德國萊因TUV助攻 電子產業加速掌握產品資安關鍵要領

進入數位時代，隨著科技演進速度加快，對於人們生活、工作乃至商業經營的影響正急遽擴大；身為科技工具與解決方案提供者的電子產業，也在這波的變革浪潮中，面臨資安、合規、隱私保護等接踵而來的嚴峻挑戰。

有感於眾多業者急欲突破瓶頸、站穩浪頭，德國萊因TUV於日前舉行「安全神隊友！ 解鎖資訊產品升級關鍵密碼」研討會，動員旗下眾多專家，從揭示最熱門的USB Type-C充電技術出發，接續探討聯網產品資訊安全相關的歐盟無線電設備（RED）指令、剖析電子產品標準IEC 62368-1新舊版差異，進而解讀AI對資訊電子產業可能造成的關鍵影響。

德國萊因TUV董事總經理王秀雲致詞表示，本次主題圍繞在電子電氣產品領域，橫跨AI、資安兩大熱門議題，也連結到外銷歐盟時需要遵循的RED指令，加上同樣備受關注的IEC 62368-1、USB Type-C等議題，足見這次活動內容極為豐富。她強調，德國萊因TUV會持續分享一些正在發生或未來要發生的法規、標準指令，期盼對電子產業從業人員有所啟發。

歐盟統一充電規格，2024年底開始強制生效

德國萊因TUV電子電氣產品服務經理吳政璋，以「歐盟統一充電規格，USB Type-C世代來臨」為題，展開第一場主題演講。他指出德國萊因TUV在2022年甚至前年起，早已密切關注USB Type-C的進展。

那麼為何德國萊因TUV一再探索這個主題吳政璋解釋，一來因為它與RED指令所管制的資通訊產品至為相關，而台灣在全球資通訊產業居關鍵合作夥伴地位，二來他形容它像是降龍十八掌，先前只講前面九掌，圍繞在受電端（Powered Device；PD），如今隨著充電端（Power Sourcing Equipment；PSE） 的法規修改即將誕生，意謂現在已到了揭示後面九掌的時機。

歐盟統一充電規格，蘊含四大目的，前二大目的包括「確保最低限度相容性」、「增加使用者便利性」， 當此二者目的符合後，可望接續實現另外二個目的 -「減少環境廢棄物」，及「避免技術市場碎片化」。 原因在於當電子產品更換時，若能沿用外部電源，可避免製造新廢棄物，且確保大家都採用相同USB硬體規格、USB PD協定下，達到彼此相容，避免技術碎片化。

回顧USB PD發展史，它在2010年誕生，初期名為USB BC 1.2，用於規範電池充電功能。2012年「USB PD」供電協定正式現身。

時至2015年USB PD 3.0出爐，規格組數明顯增多，2021年也獲歐盟引用並調和為EN 62680-1-2:2021標準，此時最大功率仍維持在100瓦。直到2021年USB PD 3.1，2022年成為歐盟EN 62680-1-2:2022標準，最大功率提升為240瓦；此外PD 3.1較特別之處，在於新增EPR（Extend Power Range）級別規格「28/36/48V@5A」，因在5A恆定不變符合硬體耐受性下，唯有將電壓提高至48V，才能達到240瓦。

欲實現240瓦功率，有賴三位一體，首先需要使用USB PD 3.1協定，其次線材必須支援48V@5A，最後供電端與受電端都要同時支援此協定。

歐盟於2022年11月修訂通過統一充電規格，並於12月公告，後續分為兩階段強制生效，一是2024年12月28日，適用於小型電子產品，另一是2026年4月28日，適用於筆記型電腦。同時間RED也修改部分內容，將原本「透過100W內有線充電」的13項納管產品規定，修訂為240W，與EN 62680-1-2:2022標準亦步亦趨。

針對外部電源（EPS）供電端，歐盟也在2023年2月公布外部電源生態化指令草案；談到箇中對應統一充電規格的重點，值得關注兩項內容，一是要求AC/DC的外部電源在輸出端需改為非永久連接式，因為此類產品的損壞通常都在線材的部分，在可更換線材的情況下，假使EPS仍然正常運作理應繼續使用，以延長產品生命週期。其次是AC/DC 外部電源若支援快充則應能符合EN 62680-1-2:2022 USB PD標準，並適配於符合EN 62680-1-3:2022標準的輸出線材，達到歐盟統一充電規格，實現「減少環境廢棄物」的目標。

善用今後2年時間，準備因應RED資安要求

接著由德國萊因TUV的電子電氣產品服務資深專案經理陳舒璇、工業服務與資訊安全業務經理莊珮甄二人，聯手揭開從RED（Radio Equipment Directive）指令到物聯網與工控資安的關鍵密碼。

陳舒璇表示，當無線產品要進入歐盟販售，即需符合RED指令的安規、電磁相容與RF要求；另著眼於資訊網路安全日益重要，RED亦將資安納入規範、落在3（3）def條文範圍，預計2025年8月開始強制執行，業者還有兩年時間做準備。其中3(3)d旨在增強網路服務品質的保護，意即當網路遭受攻擊時，不能降低服務品質；3(3)e是為了保護個人資料及隱私，受到網路攻擊時不能外洩個資；3（3）f則是要防止網路詐騙。

目前RED尚無明確標準，建議大家參考ETSI TS 103 929，其中提供的IEC62443-4-2、EN 303 645兩項標準，就能對應RED Articles 3（3）def要求。以一般無線產品供應商而論，可參酌EN 303 645的Mapping Table；係因該標準的範圍比起RED更廣更大，所以只要遵循EN 303 645，對未來符合3（3）def理應極具助益。

EN 303 645內含13項條款要求，包括預設密碼不能太簡化（如0000或1234）、製造商須提供管理網路漏洞的方式、軟體須維持在最新版本、須妥善保存安全參數、傳輸過程必須安全、須減少駭客攻擊介面（如最小特權原則）、須確保軟體完整性、須保護個人資料安全、須有能力面對斷電或斷網狀況、業者針對蒐集到的數據須分辨能否使用及正確與否、要讓使用者很簡單地刪除想要刪除的資料、產品安裝或維護方式務求方便簡單，及輸入的資料須有驗證機制。

值得一提，2022年歐盟有M585決議，要求歐洲兩大標準委員會著手製作Articles 3（3）def對應法規。據傳相關草稿已出爐，目前審核中，儘管如此業者仍可預先參考M585當中的一些基本原則。

莊珮甄接著說，針對想要準備RED Articles 3（3）標準的業者，德國萊因已撰寫2 PfG 2912/07.22標準，方便大家用來做過渡期準備。

在2 PfG當中，針對Article 3（3）d要求的身分安全、介面安全、通訊安全、軟體更新等，3（3）e提到個人數據儲存、分析、傳輸，乃至刪除用戶通知、內部活動日誌等，及3(3)f所提避免詐騙的種種內容，皆提出完整指引，同時也定義出對應的測項。

為何要製作2 PfG標準？她解釋，德國萊因希望客戶在RED正式頒布前有依循的目標，不要等到標準頒布了、才倉促探究合規之道；畢竟資安功能是透過設計出來的、不是測試出來的，若在一開始設計時沒有做到，最終測試時就不會具備這樣的能力。2 PfG標準所參酌的依據，同時涵括EN 303 645、IEC?62443等重要標準。

理解新版電子產品安全標準，並關注AIGC資安風險

活動後半場包含兩場演說，其中一位主講人為台灣德國萊因電子電氣產品服務技術專家林文堂，另一位為DIGITIMES分析師黃耀漢。

林文堂將講題設定在「電子產品安全標準IEC 62368-1 3/4版差異分析」。他表示IEC 62368-1最新的第四版於2023年5月發行，與前版的主要差別，首先是撤除IEC 60950-1或IEC 60065定義的內外部組件／子組件規定。其餘修改重點，遍佈於外部電路、防火外殼、液體填充部件、電池充電等範疇。

關於外部電路的修訂，可分環境1、環境0兩部分來談。環境1部分，戶外的中長距離配線適用1500V的瞬態電壓（Transient Voltages）要求，若配線處在市電（Mains）所走的路徑，適用4000V瞬態電壓要求。至於環境0，意指端子符合IEC/EN 61000-4-5或佈線配線小於10公尺者，主要定義設備互聯規範；假使有提供電源使用的外部電路、其線徑須大於0.4mm，在成對導體電纜上的電流應限制於1.3A RMS或DC。

防火外殼部分，針對專業設備的開孔出現了較前版更寬鬆的解釋，只要側面開孔不超過外殼厚度的11倍即可。而在液體填充零件部分，主要加入一些製冷劑的要求，基本上應符合IEC 60335-2-40和／或IEC 61010-2-011規範，並刪除液體超過1升的設備不適用的條文；此外模組LFC（Liquid Field Component），若非已符合IEC 61010，皆需通過G.15測試要求。

有關充電的要求，凡是符合IEC 62133-2的電池，並用於固定設備中的子系統供電應用，依靠電氣、電子、軟體控制及系統作為安全防護者，應符合IEC 62619的8.1要求，或必須提供安全防護；再來電池本身須額外提供一個防火外殼，以加強保護。

擔任壓軸講師的DIGITIMES分析師黃耀漢，則剖析AI對資訊電子產業的影響與趨勢發展。他引述美國一份調查報告指出，2023年有60%企業規劃採購生成式AI（AIGC）工具，55%員工認為AIGC有助提升生產力，且無論對資訊管理、營運管理、客戶服務、市場行銷、業務銷售或人力資源皆有正面影響，足見AIGC趨勢已無法迴避。

另按財團法人人工智慧科技基金會在2022年的調查，將「尚未導入任何資訊系統」、「已有基礎的資訊系統」及「資訊系統已進行整合，將不同系統的資料透過API或應用程式連結在一起」歸類為無AI應用，另將「導入外部資訊系統，串聯內外部資料分析，加速商業決策判斷」、「善用數據分析來輔助助進行商業決策制定，將數位化視為必要任務」歸類有AI應用。

在此脈絡下，目前ICT產業中約60%屬於無AI應用，而製造業更高達75%，顯示AI技術的導入商機仍大，值得期待。惟企業投入AIGC應用時，應留意隱藏資安問題，包括訓練流程的資料傳輸、推論流程的用戶提出資料，皆是需要管控的資訊洩漏點。

2023年AI當道，電子產業亟待掌握的市場趨勢及技術發展變化仍然很大，選擇合適的驗證單位為軟硬體安全的神隊友，將有利企業專注強化核心競爭力。