UNECE R 156
UNECE R 156《軟體更新及軟體更新管理系統》(Software update and software update management system)是聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP.29)發佈的法規,列出車上電子控制器(ECU)軟體更新的需求。
要求
供應商在以下情形時,需提供軟體更新管理系統(SUMS)正常運作的佐證:
- 車輛開始販售時。
- 車輛的軟體更新時(就算軟體已在道路上驗證過也是一樣)
- 和核可有關的模組可以更新軟體時。
此法規要求供應商需建立軟體更新管理系統(SUMS),並且向審查機構或是審查機構核可的測試機構提供證明。ISO 24089《道路車輛--軟體更新工程》在2023年2月發佈,其目的就是詳細敘述適合汽車產業的相關措施。
目的
軟體更新管理系統(SUMS)的目的是要確保和車輛型式審查有關的軟體功能(如廢氣排放、剎車、引擎控制),在軟體更新後仍然可以符合相關法規。R 156要求軟體更新是"safe and secure",沒有提到細節。每一家供應商需自行確認細節,並且確保細節符合R 156的抽象要求。
此處的safe和secure的定義大致如下:
- safe是指不會因軟體錯誤導致誤動作而影響安全性。汽車產業的ISO 26262說明了功能安全的相關要求。像汽車的安全氣囊若在沒有加速時就自行觸發,就是危險的誤動作。
- secure是指不會因更新過程中被操縱而影響安全性[1],這可以用網路安全的分析方式(如ISO/SAE 21434)來檢視。例如,更新機制中需預防植入惡意軟體及不當調校軟體。
另外,R 156也有考慮軟體更新失敗的情形,此時軟體需可以正常運作,或是維持在安全狀態[2]。
佐證
軟體更新管理系統(SUMS)中包括某一型式的車輛安全發佈軟體更新的程序和方法。R 156本身沒有具體說明軟體更新管理系統應有的內容,其中是製造商以系統化的方式開發及發佈軟體更新,也就是定義軟體更新開發、檢查以及發佈的流程。
為了讓公司可以展示已建立了有效的軟體更新管理系統,軟體更新管理系統需包括以下的內容:
- 當新車型要經過型式審查時,需向核可單位提供證書。
- 測試(評估)需由核可單位或是經過核可的獨立實驗室進行。
- 每三年需再經過評估,才能延長證書的效期。
- 在車型的生命週期結束後,需要取消該車型的軟體更新管理系統。
每一次的型式核可,都需要驗證軟體更新管理系統[3]
範圍
依照UNECE R 155,需在以下分類的車輛上實施網路安全管理系統[4]:
其中的例外是L類,包括有二輪車、三輪車以及非常輕的四輪車(小於450公斤)。
只有可以更新軟體的車輛,才需要軟體更新管理系統(SUMS)。
軟體
UNECE R 156 針對軟體的特性只有一個要求:軟體需要接收RX軟體識別碼(R X SWIN),在軟體更新前後都要可以讀取,至少可以透過OBD介面讀取[5]。
其中的X代表軟體需要遵守的歐盟法規編號,例如,剎車輔助系統受到UNECE R 139的管理,因此其軟體需接收R139SWIN[6],不過UNECE R 156中沒有說明SWIN資料的結構。RXSWIN不能重覆[7]。
每一次的更新都需有文件說明細節,而且要用易於理解的方式說明[8]。
空中更新(OTA)
假如軟體是透過空中介面的空中编程(over-the-air, OTA),還需符合以下的規定[9]。因為軟體更新過程中,可能不是在專門的修理站進行,也沒有受過訓練的專業人士進行監控,因此 R 156要求供應商的SUMS針對更新流程評估以下事項,並且提供適當的對策。
- 若是在車輛行駛時進行更新,更新不能影響汽車的安全性。
- 若此更新需要複雜的介入措施,那只有在介入措施進行後,更新程序才算全部完成。R 156有舉例說像是感測器的重新校正,這可能就需要專業的知識。
- 若更新失敗,需確認系統還原到更新前的狀態,或是維持在安全狀態(依ISO 26262的定義)。例如剎車、方向盤或引擎的更新失敗後,引擎不啟動,或是主動巡航功能更新失敗之後,不予啟動,都是安全狀態。
- 需要有足夠的電力(電池電量)以完成軟體更新,並在更新後回到更新前狀態,或是維持在安全狀態。
- 在更新前需告知駕駛更新的目的,受影響的功能,更新需要的時間,以及更新時無法使用的功能等,也需要有說明文件,可以安全的進行更新。更新後需告知駕駛,更新是否完成,此次更新是否在手冊上有對應的修改。
- 若在車輛行駛時更新可能會影響安全性,製造商需告知駕駛此一更新只能在車輛安全的條件下才能進行。
相關問題
R 156要求每一型車輛的型式核可都要認證,確認其SUMS的效用。但是是否可以用已有的佐證(例如像類似IATF 16949,針對整個車輛的定期稽核)來對數個型式的車輛進行型式核可,而不是對每一型車輛進行檢驗,目前還沒有答案。
以車廠的觀點,不更新個別零件,就沒有義務將SUMS擴展到該零件,對車廠會比較有利。若零件是由供應商提供,故障可能只能用更換零件來修正,因此增加供應商的保修風險。
相關條目
- UNECE R 155:UNECE有關網路安全的法規。
參考資料
- UNECE R 156, Section 7.2.1.1, Section 7.1.3
- UNECE R 156, Section 7.2.2.1.3
- UNECE R 156, Section 3
- UNECE R 156, 1.1節
- UNECE R 156, 7.2.1.2.2節
- UNECE R 156, 7.1.1.3節
- UNECE R 156, 7.2.1.2.1節
- UNECE R 156 7.1.2.5節
- UNECE R 156 7.1.4節,7.2.2節