认识R156法规--MUNIK知识普及课堂
继上篇的R155之后,这次我们来聊聊R156。
UNECE WP.29 R156法规,全称为《关于批准车辆的软件升级和软件升级管理体系统一规定的法规》(Technical Requirement Specification for Remote Software Upgrade of Intelligent and Connected Vehicles),由联合国世界车辆法规协调论坛的自动驾驶车辆工作组于2021年2月5日公布。R156法规主要专注于汽车软件升级功能,旨在确保软件升级流程的安全性、可控性和合规性,以顺应汽车行业智能化、联网化的发展趋势,并进一步保障消费者的权益。
1. 基本信息:
1.1 法规适用范围:
适用于M类(乘用车)、N类(货车和卡车等商用车辆)、O类(挂车和半挂车等)、R类、S类、T类(摩托车、滑板车以及特殊用途的车辆)等车型。
1.2 R156法规的生效日期
欧盟要求2022年7月后强制实施,即如果OEM有计划对新车型或已获准上市新车进行影响型式认证的软件更新,则必须获得R156认证,自2024年7月起,对所有车型强制要求。
欧盟对于R156生效日期的规定如图1,具体解读如下:
大批量型式认证车辆:
执行软件升级且会影响车型参数的车辆:
1.2022-07-06,新车型-需满足R156;
2.2024-07-07,新车上牌-需满足R156。
上述车型以外的车型:
1.2024-07-07,新车型-需满足R156;
2.2026-07-07,新车上牌-需满足R156;
小批量型式认证车型车辆:
1.2024-07-06,新车型-需满足R156;
2.2026-07-07,新车上牌-需满足R156。
图1 欧盟对于R156生效日期的规定
2. 法规内容:
2 定义:
包括车辆类型、RX软件识别号(RXSWIN)、软件升级、执行、软件升级管理系统(SUMS)、车辆用户、安全状态、软件、在线(OTA)升级、系统和完整性验证数据等术语的定义。
3 审批申请:
车辆制造商或其正式授权代表需提交有关软件升级流程的车辆类型的审批申请,并附上相关文件和细节。
4 标记:
每个符合本法规的型式批准的车辆都应在显眼且易于接近的地方附上国际认可标记。
5 审批:
审批机构只对满足本法规要求的车辆类型授予有关软件升级程序和流程的型式批准。
6 软件升级管理系统合规证书:
合同方应指定一个审批机构来评估制造商并颁发软件升级管理系统合规证书。
7 一般规定:
规定了车辆制造商的软件升级管理系统的要求,包括初始评估时需验证的过程、每次升级应用所需记录和存储的信息、安全性要求以及通过在线软件升级的额外要求。
8 车辆型式的修改和扩展:
任何影响车辆技术性能的修改或所需文件的变更都应通知授予批准的审批机构。
9 生产一致性:
生产一致性程序应符合1958年协定附表1的规定,并有特定的记录和验证要求。
10 生产不一致的处罚:
如果不符合本法规的要求或样本车辆不符合法规要求,可能会撤销授予的批准。
11 停产:
如果批准持有者完全停止生产根据本法规批准的车辆类型,应通知授予批准的机构。
12 审核机构:
负责进行审批测试的技术服务和类型批准机构的名称和地址:应用本法规的合同方应向联合国秘书处通报这些信息。
13 附录:
如信息文件、软件升级管理系统合规声明的模型、通信模型、批准标记的安排和软件升级管理系统合规证书的模型。
其中7 一般规定是UN Regulation No. 156的核心内容,其结构如下:
|--- 7.1. 车辆制造商的软件更新管理系统(SUMS)要求
| |--- 7.1.1. 初始评估时需验证的过程
| | |--- 文件化和安全存储相关信息的过程
| | |--- 唯一识别软件版本和硬件组件的过程
| | |--- 更新和管理车型RXSWIN的过程
| | |--- 验证车辆组件软件版本一致性的过程
| | |--- 识别系统间依赖性的过程
| | |--- 识别目标车辆软件升级需求的过程
| | |--- 确认软件升级与目标车辆配置兼容的过程
| | |--- 评估软件升级对型式批准系统影响的过程
| | |--- 记录软件升级影响其他系统或功能的过程
| | |--- 通知车辆用户升级信息的过程
| | |--- 向相关机构提供软件升级信息的过程
|
| |--- 7.1.2. 每次升级应用所需记录和存储的信息
| | |-- 描述软件升级过程的文档化
| | |-- 型式批准系统配置的文档化(升级前后)
| | |-- RXSWIN相关软件的可审计登记册
| | |-- 升级目标车辆列表和兼容性确认
| | |-- 软件升级的所有文档化描述(目的、影响、批准等)
|
| |--- 7.1.3. 安全性要求
| | |-- 保护软件升级免遭篡改的过程
| | |-- 升级过程的安全性保护
| | |-- 软件功能和代码验证的适当性
|
| |--- 7.1.4. 在线升级(OTA)的额外要求
| | |-- 评估OTA升级安全性的过程
| | |-- 确保OTA升级需要时可安全执行的过程
|
|--- 7.2. 车辆型式认证的技术要求
|--- 7.2.1. 软件升级的要求
|--- 7.2.1.1 保护软件升级的真实性和完整性,防止被篡改和无效升级。
|--- 7.2.1.2 当车辆使用RXSWIN时 - Regulation X Software Identification Number: (软件标识码,如图2中示例)
图2 RXSWIN的示例
| |--- 7.2.1.2.1 RXSWIN需要是唯一可识别的;在任何阶段进行软件升级都需要更新RXSWIN与新的软件版本的映射关系,在影响车辆型式认证系统时需重新申请RXSWIN,并执行相关认证。
| |--- 7.2.1.2.2 每个RXSWIN都应能够通过使用电子通信接口以标准化的方式轻松读取,至少通过标准接口(OBD端口)。
| |--- 7.2.1.2.3 车辆制造商应保护车辆上的RXSWIN和/或软件版本不受未授权修改。在型式批准时,制造商选择的防止RXSWIN和/或软件版本未授权修改的手段应保密提供。
|--- 7.2.2. 在线升级(OTA)的额外要求
|--- 7.2.2.1 车辆应具备以下与软件升级相关的功能
| |--- 7.2.2.1.1 车辆制造商应确保在升级失败或中断时,车辆能够恢复到先前的系统版本,或者在更新失败或中断后将车辆置于安全状态。
| |--- 7.2.2.1.2 车辆制造商应确保只有在车辆有足够的电力完成升级过程时(包括可能恢复到先前版本或将车辆置于安全状态所需的电力),才能执行软件升级。
| |--- 7.2.2.1.3 当执行升级可能影响车辆安全时,车辆制造商应展示如何安全地执行升级。这应通过技术手段实现,确保车辆处于可以安全执行升级的状态。
|--- 7.2.2.2 车辆制造商应展示车辆用户如何在执行升级前被告知有关升级的信息,包括:
· 升级的目的,包括升级的紧急性以及是否是针对召回、安全和/或安全目的的升级;
· 升级对车辆功能所做的任何更改;
· 完成升级执行的预计时间;
· 在升级执行期间可能不可用的车辆功能;
· 可能帮助车辆用户安全执行升级的任何指示。 如果升级组具有类似内容,一条信息可能涵盖一个组。
|--- 7.2.2.3 升级执行期间的安全性保障
· 确保在升级执行期间车辆不能行驶;
· 确保驾驶员不能使用任何可能影响车辆安全或升级成功执行的车辆功能。
|--- 7.2.2.4 升级执行后的反馈和变更通知
· 车辆用户能够被告知升级的成功(或失败);
· 车辆用户能够被告知实施的升级和任何相关的用户手册更新(如果适用)。
3. 软件升级管理的安全标准 ISO 24089
如上一篇中所提及,联合国欧洲经济委员会(UNECE)发布了WP.29 R155法规,是由政府机构发布的具有法律约束力的指令。而R155法规里面对有关CSMS网络安全管理体系的要求,深受ISO/SAE 21434标准的影响。标准通常是由SAE等权威机构控制下的行业成员设计的参考文档。对于车辆网络安全,标准ISO/SAE 21434提出了一个将网络安全工程纳入车辆的框架。
与R155法规类似的,R156法规也有相对应的国际标准ISO 24089《道路车辆 软件升级工程》。ISO 24089于2019年3月正式立项,目前处于委员会草案(CD)阶段。该标准旨在为道路车辆软件升级提供一个标准架构,预计将于2024年发布。UN Regulation No 156涵盖了OEM的合规性,而ISO 24089可以由OEM或供应链中的供应商应用。
4. 总结
总体而言,UN R156法规通过为软件升级设定高标准,不仅提高了汽车的安全性和可靠性,还为汽车制造商在全球市场上提供了更多的机遇和挑战。比如,R156作为统一的国际法规,减少了OEM为满足不同国家法规而进行的重复测试和认证,降低了合规成本,提高了市场进入效率。再如R156要求OEM公开软件升级的相关信息,这有助于消费者和监管机构更好地了解车辆的软件状态,从而增加市场透明度。最后,R156对数据处理和隐私保护的要求促使OEM在设计软件升级系统时更加注重用户隐私,这在现今这样数据敏感的市场尤为重要。