この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1 一般用語
3.1.1
互換性
ソフトウェア(3.1.15) が 車両システム(3.1.25) 上で衝突することなく実行できる能力。
注記 1:適合性は、 車両構成情報 (3.1.24) で確認できます。
3.1.2
状態
ソフトウェア更新操作 (3.1.19) が 正常に完了するために必要な基準
注記 1: 条件には 、互換性 (3.1.1) 、 安全な車両状態 (3.1.13) 、 車載リソース (3.1.11) 、および外部リソースを含めることができます。
例:
ソフトウェア更新操作中の 熟練者の存在 (3.1.14) 。
3.1.3
是正処置
問題または失敗を排除または封じ込めるための行動
3.1.4
サイバーセキュリティ
道路車両のサイバーセキュリティ
道路車両の 車両システム (3.1.25) および ソフトウェア更新エンジニアリング (3.1.18) をサポートするために必要な インフラ (3.1.10 ) に対する脅威シナリオから資産が十分に保護されている状況
注記 1:このドキュメントでは、簡潔にするために、道路車両のサイバーセキュリティの代わりにサイバーセキュリティという用語を使用しています。
[出典: ISO/SAE 21434:2021, 3.1.9, 修正 — 「道路車両、その機能、および電気または電子コンポーネントの項目へ」は、「ソフトウェア更新をサポートするために必要な道路車両およびインフラストラクチャの車両システムへ」に置き換えられました。エンジニアリング」およびエントリへの注 1 が変更されました。
3.1.5
サイバーセキュリティリスク
攻撃の実現可能性と影響の観点から表現された、 サイバーセキュリティ (3.1.4) に対する不確実性の影響。
[出典:ISO/SAE 21434:2021, 3.1.29]
3.1.6
依存
ある 車両システム( 3.1.25)のソフトウェア( 3.1.15)が同じまたは他の 車両システム(3.1.25) に与える影響
注記 1: 依存関係により、 ソフトウェア更新パッケージ (3.1.20) のメタデータに 条件 (3.1.2) が生成される場合があります。
例:
2 つの 電子制御ユニット (ECU) 間の通信インターフェース (3.1.7) 。
3.1.7
ECU
電子制御ユニット
ソフトウェア(3.1.15) を更新できる車両の組み込みデバイス
3.1.8
機能安全
車両システムの誤動作によって引き起こされる危険による不当なリスクがないこと (3.1.25)
[出典:ISO 26262-1:2018, 3.67, 修正 — 「E/E」は「車両」に置き換えられました。]
3.1.9
機能安全リスク
危害の発生確率とその危害の重大度の組み合わせ
[SOURCE:ISO 26262-1:2018, 3.128, modified — この文書の範囲に合わせて、用語が「リスク」から「機能安全リスク」に変更されました。]
3.1.10
インフラストラクチャー
ソフトウェア更新操作 (3.1.19) 、 ソフトウェア更新キャンペーン (3.1.16) 、文書化、および 車両構成情報 (3.1.24) の任意の組み合わせを管理するプロセスおよび情報システム。デジタルおよび手動の両方の活動を含む
注記 1: インフラストラクチャには、ソフトウェア更新操作で使用されるサーバー、ツール、および手作業の任意の組み合わせを含めることができます。
3.1.11
車両リソース内
車両または 電子制御ユニット (ECU) (3.1.7) ソフトウェア更新エンジニアリングに関連する利用可能なプロパティ (3.1.18)
例:
利用可能または残りの計算能力、ネットワーク容量、RAM 容量、ストレージ容量、またはバッテリー容量。
3.1.12
受取人
ソフトウェア更新キャンペーン (3.1.16) 中に ソフトウェア更新パッケージ (3.1.20) を受け取る車両、 車両システム (3.1.25) 、または 電子制御ユニット (ECU) (3.1.7) の個々のインスタンス
3.1.13
安全な車両状態
不合理なレベルのリスクなしに ソフトウェア更新操作 (3.1.19) を実行するための 条件 (3.1.2) に基づく車両操作モード
注記 1: ソフトウェア更新パッケージ (3.1.20) に必要な 条件 (3.1.2) によって、安全な車両状態が異なる場合があります。
注記 2:安全な車両状態は、実行中のソフトウェア更新操作ステップによって異なります。
例:
モーターがオフになり、パーキング ブレーキがかかります。
3.1.14
熟練者
ソフトウェア更新操作を実行するための関連する技術教育、トレーニング、または経験を持つ個人 (3.1.19)
グレード 1 からエントリー:熟練者はワークショップのメカニックになることができます。
注記 2:熟練者は、専門的な訓練を受けているか、または熟練した 車両ユーザー (3.1.26) であることが認められているか、認定されている可能性があります。
[SOURCE:ISO 10209:2022, 3.14.36, modified — 「リスクを認識し、製品の使用中に発生する危険を回避できるようにする」という表現は、「ソフトウェア更新操作を実行する」に置き換えられました。]
3.1.15
ソフトウェア
車両、 車両システム (3.1.25) または 電子制御ユニット (ECU) (3.1.7) への インストール (3.2.2) を目的としたコンピュータ プログラムおよび関連データで、実行中に動的に記述または変更される可能性があるもの
[出典:NIST SP 800-53, 修正 — 「車両、車両システム、または電子制御ユニット (ECU) への取り付けを意図した」というフレーズが追加されました。
3.1.16
ソフトウェア更新キャンペーン
ターゲットの識別(3.1.23) および 受信者の解決(3.1.12) のシーケンス。 ソフトウェア更新パッケージの配布 (3.1.20) ; ソフトウェア更新操作の結果の監視と文書化 (3.1.19)
3.1.17
ソフトウェアアップデートの配布方法
ソフトウェア更新キャンペーン (3.1.16) 中に ソフトウェア更新パッケージ (3.1.20) を配信するメカニズム
注記 1:ソフトウェア更新の配布方法は、有線 (ツール、USB フラッシュ ドライブなど)、無線 (携帯電話や Wi-Fi など)、またはハードウェア交換のいずれかです。
注記 2:ハードウェアの交換は 、ソフトウェア (3.1.15) のバージョン交換の影響で 、電子制御ユニット (ECU) (3.1.7) を交換することができます。
3.1.18
ソフトウェア更新エンジニアリング
ソフトウェア更新パッケージ (3.1.20) の計画、開発、および展開のプロセスに対する体系的かつ管理されたアプローチの適用。
[SOURCE:ISO/IEC/IEEE 24765:2017, 3.3810, modified — 「統制された、定量化可能な」は「管理された」に置き換えられ、「ソフトウェアの開発、運用、および保守」は「開発、計画、およびプロセスのプロセス」に置き換えられました。ソフトウェア更新パッケージの展開」。
3.1.19
ソフトウェア更新操作
車両、 車両システム (3.1.25) 、または 電子制御ユニット (ECU) での ソフトウェア更新パッケージ (3.1.20) の 受信 (3.2.1 )、インストール (3.2.2)、およびアクティブ化 (3.2.3) に含まれる手順 ) (3.1.7)
3.1.20
ソフトウェア更新パッケージ
1 つまたは複数の車両、 車両システム (3.1.25) 、または 電子制御ユニット (ECU) (3.1.7) に展開されることを意図した 、ソフトウェア (3.1.15 ) および関連するメタデータのセット
3.1.21
ソフトウェア更新プロジェクト
1 つ以上の ターゲット (3.1.23) に対する一連の ソフトウェア更新エンジニアリング (3.1.18) 活動
注記 1: 活動には、 インフラストラクチャ (3.1.10) 、車両の機能、またはこの文書に記載されているプロセスの開発または適応が含まれる場合があります。
注記 2: ソフトウェア更新プロジェクトには、複数の ソフトウェア更新キャンペーン (3.1.16) を含めることができます。
3.1.22
一
このドキュメントの説明とは異なる方法で活動を省略または実行すること
[出典:ISO/SAE 21434:2021, 3.1.32]
3.1.23
目標
車両構成情報 (3.1.24) によって決定される、車両 、車両システム (3.1.25) 、または 電子制御ユニット (ECU) (3.1.7) の 1 つまたは複数のクラス
3.1.24
車両構成情報
車両のハードウェア バージョン、 ソフトウェア (3.1.15) バージョン、および構成パラメーターの包括的な説明
3.1.25
車両システム
1 つまたは複数の 電子制御ユニット (ECU) (3.1.7) および付属ハードウェアの機能グループ
注記 1: 取り付けられたハードウェアは、たとえば、ECU 上にないセンサー、アクチュエーター、またはライトである可能性があります。
例:
ブレーキ システムまたはインフォテインメント システム。
3.1.26
車両ユーザー
車両を操作、運転、所有または管理する人
注記 1 車両の使用者は 熟練者(3.1.14) になることができる。
3.2 ソフトウェア更新操作に関する用語
3.2.1
レシート
ツール、車両、 車両システム(3.1.25) 、または 電子制御ユニット(ECU)(3.1.7)が ソフトウェア更新パッケージ(3.1.20) を受け取るときの ソフトウェア更新操作(3.1.19) のステップ。
例 1:
ソフトウェア更新パッケージをダウンロードしています。
例 2:
ツールを使用したソフトウェア更新パッケージの転送。
3.2.2
インストール
ソフトウェア 更新パッケージ (3.1.20) の関連部分が車両、 車両システム (3.1.25) 、または 電子制御ユニット (ECU) (3.1.7) に書き込まれるときのソフトウェア 更新操作 ( 3.1.19) のステップ。 ) しかし、まだ アクティブ化されていません (3.2.3)
3.2.3
アクティベーション
インストールされた(3.2.2) ソフトウェアアップデート パッケージ(3.1.20) の関連部分が車両、 車両システム(3.1.25) 、または 電子制御ユニット( ECU) (3.1.7)
例 1:
新しい自動運転機能が インストールされ (3.2.2) 、実行の準備ができていますが、 車両ユーザー (3.1.26) が 機能を開始した後にのみ実行されます。
例 2:
車両、車両システム、または ECU (3.1.7) のソフトウェア更新パッケージの関連部分は、ユーザーの操作なしでアクティベーション直後にインストールおよび実行されます。
参考文献
| 1 | ISO 9001, 品質管理システム — 要件 |
| 2 | ISO 10007, 品質管理 — 構成管理のガイドライン |
| 3 | ISO 13849, 機械の安全性 — 制御システムの安全関連部品 |
| 4 | ISO/IEC/IEEE 15288, システムおよびソフトウェア工学 — システム ライフ サイクル プロセス |
| 5 | ISO/SAE 21434, 道路車両 — サイバーセキュリティ工学 |
| 6 | ISO 21448, 道路車両 — 意図された機能の安全性 |
| 7 | ISO/IEC 25000, システムおよびソフトウェア工学 — システムおよびソフトウェアの品質要件と評価 (SQuaRE) — SQuaRE ガイド |
| 8 | ISO 2626, 道路車両 — 機能安全 |
| 9 | ISO/IEC 26551, ソフトウェアおよびシステム エンジニアリング — 製品ライン要求エンジニアリングのためのツールと方法 |
| 10 | ISO/IEC 2700, 情報技術 — セキュリティ技術 |
| 11 | ISO/IEC 27701, セキュリティ技術 — プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 への拡張 — 要件とガイドライン |
| 12 | ISO/IEC 29100, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
| 13 | IEC 6150, 電気/電子/プログラマブル電子安全関連システムの機能安全 |
| 14 | IATF 16949, 自動車生産、サービスおよび/または付属部品の品質管理システム要件 |
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1 General terminology
3.1.1
compatibility
capability of software (3.1.15) to be executable on vehicle systems (3.1.25) without conflicts
Note 1 to entry: Compatibility can be checked by vehicle configuration information (3.1.24) .
3.1.2
condition
criteria required for a software update operation (3.1.19) to be completed successfully
Note 1 to entry: Conditions can include compatibility (3.1.1) , safe vehicle state (3.1.13) , in-vehicle resources (3.1.11) , and external resources.
EXAMPLE:
The presence of a skilled person (3.1.14) during a software update operation.
3.1.3
corrective action
action to eliminate or contain a problem or failure
3.1.4
cybersecurity
road vehicle cybersecurity
context in which assets are sufficiently protected against threat scenarios to vehicle systems (3.1.25) of road vehicles and infrastructure (3.1.10) required to support software update engineering (3.1.18)
Note 1 to entry: In this document, for the sake of brevity, the term cybersecurity is used instead of road vehicle cybersecurity.
[SOURCE:ISO/SAE 21434:2021, 3.1.9, modified — “to items of road vehicles, their functions and their electrical or electronic components” has been replaced by “to vehicle systems of road vehicles and infrastructure required to support software update engineering” and the Note 1 to entry has been modified.]
3.1.5
cybersecurity risk
effect of uncertainty on cybersecurity (3.1.4) expressed in terms of attack feasibility and impact
[SOURCE:ISO/SAE 21434:2021, 3.1.29]
3.1.6
dependency
effect of software (3.1.15) for one vehicle system (3.1.25) on the same or other vehicle systems (3.1.25)
Note 1 to entry: A dependency can generate a condition (3.1.2) in the metadata of a software update package (3.1.20) .
EXAMPLE:
A communication interface between two electronic control units (ECUs) (3.1.7) .
3.1.7
ECU
electronic control unit
embedded device in a vehicle whose software (3.1.15) can be updated
3.1.8
functional safety
absence of unreasonable risk due to hazards caused by malfunctioning behaviour of vehicle systems (3.1.25)
[SOURCE:ISO 26262-1:2018, 3.67, modified — “E/E” was replaced by “vehicle”.]
3.1.9
functional safety risk
combination of the probability of occurrence of harm and the severity of that harm
[SOURCE:ISO 26262-1:2018, 3.128, modified — The term has been modified from “risk” to “functional safety risk” for the scope of this document.]
3.1.10
infrastructure
processes and information systems managing any combination of software update operations (3.1.19) , software update campaigns (3.1.16) , documentation, and vehicle configuration information (3.1.24) , including both digital and manual activities
Note 1 to entry: Infrastructure can include any combination of servers, tools, and manual activities used in the software update operation.
3.1.11
in-vehicle resource
vehicle or electronic control unit (ECU) (3.1.7) available properties relevant for software update engineering (3.1.18)
EXAMPLE:
Available or remaining computational power, network capacity, RAM capacity, storage capacity, or battery capacity.
3.1.12
recipient
individual instance of a vehicle, vehicle system (3.1.25) , or electronic control unit (ECU) (3.1.7) that receives a software update package (3.1.20) during a software update campaign (3.1.16)
3.1.13
safe vehicle state
vehicle operating mode based on conditions (3.1.2) for performing software update operations (3.1.19) without an unreasonable level of risk
Note 1 to entry: Safe vehicle state can be different depending on the conditions (3.1.2) required for the software update package (3.1.20) .
Note 2 to entry: Safe vehicle state can vary based on the software update operation step being performed.
EXAMPLE:
The motor is off, the parking brake is applied.
3.1.14
skilled person
individual with relevant technical education, training or experience to execute software update operations (3.1.19)
Note 1 to entry: A skilled person can be a mechanic in a workshop.
Note 2 to entry: A skilled person can be authorized or certified for their specialized training or be a skilled vehicle user (3.1.26) .
[SOURCE:ISO 10209:2022, 3.14.36, modified — The phrase “to enable them to perceive risks and avoid hazards occurring during use of a product” has been replaced by “to execute software update operations”.]
3.1.15
software
computer programs and associated data intended for installation (3.2.2) on vehicles, vehicle systems (3.1.25) , or electronic control units (ECUs) (3.1.7) , that may be dynamically written or modified during execution
[SOURCE:NIST SP 800-53, modified — The phrase “intended for installation on vehicles, vehicle systems, or electronic control units(ECUs)” was added.]
3.1.16
software update campaign
sequence of identifying targets (3.1.23) and resolving recipients (3.1.12) ; distributing software update packages (3.1.20) ; and monitoring and documenting results of software update operations (3.1.19)
3.1.17
software update distribution method
mechanism for delivery of a software update package (3.1.20) during a software update campaign (3.1.16)
Note 1 to entry: The software update distribution method can be wired (e.g. tool, USB flash drive), wireless (e.g. cellular or Wi-Fi) or hardware replacement.
Note 2 to entry: Hardware replacement can be replacing an electronic control unit (ECU) (3.1.7) with the effect of software (3.1.15) version replacement.
3.1.18
software update engineering
application of a systematic and managed approach to the processes of planning, development, and deployment of software update packages (3.1.20)
[SOURCE:ISO/IEC/IEEE 24765:2017, 3.3810, modified — “disciplined, quantifiable” was replaced by “and managed”, and “development, operation and maintenance of software” was replaced by “processes of development, planning, and deployment of software update packages”.]
3.1.19
software update operation
steps involved in receipt (3.2.1) , installation (3.2.2) and activation (3.2.3) of software update packages (3.1.20) in a vehicle, vehicle systems (3.1.25) , or electronic control units (ECUs) (3.1.7)
3.1.20
software update package
set of software (3.1.15) and associated metadata that is intended to be deployed to one or more vehicles, vehicle systems (3.1.25) , or electronic control units (ECUs) (3.1.7)
3.1.21
software update project
set of software update engineering (3.1.18) activities for one or more targets (3.1.23)
Note 1 to entry: Activities can include developing or adapting the infrastructure (3.1.10) , vehicle capabilities, or processes described in this document.
Note 2 to entry: A software update project can encompass multiple software update campaigns (3.1.16) .
3.1.22
tailor
to omit or perform an activity in a different manner compared to its description in this document
[SOURCE:ISO/SAE 21434:2021, 3.1.32]
3.1.23
target
one or more classes of vehicles, vehicle systems (3.1.25) , or electronic control units (ECUs) (3.1.7) determined by vehicle configuration information (3.1.24)
3.1.24
vehicle configuration information
comprehensive accounting of hardware versions, software (3.1.15) versions and configuration parameters in a vehicle
3.1.25
vehicle system
functional group of one or more electronic control units (ECUs) (3.1.7) and attached hardware
Note 1 to entry: Attached hardware can be, for example, a sensor, actuator or light, that is not an ECU.
EXAMPLE:
Braking system or infotainment system.
3.1.26
vehicle user
person operating, driving, owning or managing a vehicle
Note 1 to entry: A vehicle user can be a skilled person (3.1.14) .
3.2 Terms related to the software update operation
3.2.1
receipt
step in the software update operation (3.1.19) when a tool, vehicle, vehicle system (3.1.25) , or electronic control unit (ECU) (3.1.7) receives a software update package (3.1.20)
EXAMPLE 1:
Downloading a software update package.
EXAMPLE 2:
Transferring a software update package using a tool.
3.2.2
installation
step in the software update operation (3.1.19) when the relevant parts of a software update package (3.1.20) are written to a vehicle, vehicle system (3.1.25) , or electronic control unit (ECU) (3.1.7) but are not yet activated (3.2.3)
3.2.3
activation
step in the software update operation (3.1.19) when the relevant parts of an installed (3.2.2) software update package (3.1.20) become executable on a vehicle, vehicle system (3.1.25) , or electronic control unit (ECU) (3.1.7)
EXAMPLE 1:
A new automated driving function is installed (3.2.2) and ready for execution, but is only executed after the vehicle user (3.1.26) starts the function.
EXAMPLE 2:
The relevant parts of a software update package for a vehicle, vehicle system, or ECU (3.1.7) are installed and executed immediately after activation without user interaction.
Bibliography
| 1 | ISO 9001, Quality management systems — Requirements |
| 2 | ISO 10007, Quality management — Guidelines for configuration management |
| 3 | ISO 13849, Safety of machinery — Safety-related parts of control systems |
| 4 | ISO/IEC/IEEE 15288, Systems and software engineering — System life cycle processes |
| 5 | ISO/SAE 21434, Road vehicles — Cybersecurity engineering |
| 6 | ISO 21448, Road vehicles — Safety of the intended functionality |
| 7 | ISO/IEC 25000, Systems and software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) — Guide to SQuaRE |
| 8 | ISO 26262 (all parts), Road vehicles — Functional safety |
| 9 | ISO/IEC 26551, Software and systems engineering — Tools and methods for product line requirements engineering |
| 10 | ISO/IEC 27000 (all parts), Information technology — Security techniques |
| 11 | ISO/IEC 27701, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines |
| 12 | ISO/IEC 29100, Information technology — Security techniques — Privacy framework |
| 13 | IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems |
| 14 | IATF 16949, Quality management system requirements for automotive production, service and/or accessory parts |