知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-08
(45)【発行日】2024-05-16
(54)【発明の名称】車両用電子制御装置及び更新プログラム
(51)【国際特許分類】
G06F 8/65 20180101AFI20240509BHJP
B60R 16/02 20060101ALI20240509BHJP
【FI】
G06F8/65
B60R16/02 660U
B60R16/02 660W
【請求項の数】
17
(21)【出願番号】P 2021086936
(22)【出願日】2021-05-24
(65)【公開番号】P2022180041
(43)【公開日】2022-12-06
【審査請求日】2023-03-07
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】110000567
【氏名又は名称】弁理士法人サトー
(72)【発明者】
【氏名】中村 翔
(72)【発明者】
【氏名】上原 一浩
(72)【発明者】
【氏名】吉見 英朗
(72)【発明者】
【氏名】小川 朝也
【審査官】渡辺 一帆
(56)【参考文献】
【文献】国際公開第2011/161778(WO,A1)
【文献】国際公開第2020/032196(WO,A1)
【文献】特開平10-097426(JP,A)
【文献】特開2019-185398(JP,A)
【文献】特開2017-027549(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 8/65-8/658
B60R 16/02
(57)【特許請求の範囲】
【請求項1】
車両バッテリを充電可能な充電可能状態と充電不能な充電不能状態とを切替可能な車両に搭載され、前記車両バッテリから供給される電力を動作電力として動作する車両用電子制御装置であって、更新対象ノードにおいて更新データを書込んで更新後のソフトウェアを生成するインストール処理の完了後に、前記更新後のソフトウェアを有効とするアクティベート処理の承諾可否をユーザに対して問合わせるアクティベート承諾を行うアクティベート承諾実行部(40b)と、
アクティベートの承諾許可が特定されたことを条件とし、前記充電可能状態中に、前記アクティベート処理を前記充電可能状態中において実行させるための切替指示を、前記充電可能状態中に前記アクティベート処理を実行する前記更新対象ノードに送信可能な切替指示送信部(40g)と、
アクティベートの承諾許可が特定されたことを条件とし、前記充電可能状態中に、前記アクティベート処理を前記充電不能状態中において実行させるための切替設定指示を、前記充電不能状態中に前記アクティベート処理を実行する前記更新対象ノードに送信可能な切替設定指示送信部(40e)と、を備え、
前記アクティベート承諾実行部は、前記充電可能状態中に前記アクティベート承諾を行う車両用電子制御装置。
【請求項2】
前記切替設定指示送信部は、前記アクティベート処理を次の前記充電可能状態から前記充電不能状態への切替時において実行させるための前記切替設定指示を前記更新対象ノードに送信する請求項1に記載した車両用電子制御装置。
【請求項3】
車両状態を判定する車両状態判定部(40a)を備え、前記アクティベート承諾実行部は、運転操作を阻害しない車両状態であると判定されたことを条件とし、前記充電可能状態中に前記アクティベート承諾を行う請求項1又は2に記載した車両用電子制御装置。
【請求項4】
前記更新対象ノードのメモリ構成を特定するメモリ構成特定部(40c)と、前記更新対象ノードが外付けメモリを有するメモリ構成のノードである場合に、メモリ領域に格納されているソフトウェアの前記外付けメモリへの複製処理の実行を指示する複製指示を当該更新対象ノードに送信する複製指示送信部(40d)と、を備え、
前記複製指示送信部は、前記充電可能状態中に前記複製指示を前記更新対象ノードに送信する請求項1から3の何れか一項に記載した車両用電子制御装置。
【請求項5】
ユーザが降車する降車条件の成立を判定する降車条件成立判定部(40f)と、前記車両バッテリの前記充電可能状態から前記充電不能状態への切替操作の遅延を要求する操作遅延要求部(40h)と、を備え、
前記操作遅延要求部は、前記更新対象ノードが車両走行制御に影響しないソフトウェアを更新するノードである場合に、前記降車条件が成立したと判定されると、前記切替操作の遅延を要求する請求項1から4の何れか一項に記載した車両用電子制御装置。
【請求項6】
前記切替指示送信部は、前記更新対象ノードが車両走行制御に影響しないソフトウェアを更新するノードである場合に、前記降車条件が成立したと判定されると、前記切替指示を当該更新対象ノードに送信する請求項5に記載した車両用電子制御装置。
【請求項7】
前記更新対象ノードを含む管理対象ノードから更新後の車両構成情報を取得する車両構成情報取得部(41a)と、前記更新後の車両構成情報を、キャンペーン情報に含まれている更新後の車両構成情報と照合し、前記車両構成情報の整合性を判定する整合性判定部(41b)と、を備える請求項1から6の何れかに記載した車両用電子制御装置。
【請求項8】
前記車両構成情報取得部は、前記管理対象ノードから更新前の車両構成情報を取得し、前記整合性判定部は、前記更新後の車両構成情報を、前記更新前の車両構成情報と照合し、前記車両構成情報の整合性を判定する請求項7に記載した車両用電子制御装置。
【請求項9】
前記切替指示送信部は、前記整合性判定部により前記車両構成情報の整合否が判定された場合に、前記切替指示を前記更新対象ノードに再送するリトライ処理を行う請求項7又は8に記載した車両用電子制御装置。
【請求項10】
更新対象ノードのソフトウェアをインストール処理の前の状態に戻すロールバック処理を行うロールバック処理実行部(42)を備え、前記ロールバック処理実行部は、前記整合性判定部により前記車両構成情報の整合否が判定された場合に、前記ロールバック処理を行う請求項7又は8に記載した車両用電子制御装置。
【請求項11】
前記ロールバック処理実行部は、前記整合性判定部により前記車両構成情報の整合否が判定されたことで前記切替指示送信部が前記切替指示を前記更新対象ノードに再送する前記リトライ処理を行った後に、前記整合性判定部により前記車両構成情報の整合否が再度判定された場合に、前記ロールバック処理を行う請求項10に記載した車両用電子制御装置。
【請求項12】
前記ロールバック処理実行部は、前記更新対象ノードにおけるアクティベート処理の完了後から所定期間内であることを条件とし、前記ロールバック処理を行う請求項10又は11に記載した車両用電子制御装置。
【請求項13】
前記ロールバック処理実行部は、前記所定期間を動的に決定する請求項12に記載した車両用電子制御装置。
【請求項14】
第1フラグと第2フラグを択一的に設定可能であり、前記ロールバック処理実行部は、前記第2フラグを設定していることを条件とし、前記ロールバック処理を行う請求項10から13の何れか一項に記載した車両用電子制御装置。
【請求項15】
認証が成立していることを条件とし、前記第1フラグから前記第2フラグへの設定変更が可能である請求項14に記載した車両用電子制御装置。
【請求項16】
前記第2フラグから前記第1フラグへの設定変更が不可である請求項14又は15に記載した車両用電子制御装置。
【請求項17】
車両バッテリを充電可能な充電可能状態と充電不能な充電不能状態とを切替可能な車両に搭載され、前記車両バッテリから供給される電力を動作電力として動作する車両用電子制御装置(13)の制御部(34)に、更新対象ノードにおいて更新データを書込んで更新後のソフトウェアを生成するインストール処理の完了後であって前記充電可能状態中に、更新後のソフトウェアを有効とするアクティベート処理の承諾可否をユーザに対して問合わせるアクティベート承諾を行うアクティベート承諾実行手順と、
アクティベートの承諾許可が特定されたことを条件とし、前記充電可能状態中に、前記アクティベート処理を前記充電可能状態中において実行させるための切替指示を、前記充電可能状態中に前記アクティベート処理を実行する前記更新対象ノードに送信する手順と、
アクティベートの承諾許可が特定されたことを条件とし、前記充電可能状態中に、前記アクティベート処理を前記充電不能状態中において実行させるための切替設定指示を、前記充電不能状態中に前記アクティベート処理を実行する前記更新対象ノードに送信する手順と、を実行させる更新プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両用電子制御装置及び更新プログラムに関する。
【背景技術】
【0002】
近年、運転支援機能や自動運転機能等の車両制御の多様化に伴い、車両の電子制御装置(以下、ECU(Electronic Control Unit)と称する)等のノードに搭載される車両制御や診断等のプログラムやデータを含むソフトウェアの規模が増大している。又、機能改善等によるバージョンアップに伴い、ノードの動作に必要なソフトウェアを更新する(リプログする)機会も増えつつある。一方、通信ネットワークの進展等に伴い、コネクッテッドカーの技術も普及している。このような事情から、車両側にゲートウェイECUとして機能する車両用電子制御装置が設けられ、車両用電子制御装置において、センター装置からダウンロードした更新データを更新対象ノードに配信し、更新対象ノードのソフトウェアをOTA(Over The Air)により更新する技術が提案されている(例えば特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2020-27627号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
車両用電子制御装置は、更新データを書込むインストール指示を更新対象ノードに送信した後に、インストール処理の完了を示すインストール完了通知を更新対象ノードから受信すると、イグニッション(以下、IGと称する)オンからIGオフに切替わった後に、アクティベート処理の承諾可否をユーザに対して問合わせるアクティベート承諾を行う。その後、車両用電子制御装置は、ユーザからのアクティベートの承諾許可を特定すると、アクティベート処理の実行を指示する切替指示を更新対象ノードに送信する。更新対象ノードは、車両用電子制御装置から切替指示を受信すると、更新後のソフトウェアを有効とするアクティベート処理を行う。車両用電子制御装置は、アクティベート処理の完了を示すアクティベート完了通知を更新対象ノードから受信すると、システム整合性チェック処理を行い、整合結果が否であれば、切替指示を更新対象ノードに再送するリトライ処理を行ったり、更新対象ノードのソフトウェアをインストール処理の前の状態に戻すロールバック処理を行ったりする。
【0005】
しかしながら、上記したようにIGオンからIGオフに切替わった後に、即ち、IGオフの状態でアクティベート承諾を行う構成では、車両バッテリの電力消費が増大する可能性がある。
【0006】
本発明は、上記した事情に鑑みてなされたものであり、車両バッテリの電力消費を抑制しつつ、安全安心なソフトウェアの更新を担保することができる車両用電子制御装置及び更新プログラムを提供することにある。
【課題を解決するための手段】
【0007】
請求項1に記載した発明によれば、アクティベート承諾実行部(40b)は、更新対象ノードにおいて更新データを書込んで更新後のソフトウェアを生成するインストール処理の完了後に、更新後のソフトウェアを有効とするアクティベート処理の承諾可否をユーザに対して問合わせるアクティベート承諾を行う。切替指示送信部(40g)は、アクティベートの承諾許可が特定されたことを条件とし、充電可能状態中に、アクティベート処理を充電可能状態中において実行させるための切替指示を、充電可能状態中にアクティベート処理を実行する更新対象ノードに送信する。切替設定指示送信部(40e)は、アクティベートの承諾許可が特定されたことを条件とし、充電可能状態中に、アクティベート処理を充電不能状態中において実行させるための切替設定指示を、充電不能状態中にアクティベート処理を実行する更新対象ノードに送信する。アクティベート承諾実行部は、車両状態が車両バッテリを充電可能な充電可能状態中にアクティベート承諾を行う。
【0008】
車両状態が車両バッテリを充電可能な充電可能状態中にアクティベート承諾を行うことで、IGオフの状態でアクティベート承諾を行う従来とは異なり、車両バッテリの電力消費を抑制しつつ、安全安心なソフトウェアの更新を担保することができる。
【図面の簡単な説明】
【0009】
【図1】一実施形態の全体構成を示す図
【図2】CGWの電気的な構成を示す図
【図3】ECUの電気的な構成を示す図
【図4】CGWの機能ブロック図
【図5】アクティベート処理指示部の機能ブロック図
【図6】システム整合チェック処理実行部の機能ブロック図
【図7】処理の流れを示す図(その1)
【図8】処理の流れを示す図(その2)
【図9】処理の流れを示す図(その3)
【図10】処理の流れを示す図(その4)
【図11】処理の流れを示す図(その5)
【図12】フローチャート(その1)
【図13】フローチャート(その2)
【図14】フローチャート(その3)
【図15】フローチャート(その4)
【図16】処理の流れを概略的に示す図(その1)
【図17】処理の流れを概略的に示す図(その2)
【発明を実施するための形態】
【0010】
以下、一実施形態について図面を参照して説明する。本実施形態では、内燃機関としてのエンジンを搭載する自動車に搭載される車両用電子制御システムを対象とし、エンジンの駆動状態であるIGオンが車両バッテリを充電可能な充電可能状態であり、エンジンの停止状態であるIGオフが車両バッテリを充電不能な充電不能状態である構成を前提として説明する。車両バッテリを充電可能な充電可能状態と充電不能な充電不能状態とを切替可能な車両であれば、エンジンを搭載せずにモータで走行する電気自動車に搭載される車両用電子制御システムを対象としても良い。
【0011】
車両用電子制御システムは、電子制御装置(以下、ECU(Electronic Control Unit)と称する)に搭載されている車両制御や診断等のソフトウェアをOTA(Over The Air)により更新可能なシステムである。ソフトウェアは、車両制御や診断等の機能を実現するためのプログラムやデータを含み、アプリケーションと表現することもできる。本実施形態では、車両制御や診断等のソフトウェアを更新する場合について説明するが、例えば地図アプリや当該地図アプリで使用される地図データ等を更新する場合にも適用することができる。
【0012】
図1に示すように、車両用電子制御システム1は、通信ネットワーク2側のセンター装置3と、車両側の車両側システム4及び表示端末5とを有する。通信ネットワーク2は、例えば4G回線等による移動体通信ネットワーク、インターネット、WiFi(Wireless Fidelity)(登録商標)等を含んで構成される。
【0013】
HMI(Human Machine Interface)としての表示端末5は、ユーザからの操作入力を受付ける機能や各種画面を表示する機能を有する端末であり、例えばユーザが携帯可能なスマートフォンやタブレット等の携帯端末6、車室内に配置されている車載ディスプレイ7である。携帯端末6は、移動体通信ネットワークの通信圏内であれば、通信ネットワーク2を介してセンター装置3とデータ通信可能である。車載ディスプレイ7は、車両側システム4に接続されており、ナビゲーション機能を兼用する構成であっても良い。又、車載ディスプレイ7は、ECUの機能を有する車載ディスプレイECUであっても良いし、センターディスプレイやメータディスプレイ等への表示を制御する機能を有していても良い。
【0014】
ユーザは、車室外であって移動体通信ネットワークの通信圏内であれば、ソフトウェアの更新に関与する各種画面を携帯端末6により確認しながら操作入力を行い、ソフトウェアの更新に関与する手続きを可能である。ユーザは、車室内では、ソフトウェアの更新に関与する各種画面を車載ディスプレイ7により確認しながら操作入力を行い、ソフトウェアの更新に関与する手続きを可能である。即ち、ユーザは、車室外と車室内で携帯端末6と車載ディスプレイ7を使い分け、ソフトウェアの更新に関与する手続きを可能である。
【0015】
センター装置3は、車両用電子制御システム1において通信ネットワーク2側のソフトウェアの更新機能を統括し、OTAサービスを提供するOTAセンターとして機能する。センター装置3は、ファイルサーバ8と、ウェブサーバ9と、管理サーバ10とを有し、各サーバ8~10が相互にデータ通信可能に構成されている。即ち、センター装置3は、機能毎に異なる複数のサーバを含んで構成されている。センター装置3は、単一のサーバにより構成されていても良い。
【0016】
ファイルサーバ8は、センター装置3から車両側システム4に配信されるソフトウェアのファイルを管理するサーバである。ファイルサーバ8は、センター装置3から車両側システム4に配信されるソフトウェアの提供事業者であるサプライヤ等から提供される更新データ、OEM(Original Equipment Manufacturer)から提供される諸元データ、車両側システム4から取得する車両状態等を管理する。
【0017】
ファイルサーバ8は、通信ネットワーク2を介して車両側システム4との間でデータ通信可能であり、キャンペーン情報を車両側システム4に送信し、諸元データを車両側システム4に送信する。又、ファイルサーバ8は、車両側システム4からパッケージデータのダウンロード要求を受信すると、更新データがパッケージ化されたパッケージデータを車両側システム4に送信する。パッケージデータは、圧縮されているzip形式のファイルを含む。尚、ファイルサーバ8は、諸元データと更新データとがパッケージ化されたパッケージデータを車両側システム4に送信することで、諸元データと更新データとを車両側システム4に同時に送信しても良い。
【0018】
ウェブサーバ9は、ウェブ情報を管理するサーバである。ウェブサーバ9は、携帯端末6等が有するウェブブラウザからの要求に応じて自己が管理するウェブデータを送信する。管理サーバ10は、ソフトウェアの更新のサービスに登録しているユーザの個人情報、車両毎のソフトウェアの更新履歴等を管理するサーバである。
【0019】
車両側システム4は、車両用マスタ装置11を有する。車両用マスタ装置11は、車両用電子制御システム1において車両側のソフトウェアの更新機能を統括し、OTAマスタとして機能する。車両用マスタ装置11は、DCM(Data Communication Module)12と、CGW(Central Gate Way)13とを有する。
【0020】
DCM12は、センター装置3との間で通信ネットワーク2を介してデータ通信を行い、ダウンロード処理実行部に相当する。CGW13は、ゲートウェイECUとして機能し、車両用電子制御装置に相当する。DCM12とCGW13とは、第1バス14を介してデータ通信可能に接続されている。図1では、DCM12と車載ディスプレイ7が同一の第1バス14に接続されている構成を例示しているが、DCM12と車載ディスプレイ7とが別々のバスに接続されている構成でも良い。又、DCM12の機能の一部又は全体をCGW13が有する構成でも良いし、CGW13の機能の一部又は全体をDCM12が有する構成でも良い。即ち、車両用マスタ装置11において、DCM12とCGW13との機能分担がどのように構成されていても良い。車両用マスタ装置11は、DCM12及びCGW13の2つのECUから構成されても良いし、DCM12の機能とCGW13の機能とを有する1つの統合ECUで構成されても良い。
【0021】
CGW13には、第1バス14に加え、第2バス15と、第3バス16と、第4バス17と、第5バス18とが車内側のバスとして接続されており、バス15~17を介して各種ECU19が接続されていると共に、バス18を介して電源管理ECU20が接続されている。ECU19はノードに相当する。
【0022】
第2バス15は、例えばマルチメディア系のバスであり、マルチメディア系の制御を行うECU19が接続されている。第3バス16は、例えば運転支援や自動運転のためのADAS(Advanced Driver-Assistance Systems)系のバスであり、ADAS系の制御を行うECU19が接続されている。第4バス17は、例えば車両走行のための駆動系のバスであり、駆動系の制御を行うECU19が接続されている。バス15~17は、マルチメディア系のバス、ADAS系のバス、駆動系のバス以外の系統のバスであっても良い。又、バスの本数やECU19の個数は例示した構成に限らない。電源管理ECU20は、DCM12、CGW13、各種ECU19等に供給する電源を管理するECUである。
【0023】
CGW13には、第6バス21が車外側のバスとして接続されている。第6バス21には、サービスツールとして機能するツール23が着脱可能に接続されるDLC(Data Link Coupler)コネクタ22が接続されている。車内側のバス14~18及び車外側のバス21は、例えばCAN(Controller Area Network、登録商標)バスにより構成されており、CGW13は、CANのデータ通信規格や診断通信規格(UDS(Unified Diagnosis Services):ISO14229)にしたがってDCM12と、各種ECU19と、ツール23との間でデータ通信を行う。尚、DCM12とCGW13とがイーサーネットにより接続されていても良いし、DLCコネクタ22とCGW13とがイーサーネットにより接続されても良い。
【0024】
CGW13は、車両バッテリ24から供給される電力を動作電力として動作する。車両バッテリ24は、IGオンの状態でエンジンのオルタネータにより発電された電力が供給されることで充電可能である。即ち、IGオンの状態は、車両状態が車両バッテリ24を充電可能な充電可能状態中にあり、IGオフの状態は、車両状態が車両バッテリ24を充電不能な充電不能状態である。
【0025】
CGW13は、パッケージデータをダウンロード可能な条件が成立していることを条件とし、パッケージデータのダウンロード要求をDCM12を介してセンター装置3に送信する。パッケージデータをダウンロード可能な条件とは、ダウンロードの承諾が得られていること、CGW13がDCM12を介してセンター装置3とデータ通信可能であること、DCM12のストレージの空き容量が所定容量以上であること、車載バッテリの残容量が所定容量以上であること等である。CGW13は、センター装置3からDCM12を介してパッケージデータをダウンロードすると、そのダウンロードしたパッケージデータから更新データを取得する。
【0026】
CGW13は、更新データを書込むインストールを指示可能な条件が成立していることを条件とし、その取得した更新データのインストールをソフトウェアの更新対象ECU19に指示する。インストールを指示可能な条件とは、インストールの承諾が得られていること、車両状態がインストール可能な状態であること、更新対象ECU19がインストール可能な状態であること、更新データが正常なデータであること、車載バッテリの残容量が所定容量以上であること等である。更新対象ECU19は、CGW13から更新データのインストールが指示されると、更新データのインストールを実行する。
【0027】
CGW13は、更新対象ECU19において更新データのインストールが完了すると、インストール完了後のソフトウェアを有効とするアクティベートを指示可能な条件が成立していることを条件とし、アクティベートを更新対象ECU19に指示する。アクティベートを指示可能な条件とは、アクティベートの承諾が得られていること、車両状態がアクティベート可能な状態であること、更新対象ECU19がアクティベート可能な状態であること、車載バッテリの残容量が所定容量以上であること等である。更新対象ECU19は、CGW13からアクティベートが指示されると、アクティベートを実行する。
【0028】
図2に示すように、CGW13は、電気的な機能ブロックとして、マイクロコンピュータ(以下、マイコンと称する)25と、ストレージ26と、データ転送回路27と、電源回路28と、電源検出回路29とを有する。マイコン25は、CPU(Central Processing Unit)25aと、ROM(Read Only Memory)25bと、RAM(Random Access Memory)25cと、フラッシュメモリ25dとを有する。フラッシュメモリ25dには、CGW13の外部から情報の読出しが不可であるセキュア領域が含まれる。マイコン25は、非遷移的実体的記憶媒体に格納されている各種制御プログラムを実行して各種処理を行い、CGW13の動作を制御する。本実施形態では、CGW13に1個のマイコン25が搭載されている構成を例示しているが、CGW13に搭載されるマイコンの個数、スペック、組み合わせは、CGW13に要求される処理能力に応じて決定される。即ち、CGW13に比較的高い処理能力が要求される場合であれば、比較的高いスペックのマイコンが採用されたり、分散処理や並列処理を実現するために複数のマイコンが採用されたりする。
【0029】
ストレージ26は、例えばeMMC(embedded Multi Media Card)、NorFlashである。データ転送回路27は、バス14~18,21との間のCANのデータ通信規格や診断通信規格に準拠したデータ通信を制御する。電源回路28は、バッテリ電源、アクセサリ(以下、ACCと称する)電源、IG電源を入力する。電源検出回路29は、電源回路28が入力するバッテリ電源の電圧値、ACC電源の電圧値、IG電源の電圧値を検出し、これらの検出した電圧値を所定の電圧閾値と比較し、その比較結果をマイコン25~26に出力する。マイコン25~26は、電源検出回路29から入力する比較結果により、車両バッテリ24からCGW13に供給されているバッテリ電源、ACC電源、IG電源が正常であるか異常であるかを判定する。
【0030】
図3に示すように、ECU19は、電気的な機能ブロックとして、マイコン30と、データ転送回路31と、電源回路32と、電源検出回路33とを有する。マイコン30は、CPU30aと、ROM30bと、RAM30cと、フラッシュメモリ30dとを有する。フラッシュメモリ30dには、ECU19の外部から情報の読出しが不可であるセキュア領域が含まれる。マイコン30は、非遷移的実体的記憶媒体に格納されている各種制御プログラムを実行して各種処理を行い、ECU19の動作を制御する。
【0031】
データ転送回路31は、バス15~17との間のCANのデータ通信規格に準拠したデータ通信を制御する。電源回路32は、バッテリ電源、ACC電源、IG電源を入力する。電源検出回路33は、電源回路32が入力するバッテリ電源の電圧値、ACC電源の電圧値、IG電源の電圧値を検出し、これらの検出した電圧値を所定の電圧閾値と比較し、その比較結果をマイコン30に出力する。マイコン30は、電源検出回路27から入力する比較結果により、車両バッテリ24からECU19に供給されているバッテリ電源、ACC電源、IG電源が正常であるか異常であるかを判定する。尚、ECU19は、自己が接続する接続対象の例えばセンサやアクチュエータ等の負荷が異なり、基本的には同等の構成である。
【0032】
次に、ECU19のメモリ構成について説明する。ECU19に搭載されているフラッシュメモリ30dの種類として、1面メモリ、疑似2面メモリ、2面メモリ、外付けメモリがある。1面メモリは、フラッシュ面を1面で持つ構成であり、運用面及び非運用面の概念がなく、ソフトウェアを実行中に当該実行中のソフトウェアを更新不可である。1面メモリを搭載するECU(以下、1面メモリECUと称する)19は、インストール処理及びアクティベート処理をIGオフの状態で行う。疑似2面メモリは、フラッシュ面を疑似的に2面で持つ構成であり、運用面及び非運用面の概念があり、運用面のソフトウェアを実行中に非運用面のソフトウェアを更新可能であるが、読出しや書込みを正常に行えるタイミングに制約がある。疑似2面メモリを搭載するECU(以下、疑似2面メモリECUと称する)19は、インストール処理及びアクティベート処理をIGオフの状態で行う。
【0033】
2面メモリは、フラッシュ面を実質的に2面で持つ構成であり、運用面及び非運用面の概念があり、運用面のソフトウェアを実行中に非運用面のソフトウェアを更新可能であり、読出しや書込みを正常に行えるタイミングに制約がない。2面メモリを搭載するECU(以下、2面メモリECUと称する)19は、インストール処理をIGオンの状態で行うことができ、アクティベート処理をIGオフの状態で行う。外付けメモリは、フラッシュ面を1面で持つ構成であり、運用面及び非運用面の概念がないが、フラッシュ面に格納されているソフトウェアを外付けメモリに複製することで、ソフトウェアの一時的な退避領域として外付けメモリを使用する。外付けメモリを搭載するECU(以下、外付けメモリECUと称する)19は、インストール処理及びアクティベート処理をIGオフの状態で行う。
【0034】
図4に示すように、CGW13は、機能毎の構成として、制御部34と、ダウンローダ35と、キャンペーン情報記憶部36と、車両構成情報記憶部37と、IGオフ前後更新フラグ記憶部38と、試作量産フラグ記憶部39とを有する。制御部34は、アクティベート処理指示部40と、システム整合チェック処理実行部41と、ロールバック処理実行部42とを有する。
【0035】
図5に示すように、アクティベート処理指示部40は、車両状態判定部40aと、アクティベート承諾実行部40bと、メモリ構成特定部40cと、複製指示送信部40dと、切替設定指示送信部40eと、降車条件成立判定部40fと、切替指示送信部40gと、操作遅延要求部40hとを有する。図6に示すように、システム整合チェック処理実行部41は、車両構成情報取得部41aと、整合性判定部41bとを有する。各部40~42,40a~40h,41a~41bは更新プログラムにより実行される機能に相当する。即ち、制御部34は、更新プログラムを実行し、各部40~42,40a~40h,41a~41bの機能を行う。
【0036】
ダウンローダ35は、制御部34からダウンロード実行要求を受信することを契機としてDCM12に対してダウンロード処理の実行を指示する。キャンペーン情報記憶部36は、センター装置3からDCM12を介してCGW13にダウンロードされたキャンペーン情報を記憶する。キャンペーン情報には更新後の車両構成情報が含まれる。更新後の車両構成情報には、更新対象ECU19と、当該更新対象ECU19と連携して動作する非更新対象ECU19とを含む管理対象ECU19を特定可能なターゲットID、更新後のハードウェアのバージョン、更新後のソフトウェアのバージョン等が含まれる。
【0037】
車両構成情報記憶部37は、管理対象ECU19から取得された車両構成情報を記憶する。車両構成情報には、管理対象ECU19を特定可能なターゲットID、更新前のハードウェアのバージョン、更新前のソフトウェアのバージョン、更新後のハードウェアのバージョン、更新後のソフトウェアのバージョン等が含まれる。
【0038】
IGオフ前後更新フラグ記憶部38は、IGオフ前更新フラグ及びIGオフ後更新フラグを記憶する。IGオフ前更新フラグ及びIGオフ後更新フラグは択一的に設定され、ECU19毎に記憶される。IGオフ前更新フラグは、IGオンでのアクティベート処理の実行を許可するフラグであり、例えばマルチメディア系等の車両走行制御に影響しないソフトウェアを更新するECU19にはIGオフ前更新フラグが設定される。IGオフ後更新フラグは、IGオンでのアクティベート処理の実行を禁止するフラグであり、例えばADAS系や駆動系等の車両走行制御に影響するソフトウェアを更新するECU19にはIGオフ後更新フラグが設定されている。
【0039】
試作量産フラグ記憶部39は、試作フラグ及び量産フラグを記憶する。試作フラグ及び量産フラグは択一的に設定される。試作フラグは、車両用電子制御システム1を搭載した車両が出荷される前の試作時に設定されるフラグであり、第1フラグに相当する。量産フラグは、車両用電子制御システム1を搭載した車両が出荷された後の量産時に設定されるフラグであり、第2フラグに相当する。試作フラグが設定されている状態では、認証が成立したことを条件とし、試作フラグから量産フラグへの設定変更が可能である。又、量産フラグから試作フラグへの設定変更は不可である。
【0040】
車両状態判定部40aは、例えば車速情報やドライバーステータスモニタ情報等に基づいて車両状態を判定する。アクティベート承諾実行部40bは、更新対象ECU19においてインストール処理を完了している状態で、運転操作を阻害しない車両状態であると車両状態判定部40aにより判定されていることを条件とし、アクティベート処理の承諾可否をユーザに対して問合わせるアクティベート承諾を行う。具体的には、アクティベート承諾実行部40bは、例えば車速が「0km/h」であり且つブレーキが作動中である車両が停止中に、アクティベート承諾要求を車載ディスプレイ7に送信し、アクティベート処理の承諾可否を選択可能なアクティベート承諾画面を車載ディスプレイ7に表示させることで、アクティベート処理の承諾可否をユーザに対して問合わせる。
【0041】
メモリ構成特定部40cは、諸元データに基づいて更新対象ECU19のメモリ構成を特定し、更新対象ECU19に搭載されているフラッシュメモリ30dが1面メモリ、疑似2面メモリ、2面メモリ、外付けメモリの何れであるかを特定する。
【0042】
複製指示送信部40dは、更新対象ECU19が外付けメモリECU19であれば、メモリ領域に格納されているソフトウェアの外付けメモリへの複製処理の実行を指示する複製指示を更新対象ECU19に送信する。
【0043】
切替設定指示送信部40eは、アクティベート処理の実行を次のIGオンからIGオフに切替わったタイミングで指示する切替設定指示を更新対象ECU19に送信する。
【0044】
降車条件成立判定部40fは、ユーザ降車する降車条件の成立を判定する。 降車条件成立判定部40fは、例えば車速が「0km/h」であること、車両位置が駐車場内や自宅であること、パーキングブレーキが作動したこと、シートベルトの装着が解除されたこと等を特定すると、ユーザがIGオンからIGオフへの切替操作を行った後に降車することを予測し、降車条件が成立したと判定する。
【0045】
切替指示送信部40gは、切替指示を更新対象ECU19に送信する。切替指示送信部40gは、上記したIGオフ前後更新フラグ記憶部38を参照し、更新対象ECU19にIGオフ前更新フラグ及びIGオフ後更新フラグの何れが設定されているかを判定する。切替指示送信部40gは、更新対象ECU19にIGオフ前更新フラグが設定されており、車両走行制御に影響しないソフトウェアを更新する場合には、降車条件が成立したと降車条件成立判定部40fにより判定されると、切替指示を当該更新対象ECU19に送信する。
【0046】
操作遅延要求部40hは、更新対象ECU19にIGオフ前更新フラグが設定されており、車両走行制御に影響しないソフトウェアを更新する場合には、降車条件が成立したと降車条件成立判定部40fにより判定されると、操作遅延表示要求を車載ディスプレイ7に送信し、IGオンからIGオフへの切替操作の遅延を要求する操作遅延要求画面を車載ディスプレイ7に表示させることで、IGオンからIGオフへの切替操作の遅延をユーザに対して要求する。
【0047】
車両構成情報取得部41aは、更新前の車両構成情報及び更新後の車両構成情報を管理対象ECU19から取得し、その取得した更新前の車両構成情報及び更新後の車両構成情報を上記した車両構成情報記憶部37に記憶する。
【0048】
整合性判定部41bは、車両構成情報記憶部37及びキャンペーン情報記憶部36を参照し、管理対象ECU19から取得した更新後の車両構成情報と、センター装置3からダウンロードしたキャンペーン情報に含まれている更新後の車両構成情報とを照合し、車両構成情報の整合性を判定する。整合性判定部41bは、両者が一致すると判定すると、車両構成情報の整合正を判定し、両者が一致しないと判定すると、車両構成情報の整合否を判定する。
【0049】
又、整合性判定部41bは、管理対象ECU19から取得した更新後の車両構成情報と、更新前の車両構成情報とを照合し、車両構成情報の整合性を判定する。整合性判定部41bは、管理対象ECU19から取得した更新後の車両構成情報のバージョンが更新前の車両構成情報のバージョンから増えていると判定すると、車両構成情報の整合正を判定し、増えていないと判定すると、車両構成情報の整合否を判定する。尚、車両構成情報のバージョンが増えているとは、バージョンアップやバージョン番号の増加を意味する。
【0050】
上記した切替指示送信部40gは、車両構成情報の整合否が整合性判定部41bにより判定されると、切替指示を更新対象ECU19に再送するリトライ処理を行う。
【0051】
ロールバック処理実行部42は、車両構成情報の整合否が整合性判定部41bにより判定されると、更新対象ECU19のソフトウェアをインストール処理の前の状態に戻すロールバック処理を行う。この場合、ロールバック処理実行部42は、切替指示送信部40gがリトライ処理を行うことなく、ロールバック処理を行っても良いし、切替指示送信部40gがリトライ処理を行ったが依然として車両構成情報の整合否が整合性判定部41bにより判定されると、ロールバック処理を行っても良い。又、ロールバック処理実行部42は、試作量産フラグ記憶部39を参照し、量産フラグを設定していることを条件とし、ロールバック処理を行う。更に、ロールバック処理実行部42は、更新対象ECU19におけるアクティベート処理の完了後から所定期間内であり、ロールバック実行可能期間内であることを条件とし、ロールバック処理を行う。
【0052】
次に、上記した構成の作用について図7から図17を参照して説明する。尚、図7から図11において、第1更新対象ECU19は、外付けメモリのメモリ構成であり、IGオフ後更新フラグが設定されているECU19である。第2更新対象ECU19は、外付けメモリ以外のメモリ構成であり、IGオフ後更新フラグが設定されているECU19である。第3更新対象ECU19は、外付けメモリのメモリ構成であり、IGオフ前更新フラグが設定されているECUである。第4更新対象ECU19は、外付けメモリ以外のメモリ構成であり、IGオフ前更新フラグが設定されているECUである。
【0053】
CGW13において、制御部34は、例えば更新対象ECU19においてインストール処理を完了したことで、アクティベート承諾要求の車載ディスプレイ7への送信要求が発生すると、車両状態を確認し(A1)、運転操作を阻害しない車両状態であるか否かを判定する(A2)。
【0054】
制御部34は、例えば車速が「0km/h」であり且つブレーキが作動中であり、運転操作を阻害しない車両状態であると判定すると(A2:YES)、アクティベート承諾要求を車載ディスプレイ7に送信し(A3、t1、アクティベート承諾実行手順に相当する)、車載ディスプレイ7からの承諾結果の受信を待機する(A4)。ブレーキが作動中とは、例えばシフトポジションがPレンジに入っている状態も含む。車載ディスプレイ7は、CGW13からアクティベート承諾要求を受信すると、アクティベート処理の承諾可否を選択可能なアクティベート承諾画面を表示し(B1)、アクティベート処理の承諾可否をユーザに対して問合わせる。ユーザがアクティベート承諾を許可すると、車載ディスプレイ7は、承諾結果として承諾許可をCGW13に送信する(t2)。尚、本実施形態では、更新対象ECU19が何れのメモリ構成でも、アクティベート承諾要求と承諾確認をIGオン状態のときに行う。つまり、更新対象ECU19が外付けメモリECUや1面メモリECUの場合も、アクティベート承諾要求と承諾確認をIGオン状態のときに行う。
【0055】
制御部34は、車載ディスプレイ7から承諾結果を受信したと判定すると(A4:YES)、その承諾結果が承諾許可であるか否かを判定し(A5)、その承諾結果が承諾許可であると判定すると(A5:YES)、諸元データに基づいて更新対象ECU19のメモリ構成を特定する(A6)。制御部34は、更新対象ECU19に外付けメモリECU19が含まれているか否かを判定する(A7)。
【0056】
制御部34は、更新対象ECU19に外付けメモリECU19が含まれていると判定すると(A7:YES)、メモリ領域に格納されているソフトウェアの外付けメモリへの複製処理の実行を指示する複製指示を当該外付けメモリECU19である更新対象ECU19に送信し(A8、t3)、外付けメモリECU19である更新対象ECU19からのACKの受信を待機する(A9)。外付けメモリECU19である更新対象ECU19は、CGW13から複製指示を受信すると、メモリ領域に格納されているソフトウェアの外付けメモリへの複製処理を行い(C1、E1)、ACKをCGW13に返信する(t4)。
【0057】
制御部34は、外付けメモリECU19である更新対象ECU19からACKを受信したと判定すると(A9:YES)、IGオフ前後更新フラグ記憶部38を参照し(A10)、IGオフ後更新フラグが設定されている更新対象ECU19が存在するか否かを判定する(A11)。制御部34は、IGオフ後更新フラグが設定されている更新対象ECU19が存在すると判定すると(A11:YES)、アクティベート処理の実行を次のIGオンからIGオフに切替わったタイミングで指示する切替設定指示を当該IGオフ後更新フラグが設定されている更新対象ECU19に送信し(A12、t5)、IGオフ後更新フラグが設定されている更新対象ECU19からのACKの受信を待機する(A13)。IGオフ後更新フラグが設定されている更新対象ECU19は、CGW13から切替設定指示を受信すると、次のIGオンからIGオフに切替わったタイミングでアクティベート処理を実行するように切替設定を行い(C2、D1)、ACKをCGW13に返信する(t6)。
【0058】
制御部34は、IGオフ後更新フラグが設定されている更新対象ECU19からACKを受信したと判定すると(A13:YES)、IGオフ前更新フラグが設定されている更新対象ECU19が存在するか否かを判定する(A14)。制御部34は、IGオフ前更新フラグが設定されている更新対象ECU19が存在すると判定すると(A14:YES)、ユーザが降車する降車条件の成立を判定する(A15)。
【0059】
制御部34は、降車条件が成立したと判定すると(A15:YES)、操作遅延表示要求を車載ディスプレイ7に送信し(A16、t7)、車載ディスプレイ7からのACKの受信を待機する(A17)。車載ディスプレイ7は、CGW13から操作遅延表示要求を受信すると、操作遅延要求画面を表示し(B2)、ACKをCGW13に返信する(t8)。
【0060】
制御部34は、車載ディスプレイ7からACKを受信したと判定すると(A17:YES)、切替指示を当該IGオフ前更新フラグが設定されている更新対象ECU19に送信し(A18、t9)、IGオフ前更新フラグが設定されている更新対象ECU19からのACKの受信を待機する(A19)。IGオフ前更新フラグが設定されている更新対象ECU19は、CGW13から切替指示を受信すると、アクティベート処理を実行し(E2、F1)、ACKをCGW13に送信する(t10)。制御部34は、IGオフ前更新フラグが設定されている更新対象ECU19からACKを受信したと判定すると(A19:YES)、IGオンからIGオフへの切替わりを待機する(A20)。
【0061】
ここで、IGオンからIGオフへの切替操作が行われ、IGオンからIGオフに切替わると、IGオフ後更新フラグが設定されている更新対象ECU19は、上記したように先立ってCGW13から切替設定指示を受信しているので、IGオンからIGオフに切替わったことを契機としてアクティベート処理を実行する(C3、D2)。
【0062】
制御部34は、IGオンからIGオフへの切替わり判定すると(A20:YES)、車両構成情報要求を管理対象ECU19に送信し(A21)、管理対象ECU19から更新後の車両構成情報を受信したか否かを判定すると共に(A22)、IGオンからIGオフへの切替から一定時間が経過したか否かを判定する(A23)。
【0063】
制御部34は、IGオンからIGオフへの切替から一定時間が経過する前に、管理対象ECU19から更新後の車両構成情報を受信したと判定すると(A22:YES)、管理対象ECU19から受信した更新後の車両構成情報を、キャンペーン情報に含まれている更新後の車両構成情報と照合し(A24)、車両構成情報の整合性を判定する(A25)。制御部34は、両者が一致し、車両構成情報の整合正を判定すると(A25:YES)、試作量産フラグ記憶部39を参照し(A26)、量産フラグが設定されているか否かを判定する(A27)。
【0064】
制御部34は、量産フラグが設定されていると判定すると(A27:YES)、管理対象ECU19から受信した更新後の車両構成情報を、更新前の車両構成情報と照合し(A28)、車両構成情報の整合性を判定する(A29)。制御部34は、管理対象ECU19から受信した更新後の車両構成情報のバージョンが更新前の車両構成情報のバージョンから増えており、車両構成情報の整合正を判定すると(A29:YES)、スリープ指示を管理対象ECU19に送信する(A30、t13)。管理対象ECU19は、CGW13からスリープ指示を受信すると、ウエイクアップ状態からスリープ状態に移行する(C4、D3、E3、F2)。
【0065】
一方、制御部34は、管理対象ECU19から更新後の車両構成情報を受信する前に、IGオンからIGオフへの切替から一定時間が経過したと判定すると(A23:YES)、又は管理対象ECU19から受信した更新後の車両構成情報とキャンペーン情報に含まれている更新後の車両構成情報とが一致せず、又は管理対象ECU19から受信した更新後の車両構成情報のバージョンが更新前の車両構成情報のバージョンから増えておらず、車両構成情報の整合否を判定すると(A25:NO、又はA29、NO)、切替指示を更新対象ECU19に再送するリトライ処理を実行する(A31)。
【0066】
制御部34は、リトライ処理を実行すると、上記したように管理対象ECU19から受信した更新後の車両構成情報を、キャンペーン情報に含まれている更新後の車両構成情報と照合し、更に更新前の車両構成情報と照合し、車両構成情報の整合性を再度判定する(A32)。制御部34は、車両構成情報の整合正を判定すると(A32:YES)、スリープ指示を管理対象ECU19に送信する(A30、t13)。
【0067】
一方、制御部34は、車両構成情報の整合否を判定し(A32:NO)、リトライ処理の実行回数が所定回数を超えていると判定すると、アクティベート処理の完了後から所定期間内であるか否かを判定し、ロールバックの実行可能期間内であるか否かを判定する(A33)。制御部34は、アクティベート処理の完了後から所定期間内であると判定し、ロールバックの実行可能期間内であると判定すると(A33:YES)、ロールバック処理を実行する(A34)。
【0068】
制御部34は、ロールバック処理を実行すると、ロールバック処理を正常に完了したか否かを判定し(A35)、ロールバック処理を正常に完了したと判定すると(A35:YES)、スリープ指示を管理対象ECU19に送信する(A30、t13)。一方、制御部34は、ロールバック処理を正常に完了していないと判定すると(A35:NO)、エラー処理を行い(A36)、スリープ指示を管理対象ECU19に送信する(A30、t13)。
【0069】
このように本実施形態では、図16に示すようなIGオフの後にアクティベート承諾を行う従来とは異なり、図17に示すように、IGオフの前にアクティベート承諾を行うことで、車両バッテリ24を充電可能なIGオンの状態でアクティベート承諾を行うことができ、車両バッテリ24の電力消費を抑制することができる。
【0070】
以上に説明したように実施形態によれば、次に示す作用効果を得ることができる。
CGW13において、車両状態が車両バッテリ24を充電可能なIGオンの状態でアクティベート承諾を行うようにした。IGオフの状態でアクティベート承諾を行う従来とは異なり、IGオンの状態でアクティベート承諾を行うことで、車両バッテリ24の電力消費を抑制しつつ、安全安心なソフトウェアの更新を担保することができる。
CGW13において、車両状態が車両バッテリ24を充電可能なIGオンの状態でアクティベート承諾を行うようにした。IGオフの状態でアクティベート承諾を行う従来とは異なり、IGオンの状態でアクティベート承諾を行うことで、車両バッテリ24の電力消費を抑制しつつ、安全安心なソフトウェアの更新を担保することができる。
【0071】
CGW13において、IGオンの状態で切替設定指示を更新対象ECU19に送信するようにした。IGオフからIGオフに切替わったことを契機として更新対象ECU19においてアクティベート処理を速やかに行わせることができる。
【0072】
CGW13において、例えば車両が停止中にある等の運転操作を阻害しない車両状態であると判定したことを条件とし、IGオンの状態でアクティベート承諾を行うようにした。安全安心な環境でユーザにアクティベート承諾を行わせることができる。
【0073】
CGW13において、更新対象ECU19に外付けメモリECU19が含まれていると、IGオンの状態で複製指示を当該外付けメモリECU19である更新対象ECU19に送信するようにした。IGオンの状態で外付けメモリECU19においてメモリ領域に格納されているソフトウェアの外付けメモリへの複製処理を行わせることで、車両バッテリ24の電力消費をより抑制することができる。
【0074】
CGW13において、更新対象ECU19にIGオフ前更新フラグが設定されており、車両走行制御に影響しないソフトウェアを更新する場合には、降車条件が成立すると、操作遅延表示要求を車載ディスプレイ7に送信し、IGオンからIGオフへの切替操作の遅延を要求する操作遅延要求画面を車載ディスプレイ7に表示させることで、IGオンからIGオフへの切替操作の遅延をユーザに対して要求するようにした。IGオンからIGオフへの切替操作の遅延を要求することで、IGオンからIGオフへの切替操作を遅延させることをユーザに対して促すことができる。又、降車条件が成立すると、切替指示を当該更新対象ノードに送信することで、IGオフ前更新フラグが設定されている更新対象ECU19においてアクティベート処理を適切に行わせることができる。
【0075】
CGW13において、管理対象ECU19から更新後の車両構成情報を取得し、その取得した更新後の車両構成情報を、キャンペーン情報に含まれている更新後の車両構成情報と照合し、車両構成情報の整合性を判定するようにした。ソフトウェアの更新を正常に完了したか否かを適切に検証することができる。
【0076】
CGW13において、管理対象ECU19から更新後の車両構成情報を取得し、その取得した更新後の車両構成情報を、更新前の車両構成情報と照合し、車両構成情報の整合性を判定するようにした。ソフトウェアの更新を正常に完了したか否かをより適切に検証することができる。
【0077】
CGW13において、車両構成情報の整合否を判定すると、切替指示を更新対象ECU19に再送するリトライ処理を行うようにした。ソフトウェアの更新を正常に完了しなかった場合に、リトライ処理を行うことで適切に対処することができる。
【0078】
CGW13において、車両構成情報の整合否を判定すると、更新対象ECU19のソフトウェアをインストール処理の前の状態に戻すロールバック処理を行うようにした。ソフトウェアの更新を正常に完了しなかった場合に、リトライ処理を行うことで適切に対処することができる。
【0079】
CGW13において、リトライ処理を行った後にロールバック処理を行うようにした。更新対象ECU19のソフトウェアをインストール処理の前の状態に直ぐに戻さず、リトライ処理を行うことで、ソフトウェアの更新を正常に完了する可能性を高めることができる。
【0080】
CGW13において、更新対象ECU19におけるアクティベート処理の完了後から所定期間内であることを条件とし、ロールバック処理を行うようにした。ロールバック処理を行える期間に制限を持たせることで、不正なアクセス等によりソフトウェアが古いバージョンに書戻されてしまうことを未然に回避することができる。
【0081】
CGW13において、ロールバック処理を行うか否かの判定基準となる所定期間を動的に決定するようにした。ロールバック処理を行える期間の制限を任意に変更することができる。例えばソフトウェアの更新が機能改善等によるバージョンアップを目的とする場合であれば、所定期間を比較的長くし、ソフトウェアの更新が不具合修正を目的とする場合であれば、所定期間を比較的長短くする等、ロールバック処理を行える期間の制限を任意に変更することができる。
【0082】
CGW13において、量産フラグを設定していることを条件とし、ロールバック処理を行うようにした。試作フラグを設定している場合にロールバック処理を行えないようにすすることで、試作中だけ古いバージョンへのソフトウェアの更新を可能とすることができる。
【0083】
CGW13において、認証が成立していることを条件とし、試作フラグから量産フラグへの設定変更を可能とした。試作フラグから量産フラグへの設定変更を行う場合のセキュリティを適切に担保することができる。
【0084】
CGW13において、量産フラグから試作フラグへの設定変更が不可であるようにした。量産フラグから試作フラグへの設定変更が不可とすることで、バージョン管理の複雑化してしまうことを未然に回避することができる。
【0085】
本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
【0086】
更新対象ECU19が外付けメモリECU19である場合に、複製指示を当該外付けメモリECU19である更新対象ECU19に送信する場合を例示したが、必ずしも複製指示を送信する必要はなく、複製指示を送信しなくても良い。即ち、必ずしもIGオフの前に外付けメモリECU19においてメモリ領域に格納されているソフトウェアの外付けメモリへの複製処理を行わせなくても良い。
【0087】
IGオフ前更新フラグ及びIGオフ後更新フラグがIGオフ前後更新フラグ記憶部38に記憶されている構成を例示したが、IGオフ前更新フラグ及びIGオフ後更新フラグに相当する情報が諸元データに格納されていても良い。その場合、制御部34は、諸元データを参照し、IGオフの前にアクティベート処理の実行を許可するか禁止するかを判定しても良い。又、IGオフ前更新フラグ及びIGオフ後更新フラグを設けなくても良く、切替設定指示を全ての更新対象ECU19に送信しても良い。
【0088】
リトライ処理を実行する場合を説明したが、リトライ処理を実行せずに省いても良い。即ち、制御部34は、管理対象ECU19から更新後の車両構成情報を受信する前に、IGオンからIGオフへの切替から一定時間が経過したと判定すると(A22:YES)、又は車両構成情報の整合否を判定すると(A24:NO、A28、NO)、切替指示を更新対象ECU19に再送するリトライ処理を実行せずに、ロールバックの実行可能期間内であることを条件とし、ロールバック処理を実行しても良い(A33)。
【0089】
本開示に記載の制御部及びそのパターンは、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することにより提供された専用コンピュータにより実現されても良い。或いは、本開示に記載の制御部及びそのパターンは、一つ以上の専用ハードウェア論理回路によりプロセッサを構成することにより提供された専用コンピュータにより実現されても良い。若しくは、本開示に記載の制御部及びそのパターンは、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路により構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより実現されても良い。又、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていても良い。
【符号の説明】
【0090】
図面中、1は車両用電子制御システム、13はCGW(車両用電子制御装置)、19はECU(ノード)、34は制御部、40はアクティベート処理指示部、40aは車両状態判定部、40bはアクティベート承諾実行部、40cはメモリ構成特定部、40dは複製指示送信部、40eは切替設定指示送信部、40fは降車条件成立判定部、40gは切替指示送信部、40hは操作遅延要求部、41はシステム整合チェック処理実行部、41aは車両構成情報取得部、41bは整合性判定部、42はロールバック処理実行部である。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】