2022年UNECE WP.29 R155 與 R156 法規(guī)進(jìn)入生效階段，這對(duì)國(guó)內(nèi)行業(yè)相關(guān)標(biāo)準(zhǔn)的建設(shè)具備中大的參考意義。作為專(zhuān)業(yè)OTA供應(yīng)商，艾拉比時(shí)刻關(guān)注國(guó)外標(biāo)準(zhǔn)法規(guī)的頒布，并積極參與到國(guó)內(nèi)標(biāo)準(zhǔn)法規(guī)建設(shè)當(dāng)中。對(duì)于R156法規(guī)中涉及到汽車(chē)軟件升級(jí)相關(guān)內(nèi)容，我們采訪了艾拉比車(chē)聯(lián)網(wǎng)解決方案專(zhuān)家王淼，一起來(lái)聊一下R156法規(guī)中的軟件升級(jí)，希望能為業(yè)內(nèi)伙伴提供一些參考。

2022年UNECE WP.29 R155 與 R156 法規(guī)進(jìn)入生效階段，先介紹一下該法規(guī)出臺(tái)的背景信息吧。

王淼：2020年6月，UNECE’s World Forum for Harmonization of Vehicle Regulations（以下簡(jiǎn)稱(chēng)UNECE）通過(guò)了兩項(xiàng)新的聯(lián)合國(guó)法規(guī)要求，即《Regulation No. 155 - Cybersecurity and Cybersecurity Management System》（以下簡(jiǎn)稱(chēng)R155）與《Regulation No. 156 - Software Update and Software Update Management System》（以下簡(jiǎn)稱(chēng)R156）。該法規(guī)于2021年最終確定并發(fā)布，并發(fā)布了兩份法規(guī)的解讀文件，即《Interpretation for R155》與《Interpretation for R156》。該法規(guī)適用于54個(gè)締約方（不包括美國(guó)和加拿大），各國(guó)實(shí)施進(jìn)度略有差異。這兩項(xiàng)新法規(guī)旨在要求采取以下四大措施：

• Managing vehicle cyber risks;
• Securing vehicles by design to mitigate risks along the value chain;
• Detecting and responding to security incidents across vehicle fleet;
• Providing safe and secure software updates and ensuring vehicle safety is not compromised, introducing a legal basis for so-called “Over-the-Air” (O.T.A.) updates to on-board vehicle software.

兩項(xiàng)法規(guī)的出臺(tái)，對(duì)國(guó)內(nèi)行業(yè)建立相關(guān)法規(guī)標(biāo)準(zhǔn)，對(duì)相關(guān)企業(yè)建立車(chē)輛網(wǎng)絡(luò)安全管理體系與網(wǎng)絡(luò)安全實(shí)施方案、軟件升級(jí)管理體系與軟件升級(jí)實(shí)施方案，均提供了極好的參照標(biāo)準(zhǔn)。

艾拉比專(zhuān)注為主機(jī)廠提供汽車(chē)OTA升級(jí)技術(shù)解決方案，今天我們聚焦在第156號(hào)法規(guī)——軟件升級(jí)與軟件升級(jí)管理體系。是否可以簡(jiǎn)要介紹該法規(guī)在軟件升級(jí)和管理體系的相關(guān)內(nèi)容？

王淼：從R156法規(guī)內(nèi)容結(jié)構(gòu)上來(lái)看，包含了合規(guī)性認(rèn)證申請(qǐng)的說(shuō)明、對(duì)認(rèn)證標(biāo)識(shí)標(biāo)記的定義、對(duì)車(chē)型認(rèn)證（type approval）的要求、軟件升級(jí)管理體系的合規(guī)性要求、認(rèn)證車(chē)型的變更與擴(kuò)展等要求。主體流程和工作事項(xiàng)，可以參考解釋文件中提供的流程示意圖。

從圖中可以看出來(lái)，R156法規(guī)對(duì)車(chē)型認(rèn)證給予了流程指導(dǎo)，那么車(chē)型軟件升級(jí)有什么要求嗎？

王淼：R156法規(guī)中，車(chē)型要求（Requirements for the Vehicle Type），首先針對(duì)軟件升級(jí)提出了兩大方面的要求（Requirements for Software updates）：

一方面，軟件升級(jí)（主要指軟件更新包）的真實(shí)性和完整性應(yīng)受到保護(hù)，以合理的方式防止軟件包被破壞并阻止無(wú)效的更新。這是安全層面的要求。車(chē)輛制造商將需要提供相關(guān)保護(hù)機(jī)制的詳細(xì)說(shuō)明，以確保在車(chē)輛上僅可執(zhí)行經(jīng)過(guò)認(rèn)證和完整性檢查的軟件升級(jí)包。很多技術(shù)性的要求，體現(xiàn)在了軟件升級(jí)管理體系中。

另一方面，法規(guī)要求車(chē)型需要具有RXSWIN。并對(duì)RXSWIN的唯一可識(shí)別性、更新、存儲(chǔ)與讀取要求以及保護(hù)防篡改提出了明確要求。其次對(duì)OTA軟件升級(jí)提出了附加要求。

RXSWIN是什么？作用是什么？R156法規(guī)對(duì)RXSWIN具體提出了哪些要求？

王淼：RXSWIN是Regulation X Software Identification Number的縮寫(xiě)。法規(guī)對(duì)RXSWIN提出了很多的要求，這里做簡(jiǎn)單的介紹。

RXSWIN是指一個(gè)唯一的標(biāo)識(shí)符，其定義了符合給定的聯(lián)合國(guó)法規(guī)“X”的型式認(rèn)證系統(tǒng)具有唯一性的一系列軟件。RXSWIN表征了一系列與車(chē)輛型式認(rèn)證系統(tǒng)相關(guān)的零件的軟件版本集合。因此當(dāng)該集合內(nèi)的零件軟件版本發(fā)生變更時(shí)，RXSWIN也需要進(jìn)行變更。變更，在流程上，就會(huì)涉及重新申請(qǐng)認(rèn)證；在管理上，就要能夠記錄在變更前后，各個(gè)RXSWIN與軟件版本的映射關(guān)系；在技術(shù)手段上，就要能夠做到監(jiān)測(cè)機(jī)構(gòu)指定RXSWIN，OEM能夠說(shuō)明隸屬于該RXSWIN的車(chē)輛及對(duì)應(yīng)的軟件版本，或是指定車(chē)輛，通過(guò)車(chē)輛的軟件版本集合信息，能夠說(shuō)明說(shuō)歸屬的RXSWIN；在更新手段上，OEM要能夠說(shuō)明車(chē)端（如存儲(chǔ)了）是如何更新及如何防止篡改RXSWIN的。可以通過(guò)類(lèi)比來(lái)理解：如果說(shuō)VIN是整車(chē)的“身份證號(hào)”，那么RXSWIN就是車(chē)輛軟件的“身份證號(hào)”。

以后相關(guān)車(chē)輛在上市前、或在上市后推行軟件升級(jí)前，都需要更新RXSWIN與新的軟件版本的映射關(guān)系，并且在影響車(chē)輛型式認(rèn)證系統(tǒng)時(shí)重新申請(qǐng)RXSWIN，并執(zhí)行相關(guān)的認(rèn)證。

車(chē)型要求中還包含了“對(duì)OTA軟件升級(jí)提出了附加要求”。如今，車(chē)輛為消費(fèi)者提供的功能越來(lái)越豐富，OTA成為了智能汽車(chē)的標(biāo)配?！盁o(wú)升級(jí)，不智能”目前也是行業(yè)共識(shí)。能介紹一下相關(guān)法規(guī)要求，及簡(jiǎn)單分析一下對(duì)OTA行業(yè)的影響嗎？

王淼：法規(guī)在車(chē)型要求章節(jié)中，對(duì)OTA軟件升級(jí)提出的附加要求?？偨Y(jié)來(lái)說(shuō)，體現(xiàn)在OTA升級(jí)前、升級(jí)中、以及升級(jí)后的全過(guò)程。

在實(shí)施OTA升級(jí)之前，OEM需要提前通知用戶(hù)，例如升級(jí)的目的、升級(jí)的變更內(nèi)容、預(yù)估的完成時(shí)間、升級(jí)時(shí)不可用的車(chē)輛功能以及可能幫助車(chē)輛用戶(hù)安全地執(zhí)行升級(jí)的所有指導(dǎo)。這里法規(guī)并沒(méi)有限定通知用戶(hù)的具體形式。此外OEM需要定義車(chē)輛升級(jí)開(kāi)始前需要滿(mǎn)足的前提條件，并確認(rèn)每當(dāng)軟件升級(jí)開(kāi)始時(shí)，這些前提條件都得到滿(mǎn)足。并強(qiáng)調(diào)要能夠確保只有在車(chē)輛有足夠的電力完成更新過(guò)程時(shí)，軟件升級(jí)包才能被執(zhí)行——這包括可能恢復(fù)到之前版本或使車(chē)輛處于安全狀態(tài)所需的電量。

那車(chē)型要求中，對(duì)于OTA升級(jí)過(guò)程中有哪些法規(guī)要求呢？

王淼：由于升級(jí)過(guò)程中失敗的話，也會(huì)涉及到OTA“升級(jí)后”的要求，所以這里一并介紹。

首先，OEM應(yīng)證明將如何安全地執(zhí)行升級(jí)，需要采用技術(shù)手段確保車(chē)輛處于安全狀態(tài)下執(zhí)行升級(jí)；并能夠確保在更新失敗或中斷時(shí)，車(chē)輛能夠?qū)⑾到y(tǒng)恢復(fù)到前一版本，或車(chē)輛能夠進(jìn)入安全狀態(tài)。

此外，如果駕駛過(guò)程中執(zhí)行更新可能導(dǎo)致不安全，那么OEM需要證明他們將如何確保升級(jí)執(zhí)行期間無(wú)法駕駛車(chē)輛，以及如何確保駕駛員無(wú)法使用任何可能影響車(chē)輛安全或更新成功執(zhí)行的車(chē)輛功能。也就是說(shuō)，對(duì)于車(chē)端“OTA模式”是如何設(shè)計(jì)的，法規(guī)提出了一些要求。

最終在升級(jí)執(zhí)行后，OEM需要能夠告知車(chē)輛用戶(hù)升級(jí)的結(jié)果（成功或失敗），以及告知升級(jí)所實(shí)施的更改和用戶(hù)手冊(cè)內(nèi)的所有相關(guān)更新（如適用）。

這些要求都指向了OTA對(duì)車(chē)輛功能的影響以及告知車(chē)輛用戶(hù)的要求。目前很多車(chē)廠在OTA宣傳中提到的”無(wú)感升級(jí)“，與此是否存在沖突？

王淼：“無(wú)感升級(jí)”并非新鮮事物。簡(jiǎn)單來(lái)說(shuō)，具備無(wú)感升級(jí)的零部件，一般是有A/B兩個(gè)環(huán)境，一個(gè)激活工作，另一個(gè)非激活。因此可以實(shí)現(xiàn)在A正常支持車(chē)輛工作的同時(shí)去升級(jí)B，然后在適當(dāng)?shù)臅r(shí)機(jī)進(jìn)行系統(tǒng)切換至B，運(yùn)行新版本。但仍然需要在實(shí)施切換前，盡到告知客戶(hù)的義務(wù)。

而對(duì)于車(chē)輛條件的判斷以及升級(jí)的保障等，這些都按流程執(zhí)行即可，并沒(méi)有因?yàn)椤盁o(wú)感升級(jí)”的引入，而發(fā)生巨變。

對(duì)于車(chē)輛用戶(hù)而言，更多的節(jié)省了這個(gè)零部件本身的升級(jí)時(shí)間。支持無(wú)感升級(jí)的零件越多，也意味著客戶(hù)感知到的升級(jí)過(guò)程會(huì)越短?？梢钥吹皆絹?lái)越多的OEM，會(huì)將車(chē)端高算力的智能件支持無(wú)感升級(jí)。最終整車(chē)的升級(jí)時(shí)間瓶頸，將在于CAN ECU等需要進(jìn)入Flash Bootloader進(jìn)入刷寫(xiě)的模塊更新時(shí)長(zhǎng)，并行刷寫(xiě)（也就是多路CAN上的ECU的同時(shí)更新）可以有效縮短整體的刷寫(xiě)時(shí)間。

這就需要良好的并行刷寫(xiě)時(shí)序設(shè)計(jì)與容錯(cuò)處理，需要平臺(tái)支持對(duì)并行刷寫(xiě)順序的編制，車(chē)端多路刷寫(xiě)的流程控制，網(wǎng)關(guān)良好的轉(zhuǎn)發(fā)能力等，艾拉比在這方面是具有成熟的、經(jīng)過(guò)市場(chǎng)驗(yàn)證的解決方案的。

看來(lái)這是一個(gè)新話題，我們可以約下次詳細(xì)聊一下無(wú)感知升級(jí)?；氐轿覀冞@次的主題，剛剛我們談了車(chē)型升級(jí)認(rèn)證以及軟件升級(jí)的相關(guān)要求，那么針對(duì)OEM如何建設(shè)軟件升級(jí)管理體系，是否提出了要求？

王淼：有的。這個(gè)要求主要體現(xiàn)在四個(gè)方面。法規(guī)原文就有比較明確的行文結(jié)構(gòu)，我們可以直接引用：

1. OEM在進(jìn)行軟件升級(jí)管理體系認(rèn)證評(píng)估時(shí)需要提供的一系列過(guò)程證明。
2. 主要包括軟件與目標(biāo)車(chē)輛兼容性的確認(rèn)過(guò)程；
3. RXSWIN與軟件版本信息的可識(shí)別、可讀取、相匹配的過(guò)程；
4. 分析軟件升級(jí)是否影響任何型式認(rèn)證系統(tǒng)的過(guò)程；
5. 通知車(chē)輛用戶(hù)升級(jí)的過(guò)程等等。
   
6. 車(chē)輛制造商應(yīng)記錄并存儲(chǔ)以下適用于給定車(chē)型每次升級(jí)的信息：
7. 進(jìn)行軟件更新時(shí)使用的過(guò)程以及用于證明其符合性的任何相關(guān)標(biāo)準(zhǔn)的文件；
8. 描述更新前后任何相關(guān)型式認(rèn)證系統(tǒng)配置的文件；
   
9. 升級(jí)前后RXSWIN與軟件版本的映射關(guān)系及相關(guān)的完整性數(shù)據(jù)；
   
10. 列出目標(biāo)更新車(chē)輛的文件列表，并確認(rèn)目標(biāo)車(chē)輛最后已知配置和更新的兼容性；
    
11. 描述該車(chē)型所有軟件更新的文檔，主要包括向車(chē)輛用戶(hù)告知的內(nèi)容、升級(jí)的執(zhí)行條件以及是否影響其他型式認(rèn)證系統(tǒng)而需要重新更新批準(zhǔn)及RXSWIN。
12. 安全性相關(guān)的要求。
13. OEM需要能夠證明，確保有用于保護(hù)軟件更新在更新開(kāi)始之前被篡改的流程；
14. 升級(jí)流程應(yīng)得到得到保護(hù)，從而合理的防止其受到損害，這包括了升級(jí)推送系統(tǒng)的開(kāi)發(fā)過(guò)程；
15. 該流程用于驗(yàn)證和確認(rèn)車(chē)輛所使用的軟件功能和軟件代碼是否適當(dāng)?shù)取?/li>
16. 對(duì)OTA軟件升級(jí)的附加要求。

法規(guī)中，“軟件升級(jí)管理體系”，也對(duì)OTA軟件升級(jí)提出了附加要求？

王淼：是的。法規(guī)本身，關(guān)注的是OTA升級(jí)對(duì)車(chē)輛用戶(hù)駕駛車(chē)輛的影響以及對(duì)復(fù)雜升級(jí)行為的約束。即如果升級(jí)是在駕駛過(guò)程中進(jìn)行，OEM需證明會(huì)采用流程和程序評(píng)估OTA升級(jí)不會(huì)影響安全；如果OTA升級(jí)需要特定技能或復(fù)雜操作（例如升級(jí)后需要重新校準(zhǔn)傳感器）時(shí)，OEM需有流程確保只有足夠?qū)I(yè)的人員在場(chǎng)或流程可控的情況下才能進(jìn)行升級(jí)。

我們?cè)谟懻揙TA時(shí)過(guò)多地關(guān)注了OTA功能、功能實(shí)現(xiàn)及其意義，較少去闡述如何搭建一套流程，來(lái)支撐OEM來(lái)玩轉(zhuǎn)OTA從設(shè)計(jì)研發(fā)到業(yè)務(wù)實(shí)施的全過(guò)程。這點(diǎn)艾拉比在方案設(shè)計(jì)之初就參考了海外標(biāo)準(zhǔn)建設(shè)的要求，目前艾拉比企業(yè)級(jí)OTA就是基于OTA的汽車(chē)軟件管理體系，協(xié)助車(chē)企梳理定義，包括面向SOA全新電子電氣架構(gòu)的整車(chē)升級(jí)能力、汽車(chē)軟件版本管理能力、市場(chǎng)銷(xiāo)售售后軟件服務(wù)能力和消費(fèi)者汽車(chē)軟件大數(shù)據(jù)應(yīng)用能力。

最后一個(gè)問(wèn)題，了解一下目前國(guó)內(nèi)是否有相對(duì)應(yīng)的法規(guī)？

王淼：有的。國(guó)家強(qiáng)制性標(biāo)準(zhǔn)《汽車(chē)軟件升級(jí)通用技術(shù)要求》于2021年10月立項(xiàng)，預(yù)計(jì)征求意見(jiàn)稿也將在2022年正式發(fā)布。相比R156，該標(biāo)準(zhǔn)還補(bǔ)充定義了車(chē)型認(rèn)證的試驗(yàn)方法，對(duì)OEM及評(píng)測(cè)機(jī)構(gòu)軟件升級(jí)認(rèn)證的落地，提供了強(qiáng)有力的指導(dǎo)。在該法規(guī)的制定過(guò)程中，作為專(zhuān)業(yè)的OTA升級(jí)技術(shù)服務(wù)供應(yīng)商，艾拉比也對(duì)法規(guī)內(nèi)容做了密切跟蹤，并積極獻(xiàn)言獻(xiàn)策。