SUMS体系：R156法规解读

0 前言

R156法规即《关于批准车辆的软件升级和软件升级管理体系统一规定的法规》，由联合国世界车辆法规协调论坛的自动驾驶车辆工作组于2021年2月5日公布。欧盟于2022年7月正式实施了这一法规，同时要求所有新车型从该时间点开始必须强制遵守。该法规专注于汽车软件升级功能，并为此提出了一系列具体要求，旨在确保软件升级流程的安全性、可控性和合规性，从而顺应汽车行业智能化、联网化的发展趋势，并进一步保障消费者的权益。

R156法规基本框架:

1 范围与定义

该法规适用于有软件升级功能的M类(乘用车)、N类(载货车)、O类(挂车)、R类(拖车)、S类(牵引车)、T类(农用车)的车辆。

2 认证申请与批准

R156法规的车型认证（VTA，Vehicle Type Approval）申请应由车辆制造商或其正式授权代表提交。

R156 VTA认证流程：

R156 VTA认证审核机构应仅对满足R156法规要求的车辆类型授予有关软件升级的车型认证批准：

审批机构或技术服务部门应通过测试车型的车辆来验证车企已实施并记录的信息安全措施。
测试应由审核机构或技术服务部门进行，或与车辆制造商合作进行抽样测试。

认证审核机构如果有延期或拒绝评审的情况，则其应正式通知车企。

认证审核机构如果不能确保车辆制造商已按R156法规要求管控车辆软件升级过程，则其不得授予任何型式批准。

认证机构若同意开始进行VTA认证，则需要车型车辆制造商：

向R156 VTA认证机构提供有关文件一式三份：
1. 车辆类型描述文件，描述车辆类型的一般构造特征
2. 车型知识产权说明文件
3. 车型软件升级管理体系合规证书(SUMS证书)
4. 说明待批准车型将安全执行升级过程的文件
5. 描述车辆RXSWIN受到保护，未经授权不可操作的文件
6. 说明将安全地执行远程软件升级（OTA）过程的文件
7. 说明执行OTA升级之前和之后如何通知车辆用户的文件
向负责认证试验的技术服务机构（车型软件升级功能检测机构）提交待认证车型的代表车辆，用于VTA目击实验

注意：

所有用于VTA认证的文件应该分为两部分：
1. 批准的正式文件包。提交批准的正式文件从停产日期开始至少保存10年。
2. 与本法规有关的其他材料。该资料在车企保存，在型式认证期间开放审查，材料至少在从停产日期开始的10年期间内保持可用。
SUMS体系是车型VTA认证的前提条件，车企在获得SUMS认证之前，不允许进行VTA认证的目击实验测试。VTA目击测试将针对升级包数据安全、软件识别码、升级前、升级中、升级后等方面进行详细的测试和验证。

3 认证

对于通过R156法规VTA认证的车型，均应在该车型每辆车的批准书上指定的醒目位置上贴上国际认可标志，该标志应包括：

围绕字母“E”的圆圈后跟已批准国家的识别编号
本法规的编号，后面跟随字母R，破折号和批准编号

若一个认证标志在不同国家/地区之间互相认可认证标识，则无需重复认证。

4 SUMS体系要求

UNECE R156法规要求汽车制造商和供应商建立一个完善的软件升级管理体系（SUMS，Software Update Management System），以确保车辆软件的安全、可靠升级。这一体系不仅涉及软件升级的流程和策略，还要求车企在进行车辆软件升级前，对升级进行全面的评估，包括升级目的、影响范围、与车辆配置的兼容性、软件升级是否会影响车辆型式认证批准的合规性等，并记录结果。

若车辆软件升级不影响车辆型式认证，比如修复软件错误，车企可自行升级，无需通知认证机构，但需确保升级过程安全可靠且记录与升级相关的更改，包括与软件升级前后型式认证相关的硬件和软件信息。如果影响车辆型式认证，则需重新认证。

汽车制造商应记录和存储与软件更新相关的所有信息，包括更新前后的系统配置、软件版本、车辆或系统参数等。这些信息需要是可审计的，以便于追踪和验证软件更新的合规性。

在对车辆实施首次软件升级之前，汽车制造商应确保其软件升级过程以及与车型相关的软件升级管理系统经过批准，即该车型通过SUMS体系认证与R156 VTA认证。

4.1 SUMS证书要求

车企可以委托有资质的审批机构进行评估审核，颁发SUMS合格证书
SUMS合格认证应由车辆制造商或其正式授权代表进行申请
提交SUMS合格认证申请的主要文件有：
1. SUMS描述文件
2. SUMS合规声明
车企应使用规定的合规声明模板制定合规声明，并证明其建立的SUMS体系能符合SUMS体系合规认证的所有要求
审批机构完成SUMS体系合规认证且收到车辆制造商的合规声明后，可授予车辆制造商SUMS合格证书
SUMS体系合规证书有效期是3年
授予SUMS体系合规证书后，审核机构可以随时验证车辆制造商的持续合规性。如果审核机构抽查发现有不合规的情况，则可以撤销证书
若车辆制造商的SUMS体系有变更，需要重新申请审核
SUMS体系合规证书到期后，审核机构可根据SUMS体系实际情况进行判断：
- 将证书延长3年，或
- 进行新的审核
SUMS体系合规证书到期后，已获得SUMS合规认证车型的认证批准仍有效

4.2 体系流程要求

法规章节：7.1.1.1

原文条款：
A process whereby information relevant to this Regulation is documented and securely held at the vehicle manufacturer and can be made available to an Approval Authority or its Technical Service upon request

中文解读：
1. R156法规相关执行信息要有存档机制
2. 存档符合安全要求
3. 审核机构可以随时调取

法规章节：7.1.1.2

原文条款：
A process whereby information regarding all initial and updated software versions, including integrity validation data, and relevant hardware components of a type approved system can be uniquely identified

中文解读：
可以唯一标识所有初始和升级的软件版本，包括各版本的完整性校验数据和与型式认证系统有关的硬件组件信息

法规章节：7.1.1.3

原文条款：
A process whereby, for a vehicle type that has an RXSWIN, information regarding the RXSWIN of the vehicle type before and after an update can be accessed and updated. This shall include the ability to update information regarding the software versions and their integrity validation data of all relevant software for each RXSWIN

中文解读：
对于具有RXSWIN的车型，应具备访问软件升级前后车型RXSWIN信息的能力，且还应具备更新RXSWIN所有相关软件的软件版本及其完整性校验数据的能力

法规章节：7.1.1.4

原文条款：
A process whereby, for a vehicle type that has an RXSWIN, the vehicle manufacturer can verify that the software version(s) present on a component of a type approved system are consistent with those defined by the relevant RXSWIN

中文解读：
对于具有RXSWIN的车型，车辆制造商应能验证存在于型式认证相关系统组件上的软件版本与相关RXSWIN定义的版本的一致性

注意：
针对7.1.1.3和7.1.1.4条款，无论RXSWIN是否存储在车内，只要是具有RXSWIN的车型，车企都应该保证能够访问、更新RXSWIN相关信息，并能提供流程或工具以验证与型式认证相关系统中记录的软件版本号保持一致。

法规章节：7.1.1.5

原文条款：
A process whereby any interdependencies of the updated system with other systems can be identified

中文解读：
在软件升级前，车辆制造商应评估软件升级更新的系统对车辆其他系统的影响

法规章节：7.1.1.6

原文条款：
A process whereby the vehicle manufacturer is able to identify target vehicles for a software update

中文解读：
车辆制造商具备在软件升级前识别软件升级目标车辆的能力

法规章节：7.1.1.7

原文条款：
A process to confirm the compatibility of a software update with the target vehicle(s) configuration before it is issued. This shall include an assessment of the last known software/hardware configuration of the target vehicle(s) for compatibility with the update before it is issued

中文解读：
车辆制造商应能保障软件升级包与目标车辆软硬件配置的兼容性，且演示如何进行软硬件配置兼容性的测试

法规章节：7.1.1.8

原文条款：
A process to assess, identify and record whether a software update will affect any type approved systems. This shall consider whether the update will impact or alter any of the parameters used to define the systems the update may affect or whether it may change any of the parameters used to type approve those system (as defined in the relevant legislation)

中文解读：
车辆制造商应具备评估、鉴别和记录软件更新是否会影响任何型式认证系统的流程。在评估和鉴别时，应考虑该软件更新是否会影响或改变任何用来定义型式认证系统的参数（不同的型式认证系统参数定义在其相关的法规中）

法规章节：7.1.1.9

原文条款：
A process to assess, identify and record whether a software update will add, alter or enable any functions that were not present, or enabled, when the vehicle was type approved or alter or disable any other parameters or functions that are defined within legislation. The assessment shall include consideration of whether:
(a) Entries in the information package will need to be modified;
(b) Test results no longer cover the vehicle after modification;
(c) Any modification to functions on the vehicle will affect the vehicle’s type approval

中文解读：
车辆制造商应评估、鉴别和记录软件更新是否会改变任何在车辆型式认证时启用的功能以及在相应法规中要求的功能参数，或激活任何在车辆型式认证时未启用的功能。该评估需考虑：
(a) 信息文件包中的条目信息是否需要修改
(b) 测试结果是否无法再涵盖软件更新后的车辆
(c) 车辆功能的任何修改是否会影响车辆的型式认证

法规章节：7.1.1.10

原文条款：
A process to assess, identify and record if a software update will affect any other system required for the safe and continued operation of the vehicle or if the update will add or alter functionality of the vehicle compared to when it was registered

中文解读：
此条款与非型式认证相关系统有关。车辆制造商应评估、鉴别和记录软件更新是否会影响车辆安全和持续使用所需的有关系统，或是否会增加或改变车辆注册时的功能

法规章节：7.1.1.11

原文条款：
A process whereby the vehicle user is able to be informed about updates

中文解读：
软件升级前后的信息（升级的内容及升级的结果）需要告知用户

法规章节：7.1.1.12

原文条款：
A process whereby the vehicle manufacturer shall be able to make the information according to paragraph 7.1.2.3. and 7.1.2.4. available to responsible Authorities or the Technical Services. This may be for the purpose of type approval, conformity of production, market surveillance, recalls and Periodic Technical Inspection (PTI)

中文解读：
车辆制造商应针对软件升级车辆建立存储器，用于存储在7.1.2.3和7.1.2.4条款中规定的描述车辆软件升级前后的RXSWIN信息和配置信息，以便后续提供给主管部门或技术服务机构审查。这些数据可能用于型式认证、生产一致性、市场监控、召回和定期技术检查（PTI）等。

4.3 信息记录要求

法规章节：7.1.2.1

原文条款：
Documentation describing the processes used by the vehicle manufacturer for software updates and any relevant standards used to demonstrate their compliance

中文解读：
车辆制造商应能提供描述软件更新流程的文档，以及证明其合规性的所有相关标准记录文档

法规章节：7.1.2.2

原文条款：
Documentation describing the configuration of any relevant type approved systems before and after an update, this shall include unique identification for the type approved system’s hardware and software (including software versions) and any relevant vehicle or system parameters

中文解读：
车辆制造商应能记录车辆软件升级前后任何型式认证系统相关的车辆系统的所有配置信息，包括硬件和软件版本，以及相关车辆系统的唯一标识参数

法规章节：7.1.2.3

原文条款：
For every RXSWIN, there shall be an auditable register describing all the software relevant to the RXSWIN of the vehicle type before and after an update. This shall include information of the software versions and their integrity validation data for all relevant software for each RXSWIN

中文解读：
对于具有RXSWIN的车型，其每个RXSWIN，都应存储在一个可审核的存储器，记录更新前后与该车型的RXSWIN相关的所有软件信息，包括每个RXSWIN的所有相关软件的软件版本信息和完整性验证数据的信息

法规章节：7.1.2.4

原文条款：
Documentation listing target vehicles for the update and confirmation of the compatibility of the last known configuration of those vehicles with the update

中文解读：
记录软件升级目标车辆信息（包括VIN），及目标车辆配置与软件升级兼容性匹配的方法、过程和结果

法规章节：7.1.2.5

原文条款：
Documentation for all software updates for that vehicle type describing
(a) The purpose of the update
(b) What systems or functions of the vehicle the update may affect
(c) Which of these are type approved (if any)
(d) If applicable, whether the software update affects the fulfilment of any of the relevant requirements of those type approved system
(e) Whether the software update affects any system type approval parameter
(f) Whether an approval for the update was sought from an approval body
(g) How the update may be executed and under what conditions
(h) Confirmation that the software update will be conducted safely and securely
(i) Confirmation that the software update has undergone and successfully passed verification and validation procedures

中文解读：
车辆制造商应以车型为单元用文件记录描述该车型所有软件更新内容：
(a) 更新的目的
(b) 更新可能影响车辆的哪些系统或功能
(c) 哪些是获得型式认证的(如有)
(d) 如适用，软件更新是否影响已获型式认证系统的任何有关要求
(e) 软件更新是否影响任何型式认证系统的参数
(f) 软件更新是否得到了认证机构的批准
(g) 如何执行软件更新，以及在什么条件下执行
(h) 确认软件更新将安全可靠的进行
(i) 确认软件更新已完成并成功通过验证和确认流程

4.4 安全相关要求

法规章节：7.1.3.1

原文条款：
The process they will use to ensure that software updates will be protected to reasonably prevent manipulation before the update process is initiated

中文解读：
车辆制造商应有相关流程确保在软件更新前，升级包可以合理的防止被操纵和篡改。

法规章节：7.1.3.2

原文条款：
The update processes used are protected to reasonably prevent them being compromised, including development of the update delivery system

中文解读：
车辆制造商应有相关流程确保在软件更新中，保护软件升级流程不被损害

法规章节：7.1.3.3

原文条款：
The processes used to verify and validate software functionality and code for the software used in the vehicle are appropriate

中文解读：
车辆制造商应有相关流程确保在软件更新后，用于验证车辆功能的验证软件功能和验证代码流程是正确的

注意：
7.1.3.1、7.1.3.2和7.1.3.3条款是针对软件升级过程的安全要求，包括升级前保证升级包的完整性和真实性，升级中避免未授权的损害，以及确保升级过程的合理性

4.5 OTA附加要求

法规章节：7.1.4.1

原文条款：
The vehicle manufacturer shall demonstrate the processes and procedures they will use to assess that over the air updates will not impact safety

中文解读：
车辆制造商应有在驾驶过程中的软件升级安全性评估过程，确保软件OTA升级不会影响车辆安全

法规章节：7.1.4.2

原文条款：
The vehicle manufacturer shall demonstrate the processes and procedures they will use to ensure that, when an over the air update requires a specific skilled or complex action, for example recalibrate a sensor post-programming, in order to complete the update process, the update can only proceed when a person skilled to do that action is present or is in control of the process

中文解读：
该条款从侧面说明车辆制造商应确保软件OTA升级操作简单，用户不需要做任何复杂操作或用特殊技能来启动和完成软件OTA升级

5 车辆技术要求

5.1 软件升级要求

法规章节：7.2.1.1

原文条款：
The authenticity and integrity of software updates shall be protected to reasonably prevent their compromise and reasonably prevent invalid updates

中文解读：
车辆制造商应制定确保软件升级包的真实性和完整性的保护机制，以合理的防止其泄露或受到损害，合理防止无效更新

法规章节：7.2.1.2.1

原文条款：
Each RXSWIN shall be uniquely identifiable. When type approval relevant software is modified by the vehicle manufacturer, the RXSWIN shall be updated if it leads to a type approval extension or to a new type approval

中文解读：
每个RXSWIN须是唯一可识别的，每个RXSWIN与其适应法规须是一对一的关系。若车辆制造商修改的软件涉及相关型式认证，导致型式认证扩展或有新的型式认证，则RXSWIN须相应更新。

法规章节：7.2.1.2.2

原文条款：
Each RXSWIN shall be easily readable in a standardized way via the use of an electronic communication interface, at least by the standard interface (OBD port).If RXSWINs are not held on the vehicle, the manufacturer shall declare the software version(s) of the vehicle or single ECUs with the connection to the relevant type approvals to the Approval Authority. This declaration shall be updated each time the declared software version(s) is updated. In this case, the software version(s) shall be easily readable in a standardized way via the use of an electronic communication interface, at least by the standard interface (OBD port)

中文解读：
1. 每个RXSWIN应通过使用电子通信接口（至少通过标准接口（OBD 端口）以标准化的方式轻松读取。（车企应确保RXSWIN具备更新能力，且易于读取）
2. 如果车辆没有RXSWIN，车辆制造商应向型式认证审批机构声明与相关型式认证有关的每个ECU的软件版本。每次相关的ECU软件版本更新时，都应更新此声明。在这种情况下，软件版本应通过使用电子通信接口，至少通过标准接口（OBD端口）以标准化方式易于读取。（车企应确保软件版本具备更新能力，且易于读取）

法规章节：7.2.1.2.3

原文条款：
The vehicle manufacturer shall protect the RXSWINs and/or software version(s) on a vehicle against unauthorised modification. At the time of Type Approval, the means implemented to protect against unauthorized modification of the RXSWIN and/or software version(s) chosen by the vehicle manufacturer shall be confidentially provided.

中文解读：
车辆制造商应保护车辆上的RXSWINs和/或软件版本免受未经授权的修改。在进行型式认证时，应保密地提供用于车辆RXSWIN和/或软件版本防篡改的方法。

5.2 OTA升级附加要求

法规章节：7.2.2.1.1

原文条款：
The vehicle manufacturer shall ensure that the vehicle is able to restore systems to their previous version in case of a failed or interrupted update or that the vehicle can be placed into a safe state after a failed or interrupted update

中文解读：
车辆制造商应确保车辆能够在更新失败或中断时将系统恢复到以前的版本，或在更新失败或中断后将车辆置于安全状态

法规章节：7.2.2.1.2

原文条款：
The vehicle manufacturer shall ensure that software updates can only be executed when the vehicle has enough power to complete the update process (including that needed for a possible recovery to the previous version or for the vehicle to be placed into a safe state)

中文解读：
车辆制造商应确保只有在车辆有足够的电量完成软件更新过程时（包括可能恢复到以前的版本或将车辆置于安全状态），才能执行软件更新

法规章节：7.2.2.1.3

原文条款：
When the execution of an update may affect the safety of the vehicle, the vehicle manufacturer shall demonstrate how the update will be executed safely. This shall be achieved through technical means that ensures the vehicle is in a state where the update can be executed safely

中文解读：
当执行软件更新可能会影响车辆的功能安全时，车辆制造商应演示如何通过一定的技术手段确保车辆可以安全地执行软件升级。

法规章节：7.2.2.2

原文条款：
The vehicle manufacturer shall demonstrate that the vehicle user is able to be informed about an update before the update is executed. The information made available shall contain:
(a) The purpose of the update. This could include the criticality of the update and if the update is for recall, safety and/or security purposes;
(b) Any changes implemented by the update on vehicle functions;
(c) The expected time to complete execution of the update;
(d) Any vehicle functionalities which may not be available during the execution of the update;
(e) Any instructions that may help the vehicle user safely execute the update;
In case of groups of updates with a similar content one information may cover a group.

中文解读：
汽车制造商须证明，车辆用户在执行软件升级前可以收到更新通知。通知信息须包含：
(a) 更新的目的，这可能包含更新的重要程度，以及该更新是否用于车辆召回、人员安全和/或车辆安全；
(b) 更新带来的任何汽车功能变化；
(c) 完成软件升级的预期花费时间；
(d) 更新过程中，车辆不可以使用的功能；
(e) 任何可以指导车主安全执行软件升级的说明；

法规章节：7.2.2.3

原文条款：
In the situation where the execution of an update whilst driving may not be safe, the vehicle manufacturer shall demonstrate how they will:
(a) Ensure the vehicle cannot be driven during the execution of the update;
(b) Ensure that the driver is not able to use any functionality of the vehicle that would affect the safety of the vehicle or the successful execution of the update.

中文解读：
在驾驶期间执行更新可能是不安全的场景下，汽车制造商应证明：
• 确保车辆在执行更新期间无法行驶;
• 确保驾驶员不能使用任何会影响车辆安全或成功执行更新的车辆功能

法规章节：7.2.2.4

原文条款：
After the execution of an update the vehicle manufacturer shall demonstrate how the following will be implemented:
(a) The vehicle user is able to be informed of the success (or failure) of the update;
(b) The vehicle user is able to be informed about the changes implemented and any related updates to the user manual (if applicable).

中文解读：
更新执行后，汽车制造商应演示如何实施以下措施：
• 告知用户本次更新的结果（成功或失败）;
• 告知用户本次更新实现的更改，以及用户手册的任何相关更新（如果适用）

法规章节：7.2.2.5

原文条款：
The vehicle shall ensure that preconditions have to be met before the software update is executed

中文解读：
车辆制造商应确保车辆在执行软件更新前必须满足软件升级的先决条件（软件需要满足的先决条件由车辆制造商定义）

5.3 技术要求总结

6 其他要求

6.1 车型变更与拓展

任何影响法规要求的车辆技术性能的修改或所需文件的变更均应通知授予认证的认证机构，然后认证机构可以：

认为所做的技术变更仍符合先前型式认证的要求和文件（无需拓展认证），或者
由技术服务公司进行相关的测试并提供进一步的测试报告

无论是确认或延期或拒绝批准，都应通过符合本法规附件2中的通信模板，说明具体内容。若形式认证机构签发认证延期，则应为此类延期分配一个序列号，并通过符合本法规附件2中的通信模板，通知适用本法规的其他缔约方。

6.2 生产一致性要求

车辆制造商应记录生产一致性的测试结果，并确保记录文件在有效期内可用。该期限从明确停产之日起计算，最多不得超过10年
型式认证机构可以随时检查生产过程中应用的符合性控制方法，一般是3年一次
型式认证机构应定期验证车辆制造商使用的流程和做出的决定是否合规，尤其是在车辆制造商选择不通知型式认证机构有关更新的情况下

6.3 惩罚措施

如果SUMS体系不符合本法规规定的体系要求，或试验车辆不符合本法规规定的技术要求，则根据本法规授予的车辆形式认证批准可以撤销
如果型式认证机关撤回先前授予的批准，则应立即通过符合本法规附件2中的通信模板，通知适用本法规的其他缔约方与车辆制造商

6.4 停产

如果车辆制造商完全停止生产符合本法规型式认证批准的车型，则应通知型式认证审核机构。

7 VTA认证经验

7.1 认证流程

VTA认证通常耗时半年时间

7.2 认证前提条件

车辆制造商获得SUMS体系资质认证（文档审核已通过Idiada认可（Oriol.Flix认可））
R156法规7.2章节测试用例全部内测通过
车辆软硬件状态准备OK，车辆电池状态确认OK（如有馈电现象提前更换新电池）
车辆OTA相关功能完善，无明显功能缺陷（OTA各功能入口按键、界面可用、文言展示完整等）

7.3 文档审核

软件升级合规文档、功能验证报告、OTA通道测试报告、功能安全测试报告、网络安全测试报告、集成/系统测试报告、法规认证证书、RXSWIN审计簿

7.4 认证机构邀约

原则上由公告认证部项目认证工程师协调邀约目击时间，所有进展需同步认证工程师

8 软件升级合规文档（适用R156）

8.1 文档收集背景

在R156法规7.1.2.5条款中，规定了车辆每次软件升级都需要有记录软件升级相关信息的文档，该文档即软件升级合规文档，同时也被称为7125文档。

具体的软件升级相关信息记录要求如下：

Documentation for all software updates for that vehicle type describing
(a) The purpose of the update
(b) What systems or functions of the vehicle the update may affect
(c) Which of these are type approved (if any)
(d) If applicable, whether the software update affects the fulfilment of any of the relevant requirements of those type approved system
(e) Whether the software update affects any system type approval parameter
(f) Whether an approval for the update was sought from an approval body
(g) How the update may be executed and under what conditions
(h) Confirmation that the software update will be conducted safely and securely
(i) Confirmation that the software update has undergone and successfully passed verification and validation procedures

因此，对于执行R156法规的国家和地区，车企应在每次软件升级前，正确填写软件升级合规文档并按法规要求存档，以确保车型在该市场合规上市销售。

软件升级合规文档的主要目的，就是为了记录或说明，本次车辆软件升级功能变更与法规之间的关系。例如，变更内容是否符合法规要求，软件升级后，车辆功能是否仍然满足法规标准，软件变更是否影响原有的车辆型式认证等。

8.2 文档管控流程

管控范围：所有支持SWDL的ECU
管控开始时间：车型公告认证结束后的第一次软件升级前（公告认证结束，意味着车辆软件正式面向用户，此后所有软件版本均为市场版本）
管控结束时间：车型停产
管控流程（在每次软件升级阶段前）：
1. 控制器工程师说明ECU软件升级涉及到的功能变更
2. 功能工程师和法规认证工程师根据功能变更判断是否对相关法规产生影响，是否需要做相关法规的VTA拓展认证2.1 若无需做法规VTA拓展认证，则直接到流程4；2.2 若需要做法规VTA拓展认证，则由法规认证工程师联系拓展认证机构确认拓展认证窗口时间，并在软件升级发布前排期完成拓展认证
3. 拓展认证完成后，法规认证工程师更新法规VTA认证证书
4. 控制器工程师根据ECU软件升级涉及到的功能变更和法规VTA认证证书，填写软件升级合规文档
5. 法规认证工程师和项目经理签审软件升级合规文档
6. SUMS工程师存档软件升级合规文档

管控流程参考示例图：