UNECE R 156

UNECE R 156《軟體更新及軟體更新管理系統》(Software update and software update management system)是聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP.29)發佈的法規,列出車上電子控制器(ECU)軟體更新的需求。

要求

供應商在以下情形時,需提供軟體更新管理系統(SUMS)正常運作的佐證:

  • 車輛開始販售時。
  • 車輛的軟體更新時(就算軟體已在道路上驗證過也是一樣)
  • 和核可有關的模組可以更新軟體時。

此法規要求供應商需建立軟體更新管理系統(SUMS),並且向審查機構或是審查機構核可的測試機構提供證明。ISO 24089《道路車輛--軟體更新工程》在2023年2月發佈,其目的就是詳細敘述適合汽車產業的相關措施。

目的

軟體更新管理系統(SUMS)的目的是要確保和車輛型式審查有關的軟體功能(如廢氣排放、剎車、引擎控制),在軟體更新後仍然可以符合相關法規。R 156要求軟體更新是"safe and secure",沒有提到細節。每一家供應商需自行確認細節,並且確保細節符合R 156的抽象要求。

此處的safe和secure的定義大致如下:

  • safe是指不會因軟體錯誤導致誤動作而影響安全性。汽車產業的ISO 26262說明了功能安全的相關要求。像汽車的安全氣囊若在沒有加速時就自行觸發,就是危險的誤動作。
  • secure是指不會因更新過程中被操縱而影響安全性[1],這可以用網路安全的分析方式(如ISO/SAE 21434)來檢視。例如,更新機制中需預防植入惡意軟體及不當調校軟體。

另外,R 156也有考慮軟體更新失敗的情形,此時軟體需可以正常運作,或是維持在安全狀態[2]

佐證

軟體更新管理系統(SUMS)中包括某一型式的車輛安全發佈軟體更新的程序和方法。R 156本身沒有具體說明軟體更新管理系統應有的內容,其中是製造商以系統化的方式開發及發佈軟體更新,也就是定義軟體更新開發、檢查以及發佈的流程。

為了讓公司可以展示已建立了有效的軟體更新管理系統,軟體更新管理系統需包括以下的內容:

  • 當新車型要經過型式審查時,需向核可單位提供證書。
  • 測試(評估)需由核可單位或是經過核可的獨立實驗室進行。
  • 每三年需再經過評估,才能延長證書的效期。
  • 在車型的生命週期結束後,需要取消該車型的軟體更新管理系統。

每一次的型式核可,都需要驗證軟體更新管理系統[3]

範圍

依照UNECE R 155,需在以下分類的車輛上實施網路安全管理系統[4]

  • M類: 四輪以上的轎車
  • N類:四輪以上的货车
  • O類、R類:至少有一個电子控制器拖车,也包括農業或是林業使用的拖车。
  • S類:牽引式農業機械,例如耙車、犁車、割草機、打捆機。
  • T類:拖拉机

其中的例外是L類,包括有二輪車、三輪車以及非常輕的四輪車(小於450公斤)。

只有可以更新軟體的車輛,才需要軟體更新管理系統(SUMS)。

軟體

UNECE R 156 針對軟體的特性只有一個要求:軟體需要接收RX軟體識別碼(R X SWIN),在軟體更新前後都要可以讀取,至少可以透過OBD介面讀取[5]

其中的X代表軟體需要遵守的歐盟法規編號,例如,剎車輔助系統受到UNECE R 139的管理,因此其軟體需接收R139SWIN[6],不過UNECE R 156中沒有說明SWIN資料的結構。RXSWIN不能重覆[7]

每一次的更新都需有文件說明細節,而且要用易於理解的方式說明[8]

空中更新(OTA)

假如軟體是透過空中介面空中编程(over-the-air, OTA),還需符合以下的規定[9]。因為軟體更新過程中,可能不是在專門的修理站進行,也沒有受過訓練的專業人士進行監控,因此 R 156要求供應商的SUMS針對更新流程評估以下事項,並且提供適當的對策。

  • 若是在車輛行駛時進行更新,更新不能影響汽車的安全性。
  • 若此更新需要複雜的介入措施,那只有在介入措施進行後,更新程序才算全部完成。R 156有舉例說像是感測器的重新校正,這可能就需要專業的知識。
  • 若更新失敗,需確認系統還原到更新前的狀態,或是維持在安全狀態(依ISO 26262的定義)。例如剎車、方向盤或引擎的更新失敗後,引擎不啟動,或是主動巡航功能更新失敗之後,不予啟動,都是安全狀態。
  • 需要有足夠的電力(電池電量)以完成軟體更新,並在更新後回到更新前狀態,或是維持在安全狀態。
  • 在更新前需告知駕駛更新的目的,受影響的功能,更新需要的時間,以及更新時無法使用的功能等,也需要有說明文件,可以安全的進行更新。更新後需告知駕駛,更新是否完成,此次更新是否在手冊上有對應的修改。
  • 若在車輛行駛時更新可能會影響安全性,製造商需告知駕駛此一更新只能在車輛安全的條件下才能進行。

相關問題

R 156要求每一型車輛的型式核可都要認證,確認其SUMS的效用。但是是否可以用已有的佐證(例如像類似IATF 16949,針對整個車輛的定期稽核)來對數個型式的車輛進行型式核可,而不是對每一型車輛進行檢驗,目前還沒有答案。

以車廠的觀點,不更新個別零件,就沒有義務將SUMS擴展到該零件,對車廠會比較有利。若零件是由供應商提供,故障可能只能用更換零件來修正,因此增加供應商的保修風險。

相關條目

參考資料

  1. UNECE R 156, Section 7.2.1.1, Section 7.1.3
  2. UNECE R 156, Section 7.2.2.1.3
  3. UNECE R 156, Section 3
  4. UNECE R 156, 1.1節
  5. UNECE R 156, 7.2.1.2.2節
  6. UNECE R 156, 7.1.1.3節
  7. UNECE R 156, 7.2.1.2.1節
  8. UNECE R 156 7.1.2.5節
  9. UNECE R 156 7.1.4節,7.2.2節

文獻

  • . 2021-04-03 [2021-10-17]. (原始内容存档于2023-03-20) (英语).
  • ISO對應標準在. [2021-12-05]. (原始内容存档于2023-04-09) (英语).
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.