其他法規與標準

ECE R155, R156: 車輛網絡安全和軟體更新法規概述

(更新2021/1/12) 聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)在2020年6月24日頒布了有關車輛網絡安全和軟體更新的兩項新ECE法規,並於2021年1月份,正式生效。

隨著車輛系統的高度發展,汽車產業正歷經了數位化的變革。如今,一輛汽車包含多達150個電子控制單元(ECU)和大約1億行的軟體代碼,而這個數字將在2030年再成長3倍。

當汽車走向高度數位化,資訊安全的風險也將遽增,由駭客攻擊而導致安全性問題,將威脅著車輛安全和消費者的隱私;如同筆者在ISO/SAE 21434文章中,也提到騰訊科恩實驗室成功駭入特斯拉的實例,汽車產業的資訊安全已刻不容緩。

R155, R156 所涵蓋的四大主題

有鑑於汽車的資訊安全風險,聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)在2020年6月24日通過了兩個ECE法規要求,分別是R155及R156,這兩個法規要求已經於2021年1月份,正式生效。這兩項法規將涵蓋以下4個主題,分別為:

  1. R155: 管理車輛的資訊風險(或稱「網絡風險」,原文為Cyber Rik)
  2. R155: 透過設計來減輕在價值鏈中的風險,以確保車輛的安全
  3. R155: 偵測並回應整個車隊的安全事件
  4. R156: 針對「空中升級」(OTA updates),提供安全及保全(safe and secure)的軟體更新,並確保不損害到車輛安全(Safe)
額外補充: OTA updates

一般所謂的OTA updates,指的是Over-The-Air updates,即空中升級的意思。車輛的空中升級,一般可以分為兩類,分別是:

1) 空中軟體升級(Software Over-the-Air, SOTA)
2) 空中韌體升級(Firmware Over-the-Air, FOTA)

常見的導航圖資更新、媒體應用系統更新等皆屬於空中軟體升級的範圍,相對來說,空中韌體升級則是能夠針對電子控制單元(ECU)進行升級,由於ECU的改動可能導致或造成車輛安全或網絡安全的風險,因此在技術上非常具有挑戰性。
額外補充:各國對於新法規的反應與動向

由世界車輛法規協調論壇(WP29)所頒布的兩項法規,將於2021年1月份,正式生效,目前主要反應的國家:

1. 日本:當法規生效後,計畫採用這些規定
2. 南韓:採取循序漸進的方式,在2020年下半年將《網絡安全法規》的規定納入了一項國家指南,並在第二步著手實施該法規
3. 歐盟:新的《網絡安全法規》將從2022年7月起對所有新車型強制實施,並將對2024年7月起對所有新生產的車輛強制實施
額外備註:歐盟法規的參照

歐盟於2020年1月發布了《一般安全條例》(Regulation (EU) 2019/2144),原文提到:

(26) The connectivity and automation of vehicles increase the possibility for unauthorised remote access to in-vehicle data and the illegal modification of software over the air. In order to take into account such risks, UN Regulations or other regulatory acts on cyber security should be applied on a mandatory basis as soon as possible after their entry into force.

根據該指令,歐盟已宣布計劃引入EU的安全相關法規,以便從2022年7月開始對所有"新車型"強制執行,並在2024年7月之後針對所有“首次註冊”車輛的強制性要求。

感謝閱讀本文章!

如果你對文章內容有任何問題,請隨時與我交流聯絡。

歡迎訂閱我的文章,當有最新文章發布時,我將第一時間通知您 :)


WRITTEN BY
David Lin

現任國際標準輔導顧問及評鑑師;
在這個網站,我將分享一些產業新知、趨勢以及標準的解讀與看法。

歡迎與我交流:
Email:
linchewing@gmail.com
LinkedIn:
https://www.linkedin.com/in/linchew/