▶ 株式会社オートネットワーク技術研究所の特許一覧 ▶ 住友電装株式会社の特許一覧 ▶ 住友電気工業株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-10-17
(45)【発行日】2022-10-25
(54)【発明の名称】監視装置、監視プログラム及び監視方法
(51)【国際特許分類】
G06F 11/07 20060101AFI20221018BHJP
G06F 11/30 20060101ALI20221018BHJP
G06F 8/65 20180101ALI20221018BHJP
B60R 16/02 20060101ALI20221018BHJP
【FI】
G06F11/07 196
G06F11/30 151
G06F11/30 140D
G06F11/07 140R
G06F8/65
B60R16/02 660U
B60R16/02 660W
【請求項の数】
8
(21)【出願番号】P 2020557756
(86)(22)【出願日】2019-11-27
(86)【国際出願番号】 JP2019046269
(87)【国際公開番号】W WO2020111090
(87)【国際公開日】2020-06-04
【審査請求日】2021-01-19
(31)【優先権主張番号】P 2018222307
(32)【優先日】2018-11-28
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】395011665
【氏名又は名称】株式会社オートネットワーク技術研究所
(73)【特許権者】
【識別番号】000183406
【氏名又は名称】住友電装株式会社
(73)【特許権者】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(74)【代理人】
【識別番号】100114557
【弁理士】
【氏名又は名称】河野 英仁
(74)【代理人】
【識別番号】100078868
【弁理士】
【氏名又は名称】河野 登夫
(72)【発明者】
【氏名】板津 太郎
【審査官】坂東 博司
(56)【参考文献】
【文献】特開2018-072920(JP,A)
【文献】特開2006-290089(JP,A)
【文献】特開2010-146457(JP,A)
【文献】特開2018-120503(JP,A)
【文献】特開2017-59210(JP,A)
【文献】特開2018-116417(JP,A)
【文献】特開2011-154465(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
G06F 11/30
G06F 8/65
B60R 16/02
(57)【特許請求の範囲】
【請求項1】
車両に搭載され、更新プログラムの適用対象となる車載ECUの構成情報を記憶する車載更新装置と通信可能に接続され、該車載更新装置を監視する監視装置であって、前記車載更新装置が更新プログラムの更新処理を行うにあたり複数の車載ECUそれぞれから定常的に取得する複数の構成情報それぞれを、前記車載更新装置から取得する制御部と、
前記取得した構成情報を、前記車載更新装置が正常な状態において記憶している構成情報のバックアップとして記憶する記憶部とを備え、
前記制御部は、
前回取得した第1の構成情報と、今回取得した第2の構成情報とが異なる場合、前記車載更新装置は交換されたと判定し所定の処理を実行し、
前記車載更新装置が取得した前記車載ECUの構成情報を記憶する時点を含まない期間において、前記第1の構成情報及び前記第2の構成情報を取得する
監視装置。
【請求項2】
前記制御部は、前記車両のイグニッションスイッチがオンにされた場合、前記第2の構成情報を取得し、前記オンにされる前に取得した前記第1の構成情報と、前記第2の構成情報とが異なる場合、前記車載更新装置は交換されたと判定し、所定の処理を実行する請求項1に記載の監視装置。
【請求項3】
前記制御部が実行する前記所定の処理は、前記判定に関する情報を、前記更新プログラムを提供する外部サーバ、又は前記車両に設けられている表示装置に送信する処理である請求項1又は請求項2に記載の監視装置。
【請求項4】
前記更新プログラムを提供する外部サーバと通信するための車外通信装置と、前記車載更新装置及び自装置とは、直接、接続してあり、前記制御部が実行する前記所定の処理は、前記判定に関する情報を、前記車載更新装置を介さずに、前記車外通信装置を介して、前記更新プログラムを提供する外部サーバに送信する処理である
請求項3に記載の監視装置。
【請求項5】
前記制御部が実行する前記所定の処理は、前記車載ECUに対し、前記更新プログラムにより前記車載ECUに記憶されるプログラムの更新を禁止させる信号を送信する処理である請求項1から請求項4のいずれか一つに記載の監視装置。
【請求項6】
前記車載更新装置と自装置とは、イーサネットケーブルにより直接接続してある請求項1から請求項5のいずれか一つに記載の監視装置。
【請求項7】
コンピュータに、更新プログラムの適用対象となる車載ECUの構成情報を記憶する車載更新装置から、前記車載更新装置が更新プログラムの更新処理を行うにあたり複数の車載ECUそれぞれから定常的に取得する複数の構成情報それぞれを取得し、
前記取得した構成情報を、前記車載更新装置が正常な状態において記憶している構成情報のバックアップとして記憶し、
前回取得した第1の構成情報と、今回取得した第2の構成情報とが異なる場合、前記車載更新装置は交換されたと判定し所定の処理を実行し、
前記車載更新装置が取得した前記車載ECUの構成情報を記憶する時点を含まない期間において、前記第1の構成情報及び前記第2の構成情報を取得する
処理を実行させる監視プログラム。
【請求項8】
コンピュータに、
更新プログラムの適用対象となる車載ECUの構成情報を記憶する車載更新装置から、前記車載更新装置が更新プログラムの更新処理を行うにあたり複数の車載ECUそれぞれから定常的に取得する複数の構成情報それぞれを取得し、
前記取得した構成情報を、前記車載更新装置が正常な状態において記憶している構成情報のバックアップとして記憶し、
前回取得した第1の構成情報と、今回取得した第2の構成情報とが異なる場合、前記車載更新装置は交換されたと判定し所定の処理を実行し、
前記車載更新装置が取得した前記車載ECUの構成情報を記憶する時点を含まない期間において、前記第1の構成情報及び前記第2の構成情報を取得する
処理を実行させる監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、監視装置、監視プログラム及び監視方法に関する。
本出願は、2018年11月28日出願の日本出願第2018-222307号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。
本出願は、2018年11月28日出願の日本出願第2018-222307号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。
【背景技術】
【0002】
車両には、エンジン制御等のパワー・トレーン系、エアコン制御等のボディ系等の車載機器を制御するための車載ECU(Electronic Control Unit)が搭載されている。車載ECUは、MPU等の演算処理部、RAM等の書き換え可能な不揮発性の記憶部、及び他の車載ECUと通信するための通信部を含み、記憶部に記憶した制御プログラムを読み込んで実行することにより、車載機器の制御を行う。更に車両には、無線通信の機能を備えた中継装置が実装されており、中継装置を介して、車外のネットワークに接続されているプログラム提供装置と通信し、当該プログラム提供装置から車載ECUの制御プログラムをダウンロード(受信)し、当該車載ECUの制御プログラムを更新することができる(例えば特許文献1参照)。
【0003】
特許文献1の中継装置は、車載ECU夫々を識別する装置識別子等を車載ECUの管理データとして記憶部に記憶しており、管理データを参照して更新対象となる車載ECUの制御プログラムを取得するための取得要求を生成する。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2017-97851号公報
【発明の概要】
【0005】
本開示の一態様に係る監視装置は、車両に搭載され、更新プログラムの適用対象となる車載ECUの構成情報を記憶する車載更新装置と通信可能に接続され、該車載更新装置を監視する監視装置であって、前記車載更新装置が更新プログラムの更新処理を行うにあたり複数の車載ECUそれぞれから定常的に取得する複数の構成情報それぞれを、前記車載更新装置から取得する制御部と、前記取得した構成情報を、前記車載更新装置が正常な状態において記憶している構成情報のバックアップとして記憶する記憶部とを備え、前記制御部は、前回取得した第1の構成情報と、今回取得した第2の構成情報とが異なる場合、前記車載更新装置は交換されたと判定し所定の処理を実行し、前記車載更新装置が取得した前記車載ECUの構成情報を記憶する時点を含まない期間において、前記第1の構成情報及び前記第2の構成情報を取得する。
【図面の簡単な説明】
【0006】
【図1】実施形態1に係る監視装置を含む車載更新システムの構成を例示する模式図である。
【図2】監視装置等の構成を例示するブロック図である。
【図3】車載ECUの構成情報の一態様を例示する説明図である。
【図4】監視装置による監視の一態様を例示する説明図である。
【図5】監視装置の制御部の処理を例示するフローチャートである。
【図6】実施形態2に係る監視装置を含む車載更新システムの構成を例示する模式図である。
【図7】監視装置等の構成を例示するブロック図である。
【発明を実施するための形態】
【0007】
[本開示が解決しようとする課題]
特許文献1の中継装置は、車載ECUの装置識別子(識別情報)を集約して記憶する中継装置(車載更新装置)が交換された場合の対応について、考慮されていないという問題点がある。
特許文献1の中継装置は、車載ECUの装置識別子(識別情報)を集約して記憶する中継装置(車載更新装置)が交換された場合の対応について、考慮されていないという問題点がある。
【0008】
本開示の目的は、車載更新装置が交換された場合、当該交換を検知することができる監視装置を提供する。
【0009】
[本開示の効果]
本開示の一態様によれば、車載更新装置が交換された場合、当該交換を検知することができる監視装置を提供することができる。
本開示の一態様によれば、車載更新装置が交換された場合、当該交換を検知することができる監視装置を提供することができる。
【0010】
[本開示の実施形態の説明]
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
【0011】
(1)本開示の一態様に係る監視装置は、車両に搭載され、更新プログラムの適用対象となる車載ECUの構成情報を記憶する車載更新装置と通信可能に接続され、該車載更新装置を監視する監視装置であって、前記車載更新装置から、前記車載ECUの構成情報を取得する制御部を備え、前記制御部は、前回取得した第1の構成情報と、今回取得した第2の構成情報とが異なる場合、前記車載更新装置は交換されたと判定し所定の処理を実行する。
【0012】
本態様にあたっては、制御部は、車載更新装置から前回取得した第1の構成情報と、今回取得した第2の構成情報とが、異なる場合、車載更新装置は交換されたと判定し所定の処理を実行するので、該車載更新装置の交換に対し適切に対応することができる。
【0013】
(2)本開示の一態様に係る監視装置は、前記制御部は、前記車両のイグニッションスイッチがオンにされた場合、前記第2の構成情報を取得し、前記オンにされる前に取得した前記第1の構成情報と、前記第2の構成情報とが異なる場合、前記車載更新装置は交換されたと判定し、所定の処理を実行する。
【0014】
本態様にあたっては、制御部は、車両のイグニッションスイッチ(IGスイッチ)がオンにされる前までの間、すなわち前回オフにされてからオンにされるまでの間又は当該オフにされる前に第1の構成情報を取得する。そして、制御部は、これ以降にオンにされた後に第2の構成情報を取得するので、イグニッションスイッチのオフからオンの間、すなわち車両が停止した間に車載更新装置が交換された場合、該車載更新装置の交換に対し適切に判定することができる。
【0015】
(3)本開示の一態様に係る監視装置は、前記制御部は、前記車載更新装置が取得した前記車載ECUの構成情報を記憶する時点を含まない期間において、前記第1の構成情報及び前記第2の構成情報を取得する。
【0016】
本態様にあたっては、制御部は、車載更新装置が取得した車載ECUの構成情報を記憶する時点を含まない期間において、第1の構成情報及び第2の構成情報を取得する。すなわち、車載更新装置による前記車載ECU夫々からの構成情報の取得は、監視装置が、前記第1の構成情報を取得し、前記第2の構成情報を取得するまでの間以外の期間に行われるようにしてあるので、第1の構成情報と第2の構成情報との比較結果の精度を担保することができる。
【0017】
(4)本開示の一態様に係る監視装置は、前記制御部が実行する前記所定の処理は、前記判定に関する情報を、前記更新プログラムを提供する外部サーバ、又は前記車両に設けられている表示装置に送信する処理である。
【0018】
本態様にあたっては、制御部は、判定に関する情報を前記外部サーバ又は、前記車両に設けられている表示装置に送信することにより、車載更新装置が交換されたことを外部サーバの管理者又は、車両の操作者に報知することができる。
【0019】
(5)本開示の一態様に係る監視装置は、前記更新プログラムを提供する外部サーバと通信するための車外通信装置と、自装置とは、直接、接続してあり、前記制御部が実行する前記所定の処理は、前記判定に関する情報を、前記車載更新装置を介さずに、前記車外通信装置を介して、前記更新プログラムを提供する外部サーバに送信する処理である。
【0020】
本態様にあたっては、監視装置と、更新プログラムを提供する外部サーバと通信するための車外通信装置とは、例えば互いの入出力I/F間をシリアルケーブル等のハーネスで直接、接続してある。従って、監視装置は、車載更新装置(ゲートウェイ)を介することなく、車外通信装置を介して外部サーバと通信することができる。監視装置は、車載更新装置が交換されたと判定し所定の処理を実行するにあたり、当該交換された車載更新装置は不正な装置である蓋然性が高いところ、このように不正な装置であることが懸念される車載更新装置を介することなく、車外通信装置に直接、接続し、当該車外通信装置を介して、外部サーバと通信することができる。従って、車載更新装置が交換されたことを外部サーバに確実に送信することができる。
【0021】
(6)本開示の一態様に係る監視装置は、前記制御部が実行する前記所定の処理は、前記車載ECUに対し、前記更新プログラムにより前記車載ECUに記憶されるプログラムの更新を禁止させる信号を送信する処理である。
【0022】
本態様にあたっては、制御部は、車載ECUに対しプログラムの更新を禁止させる信号を送信することにより、交換された車載更新装置によって送信される更新プログラムにより、車載ECUがプログラムの更新を行うことを防止することができる。
【0023】
(7)本開示の一態様に係る監視装置は、前記車載更新装置と自装置とは、イーサネットケーブルにより直接接続してある。
【0024】
本態様にあたっては、車載更新装置と監視装置とをイーサネットケーブルにより直接接続することにより、ホップ数を低減させ、車載更新装置と監視装置との間の通信効率を向上させることができる。
【0025】
(8)本開示の一態様に係る監視プログラムは、コンピュータに、更新プログラムの適用対象となる車載ECUの構成情報を記憶する車載更新装置から、前記車載ECUの構成情報を取得し、前回取得した第1の構成情報と、今回取得した第2の構成情報とが異なる場合、前記車載更新装置は交換されたと判定し所定の処理を実行する処理を実行させる。
【0026】
本態様にあたっては、車載更新装置が交換された場合、当該交換を検知することができる監視プログラムを提供することができる。
【0027】
(9)本開示の一態様に係る監視方法は、更新プログラムの適用対象となる車載ECUの構成情報を記憶する車載更新装置から、前記車載ECUの構成情報を取得し、前回取得した第1の構成情報と、今回取得した第2の構成情報とが異なる場合、前記車載更新装置は交換されたと判定し所定の処理を実行する処理を実行させる。
【0028】
本態様にあたっては、車載更新装置が交換された場合、当該交換を検知することができる監視方法を提供することができる。
【0029】
[本開示の実施形態の詳細]
本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る監視装置5を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る監視装置5を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
【0030】
(実施形態1)
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る監視装置5を含む車載更新システムの構成を例示する模式図である。図2は、監視装置5等の構成を例示するブロック図である。車載更新システムは、車両Cに搭載された車外通信装置1及び車載更新装置2を含み、車外ネットワークNを介して接続されたプログラム提供装置100から取得したプログラム又はデータを、車両Cに搭載されている車載ECU3(Electronic Control Unit)に送信する。
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る監視装置5を含む車載更新システムの構成を例示する模式図である。図2は、監視装置5等の構成を例示するブロック図である。車載更新システムは、車両Cに搭載された車外通信装置1及び車載更新装置2を含み、車外ネットワークNを介して接続されたプログラム提供装置100から取得したプログラム又はデータを、車両Cに搭載されている車載ECU3(Electronic Control Unit)に送信する。
【0031】
プログラム提供装置100は、例えばインターネット又は公衆回線網等の車外ネットワークNに接続されているサーバ等のコンピュータであり、RAM(Random Access Memory)、ROM(Read Only Memory)又はハードディスク等による記憶部101を備え、車外の外部サーバに相当する。プログラム提供装置100には、車載ECU3の製造メーカ等によって作成された当該車載ECU3を制御するためのプログラム又はデータが、記憶部101に保存されている。当該プログラム又はデータは、更新プログラムとして、後述のごとく車両Cに送信され、車両Cに搭載されている車載ECU3のプログラム又はデータを更新するために用いられる。このように構成されたプログラム提供装置100(外部サーバ)は、OTA(Over The Air)サーバとも称される。車両に搭載される車載ECU3は、プログラム提供装置100から無線通信により送信された更新プログラムを取得し、当該更新プログラムを実行するプログラムとして適用することにより、自ECUが実行するプログラムを更新(リプロ)することができる。
【0032】
以降、プログラムは、車載ECU3が処理を行うための制御構文等を含むプログラムコード及び、当該プログラムコードを実行するにあたり参照するデータが記載される外部ファイルを含むものとして説明する。更新プログラムの送信時において、これらプログラムコード及びデータが記載される外部ファイルは、例えば暗号化されたアーカイブファイルとして、プログラム提供装置100から送信される。
【0033】
車載更新装置2は、これら車載ECU3夫々がプログラムを更新(リプロ)する都度、又は定期的に車載ECU3夫々から構成情報を取得し、取得した構成情報夫々を集約して記憶及び管理するリプロマスターとして機能する。監視装置5は、車載更新装置2と通信可能に接続され、車載更新装置2が記憶している構成情報を、2つの異なる時点において取得し、当該異なる時点にて取得した夫々の構成情報を比較することにより、車載更新装置2が交換されたか否かを判定する監視機能を発揮する。
【0034】
車両Cには、車外通信装置1、車載更新装置2、表示装置7、種々の車載機器を制御するための複数の車載ECU3、及び車載更新装置2が不正に交換されたか否かを判定する監視装置5が搭載されている。車外通信装置1と車載更新装置2とは、例えばシリアルケーブル等のハーネスにより通信可能に接続されている。車載更新装置2及び車載ECU3は、CAN(Control Area Network/登録商標)又はイーサネット(Ethernet/登録商標)等の通信プロトコルに対応した通信線41及び車内LAN4によって通信可能に接続されている。
【0035】
車外通信装置1は、車外通信部11及び、車載更新装置2と通信するための入出力I/F(インターフェイス)12を含む。車外通信部11は、3G、LTE、4G、WiFi等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部11に接続されたアンテナ13を介してプログラム提供装置100とデータの送受信を行う。車外通信装置1とプログラム提供装置との通信は、例えば公衆回線網又はインターネット等の外部ネットワークを介して行われる。
【0036】
入出力I/F12は、車載更新装置2と、例えばシリアル通信するための通信インターフェイスである。車外通信装置1と車載更新装置2とは、入出力I/F12及び入出力I/F12に接続されたシリアルケーブル等のハーネスを介して相互に通信する。本実施形態では、車外通信装置1は、車載更新装置2と別装置とし、入出力I/F12等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置1は、車載更新装置2の一構成部位として、車載更新装置2に内蔵されるものであってもよい。
【0037】
車載更新装置2は、制御部20、記憶部21、入出力I/F22、車内通信部23及び車内通信部231を含む。車載更新装置2は、車外通信装置1が無線通信によってプログラム提供装置100から受信した更新プログラムを、車外通信装置1から取得し、車内LAN4を介して当該更新プログラムを所定の車載ECU3(更新対象の車載ECU3)に送信するように構成されている。車載更新装置2は、例えば、制御系の車載ECU3、安全系の車載ECU3及び、ボディ系の車載ECU3等の複数の通信線41による系統のセグメントを統括し、これらセグメント間での車載ECU3同士の通信を中継するゲートウェイ(中継器)である。又は、車載更新装置2は、車両C全体をコントロールするボディECUの一機能部として構成されるものであってもよい。
【0038】
制御部20は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部21に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部20は、プログラム提供装置100から送信された更新プログラムを、車外通信装置1を介して取得する取得部に相当する。
【0039】
記憶部21は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータがあらかじめ記憶してある。記憶部21に記憶された制御プログラムは、車載更新装置2が読み取り可能な記録媒体から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部21に記憶させたものであってもよい。更に、記憶部21には、車両Cに搭載される全ての車載ECU3の構成情報が記憶される。記憶部21には、プログラム提供装置100から取得した更新プログラム、及び車載ECU3に更新プログラムを送信する際の進捗状況に関する情報が、記憶される。
【0040】
入出力I/F22は、車外通信装置1の入出力I/F12と同様に、例えばシリアル通信するための通信インターフェイスである。入出力I/F22を介して、車載更新装置2は、車外通信装置1及びIGスイッチ6と通信可能に接続される。
【0041】
車内通信部23は、例えばCAN(Control Area Network)又はイーサネット(Ethernet/登録商標)等の通信プロトコルを用いた入出力インターフェイスであり、制御部20は、車内通信部23を介して車内LAN4に接続されている車載ECU3又は他の中継装置等の車載機器と相互に通信する。車内通信部23は、複数個(図面上では3つ)設けられており、車内通信部23夫々に、車内LAN4を構成する通信線41が接続されている。このように車内通信部23を複数個設けることにより、車内LAN4は複数個のセグメントに分け、各セグメントに車載ECUを、当該車載ECUの機能(制御系機能、安全系機能、ボディ系機能)に応じて接続する。車内通信部231は、例えばイーサネット等の通信プロトコルを用いた入出力インターフェイスであり、制御部20は、車内通信部231を介して監視装置5と相互に通信する。
【0042】
車載ECU3は、制御部30、記憶部31及び車内通信部32を含む。記憶部31は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、車載ECU3のプログラム又はデータが記憶されている。このプログラム又はデータが、車載更新装置2から送信される更新プログラムによって更新される対象である。又、記憶部31には自ECUの構成情報が記憶されている。
【0043】
記憶部31は、第1記憶領域(第1面)及び第2記憶領域(第2面)を含む。記憶部31には、現状において車載ECU3が実行(適用)しているプログラム(現バージョン)及び、現バージョンの以前に適用されていたプログラム(旧バージョン)の2つのプログラムが記憶されている。これら現バージョンのプログラムと、旧バージョンのプログラムとは、第1記憶領域又は第2記憶領域のいずれかの記憶領域に分かれて、記憶されている。すなわち、第1記憶領域に現バージョンのプログラムが記憶されている場合、第2記憶領域に旧バージョンのプログラムが記憶されている。第1記憶領域に旧バージョンのプログラムが記憶されている場合、第2記憶領域に現バージョンのプログラムが記憶されている。このように現バージョン及び旧バージョンの2つのプログラムを、所謂2面持ちとして記憶することにより、万が一現バージョンのプログラムに問題が生じた場合であっても、制御部30は、以前に適用して正常に動作していた旧バージョンのプログラムを読み込み実行する(切替える)ことで、車載ECU3の信頼性を担保することができる。記憶部31は、2面持ちに限定されず、第1記憶領域のみを有する1面持ちとして記憶するものであってもよい。
【0044】
記憶部31には、現バージョン及び旧バージョンの2つのプログラム夫々のバージョンに関する情報、及び現在実行(適用)しているプログラムが記憶されている領域(動作面)に関する情報が記憶されている。すなわち、現状において第1記憶領域(第1面)に記憶されているプログラムを実行している場合、記憶部31には、動作面は第1記憶領域(第1面)であると記憶される。現状において第2記憶領域(第2面)に記憶されているプログラムを実行している場合、記憶部31には、動作面は第2記憶領域(第2面)であると記憶される。記憶部31には、プログラム(現バージョン及び旧バージョン)のバージョン情報及び動作面に関する情報を含め、自ECUの構成情報、車載更新装置2から更新プログラムを受信する際の進捗状況に関する情報、及び過去に行われた単数又は複数回の更新履歴に関する情報が、記憶される。
【0045】
制御部30は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部31(動作面)に記憶されたプログラム及びデータを読み出し実行して制御処理等を行い、当該車載ECU3を含む車載機器又はアクチュエータ等が制御される。
【0046】
車載ECU3の制御部30は、車載更新装置2から送信される更新プログラムを、車内通信部32を介して受信し、当該更新プログラムを取得する。従って、車載ECU3の制御部30は、プログラム提供装置100から送信された更新プログラムを、車外通信装置1及び車載更新装置2を介して取得する。制御部30は、取得した更新プログラムを、動作面でない記憶領域(第1記憶領域又は第2記憶領域)に記憶する。すなわち、制御部30は、車載更新装置2から送信された更新プログラムを取得するにあたり、当該取得の準備処理として、動作面でない記憶領域(非動作面)に記憶されているプログラムを削除する。通常、動作面でない記憶領域に記憶されているプログラムは、現バージョンのプログラムの以前に実行された旧バージョンのプログラムであるため、車載ECU3における車載装置への制御機能を停止させることなく、当該旧バージョンを削除することができる。制御部30は、動作面でない記憶領域(非動作面)に記憶されている旧バージョンのプログラムを削除し、車載更新装置2から送信された更新プログラムを、当該非動作面に記憶する。
【0047】
監視装置5は、車載ECU3と同様に制御部50、記憶部51、車内通信部53を含み、更に入出力I/F52を含む。
【0048】
制御部50は、車載更新装置2又は車載ECU3と同様にCPU又はMPUにより構成してあり、記憶部51に予め記憶されたプログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部50は、当該プログラムを実行することにより、車載更新装置2又は車載ECU3から送信された情報、データ又は信号等を取得する取得部に相当する。制御部50は、当該プログラムを実行することにより、車載更新装置2が更新されたか否かを判定する判定部に相当する。
【0049】
記憶部51は、車載更新装置2又は車載ECU3と同様にRAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、監視装置5のプログラム又はデータが記憶されている。記憶部51には、車載更新装置2と同様に、車両Cに搭載される全ての車載ECU3の構成情報(車両C構成情報)が記憶されている。
【0050】
車内通信部53は、車載更新装置2の車内通信部231と同様の通信プロトコルであり、例えばイーサネットを用いた入出力インターフェイスである。監視装置5と車載更新装置2とは、夫々の車内通信部53,231及び通信線42(イーサネットケーブル)により直接接続されている。車載更新装置2と監視装置5とをイーサネットケーブルにより直接接続することにより、ホップ数を低減させ、車載更新装置2と監視装置5との間の通信効率を向上させることができる。又は、監視装置5は、他の車載ECU3と同様にCANバス等による通信線41により、車載更新装置2と通信可能に接続されているものであってもよい。
【0051】
監視装置5は、車載更新装置2と同様の入出力I/F52を含み、当該入出力I/F52には、表示装置7が接続される。記憶部51には、当該表示装置7の表示制御を行う表示制御プログラムが記憶されており、制御部50が表示制御プログラムを実行することにより、監視装置5は、HMI(Human Machine Interface)系ECUとして構成される。HMI系ECUは、車両Cに搭載される車載ECU3に含まれるものである。HMI系ECUに監視装置5を含め、HMI系ECUの一機能として車載更新装置2の監視機能を実装することにより、車両Cに搭載される部品点数の削減を図ることができる。HMI系ECUは、車両Cの走行安全性に関する優先度が、例えば制御系ECU等の他の車載ECU3よりも低いため、車両Cの走行安全性に影響を与えることなく、車載更新装置2の監視機能を発揮することができる。
【0052】
表示装置7は、例えばカーナビゲーションのディスプレイ等のHMI(Human Machine Interface)装置である。表示装置7は、HMI系ECUである監視装置5の入出力I/Fとシリアルケーブル等のハーネスにより通信可能に接続されている。表示装置7には、HMI系ECUである監視装置5の制御部50から入出力I/Fを介して出力されたデータ又は情報が表示される。
【0053】
監視装置5は、HMI系ECUであるとしたが、これに限定されない。監視装置5は、専用のECU(監視ECU)として構成されるものであってもよい。又は、監視装置5は、車両C全体をコントールするボディ系ECUに含まれるものであってもよい。監視装置5が専用のECU(監視ECU)として構成される場合、HMI系ECUは監視装置5としての機能を有さず、車内LAN4に接続されている。監視装置5は、車載更新装置2及び車内LAN4を介してHMI系ECUと通信可能に接続してあり、当該HMI系ECUに対しデータを送信することにより、HMI系ECUに接続される表示装置7に、当該データに基づいた情報を表示させることができる。
【0054】
車載更新装置2の入出力I/F22には、シリアルケーブル等のワイヤーハーネスにより、車両Cの起動又は停止を行うIGスイッチ6(イグニッションスイッチ)が通信可能に接続されている。IGスイッチ6がオン又はオフにされた場合、IGスイッチ6から出力(送信)された信号を、車載更新装置2の制御部20は、入出力I/F22を介して取得(受信)する。車載更新装置2の制御部20は、取得した信号に基づき、当該IGスイッチ6のオン又はオフに関する情報(IGオンの信号又はIGオフの信号)を、車内通信部23、231を介して全ての車載ECU3及び監視装置5に送信する。車載ECU3及び監視装置5は、車載更新装置2から送信されたIGスイッチ6のオン又はオフに関する情報(IGオンの信号又はIGオフの信号)を取得し、取得した情報に基づき所定の動作を行う。
【0055】
図3は、車載ECUの構成情報の一態様を例示する説明図である。車載更新装置2の制御部20は、例えば、IGスイッチ6がオンにされた場合、オフにされた場合又は、所定のタイミングにて、定常的に車両Cに搭載されている全ての車載ECU3又は特定の車載ECU3に対し、自ECUの構成情報及び当該構成情報の更新履歴を送信することを要求する。そして車載更新装置2は、車載ECU3夫々から送信された構成情報及び更新履歴を取得してこれら構成情報等を集約し、集約した構成情報(車両構成情報)及び更新履歴(車両構成情報更新履歴)を記憶部21に記憶する。又は、車載更新装置2の制御部20は、車載ECU3に対し構成情報及び更新履歴を送信することを要求することなく、車載ECU3夫々が自発的に送信した構成情報夫々及び更新履歴夫々を取得し集約して、記憶部21に記憶するものであってもよい。又は、車載更新装置2の制御部20は、更新プログラムを車載ECU3に送信し、当該送信が完了した都度、送信した更新プログラムに基づいて構成情報(車両構成情報)を変更してもよい。
【0056】
車載ECU3夫々の記憶部31には、自ECUの構成情報及び更新履歴が記憶されている。従って、車載更新装置2は、車載ECU3夫々に記憶されている構成情報及び更新履歴の夫々を集約し、車載ECU3夫々の構成情報及び更新履歴を記憶する。車載更新装置2は、集約して記憶した車載ECU3夫々の構成情報及び更新履歴を、プログラム提供装置100に送信するものであってもよい。構成情報及び更新履歴をプログラム提供装置100に送信することにより、プログラム提供装置100の記憶部101に、当該構成情報及び更新履歴のバックアップを行うことができる。車載更新装置2は、当該構成情報を定期的に、又は監視装置5からの要求に応じて、当該監視装置5に送信する。
【0057】
図3に示すごとく、車載ECU3の構成情報(車両構成情報マスターテーブル)は、例えば車載ECU3の製造番号(シリアル番号)、ECU部番(型番)、Software部番、プログラムの現バージョン、旧バージョン、動作面数、動作面、MAC(Media Access Control)アドレス、IPアドレス、前回更新完了日時、リプロステータス及びVIN(車両識別番号)を含み、個々の車載ECU3において重複しないように設定された連番等によるECU-IDに関連付けられて管理される。
【0058】
製造番号(シリアル番号)は、車載ECU3の製造時に付与される番号であり、生産拠点等を示すロット番号及び製造時の連番等により構成され、当該ECUを一意に特定することができるユニークな番号である。ECU部番(型番)は、車載ECUの種類を特定する番号であり、例えば部品番号である。Software部番は、更新プログラムのソフトウェアの種類を特定するための番号である。
【0059】
動作面数とは、異なるバージョンの更新プログラムを記憶する記憶領域の数である。すなわち、動作面数が2つの場合、2つの異なるバージョンの更新プログラムを記録することができる。動作面数1つの場合、単一のバージョンの更新プログラムのみを記憶することができる。動作面は、現状において、車載ECU3が実行(適用)しているプログラムが記憶されているいずれかの記憶領域(第1記憶領域又は第2記憶領域)を特定する情報である。
【0060】
現バージョンは、現状において、車載ECU3が実行(適用)しているプログラムのバージョン番号であり、動作面に記憶されているプログラムのバージョン番号である。旧バージョンは、以前に車載ECU3が実行(適用)していたプログラムのバージョン番号であり、非動作面(動作面でない記憶領域)に記憶されているプログラムのバージョン番号である。
【0061】
MACアドレスは、車載ECU3の車内通信部23がイーサネットに対応した通信ポートである場合、データリング層に対応するアドレスである。MACアドレスは、当該車内通信部23の製造時付与される番号であり、製造者を示すベンダーコード及び製造時の連番等により構成され、当該ECUを一意に特定することができるユニークな番号である。IPアドレスは、車内通信部23がイーサネットに対応した通信ポートである場合、TCP/IPを用いた通信を行う際のネットワーク層に対応するアドレスである。
【0062】
VIN(車両識別番号/Vehicle Identification Number)は、個々の車両Cを識別するために使用しているシリアル番号を含んだ一意のコードであり、ISO3833によって規定されており17桁の英数字で構成される。VINは、車両に搭載される全ての車載ECU3の記憶部31に記憶されているものではなく、特定の車載ECU3の記憶部31に記憶されている。
【0063】
車載ECU3の構成情報は、当該車載ECU3を識別するための識別情報を含む。IPアドレスは、車内通信部23の設定に応じて任意に決定できるアドレスであるため、車載ECU3を識別するための識別情報としては、シリアル番号又はMACアドレスを用いることが望ましい。又、識別情報には、当該シリアル番号又はMACアドレスに加え、車載ECU3のECU部番(型番)を含むものであってもよい。
【0064】
車載ECU3の識別情報は、車載ECU3の構成情報に含まれるシリアル番号又はMACアドレスを含む。車載更新装置2の制御部20は、構成情報に含まれるシリアル番号又はMACアドレスによる車載ECU3の識別情報と、前回更新完了日時及びリプロステータス等、当該車載ECU3への更新プログラムの送信の進捗状況に関する情報とを関連づけて、記憶部21に記憶する。
【0065】
車載ECU3の構成情報に含まれる情報は、図3に示す項目の情報に限定されない。車載ECU3がCANによって接続される場合、車載ECU3の構成情報は、当該車載ECU3がメッセージを送信する際に用いる(含める)CAN-IDを含むものであってよい。
【0066】
【0067】
車載更新装置2は、車外通信装置1を介してプログラム提供装置100から更新プログラムを取得する(S1,S2)。車載更新装置2は、取得した更新プログラムのヘッダー情報等を参照し、当該更新プログラムの適用する車載ECU3を特定し、当該車載ECU3に更新プログラムを送信する(S3)。
【0068】
車載更新装置2から送信された更新プログラムを受信した車載ECU3は、当該更新プログラムを自ECUの記憶部31に記憶し、所定のタイミングで当該更新プログラムに切替えることにより、自ECUのプログラムの更新、すなわちリプロ処理を完了する(S4)。
【0069】
車載更新装置2は、プログラムの更新を完了した車載ECU3から送信される構成情報を取得し(S5)、取得した構成情報を自装置の記憶部21に記憶する。又は、車載更新装置2は、定期的に車両Cに搭載される全ての車載ECU3に対し、自ECUの構成情報の送信を要求する信号を送信し、当該要求に応じて車載ECU3夫々から送信された構成情報夫々を集約して、記憶するものであってもよい。車載更新装置2は、構成情報を監視装置5に送信する(S6)。車載更新装置2は、構成情報を、車外通信装置1を介してプログラム提供装置100に送信してもよい(S7)。
【0070】
監視装置5は、車載更新装置2から送信された構成情報を取得し、取得した構成情報を第1の構成情報として自装置の記憶部51に記憶する(S8)。車載更新装置2と監視装置5との間における構成情報の送受信により、最新の構成情報が車載更新装置2及び監視装置5により共有されるものとなる。
【0071】
IGスイッチ6がオフにされること(S9)により、車両Cは停止状態となり、車載更新装置2、車載ECU3及び監視装置5等の車載装置も、停止状態又は待機状態となる。IGスイッチ6がオフの場合、車載更新装置2は、記憶してある構成情報の変更は行わないようにしてある。すなわち、監視装置5が、第1の構成情報を取得してから、後述する第2の構成情報を取得するまでの間、車載更新装置2は、記憶してある構成情報の変更又は、車載ECU3からの構成情報の取得を行わないようにしてある。IGスイッチ6がオフにされることにより、車載更新装置2には、IGスイッチ6からのIGオフ信号が送信される。車載更新装置2は、受信したIGオフ信号に基づき、車載ECU3及び監視装置5に対し、IGスイッチ6がオフにされた旨に関する情報を送信する。車載ECU3及び監視装置5は、車載更新装置2から送信された信号に基づき、IGスイッチ6がオン又はオフにされたことを認識することができる。
【0072】
IGスイッチ6がオフにされた際、監視装置5は、車載更新装置2に対し記憶している構成情報の送信を要求する信号を送信し、当該要求により車載更新装置2が送信した構成情報を取得し(S9a)、取得した構成情報を第1の構成情報として記憶してもよい。上述のごとく、監視装置5は、S6及びS8の処理により、車載更新装置2が記憶している構成情報を取得し、自装置の記憶部51に第1の構成情報として記憶するものとしている。しかしながら、例えばS6における車載更新装置2と監視装置5との通信が失敗した場合であっても、IGスイッチ6がオフにされた際、監視装置5が車載更新装置2から構成情報を取得することにより、IGスイッチ6がオフにされた時点における最新の構成情報を、車載更新装置2及び監視装置5により共有することができる。
【0073】
IGスイッチ6がオンにされること(S10)により、車両Cは起動状態となり、車載更新装置2、車載ECU3及び監視装置5等の車載装置も、起動状態となる。
【0074】
監視装置5は、車載更新装置2から構成情報を取得し(S11)、取得した構成情報を第2の構成情報として記憶する。IGスイッチ6がオンにされた際、監視装置5は、車載更新装置2に対し記憶している構成情報の送信を要求する信号を送信し、当該要求により車載更新装置2が送信した構成情報を取得し、取得した構成情報を第2の構成情報として記憶する。又は、IGスイッチ6がオンにされた際、車載更新装置2は、構成情報を監視装置5に対し自発的に送信するようにしてあり、監視装置5は、送信された構成情報を受信して取得するものであってもよい。
【0075】
監視装置5は、取得した2つの構成情報である、第1の構成情報と、第2の構成情報とを比較する(S12)。これら構成情報の比較は、当該構成情報に含まれる全ての項目において比較する場合に限定されず、特定の項目のみを比較するものであてもよい。特定の項目とは、例えば車載ECU3夫々における製造番号、ECU部番等である。又は、特定の項目は、いずれかの車載ECU3において保持されるVINを含むものであってもよい。すなわち、これら構成情報の比較は、第1の構成情報と、第2の構成情報との実質的な同一性を判定するために必要な項目によって行うものであればよい。
【0076】
監視装置5は、第1の構成情報及び第2の構成情報の比較結果に基づき、車載更新装置2が、IGスイッチ6がオフにされた後、オンにされるまでの間、すなわち車両Cが停止状態の間に交換されたか否かを判定する(S13)。
【0077】
監視装置5は、判定結果に基づき所定の処理を行う(S14)。当該所定の処理は、例えば車載ECU3に対し更新プログラムによるプログラムの更新を禁止する信号を送信(S14a)、プログラム提供装置100及び表示装置7に車載更新装置2は異常な状態にある旨(異常通知)の送信(S14b,S14c)である。これら監視装置5の制御部50による所定の処理の詳細は、フローチャートにて後述する。
【0078】
図5は、監視装置5の制御部50の処理を例示するフローチャートである。監視装置5の制御部50は、車両Cが起動状態(IGスイッチ6がオン)又は停止状態(IGスイッチ6がオフ)において、定常的に以下の処理を行う。
【0079】
監視装置5の制御部50は、第1の構成情報を取得する(S100)。制御部50は、車載更新装置2から送信される構成情報を取得し、自装置の記憶部51に記憶する。車載更新装置2は、車載ECU3へ更新プログラムを送信し、当該車載ECU3による更新プログラムの受信等が完了した後、車載ECU3の構成情報を監視装置5及びプログラム提供装置100に送信しており、監視装置5の制御部50は、送信された構成情報を、車内通信部53を介して受信することにより、当該構成情報を取得する。又は、監視装置5の制御部50は、定期的に車載ECU3と通信し、これら車載ECU3夫々から送信される構成情報夫々を受信し、自装置の記憶部51に記憶するものであってもよい。すなわち、監視装置5及び車載更新装置2の装置夫々は、定常的に独自に車載ECU3夫々と通信し、これら車載ECU3夫々から送信される構成情報夫々を受信する。そして、監視装置5及び車載更新装置2は、各々自装置の記憶部51、21に車載ECU3夫々の構成情報を集約して記憶して、各々自装置の記憶部51、21に記憶されている構成情報(車両構成情報)同士が同じとなるように同期するようにしてあってもよい。
【0080】
監視装置5の制御部50は、IGオフの信号を受信したか否かを判定する(S101)。制御部50は、車載更新装置2を介してIGスイッチ6から送信される信号に基づき、IGスイッチ6がオフにされた信号(IGオフの信号)を受信したか否かを判定する。
【0081】
IGオフの信号を受信しなかった場合(S101:NO)、車両Cは起動中の状態であり、監視装置5の制御部50は、再度S100の処理を実行すべくループ処理を行う。すなわち、監視装置5の制御部50は、S100の処理である第1の構成情報を繰り返すことにより、常に最新の車載ECU3の構成情報を取得し記憶することができる。
【0082】
IGオフの信号を受信した場合(S101:YES)、車両Cは停止中(電源が落とされた)の状態となり、監視装置5の制御部50は、IGオンの信号を受信したか否かを判定する(S102)。制御部50は、車載更新装置2を介してIGスイッチ6から送信される信号に基づき、IGスイッチ6がオンにされた信号(IGオンの信号)を受信したか否かを判定する。
【0083】
IGオンの信号を受信しなかった場合(S102:NO)、監視装置5の制御部50は、再度S102の処理を実行すべくループ処理を行う。すなわち、制御部50は、IGオンの信号を受信するまで(IGスイッチ6がオンにされるまで)、待機処理を行う。
【0084】
IGオンの信号を受信した場合(S102:YES)、監視装置5の制御部50は、第2の構成情報を取得する(S103)。制御部50は、例えば、車載更新装置2に対し記憶している構成情報の送信を要求する信号を送信し、当該要求により車載更新装置2が送信した構成情報(第2の構成情報)を取得する。又は、車載更新装置2は、IGスイッチ6がオンにされた場合、記憶している構成情報(第2の構成情報)を自発的に監視装置5に送信するようにしてあり、監視装置5の制御部50は、車載更新装置2から自発的に送信された構成情報を取得するものであってもよい。すなわち、監視装置5の制御部50は、プル型又はプッシュ型の通信により、車載更新装置2に記憶されている構成情報を取得し、取得した構成情報を第2の構成情報として記憶する。
【0085】
監視装置5の制御部50は、取得した2つの構成情報は同一であるかを判定する(S104)。制御部50は、S100の処理で取得した第1の構成情報と、S103の処理で取得した第2の構成情報とを比較し、これら2つの構成情報が同一であるか否かを判定する。
【0086】
監視装置5が第1の構成情報を取得してから第2の構成情報を取得するまでの間、車載更新装置2は、記憶してある構成情報の変更は行わないようにしてある。従って、第1の構成情報と第2の構成情報との間に差異がある場合、車載更新装置2は交換されたものと判定することができる。車載更新装置2が交換されるとは、車載更新装置2の装置そのものが交換された場合に限定されず、車載更新装置2の記憶部21のみが交換された場合、及び記憶部21に記憶されている構成情報及びプログラム等のデータが書き換えられた場合を含む。
【0087】
第1の構成情報と第2の構成情報とが同一である場合(S104:YES)、監視装置5の制御部50は、車載更新装置2は交換されていないと判定する(S105)。第1の構成情報と第2の構成情報とが同一である場合とは、構成情報に含まれる項目である車載ECU3夫々の製造番号、ECU部番、又はいずれかの車載ECU3が保持しているVIN等の比較対象となる項目の内容が同じである場合であり、実質的に第1の構成情報及び第2の構成情報が同一の構成情報であることを示す。このように第1の構成情報と第2の構成情報とが同一である場合、監視装置5の制御部50は、第1の構成情報を取得した時点の車載更新装置2と、第2の構成情報を取得した時点の車載更新装置2とは、同一の車載更新装置2であり、車載更新装置2は交換されていないと判定する。
【0088】
監視装置5の制御部50は、車載更新装置2は正常である旨を送信する(S106)。制御部50は、車外通信装置1を介してプログラム提供装置100、表示装置7又は、プログラム提供装置100及び表示装置7の両装置へ、車載更新装置2は正常である旨及び当該判定結果を送信する。
【0089】
第1の構成情報と第2の構成情報とが同一でない場合(S104:NO)、監視装置5の制御部50は、車載更新装置2は交換されたと判定する(S1041)。第1の構成情報と第2の構成情報とが同一でない場合とは、すなわち構成情報に含まれる項目である車載ECU3夫々の製造番号、ECU部番、又はいずれかの車載ECU3が保持しているVIN等の比較対象となる項目の内容が異なる場合である。当該項目の内容が異なる場合、監視装置5の制御部50は、第1の構成情報を取得した時点の車載更新装置2と、第2の構成情報を取得した時点の車載更新装置2とは、異なる車載更新装置2であり、車載更新装置2は、第1の構成情報を取得した時点から第2の構成情報を取得した時点までの間に交換された判定する。
【0090】
監視装置5の制御部50は、例えば車載更新装置2と通信することができず、第2の構成情報を取得できなかった場合も、第1の構成情報と第2の構成情報とが同一でない(異なる)と判定してもよい。不正に交換された車載更新装置2は、監視装置5から送信される信号(構成情報の送信を要求する信号)に応答しない場合も想定されるところ、第2の構成情報を取得できなかった場合も、第1の構成情報と第2の構成情報とが同一でないと判定することにより、このような不正に交換された車載更新装置2に対しても適切に対応することができる。
【0091】
監視装置5の制御部50は、車載更新装置2は異常である旨を送信する(S1042)。制御部50は、車外通信装置1を介してプログラム提供装置100、表示装置7又は、プログラム提供装置100及び表示装置7の両装置へ、車載更新装置2は異常である旨及び当該判定結果を送信する。車載更新装置2が異常である旨とは、当該車載更新装置2が、第1の構成情報を取得した時点から第2の構成情報を取得した時点までの間に不正に交換されたことを含む情報であり、第1の構成情報を取得した時点及び第2の構成情報を取得した時点の時刻情報を含む。又、制御部50は、第1の構成情報及び第2の構成情報を、車載更新装置2は異常である旨に含めて、送信するものであってもよい。
【0092】
このように時刻情報、第1の構成情報及び第2の構成情報を含めて、車載更新装置2が交換されたことに関する情報を送信することにより、プログラム提供装置100の管理者、又は車両Cの操作者に対し、車載更新装置2は異常である旨を認識させ、適切な対応を図ることを喚起させることができる。
【0093】
監視装置5の制御部50は、プログラムの更新を禁止する信号を送信する(S1043)。制御部50は、車載ECU3に対し、車載更新装置2から送信される更新プログラムによりプログラムの更新を禁止する信号を送信する。車載更新装置2は、不正に交換された異常な状態であることが想定されるところ、このような異常な車載更新装置2から送信される更新プログラムにおいても、不正なプログラム、すなわち車両Cに対し攻撃を行う悪意のあるプログラムであることが想定される。そこで、監視装置5の制御部50は、車両Cに搭載される車載ECU3に対し、以降、車載更新装置2から送信される更新プログラムにより、自ECUに記憶してあるプログラムの更新を禁止する信号を送信する。
【0094】
監視装置5から送信された当該信号を受信した車載ECU3は、例えば、自ECUの記憶部31に記憶してあるフラグ情報を変更し、車載更新装置2から送信された更新プログラムの受信を拒否するモードに遷移する。このように、車載ECU3に対し、車載更新装置2から送信される更新プログラムによりプログラムの更新を禁止させることにより、不正に交換された異常な車載更新装置2からの攻撃に対し、車載ECU3を防御することができる。
【0095】
監視装置5の制御部50は、S106又はS1043の処理を実行し、一連の処理を終了する。監視装置5の制御部50は、S106の処理を実行した後、再度S100の処理を実行すべくループ処理を行うものであってもよい。
【0096】
本実施形態において、監視装置5の制御部50は、車両Cが起動状態(IGスイッチ6がオン)において、第1の構成情報を取得するとしたが、これに限定されない。監視装置5の制御部50は、IGオフ(IGスイッチ6がオフ)の信号を受信したか否かを判定し、IGオフの信号を受信した場合、第1の構成情報を取得するものであってもよい。又は、監視装置5の制御部50が構成情報の取得を開始し、完了するまでの間にIGスイッチ6がオフにされた場合、例えば電源維持回路を用いて車両Cの電源を維持させ、監視装置5の制御部50による第1の構成情報の取得及び記憶部51への記憶が完了した後に、当該車両Cの電源をオフにするものであってもよい。
【0097】
本実施形態において、監視装置5の制御部50は、IGオンの信号を受信した場合、S103の処理である第2の構成情報を取得するとしたが、これに限定されない。監視装置5の制御部50は、当該制御部50が有する計時機能を用いて、所定のタイミングにて当該第2の構成情報を取得するためのスケジューリング機能を発揮するものであってもよい。すなわち、監視装置5の制御部50は、スケジューリング機能によるスケジュール設定として、例えば、毎日所定の時間にて第2の構成情報を取得してS103以降の処理を実行(開始)するようにしてあってもよい。
【0098】
監視装置5の制御部50は、第1の構成情報と第2の構成情報とが異なる場合、車載更新装置2は交換されたと判定し所定の処理を実行するので、第1の構成情報を取得した時点から第2の構成情報を取得した時点までの間に該車載更新装置2の交換された場合に適切に対応することができる。比較対象としての情報として、車載更新装置2が、更新プログラムの送信等の更新処理を行うにあたり、車載ECU3から定常的に取得する構成情報を用いることにより、比較対象としての専用の情報を保持することを不要とし、効率的に比較することができる。
【0099】
監視装置5は、当該構成情報を比較対象とするにあたり、第1の構成情報を記憶部51に記憶しており、当該第1の構成情報は、車載更新装置2が正常な状態において記憶している構成情報のバックアップに相当する。上述のごとく、車載更新装置2が記憶している構成情報(車両構成情報)は、車載ECU3夫々に記憶されている自ECUの構成情報夫々を集約した情報である。従って、交換される前の車載更新装置2が記憶している構成情報を、監視装置が第1の構成情報として記憶することにより、車載更新装置2が不正に交換された場合であっても、交換される前の車載更新装置2が記憶している構成情報が失われることを防止することができる。
【0100】
監視装置5の制御部50は、車両Cの起動中(IGスイッチ6がオン)又は、IGスイッチ6がオフにされた際に第1の構成情報を取得し、これ以降にIGスイッチ6が再度オンにされて車両Cが起動した際に第2の構成情報を取得する。従って、IGスイッチ6がオフにされてからオンにされるまで、すなわち車両Cの停止中に車載更新装置2が交換された場合、該車載更新装置2の交換に対し適切に判定することができる。
【0101】
(実施形態2)
図6は、実施形態2に係る監視装置5を含む車載更新システムの構成を例示する模式図である。図7は、監視装置5等の構成を例示するブロック図である。実施形態2の監視装置5は、車載更新装置2を介することなく、車外通信装置1に直接、接続されている点で、実施形態1の監視装置5と異なる。
図6は、実施形態2に係る監視装置5を含む車載更新システムの構成を例示する模式図である。図7は、監視装置5等の構成を例示するブロック図である。実施形態2の監視装置5は、車載更新装置2を介することなく、車外通信装置1に直接、接続されている点で、実施形態1の監視装置5と異なる。
【0102】
実施形態2の監視装置5は、入出力I/Fを介して、車外通信装置1と直接、接続されている。すなわち、監視装置5の入出力I/Fと、車外通信装置1の入出力I/Fとは、例えばシリアルケーブル等のハーネスにより通信可能に接続されている。なお、監視装置5と車外通信装置1との接続形態は、夫々の入出力I/Fとを接続するシリアルケーブル等のハーネスに限定されず、例えば、CAN又はイーサネットによって構成される車内通信部同士をCANバス又はイーサネットケーブルで接続するものであってもよい。
【0103】
監視装置5の制御部50は、実施形態1と同様に、取得した第1の構成情報と第2の構成情報とが同一でない場合、車載更新装置2は交換されたと判定する。制御部50は、車載更新装置2を介することなく、直接、車外通信装置1と通信し、当該車外通信装置1を介してプログラム提供装置100へ、車載更新装置2は異常である旨及び当該判定結果を送信する。
【0104】
交換されたと判定された車載更新装置2は、不正な装置である蓋然性が高い。そこで、不正な装置であることが懸念される車載更新装置2を介することなく、監視装置5は、車外通信装置1に直接、接続し、当該車外通信装置1を介して、外部サーバと通信することができる。従って、車載更新装置2が交換されたことを外部サーバに確実に送信することができる。
【0105】
今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
【符号の説明】
【0106】
C 車両
100 プログラム提供装置(外部サーバ)
101 記憶部
1 車外通信装置
11 車外通信部
12 入出力I/F
13 アンテナ
2 車載更新装置
20 制御部
21 記憶部
22 入出力I/F
23 車内通信部
231 車内通信部
3 車載ECU
30 制御部
31 記憶部
32 車内通信部
4 車内LAN
41 通信線
42 通信線
5 監視装置(HMI系ECU)
50 制御部
51 記憶部
52 入出力I/F
53 車内通信部
6 IGスイッチ(イグニッションスイッチ)
7 表示装置(HMI装置)
100 プログラム提供装置(外部サーバ)
101 記憶部
1 車外通信装置
11 車外通信部
12 入出力I/F
13 アンテナ
2 車載更新装置
20 制御部
21 記憶部
22 入出力I/F
23 車内通信部
231 車内通信部
3 車載ECU
30 制御部
31 記憶部
32 車内通信部
4 車内LAN
41 通信線
42 通信線
5 監視装置(HMI系ECU)
50 制御部
51 記憶部
52 入出力I/F
53 車内通信部
6 IGスイッチ(イグニッションスイッチ)
7 表示装置(HMI装置)
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】