ホーム > 特許ランキング > 本田技研工業株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-29
(45)【発行日】2024-11-07
(54)【発明の名称】制御装置、及び、制御方法
(51)【国際特許分類】
G06F 8/65 20180101AFI20241030BHJP
G06F 21/32 20130101ALI20241030BHJP
B60R 16/02 20060101ALI20241030BHJP
B60R 21/38 20110101ALI20241030BHJP
【FI】
G06F8/65
G06F21/32
B60R16/02 660U
B60R21/38 310
【請求項の数】
10
(21)【出願番号】P 2022154740
(22)【出願日】2022-09-28
(65)【公開番号】P2024048685
(43)【公開日】2024-04-09
【審査請求日】2023-05-26
(73)【特許権者】
【識別番号】000005326
【氏名又は名称】本田技研工業株式会社
(74)【代理人】
【識別番号】110001081
【氏名又は名称】弁理士法人クシブチ国際特許事務所
(72)【発明者】
【氏名】吉川 大貴
【審査官】円子 英紀
(56)【参考文献】
【文献】特開2021-157466(JP,A)
【文献】特開2018-074798(JP,A)
【文献】特開2012-106593(JP,A)
【文献】国際公開第2022/044270(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 8/65
G06F 21/32
B60R 16/02
B60R 21/38
(57)【特許請求の範囲】
【請求項1】
車両に対する不正行為を検知する監視機能を実行し、前記監視機能により前記不正行為が検知された場合に警報出力部によって警報を出力させる警報部と、前記車両に搭載された電子機器が有するソフトウェアの更新を行うソフトウェア更新部と、
前記ソフトウェア更新部によって前記電子機器のソフトウェアの更新が行われる場合に、前記警報の出力の制限を行う警報出力制御部と、を備える、制御装置。
【請求項2】
前記ソフトウェア更新部は、前記警報出力制御部による前記制限が開始されてから前記電子機器のソフトウェアを更新する、請求項1に記載の制御装置。
【請求項3】
前記警報出力制御部は、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新が完了した後に、前記警報の出力の制限を解除する、請求項1に記載の制御装置。
【請求項4】
前記車両の外を撮影する撮影部を備え、前記警報出力制御部は、前記警報の出力の制限を行っている場合に前記撮影部の撮影画像を用いて人物を検出し、前記車両の近傍に人物が存在しない場合に、前記警報部による前記警報の出力の制限を行う、請求項1に記載の制御装置。
【請求項5】
前記警報出力制御部は、前記撮影部の撮影画像を用いて検出された前記人物が前記車両に接近しているか否かを判定し、前記人物が前記車両に接近している場合は、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新を中止させ、前記警報の出力の制限を解除する、請求項4に記載の制御装置。
【請求項6】
前記警報出力制御部は、前記撮影部の撮影画像を用いて検出された前記人物が前記車両の正規のユーザであるか否かを判定し、前記人物が前記車両の正規のユーザである場合は、前記警報部による前記警報の出力の制限を行う、請求項4に記載の制御装置。
【請求項7】
前記ソフトウェア更新部による前記電子機器のソフトウェアの更新が開始した後で前記車両に対する不正行為を検知した場合に、前記電子機器のソフトウェアの更新を中止させ、前記警報の出力の制限を解除する、請求項1に記載の制御装置。
【請求項8】
前記電子機器は、第1電子機器と、第2電子機器とを含み、前記警報出力制御部は、前記ソフトウェア更新部によって前記第1電子機器のソフトウェアの更新が行われる場合に、前記第1電子機器について前記監視機能により不正行為が検知された場合の前記警報の出力の制限を行い、前記ソフトウェア更新部によって前記第2電子機器のソフトウェアの更新が行われる場合に、前記第2電子機器について前記監視機能により不正行為が検知された場合の前記警報の出力の制限を行わない、請求項1に記載の制御装置。
【請求項9】
前記警報出力部は、指定された外部装置と通信回線を介して接続される通信装置を含み、前記警報部は、前記監視機能により前記不正行為が検知された場合に、前記通信装置によって前記外部装置に警報を示す情報を送信させる、請求項1に記載の制御装置。
【請求項10】
車両に対する不正行為を検知する監視機能を実行し、前記監視機能により前記不正行為が検知された場合に警報出力部によって警報を出力し、
前記車両に搭載された電子機器が有するソフトウェアをソフトウェア更新部により更新する場合に、前記警報の出力の制限を行う、制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、制御装置、及び、制御方法に関する。
【背景技術】
【0002】
近年、交通の安全性の向上や車両における居住性の向上を目的として、車両に搭載される機器のソフトウェアの機能が進化している。これに伴い、機器の機能向上や改善を目的として、使用されている車両の機器のソフトウェアを更新することも提案されている。例えば、特許文献1には、車載器にサーバからプログラムをダウンロードしてインストールする手法が開示されている。
また、従来、車両を盗難等の被害から守るためのセキュリティ機能が高度化し、ソフトウェアを利用する提案がされている。例えば、特許文献2には、ECUがプログラムを実行することにより、車両内への侵入等の異常の発生を検知する構成が開示されている。
また、従来、車両を盗難等の被害から守るためのセキュリティ機能が高度化し、ソフトウェアを利用する提案がされている。例えば、特許文献2には、ECUがプログラムを実行することにより、車両内への侵入等の異常の発生を検知する構成が開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2012-113394号公報
【文献】特開2014-056561号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
車載機器やECUのソフトウェアを更新する場合には、ソフトウェアの更新の対象となる車載機器やECUの機能を一時的に停止させたり、再起動させたりすることがある。このため、セキュリティ機能に関与する車載機器やECUのソフトウェアを更新する場合、車載機器やECUが停止あるいは再起動することにより、異常発生を誤検知してしまう可能性がある。このため、セキュリティ機能に関与する車載機器やECUのソフトウェアを更新することが困難であった。
本発明はかかる背景に鑑みてなされたものであり、車両のセキュリティ機能に関与する機器のソフトウェアを更新するための手法を実現することにより、車両の機能向上の機会を増やし、延いては持続可能な輸送システムの発展に寄与することを目的とする。
本発明はかかる背景に鑑みてなされたものであり、車両のセキュリティ機能に関与する機器のソフトウェアを更新するための手法を実現することにより、車両の機能向上の機会を増やし、延いては持続可能な輸送システムの発展に寄与することを目的とする。
【課題を解決するための手段】
【0005】
本発明の一態様は、車両に対する不正行為を検知する監視機能を実行し、前記監視機能により前記不正行為が検知された場合に警報出力部によって警報を出力させる警報部と、前記車両に搭載された電子機器が有するソフトウェアの更新を行うソフトウェア更新部と、前記ソフトウェア更新部によって前記電子機器のソフトウェアの更新が行われる場合に、前記警報の出力の制限を行う警報出力制御部と、を備える、制御装置である。
本発明の他の態様によると、前記ソフトウェア更新部は、前記警報出力制御部による前記制限が開始されてから前記電子機器のソフトウェアを更新する。
本発明の他の態様によると、前記警報出力制御部は、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新が完了した後に、前記警報の出力の制限を解除する。
本発明の他の態様によると、前記車両の外を撮影する撮影部を備え、前記警報出力制御部は、前記警報の出力の制限を行っている場合に前記撮影部の撮影画像を用いて人物を検出し、前記車両の近傍に人物が存在しない場合に、前記警報部による前記警報の出力の制限を行う。
本発明の他の態様によると、前記警報出力制御部は、前記撮影部の撮影画像を用いて検出された前記人物が前記車両に接近しているか否かを判定し、前記人物が前記車両に接近している場合は、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新を中止させる。
本発明の他の態様によると、前記警報出力制御部は、前記撮影部の撮影画像を用いて検出された前記人物が前記車両の正規のユーザであるか否かを判定し、前記人物が前記車両の正規のユーザである場合は、前記警報部による前記警報の出力の制限を行う。
本発明の他の態様によると、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新が開始した後で前記車両に対する不正行為を検知した場合に、前記電子機器のソフトウェアの更新を中止させ、前記警報の出力の制限を解除する。
本発明の他の態様によると、前記電子機器は、第1電子機器と、第2電子機器とを含み、前記警報出力制御部は、前記ソフトウェア更新部によって前記第1電子機器のソフトウェアの更新が行われる場合に、前記第1電子機器について前記監視機能により不正行為が検知された場合の前記警報の出力の制限を行い、前記ソフトウェア更新部によって前記第2電子機器のソフトウェアの更新が行われる場合に、前記第2電子機器について前記監視機能により不正行為が検知された場合の前記警報の出力の制限を行わない。
本発明の他の態様によると、前記警報出力部は、指定された外部装置と通信回線を介して接続される通信装置を含み、前記警報部は、前記監視機能により前記不正行為が検知された場合に、前記通信装置によって前記外部装置に警報を示す情報を送信させる。
本発明の他の態様は、車両に対する不正行為を検知する監視機能を実行し、前記監視機能により前記不正行為が検知された場合に警報出力部によって警報を出力し、前記車両に搭載された電子機器が有するソフトウェアをソフトウェア更新部により更新する場合に、前記警報の出力の制限を行う、制御方法である。
本発明の他の態様によると、前記ソフトウェア更新部は、前記警報出力制御部による前記制限が開始されてから前記電子機器のソフトウェアを更新する。
本発明の他の態様によると、前記警報出力制御部は、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新が完了した後に、前記警報の出力の制限を解除する。
本発明の他の態様によると、前記車両の外を撮影する撮影部を備え、前記警報出力制御部は、前記警報の出力の制限を行っている場合に前記撮影部の撮影画像を用いて人物を検出し、前記車両の近傍に人物が存在しない場合に、前記警報部による前記警報の出力の制限を行う。
本発明の他の態様によると、前記警報出力制御部は、前記撮影部の撮影画像を用いて検出された前記人物が前記車両に接近しているか否かを判定し、前記人物が前記車両に接近している場合は、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新を中止させる。
本発明の他の態様によると、前記警報出力制御部は、前記撮影部の撮影画像を用いて検出された前記人物が前記車両の正規のユーザであるか否かを判定し、前記人物が前記車両の正規のユーザである場合は、前記警報部による前記警報の出力の制限を行う。
本発明の他の態様によると、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新が開始した後で前記車両に対する不正行為を検知した場合に、前記電子機器のソフトウェアの更新を中止させ、前記警報の出力の制限を解除する。
本発明の他の態様によると、前記電子機器は、第1電子機器と、第2電子機器とを含み、前記警報出力制御部は、前記ソフトウェア更新部によって前記第1電子機器のソフトウェアの更新が行われる場合に、前記第1電子機器について前記監視機能により不正行為が検知された場合の前記警報の出力の制限を行い、前記ソフトウェア更新部によって前記第2電子機器のソフトウェアの更新が行われる場合に、前記第2電子機器について前記監視機能により不正行為が検知された場合の前記警報の出力の制限を行わない。
本発明の他の態様によると、前記警報出力部は、指定された外部装置と通信回線を介して接続される通信装置を含み、前記警報部は、前記監視機能により前記不正行為が検知された場合に、前記通信装置によって前記外部装置に警報を示す情報を送信させる。
本発明の他の態様は、車両に対する不正行為を検知する監視機能を実行し、前記監視機能により前記不正行為が検知された場合に警報出力部によって警報を出力し、前記車両に搭載された電子機器が有するソフトウェアをソフトウェア更新部により更新する場合に、前記警報の出力の制限を行う、制御方法である。
【発明の効果】
【0006】
本発明によれば、車両に搭載された電子機器のソフトウェアを、セキュリティに関する機能を誤動作させることなく、更新できる。これにより、ソフトウェアの更新による車両の機能向上の機会を増やすことができ、持続可能な輸送システムの発展に寄与することができる。
【図面の簡単な説明】
【0007】
【図1】管理システムの概略構成を示す図。
【図2】車両の制御システムの要部構成を示すブロック図。
【図3】制御システムの動作例を示すフローチャート。
【図4】制御システムの動作例を示すフローチャート。
【図5】制御システムの動作例を示すフローチャート。
【図6】制御システムの動作例を示すフローチャート。
【発明を実施するための形態】
【0008】
図1は、管理システム100の概略構成を示す図である。
管理システム100は、車両Vの全般的な制御および情報処理を行う制御システム1を含み、制御システム1を構成する各種のECU(Electronic Control Unit)が実行するプログラムの更新を可能とするシステムである。管理システム100は、制御システム1、サーバ2、及び、携帯端末3を含む。
管理システム100は、車両Vの全般的な制御および情報処理を行う制御システム1を含み、制御システム1を構成する各種のECU(Electronic Control Unit)が実行するプログラムの更新を可能とするシステムである。管理システム100は、制御システム1、サーバ2、及び、携帯端末3を含む。
【0009】
サーバ2は、通信ネットワークNによって制御システム1と接続される。
通信ネットワークNは、有線または無線通信回線で構成されるネットワークである。通信ネットワークNは、例えば、セルラー通信網、Wi-Fi(登録商標)ネットワーク、Bluetooth(登録商標)、インターネット、WAN(Wide Area Network)、LAN(Local Area Network)、公衆回線、プロバイダ装置、専用回線、基地局等を含む。図1には通信ネットワークNに含まれる基地局Bを図示する。制御システム1は、後述するTCU21を利用して、基地局Bとの間でセルラー通信を実行することにより、通信ネットワークNを通じて外部装置とデータ通信を実行する。
通信ネットワークNは、有線または無線通信回線で構成されるネットワークである。通信ネットワークNは、例えば、セルラー通信網、Wi-Fi(登録商標)ネットワーク、Bluetooth(登録商標)、インターネット、WAN(Wide Area Network)、LAN(Local Area Network)、公衆回線、プロバイダ装置、専用回線、基地局等を含む。図1には通信ネットワークNに含まれる基地局Bを図示する。制御システム1は、後述するTCU21を利用して、基地局Bとの間でセルラー通信を実行することにより、通信ネットワークNを通じて外部装置とデータ通信を実行する。
【0010】
制御システム1は、車両Vに搭載されるシステムであり、車両Vが備える各種の電子機器を含む。電子機器とは、例えば、ECUである。制御システム1は、複数のECUを統合して制御することにより、車両Vの各種機能を実行する。
【0011】
制御システム1は、サーバ2からデータをダウンロードし、ダウンロードしたデータを利用して、制御システム1が備えるECUにプログラムをインストールすること、及び、ECUにインストールされているプログラムを更新することができる。プログラムを更新するために制御システム1がサーバ2からダウンロードするデータを、更新データと呼ぶ。
【0012】
管理システム100はサーバ2とは異なるサーバを備えてもよく、この場合、制御システム1は、サーバ2とは異なるサーバから更新データをダウンロードしてもよい。また、サーバ2は、1つのサーバコンピュータであってもよいし、複数のサーバコンピュータにより構成されてもよく、クラウドサーバであってもよい。
【0013】
制御システム1は、通信部として、後述するTCU21を備える。制御システム1は、TCU21によってサーバ2と通信を実行することにより更新データをサーバ2からダウンロードする。制御システム1が更新データをダウンロードし、更新データを利用してプログラムのインストールや更新を行う処理を、OTA(Over The Air)と呼ぶ。
【0014】
制御システム1は、通信ネットワークNを介して携帯端末3とデータ通信可能に接続される。携帯端末3は、車両Vのユーザが使用する携帯型のコンピュータである。携帯端末3は、例えば、タブレット型コンピュータ、ノート型コンピュータ、スマートフォンである。制御システム1は、携帯端末3とデータ通信を実行することにより、携帯端末3にテキストメッセージ、電子メール、音声データ等を送信する。携帯端末3は、制御システム1から送信されたテキストメッセージや電子メールを受信して表示画面に表示する処理や、制御システム1から送信された音声データを受信し、この音声データに基づき音声を出力する処理等を実行する。携帯端末3は外部装置の一例に対応する。
【0015】
車両Vは、電力により動作するモータを駆動源として備える電動車両、及び、内燃機関を搭載する車両のいずれであってもよい。内燃機関は、車両Vを駆動する動力源として機能してもよい。また、車両Vが搭載する内燃機関が不図示の発電機を駆動することにより、モータを駆動するための電力を発電する構成であってもよい。
【0016】
以下の説明において、車両Vが起動している状態とは、車両Vの内燃機関が動作中または即時の始動が可能な状態、或いは、車両Vのモータが即時に動作可能な状態をいう。車両Vが起動している状態は、いわゆるイグニッションオンの状態、或いは、Ready状態として知られている。車両Vが停止している状態とは、車両Vの内燃機関またはモータを即時に動作できない状態をいう。車両Vの停止状態は、例えば、車両Vの内燃機関を始動させるために燃料供給系統等を始動させることが必要な状態、或いは、車両Vのモータを動作させるために車両Vが搭載する不図示のインバータ回路を始動させることが必要な状態である。車両Vが停止している状態は、いわゆるイグニッションオフの状態である。
【0017】
車両Vは、車両Vを起動および停止させるための不図示の操作部を有する。この操作部は、例えば、ユーザが操作するSSSW(Start Stop SWitch)や、リモコンの操作によって車両Vの始動及び/または停止の指示を受け付ける受信部を含む。車両Vのユーザは、例えば車両Vの運転者や車両Vの所有者であるが、運転者以外の人であって車両Vを使用する人を含んでもよい。車両Vを起動させる操作は、例えばイグニッションオンの操作であり、車両Vを停止させる操作はイグニッションオフの操作である。
【0018】
車両Vが起動している状態で、制御システム1はオン状態である。オン状態において、後述するように制御システム1を構成する機能部の大部分には電力が供給され、これらの機能部が動作する。
【0019】
車両Vの停止状態において、制御システム1はオフ状態となる。制御システム1のオフ状態では、制御システム1を構成する機能部の一部は電力供給が停止された状態となり、一部は電力供給が維持されて動作する。本実施形態の制御システム1は、車両Vの停止状態において、セキュリティ機能を実行する。制御システム1は、セキュリティ機能を実行中に制御システム1における異常を検知すると、警報を出力する。制御システム1が検知する異常とは、車両Vの盗難や破損である可能性のある事象である。制御システム1のセキュリティ機能により検知される異常は、車両に対する不正行為に相当する。具体的には、車両Vのドア等が適正でない方法により開かれること、車両Vの車体に不自然な振動が加わること、適正でない方法により車両Vを起動させようとする操作が行われることが挙げられる。本実施形態では、車両Vの停止状態において、制御システム1は、セキュリティ機能を実行可能である。
【0020】
さらに、車両Vの停止状態において、制御システム1がオン状態として動作することも可能である。本実施形態の制御システム1は、車両Vの停止状態において、プログラムをインストールする機能を実行可能である。
【0021】
図2は、制御システム1の要部構成を示すブロック図である。
図2に示すように、制御システム1は、第1ECU11、第2ECU12、第3ECU13を含み、これらを区別しない場合にECU10と記載する。第1ECU11は、車両Vの全般的な制御および情報処理を行い、制御システム1を構成するECU10を制御する。第1ECU11には、通信ライン41を介して第2ECU12が接続され、通信ライン42を介して第3ECU13が接続される。通信ライン41、42およびその他の制御システム1の通信ラインは、CAN、Ethernet(登録商標)等の規格に準拠した通信を行うバス、若しくは、P2P(Peer to Peer)通信を行う通信ラインで構成されている。これらの通信ラインは、単一の通信ラインで構成されてもよいし、同一の規格に準拠した通信を行う複数の通信ラインで構成されてもよいし、異なる規格に準拠した通信を行う複数の通信ラインで構成されてもよい。
図2に示すように、制御システム1は、第1ECU11、第2ECU12、第3ECU13を含み、これらを区別しない場合にECU10と記載する。第1ECU11は、車両Vの全般的な制御および情報処理を行い、制御システム1を構成するECU10を制御する。第1ECU11には、通信ライン41を介して第2ECU12が接続され、通信ライン42を介して第3ECU13が接続される。通信ライン41、42およびその他の制御システム1の通信ラインは、CAN、Ethernet(登録商標)等の規格に準拠した通信を行うバス、若しくは、P2P(Peer to Peer)通信を行う通信ラインで構成されている。これらの通信ラインは、単一の通信ラインで構成されてもよいし、同一の規格に準拠した通信を行う複数の通信ラインで構成されてもよいし、異なる規格に準拠した通信を行う複数の通信ラインで構成されてもよい。
【0022】
第1ECU11は、通信ライン41、42間における通信データの授受を管理するゲートウェイの機能を実現する。また、第1ECU11は、OTA管理を実行する。OTA管理は、制御システム1がサーバ2から更新データをダウンロードする処理、及び、ダウンロードした更新プログラムを用いてECU10にプログラムをインストールまたは更新する制御を含む。
【0023】
第1ECU11には、TCU(Telematics Control Unit)21、ホーン22、カメラ23が接続される。TCU21は、移動通信システムの通信規格に準拠する無線通信装置である。ホーン22は、不図示のホーンスイッチの操作、及び、第1ECU11の制御に従って鳴動する。カメラ23は、車両Vの外部を撮影するように車両Vに設置されたデジタルカメラであり、第1ECU11の制御に従って撮影を実行する。第1ECU11は、カメラ23から撮影画像データを取得する。カメラ23は、単眼カメラであってもよいし、ステレオカメラであってもよく、可視領域外の波長の光により撮影を行うカメラであってもよい。また、カメラ23は、複数のカメラを含んでもよく、車両Vの車室内を撮影するカメラを含んでもよい。カメラ23は撮影部の一例に対応する。
【0024】
第2ECU12は、車両Vのセキュリティ機能を実行する。第3ECU13は、車両Vに搭載された各種のセンサの検出値を取得することにより、車両Vの状態を検知する。図2には、第2ECU12に接続されるセンサの一例として、フードSW(スイッチ)31、ドアSW32、及び、シルコンSW33を示す。フードSW31、ドアSW32、及び、シルコンSW33は、車両Vが有する開閉機構の開閉状態等を検知するスイッチ式のセンサである。フードSW31は、車両Vのボンネットフードの開閉状態を検知する。ドアSW32は、車両Vのドアの開閉状態を検知する。シルコンSW33は、車両Vのドアロックの施錠状態を検知する。ドアSW32及びシルコンSW33は、車両Vのドア及びリアゲートの各々に対応して、複数設置されてもよい。
【0025】
第2ECU12には、灯体ECU24が接続される。灯体ECU24は、車両Vが備える灯火装置に接続され、灯火装置を制御して、点灯、点滅、及び、消灯させる。図2には、灯体ECU24により制御される灯火装置の一例としてハザードランプ25を示す。
【0026】
図2に示す各部は、制御システム1を構成する複数のECU、及び、これらのECUにより制御される機器のうちの一部であり、制御システム1が図2に示されていない構成を具備することを妨げない。例えば、ECU10には、ICB(Infotainment Control Box)、MPU(Map Positioning Unit)、MVC-ECU(MVC;Multi View Camera)、PKS-ECU(PKS;Parking Support)、ADAS-ECU(ADAS;Advanced Driver-Assistace System)等のECU、或いは、車両Vが備えるその他の種々のデバイスやセンサの動作を制御するECUが含まれ得る。そのようなデバイスやセンサには、自車両を走行させる走行用モータ、アクセルやブレーキなどの操縦器、VSA装置(VSA;Vehicle Stability Asist)、バッテリ、ドアウィンドウを駆動するウィンドウモータ、ドアロック機構を駆動するアクチュエータ、温度センサなどが含まれ得る。また、ECU10に、V2X(Vehicle to Everything)通信装置、GNSS(Global Navigation Satellite System)センサ、タッチパネル、ディスプレイ、スピーカ等が接続されてもよい。また、図2の第1ECU11、第2ECU12、第3ECU13の機能は一例である。これらの機能をより多くのECUに実装してもよいし、1つのECUに実装してもよい。また、ECU10どうし、及び、ECU10と各機器との接続形態も一例であり、各機器を図2とは異なるECU10に接続した構成とすることも勿論可能である。
【0027】
制御システム1において、第1ECU11は、プロセッサ110と、メモリ115と、を備える。プロセッサ110は、例えば、CPU(Central Processing Unit)、MCU(Micro Controller Unit)、或いは、MPU(Micro Processor Unit)により構成される。メモリ115は、プロセッサ110が実行するプログラム、及び、プロセッサ110により処理されるデータを不揮発的に記憶する。メモリ115は、例えば、ROM(Read Only Memory)で構成される。メモリ115は、プログラム及びデータを一時的に記憶するためのワークエリアを形成するRAM(Random Access Memory)を備えてもよい。第1ECU11は、プロセッサ110、及びメモリ115を一体に備える集積回路で構成されてもよい。また、第1ECU11は、プロセッサ110、メモリ115、及びその他の回路のそれぞれを独立したハードウェアとして備える構成であってもよい。
【0028】
メモリ115は、制御プログラム116、機器情報117、及び、予約情報118を記憶する。
【0029】
プロセッサ110は、制御プログラム116を実行することによって、第1ECU11の各部、及び、制御システム1を構成する装置を制御する。プロセッサ110は、制御システム1に含まれるECUが実行するアプリケーションプログラムに関する機能部として、プログラム管理部111、及び、検出部112を有する。
【0030】
プログラム管理部111は、制御システム1におけるプログラムのインストール、及び、実行を管理する。制御システム1を構成するECU10は、車両Vに搭載された機器を制御するプログラムを有し、プログラムを実行することにより機器を制御する。この種のプログラムは、ファームウェア、ミドルウェア、或いは、制御プログラムと呼ばれる。プログラム管理部111が管理するプログラムはソフトウェアの一態様である。プログラム管理部111は、ソフトウェア更新部の一例に対応する。
【0031】
プログラム管理部111が管理するプログラムは、ファームウェア、ミドルウェア、制御プログラム、及び、アプリケーションプログラムのいずれであってもよい。本実施形態では一例として、プログラム管理部111が管理する対象がアプリケーションプログラムである場合を説明する。このアプリケーションプログラムは、車両Vの製造元や販売元の事業者により提供され、この事業者が管理するサーバ2から通信ネットワークNを介して車両Vにダウンロードされる。プログラム管理部111が管理するプログラムは、車両Vの販売店や整備工場に設置される不図示の診断装置を制御システム1に接続することにより、診断装置から車両Vにダウンロードされてもよい。また、アプリケーションプログラムは、車両Vの製造元や販売元とは無関係な第三者により開発または提供されたプログラムであってもよい。
【0032】
プログラム管理部111は、プログラムのインストール、及び、更新の対象とするECU10を特定する。以下の説明では、プログラムのインストール、及び、更新をまとめてインストールと呼ぶ。プログラム管理部111は、TCU21によりサーバ2と通信を実行することにより、インストールの対象のECU10の型番、仕様、バージョンに適合する更新データをサーバ2に要求する。プログラム管理部111は、サーバ2から更新データをダウンロードし、更新データに基づいてプログラムをインストールする。プログラム管理部111は、プログラムをインストールした後、インストールされたプログラムの状態をチェックし、正常にインストールが完了したことを確認してからインストールを完了する。
【0033】
検出部112は、制御システム1に含まれる各種のECU10、及び、ECU10により制御される車両Vの各機器を検出する。検出部112は、例えば、制御システム1の動作中に、ECU10及び各機器を検出し、機器情報117を更新する。
【0034】
機器情報117は、制御システム1を構成するECU10、及び、ECU10により制御される機器に関する情報を含む。機器情報117は、例えば、各々のECU10の型番、仕様、ECU10にインストールされているプログラムのバージョン等の情報を含む。
【0035】
プログラム管理部111は、ユーザによる操作等に応じて、プログラムのインストールの予約を受け付ける。例えば、プログラム管理部111は、サーバ2に対し、制御システム1に含まれるECU10に対応する新しい更新データの有無の問合せを行い、新しい更新データがある場合に、不図示のディスプレイやタッチパネルを利用して、ユーザに対してインストールを促す通知を行う。プログラム管理部111は、ユーザの操作によりインストールが指示された場合、この操作に基づき予約を受け付ける。車両Vが起動している状態で予約を受け付けた場合、プログラム管理部111は、予約情報118を生成または更新する。予約情報118には、例えば、車両Vが停止してからプログラムのインストールを実行することを指定する情報である。予約情報118は、インストールする更新データの種類、プログラムをインストールする対象のECU10等を示す情報を含む。プログラム管理部111は、予約を受け付けた場合、車両Vが起動している状態で更新データをダウンロードしてもよいし、車両Vが停止してから更新データをダウンロードしてもよい。
【0036】
プログラム管理部111は、車両Vが起動している状態でプログラムをインストールしてもよい。この場合、制御システム1は、車両Vを停止させてからプログラムをインストールし、インストールが完了した後に車両Vを起動させる。また、プログラムをインストールするために車両Vを停止させる必要がない場合がある。例えば、車両Vの映像再生等を実行するためのプログラムは、車両Vを停止させずにインストールすることが可能である。この場合、車両Vが起動した状態を維持したまま、プログラム管理部111は、プログラムをインストールする。
【0037】
第2ECU12は、プロセッサ120と、メモリ125と、を備える。プロセッサ120は、例えば、CPU、MCU、或いは、MPUにより構成される。メモリ125は、プロセッサ120が実行するプログラム、及び、プロセッサ120により処理されるデータを不揮発的に記憶する。メモリ125は、例えば、ROMで構成される。メモリ125は、プログラム及びデータを一時的に記憶するためのワークエリアを形成するRAMを備えてもよい。第2ECU12は、プロセッサ120、及びメモリ125を一体に備える集積回路で構成されてもよい。また、第2ECU12は、プロセッサ120、メモリ125、及びその他の回路のそれぞれを独立したハードウェアとして備える構成であってもよい。
【0038】
メモリ125は、制御プログラム126を記憶する。
プロセッサ120は、制御プログラム126を実行することによって、警報部121、及び、警報出力制御部122として機能する。
プロセッサ120は、制御プログラム126を実行することによって、警報部121、及び、警報出力制御部122として機能する。
【0039】
警報部121は、車両Vの監視機能を実行する。警報部121の監視機能は、車両Vのセキュリティ機能に相当する。監視機能は、車両Vが停止している状態で、車両Vの異常を検出して警報を出力する機能である。警報部121は、車両Vが停止すると、監視機能の実行を開始する。制御システム1は、ユーザの操作により監視機能が解除された場合に、警報部121による監視機能を実行しない構成であってもよい。
【0040】
警報部121は、車両Vが備える機器のうち監視対象の状態を監視する。警報部121の監視対象は、制御システム1に含まれるECU10、及び、ECU10に接続された機器のいずれであってもよい。本実施形態では、警報部121の監視対象TGがフードSW31、ドアSW32、及びシルコンSW33である場合を例に挙げて説明する。この場合、車両Vのボンネットフードやドアが適正でない方法により開かれたとき、或いは、車両Vのドアのロックが適正でない方法により解除されたときに、警報部121は、車両Vの異常を検出する。
【0041】
警報部121は、車両Vの状態を判定し、監視を行うべき状態であると判定した場合に、監視動作を行う。監視を行う状態とは、例えば、車両Vが停止している状態である。
【0042】
警報部121は、監視動作において監視対象TGの状態を検出する。警報部121は、監視対象TGの状態に基づいて車両Vに異常が発生したことを検出する。警報部121は、車両Vの異常が発生したことを検出した場合に警報を出力する。警報の出力の態様は、例えば、ホーン22を鳴動させることである。この場合、警報部121は、ホーン22を鳴動させることを要求する信号を、第1ECU11に対して出力する。警報の出力の態様は、ハザードランプ25を点滅させることであってもよい。この場合、警報部121は、ハザードランプ25を点滅させることを要求する信号を、第3ECU13に出力する。警報の出力の態様は、携帯端末3にテキストメッセージまたは電子メールを送信することであってもよい。この場合、警報部121は、TCU21により携帯端末3にテキストメッセージまたは電子メールを送信することを要求する信号を、第1ECU11に出力する。
【0043】
警報出力制御部122は、警報部121による警報の出力を制限する。警報出力制御部122は、警報部121の監視対象のECU10、または、警報部121の監視対象の機器を制御するECU10に対し、プログラム管理部111がプログラムをインストールする場合に、警報の出力を制限する。
【0044】
警報出力制御部122による警報出力の制限は、例えば、警報部121による警報の出力を禁止または停止させることである。警報出力の禁止とは、警報出力の開始を禁止することをいい、警報出力の停止は、警報部121が監視機能を実行中に警報出力を停止させること、及び/または、監視機能を停止させることを含む。
警報出力制御部122による制限は、警報部121の機能を部分的に制限することであってもよい。具体的には、警報部121がホーン22を使用して出力を行うこと、及び、TCU21により出力を行うことを禁止または停止させ、警報部121がハザードランプ25により出力を行うことを制限しない態様であってもよい。また、警報出力制御部122による警報出力の制限は、警報部121が監視動作を行うことを禁止または停止させることであってもよい。
警報出力制御部122による制限は、警報部121の機能を部分的に制限することであってもよい。具体的には、警報部121がホーン22を使用して出力を行うこと、及び、TCU21により出力を行うことを禁止または停止させ、警報部121がハザードランプ25により出力を行うことを制限しない態様であってもよい。また、警報出力制御部122による警報出力の制限は、警報部121が監視動作を行うことを禁止または停止させることであってもよい。
【0045】
第3ECU13は、プロセッサ130と、メモリ135と、を備える。プロセッサ130は、例えば、CPU、MCU、或いは、MPUにより構成される。メモリ135は、プロセッサ130が実行するプログラム、及び、プロセッサ130により処理されるデータを不揮発的に記憶する。メモリ135は、例えば、ROMで構成される。メモリ135は、プログラム及びデータを一時的に記憶するためのワークエリアを形成するRAMを備えてもよい。第3ECU13は、プロセッサ130、及びメモリ135を一体に備える集積回路で構成されてもよい。また、第3ECU13は、プロセッサ130、メモリ135、及びその他の回路のそれぞれを独立したハードウェアとして備える構成であってもよい。
【0046】
メモリ135は、制御プログラム136、及び、アプリケーションプログラム137を記憶する。プロセッサ130は、制御プログラム136を実行することによって、アプリケーションプログラム137を実行するためのプラットフォームを構成する。このプラットフォームはプログラム実行部131に相当する。つまり、プロセッサ130は、制御プログラム136を実行することで、アプリケーションプログラム137を実行可能な状態となる。
【0047】
第3ECU13は、アプリケーションプログラム137を実行することにより、第3ECU13に接続された機器を制御する。例えば、第3ECU13に不図示のタッチパネルやスピーカが接続されている場合、第3ECU13は、アプリケーションプログラム137を実行することにより、映像コンテンツの再生、音楽再生、ハンズフリー通話等の機能を実行する。
【0048】
制御システム1は、警報装置14を備えてもよい。警報装置14は、超音波センサ141、及び、ブザー142を備える。超音波センサ141は、車両Vの車室内における物体の動きを検知するセンサである。超音波センサ141が動きを検知する物体は人間を含む。超音波センサ141は、ECU10によって警戒を開始することを指示された場合に、指示に応じて警戒動作を実行する。超音波センサ141は、警戒動作において物体の動きを検知した場合、ブザー142を鳴動させる。本実施形態では、警報装置14は、第1ECU11の制御に従って警戒動作を開始する。警報装置14は、警報部121とは独立して警戒動作を実行することができる。例えば、警報出力制御部122によって警報出力が制限されている状態で、警報装置14は警戒動作を実行できる。警報装置14の警戒動作は、警報部121による監視機能と同様に、車両Vのセキュリティ機能である。
【0049】
図3、図4、図5、及び図6は、制御システム1の動作例を示すフローチャートである。図3-図6に示す動作は、制御システム1がプログラムをインストールする場合の動作であり、特に、車両Vが停止している状態でプログラムをインストールする動作例を示す。
【0050】
制御システム1は、第2ECU12による監視機能を搭載しており、この監視機能によって、車両Vの駐車中における異常を検知し、警報を出力する。図3-図6は、警報部121が監視機能を実行するよう設定されている場合に、プログラムをインストールする動作例を示す。図3のステップS11-S15、S22はプログラム管理部111により実行される。ステップS16-S21、S23は警報出力制御部122により実行される。
【0051】
図3の動作は、予約情報118によりプログラムのインストールが予約されている場合の動作である。
制御システム1は、ユーザの操作により車両Vが停止したことを検知すると(ステップS11)、警報部121による監視動作を開始する(ステップS12)。続いて、制御システム1は、予約情報118を参照する(ステップS13)。ステップS13で、制御システム1は、例えば、プログラムをインストールする対象のECU10、及び、インストールするプログラムを特定する。
制御システム1は、ユーザの操作により車両Vが停止したことを検知すると(ステップS11)、警報部121による監視動作を開始する(ステップS12)。続いて、制御システム1は、予約情報118を参照する(ステップS13)。ステップS13で、制御システム1は、例えば、プログラムをインストールする対象のECU10、及び、インストールするプログラムを特定する。
【0052】
制御システム1は、プログラムがインストールされるECU10が、警報部121の監視対象TGに関係するECU10であるか否かを判定する(ステップS14)。図2に示す構成例で、監視対象TGは、第3ECU13に接続されている。この構成において、第3ECU13は、監視対象TGに関係するECU10に該当する。
【0053】
プログラムがインストールされるECU10が、警報部121の監視対象TGに関係するECU10でないと判定した場合(ステップS14;NO)、更新処理を実行し(ステップS15)、本処理を終了する。この場合、車両Vは停止した状態を維持し、警報部121による監視動作が実行される。
【0054】
プログラムがインストールされるECU10が、警報部121の監視対象TGに関係するECU10であると判定した場合(ステップS14;YES)、制御システム1は、カメラ23の撮影画像による監視を開始する(ステップS16)。制御システム1は、カメラ23の撮影画像を取得して、車両Vの周囲に人がいるか否かを判定する(ステップS17)。ステップS17は、例えば、カメラ23の撮影画像を解析して、撮影画像に人が写っているか否かを判定する処理である。
【0055】
車両Vの周囲に人がいないと判定した場合(ステップS17;NO)、制御システム1は後述するステップS20に移行する。
車両Vの周囲に人がいると判定した場合(ステップS17;YES)、制御システム1は、撮影画像から検出された人が車両Vに接近中であるか否かを判定する(ステップS18)。ステップS18は、例えば、異なるタイミングでカメラ23により撮影された複数の撮影画像において、人が検出された位置を比較することにより、撮影画像に写っている人が車両Vに向かって移動しているか否かを判定する処理である。
車両Vの周囲に人がいると判定した場合(ステップS17;YES)、制御システム1は、撮影画像から検出された人が車両Vに接近中であるか否かを判定する(ステップS18)。ステップS18は、例えば、異なるタイミングでカメラ23により撮影された複数の撮影画像において、人が検出された位置を比較することにより、撮影画像に写っている人が車両Vに向かって移動しているか否かを判定する処理である。
【0056】
撮影画像から検出された人が車両Vに接近中でないと判定した場合(ステップS18;NO)、制御システム1はステップS20に移行する。
撮影画像から検出された人が車両Vに接近中であると判定した場合(ステップS18;YES)、制御システム1は、撮影画像から検出された人が車両Vのユーザであるか否かを判定する(ステップS19)。ステップS19は、例えば、カメラ23の撮影画像において検出された人の顔等が、予め制御システム1に登録されたユーザの顔等と類似または一致するか否かを判定する処理である。この処理のため、制御システム1には、予め車両Vのユーザが登録される。具体的には、ユーザの顔等の画像の特徴を示す情報等が、第1ECU11に記憶される。
撮影画像から検出された人が車両Vに接近中であると判定した場合(ステップS18;YES)、制御システム1は、撮影画像から検出された人が車両Vのユーザであるか否かを判定する(ステップS19)。ステップS19は、例えば、カメラ23の撮影画像において検出された人の顔等が、予め制御システム1に登録されたユーザの顔等と類似または一致するか否かを判定する処理である。この処理のため、制御システム1には、予め車両Vのユーザが登録される。具体的には、ユーザの顔等の画像の特徴を示す情報等が、第1ECU11に記憶される。
【0057】
撮影画像から検出された人が車両Vのユーザでないと判定した場合(ステップS19;NO)、制御システム1は、ステップS17に戻る。
撮影画像から検出された人が車両Vのユーザであると判定した場合(ステップS19;YES)、制御システム1は、ステップS20に移行して、インストール監視処理を開始する(ステップS20)。インストール監視処理については図5を参照して後述する。
撮影画像から検出された人が車両Vのユーザであると判定した場合(ステップS19;YES)、制御システム1は、ステップS20に移行して、インストール監視処理を開始する(ステップS20)。インストール監視処理については図5を参照して後述する。
【0058】
インストール監視処理を開始した後、制御システム1は、警報部121による警報出力の制限を開始する(ステップS21)。
制御システム1は、警報出力制御部122による制限を実行した後で、更新処理を実行する(ステップS22)。
更新処理が完了した後、制御システム1は、警報出力制御部122による警報出力の制限を解除し(ステップS23)、本処理を終了する。
制御システム1は、警報出力制御部122による制限を実行した後で、更新処理を実行する(ステップS22)。
更新処理が完了した後、制御システム1は、警報出力制御部122による警報出力の制限を解除し(ステップS23)、本処理を終了する。
【0059】
図4は、図3のステップS15及びステップS22で実行される更新処理を示す。図4の動作はプログラム管理部111により実行される。
制御システム1は、サーバ2に対して、更新データのダウンロードを要求する(ステップS31)。制御システム1が要求する更新データは、例えば、予約情報118により指定されたECU10のプログラムをインストールするための更新データである。
制御システム1は、サーバ2に対して、更新データのダウンロードを要求する(ステップS31)。制御システム1が要求する更新データは、例えば、予約情報118により指定されたECU10のプログラムをインストールするための更新データである。
【0060】
制御システム1は、サーバ2から更新データをダウンロードする(ステップS32)。
制御システム1は、ダウンロード済みの更新データを取得し(ステップS33)、取得した更新データに基づいて、プログラムをECU10にインストールする(ステップS34)。その後、制御システム1は、プログラムが正常にインストールされたか否かを判定するため、インストールしたプログラムの検証を行う(ステップS35)。プログラムの検証が完了した後、制御システム1は、更新処理を終了して図3の動作に戻る。
制御システム1は、ダウンロード済みの更新データを取得し(ステップS33)、取得した更新データに基づいて、プログラムをECU10にインストールする(ステップS34)。その後、制御システム1は、プログラムが正常にインストールされたか否かを判定するため、インストールしたプログラムの検証を行う(ステップS35)。プログラムの検証が完了した後、制御システム1は、更新処理を終了して図3の動作に戻る。
【0061】
制御システム1は、図4に示す更新処理のうちステップS31-S32を、更新処理の実行前に行い、予め更新データをサーバ2からダウンロードしてもよい。例えば、プログラム管理部111は、予約を受け付けたことに応じて予約情報118を生成または更新した場合に、生成または更新後の予約情報118に基づいて、ステップS31-S32の動作を実行してもよい。このステップS31-S32の動作は、車両Vが起動している状態、すなわち、車両Vが停止する前に実行されてもよい。この場合、制御システム1は、図3のステップS15、S22において、ステップS33-S35を実行すればよい。
また、制御システム1は、予約情報118に基づいて、更新処理の実行前に、複数の更新データをサーバ2からダウンロードしてもよい。この場合、ステップS33で、制御システム1は、ダウンロード済みの更新データの中から、プログラムをインストールする対象のECU10に対応する更新データを選択して取得する。
また、制御システム1は、予約情報118に基づいて、更新処理の実行前に、複数の更新データをサーバ2からダウンロードしてもよい。この場合、ステップS33で、制御システム1は、ダウンロード済みの更新データの中から、プログラムをインストールする対象のECU10に対応する更新データを選択して取得する。
【0062】
なお、プログラムの検証においてエラーが検出された場合、制御システム1は、プログラムのインストールを再試行するか、或いは、エラーを出力してインストールを終了して図3の動作に戻る。
【0063】
【0064】
制御システム1は、カメラ23の撮影画像による監視を開始する(ステップS41)。制御システム1は、カメラ23の撮影画像を取得して、車両Vの周囲に人がいるか否かを判定する(ステップS42)。ステップS42は、例えば、ステップS17と同様の処理である。
【0065】
車両Vの周囲に人がいないと判定した場合(ステップS42;NO)、制御システム1は後述するステップS45に移行する。
車両Vの周囲に人がいると判定した場合(ステップS42;YES)、制御システム1は、撮影画像から検出された人が車両Vに接近中であるか否かを判定する(ステップS43)。ステップS43は、例えば、ステップS18と同様の処理である。
車両Vの周囲に人がいると判定した場合(ステップS42;YES)、制御システム1は、撮影画像から検出された人が車両Vに接近中であるか否かを判定する(ステップS43)。ステップS43は、例えば、ステップS18と同様の処理である。
【0066】
撮影画像から検出された人が車両Vに接近中でないと判定した場合(ステップS43;NO)、制御システム1はステップS45に移行する。撮影画像から検出された人が車両Vに接近中であると判定した場合(ステップS43;YES)、制御システム1は、撮影画像から検出された人が車両Vのユーザであるか否かを判定する(ステップS44)。ステップS44は、例えば、ステップS19と同様の処理である。
【0067】
撮影画像から検出された人が車両Vのユーザでないと判定した場合(ステップS44;NO)、制御システム1は、実行中の更新処理を中断させる(ステップS46)。続いて、制御システム1は、警報出力制御部122による警報出力の制限を解除させ(ステップS47)、本処理を終了する。更新処理を中断させる処理は、いわゆる割込処理として実行できる。更新処理を中断させた場合、制御システム1は、エラーを出力して動作を終了してもよいし、図3のステップS16に移行してもよい。
【0068】
撮影画像から検出された人が車両Vのユーザであると判定した場合(ステップS44;YES)、制御システム1は、ステップS45に移行する。ステップS45で、制御システム1は、更新処理が終了したか否かを判定する(ステップS45)。更新処理が終了していないと判定した場合(ステップS45;NO)、制御システム1は、ステップS42に戻る。更新処理が終了したと判定した場合(ステップS45;YES)、制御システム1は、本処理を終了する。
【0069】
図6は、図3とは別の動作例を示す。図3のステップS16-S19で実行したカメラ23の撮影画像による監視、及び、ステップS20のインストール監視処理に代えて、ステップS51、S52の動作を実行する。ステップS51、S52は、プログラム管理部111または警報出力制御部122により実行される。図6において、図3と同じ処理には同ステップ番号を付して説明を省略する。
【0070】
制御システム1は、ステップS14で、プログラムがインストールされるECU10が監視対象TGに関係すると判定した場合(ステップS14;YES)、代替警報機能による監視を開始する(ステップS51)。代替警報機能とは、警報部121の代わりに車両Vにおける異常の検知および警報の出力を行う機能である。例えば、警報装置14が超音波センサ141によって異常を検知し、ブザー142によって報知を行うことは、代替警報機能に該当する。本実施形態では、ステップS51で、制御システム1は警報装置14による監視を開始する。これにより、車両Vに対して超音波センサ141による監視がなされる。
【0071】
その後、制御システム1は、ステップS21-S23を実行し、ステップS23で警報部121の警報出力の制限を解除した後、ステップS51で開始した監視を停止する(ステップS52)。
【0072】
このように、制御システム1は、警報部121を用いる監視機能により車両Vを監視することが可能であり、監視機能の監視対象TGに関係するECU10にプログラムをインストールするときには、警報の出力を制限する。ECU10にプログラムをインストールする場合、ECU10の再起動、制御プログラムの再ロード、ECU10に接続されたセンサを用いる検出の途絶、他のECU10との通信の途絶等が発生する。これらの事象が発生すると、監視機能により異常が検知されることを招き、警報の誤出力、すなわち誤報知を招く可能性がある。本実施形態の制御システム1によれば、警報出力を制限することによってECU10にプログラムをインストールする際の誤報知を防止できる。
【0073】
図3の動作では、警報出力を制限する前に、カメラ23の撮影画像による判定を行い、車両Vの盗難や損害が発生するリスクが存在するか否かを制御システム1が判定する。そして、車両Vの盗難や損害が発生するリスクが存在すると判定した場合は、警報出力の制限を開始しないので、車両Vのセキュリティ性能を維持できる。さらに、警報出力を制限する間は図5に示したインストール監視処理を実行することにより、プログラムのインストール中も車両Vのセキュリティ性能を維持できる。また、車両Vに、警報部121とは異なるセキュリティ機能が搭載されている場合、このセキュリティ機能を利用して、プログラムのインストール中に監視を行うこともできる。従って、車両Vのセキュリティ性能を維持しながら、プログラムのインストール時における警報の誤出力を防止できる。
【0074】
図6の動作例では、図3の動作に警報装置14を利用する例を説明したが、例えば、警報装置14を、図5のインストール監視処理に利用してもよい。すなわち、図5のステップS41-S44に代えて、超音波センサ141による警戒動作を実行してもよい。この場合、超音波センサ141が異常を検知した場合に、ステップS46-S47を実行して、プログラム管理部111によるインストールを中断させてもよい。
【0075】
上記実施形態は本発明を適用した一具体例を示すものであり、発明が適用される形態を限定するものではない。
【0076】
上記実施形態で説明した図3-図6に示す動作は、複数のECU10に対しプログラム管理部111がプログラムをインストールする場合に適用できる。具体的には、図3または図6の動作を、複数のECU10に対して並行に実行できる。この場合、第3ECU13に対してプログラムをインストールする間は、監視対象TGに関して、警報部121による警報の出力が制限される。これに対し、第2ECU12にプログラムをインストールする場合、警報部121による警報の出力が制限されない。ここで、第2ECU12に対するインストールと第3ECU13に対するインストールとが並行して実行される場合、警報出力制御部122は、警報部121が第3ECU13に繋がる監視対象TGに関して出力する警報を制限する一方、その他の機器を利用して不正行為を検知した場合の警報出力を制限しない構成とすることができる。この例では、第3ECU13が第1電子機器の一例に対応し、第2ECU12が第2電子機器の一例に対応する。
【0077】
上記実施形態では、制御システム1を構成するECU10のうち、第1ECU11がプログラム管理部111を有し、プログラム管理部111により第3ECU13にプログラムをインストールする例を説明した。この構成は一例であり、プログラム管理部111は、第1ECU11自体にプログラムをインストールしてもよく、他のECU10にプログラムをインストールしてもよい。また、警報装置14や灯体ECU24にプログラムをインストールすることが可能な構成であってもよい。
【0078】
上記実施形態では、車両Vが起動している間にプログラムのインストールが予約され、その後に車両Vが停止する場合の動作を説明したが、図3-図6に示した動作を実行する機会は、これに限定されない。例えば、制御システム1は、車両Vが停止している間にユーザの操作またはサーバ2によってプログラムの更新が指示された場合に、図3-図6に示した動作を実行してもよい。
【0079】
上記実施形態では、代替警報機能として警報装置14を用いる例を説明したが、制御システム1が備える代替警報機能は警報装置14の構成に限定されない。例えば、制御システム1は、振動センサを備える警報装置や、車両Vの車体への接触を検知するセンサを使用する警報装置を備えてもよい。
上記実施形態では、警報部121の監視対象TGをフードSW31、ドアSW32、及びシルコンSW33とする例を説明した。これは一例であり、監視対象TGは、制御システム1が備えるECU10及び機器であれば何でもよく、監視対象TGの種類及び数に制限はない。
上記実施形態では、警報部121の監視対象TGをフードSW31、ドアSW32、及びシルコンSW33とする例を説明した。これは一例であり、監視対象TGは、制御システム1が備えるECU10及び機器であれば何でもよく、監視対象TGの種類及び数に制限はない。
【0080】
図1及び図2は、本願発明の理解を容易にするために、管理システム100の各装置の機能構成を、主な処理内容により区分して示した概略構成を示す図であり、装置の構成を限定するものではない。図3-図6に示した各処理は、1つのプログラムにより実行されてもよいし、複数のプログラムにより実行されてもよい。
【0081】
また、車両Vは、例えば四輪自動車であるが、車両Vの種類は特に制限されず、大型自動車、商用車、二輪車、三輪車等であってもよい。その他、制御システム1における各部の構成は任意に変更可能である。
【0082】
[上記実施形態によりサポートされる構成]
上記実施形態は、以下の構成をサポートする。
上記実施形態は、以下の構成をサポートする。
【0083】
(構成1)車両に対する不正行為を検知する監視機能を実行し、前記監視機能により前記不正行為が検知された場合に警報出力部によって警報を出力させる警報部と、前記車両に搭載された電子機器が有するソフトウェアの更新を行うソフトウェア更新部と、前記ソフトウェア更新部によって前記電子機器のソフトウェアの更新が行われる場合に、前記警報の出力の制限を行う警報出力制御部と、を備える、制御装置。
構成1の制御装置によれば、車両の監視機能による警報の誤出力を防止し、車両に搭載された電子機器のソフトウェアを更新できる。これにより、ソフトウェアの更新による車両の機能向上の機会を増やすことができ、持続可能な輸送システムの発展に寄与することができる。
構成1の制御装置によれば、車両の監視機能による警報の誤出力を防止し、車両に搭載された電子機器のソフトウェアを更新できる。これにより、ソフトウェアの更新による車両の機能向上の機会を増やすことができ、持続可能な輸送システムの発展に寄与することができる。
【0084】
(構成2)前記ソフトウェア更新部は、前記警報出力制御部による前記制限が開始されてから前記電子機器のソフトウェアを更新する、構成1に記載の制御装置。
構成2の制御装置によれば、監視機能による警報の誤出力を、より確実に防止できる。
構成2の制御装置によれば、監視機能による警報の誤出力を、より確実に防止できる。
【0085】
(構成3)前記警報出力制御部は、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新が完了した後に、前記警報の出力の制限を解除する、構成1または構成2に記載の制御装置。
構成3の制御装置によれば、警報の誤出力のおそれがない場合に車両の監視機能を実行可能とすることにより、車両をより確実に保護できる。
構成3の制御装置によれば、警報の誤出力のおそれがない場合に車両の監視機能を実行可能とすることにより、車両をより確実に保護できる。
【0086】
(構成4)前記警報出力制御部は、前記警報部の前記監視機能が実行されていない状態で、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新が予定されている場合に、前記電子機器のソフトウェアの更新が完了するまで前記監視機能の開始を制限する、構成1から構成3のいずれかに記載の制御装置。
構成4の制御装置によれば、ソフトウェアの更新が予定されている場合に監視機能を開始しないので、ソフトウェアの更新に起因する警報の誤出力を防止できる。
構成4の制御装置によれば、ソフトウェアの更新が予定されている場合に監視機能を開始しないので、ソフトウェアの更新に起因する警報の誤出力を防止できる。
【0087】
(構成5)前記車両の外を撮影する撮影部を備え、前記警報出力制御部は、前記警報の出力の制限を行っている場合に前記撮影部の撮影画像を用いて人物を検出し、前記車両の近傍に人物が存在しない場合に、前記警報部による前記警報の出力の制限を行う、構成1から構成4のいずれかに記載の制御装置。
構成5の制御装置によれば、撮影画像を用いて車両に対して不正行為が行われる可能性が低いことを確認した後に、警報の出力を制限するので、警報の出力を制限する間の車両のセキュリティ性能を維持できる。
構成5の制御装置によれば、撮影画像を用いて車両に対して不正行為が行われる可能性が低いことを確認した後に、警報の出力を制限するので、警報の出力を制限する間の車両のセキュリティ性能を維持できる。
【0088】
(構成6)前記警報出力制御部は、前記撮影部の撮影画像を用いて検出された前記人物が前記車両に接近しているか否かを判定し、前記人物が前記車両に接近している場合は、前記ソフトウェア更新部による前記電子機器のソフトウェアの更新を中止させ、前記警報の出力の制限を解除する、構成5に記載の制御装置。
構成5の制御装置によれば、撮影画像に基づいて、車両に対して不正行為が行われる可能性が低いことを、より確実に確認できる。
構成5の制御装置によれば、撮影画像に基づいて、車両に対して不正行為が行われる可能性が低いことを、より確実に確認できる。
【0089】
(構成7)前記警報出力制御部は、前記撮影部の撮影画像を用いて検出された前記人物が前記車両の正規のユーザであるか否かを判定し、前記人物が前記車両の正規のユーザである場合は、前記警報部による前記警報の出力の制限を行う、構成5または構成6に記載の制御装置。
構成7の制御装置によれば、車両のユーザを警戒の対象から除外することができるので、車両の保護を可能としながら、利便性を向上させることができる。
構成7の制御装置によれば、車両のユーザを警戒の対象から除外することができるので、車両の保護を可能としながら、利便性を向上させることができる。
【0090】
(構成8)前記ソフトウェア更新部による前記電子機器のソフトウェアの更新が開始した後で前記車両に対する不正行為を検知した場合に、前記電子機器のソフトウェアの更新を中止させ、前記警報の出力の制限を解除する、構成1から構成7のいずれかに記載の制御装置。
構成8の制御装置によれば、ソフトウェアの更新が行われている間に車両に対する不正行為を検知した場合に、警報の出力の制限を解除するので、警報を出力することが可能となる。これにより、警報の出力を制限してソフトウェアを更新する間も、車両を保護できる。
構成8の制御装置によれば、ソフトウェアの更新が行われている間に車両に対する不正行為を検知した場合に、警報の出力の制限を解除するので、警報を出力することが可能となる。これにより、警報の出力を制限してソフトウェアを更新する間も、車両を保護できる。
【0091】
(構成9)前記電子機器は、第1電子機器と、第2電子機器とを含み、前記警報出力制御部は、前記ソフトウェア更新部によって前記第1電子機器のソフトウェアの更新が行われる場合に、前記第1電子機器について前記監視機能により不正行為が検知された場合の前記警報の出力の制限を行い、前記第2電子機器について前記監視機能により不正行為が検知された場合の前記警報の出力の制限を行わない、構成1から構成8のいずれかに記載の制御装置。
構成9の制御装置によれば、ソフトウェアの更新により監視機能に影響を与えない電子機器に対し、ソフトウェアを更新する場合には、警報の出力を制限しないことで車両のセキュリティ性能を維持できる。
構成9の制御装置によれば、ソフトウェアの更新により監視機能に影響を与えない電子機器に対し、ソフトウェアを更新する場合には、警報の出力を制限しないことで車両のセキュリティ性能を維持できる。
【0092】
(構成10)前記警報出力部は、指定された外部装置と通信回線を介して接続される通信装置を含み、前記警報部は、前記監視機能により前記不正行為が検知された場合に、前記通信装置によって前記外部装置に警報を示す情報を送信させる、構成1から構成9のいずれかに記載の制御装置。
構成10の制御装置によれば、警報を出力する動作として、外部装置に警報を示す情報を送信することができる。これにより、車両から離れた場所にいるユーザ等に、車両に対する不正行為を知らせることができる。
構成10の制御装置によれば、警報を出力する動作として、外部装置に警報を示す情報を送信することができる。これにより、車両から離れた場所にいるユーザ等に、車両に対する不正行為を知らせることができる。
【0093】
(構成11)車両に対する不正行為を検知する監視機能を実行し、前記監視機能により前記不正行為が検知された場合に警報出力部によって警報を出力し、前記車両に搭載された電子機器が有するソフトウェアをソフトウェア更新部により更新する場合に、前記警報の出力の制限を行う、制御方法。
構成11の制御方法によれば、車両の監視機能による警報の誤出力を防止し、車両に搭載された電子機器のソフトウェアを更新できる。これにより、ソフトウェアの更新による車両の機能向上の機会を増やすことができ、持続可能な輸送システムの発展に寄与することができる。
構成11の制御方法によれば、車両の監視機能による警報の誤出力を防止し、車両に搭載された電子機器のソフトウェアを更新できる。これにより、ソフトウェアの更新による車両の機能向上の機会を増やすことができ、持続可能な輸送システムの発展に寄与することができる。
【符号の説明】
【0094】
1…制御システム、2…サーバ、3…携帯端末(外部装置)、10…ECU、11…第1ECU、12…第2ECU、13…第3ECU、14…警報装置、21…TCU、22…ホーン、23…カメラ(撮影部)、24…灯体ECU、25…ハザードランプ、31…フードSW、32…ドアSW、33…シルコンSW、41…通信ライン、42…通信ライン、100…管理システム、110…プロセッサ、111…プログラム管理部(ソフトウェア更新部)、112…検出部、115…メモリ、116…制御プログラム、117…機器情報、118…予約情報、120…プロセッサ、121…警報部、122…警報出力制御部、125…メモリ、126…制御プログラム、130…プロセッサ、131…プログラム実行部、135…メモリ、136…制御プログラム、137…アプリケーションプログラム、141…超音波センサ、142…ブザー、N…通信ネットワーク、TG…監視対象、V…車両。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】