德國(guó)萊因TUV助攻 電子產(chǎn)業(yè)加速掌握產(chǎn)品網(wǎng)安關(guān)鍵要領(lǐng)

進(jìn)入數(shù)碼時(shí)代，隨著科技演進(jìn)速度加快，對(duì)于人們生活、工作乃至商業(yè)經(jīng)營(yíng)的影響正急遽擴(kuò)大；身為科技工具與解決方案提供者的電子產(chǎn)業(yè)，也在這波的變革浪潮中，面臨網(wǎng)安、合規(guī)、隱私保護(hù)等接踵而來的嚴(yán)峻挑戰(zhàn)。

有感于眾多業(yè)者急欲突破瓶頸、站穩(wěn)浪頭，德國(guó)萊因TUV于日前舉行「安全神隊(duì)友！ 解鎖信息產(chǎn)品升級(jí)關(guān)鍵口令」研討會(huì)，動(dòng)員旗下眾多專家，從揭示最熱門的USB Type-C充電技術(shù)出發(fā)，接續(xù)探討聯(lián)網(wǎng)產(chǎn)品信息安全相關(guān)的歐盟無線電設(shè)備（RED）指令、剖析電子產(chǎn)品標(biāo)準(zhǔn)IEC 62368-1新舊版差異，進(jìn)而解讀AI對(duì)信息電子產(chǎn)業(yè)可能造成的關(guān)鍵影響。

德國(guó)萊因TUV董事總經(jīng)理王秀云致詞表示，本次主題圍繞在電子電氣產(chǎn)品領(lǐng)域，橫跨AI、網(wǎng)安兩大熱門議題，也連結(jié)到外銷歐盟時(shí)需要遵循的RED指令，加上同樣備受關(guān)注的IEC 62368-1、USB Type-C等議題，足見這次活動(dòng)內(nèi)容極為豐富。她強(qiáng)調(diào)，德國(guó)萊因TUV會(huì)持續(xù)分享一些正在發(fā)生或未來要發(fā)生的法規(guī)、標(biāo)準(zhǔn)指令，期盼對(duì)電子產(chǎn)業(yè)從業(yè)人員有所啟發(fā)。

歐盟統(tǒng)一充電規(guī)格，2024年底開始強(qiáng)制生效

德國(guó)萊因TUV電子電氣產(chǎn)品服務(wù)經(jīng)理吳政璋，以「歐盟統(tǒng)一充電規(guī)格，USB Type-C時(shí)代來臨」為題，展開第一場(chǎng)主題演講。他指出德國(guó)萊因TUV在2022年甚至前年起，早已密切關(guān)注USB Type-C的進(jìn)展。

那麼為何德國(guó)萊因TUV一再探索這個(gè)主題吳政璋解釋，一來因?yàn)樗cRED指令所管制的資通訊產(chǎn)品至為相關(guān)，而臺(tái)灣在全球資通訊產(chǎn)業(yè)居關(guān)鍵合作夥伴地位，二來他形容它像是降龍十八掌，先前只講前面九掌，圍繞在受電端（Powered Device；PD），如今隨著充電端（Power Sourcing Equipment；PSE） 的法規(guī)修改即將誕生，意謂現(xiàn)在已到了揭示后面九掌的時(shí)機(jī)。

歐盟統(tǒng)一充電規(guī)格，蘊(yùn)含四大目的，前二大目的包括「確保最低限度兼容性」、「增加使用者便利性」， 當(dāng)此二者目的符合后，可望接續(xù)實(shí)現(xiàn)另外二個(gè)目的 -「減少環(huán)境廢棄物」，及「避免技術(shù)市場(chǎng)碎片化」。 原因在于當(dāng)電子產(chǎn)品更換時(shí)，若能沿用外部電源，可避免制造新廢棄物，且確保大家都采用相同USB硬件規(guī)格、USB PD協(xié)定下，達(dá)到彼此兼容，避免技術(shù)碎片化。

回顧USB PD發(fā)展史，它在2010年誕生，初期名為USB BC 1.2，用于規(guī)范電池充電功能。2012年「USB PD」供電協(xié)定正式現(xiàn)身。

時(shí)至2015年USB PD 3.0出爐，規(guī)格組數(shù)明顯增多，2021年也獲歐盟引用并調(diào)和為EN 62680-1-2:2021標(biāo)準(zhǔn)，此時(shí)最大功率仍維持在100瓦。直到2021年USB PD 3.1，2022年成為歐盟EN 62680-1-2:2022標(biāo)準(zhǔn)，最大功率提升為240瓦；此外PD 3.1較特別之處，在于新增EPR（Extend Power Range）級(jí)別規(guī)格「28/36/48V@5A」，因在5A恒定不變符合硬件耐受性下，唯有將電壓提高至48V，才能達(dá)到240瓦。

欲實(shí)現(xiàn)240瓦功率，有賴三位一體，首先需要使用USB PD 3.1協(xié)定，其次線材必須支持48V@5A，最后供電端與受電端都要同時(shí)支持此協(xié)定。

歐盟于2022年11月修訂通過統(tǒng)一充電規(guī)格，并于12月公告，后續(xù)分為兩階段強(qiáng)制生效，一是2024年12月28日，適用于小型電子產(chǎn)品，另一是2026年4月28日，適用于筆記本電腦。同時(shí)間RED也修改部分內(nèi)容，將原本「透過100W內(nèi)有線充電」的13項(xiàng)納管產(chǎn)品規(guī)定，修訂為240W，與EN 62680-1-2:2022標(biāo)準(zhǔn)亦步亦趨。

針對(duì)外部電源（EPS）供電端，歐盟也在2023年2月公布外部電源生態(tài)化指令草案；談到個(gè)中對(duì)應(yīng)統(tǒng)一充電規(guī)格的重點(diǎn)，值得關(guān)注兩項(xiàng)內(nèi)容，一是要求AC/DC的外部電源在輸出端需改為非永久連接式，因?yàn)榇祟惍a(chǎn)品的損壞通常都在線材的部分，在可更換線材的情況下，假使EPS仍然正常運(yùn)作理應(yīng)繼續(xù)使用，以延長(zhǎng)產(chǎn)品生命周期。其次是AC/DC 外部電源若支持快充則應(yīng)能符合EN 62680-1-2:2022 USB PD標(biāo)準(zhǔn)，并適配于符合EN 62680-1-3:2022標(biāo)準(zhǔn)的輸出線材，達(dá)到歐盟統(tǒng)一充電規(guī)格，實(shí)現(xiàn)「減少環(huán)境廢棄物」的目標(biāo)。

善用今后2年時(shí)間，準(zhǔn)備因應(yīng)RED網(wǎng)安要求

接著由德國(guó)萊因TUV的電子電氣產(chǎn)品服務(wù)資深專案經(jīng)理陳舒璇、工業(yè)服務(wù)與信息安全業(yè)務(wù)經(jīng)理莊佩甄二人，聯(lián)手揭開從RED（Radio Equipment Directive）指令到物聯(lián)網(wǎng)與工控網(wǎng)安的關(guān)鍵口令。

陳舒璇表示，當(dāng)無線產(chǎn)品要進(jìn)入歐盟販?zhǔn)?，即需符合RED指令的安規(guī)、電磁兼容與RF要求；另著眼于信息網(wǎng)絡(luò)安全日益重要，RED亦將網(wǎng)安納入規(guī)范、落在3（3）def條文范圍，預(yù)計(jì)2025年8月開始強(qiáng)制執(zhí)行，業(yè)者還有兩年時(shí)間做準(zhǔn)備。其中3(3)d旨在增強(qiáng)網(wǎng)絡(luò)服務(wù)品質(zhì)的保護(hù)，意即當(dāng)網(wǎng)絡(luò)遭受攻擊時(shí)，不能降低服務(wù)品質(zhì)；3(3)e是為了保護(hù)個(gè)人數(shù)據(jù)及隱私，受到網(wǎng)絡(luò)攻擊時(shí)不能外泄個(gè)資；3（3）f則是要防止網(wǎng)絡(luò)詐騙。

目前RED尚無明確標(biāo)準(zhǔn)，建議大家參考ETSI TS 103 929，其中提供的IEC62443-4-2、EN 303 645兩項(xiàng)標(biāo)準(zhǔn)，就能對(duì)應(yīng)RED Articles 3（3）def要求。以一般無線產(chǎn)品供應(yīng)商而論，可參酌EN 303 645的Mapping Table；系因該標(biāo)準(zhǔn)的范圍比起RED更廣更大，所以只要遵循EN 303 645，對(duì)未來符合3（3）def理應(yīng)極具助益。

EN 303 645內(nèi)含13項(xiàng)條款要求，包括缺省口令不能太簡(jiǎn)化（如0000或1234）、制造商須提供管理網(wǎng)絡(luò)漏洞的方式、軟件須維持在最新版本、須妥善保存安全參數(shù)、傳輸過程必須安全、須減少黑客攻擊界面（如最小特權(quán)原則）、須確保軟件完整性、須保護(hù)個(gè)人數(shù)據(jù)安全、須有能力面對(duì)斷電或斷網(wǎng)狀況、業(yè)者針對(duì)蒐集到的數(shù)據(jù)須分辨能否使用及正確與否、要讓使用者很簡(jiǎn)單地刪除想要?jiǎng)h除的數(shù)據(jù)、產(chǎn)品安裝或維護(hù)方式務(wù)求方便簡(jiǎn)單，及輸入的數(shù)據(jù)須有驗(yàn)證機(jī)制。

值得一提，2022年歐盟有M585決議，要求歐洲兩大標(biāo)準(zhǔn)委員會(huì)著手制作Articles 3（3）def對(duì)應(yīng)法規(guī)。據(jù)傳相關(guān)草稿已出爐，目前審核中，盡管如此業(yè)者仍可預(yù)先參考M585當(dāng)中的一些基本原則。

莊佩甄接著說，針對(duì)想要準(zhǔn)備RED Articles 3（3）標(biāo)準(zhǔn)的業(yè)者，德國(guó)萊因已撰寫2 PfG 2912/07.22標(biāo)準(zhǔn)，方便大家用來做過渡期準(zhǔn)備。

在2 PfG當(dāng)中，針對(duì)Article 3（3）d要求的身份安全、界面安全、通訊安全、軟件更新等，3（3）e提到個(gè)人數(shù)據(jù)儲(chǔ)存、分析、傳輸，乃至刪除用戶通知、內(nèi)部活動(dòng)日志等，及3(3)f所提避免詐騙的種種內(nèi)容，皆提出完整指引，同時(shí)也定義出對(duì)應(yīng)的測(cè)項(xiàng)。

為何要制作2 PfG標(biāo)準(zhǔn)？她解釋，德國(guó)萊因希望客戶在RED正式頒布前有依循的目標(biāo)，不要等到標(biāo)準(zhǔn)頒布了、才倉(cāng)促探究合規(guī)之道；畢竟網(wǎng)安功能是透過設(shè)計(jì)出來的、不是測(cè)試出來的，若在一開始設(shè)計(jì)時(shí)沒有做到，最終測(cè)試時(shí)就不會(huì)具備這樣的能力。2 PfG標(biāo)準(zhǔn)所參酌的依據(jù)，同時(shí)涵括EN 303 645、IEC?62443等重要標(biāo)準(zhǔn)。

理解新版電子產(chǎn)品安全標(biāo)準(zhǔn)，并關(guān)注AIGC網(wǎng)安風(fēng)險(xiǎn)

活動(dòng)后半場(chǎng)包含兩場(chǎng)演說，其中一位主講人為臺(tái)灣德國(guó)萊因電子電氣產(chǎn)品服務(wù)技術(shù)專家林文堂，另一位為DIGITIMES分析師黃耀漢。

林文堂將講題設(shè)定在「電子產(chǎn)品安全標(biāo)準(zhǔn)IEC 62368-1 3/4版差異分析」。他表示IEC 62368-1最新的第四版于2023年5月發(fā)行，與前版的主要差別，首先是撤除IEC 60950-1或IEC 60065定義的內(nèi)外部組件／子組件規(guī)定。其余修改重點(diǎn)，遍布于外部電路、防火外殼、液體填充部件、電池充電等范疇。

關(guān)于外部電路的修訂，可分環(huán)境1、環(huán)境0兩部分來談。環(huán)境1部分，戶外的中長(zhǎng)距離配線適用1500V的瞬態(tài)電壓（Transient Voltages）要求，若配線處在市電（Mains）所走的路徑，適用4000V瞬態(tài)電壓要求。至于環(huán)境0，意指端子符合IEC/EN 61000-4-5或布線配線小于10米者，主要定義設(shè)備互聯(lián)規(guī)范；假使有提供電源使用的外部電路、其線徑須大于0.4mm，在成對(duì)導(dǎo)體電纜上的電流應(yīng)限制于1.3A RMS或DC。

防火外殼部分，針對(duì)專業(yè)設(shè)備的開孔出現(xiàn)了較前版更寬松的解釋，只要側(cè)面開孔不超過外殼厚度的11倍即可。而在液體填充零件部分，主要加入一些制冷劑的要求，基本上應(yīng)符合IEC 60335-2-40和／或IEC 61010-2-011規(guī)范，并刪除液體超過1升的設(shè)備不適用的條文；此外模塊LFC（Liquid Field Component），若非已符合IEC 61010，皆需通過G.15測(cè)試要求。

有關(guān)充電的要求，凡是符合IEC 62133-2的電池，并用于固定設(shè)備中的子系統(tǒng)供電應(yīng)用，依靠電氣、電子、軟件控制及系統(tǒng)作為安全防護(hù)者，應(yīng)符合IEC 62619的8.1要求，或必須提供安全防護(hù)；再來電池本身須額外提供一個(gè)防火外殼，以加強(qiáng)保護(hù)。

擔(dān)任壓軸講師的DIGITIMES分析師黃耀漢，則剖析AI對(duì)信息電子產(chǎn)業(yè)的影響與趨勢(shì)發(fā)展。他引述美國(guó)一份調(diào)查報(bào)告指出，2023年有60%企業(yè)規(guī)劃采購(gòu)生成式AI（AIGC）工具，55%員工認(rèn)為AIGC有助提升生產(chǎn)力，且無論對(duì)信息管理、營(yíng)運(yùn)管理、客戶服務(wù)、市場(chǎng)行銷、業(yè)務(wù)銷售或人力資源皆有正面影響，足見AIGC趨勢(shì)已無法回避。

另按財(cái)團(tuán)法人人工智能科技基金會(huì)在2022年的調(diào)查，將「尚未導(dǎo)入任何信息系統(tǒng)」、「已有基礎(chǔ)的信息系統(tǒng)」及「信息系統(tǒng)已進(jìn)行整合，將不同系統(tǒng)的數(shù)據(jù)透過API或應(yīng)用程序連結(jié)在一起」歸類為無AI應(yīng)用，另將「導(dǎo)入外部信息系統(tǒng)，串聯(lián)內(nèi)外部數(shù)據(jù)分析，加速商業(yè)決策判斷」、「善用數(shù)據(jù)分析來輔助助進(jìn)行商業(yè)決策制定，將數(shù)碼化視為必要任務(wù)」歸類有AI應(yīng)用。

在此脈絡(luò)下，目前ICT產(chǎn)業(yè)中約60%屬于無AI應(yīng)用，而制造業(yè)更高達(dá)75%，顯示AI技術(shù)的導(dǎo)入商機(jī)仍大，值得期待。惟企業(yè)投入AIGC應(yīng)用時(shí)，應(yīng)留意隱藏網(wǎng)安問題，包括訓(xùn)練流程的數(shù)據(jù)傳輸、推論流程的用戶提出數(shù)據(jù)，皆是需要管控的信息泄漏點(diǎn)。

2023年AI當(dāng)?shù)?，電子產(chǎn)業(yè)亟待掌握的市場(chǎng)趨勢(shì)及技術(shù)發(fā)展變化仍然很大，選擇合適的驗(yàn)證單位為軟硬件安全的神隊(duì)友，將有利企業(yè)專注強(qiáng)化核心競(jìng)爭(zhēng)力。