聯合國第156號法規

UNR156，全稱為《關於核准車輛軟體更新與軟體更新管理系統的統一規定》，是由聯合國歐洲經濟委員會（UNECE）世界車輛法規協調論壇（WP.29）於2020年6月通過的強制性法規。其核心要求車輛製造商必須建立、實施並通過認證的「軟體更新管理系統」（Software Update Management System, SUMS）。此系統需確保所有軟體更新（特別是無線更新OTA）的完整性與真實性，並在更新前後評估對車輛安全的影響。UNR156與ISO/SAE 21434《道路車輛－網路安全工程》標準緊密相關，後者為實現SUMS提供了具體的工程流程指導。在風險管理體系中，UNR156專注於管理「軟體變更」所引發的網路安全與功能安全風險，確保車輛在整個生命週期內，其軟體狀態始終處於安全且合規的狀態，是取得歐盟、日、韓等市場車輛銷售許可的先決條件。

企業應用UNR156的核心是將其要求整合至產品開發與生命週期管理的風險控制流程中。具體導入步驟如下：第一、建立SUMS治理框架：參照ISO/SAE 21434標準，定義軟體更新的政策、流程、角色與職責。建立安全的軟體開發生命週期（Secure SDLC），確保從開發、測試到部署的每個環節都符合安全要求，例如導入程式碼簽章與安全傳輸協議。第二、執行更新前風險評估：針對每一次軟體更新，必須評估其對車輛既有安全概念的影響，並驗證更新不會引入新的危害。此流程需完整文件化，確保可追溯性。第三、部署後監控與響應：建立機制監控已部署更新的車輛，收集潛在安全問題的回饋，並制定快速響應計畫。例如，某國際車廠導入此系統後，成功將因軟體更新瑕疵導致的召回率降低了60%，並確保100%通過歐盟新車型式認證（Type Approval）審查。

台灣企業導入UNR156主要面臨三大挑戰。第一、供應鏈管理複雜：台灣車廠高度依賴多元供應商提供電子控制單元（ECU），要整合不同供應商的軟體版本與安全流程，建立一致的SUMS極具挑戰。對策是制定統一的供應商安全評估準則，要求提供軟體物料清單（SBOM），並納入採購合約。第二、測試驗證資源不足：建置能完整模擬整車OTA更新情境的測試平台成本高昂。解決方案是優先採用虛擬化測試平台（vHIL），降低硬體建置成本，並專注於關鍵安全相關ECU的實體測試。第三、跨領域人才短缺：缺乏同時精通汽車工程、軟體開發與網路安全的整合型人才。企業應成立跨部門推動小組，並與外部顧問合作，透過工作坊與實作演練，在6個月內培養內部種子團隊，逐步內化管理能力。

積穗科研股份有限公司專注台灣企業UNR156相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact