UNECE R 156
UNECE R 156《软体更新及软体更新管理系统》(Software update and software update management system)是联合国欧洲经济委员会(UNECE)的世界车辆法规协调论坛(WP.29)发布的法规,列出车上电子控制器(ECU)软体更新的需求。
要求
供应商在以下情形时,需提供软体更新管理系统(SUMS)正常运作的佐证:
- 车辆开始贩售时。
- 车辆的软体更新时(就算软体已在道路上验证过也是一样)
- 和核可有关的模组可以更新软体时。
此法规要求供应商需建立软体更新管理系统(SUMS),并且向审查机构或是审查机构核可的测试机构提供证明。ISO 24089《道路车辆--软体更新工程》在2023年2月发布,其目的就是详细叙述适合汽车产业的相关措施。
目的
软体更新管理系统(SUMS)的目的是要确保和车辆型式审查有关的软体功能(如废气排放、刹车、引擎控制),在软体更新后仍然可以符合相关法规。R 156要求软体更新是"safe and secure",没有提到细节。每一家供应商需自行确认细节,并且确保细节符合R 156的抽象要求。
此处的safe和secure的定义大致如下:
- safe是指不会因软体错误导致误动作而影响安全性。汽车产业的ISO 26262说明了功能安全的相关要求。像汽车的安全气囊若在没有加速时就自行触发,就是危险的误动作。
- secure是指不会因更新过程中被操纵而影响安全性[1],这可以用网路安全的分析方式(如ISO/SAE 21434)来检视。例如,更新机制中需预防植入恶意软体及不当调校软体。
另外,R 156也有考虑软体更新失败的情形,此时软体需可以正常运作,或是维持在安全状态[2]。
佐证
软体更新管理系统(SUMS)中包括某一型式的车辆安全发布软体更新的程序和方法。R 156本身没有具体说明软体更新管理系统应有的内容,其中是制造商以系统化的方式开发及发布软体更新,也就是定义软体更新开发、检查以及发布的流程。
为了让公司可以展示已建立了有效的软体更新管理系统,软体更新管理系统需包括以下的内容:
- 当新车型要经过型式审查时,需向核可单位提供证书。
- 测试(评估)需由核可单位或是经过核可的独立实验室进行。
- 每三年需再经过评估,才能延长证书的效期。
- 在车型的生命周期结束后,需要取消该车型的软体更新管理系统。
每一次的型式核可,都需要验证软体更新管理系统[3]
范围
依照UNECE R 155,需在以下分类的车辆上实施网路安全管理系统[4]:
其中的例外是L类,包括有二轮车、三轮车以及非常轻的四轮车(小于450公斤)。
只有可以更新软体的车辆,才需要软体更新管理系统(SUMS)。
软体
UNECE R 156 针对软体的特性只有一个要求:软体需要接收RX软体识别码(R X SWIN),在软体更新前后都要可以读取,至少可以透过OBD介面读取[5]。
其中的X代表软体需要遵守的欧盟法规编号,例如,刹车辅助系统受到UNECE R 139的管理,因此其软体需接收R139SWIN[6],不过UNECE R 156中没有说明SWIN资料的结构。RXSWIN不能重复[7]。
每一次的更新都需有文件说明细节,而且要用易于理解的方式说明[8]。
空中更新(OTA)
假如软体是透过空中介面的空中编程(over-the-air, OTA),还需符合以下的规定[9]。因为软体更新过程中,可能不是在专门的修理站进行,也没有受过训练的专业人士进行监控,因此 R 156要求供应商的SUMS针对更新流程评估以下事项,并且提供适当的对策。
- 若是在车辆行驶时进行更新,更新不能影响汽车的安全性。
- 若此更新需要复杂的介入措施,那只有在介入措施进行后,更新程序才算全部完成。R 156有举例说像是感测器的重新校正,这可能就需要专业的知识。
- 若更新失败,需确认系统还原到更新前的状态,或是维持在安全状态(依ISO 26262的定义)。例如刹车、方向盘或引擎的更新失败后,引擎不启动,或是主动巡航功能更新失败之后,不予启动,都是安全状态。
- 需要有足够的电力(电池电量)以完成软体更新,并在更新后回到更新前状态,或是维持在安全状态。
- 在更新前需告知驾驶更新的目的,受影响的功能,更新需要的时间,以及更新时无法使用的功能等,也需要有说明文件,可以安全的进行更新。更新后需告知驾驶,更新是否完成,此次更新是否在手册上有对应的修改。
- 若在车辆行驶时更新可能会影响安全性,制造商需告知驾驶此一更新只能在车辆安全的条件下才能进行。
相关问题
R 156要求每一型车辆的型式核可都要认证,确认其SUMS的效用。但是是否可以用已有的佐证(例如像类似IATF 16949,针对整个车辆的定期稽核)来对数个型式的车辆进行型式核可,而不是对每一型车辆进行检验,目前还没有答案。
以车厂的观点,不更新个别零件,就没有义务将SUMS扩展到该零件,对车厂会比较有利。若零件是由供应商提供,故障可能只能用更换零件来修正,因此增加供应商的保修风险。
相关条目
- UNECE R 155:UNECE有关网路安全的法规。
参考资料
文献
- UN Regulation No. 156 - Software update and software update management system. 2021-04-03 [2021-10-17]. (原始内容存档于2023-03-20) (英语).
- ISO对应标准在ISO 24089 Road vehicles — Software update engineering. [2021-12-05]. (原始内容存档于2023-04-09) (英语).