，替换分区内容时无法保持功能运行的更新机制。多分区更新multipartitionswitchupdate控制器上有两个以上运行分区，替换备用分区内容时保持功能运行的更新机制。在升级后的版本未能通过确认或检测时，控制器恢复到之前的固件或软件版本的过程。空中下载服务平台OTAplatform用于管理和部署OTA升级机制的服务软件平台。控制器上管理启动过程的程序，使控制器能够加载固件或软件。切换安装upgradeinstallation控制器将升级包包含的新版本固件或软件安装在控制器上的过程。控制器按照功能设计中规定的持续工作状态。完整性验证数据integrityvalidationdata用以检测数据或文件中错误或变化的值。预升级检查pre-upgradecheck在开始OTA升级之前，检查控制器的当前状态和条件的过程。跟踪和管理不同版本的固件或软件的不同版本的过程。辅助升级工具auxiliaryupgradetool独立于控制器外，实现连接服务器并处理如下载/解密/转发等辅助控制器完成升级的工具。3本地升级localupgrade借助辅助升级工具完成固件或者软件切换更新的方法。4缩略语下列缩略语适用于本文件。CAN:控制器局域网总线(ControllerAreaNetwork)CDN:内容分发网络(ContentDeliveryNetwork)CNNVD:中国国家信息安全漏洞库(ChinaNationalVulnerabilityDatabaseofInformation)CNVD:国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase)PLC:可编程逻辑控制器(ProgrammableLogicController)RSSI:接收的信号强度指示(ReceivedSignalStrengthIndication)SLA:服务等级协议(Service-LevelAgreement)Wi-Fi:无线网络通信技术(WirelessFidelity)2G:第二代移动通信技术(the2ndGenerationMobileCommunicationTechnology)3G:第三代移动通信技术(the3rdGenerationMobileCommunicationTechnology)4G:第四代移动通信技术(the4thGenerationMobileCommunicationTechnology)5G:第五代移动通信技术(the5thGenerationMobileCommunicationTechnology)5升级方式分类5.1按发现机制根据实现空中下载的机制，控制器的升级方式可分为以下三类。a)命令升级：通过控制器本地的控制界面或配套的移动应用界面，由人工操作发起版本查询，反馈结果并得到确认后开始的空中升级。b)推送升级：控制器及其空中下载服务平台在运行中，通过提前设定的机制，自动进行版本查询。当有可升级版本时，在控制器本地的控制界面或配套的移动应用界面中提示信息，由人工操作确认后开始的空中升级。c)静默升级：控制器及其空中下载服务平台在运行中，通过提前设定的机制，进行版本查询。当有可升级版本时，直接完成对控制器的升级。GB/T14536.1—2022附录H中规定的C类控制器，不允许进行静默升级。5.2按升级内容根据更新内容及目标不同可分为固件升级(FOTA)和软件升级(SOTA)。6要求6.1服务平台要求空中下载服务平台应至少包含以下内容：a)建立所需升级产品信息库，至少包括产品类型、控制器能力；4b)建立产品生命周期所需的版本库，并存储每个版本的文件；c)建立升级策略配置能力，至少包括升级产品配置、版本配置、发布配置以及安全配置；d)收集控制器升级各阶段状态信息，用于OTA数据分析和问题追踪。进行OTA升级管理时，空中下载服务平台记录升级信息，应至少包含以下内容：a)控制器的唯一识别码；b)控制器每次升级的版本信息；c)控制器每次升级的时间、是否成功的信息；d)控制器升级异常时的错误信息。以上信息应至少保留存储10年，并能进行访问控制。空中下载服务平台运行所涉及到的服务器(云服务器或者物理服务器)、存储设施、安全监控设施等a)SLA应达到99.9%;b)宜设计为弹性可扩容；c)升级包下载宜引入CDN。6.2升级包要求升级包的通用要求如下：a)升级包应具有唯一的标识，且与OTA平台标识一一对应；b)升级包应包含完整性验证数据；c)当全量更新的升级包大小超过100M时，宜采用差分更新等方式缩小升级包，使用差分更新时应有相关算法工具标识；d)升级包格式规范参照附录A。升级包的安全要求如下：a)升级包不应使用包含CNVD/CNNVD公布的超过90d的高危及以上漏洞的第三方库和开源组件；b)升级包中不应包含恶意代码；c)升级包宜采用混淆或者加壳等机制防止直接读取代码；d)升级包宜经过第三方漏洞和安全扫描工具的认证；类控制器，其升级包的数据校验，应采用GB/T14536.1—2022中H.12.12.2.3和H.12.12.2.4的方法或其他能证明可提供等效或更高的安全水平的方法。6.3控制器要求控制器宜采用模块化设计，如网络通信部件可使用相应标准模块化设计，使其与控制器主控部分软5硬件分离。6.3.2连接能力要求控制器应具备以下一种或者多种连接能力：6.3.3通信能力要求控制器通信能力的测试按附录B的方法，要求如下：a)联网后持续收发数据的丢包率应不大于0.3%;b)联网后通信系统连接可用率应不低于99.9%,单次离线时长应不超过2min;c)直接联网的控制器，网络下载的速度应不低于20KB/s;d)控制器应具备断网重连功能。控制器的相关设计要求如下：a)控制器中涉及个人信息安全的部分，应符合GB/T35273—2020中第5章～第10章的要求；b)控制器物理安全，应符合GB/T41387—2022中6.1的要求；c)应对固件/软件进行安全保护(如关闭硬件调试接口等),防止通过串口读取等常规手段从设备中提取关键代码及敏感数据。控制器的标示要求如下：a)控制器应具备网络标示，宜具备空中升级的标示；b)硬件版本应被清晰明确的标示；c)固件/软件版本，宜在控制器本地的控制界面或配套的移动应用界面展示给用户。控制器由多个子系统组成时，要求如下：a)子系统通过级联、总线等方式，应能与网络通信部件进行数据传输；b)子系统提供空中下载功能时，其连接、通信、安全、标示要求应同样满足；c)完成空中下载时，子系统间有顺序要求等兼容性关系的，应明确说明。6.4升级过程要求6.4.1升级发起阶段升级包上传至空中下载服务平台，通过命令升级、推送升级或静默升级方式发起OTA升级阶a)升级包上传至空中下载服务平台时，应进行有效性验证。b)服务器存储升级包时，应至少包含以下信息：——升级包应用的产品类型及版本；——升级包更新需要的空间大小；——升级包更新的内容。6c)进行OTA升级管理时，厂商记录的升级信息应至少包含：——升级的目的；——升级可能影响设备的功能；——目标设备，及其最新已知配置和升级兼容性的数据信息；——如何执行升级以及执行升级的先决条件。d)有定时自动发起版本查询的机制时，时间间隔不应超过24h,如定时间隔中有其他查询进e)发起版本查询，应有重试和超时退出机制，版本查询的结果宜在空中下载服务平台有记录。f)在版本查询的过程中，控制器发生断网或电源中断的情况，恢复正常后应能继续或重新进行版本查询。6.4.2预升级检查阶段控制器从空中下载服务平台取得升级包信息，并进行预升级检查的阶段。控制器正常进入下载阶a)升级包大小不超出控制器内可用空间；b)控制器当前工作状态符合OTA升级的状态要求；c)对于能源供应为电池的控制器，应明确OTA升级所需的电量，控制器当前电量不应小于OTA升级所需电量，宜在显示界面给予保证电量和有效供电的提示；d)除静默升级外，在固件/软件下载开始前，应具备取消下载动作的功能；e)预升级检查的结果宜有上报到空中下载服务平台的功能；f)控制器执行预升级检查时，控制器应正常工作，不影响用户使用。控制器与空中下载服务平台通信，将目标升级包从空中下载服务平台或CDN节点下载到本地并a)对于GB/T14536.1—2022附录H中规定的B类或C类控制器，其固件/软件传输过程和存储过程中进行的数据校验，应采用GB/T14536.1—2022中H.12.12.2.3和H.12.12.2.4的方法或其他能证明可提供等效及更高的安全水平的方法进行；b)若固件/软件下载会影响控制器的功能运行，下载前应确认是否中断用户使用，若不符合条件，应启动相应的升级退出或者延时流程，当正在执行有时序要求的任务时(如烹饪、洗涤、除霜等对子单元任务发生的先后顺序或时间间隔有既定的要求)宜完成当前任务后进行下载；c)在固件/软件下载阶段，若控制器出现超过60s原有功能不能正常工作的情况，应在控制器本地的控制界面或配套的移动应用界面给予用户升级包下载剩余时间预期的提示，如进行的是局部功能的SOTA,不影响控制的基本功能，在用户没有使用该功能时可不予提示；d)在固件/软件下载阶段，若控制器出现断网或电源中断的情况，恢复后应保持功能正常；e)控制器应将升级包下载的结果上报到空中下载服务平台；f)若OTA升级是在控制器功能运行中进行，该固件/软件下载不应影响设备运行安全。6.4.4切换安装阶段控制器将下载完成的升级包进行安装，并切换为运行固件或运行软件的阶段，要求如下：a)控制器应对升级包进行完整性校验，若未确认其完整性，则控制器应拒绝进行更新；b)控制器切换安装前应确认是否会中断用户使用，若不符合条件，应启动相应的升级退出或者延时流程，当正在执行有时序要求的任务时(如烹饪、洗涤、除霜等对子单元任务发生的先后顺序7或时间间隔有既定的要求)宜完成当前任务后完成切换；c)在执行切换安装时，若控制器出现超过60s原有功能不能正常工作的情况，应在控制器本地的控制界面或配套的移动应用界面给予用户升级剩余时间的提示，如进行的是局部功能的SOTA,在用户没有使用该功能时可不予提示。当单分区更新无法满足要求时，宜考虑使用多分区更新等方法减少不能正常工作的时间；d)控制器切换安装完成后应满足以下要求：——控制器能正常运行；——控制器升级后的版本号与升级包的版本号一致。e)在切换安装的过程中，出现电源中断的情况后恢复，控制器应能正常使用且能正确执行以下操作中的一种或多种：——等待一段时间后，引导程序继续执行升级包更新操作；——回滚到升级前版本；——恢复出厂设置。f)切换安装的结果，应有上报到空中下载服务平台的功能。控制器的空中升级应进行可靠性测试，测试方法按附录C进行，成功率不应低于99.99%。6.5管理要求在提供空中下载功能时，在管理体系上应满足以下要求：a)建立OTA升级的管理和控制机制，包括版本控制、升级请求审批和用户反馈管理等；b)制定OTA升级的策略和计划，包括升级范围、发布流程、更新机制等；c)建立OTA升级的版本仓库，包括出厂生产版本、后续发布版本，并确保所有升级版本与版本仓库的一致性；d)建立OTA升级的应急处理机制，包括升级失败时的版本回滚、远程指导、上门服务、异常检测等。6.6其他要求控制器进行固件升级FOTA时，满足以下要求：a)有操作系统的控制器，固件升级应支持操作系统更新；b)固件升级宜同时支持本地升级和远程升级；c)执行固件切换安装过程的引导程序宜具备自诊断、自修复和自升级的功能。6.6.2静默升级方式要求采用静默升级方式，按附录D的测试方法，满足以下要求。a)应明确告知用户控制器具备空中下载功能和静默升级机制，并说明静默升级的触发机制、可能引起的风险和主要解决方案并获得用户首肯，告知方式可为移动应用界面、本机应用界面等方式。同时，用户在不需要静默升级时应有关闭功能。b)控制器如能源供应为电池或采用对能源供应有限制的方式时，静默升级不应进行。注：能源供应有限制，如对供电的时间段有限制等可能导致升级有可预见的中断风险的情况。8c)在静默升级过程的下载阶段，控制器应能保持正常工作，对于可以远程控制的控制器，其基于网络的远程控制功能应正常。d)有计时或者类似功能的控制器，在下载阶段其时间基准的偏差应不大于2%;有指示自然时间或记录一段时间的长短的测量功能的控制器，如钟表或烹饪计时器。注：提供粗略预估时间的控制器不在此范围内，如洗衣机控制器。e)在静默升级过程中，控制器的功能丧失的时间应小于3s;控制器完成切换后，如涉及系统重新启动，系统启动时间不计入功能丧失的时间。当单分区更新无法满足要求时，宜使用多分区更新等方式减少控制器功能丧失的时间。f)在固件/软件完成切换动作，不应影响控制器的工作状态，如控制器的待机/运行状态及用户设定、空调控制器的开机/待机和温度设定等。g)对于含蜂鸣器等发声器件的控制器，在进行静默升级的过程中，不应产生额外噪声。9(资料性)升级包格式规范A.1升级包格式规范参见图A.1。A.2升级包信息至少包括升级包类型为差分更新或全量更新、升级固件的地址空间、升级包数据偏A.3升级包可是单个固件，也可是多个固件的不同形式的升级包的组合包。升级包标识校验码团件数量N固件1信息团件N信息周件1升级包固件2升级包***周件N升级包图A.1升级包格式规范(规范性)通信能力测试方法B.1测试环境B.1.1无线通信测试B.1.1.1采用Wi-Fi技术升级测试使用Wi-Fi升级的控制器，测试条件如下：——测试用路由器、控制器位于同一测试房间，控制器分布于路由器半径5m范围内；——在测试房间内测得的同频Wi-Fi干扰信号RSSI值均小于一65dBm;——测试路由器下的不运行视频播放等高流量应用，路由可用上下行速率不低于1Mb/s。使用蓝牙或zigbee、sigmesh等技术升级的控制器，测试条件如下： 辅助升级工具不运行其他占用内存应用，不播放视频或其他高流量应用；——使用蓝牙传输的辅助升级工具与控制器距离不超过10m,不要有遮挡物；——辅助升级工具或控制器能正常接收信号。——控制器应当挂载相应天线，并确保广域网通信信号强度和连接质量；——控制器应当确保运营商的SIM卡可正常工作，流量包满足升级要求。B.1.2有线通信测试条件支持RS485、CAN、以太网、PLC等总线通信技术升级的控制器，测试仪器应当支持对应接口，并配备上位机进行升级业务配置B.2.1丢包率测试控制器联网或连接指定的辅助升级工具后，使用厂商提供的工具或指令集，以500ms的周期发送指令并监控应答，各发送5000个数据包，并统计丢包率，应满足6.3.3a)的要求。B.2.2连接可用率测试被监测的控制器数量应不少于5台，所有设备的总监测时间累计应不少于500h。控制器联网或连接指定的辅助升级移动终端后，后台记录统计离线事件发生的次数和时间，并计算系统连接可用率，应满足6.3.3b)的要求。控制器联网或连接指定的辅助升级终端后，通过工具或指令集触发数据持续下载，至少持续GB/T43964—2024B.2.4.1在控制器或其指定的辅助升级终端联网后，关闭其电源，等待30s后重新开启电源，待其自动B.2.4.2在控制器联网后，关闭路由器电源，等待30s后重新开启电源，待路由器正常工作后，再等待30s,检查控制器是否在线，检查功能是否满足6.3.3b)的要求。升级过程测试方法C.1测试环境C.1.1空中下载服务平台正常运行。C.1.2