自動運転車のソフトウェアアップグレードに関する技術管理と規制戦略の分析

スマート車両ネットワーキング、インテリジェンス、アーキテクチャ技術の発展に伴い、自動車ではファームウェアとソフトウェアの両方においてソフトウェアの反復とアップグレードが不可逆的に必要になっています。自動車のライフサイクル全体にわたって、OTA機能は車両全体にソフトウェアのアップグレード、ファームウェアのアップグレード、アフターサービスなどのサービス機能を継続的に提供することが求められており、自動車のインテリジェント化はOTAアップグレード機能にとって欠かせない主流のトレンドとなっていると言えます。

この記事では、自動運転車の現在のソフトウェア アップグレードのニーズと規制要件について詳しく説明します。自動運転におけるソフトウェア アップグレード プロセスの原則、アクセス要件、および対応戦略を全体的に理解できるように読者を支援することを目的としています。

1.車両ソフトウェアアップグレードの技術的利点

まず、ソフトウェア定義自動車は、車両ソフトウェアのアップグレード技術の開発と応用を促進し、新しいスキルを解き放ち、小さな抜け穴を塞ぎ、さらには車両ソフトウェアのアップグレードを通じてさまざまな使用シナリオに合わせてパーソナライズされた構成をプッシュまたは変更することさえ可能にしました。ソフトウェア定義自動車がコンセンサスとなるにつれ、ソフトウェアバグのリスクも大きなトレンドとなってきました。車両ソフトウェアのアップグレードにより、ソフトウェア障害を効果的に解決し、緊急対応による開発サイクルの短さに起因するソフトウェアリスクの問題を軽減し、情報セキュリティの脆弱性を修復できます。

インテリジェント運転システムとスマートコックピットシステムのアップグレードを例にとると、OTAアップグレードプロセスの原理とデータフローの方向がよく説明できます。 OTA ソフトウェア フレームワーク全体は、OTA クラウド、マルチメディア サービス、インテリジェント ドライビング モジュールの 3 つの部分で構成されます。

OTA クラウドのソフトウェア フレームワーク構造には、主に、 OTA 管理プラットフォーム、タスク スケジューリング システム、アップグレード監視、バージョン監視、パッケージのアップグレード用パッケージ ツール、暗号化計算、署名、バージョン管理、アップグレード ログ レポート、アップグレード通知などの部分が含まれます。

インテリジェント運転ドメイン（ドメインコントローラと各種センサーコンポーネントを含む）は、ソフトウェア開発を通じて反復を完了し、対応するソフトウェアはアップグレードパッケージにパッケージ化され、暗号化され、署名され、OTAクラウドに送信されます。同時に、ローカルエンドではバージョン管理を実行し、アップグレードログレポートを記録し、関連システムにアップグレード通知を送信します。ソフトウェア パッケージには、更新するコンテンツ（全体量または一定量、車両モデル、バッチ、特定のグループなど）が含まれます。これらのパッケージは、OTA クラウド サーバーに配置され、相互作用を開始します。カメラなどのコンポーネントについては、純粋にドメイン コントローラーに接続されている場合、アップグレードする前に、ドメイン コントローラーとの互換性を確認して、それらの関係を明確にする必要があります。ドメイン コントローラー モジュールの電力を考慮すると、液体冷却が必要な場合、車両のアップグレード プロセス中にドメイン コントローラーが動作しているときは、TMS モジュールをアップグレードすることはできません。

スマートコックピットドメインは、4G/5G ネットワークを介して車両とサーバー間の安全な接続を確立し、更新された新しいファームウェアが車両の各 ECU に安全に送信されるようにします。主なソフトウェアフレームワークは、バージョン情報の取得、アップグレード条件の判断と検出、サーバーへのアップグレードログのアップロード、DoIP クライアント、サービスからのアップグレードパッケージのダウンロード、アップグレード戦略の策定、復号化計算、署名検証、HMI 復号化表示、アップグレードログのアップロードです。

インテリジェント運転モジュールは、プロトコル通信リンク管理や安全認証など、車両側の安全通信要件を満たす必要があります。主なソフトウェアフレームワークは、アップグレードパッケージの署名検証、アップグレードパッケージの進行状況と結果のフィードバック、アップグレードパッケージの復号化、ニアミス復元、DoIP サーバー、5R1V アップグレード、高精度測位アップグレード、ドメインコントローラーアップグレード、サラウンドビューカメラアップグレードなどです。

アップグレード全体の要素は次のとおりです。

1) ソフトウェア アップグレード パッケージの構成: パッケージ化ツールを使用して、対応する構成ファイル .Config を生成します。次に、構成されたソフトウェア パッケージは署名され、解凍され、送信用に暗号化されます。

2) ソフトウェア アップグレード パッケージのアセンブリ: インテリジェント コックピット コントローラーは受信したデータを解析し、復号化、アセンブリ、署名検証を実行して、ソフトウェア アップグレード パッケージと Config ファイルの圧縮パッケージを取得します。

3) ソフトウェアアップグレードパッケージの送信：通信制御相互作用のためのConfigファイル内の関連情報を読み取り、ソフトウェアアップグレードパッケージを各インテリジェント運転モジュールに送信します。

4) ソフトウェアアップグレードパッケージの配信: インテリジェント運転コントローラは、ソフトウェアアップグレードパッケージを復号化し、差分復元して、復号化後のソフトウェアインストールパッケージを取得します。最後に、アプリケーション証明書を使用して署名を検証し、自己アップグレードタスクを開始します。

第二に、ソフトウェアの障害によりリコールが発生した場合、多くの時間と費用を節約できます。製品とユーザー エクスペリエンスを迅速に反復して改善します。自動車におけるソフトウェアの普及が進むにつれ、ソフトウェア関連のリコールも増加しています。この開発プロセスにおいて、ソフトウェアによってもたらされるパフォーマンスの変化は、企業に多くの潜在的な品質問題をもたらします。新エネルギー車の苦情率は100％で、苦情率の90％はソフトウェアのバグによるものです。

通常、ソフトウェアのアップグレードでは不十分だった機能が改善されますが、車両のリコールでは、欠陥のある部品を基準や要件を満たす部品に交換または修理します。したがって、アップグレードとリコールはどちらも欠陥を排除するための活動であり、リベートや工場返品は必須条件ではありません。 OTA技術を合理的な手段で適用すれば、簡単かつ省力でコスト効率よく問題を解決できるため、今後ますます多くの自動車がこのような方法でリコールされることが予想されます。

2.車両ソフトウェアアップグレードの安全性管理とテストの課題

自動車は成熟した工業製品であるため、市場に投入される前に製品発表認証と製造ライセンス認証を完了する必要があります。車両全体とそのコンポーネントは固定されていますが、車両ソフトウェアのアップグレードにより、すべてが可変になります。

ソフトウェアアップグレードの全体的な制御の観点から見ると、ソフトウェア OTA プロセスには、クラウド セキュリティ管理、OTA 接続セキュリティ管理、車両側 OTA セキュリティ管理といういくつかの主要な項目が含まれます。その中で、クラウド セキュリティには主に、サーバー アクセス保護、サーバー攻撃防御、サーバー - クライアント認証、アップグレード パッケージの安全な保管、OTA ビジネス侵入テスト、OTA 管理プラットフォームの脆弱性スキャン、OTA ビジネス セキュリティ ログが含まれます。次に、OTA 接続セキュリティには、Https セキュア接続、送信コンテンツの暗号化、APN などのビジネス領域が含まれます。最後に、車両側の OTA セキュリティには、車両サーバーの認証、アップグレード パッケージの整合性とセキュリティの検証、OTA アプリケーションの脆弱性スキャン、アップグレード パッケージのストレージ セキュリティ管理、アップグレードの信頼性など、多くの側面が関係します。

ソフトウェアのアップグレードプロセスには、ある程度、セキュリティシステム全体の設計と認証が必要です。これには、クラウド側の OTA セキュリティ設計、管理側の接続セキュリティ保護、車両側の OTA セキュリティ強化、製品の信頼性と安全性を確保するための厳格なパフォーマンステストが含まれます。

3.ソフトウェアアップグレード管理要件と対応戦略

高度な知能運転車両へのアクセスを実用レベルから実現するためには、現在のアクセスガイドラインの観点から、実際の申請プロセスにおけるソフトウェアアップグレードの具体的な要件と実施措置に焦点を当てる必要があります。これは、多くの新入社員が設計の初期段階でソフトウェア アップグレードの実際のルールと要件を十分に理解しておらず、ソフトウェア バージョンのリリース中にセキュリティ制御を行わずにアップグレードを悪用することが多いためです。現在出現しているさまざまなソフトウェア アップグレード規制とアクセス ガイドラインには、ソフトウェア アップグレードに関する規制がいくつか含まれており、これはソフトウェア アップグレード ガイダンスのタイムリーな緩和策となっています。ソフトウェアのアップグレードには、以下の面でさらなる利点がもたらされます。

1) ソフトウェアアップグレードの国家監督

中国市場では、2019年時点で、プログラムやソフトウェアの問題によるリコールが213件、683万2千台に上り、リコール総数の約9％を占めています。→ソフトウェアによるリコールは明らかに増加傾向にあります。

現在の市場では、一部の自動車会社は、製品を早く発売するために、不完全な自動車製品を市場に投入し、OTAを通じて消費者を欺き、アップグレードなどの言い訳を使って、自社製品の問題によるリコールの事実をごまかし、混乱させ、さらには隠蔽しています。

国家市場監督管理総局は、上記の現状説明に基づき、2020年11月25日に「自動車遠隔アップグレード（OTA）技術リコールに対する監督管理のさらなる強化に関する通知」を発行し、効果的な手段と政策手法を通じてリコールとアップグレードの違いを識別するというOTAに対する監督管理の重点を実現することに焦点を当てました。これは、OEM が OTA を通じて欠陥を排除し、リコールの事実を隠蔽することを防ぐためです。

OTAを利用してすでに販売した車両に対する技術サービス活動を行う自動車メーカーは、「欠陥自動車製品リコール管理条例」および「欠陥自動車製品リコール管理条例実施弁法」の要求に従って、国家市場監督管理総局品質開発局に記録を提出する必要があります。 OTA技術サービス活動は2020年1月1日に実施され、生産者は2020年12月31日までに対応する補足申請を完了している必要があります。

また、工業情報化部設備産業発展センターは2022年4月15日に「自動車ソフトウェアのオンラインアップグレード登録の実施に関する通知」を発行し、ソフトウェアアップグレードの申請者は自動車メーカーである必要があると明記しました。アップグレード プロセスでは、エンタープライズ管理機能の申請、車両モデルと機能の申請、特定のアップグレード アクティビティの申請など、一連の要件を順番に完了する必要があります。解釈としては、ソフトウェアのアップグレードに対する国家の監督はより厳しくなり、最初に発売してから最適化するというテスラの戦略から学びたい後続のOEMは大きな障害に直面する可能性があるという。

2) ソフトウェアアップグレード規則 - UN/WP29

ソフトウェアアップグレード規制に関しては、欧州規格のUN/WP29は、クラスM（乗用車）、クラスN（トラック）、クラスO（トレーラー）、クラスR（トレーラー）、クラスS（トラクター）、クラスT（農業用車両）などのソフトウェアアップグレード機能を備えた車両に対する国際規制に完全に適用できます。インテリジェント運転市場レイアウトでは、ソフトウェアアップグレードに関する規制の適用範囲は次のようにまとめられます。

• 2020年6月24日、WP.29第181回総会はウェブ会議の形式でソフトウェアアップグレード規則を採択し、2020年6月25日に正式にリリースされました。
• 規則は公布後、2021年1月22日に施行され、日本国内の研究開発モデルにおいて正式に導入されました。
• 韓国は、この規制が正式に発表される前に、それを国家ガイドラインに組み込んだ。
• EUは2022年から2024年にかけて、すべての新モデルとすべてのモデルをこのソフトウェアアップグレードの準拠範囲に徐々に含めてきました。

ソフトウェアの更新を管理する規制の部分には、利害関係者 (自動車メーカー、技術サービス部門、管轄当局) の責任が関係します。ソフトウェア アップグレードでは、情報セキュリティ、認証コンプライアンス、機能安全性に関する要件がカバーされます。ソフトウェア アップグレードの具体的なプロセスと手順には、主に車両型式承認申請、SUMS 証明書、RX ソフトウェア識別番号 (RXSWIN) などが含まれます。上記の内容はすべて、ソフトウェア アップグレードのセキュリティと信頼性の要件を満たすことを目的としています。

3) 「インテリジェントコネクテッドビークルへのアクセスガイドライン」におけるソフトウェアアップグレードの要件

インテリジェント コネクテッド ビークル アクセス ガイドラインは、OEM が開発中の自動運転機能の承認を取得するための現在の方法に関する一連のガイドラインと仕様です。機能安全、情報セキュリティ、ソフトウェアのアップグレード、データロギング、シミュレーション/実車テストなどの側面が含まれます。ソフトウェアのアップグレードには、主に管理システム、標準および仕様、アップグレードの影響、テストと検証、適応性、トレーサビリティ、通知義務、セキュリティに関する対応する開発内容の仕様が含まれます。対応する管理要件とテスト要件を次の図にまとめます。

各自動車会社は、できるだけ早くOTAの管理・運営体制と組織を確立し、国家の監督・管理に積極的に協力する必要がある。プロセス システムを第一に、完全な OTA セキュリティ保証システムを構築します。ソフトウェア開発および配信システムを厳格に管理し、プロセス全体の検証、リリース、ファイリング、プロセス監視、緊急時の対応、ライフサイクル管理を実施して、ソフトウェア開発の安全性、信頼性、システム効率を確保します。完全な OTA 車両統合テスト機能を形成し、同時に機能安全性と情報セキュリティのテスト機能を開発し、OTA 機能安全性と情報セキュリティのテストおよび受け入れ計画を形成します。

4結論

この記事では、自動運転車の設計と開発におけるソフトウェア アップグレードの利点、難しさ、規制要件の概要を説明します。インテリジェント運転の発展にとって、ソフトウェアアップグレードの重要な技術的利点を理解することは、ソフトウェアアップグレード技術の開発と安全管理によってもたらされる課題にさらに力を注ぐことに貢献し、ソフトウェアアップグレードに関連する仕様、標準、規制などのコンテンツをより有効に活用して、スマートカーに適したソフトウェアパッケージをより良く開発する方法を明確にするのに役立ちます。したがって、このプロセスを理解することで、ソフトウェア アップグレード プロセスの全体的な制御が容易になります。