zh UNECE R 156

UNECE R 156《軟體更新及軟體更新管理系統》（Software update and software update management system）是聯合國歐洲經濟委員會（UNECE）的世界車輛法規協調論壇（WP.29）發佈的法規，列出車上電子控制器（ECU）軟體更新的需求。

要求

供應商在以下情形時，需提供軟體更新管理系統（SUMS）正常運作的佐證：

此法規要求供應商需建立軟體更新管理系統（SUMS），並且向審查機構或是審查機構核可的測試機構提供證明。ISO 24089《道路車輛--軟體更新工程》在2023年2月發佈，其目的就是詳細敘述適合汽車產業的相關措施。

軟體更新管理系統（SUMS）的目的是要確保和車輛型式審查有關的軟體功能（如廢氣排放、剎車、引擎控制），在軟體更新後仍然可以符合相關法規。R 156要求軟體更新是"safe and secure"，沒有提到細節。每一家供應商需自行確認細節，並且確保細節符合R 156的抽象要求。

此處的safe和secure的定義大致如下：

safe是指不會因軟體錯誤導致誤動作而影響安全性。汽車產業的ISO 26262說明了功能安全的相關要求。像汽車的安全氣囊若在沒有加速時就自行觸發，就是危險的誤動作。
secure是指不會因更新過程中被操縱而影響安全性^[1]，這可以用網路安全的分析方式（如ISO/SAE 21434）來檢視。例如，更新機制中需預防植入惡意軟體及不當調校軟體。

另外，R 156也有考慮軟體更新失敗的情形，此時軟體需可以正常運作，或是維持在安全狀態^[2]。

軟體更新管理系統（SUMS）中包括某一型式的車輛安全發佈軟體更新的程序和方法。R 156本身沒有具體說明軟體更新管理系統應有的內容，其中是製造商以系統化的方式開發及發佈軟體更新，也就是定義軟體更新開發、檢查以及發佈的流程。

為了讓公司可以展示已建立了有效的軟體更新管理系統，軟體更新管理系統需包括以下的內容：

每一次的型式核可，都需要驗證軟體更新管理系統^[3]

依照UNECE R 155，需在以下分類的車輛上實施網路安全管理系統^[4]：

其中的例外是L類，包括有二輪車、三輪車以及非常輕的四輪車（小於450公斤）。

只有可以更新軟體的車輛，才需要軟體更新管理系統（SUMS）。

UNECE R 156 針對軟體的特性只有一個要求：軟體需要接收RX軟體識別碼（R X SWIN），在軟體更新前後都要可以讀取，至少可以透過OBD介面讀取^[5]。

其中的X代表軟體需要遵守的歐盟法規編號，例如，剎車輔助系統受到UNECE R 139的管理，因此其軟體需接收R139SWIN^[6]，不過UNECE R 156中沒有說明SWIN資料的結構。RXSWIN不能重覆^[7]。

每一次的更新都需有文件說明細節，而且要用易於理解的方式說明^[8]。

假如軟體是透過空中介面的空中编程（over-the-air, OTA），還需符合以下的規定^[9]。因為軟體更新過程中，可能不是在專門的修理站進行，也沒有受過訓練的專業人士進行監控，因此 R 156要求供應商的SUMS針對更新流程評估以下事項，並且提供適當的對策。

若是在車輛行駛時進行更新，更新不能影響汽車的安全性。
若此更新需要複雜的介入措施，那只有在介入措施進行後，更新程序才算全部完成。R 156有舉例說像是感測器的重新校正，這可能就需要專業的知識。
若更新失敗，需確認系統還原到更新前的狀態，或是維持在安全狀態（依ISO 26262的定義）。例如剎車、方向盤或引擎的更新失敗後，引擎不啟動，或是主動巡航功能更新失敗之後，不予啟動，都是安全狀態。
需要有足夠的電力（電池電量）以完成軟體更新，並在更新後回到更新前狀態，或是維持在安全狀態。
在更新前需告知駕駛更新的目的，受影響的功能，更新需要的時間，以及更新時無法使用的功能等，也需要有說明文件，可以安全的進行更新。更新後需告知駕駛，更新是否完成，此次更新是否在手冊上有對應的修改。
若在車輛行駛時更新可能會影響安全性，製造商需告知駕駛此一更新只能在車輛安全的條件下才能進行。

UN Regulation No. 156 - Software update and software update management system. 2021-04-03 [2021-10-17]. （原始内容存档于2023-03-20）（英语）.
ISO對應標準在ISO 24089 Road vehicles — Software update engineering. [2021-12-05]. （原始内容存档于2023-04-09）（英语）.