基于RXSWIN远程更新的R156建设及实施方案

【欢迎引用】 王腾， 刘闯， 李长龙， 等. 基于RXSWIN远程更新的R156建设及实施方案[J]. 汽车文摘， 2024（XX）： 1-11.

【Cite this paper】 WANG T， LIU C， LI C L， et al. A R156 Construction and Implementation Plan Based on RXSWIN Remote Update[J]. Automotive Digest （Chinese）， 2024（XX）：1-11.

【摘要】为保证智能网联汽车的软件升级活动符合R156法规，对R156法规进行解读并提出一种基于软件升级管理系统远程更新的RX软件识别码（RXSWIN）的R156建设及实施方案。对RXSWIN的组成方案进行了阐述，识别与法规有关的电子控制单元，软件升级如涉及到认证参数的改变则更新RXSWIN。车辆下线后，中央网关读取软件升级管理系统下发的RXSWIN，将初始值传送给车机进行展示。软件更新管理系统（SUMS）体系建设方面，分析SUMS管理体系文件、SUMS管理流程文件、相关文件存储方案，列出了SUMS体系认证所需文件。最后依据R156法规对车辆型式认证（VTA）的要求对车型产品进行摸底测试评估，对测试项目进行了描述，总结出一种RXSWIN远程更新的R156建设及实施方案，为汽车企业的R156建设提供指导方案。

关键词：R156法规；软件更新管理系统；车辆型式认证；RX软件识别码

中图分类号：U463.6" "文献标志码：A" DOI： 10.19822/j.cnki.1671-6329.20220305

A R156 Construction and Implementation Plan Based on RXSWIN Remote Update

Wang Teng1，2， Liu Chuang1，2， Li Changlong1，2， Sha Weihua1，2， Zhou Rui1，2

（1.Global Ramp;D Center， China FAW Corporation Limited， Changchun 130013; 2.National Key Laboratory of Advanced Vehicle Integration and Control， Changchun 130013）

【Abstract】 In order to ensure that the software upgrade activities of intelligent networked vehicles comply with the R156 regulations， the R156 regulations are interpreted and an R156 construction and implementation plan based on the remote update of the software upgrade management system is proposed. The components of RX Software Identification Number （RXSWIN） are described， the electronic control units that are relevant to the regulations are identified， and the software upgrade involving changes to certification parameters should update the RXSWIN. After the vehicles are off the assembly line， the central gateway reads the RXSWIN issued by the software upgrade management system and transmits the initial value to the vehicle for display. In terms of the construction of the software update management system （SUMS）， the SUMS management system documents， SUMS management process documents， and related file storage schemes are analyzed， and the documents required for the certification of the SUMS are listed. Finally， according to the requirements of R156 regulations for vehicle type approval （VTA）， the model products are thoroughly tested and evaluated， the test items are described， and a R156 construction and implementation plan for RXSWIN remote update is summarized， which provided guidance for the R156 construction of automobile enterprises.

Key words： R156， SUMS（Software Update Management System）， VTA（Vehicle Type Approval） ， RXSWIN（RX Software Identification Number）

0 引言

联合国世界车辆法规协调论坛（WP.29）第181次全体会议于2020年6月24日召开，会上表决通过了R156[3]在内的3项智能网联汽车行业的重要法规。R156法规主要规定了软件升级技术和软件升级管理系统的车辆认证要求，适用于允许软件升级的M类、N类、O类、R类、S类、T类车辆。R156法规于2021年1月22日生效，2022年7月开始实施。R156法规在国内外汽车行业产生的影响重大，汽车制造商需对R156解读分析，使出口至1958协议缔约国的车辆满足R156法规要求。

2020年11月25日，市场监管总局办公厅发布《关于进一步加强汽车远程升级（OTA）技术召回监管的通知》[5]。强调从2020年1月1日至该通知印发前已实施的汽车远程升级（Over-The-Air， OTA）技术服务活动，生产者应于2020年12月31日前补充备案。

2020年12月23日，联合国的经济社会理事会发布关于R156的法规解释文件。旨在帮助澄清R156法规第7段和附件1中关于软件更新和软件更新管理系统车辆认证统一规定的要求，并提供可用于证明这些要求的信息。该文件的目标受众是提交测试系统的车辆制造商和评估这些系统的技术服务/认证机构。

2021年6月4日，市场监管总局质量发展局发布《关于汽车远程升级（OTA）技术召回备案的补充通知》[6]。提出了生产者备案采用OTA方式的技术服务活动或召回时，需提交《汽车远程升级（OTA）安全技术评估信息表》的要求。同时电子版升级包需在软件升级任务发出前以光盘形式邮寄至总局缺陷产品管理中心。

2021年8月12日，工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》[7]，该意见第3部分要求汽车生产企业规范软件在线升级，建议企业从强化企业管理能力、保证产品生产一致性两个维度开展工作。

2022年4月15日，工信部装备工业发展中心发布《关于汽车软件在线升级备案的通知》[8]，包含企业管理能力备案、车型及功能备案、具体升级活动备案。国内强制性OTA标准于2022年6月公开征求意见。

王江东等发表了《R156软件更新管理体系的解读及实施建议》[1]，对法规发布的影响、法规的结构与内容、软件更新管理体系实施方案给出了建议与思考。

本文对R156法规进行解读，提出了RX软件识别码（RX Software Identification Number， RXSWIN）、软件更新管理系统（Software Update Management System， SUMS）、车辆型式认证（Vehicle Type Approval， VTA）的建设实施方案。对RXSWIN的变更提出了中央网关与软件升级管理系统联动的远程更新方法，并对SUMS体系建设及VTA车型测试提出了具体实施方案。

1 R156法规解读

R156法规由12个部分及附录组成，分别描述了范围、定义、申请批准、标记、审核批准、软件更新管理系统合格证书、技术规格、车型拓展变更、生产批准、处罚措施、停产、审核机构的具体细节。R156法规重点对汽车企业软件更新管理系统流程体系方面和车辆型式认证方面提出了要求。在第7章详细描述了对体系评估软件升级流程、核心升级记录的存储、安全性要求，对车型提出了软件升级的具体要求、升级过程中对安全的影响和依赖以及对用户安全操作的相关要求。其中强调了软件标识码RXSWIN的升级、获取以及完整性校验，以及RXSWIN的升级及访问控制要求。

1.1 SUMS体系认证

R156法规在体系上有3方面要求：软件升级流程要求、记录保存升级信息、安全性要求。

软件升级的流程需包括：安全保管软件升级工作活动中的信息、评估软件升级对现有功能及系统的影响、软件升级对车辆型式认证的影响、软件升级与车辆软硬件的兼容性、用户获取升级信息的过程、识别目标车辆进行OTA升级、RXSWIN的升级、获取以及完整性校验。

对于升级信息的保存要求如下：软件升级过程中涉及的信息均需合理记录、存储，如合规文件、配置文件、说明文档和RXSWIN的存储。

在安全性方面，法规要求建立机制确保升级包的真实性、准确性和完整性；升级系统在开发和测试过程中，确保安全性得到保证；确保软件升级对车辆功能安全没有影响；如软件升级涉及复杂操作，人员技能水平需满足要求。

1.2 车辆车型认证（VTA）

车辆型式认证要求具体概括为软件升级的要求及升级过程的要求。其中车辆的软件升级要求为：（1）升级前对车辆状态进行检查；（2）建立机制确保固件包的真实性和完整性，RXSWIN需满足升级及访问控制要求，具备唯一性，易读取、受保护。升级过程要求为：（1）升级失败或中断时，需要能够恢复至旧版本或进入安全状态；（2）足够的功率下才能进行升级；升级过程不影响车辆功能安全；（3）用户可获取本次升级的信息，如升级的目的、功能和范围，以及升级预计时长、期间不可用的功能、建议或禁止的操作等；（4）确保驾驶模式下无法进行升级；升级完成后的提示。

2 R156建设及认证

2.1 RXSWIN建设方案

对于具有RXSWIN的车辆，需授权相关人员查看RXSWIN信息，并授权固定人员更改RXSWIN的权限。此项应包括更新每个RXSWIN的所有相关软件版本号及其他必要信息。

汽车企业识别出受软件升级影响的功能、参数和系统后，应能够判断出受软件升级影响的法规，如影响法规参数则更新RXSWIN列表。RXSWIN由ECU软件ID1及硬件ID2组成，其中软硬件ID需由汽车企业定义。RXSWIN组成方案如图1所示。本文选取将RXSWIN存储到车端的方法进行R156建设。

RXSWIN远程更新方案简述如下：

RXSWIN的生成方式：车辆下线后，网关将系统触发信号发送给软件升级管理系统。软件升级管理系统第一次接收网关触发信号后，下发RXSWIN初始值。网关对初始值无更改权限。

RXSWIN的变更方法：ECU如涉及法规参数变更的，需要更改RXSWIN。在新软件更新后主动发送RXSWIN版本变更请求到网关，网关记录该RXSWIN的变化并上报至OTA云端系统。OTA云端系统经过版本校验后，更新该车辆的RXSWIN号码，并下发更改配置。网关对该字节仅具备只读权限，除了OTA云端外都不可写入。如工程师需现场更改RXSWIN，则需采用诊断指令，发送密匙并验证通过后方可以对RXSWIN进行写入。

防止RXSWIN被未经授权修改，网关需建立安全机制，与OTA云端系统建立安全传输层协议（Transport Layer Security， TLS）双向认证及消息加密。RXSWIN下载到车端后，利用sha256进行验证，保证车端收到的RXSWIN与OTA云端管理系统下发的数据保持一致。RXSWIN的远程升级方案如图2所示。

2.2 体系方案建设

体系建设前需先对现有体系与法规要求进行误差分析，分为SUMS管理体系文件、SUMS管理流程文件、相关文件存储方案3个方向。

2.2.1 SUMS管理体系文件

根据差距分析的结果对原有文件进行修订，直至满足法规要求。如原有管理体系文件的修订不能对软件变更管理体系进行约束，则应新增不少于以下文件进行管理体系完善。

（1）建立《软件设计变更控制程序》，用来控制软件变更流程；

（2）建立《软件升级管理规定文件》，规定软件升级的管理流程，涉及到的部门等；

（3）建立《软件版本管理办法》，将软件升级涉及到的软件版本进行管理，要求ECU供应商按照统一规则编码；

（4）建立《软件识别码编制规则更新方案》，将RXSWIN的更新方式进行准确描述；

（5）建立《企业软件升级相关内部标准》等，明确设计规范、测试规范等详细流程。

2.2.2 SUMS管理流程文件

对于SUMS体系管理流程文件，需要识别原有文件，并按照本文提出的文件列表对体系文件进行修订，缺少相关文件的，则需要根据列表进行创建，达到SUMS体系完整，应包含表1所列文件。

（1）《相关系统影响识别流程文件》用于识别本次软件升级是否涉及到安全、环保、节能、防盗等功能。

（2）《软件版本唯一标识流程文件》是软件升级设计的软件版本号，应仅能代表唯一软件。

（3）《目标升级车辆识别流程》应将软件升级的目标车辆的识别进行描述，将具体车辆详尽列出。

（4）《兼容性确认流程文件》应能保证将软件包推送到低配车辆的后，高配车辆不会收到任务。

（5）《型式批准相关识别流程》应能识别本次软件升级是否更改车辆型式批准。

（6）《安全相关系统识别流程》应确保软件升级前后，车辆的驾驶安全。

（7）《告知用户流程》应保证软件升级的内容、结果完整准确地告知用户。

2.2.3 相关文件存储

对软件升级涉及到的文件需要有一个明确的存储列表，具体文件见表2。

（1）《软件升级需求材料》将软件升级的需求收集的流程进行明确的文件。

（2）《软件升级申请单》对软件升级的详细信息进行阐述，包括升级目的、变更方案、设计车辆范围等。

（3）《测试报告》将软件升级的测试用例，测试结果进行阐述的文件。

（4）《备案单》是需要邮寄给相关部门的备案文件。

（5）《审批单》是需要各部门审批的文件。

（6）《升级报告》是将升级结果导出后形成的报告。

对软件升级相关文件进行存储，以作备证。

2.3 车型产品摸底测试评估

根据法规要求，对车型进行摸底测试，通过摸底测试，穿行流程审阅，验证现有产品和流程是否已满足合规要求，输出并梳理验证结果。如果不符合则对应整改。

测试项目应包括：

（1）升级包真实性、完整性试验：利用循环冗余校验码校验算法等对远程升级使用的软件包进行测试，以免软件包被恶意篡改。

（2）软件识别码更新及读取试验：通过一次软件识别码远程更新测试来验证RXSWIN的下发是否正确；在车机屏幕上找到RXSWIN读取入口，对比车机屏幕上显示的RXSWIN与下发的是否一致。

（3）软件识别码防篡改试验：在网关中对RXSWIN字节进行2E写入操作，查看是否成功。若更改成功则认为可以被篡改。

（4）用户告知试验：部署正常的软件升级任务，查看升级前在车机屏幕显示弹窗，如有详细升级信息认为告知用户升级信息。

（5）用户确认试验：部署正常的软件升级任务，测试用户不进行确认操作是否会进行升级。如升级任务必须在用户确认后方可进行，则认为试验通过。

（6）车辆条件试验：软件升级前需检查车辆条件，确保车辆在安全稳定的状态下进行升级。在升级开始前设置车速为0 km/h、挡位为P的前置条件进行测试，如前置条件不满足则不能升级，前置条件满足的情况下可以升级，则认为车辆条件试验通过。

（7）车辆电池电量保障试验：在升级较大软件包时所需软件升级时间较长，因此要保证车辆电量能够支撑升级操作所用电量。根据软件包大小设置电池电量的电荷状态（State of Charge， SOC），例如升级智能座舱信息娱乐系统（In-Vehicle Infotainment， IVI）需60%的剩余电量，则将汽车电量消耗剩余50%进行升级的期待结果为升级失败。在充电达到60%后继续升级操作，可顺利升级认为试验通过。

（8）车辆安全试验：在升级过程中，查看车辆是否能保证安全。升级开始时，汽车进行发动机起动操作，电车进行高压上电操作，若能继续升级则认为升级失败。

（9）驾驶安全试验：在升级过程中，确保车辆无法驾驶。在升级完成后，不论升级结果如何均需保证车辆能够驾驶。

（10）车门防锁止试验：在升级过程中，至少要保证用户可以利用1种方式使车辆可以解锁和闭锁。测试中利用1种方式使正在进行软件升级的车辆解、闭锁则认为测试通过。

（11）升级结果告知试验：在升级完成后，需将升级的结果告知用户，用户点击后通知弹窗才可消失。部署一次升级任务，在升级完成后查看车机屏幕是否对升级结果进行通知，如有升级结果告知弹窗并在用户点击后弹窗消失，则认为试验通过。

（12）升级失败处理试验：本试验目的是查看升级失败后车辆是否处于安全状态。设置假升级包上传至软件升级管理系统，正常部署升级任务，查看车辆报道升级失败后是否处于安全状态，并回退到可用版本。

以上项目测试通过后均需出具测试报告以作备证。主要车型试验项目如表3所示

2.4 认证过程

认证过程主要包括以下3部分：

（1）对SUMS体系材料进行准备、将最终发布的材料提交至认证机构，完成管理体系认证。

（2）选取送审车型，并对送审样车进行遴选、送样、约定目击试验。

（3）选择认证机构开展正式试验、出具报告、采信报告、车型认证证书。

3 结束语

本文对R156法规现有资料进行解读，得出SUMS体系建设及VTA的详细要求。提出了RXSWIN从无到有的建设方案，与OTA云端管理系统相结合，建成由主机厂控制RXSWIN的编码与更改并可从车端读到的完善系统。对SUMS及VTA的方案建设予以指导；从SUMS体系方案建设及管理体系文件2个方面进行阐述。以具体试验项目，描述了VTA车型认证测试过程。对认证过程进行了罗列，给主机厂予以指导；本文RXSWIN存储在车端，后续对于RXSWIN存储在云端的方案可继续开展研究。

参 考 文 献

[1] 王江东， 李徐鹏. R156软件更新管理体系的解读及实施建议[J]. 质量与认证， 2022（7）： 48-50， 56.

[2] 王栋梁， 汤利顺， 陈博， 等. 智能网联汽车整车 OTA 功能设计研究[J]. 汽车技术， 2018（10）： 29-33.

[3] NITED NATIONS. Software update and software update management system，UN Regulation No. 156[S/OL]. （2020-04-04）[2023-22-10].https：//unece.org/sites/default/files/2021-02/ECE-TRANS-WP29-2021-060e.pdf.

[4] ITED NATIONS. Cyber security and cyber security man-agement system， UN Regulation No. 155 [S/OL]. （2020-04-04）[2023-11-10].https：//unece.org/fileadmin/DAM/trans/doc/2020/wp29/WP29-182-05e.pdf.

[5] 国家市场监督管理总局.关于进一步加强汽车远程升级（OTA）技术召回监管的通知[EB/OL]. （2020-11-25）[2023-11-10]. https：//www.samr.gov.cn/zw/zh/art/2023/art_

ab5bbf59aeba46c7b9b263cfdb27f846.html.

[6] 市场监管总局质量发展局.关于汽车远程升级（OTA）技术召回备案的补充通知[EB/OL]. （2021-06-04）[2023-11-10]. https：//www.samr.gov.cn/zw/zh/art/2023/art_94f88156be

d1424f8ffd41f506266a7d.html.

[7] 工业和信息化部装备工业发展中心.关于加强智能网联汽车生产企业及产品准入管理的意见[EB/OL].（2021-07-30）[2023-11-10]. https：//www.samr.gov.cn/zw/zh/art/2023/art_94f88156bed1424f8ffd41f506266a7d.html.

[8] 工业和信息化部装备工业发展中心. 关于开展汽车软件在线升级备案的通知[EB/OL]. （2022-04-15）[2023-11-10]. http：//www.miit-eidc.org.cn/art/2022/4/15/art_1657_733.html

[9] 朱云尧， 吴胜男. 国内外智能网联汽车软件在线升级法规分析[J]. 汽车文摘， 2022（10）： 6-10.

[10] 高洁， 汪庆.一种电动汽车软件OTA升级服务平台的设计方案[J]. 电脑知识与技术. 2017， 13（8）： 209-211.

（责任编辑 明慧）